Kokousten henkilötietoja sisältävien liiteaineistojen saatavilla olo verkossa
- Keywords
- Henkilötietojen tietoturvaloukkaus, Tietojen luovuttaminen, Luottamuksellisuus
- Year of case
- 2025
- Date of Issue
- Register number
- TSV/3773/2023
- Legal basis
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun päätös
Asia
Ylioppilaskunnan edustuston kokousten esityslistojen liitteiden vieminen säilytettäväksi ylioppilaskunnan verkkosivuille linkitettyyn kansioon siten, että liitteisiin sisältyvät henkilötiedot olivat vapaasti kenen tahansa yleisen tietoverkon käyttäjän saatavilla useita vuosia
Rekisterinpitäjä
Ylioppilaskunta
Rekisterinpitäjän selvitys
Rekisterinpitäjä lähetti tietosuojavaltuutetun toimistoon 15.3.2023 tietoturvaloukkausta koskevan ilmoituksen, josta ilmeni, että ulkopuolinen oli löytänyt rekisterinpitäjän verkkosivuilta kansion, johon oli linkitetty edustajiston kokousten henkilötietoja sisältäviä liiteaineistoja vuosilta 2014–2021.Tietoturvaloukkaus alkoi 1.9.2014 ja päättyi 9.3.2023. Ilmoituksen mukaan 15.3.2023 mennessä rekisterinpitäjä oli ilmoittanut tietoturvaloukkauksesta niille rekisteröidyille, joiden yhteystiedot olivat rekisterinpitäjän tiedossa.
Tietosuojavaltuutetun toimisto lähetti 31.1.2024 rekisterinpitäjälle selvityspyynnön. Rekisterinpitäjä 22.2.2024 antaman selvityksen mukaan ylioppilaskunnan edustajiston toiminnan yksi perusarvo on päätöksenteon avoimuus. Rekisterinpitäjän edustuston päätöksentekoon liittyvät asiakirjat oli jaettu edustajistolle Google Drive -kansiorakenteen kautta. Kansioissa oli kokousten esityslistat liitteineen sekä pöytäkirjat. Rekisterinpitäjän verkkosivujen edustajistoa käsittelevässä kohdassa oli linkki kansioihin.
Saadun selvityksen mukaan kansiot olivat julkisia, koska julkisuuslain nojalla esityslistat ja pöytäkirjat ovat julkisia. Koska niihin kohdistuu esimerkiksi median ja jäsenistön mielenkiintoa, oli rekisterinpitäjä katsonut perustelluksi, että esityslistat ja pöytäkirjat olivat saatavilla tarvitsematta tehdä tietopyyntöä. Jonain vuosina oli toivottu, että edustajiston kokousten liitteiksi lisättiin esimerkiksi asianomaiset eronpyynnöt tai hakemukset, jotta edustajiston jäsenet olivat voineet tutustua niihin itse ennen päätöksentekoa.
Rekisterinpitäjän mukaan virhe tapahtui siinä, että samoissa avoimissa kansioissa säilytettiin myös edustajiston liitetiedostoja. Ne ovat olleet hyvin suurelta osin julkisia asiakirjoja, mutta osassa oli ollut henkilötietoja, minkä vuoksi niiden saatavilla pitäminen ei ollut ollut perusteltua. Rekisterinpitäjän selvityksen mukaan kyseiset tiedostot olisi pitänyt jakaa edustajistolle sellaisella tavalla, ettei muille kuin päätöksentekijöille ole niihin pääsyä.
Yksi virheen juurisyy on ollut selvityksen mukaan se, että ylioppilaskunnan toiminnan luonteen vuoksi suuri osa aktiivitoimijoista vaihtuu vuosittain, minkä lisäksi myös työntekijöissä on ollut jonkin verran vaihtuvuutta. Jokainen toiminnan sektori on vastannut omien asioidensa valmistelusta edustajistolle, myös liitetiedostojen lisäämisestä kansioon. Sen vuoksi joka vuosi 10–15 eri henkilön työtehtäviin on voinut kuulua liitetiedostojen käsittely. Osa heistä on ollut työntekijöitä ja osa luottamustoimisia. Liitetiedostojen käsittelystä ei ollut rekisterinpitäjän selvityksen mukaan laadittu yhtenäisiä ohjeistuksia.
