Henkilötietojen käsittelyn vaikutustenarviointi, käsittelyperuste ja rekisteröityjen informointi
- Asiasanat
- Turvakameravalvonta, Informointi, Henkilötietojen käsittely, Vaikutustenarviointi
- Tapausvuosi
- 2020
- Antopäivä
- Diaarinumero
- 8393/161/2019
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
ASIA
Taksi Helsinki Oy:n (myöhemmin rekisterinpitäjä) henkilötietojen käsittelyn yleisen tietosuoja-asetuksen mukaisuus koskien erityisesti
• Rekisterinpitäjän taksiautoissa harjoittamaaturvakameravalvontaa lainmukaisuuden ja tietojen minimoinnin näkökulmasta
• Henkilötietojen käsittelyn läpinäkyvyyttä
• Henkilötietojen käsittelyyn osallistuvien toimijoiden roolien määrittämistä
• Rekisterinpitäjän velvollisuutta laatia seloste käsittelytoimista, sekä
• Rekisterinpitäjän velvollisuutta laatia tietosuojaa koskeva vaikutustenarviointi.
Tietosuojavaltuutetun toimisto on alkanut tutkia asiaa oma-aloitteisesti sen jälkeen, kun se on saanut asiaan liittyvän nimettömän ilmoituksen. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä henkilötietojen käsittelystä 13.11.2019. Rekisterinpitäjä antoi vastauksensa selvityspyyntöön määräajassa 12.12.2019. Rekisterinpitäjääon pyydetty täydentämään selvitystä 6.2.2020. Rekisterinpitäjä toimitti pyydetyn täydennyksen samana päivänä. Tietosuojavaltuutetun toimisto on pyytänyt lisäselvitystä ja varannut rekisterinpitäjälle tilaisuuden tulla kuulluksi 13.2.2020. Rekisterinpitäjä vastasi lisäselvityspyyntöön ja kuulemiseen määräaikaan mennessä 6.3.2020. Rekisterinpitäjää pyydettiin täydentämään lisäselvitystään 16.4.2020. Pyydetty täydennys vastaanotettiin 21.4.2020.
Asiaa on lisäksi selvitetty tutustumallarekisterinpitäjän verkkosivuilla, mobiilisovelluksessa ja muissa yleisesti saatavilla olevista lähteistä ilmeneviin tietoihin.Tietosuojavaltuutetun toimisto on pyytänyt asiassaselvitystä rekisterinpitäjän palveluntarjoajalta 9.4.2020, mutta selvityspyyntöön ei ole vastattu.
APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS ASETUSTEN VASTAISUUDESTA JA HÄNEN TOIMINTALTAANSA KUULUVIEN KORJAAVIEN TOIMIVALTUUKSIEN KÄYTÖSTÄ
Rekisterinpitäjältä saatu selvitys
1. Turvakameravalvonnan lainmukaisuus
Rekisterinpitäjä on esittänyt selvityksessään, että se huolehtii yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a-alakohdan mukaisen lainmukaisuusperiaatteen toteutumisen dokumentoimalla kaikki käyttötarkoitukset ja niiden oikeusperusteet. Rekisterinpitäjän mukaan vastuuhenkilö vastaa suoritetun käsittelyn vastaavuudesta käyttötarkoitukseen ja oikeusperusteeseen. Edelleen suostumukseen ja oikeutettuun etuun perustuvasta käsittelystä rekisterinpitäjä esittää dokumentoivansalisäksi oikeusperuste-ja prosessiarviot, jotka löytyvät muusta raportoinnista.
Rekisterinpitäjä on määritellyt kameravalvonnan ensisijaiseksi oikeusperusteeksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukaisen rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamisen. Oikeusperusteen tarpeellisuusvaatimuksen osalta rekisterinpitäjä esittää, että käsittely on tarpeen yhtäältä siksi, että taksinkuljettajan ja matkustajan oikeus henkilökohtaiseen turvallisuuteen pystytään varmistamaan sekä taksinkuljettajan työolojen turvaamiseksi. Toisaalta käsittely katsotaan tarpeelliseksi, kun käsittelyn tarkoituksena on vahinkotilanteiden ja turvallisuutta vaarantavien tilanteiden selvittäminen, jotta kolmas osapuoli voi toteuttaa oikeusvaateen esittämiseen taikka puolustamiseen liittyvät oikeutetut etunsa.
