15.8.2017 8/2017

Henkilötietojen käsittely - Oikeutettu etu - Lupamääräykset - Tekoäly - Kuvaaminen

Tietosuojalautakunta myönsi hakijalle henkilötietolain 43 §:n 1 momentissa tarkoitetun luvan henkilötietojen käsittelyyn hakijan tekoälyn tutkimus- ja kehittämistarkoituksia varten siltä osin, kun hakija käsittelee henkilötietoja osana itseohjautuviin autoihin liittyvien tekoälysovellusten ja -järjestelmien tutkimuksessa ja kehittämisessä. Tietosuojalautakunta katsoi, että hakijalla oli oikeutettu etu henkilötietojen käsittelyyn ja ettei käsittely vaaranna henkilöiden suojaa ja oikeuksia hakijan esittämät suojatoimenpiteet ja lautakunnan asettamat lupamääräykset huomioon ottaen. Lupa myönnettiin määräaikaisena.

HAKIJA   AImotive Informatikai Korlátolt Felelősségű Társaság (jäljempänä hakija)

HAKEMUS

Hakija pyytää tietosuojalautakunnalta henkilötietolain 43 §:n 1 momentissa tarkoitettua lupaa käsitellä henkilötietoja hakijan tekoälyn tutkimus- ja kehittämistarkoituksiin siltä osin, kun hakija käsittelee henkilötietoja osana itseohjautuviin autoihin liittyvien tekoälysovellusten ja -järjestelmien tutkimuksessa ja kehittämisessä.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS

Tietosuojalautakunta myöntää hakijalle henkilötietolain 43 §:n 1 momentin mukaisen luvan jäljempänä esitetyin perustein ja seuraavin lupamääräyksin:

1) Hakija ei saa luovuttaa raakadataa kolmansille osapuolille.

2) Hakijan tulee huolehtia, että tietoja kerätään ja muutoin käsitellään ainoastaan siinä laajuudessa, kuin on hakemuksessa määriteltyjen käsittelyn tarkoitusten vuoksi tarpeellista.

Lupa myönnetään määräaikaisena siten, että lupa on voimassa enintään siihen asti, kunnes EU:n yleinen tietosuoja-asetus tulee jäsenvaltioissa sovellettavaksi eli 25.5.2018 saakka.

HAKEMUKSEN TAUSTA JA PERUSTELUT

Käsittelyn tarkoitus ja perustelut

Hakija on unkarilainen itseohjautuviin autoihin liittyvän tekoälyn ja tekoälyohjelmistojen kehittämiseen erikoistunut yhtiö. Hakijalla on 1.1.2017 alkaen ollut toimipiste myös Suomessa.

Hakijan tarkoituksena on tutkia ja edistää itseohjautuvien autojen tekoälysovellusten kehittämistä. Keskeinen osa tutkimus- ja kehitystyötä on maantieteellisen tiedon ja ympäristön kuvamateriaalin kerääminen tekoälyn optimointia varten. Hakija hakee lupaa henkilötietojen käsittelyyn tekoälysovellusten, -ohjelmistojen ja -laitteistojen kehittämis-, testaamis- ja demonstraatiotarkoituksiin sekä kehittääkseen tekoälysovelluksia, -ohjelmistoja ja -laitteistoja itseohjautuvien ajojärjestelmien tehokkuuden ja turvallisuuden parantamiseksi.

Hakija hakee lupaa henkilötietojen käsittelemiseksi sen oikeutetun edun toteuttamiseksi ja käsitelläkseen henkilötietoja henkilötietolain 8 §:n 1 momentin 9 kohdan mukaisesti. Hakemuksessa tarkoitettu henkilötietojen käsittely ei vaaranna henkilöiden yksityisyyden suojaa tai muita oikeuksia. Hakija hakee lupaa viiden vuoden määräajaksi.

Henkilötietojen käsittely

Henkilötietojen kerääminen

Hakijan tuotteiden kehittäminen ja testaaminen sisältää reaalimaailman olosuhteissa, kuten tietyn kaupunginosan kaduilla tai maaseudulla, tallennettujen kuvien ja videomateriaalin keräämistä ja käsittelemistä, jotta tekoälylle voidaan tarjota tietoa, joka mahdollistaa ajoneuvojen liikkumisen hallitsemiseen suunniteltujen ohjelmistojärjestelmien kehityksen. Hakijan tekoälyn tutkimus- ja kehittämistyöhön liittyvät kuvat ja videomateriaali kerätään hakijan ajoneuvoilla, jotka ajavat julkisilla teillä tai rajoitetussa määrin yksityisomistuksessa olevilla alueilla silloin, kun hakija on saanut tähän etukäteissuostumuksen.