Tietoturvaloukkaus johtui rekisterinpitäjän selvityksen mukaan useista inhimillisistä virheistä. Rekisterinpitäjä kertoi, että virhettä ei ollut huomattu aikaisemmin, koska aikaisempien vuosien kokousten kansiot toimivat käytännössä arkistona eikä kansioita ollut aktiivisesti tai järjestelmällisesti tarkasteltu myöhempinä vuosina. Monet keskeiset toimijat olivat vuosien aikana vaihtuneet, eikä uudemmilla toimijoilla ole ollut tarkkaa tietoa siitä, mitä tiedostoja vanhoissa kansioissa oli eikä erityistä syytä epäillä, että kansioissa olisi sellaisia tiedostoja, joita niissä ei tulisi olla.
Tietoturvaloukkauksen kohteena oli rekisterinpitäjän selvityksen mukaan rekisteröityjen nimiä, sähköpostiosoitteita, puhelinnumeroita ja osoitteita. Kaikissa dokumenteissa ei esiintynyt kaikkia kyseisiä tietoja. Jossain dokumenteissa oli esimerkiksi nimi ja sähköpostiosoite. Mukana oli myös henkilövalintojen perustelumuistioita, joissa oli henkilöarviointeja. Myöhemmin tällaiset tiedot on katsottu julkisuuslain perusteella salassa pidettäviksi. Asiakirjojen laadintahetkellä ei rekisterinpitäjän kertoman mukaan ollut tehty salassapitomerkintöjä.
Selvityksestä ilmenee, että pääsy kyseisiin kansioihin rekisterinpitäjän verkkosivuilta poistettiin välittömästi sen jälkeen, kun virhe tuli rekisterinpitäjän tietoon, ja kaikki liitetiedostot käytiin läpi. Rekisterinpitäjä kertoi selvityksessään, miten käytäntöä kokousmateriaalien jaosta ja liitetiedostojen käsittelystä muutettiin.
Sovellettavasta lainsäädännöstä
Henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus), joka on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Tietosuoja-asetusta täsmentää ja täydentää kansallinen tietosuojalaki (1050/2018). Henkilötietojen käsittelyyn voi vaikuttaa myös toimintaan sovellettava muu lainsäädäntö.
Rekisterinpitäjällä tarkoitetaan tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään (---) jäsenvaltion lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa (---) jäsenvaltion lainsäädännön mukaisesti.
Yliopistolain (558/2009) 46 §:n 1 momentin mukaan yliopiston opiskelijoiden keskuudessa on ylioppilaskunta, jolla on itsehallinto. Pykälän 6 momentin mukaan ylioppilaskunnan päätösvaltaa käyttää hallitus ja edustajisto. Yliopiston ja ylioppilaskunnan toiminnan julkisuuteen sovelletaan yliopistolain 30 §:n mukaan, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999, julkisuuslaki) säädetään lain 4 §:n 1 momentissa tarkoitetun viranomaisen toiminnan julkisuudesta.
Henkilötietojen käsittelyllä tarkoitetaan tietosuoja-asetuksen 4 artiklan 2 kohdan mukaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallettamista, (…) säilyttämistä, (…), tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, (…).
Tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä (…) käyttäen asianmukaisia teknisiä ja organisatorisia toimia (”(---) luottamuksellisuus”). Artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).
Rekisterinpitäjän on tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen (…) saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
Ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän (…) on tietosuoja-asetuksen 32 artiklan 1 kohdan mukaan toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
b) kyky taata käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, (…);
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Tietosuoja-asetuksen 32 artiklan 2 kohdan mukaan asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman (…) luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. Rekisterinpitäjän (…) on saman artiklan 4 kohdan mukaan toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän (…) alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti, (…).
Oikeudellinen kysymys
Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti tietosuoja-asetuksen (EU) 2016/679, tietosuojalain ja yliopistolain pohjalta.
Asiassa on ratkaistava, onko rekisterinpitäjä noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohtaa ja 2 kohtaa, 25 artiklan 2 kohtaa sekä 32 artiklan 1 kohdan b ja d alakohtaa, 2 kohtaa ja 4 kohtaa viedessään ylioppilaskunnan edustuston kokousten henkilötietoja sisältäviä liitteitä säilytettäväksi verkkosivuilleen linkitettyyn kansioon siten, että kenellä tahansa yleisen tietoverkon käyttäjällä on ollut kyseisiin henkilötietoihin vapaa pääsy.
