12.6.2017 5/2017

Henkilötietojen käsittely - Oikeutettu etu - Lupamääräykset - Katunäkymä - Valokuva

Tietosuojalautakunta myönsi hakijalle päätöksiä 3/14.7.2011 ja 1/17.6.2014 vastaavan luvan kerätä ja käsitellä henkilötietoja Street View -katunäkymäpalvelun luomiseksi ja ylläpitämiseksi. Tietosuojalautakunnan asettamien lupaehtojen mukaan hakijan tulee muokata kuvissa näkyvät henkilöt ja ajoneuvot tunnistamattomiksi ennen kuvien julkaisemista katunäkymäpalvelussa, eikä hakija saa luovuttaa raakadataa kolmansille osapuolille. Lupa ja siihen liitetyt lupamääräykset asetettiin määräaikaisina.

Ks. myös päätökset 3/14.7.2011 ja 1/17.6.2014.

HAKIJA   Google Inc. (jäljempänä hakija)
 

HAKEMUS

Hakija pyytää, että sille myönnettäisiin henkilötietolain 43 §:n 1 momentissa tarkoitettu lupa käsitellä henkilötietoja hakijan tarjoaman Street View -palvelun luomista ja ylläpitoa varten. Lupaa haetaan määräajaksi 25.5.2018 saakka, jolloin yleistä tietosuoja-asetusta (EU) 2016/679 aletaan soveltaa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS

Tietosuojalautakunta myöntää hakijalle henkilötietolain 43 §:n 1 momentin mukaisen luvan jäljempänä esitetyin perustein ja seuraavin lupamääräyksin:

1) Hakijan tulee muokata kuvissa näkyvät henkilöt ja ajoneuvot tunnistamattomiksi ennen kuvien julkaisemista Street View -palvelussa siten, ettei kuvissa esiintyviä henkilöitä ja ajoneuvoja voida tunnistaa henkilötietolain tarkoittamina henkilötietoina.

2) Hakija voi säilyttää raakadataa ainoastaan siihen asti kun tietojen käsittelyn tavoite on täyttynyt.

3) Hakija ei saa luovuttaa raakadataa kolmansille osapuolille.

Lupa myönnetään määräaikaisena siten, että se on voimassa siihen asti, kunnes EU:n yleinen tietosuoja-asetus tulee jäsenvaltioissa sovellettavaksi eli 25.5.2018 saakka.

HAKEMUKSEN TAUSTA JA PERUSTELUT

Käsittelyn tarkoitus ja perustelut

Street View -palvelu on osa Google Maps -palvelua. Street View -palvelun avulla käyttäjä voi visuaalisesti tutkia ja navigoida tiettyä seutua katutason panoraamakuvien kautta. Käyttäjä voi esimerkiksi käydä etukäteen katsomassa kuvia tietystä määränpäästä tai tutustua uuteen paikkaan katutasolta. Street View -palvelu on lanseerattu Yhdysvalloissa vuonna 2007, ja Suomessa Street View -kuvasto on ollut saatavilla vuodesta 2010 lähtien.

Street View -palvelun tarkoituksena ei ole kerätä henkilötietoja. Hakija kuitenkin saattaa ottaa kuvia luonnollisista henkilöistä ja ajoneuvojen rekisterikilvistä kerätessään kuvia palvelua varten. Siltä osin kuin tällaisia kuvia ennen sumennusteknologian käyttöä pidetään henkilötietoina, hakija pyytää tietosuojalautakunnalta lupaa henkilötietojen käsittelemiseen.

Tietosuojalautakunta on päätöksillään 3/14.7.2011 (dnro 2/932/2011) ja 1/17.6.2014 (dnro 1/932/2014) myöntänyt hakijalle luvan henkilötietojen käsittelemiseksi hakijan Street View -palvelun luomiseksi ja ylläpitämiseksi. Nykyinen tietosuojalautakunnan myöntämä lupa ja lupamääräykset ovat voimassa 14.7.2017 asti.

Koska tietosuojalautakunnan myöntämä määräaikainen lupa on päättymässä, hakija hakee lupaa henkilötietojen käsittelemiseksi voidakseen edelleen luoda ja ylläpitää Street View -palveluaan. On mahdollista, että hakija kerää vastaisuudessakin uutta aineistoa ja laajentaa taikka päivittää Suomen kuvastoa.