Materiaalin tallentaminen tapahtuu hakijan operoimiin ajoneuvoihin (autoihin) asennettujen kameroiden välityksellä. Hakijan toiminnan tarkoituksena ei ole henkilötietojen laajempi käyttäminen. Tästä huolimatta hakijan ajoneuvojen tallentamisajot sisältävät kuvien tai videon tallentamista kaupunki- ja maaseutuympäristöissä, minkä seurauksena on käytännössä välttämätöntä, että tiettyjä henkilöihin liittyviä tietoja (kuten heidän kuvansa, henkilön sijainti tietyssä paikassa tiettyyn aikaan, rekisterikilpien tiedot) käsitellään hakijan toimesta.

Autoissa on tarvittavat kamerat ja laitteisto, joilla kuvia ja videomateriaalia tallennetaan. Tallenteet voidaan yhdistää tiettyyn maantieteelliseen sijaintiin ja kellonaikaan. Kerättyjä kuvia tai videomateriaalia ei lähetetä reaaliajassa. Kameralaitteisto asennetaan ajoneuvoihin niin, etteivät kamerat voi kuvata alueita, jotka ovat piilossa jalankulkijoilta. Kamerat esimerkiksi asennetaan keskivertojalankulkijan silmien tason alapuolelle.

Koska kuvia ja videomateriaalia kerätään julkisilta teiltä, kuvat ja videomateriaali saattavat sisältää keräyshetkellä sattumalta tallennettuja kuvia tai videomateriaalia luonnollisista henkilöistä ja ajoneuvojen rekisterikilvistä. Hakijan tarkoituksena ei ole kerätä tällaisia kuvia tai tällaista videomateriaalia. Hakija pyrkii kohtuullisin toimenpitein suorittamaan kuvien ja videomateriaalin tallentamisen sellaisina aikoina ja sellaisissa paikoissa, joissa mahdollisimman harva yksilö tai rekisterikilpi tulisi kuvatuksi minimoidakseen tietojen keräämiselle altistuvien henkilöiden määrän. Tekoälyn optimointitarkoituksessa ja itseohjautuvien ajojärjestelmien turvallisuuden parantamiseksi tällaisten kuvien ja videomateriaalin keräämiseltä ei kuitenkaan ole mahdollista täysin välttyä julkisilla teillä kuvattaessa.

Ennen tallentamistoimiin ryhtymistä hakija tiedottaa suunnitellusta reitistä, jota hakijan ajoneuvot käyttävät kuvien ja videomateriaalin tallentamistarkoitukseen ilmoittaakseen tallentamisen vaikutuspiiriin tuleville henkilöille kuvaamisesta. Kaikki tiedot hakijan tallentamistoimiin liittyen julkaistaan sekä suomeksi että englanniksi. Tiedotteet julkaistaan hakijan verkkosivuilla ja niissä kerrotaan yksityiskohtaisesti suunnitelluista toimenpiteistä.

Keräämisen jälkeen tapahtuva henkilötietojen käsittely

Kuvat ja videomateriaali tallennetaan ensin laitteistolle, joka on asennettu edellä kuvattuihin ajoneuvoihin. Tämän jälkeen kuvat ja videomateriaali siirretään hakijan tiloissa Unkarissa sijaitsevaan keskustietojärjestelmään. Pääsy keskustietojärjestelmään tallennettuihin tietoihin on vain sellaisella rajoitetulla osalla hakijan henkilökunnasta, joka on koulutettu käsittelemään henkilötietoja asianmukaisesti. Hakijan annotaatioryhmä käyttää kerättyjä kuvia ja videomateriaalia realistisen testiympäristön luomiseen.

Tekoälyn opettaminen sisältää objektien merkitsemisen eri kategorioihin kuuluviksi (esim. tienosat, ajoneuvot, jalankulkijat, liikennemerkit). Tekoälyn parhaan koneellisen oppimisen takaamiseksi tässä vaiheessa käytettävää materiaalia ei ole puhdistettu henkilötiedoista.

Simulaatioryhmä luo testiympäristön, jossa ohjelmistoja testataan realistisissa olosuhteissa. Testiympäristön lopullinen versio ei kuitenkaan sisällä henkilötietoja, kuten tunnistettavia kasvoja tai ajoneuvojen rekisterikilpiä. Testiympäristöä käytetään ainoastaan tekoälyn suunnitteluun, testaamiseen ja kehittämiseen. Simulaation ja kehittämisen yhteydessä käytettyjä kuvia ja videomateriaalia tai muita henkilötietoja ei julkaista tai saateta muutoin yleisön saataville.