Tietosuojavaltuutetun päätös ja perustelut
Päätös
Rekisterinpitäjä ei ole noudattanut käsillä olevassa asiassa tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohtaa ja 2 kohtaa, 25 artiklan 2 kohtaa eikä 32 artiklan 1 kohdan b ja d alakohtaa, 2 kohtaa ja 4 kohtaa, kun ylioppilaskunnan verkkosivuille linkitettyyn kansioon on viety säilytettäväksi edustajiston kokousten henkilötietoja sisältäviä liitteitä siten, että henkilötiedot ovat olleet vapaasti kenen tahansa yleisen tietoverkon käyttäjän saatavilla usean vuoden ajan, koska rekisterinpitäjä ei ole arvioinut ennen henkilötietojen käsittelyyn ryhtymistä käsittelyn lainmukaisuutta eikä ohjeistanut ja valvonut henkilötietojen käsittelyä riittävästi.
Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus yleisen tietosuoja-asetuksen säännösten vastaisista henkilötietojen käsittelytoimista tässä asiassa.
Perustelut
Rekisterinpitäjä totesi selvityksessään, että rekisterinpitäjän verkkosivuille linkitettyyn kansio vietiin ylioppilaskunnan edustajiston kokousten esityslistoja liitteineen ja pöytäkirjoja. Tämä aineisto, jota säilytettiin kyseisessä kansiossa, koski vuosia 2014–2021. Tietoturvaloukkaus alkoi 1.9.2014 ja päättyi 9.3.2023, kun rekisterinpitäjä sai tiedon asiasta. Liitteissä oli henkilötietoja, joihin kenellä tahansa yleisen tietoverkon käyttäjällä oli vapaa pääsy. Rekisterinpitäjä totesi, että liitteitä ei olisi pitänyt viedä kyseiseen kansioon. Lisäksi rekisterinpitäjä kertoi huomanneensa tietoturvaloukkauksen tapahduttua, että joissakin liitteissä oli ollut sen oman arvion mukaan myös salassa pidettäviä tietoja, joista ei tehty merkintöjä liitteisiin laadintahetkellä. Rekisterinpitäjä kertoi selvityksessään myös, ettei liitetiedostojen käsittelystä ollut laadittu yhtenäisiä ohjeistuksia.
Apulaistietosuojavaltuutettu toteaa, että tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa säädetty luottamuksellisuuden periaate, jonka mukaan henkilötiedot on suojattava luvattomalta ja lainvastaiselta käsittelyltä käyttäen asianmukaisia teknisiä ja organisatorisia toimia, on yksi tietosuojaperiaatteista. Tätä periaatetta täsmentävän tietosuoja-asetuksen 32 artiklan 1 kohdan b alakohdan mukaan rekisterinpitäjän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimet mm. käsittelyjärjestelmien ja -palveluiden jatkuvan luottamuksellisuuden takaamiseksi ja d alakohdan mukaisesti menettely, jolla säännöllisesti arvioidaan näiden toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Tietosuoja-asetuksen 32 artiklan 2 kohdan mukaan asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin mm. vahingossa tapahtuvan ja laittoman henkilötietoihin pääsyn estämiseksi. Käsiteltävien tietojen luonne vaikuttaa riskin arviointiin 1 . Tietojen luonnetta arvioitaessa, tulee huomioida toimintaan mahdollisesti sovellettavat salassapitosäännökset 2 . Rekisterinpitäjän on myös 32 artiklan 4 kohdan mukaisesti toteutettava toimenpiteet sen varmistamiseksi, että rekisterinpitäjän alaisuudessa toimivat henkilöt käsittelevät henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti 3 . Kyse on kaikista niistä henkilöistä, joilla on pääsy henkilötietoihin.
Apulaistietosuojavaltuutettu toteaa, että asiakirjojen antamisesta säädetään julkisuuslaissa, jonka 9 §:n mukaan jokaisella on oikeus saada tieto viranomaisen julkisesta asiakirjasta. Salassa pidettävästä viranomaisen asiakirjasta tai sen sisällöstä saa julkisuuslain 10 §:n perusteella antaa tiedon vain, jos niin erikseen julkisuuslaissa säädetään. Antaminen perustuu julkisuuslain 13 §:n perusteella pyyntöön ja antamisesta päättämiseen 14 §:n mukaisesti. Ylioppilaskuntien toimintaan sovelletaan julkisuuslakia yliopistolain 30 §:n mukaisesti.