Hakija hakee edellä kuvattua lupaa sen oikeutettujen intressien ja yleisen edun toteuttamiseksi. Street View -palvelu on vakiintunut osaksi käyttäjien arkipäiväisiä tilanteita ja toimii apuvälineenä esimerkiksi uuteen paikkaan navigoitaessa tai uuden asunnon etsinnässä.

Kyseinen käsittely ei hakijan soveltamat suojatoimet huomioon ottaen kohtuuttomasti tai aiheettomasti vaaranna henkilöiden yksityisyyden suojaa tai muita oikeuksia. Hakijalla on käytössään useita suojatoimia, joilla varmistetaan, että Street View -palvelusta aiheutuvien riskien todennäköisyyttä ja vakavuutta lievennetään tehokkaasti asianmukaiselle tasolle ja että hakijan ja luonnollisten henkilöiden välille saavutetaan henkilötietojen käsittelyn osalta asianmukainen tasapaino.

Henkilötietojen käsittely

Hakijan Street View -palvelun luominen edellyttää ensin kuvien keräämistä. Street View -palveluun liittyvät kuvat kerätään tavallisesti autoilla. Hakija käyttää kuvien keräämiseen myös muita laitteita erityisesti paikoissa, joissa ei voi liikkua autoilla. Muita laitteita ovat esimerkiksi sisätiloihin tarkoitettu Street View -kärry, rinteissä käytettävä Street View -moottorikelkka, kapeisiin tiloihin tarkoitettu Street View -kolmipyörä sekä Street View Trekker -selkäreppu. Laitteisiin on asennettu tarvittavat kamerat ja muut laitteistot.

Hakija kerää kuvat ajamalla eri ympäristöissä ja ottamalla niissä palvelussa näytettäviä valokuvia. Autojen anturit mittaavat GPS-sijaintia, nopeutta ja suuntaa, jotta kuvat voidaan kohdistaa oikeaan sijaintiin kartalla. Myöhemmin kuvat yhdistetään 360 asteen panoraamakuviksi käyttämällä muun muassa erityisiä kuvankäsittelyalgoritmeja. Street View -palvelun kuvat eivät ole reaaliaikaisia, vaan kuvia käsitellään niiden ottamisen jälkeen. Kerätyt kuvat näkyvät palvelussa vasta, kun ne ovat käsitelty. Näin ollen palvelun käyttäjä näkee käsiteltyjä panoraamakuvia.

Street View -palvelussa on pääsääntöisesti yleisiltä teiltä otettuja kuvia, joten kuvat eivät eroa siitä, mitä kadulla ajaessa tai kulkiessa näkisi. Palvelussa voi rajoitetussa määrin olla kuvia yksityisomistuksessa olevilta alueilta silloin, kun hakija on saanut tähän etukäteen suostumuksen.

Koska kuvia kerätään yleisiltä teiltä, kuvat saattavat sisältää keräyshetkellä sattumalta otettuja kuvia luonnollisista henkilöistä ja ajoneuvojen rekisterikilvistä. Hakijan tarkoituksena ei ole kerätä kuvia luonnollisista henkilöistä tai ajoneuvojen rekisterikilvistä, eikä hakijan ole tarkoitus käyttää tällaisia kuvia millään tavalla. Tällaisten kuvien keräämiseltä ei kuitenkaan ole mahdollista täysin välttyä yleisillä teillä kuvattaessa.

Henkilötietojen käsittelyn vaiheet kuvien keräämisen jälkeen vastaa sitä, mitä hakija on aiemmissa lupahakemuksissaan (dnro 2/932/2011 ja 1/932/2014) esittänyt. Käsittelyvaiheet ovat tiivistetysti seuraavat:

- Kuva-aineisto tallennetaan Street View -ajoneuvoissa oleville kovalevyille. Kovalevyillä tieto on binäärimuodossa, ja se on suojattu ja lukittu koneellisesti luodulla algoritmilla. Tietoa voidaan lukea ainoastaan erityisillä hakijan omistamilla järjestelmillä.

- Suojatut kovalevyt siirretään fyysisesti hakijan omistamaan tilaan Belgiaan.

- Belgiassa kovalevyillä oleva tieto siirretään tiedon myöhempää käsittelyä varten hakijan suojatuille palvelimille, joihin sisältyy myös Yhdysvalloissa sijaitsevia palvelimia. Palvelimilla aineistoon on pääsy ainoastaan valituilla ja koulutetuilla hakijan valtuuttamilla työntekijöillä. Ulkopuolisten ei ole mahdollista päästä käsiksi kuviin, joita ei ole vielä käsitelty sumennusteknologialla.