Tekoälyn testaamisen jälkeen ja mikäli se katsotaan toimivaksi, tekoäly on tarkoitus ladata hakijan koeajoneuvoihin. Koeajoneuvoilla on tarkoitus suorittaa koeajoja käyttäen tekoälyä ajoneuvon ohjaamiseen realistisissa olosuhteissa. Hakija tiedostaa, että sanotut koeajot tulevat vaatimaan erillisiä viranomaislupia, eikä tällä hakemuksella ole tarkoitus ottaa niihin kantaa, vaan hakemus koskee ainoastaan lupaa kerätä ja käsitellä henkilötietoja.

Koeajoneuvot on myös varustettu kameroilla, jotka tallentavat reaaliaikaista videomateriaalia tekoälyn hallintajärjestelmään, joka hallitsee autoa tämän reaaliaikaisen datan perusteella. Kyseinen reaaliaikainen data saattaa sisältää henkilötietoja ja se voidaan tallentaa ajoneuvossa olevaan tietokonejärjestelmään, josta se siirretään hakijan tallennuslaitteistoon tai muuhun palveluun. Tätä videomateriaalia käytetään ainoastaan koeajoneuvolla suoritetun koeajon arvioimiseen.

Hakijan tekoälyohjelmistojen lopulliset versiot eivät tallenna kuva- tai videomateriaalia, sillä ne toimivat sellaisten esiohjelmoitujen ominaisuuksien varassa, jotka eivät edellytä henkilötietojen tallentamista ajoneuvon järjestelmiin. Hakija saattaa ajoittain demonstraatiotarkoituksessa julkaista tutkimus- ja kehittämistyössä käytettyjä kuvia tai videomateriaalia. Ennen julkaisemista kuvat ja videot käyvät läpi prosessin, jonka aikana niiden sisältämät henkilötiedot poistetaan tai anonymisoidaan. Henkilötietoja sisältäviä kuvia tai videoita ei julkaista tai muutoin saateta yleisön saataviin.

Tietoja saatetaan luovuttaa hakijan konserniyhtiöille ja näiden käyttämille Euroopan talousalueella sijaitseville henkilötietojen käsittelijöille. Mikäli henkilötietoja käsitellään käsittelijän toimesta, hakija toteuttaa tarpeelliset sopimusjärjestelyt ja organisatoriset toimenpiteet tietojen turvallisen käsittelyn varmistamiseksi.

Tietoturvatoimet

Hakija noudattaa tiukkoja tietoturvatoimia suojatakseen tietoja luvattomalta pääsyltä, muuttamiselta, luovuttamiselta tai tuhoamiselta. Turvatoimet sisältävät esimerkiksi säännölliset hakijan sisäiset tarkastuksen liittyen tiedon keräämiseen, säilyttämiseen ja käsittelytoimenpiteisiin sekä fyysisiin turvatoimiin, joiden tarkoituksena on estää luvaton pääsy hakijan tiloihin ja laitteisiin.

Hakijan ajoneuvoja operoivat hakijan työntekijät tai sen kanssa sopimussuhteessa olevat alihankkijat. Kun tieto on siirretty testiympäristöön, siihen on pääsy vain rajoitetulla määrällä hakijan valtuuttamia työntekijöitä, jotka on koulutettu käsittelemään henkilötietoja asianmukaisesti. Hakijan käytännesäännöt sekä sisäiset ohjeet sisältävät kaikkia hakijan työntekijöitä sitovia yksityisyyttä ja tietosuojaa koskevia vaatimuksia. Lisäksi hakijalla on käytössään asianmukaiset laitteisto- ja ohjelmistoturvatoimenpiteet kuten pääsynhallinnan, lukot, hälyttimet ja palomuurit.

Yksityisyyden suoja ja hakijan oikeutettu etu

Hakija tiedostaa tietosuojalautakunnan ottaneen aikaisemmassa ratkaisussaan kannan, jonka mukaan kuvat tunnistettavista henkilöistä ja luettavissa olevista ajoneuvojen rekisterikilvistä voidaan tietyissä tilanteissa katsoa henkilötietolain 3 §:n mukaisiksi henkilötiedoiksi. Vaikka tällaisten kuvien ja videomateriaalien kerääminen ei ole hakijan tutkimus- ja kehittämistyön päätavoitteena tai tarkoituksena, hakija saattaa kerätä ja käsitellä kuvia tai videomateriaalia luonnollisista henkilöistä ja ajoneuvojen rekisterikilvistä. Henkilötietolain 8 §:n mukaan sikäli kuin näitä tietoja pidetään henkilötietoina, tällainen käsittely edellyttää tietosuojalautakunnan lupaa.