Apulaistietosuojavaltuutettu toteaa, että henkilötietoja sisältävien esityslistojen liitteiden viemisessä sellaiseen kansioon, jonne kenellä tahansa yleisen tietoverkon käyttäjällä on pääsy, on henkilötietojen luovuttamista, johon tulee olla olemassa lainmukainen peruste 4 . Kyse ei silloin ole asiakirjan antamisesta. Rekisterinpitäjä ei ole pystynyt osoittamaan, että tällaiseen henkilötietojen käsittelyyn (luovuttamiseen) olisi ollut lainmukainen peruste. Rekisterinpitäjä on todennut selvityksessään, että vapaata pääsyä henkilötietoja sisältäviin liitteisiin ei olisi tullut olla.
Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että ylioppilaskunnan edustajiston kokousten liitteitä, jotka ovat sisältäneet henkilötietoja, on säilytetty kansiossa siten, että ne ovat olleet kenen tahansa yleisen tietoverkon käyttäjän saatavilla useita vuosia (yli 8 vuotta). Rekisterinpitäjä ei ollut arvioinut ennen tällaiseen henkilötietojen käsittelyyn (luovuttamiseen) ryhtymistä käsittelyn lainmukaisuutta. Tässä yhteydessä olisi tullut arvioida myös käsiteltävien tietojen luonne, jolla on vaikutusta luovutusperusteisiin ja käsittelyyn muutenkin. Tietoturvaloukkauksen tultua ilmi, rekisterinpitäjä totesi, ettei henkilötietoja sisältäviä liitteitä olisi pitänyt jakaa niin, että ne ovat olleet kaikkien yleisen tietoverkon käyttäjien saatavilla. Rekisterinpitäjä ei ollut itse huomannut, tietoturvaloukkauksen tapahtumista moneen vuoteen, mikä osoittaa, ettei rekisterinpitäjä ollut valvonut henkilötietojen käsittelyä asianmukaisesti. Rekisterinpitäjä ei myöskään ollut laatinut liitteiden käsittelystä yhtenäisiä ohjeistuksia. Henkilöstön vaihtuvuus on entisestään korostanut tarvetta asianmukaiselle ohjeistukselle. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohtaa ja 2 kohtaa, 32 artiklan 1 kohdan b ja d alakohtaa, 2 kohtaa eikä 4 kohtaa.
Tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet sen varmistamiseksi oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Velvollisuus koskee myös kerättyjen henkilötietojen saatavilla oloa. Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ollut noudattanut myöskään tietosuoja-asetuksen 25 artiklan 2 kohtaa.
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Päätös on lainvoimainen.
Tietosuojavaltuutetun ohjaus
Apulaistietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota siihen, että asianmukaisen henkilötietojen käsittelyä koskevan ohjeistuksen ohella rekisterinpitäjän on huolehdittava myös siitä, että rekisterinpitäjän alaisuudessa toimivilla luonnollisilla henkilöillä on riittävä ymmärrys ja osaaminen henkilötietojen käsittelystä ja tietosuojasta. Toimenpiteiden toteutuksessa on tarpeellista ottaa huomioon toiminnan luonne 5 .
Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa säädetään säilytyksen rajoittamista koskevasta tietosuojaperiaatteesta 6 , joka on tärkeä huomioida, kun arvioidaan henkilötietoja sisältävän materiaalin säilyttämistä. Sen jälkeen, kun henkilötietojen säilyttämiselle ei enää ole perusteita, ne tulee hävittää tietoturvallisesti. Rekisterinpitäjää pyydetään varmistamaan, että tämä on huomioitu toiminnassa.
Lisäksi apulaistietosuojavaltuutettu toteaa, että jos myös esityslistoihin ja pöytäkirjoihin sisältyy henkilötietoja, tulee varmistaa, että niiden käsittelyyn, mukaan lukien luovuttamiseen, on lainmukainen peruste, mikäli nämä henkilötiedot viedään vapaasti saataville yleiseen tietoverkkoon. Apulaistietosuojavaltuutetun tehtäviin ei kuulu arvioida julkisuuslain soveltamista tarkemmin.
Tähän tietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla
muutosta.
1
Kts. tietosuoja-asetuksen johdanto-osan kohta
75.Tietojen salassa pidosta säädetään julkisuuslain 24 §:ssä.
2 Myös esimerkiksi yhteystiedot voivat olla julkisuuslain 24 §:n 31 kohdan perusteella salassa pidettäviä.
3 Kts. myös tietosuoja-asetuksen 29 artikla.
4 Kts. julkisuuslain 16 §:n 3 momentti ja 26 §.
5 Henkilöstön vaihtuvuus on tärkeä ottaa huomioon ohjeistuksen laadinnassa ja koulutuksessa.