- Kuvat käsitellään sumennusteknologialla ennen kuvien julkaisua. Sumennusteknologia etsii tietynlaisia ominaisuuksia kuvista havaitakseen kasvot ja rekisterikilvet. Nämä sumennetaan teknologian avulla automaattisesti, jotta kyseistä henkilöä ei voi tunnistaa. Lisäksi kuvat käsitellään 360-asteisen panoraaman luomiseksi.

- Sumentamisen jälkeen kuvat julkaistaan Street View -palvelussa.

- Sumentaminen on lopullista. Sumennetun kuvan kääntäminen takaisin (engl. reverse engineering) tunnistettavaksi kuvaksi on estetty. Sen jälkeen, kun sumennetut kuvat on julkaistu Street View -palvelussa, hakijalle ei jää Suomessa kerätyistä kuvista alkuperäistä raakadataa, jossa henkilöiden kasvot tai ajoneuvojen rekisterikilvet olisivat näkyvissä.

Hakija vahvistaa, että se on käsityksensä mukaan toiminut tietosuojalautakunnan aiemmin myöntämissä luvissa asetettujen lupamääräysten mukaisesti.

Rekisteröityjen yksityisyyden suojaaminen

Automaattisen sumennusteknologian lisäksi hakija pyrkii yksityisyyden suojan turvaamiseen ”ilmoita ongelmasta” -työkalun avulla. ”Ilmoita ongelmasta” -työkaluun on linkki jokaisen Street View -kuvan oikeassa alakulmassa. Tämän työkalun avulla käyttäjät voivat pyytää lisäsumentamista. Käyttäjän pyynnöstä hakija esimerkiksi sumentaa koko auton, talon tai henkilön. Jos käyttäjä pyytää, että hänen kotinsa sumennetaan Street View -palvelussa, myös kaikki vanhat ja tulevat kuvat kyseisestä kodista sumennetaan. Käyttäjä voi lisäksi pyytää sopimattomien (kuten alastomuutta tai väkivaltaa sisältävien) kuvien poistamista.

Hakijan aiemmassa lupahakemuksessaan (dnro 2/932/2011) kuvaamat tietoturvatoimet ovat olennaisilta osiltaan edelleen samat. Hakija muun muassa suorittaa sisäisiä tarkastuksia, jotka koskevat hakijan tietojen käsittelykäytäntöjä sekä fyysisiä tietoturvatoimia. Hakijan Street View -ajoneuvoja operoivat palveluntarjoajat eivät pääse käsiksi kerättyyn tietoon. Tietoa voidaan asianmukaisesti lukea vain hakijan erityisillä järjestelmillä. Hakija ei lisensoi tai muutoin luovuta sumentamattomia kuvatiedostoja kolmansille osapuolille.

Hakija on sitoutunut Euroopan unionin ja Yhdysvaltojen Privacy Shield -järjestelyyn (Privacy Shield Framework) ja vakuuttaa noudattavansa Privacy Shield -periaatteita. Hakija uudistaa Privacy Shield -sertifikaattinsa vuosittain.

KUULEMINEN

Tietosuojavaltuutetun lausunto 12.5.2017

Tietosuojalautakunta on varannut tietosuojavaltuutetulle mahdollisuuden antaa lausuntonsa hakijan lupahakemuksesta. Tietosuojavaltuutettu toteaa lausunnossaan, että hakijan lupahakemus vastaa sisällöltään pääpiirteittäin hakijan aiempia lupia sillä poikkeuksella, että lupaa pyydetään käsillä olevassa hakemuksessa yleisen tietosuoja-asetuksen (EU) 2016/679 soveltamiseen saakka.

Tietosuojavaltuutettu toteaa, ettei tietosuojavaltuutetun toimistolle ole nykyisen luvan voimassa ollessa tehty kanteluja koskien hakijan Street View -palvelua. Tietosuojavaltuutetulla ei myöskään ole tiedossaan seikkoja, jotka puoltaisivat tai vastustaisivat luvan myöntämistä hakijalle.

TIETOSUOJALAUTAKUNNAN PÄÄTÖKSEN PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain 5 §:ssä säädetään huolellisuusvelvoitteesta. Pykälän mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Henkilötietolain 8 §:ssä säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Pykälän 1 momentin 9 kohdan mukaan henkilötietoja saa käsitellä myös silloin, jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Henkilötietolain 22 §:n 1 momentin mukaan henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso. Pykälän 2 momentin mukaan tietosuojan tason riittävyys on arvioitava ottaen huomioon tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet.