Siltä osin kun kyseisten kuvien ja videoiden katsotaan olevan tai sisältävän henkilötietoja, hakija kerää ja käsittelee niitä vain siinä määrin, kun se ei voi sitä välttää voidakseen toteuttaa itseohjautuvien autojen tekoälyyn liittyvää tutkimus- ja kehitystyötään. Hakija säilyttää henkilötietoja vain niin kauan, kun se on tarpeen annotaatioprosessin, testiympäristöjen luomisen ja koeajojen arvioimisen kannalta. Hakija säilyttää ja käsittelee kuvia ja videomateriaalia, jota ei ole puhdistettu henkilötiedoista annotaatiotarkoituksessa enintään kuitenkin viisi vuotta. Kuten hakemuksessa on kuvattu, tekoälyn parhaan koneellisen oppimisen takaamiseksi tässä vaiheessa käytettävää materiaalia ei voida puhdistaa henkilötiedoista. Joka tapauksessa henkilötietoja käsitellään vain niin kauan, kuin se on tarpeen edellä mainittujen käsittelytarkoitusten täyttämiseksi, minkä jälkeen henkilötiedot poistetaan lopullisesti.

Testiympäristöjen lopulliset versiot on puhdistettu henkilötiedoista. Mikäli hakija julkaisee kuvia tai videomateriaalia demonstraatiotarkoituksessa, poistetaan niistä kaikki tunnistettaviin tai tunnistettavissa oleviin henkilöihin liittyvät ja muut mahdollisesti henkilötiedoiksi katsottavat tiedot.

KUULEMINEN

Tietosuojavaltuutetun lausunto 6.7.2017

Yleistä

Tietosuojalautakunta on varannut tietosuojavaltuutetulle mahdollisuuden antaa lausuntonsa hakijan lupahakemuksesta. Tietosuojavaltuutettu on antanut asiassa lausunnon.

Hakemuksesta saadun käsityksen perusteella sekä annotaatiovaiheessa että ohjelmiston testivaiheessa käsiteltäisiin henkilötietoja. Hakemuksen perusteella raakadata anonymisoitaisiin siinä vaiheessa, kun se siirretään lopulliseen testiympäristöön. Hakijan selityksen mukaan se voi myös julkaista kehittämistyössä käytettyjä kuvia ja videomateriaalia, jotka eivät sisällä henkilötietoja. Hakemuksessa ei ole tarkemmin eritelty niitä anonymisointimenetelmiä tai -tekniikoita, joita käyttämällä henkilötietoja ei voitaisi kohtuullisesti käytettävissä olevien keinojen avulla tunnistaa tiettyä henkilöä tai henkilöitä koskeviksi. Keskeistä on myös anonymisoinnin peruuttamattomuus.

Sovellettavien säännösten osalta tietosuojavaltuutettu toteaa, että henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn on oltava asianmukaista rekisterinpitäjän toiminnan kannalta. Käsittelyn tarkoitus on määriteltävä niin, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään. Henkilötietolain 7 §:n mukaan henkilötietoja ei saa myöhemmin käsitellä yhteensopimattomalla tavalla ennen tietojen keräämistä määritellyn käsittelyn tarkoituksen kanssa.

Henkilötietolain 9 §:n 1 momentin mukaan käsiteltävien henkilötietojen tulee lisäksi olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia. Henkilötietolain 29 §:n 1 momentin mukaan rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta muun muassa poistettava rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto.

Käsittelyn tarkoitus ja siihen liittyvä tosiasiallinen tarve käsitellä henkilötietoja on määriteltävä nimenomaisesti niin, että sen pohjalta pystytään arvioimaan esimerkiksi yhteensopivan myöhemmän käsittelyn ala sekä, kuinka kauan henkilötietoja on tarpeellista käsitellä tämän tarkoituksen toteuttamiseksi. Käsittelyn tarkoituksen määrittelyn tarkkarajaisuudella on vaikutusta myös arvioitaessa rekisterinpitäjän oikeutetun edun suhdetta rekisteröidyn yksityisyyden suojaan aiheutuviin vaikutuksiin henkilötietolain 43 §:n 1 momentissa tarkoitetulla tavalla. Rekisterinpitäjän oikeutetun edun punninnassa tulee kiinnittää huomiota esimerkiksi siihen, onko olemassa vähemmän rekisteröidyn yksityisyyteen puuttuvia keinoja saavuttaa käsittelyn määritelty tarkoitus ja toteuttaa rekisterinpitäjän oikeutettu etu. Tarpeellisuusvaatimuksen toteutumista on tarkasteltava koko henkilötietojen käsittelyn elinkaaren ajan.

Näin ollen tietosuojalautakunnan tulisi kiinnittää hakijan huomiota siihen, että henkilötietoja tulee käsitellä vain niin kauan kuin se on tarpeellista käsittelyn tarkoituksen täyttämiseksi.

