Itä-Suomen HAO 20.05.2021 21/0231/2

Tietosuoja - Yleinen tietosuoja-asetus - Vaikutustenarviointi - Sijaintitiedot - Seuraamusmaksu

Diaarinumero: 01453/20/1204
Taltionumero: 21/0231/2
Antopäivä: 20.5.2021

Tietosuojavaltuutetun toimisto oli saanut yhteydenoton, jonka mukaan valittajayhtiössä oli käytössä ajotietojärjestelmä, josta saatavia sijaintitietoja käytettiin työntekijöiden työajan seurannassa. Asiassa oli hallinto-oikeudessa ensinnäkin ratkaistavana kysymys siitä, oliko työntekijöiden sijaintiin liittyvien käsittelytoimien osalta tullut tehdä yleisen tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi. Toiseksi oli kysymys siitä, oliko tietosuojavaltuutetun toimiston määräämistä hallinnollisista sakoista (hallinnollinen seuraamusmaksu) päättävä elin, seuraamuskollegio, voinut tietosuojavaltuutetun antaman huomautuksen lisäksi määrätä vaikutustenarvioinnin laiminlyömisestä tietosuoja-asetuksen 58 artiklan 2 kohdan 1 alakohdan sekä 83 artiklan 4 kohdan a alakohdan nojalla hallinnollisen seuraamusmaksun.

Tietosuojavaltuutettu oli antanut valittajayhtiölle huomautuksen, koska se ei ollut suorittanut työntekijöiden sijaintiin liittyvien käsittelytoimien osalta tietosuoja-asetuksen 35 artiklan mukaista vaikutustenarviointia. Tämän lisäksi yhtiö ei tietosuojavaltuutetun mukaan ollut ajopäiväkirjan avulla saatavien sijaintitietojen käsittelytapojen määrittelyn ja itse käsittelyn yhteydessä toteuttanut tietosuoja-asetuksen 24 ja 25 artikloiden mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä tai osoittanut ja varmistanut, että tietosuoja-asetusta noudatetaan. Seuraamuskollegio oli edelleen päätöksessään katsonut, että tietosuojavaltuutetun toteamat yhtiön tietosuoja-asetusta koskevat rikkomukset olivat rikkomusten luonne ja vakavuus, tuottamuksellisuus ja rekisteröityjen heikompi asema suhteessa rekisterinpitäjään huomioon ottaen sellaisia, että tietosuojavaltuutetun antaman huomautuksen lisäksi tuli määrätä 16 000 euron suuruinen hallinnollinen seuraamusmaksu.

Hallinto-oikeus hylkäsi päätöksellään valittajayhtiön tekemän valituksen. Päätöksen perusteluiden mukaan valittajayhtiö oli käyttänyt sähköisestä ajotietojärjestelmästä saatavia sijaintitietoja työntekijöidensä työajan seurantaan. Seurannan kohteena olivat olleet kaikki ne työntekijät, jotka olivat käyttäneet yhtiön autoja työtehtäviensä hoitamiseen ja jotka työnantajan ohjeistuksen mukaisesti olivat tällöin kirjautuneet järjestelmään.

Hallinto-oikeus totesi, että tietosuoja-asetuksen 5 artiklan mukaan työnantaja rekisterinpitäjänä vastaa siitä, ja sen on pystyttävä osoittamaan, että henkilötietojen käsittelyssä noudatetaan tietosuoja-asetusta (”osoitusvelvollisuus”). Tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tietosuoja-asetusta. Näitä toimenpiteitä on säännöksen mukaan tarkistettava ja päivitettävä tarvittaessa. Edelleen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.

Valittajayhtiö oli tehnyt henkilötietojen käsittelyn arviointia ainoastaan ajotietojärjestelmää käyttöönotettaessa eli ennen tietosuoja-asetuksen voimaantuloa eikä se ollut varmistunut siitä, että käsittelytoimet olivat tietosuoja-asetuksen mukaisia. Hallinto-oikeus katsoi, että sijaintitietojen käsittelyssä oli kyse tietosuoja-asetuksen 35 artiklan 3 kohdan c alakohdassa tarkoitetusta järjestelmällisestä valvonnasta, jonka yhteydessä tällaiset käsittelytoimet muodostivat heikommassa asemassa olevien työntekijöiden eli rekisteröityjen oikeuksien ja vapauksien kannalta tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitetun korkean riskin. Koska heikommassa asemassa olevien rekisteröityjen sijaintitietojen käsittely järjestelmällisen valvonnan yhteydessä muodosti hallinto-oikeuden mukaan tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitetun korkean riskin ja kun valittajayhtiö ei ollut tietosuojavaltuutetun toimistolle antamissaan selvityksissä osoittanut, että se olisi suorittanut ajotietojärjestelmän käytön kohdalla tietosuoja-asetuksen 35 artiklan 7 kohdan mukaiset toimenpiteet käsittelytoimien vaikutusten arvioimiseksi, se oli näin ollen laiminlyönyt velvollisuutensa vaikutustenarvioinnin tekemisestä. Valittajayhtiö ei myöskään ollut huolehtinut tietosuoja-asetuksen 24 ja 25 artikloiden mukaisista velvoitteistaan arvioida ja dokumentoida käsittelystä rekisteröidyille aiheutuvat riskit.

Seuraamusmaksun lainmukaisuutta arvioidessaan hallinto-oikeus kiinnitti huomiota siihen, että vaikutustenarviointi kuului rekisterinpitäjän keskeisiin velvoitteisiin. Vaikutustenarvioinnin lisäksi valittajayhtiö oli laiminlyönyt ylläpitää ja seurata ajotietojärjestelmästä saatavien tietojen käsittelytoimien lainmukaisuutta. Kun lisäksi otettiin huomioon, että laiminlyönti oli tullut ilmi vasta sen jälkeen, kun tietosuojavaltuutetun toimisto oli sille tehdyn yhteydenoton jälkeen lähtenyt selvittämään käsittelytoimien lainmukaisuutta, sekä se, että yhtiöllä oli ollut tietosuoja-asetuksen voimaantulon jälkeen yli puolitoista vuotta aikaa saattaa käsittelytoimet tietosuoja-asetuksen mukaiseksi, katsoi hallinto-oikeus, että seuraamuskollegio oli voinut määrätä valittajayhtiölle tietosuojavaltuutetun antaman huomautuksen lisäksi seuraamusmaksun. Hallinto-oikeus katsoi, että seuraamuskollegion määräämää 16 000 euron seuraamusmaksua oli pidettävä valittajayhtiön tapauksessa tietosuoja-asetuksen 83 artiklan 1 kohdan mukaisesti tehokkaana, oikeasuhteisena sekä varoittavana.

Sovelletut oikeusohjeet

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus) 5 artikla, 24 artikla 1 ja 2 kohta, 25 artikla 1 ja 2 kohta, 32 artikla 1 kohta, 35 artikla 1, 3, 4, 7 ja 11 kohta, 58 artikla 2 kohta ja 83 artikla 1, 2 ja 4 kohta

Tietosuojalaki 24 § 1 momentti

Päätöksen ovat tehneet hallinto-oikeuden jäsenet ylituomari Petri Saukko sekä hallinto-oikeustuomarit Elina Ranz ja Olli Rautsi, joka on myös esitellyt asian.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.