Henkilötietolain 22 a §:n 1 momentin mukaan henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin Euroopan komissio on yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 3 artiklan ja 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso.

Henkilötietolain 43 §:n 1 momentin mukaan tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn muun muassa silloin, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Pykälän 3 momentin mukaan lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset.

Luvan tarve

Hakija käsittelee Street View -palvelussaan henkilötietoja. Näin ollen hakija tarvitsee tietosuojalautakunnan luvan käsitelläkseen hakemuksessa kuvattuja henkilötietoja, ellei jokin henkilötietolain 2 §:ssä määritellyistä soveltamisalan rajauksista tai jokin henkilötietolain 8 §:ssä säädetyistä käsittelyn yleisistä edellytyksistä täyty.

Hakijan tietosuojalautakunnalle esittämän lupahakemuksen perusteella sovellettavaksi eivät tule 2 §:ssä määritellyt soveltamisalan rajaukset eivätkä myöskään muut henkilötietolain 8 §:ssä säädetyt henkilötietojen käsittelyn yleiset edellytykset. Näin ollen henkilötietojen käsittely hakijan katunäkymäpalvelussa edellyttää henkilötietolain 43 §:n 1 momentin mukaista tietosuojalautakunnan lupaa.

Luvan myöntämisen edellytykset

Hakijalla on voimassaoleva määräaikainen lupa, jonka voimassaolo päättyy 14.7.2017. Tietosuojavaltuutettu on tietosuojalautakunnalle toimittamassaan lausunnossa todennut, että tietosuojavaltuutetulla ei ole tiedossaan seikkoja, jotka puoltaisivat tai vastustaisivat luvan myöntämistä hakijalle. Asiassa ei ole ilmennyt sellaisia seikkoja, joiden perusteella uuden luvan myöntämistä hakijalle tulisi arvioida toisin kuin voimassaolevan luvan myöntämisen edellytyksiä luvan kestoa lukuun ottamatta.

Hakijan Street View -palvelu edellyttää henkilötietojen käsittelyä ennen kuvien julkaisemista. Tietosuojalautakunta katsoo, että hakemuksessa tarkoitettu henkilötietojen käsittely on tarpeen hakijan oikeutetun edun toteuttamiseksi. Lisäksi palvelulla ja siten kyseessä olevassa henkilötietojen käsittelyllä on myös yhteiskunnallista merkitystä.

Hakija osallistuu Euroopan komission hyväksymään Privacy Shield -järjestelyyn. Henkilötietojen siirtäminen Yhdysvaltoihin ei siten vaaranna rekisteröityjen yksityisyyden suojaa ja oikeuksia. Ottaen huomioon hakemuksessa esitetyt suojatoimet sekä edellä asetetut lupamääräykset, tietosuojalautakunta katsoo, ettei luvan myöntäminen muutoinkaan vaaranna rekisteröityjen yksityisyyden suojaa ja oikeuksia. Näin ollen edellytykset luvan myöntämiselle ovat olemassa.

Lupamääräykset

Tietosuojalautakunta on liittänyt hakijan esittämä selvitys huomioon ottaen päätökseen edellä esitetyt rekisteröidyn yksityisyyden ja oikeuksien suojaamiseksi tarpeelliset lupamääräykset.

Luvan voimassaolo

EU:n yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) on tulossa sovellettavaksi jäsenvaltioissa 25.5.2018. Asetusta on sovellettava sellaisenaan kaikissa jäsenvaltioissa. Yleisen tietosuoja-asetuksen myötä henkilötietojen käsittelyn oikeusperusta ja valvontaviranomaisten toimivalta tulevat Suomessa muuttumaan. Näin ollen tietosuojalautakunta pitää perusteltuna luvan myöntämistä määräaikaisena siten, että luvan voimassaolo päättyy, kun tietosuoja-asetus tulee sovellettavaksi.

SOVELLETUT SÄÄNNÖKSET         

Henkilötietolaki (523/1999) 5 §, 6 §, 8 §, 22 §, 22 a §:n 1 momentti ja 43 §
 

Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Ahti Saarenpää, Pertti Saloranta, Lea Mäntyniemi, Eila Ratasvuori, Tuula Sario ja Hannu Rautiainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.