Tietojen luovuttaminen kolmansille

Hakemuksessa hakija on todennut, että ”tietoja saatetaan luovuttaa hakijan konserniyhtiöille ja näiden käyttämille Euroopan talousalueella sijaitseville henkilötietojen käsittelijöille”. Hakemuksen pohjalta epäselväksi jää, mitä tietoja hakija saattaa luovuttaa hakijan konserniyhtiöille eli sisältävätkö mahdollisesti luovutettavat tiedot henkilötietoja.

Muita huomiota

Tietosuojavaltuutettu kiinnittää huomiota siihen, ettei hakemuksesta käy yksiselitteisesti ilmi, kuinka maantieteellisesti laaja-alaisesta kuvaamisesta on kyse.

Hakemuksessa kuvatun henkilötietojen käsittelyn osalta tietosuojavaltuutettu kiinnittää erityisesti huomiota henkilötietojen suojaamista koskeviin teknisiin ja organisatorisiin toimenpiteiden merkitykseen rekisteröityjen henkilötietojen suojan ja yksityisyyden suojan toteutumisessa. Hakija ei ole hakemuksessaan tarkemmin erotellut teknisiä suojatoimia, eikä niiden riittävyyttä voida näin ollen arvioida hakemuksen perusteella. Hakija kuitenkin selityksensä perusteella noudattaa tiukkoja tietoturvatoimia suojatakseen tietoja luvattomalta pääsyltä, muuttamiselta, luovuttamiselta ja tuhoamiselta, joka pitää sisällään henkilöstön kouluttamisen sekä asianmukaiset laitteisto- ja ohjelmistoturvatoimenpiteet. Rekisterinpitäjä vastaa näiden toimenpiteiden asianmukaisuudesta ja riittävyydestä.

Yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen. Tämä ajankohdan jälkeen henkilötietolain 8 §:ssä säädettyjen käsittelyn oikeusperusteiden sijaan sovelletaan yleisen tietosuoja-asetuksen 6 artiklassa säädettyjä käsittelyn oikeusperusteita. Tästä syystä mahdollinen lupa tulisi myöntää määräaikaisena niin, että se on voimassa 25.5.2018 asti.

Hakijan selitys tietosuojavaltuutetun lausunnon johdosta 26.7.2017

Tietosuojalautakunta on varannut hakijalle mahdollisuuden antaa selityksensä tietosuojavaltuutetun lausunnon johdosta. Hakija on antanut asiassa selityksen.                

Käsittelyn tarkoitus

Hakija kehittää ensiluokkaista ja innovatiivista tekoälyä autoteollisuusalalle. Sillä on tällä hetkellä toimipisteet Unkarissa, Yhdysvalloissa, Japanissa sekä Suomessa. Keskeinen osa tutkimus- ja kehittämistyötä on maantieteellisen tiedon ja visuaalisen materiaalin kerääminen ympäristöstä tekoälyn opettamiseksi ja optimoimiseksi. Infrastruktuurin paikallisten eroavaisuuksien johdosta maantieteellisen tiedon kerääminen eri maiden alueilta on ensiarvoisen tärkeää.

Hakijan hakemuksessa kuvaama henkilötietojen käsittely on tarpeellista tekoälyn opettamiseksi. Tekoälyn käyttäminen itseohjautuvissa ajo-ohjelmistoissa on välttämätön osa autoteollisuuden kehitystä. Tekoälyn opettaminen käyttämällä reaalimaailman olosuhteista kerättyä raakadataa on pakollista ohjelmistojen kehittämiseksi ja erityisesti ohjelmistojen turvaominaisuuksien varmistamiseksi. Näin ollen raakadatan kerääminen ja käsitteleminen tekoälyn opettamista varten on välttämätöntä autoteollisuudessa ja erityisesti yhteiskunnallisesti merkittävien tekoäly- ja ohjelmistokomponenttien kehittämisen kannalta. Hakija korostaa, että hakemuksen mukaisen kuvaustoiminnan tuloksena kerättyä henkilötietoa ei tulla käyttämään muihin tarkoituksiin kuin tekoälyn opettamiseen ja siihen liittyvään kehittämis- ja tutkimustarkoitukseen.

Hakija käyttäisi raakadataa tekoälyn opettamiseen sekä ohjelmistokehitykseen enintään viiden vuoden ajan. Tämä johtuu siitä, että hakijan suorittama tekoälyn ja ohjelmiston kehitys on varhaisessa vaiheessa. Ohjelmistokehitystoiminnan luonteen vuoksi se vaatii yleisesti ottaen jatkuvaa versioiden kehitystä ja päivityksiä ohjelmistoon, mikä saattaa joissakin tapauksissa vaatia alun perin kerätyn raakadatan käsittelyä ja käyttöä ohjelmistojen jatkokehittämistä varten. Raakadataa käsiteltäisiin kuitenkin myös tässä tapauksessa yksinomaan itseohjautuviin autoihin liittyvien ohjelmistojen kehittämistarkoituksessa. Näin ollen kuvaustoiminnan yhteydessä kerättäviä henkilötietoja ei käytetä muihin tarkoituksiin.

Hakija kerää ja muutoinkin käsittelee henkilötietoja vain siinä laajuudessa, kun se ei voi välttää henkilötietojen käsittelyä toteuttaessaan tekoälyyn ja ohjelmistoon liittyvää tutkimus- ja kehittämistyötä. Tutkimus- ja kehittämistyötä ei toisin sanoen voida toteuttaa ilman hakemuksessa tarkoitettua henkilötietojen käsittelyä. Henkilötietojen käsittely on rajoitettu siihen, mikä on tarpeellista tekoälyn opettamista ja ohjelmistojen kehittämistä varten. Henkilötietoja ei käsitellä sen jälkeen, kun edellä mainitut käsittelyn tarkoitukset ovat täyttyneet. Kun käsittelyn tarkoitus on täytetty, kaikki tallennusten yhteydessä kerätyt henkilötiedot poistetaan pysyvästi.

Henkilötietojen siirtäminen

Hakija on kuvannut hakemuksessaan, että tietoja voidaan mahdollisesti siirtää hakijan kanssa samaan konserniyhtiöön kuuluville yhtiöille sekä kolmansille osapuolille käsittelyä varten. Tietosuojavaltuutettu on lausunnossaan huomauttanut, että on epäselvää, sisältävätkö siirretyt tiedot henkilötietoja. Hakija selventää, että se ei tule siirtämään mitään henkilötietoja sisältävää raakadataa kolmansille osapuolille tai hakijan tytäryhtiöille.

Henkilötietojen anonymisointi

Hakija kehittää ohjelmiston testaamista varten testiympäristön, jossa ohjelmistoa voidaan testata realistisissa olosuhteissa. Simuloitu testiympäristö rakennetaan käyttämällä raakadataa vain simuloidun ympäristön rakentamiseen oikeiden kuvien pohjalta. Raakadataa ei siirretä simuloituun ympäristöön. Hakija analysoi kuvia, ottaa mittoja ja tekee vastaavia toimenpiteitä rakentaessaan simuloitua ympäristöä. Henkilötietoja ei syötetä simuloituun ympäristöön, eikä simuloitu ympäristö sisällä henkilötietoja. Simulaatioympäristön ja kehitystoiminnan yhteydessä käytettäviä henkilötietoja sisältäviä kuvia ja videoita ei julkaista tai muutoin saateta yleisön saataviin.

Hakija voi ajoittain julkaista tutkimus- ja kehittämistyössä käytettyjä kuvia tai videoita demonstraatiotarkoituksissa. Kyseiset kuvat ja videot julkaistaan ainoastaan demonstraatiotarkoituksissa, mutta tässä tapauksessa käytetään ainoastaan sumennettuja kuvia ja videoita taikka sellaisia kuvia ja videoita, joista henkilötiedot on kokonaan poistettu.

Ennen julkaisemista julkaistavat kuvat ja videot käyvät läpi prosessin, jossa kaikki henkilötiedot poistetaan tai anonymisoidaan pysyvästi. Anonymisointi tehdään poistamalla kaikki materiaali, joka sisältää henkilötietoja tai sumentamalla kuvat ja videot siltä osin, kun ne sisältävät henkilötietoja. Julkaistavan materiaalin määrä on rajoitettu, ja sumentaminen tehdään manuaalisesti. Ennen materiaalin julkaisemista hakija varmistaa, että kaikki henkilötiedot on pysyvästi poistettu tai anonymisoitu sumentamalla ne julkaistavista materiaaleista. Materiaalin sumentaminen tehdään pysyvällä tavalla. Näin ollen henkilötietoja ei voida palauttaa julkaistuihin materiaaleihin, eikä julkaistuja materiaaleja voida takaisinmallintaa niin, että poistetut henkilötiedot voitaisiin palauttaa.

Kuvaustoiminnan maantieteellinen ulottuvuus

Tietosuojavaltuutettu on huomauttanut, että hakemuksesta ei yksiselitteisesti käy ilmi, kuinka laaja-alaisesta kuvaamisesta on maantieteellisesti kyse. Tähän liittyen hakija huomauttaa, että kuvauksia toteutettaisiin julkisilla teillä Suomessa sekä rajoitetusti yksityisillä teillä, mikäli tähän on saatu vaadittu suostumus. Kuvaamistoiminnan maantieteellinen ulottuvuus on koko Suomen alue.

Hakijan toteuttamat turvatoimenpiteet

Kuten hakemuksessa on todettu, noudattaa hakija tiukkoja tietoturvatoimia suojatakseen tietoja luvattomalta pääsyltä, muuttamiselta, luovuttamiselta sekä tuhoamiselta. Hakija on implementoinut sekä teknisiä että organisatorisia toimenpiteitä suojatakseen henkilötietoja. Nämä toimenpiteet sisältävät esimerkiksi tekniset ja fyysiset pääsyoikeuksien rajoitukset, hakijan sisäiset tarkastukset liittyen tietojen keräämiseen, säilyttämiseen ja käsittelyyn, sekä hakijan sisäiset säännöt ja ohjeistukset koskien kaikkea henkilötietojen käsittelyä.

Hakija on lisäksi implementoinut asianmukaiset laitteisto- ja ohjelmistoturvatoimet, kuten esimerkiksi pääsyoikeuksien rajoitukset, lukot, hälytykset ja palomuurit. Henkilötietoja säilytetään ja käsitellään hakijan pääkonttorilla Unkarissa. Henkilötietoja säilytetään suojatuilla palvelimilla, jotka on suojattu pääsyoikeusrajoituksilla.

Luvan voimassaolo

Tietosuojavaltuutettu on huomauttanut, että EU:n yleistä tietosuoja-asetusta (EU 2016/679) sovelletaan 25.5.2018 alkaen ja että mahdollinen hakijalle myönnettävä lupa tulisi siten myöntää määräaikaisena mainittuun päivämäärään asti. EU:n yleisen tietosuoja-asetuksen mukaan rekisterinpitäjä voi käsitellä henkilötietoja oikeutetun edun nojalla silloin, kun käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut.

Näin ollen hakija hyväksyy mahdollisen luvan määräaikaisen voimassaolon ja pyrkii lupahakemuksellaan varmistamaan, että henkilötietojen alkuperäinen kerääminen ja käsitteleminen on voimassaolevan lainsäädännön mukaista.

TIETOSUOJALAUTAKUNNAN PÄÄTÖKSEN PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain 3 §:n 1 momentin 1 kohdan mukaan henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Lain 3 §:n 1 momentin 3 kohdan mukaan henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.

Henkilötietolain 4 §:n 1 momentin mukaan henkilötietolakia sovelletaan sellaiseen henkilötietojen käsittelyyn, jossa rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. 

Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Henkilötietolain 7 §:n mukaan henkilötietoja saa käyttää tai muutoin käsitellä vain tavalla, joka ei ole yhteensopimaton 6 §:ssä tarkoitettujen käsittelyn tarkoitusten kanssa.

Henkilötietolain 8 §:n 1 momentissa säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Lainkohdan 9 kohdan mukaan henkilötietoja saa käsitellä, jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Henkilötietolain 9 §:n mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Henkilötietolain 43 §:n 1 momentin mukaan tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn, jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa taikka yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Pykälän 3 momentin mukaan lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset. Määräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on tarpeen.

Luvan tarve

Henkilötietodirektiivin 95/46/EY 4 artiklan 1 kohdan a alakohdan mukaan kunkin jäsenvaltion on sovellettava henkilötietojen käsittelyyn kansallisia säännöksiä, jotka se antaa kyseisen direktiivin mukaisesti, jos käsittely suoritetaan kyseisen jäsenvaltion alueella sijaitsevassa rekisterinpitäjän toimipaikassa tapahtuvan toiminnan yhteydessä. Jos sama rekisterinpitäjä on sijoittautunut usean jäsenvaltion alueelle, sen on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että kussakin toimipaikassa noudatetaan sovellettavan kansallisen oikeuden mukaisia velvoitteita. Henkilötietolakia sovelletaan sellaiseen henkilötietojen käsittelyyn, jossa rekisterinpitäjän toimipaikka on Suomen alueella.

Henkilötietodirektiivin 4 artiklan 1 kohdan a alakohtaa on Euroopan unionin tuomioistuimen oikeuskäytännön valossa tulkittava siten, että sen nojalla on mahdollista soveltaa henkilötietojen suojaa koskevaa lainsäädäntöä, joka on muun jäsenvaltion lainsäädäntö kuin sen, jossa näiden tietojen rekisterinpitäjä on rekisteröity, mikäli rekisterinpitäjä harjoittaa kyseisen valtion alueella olevan kiinteän toimipaikan välityksin aitoa ja todellista, vaikka vähäistäkin, toimintaa, jonka yhteydessä tämä tietojenkäsittely suoritetaan. Esimerkiksi pelkkä yksittäinen edustaja voidaan katsoa toimipaikaksi, jos edustajan läsnäolo jäsenvaltiossa on riittävän pysyvää. Sovellettava kansallinen lainsäädäntö ei määräydy sen paikan mukaan, jonne tiedot lähetetään tai jossa ne sijaitsevat, vaan keskeistä on sen tavanomaisen toiminnan luonne ja tapahtumapaikka, jonka yhteydessä tietoja käsitellään.

Hakija on unkarilainen yhtiö, jolla on toimipaikka myös Suomessa. Hakija on keräämässä henkilötietoja Suomessa hakemuksessa kuvattuja tarkoituksia varten. Hakijalle muodostuu näin ollen Suomeen henkilötietolain 4 §:n 1 momentin mukainen toimipaikka sen kerätessä henkilötietoja Suomessa hakemuksessa kuvatulla tavalla, ja käsittelyyn sovelletaan siten henkilötietolakia.

Hakemuksessa kuvatussa toiminnassa on väistämättä käsiteltävä henkilötietoja, sillä yleisessä liikenteessä ei ole mahdollista suorittaa kuvaamista ilman, että kuvissa tai videomateriaalissa esiintyisi henkilötietoja kuten ihmisten kasvoja tai ajoneuvojen rekisteritunnuksia.

Hakija on kertonut keräävänsä hakemuksessa tarkoitetut tiedot ajoneuvoilla, joihin on kiinnitetty kameralaitteistot. Ajoneuvot ajavat julkisilla teillä tai rajoitetussa määrin yksityisomistuksessa olevilla alueilla silloin, kun hakija on saanut tähän asianmukaisen suostumuksen. Tällaiseen toimintaan eivät sovellu henkilötietolain 2 §:ssä määritellyt soveltamisalan rajaukset eivätkä myöskään muut henkilötietolain 8 §:n 1 momentissa säädetyt henkilötietojen käsittelyn yleiset edellytykset. Näin ollen henkilötietojen käsittely hakijan kuvaamalla tavalla edellyttää henkilötietolain 43 §:n 1 momentin mukaista tietosuojalautakunnan lupaa.

Luvan myöntämisen edellytykset

Henkilötietolain 43 §:n mukaan tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn muun muassa silloin, kun käsittely on tarpeen rekisterinpitäjän oikeutetun edun toteuttamiseksi edellyttäen, ettei tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Tällainen lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset.

Hakija on riittävällä tarkkuudella kuvannut ne tarkoitukset, joita varten tietoja käsitellään. Käsittelyn tarkoituksena ei ole henkilötietojen kerääminen tai julkaiseminen. Käyttötarkoitusten toteuttaminen kuvaamalla yleisessä liikenneverkossa ei kuitenkaan ole mahdollista ilman, että henkilötietoja käsitellään. Hakijan tekoälyn tutkimus- ja kehittämistarkoituksiin tapahtuvan henkilötietojen käsittelyn osana itseohjautuviin autoihin liittyvien teko-älysovellusten ja -järjestelmien tutkimusta ja kehittämistä voidaan tapauksessa katsoa olevan hakijan oikeutetun mukaista.

Hakija on hakemuksessaan ja toimittamassaan lisäselvityksessä esittänyt toimenpiteitä, joilla henkilöiden yksityisyyden suojan toteutumisesta on tarkoitus huolehtia. Nämä toimenpiteet ja edellä esitetyt lupamääräykset huomioon ottaen tietojen käsittely ei vaaranna henkilön yksityisyyden suojaa ja oikeuksia.

Lupamääräykset

Lautakunta on liittänyt päätökseen edellä esitetyt lupamääräykset, joiden tarkoituksena on turvata rekisteröityjen yksityisyyden suojaa.

Luvan voimassaolo

EU:n uusi yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) on tulossa sovellettavaksi jäsenvaltioissa 25.5.2018. Asetusta on sovellettava sellaisenaan kaikissa jäsenvaltioissa. Yleisen tietosuoja-asetuksen myötä henkilötietojen käsittelyn oikeusperusta ja valvontaviranomaisten toimivalta tulevat Suomessa muuttumaan. Näin ollen tietosuojalautakunta pitää perusteltuna luvan myöntämistä määräaikaisena siten, että luvan voimassaolo päättyy viimeistään, kun tietosuoja-asetus tulee sovellettavaksi.

SOVELLETUT SÄÄNNÖKSET     

Henkilötietolaki (523/1999) 3 §:n 1 momentin 1 ja 3 kohta, 4 §:n 1 momentti, 5 §, 6 §, 7 §, 8 §, 9 ja 43 §


Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Ahti Saarenpää, Lea Mäntyniemi, Eila Ratasvuori, Pertti Saloranta, Tuula Sario ja Hannu Rautiainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.