Oikeutettu etuoikeusperusteen soveltamiseen kuuluvan tasapainotestin osalta rekisterinpitäjä esittää, että se läpäisee sen selkeästi, mutta toteaa, ettei sitä ole ennen tätä vastausta laadittu tai dokumentoitu. Rekisterinpitäjän näkemyksen mukaan rekisterinpitäjän ja rekisteröityjen etujen välistä tasapainoa on joka tapauksessa arvioitu tietosuojalautakunnan 25.2.2002 tekemässä ratkaisussa, eikä rekisterinpitäjä ole tästä syystä katsonut, että erillisen lisädokumentaation laatimiselle olisi tarvetta.
Niin ikään rekisterinpitäjä esittää, että oikeustila sen osalta, millaista dokumentaatiota rekisterinpitäjältä tällaisessa tilanteessa edellytetään, on katsottava niin epäselväksi, ettei rekisterinpitäjältä ole voitu edellyttää tasapainotestin tekemistä dokumentoidusti. Lopuksi rekisterinpitäjä kuitenkin toteaa, että se tulee kuitenkin tekemään ja dokumentoimaan tasapainotestin ilman aiheetonta viivästystä kevään 2020 kuluessa sekä sitoutuu tarkastelemaan rekisterinpitäjän ja rekisteröityjen etujen välistä tasapainoa säännöllisin väliajoin.
2. Henkilötietojen minimointi turvakameravalvonnan yhteydessä
Rekisterinpitäjä on esittänyt selvityksessään, että se huolehtii yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c-alakohdan mukaisesta tietojen minimointiperiaatteesta dokumentoimalla kaikki tietojärjestelmissä tai muualla säilömänsä henkilötiedot. Rekisterinpitäjä esittää, että se varmistaa, että sen hallussa ei ole tietovarantoja, joille se ei ole määrittänytvähintään yhtä käyttötarkoitusta. Niin ikään rekisterinpitäjän esittää, että vastuuhenkilö vastaa varastoitujen henkilötietojen vastaavuudesta ja kohtuullisuudesta suhteessa tietojen käyttötarkoituksiin.
Rekisterinpitäjä on todennut selvityksessään 12.12.2019 sekä sen liitteenä toimittamassa tallentavan kameravalvonnan tietosuojaselosteessa, että se käsittelee autoilijoiden, henkilökunnan ja autoilijoiden asiakkaiden henkilötietoja taksiautoissa kuvaa ja ääntä tallentavan kameravalvontajärjestelmän avulla. Vastauksessaan 6.3.2020 rekisterinpitäjä toteaa aikaisemmasta poikkeavasti, että se käsittelee pelkkiä kuvatietoja turvakameravalvontansa yhteydessä. Rekisterinpitäjä tuo esiin vastauksessaan, että äänitallennusominaisuudella varustettuja uusia turvakameroita asennettiin noin puoleen sen välityksen piiriin kuuluvista taksiautoista kesällä 2019. Niin ikään rekisterinpitäjä esittää vastauksessaan, että äänitietojen käsittelyssä on ollut kyse erehdyksestä, eikä sen tarkoituksena ole ollut koskaan käsitellä äänitietoja turvakameravalvonnan yhteydessä.
Rekisterinpitäjä on toimittanut vastauksensa liitteenä äänitallennusominaisuudella varustettujen turvakameroiden ohjeen, jonka mukaan äänitallennus (”Voice recording”) on tullut asennuksen yhteydessä asettaa pois päältä (”Off”).
Rekisterinpitäjä toteaa samassa vastauksessaan, että se on 20.12.2019 kutsunut välityksensä piirissä olleet autot huoltoon äänitallennuksen poiskytkemiseksi. Autoilijoiden on tullut käyttää taksiautonsa huollossa 15.1.2020 mennessä äänitallennuksen poistamiseksi sillä uhalla, että huoltokäynnin laiminlyönyt autoilija poistetaan taksikyytien välityksen piiristä. Edelleen rekisterinpitäjäon esittänyt, että huollon yhteydessä on varmistuttu siitä, että äänitallennus on kytketty pois päältä kaikista turvakameroista ja turvakameroihin on lisätty lisäosa tulevan käytön estämiseksi.
Tietosuojavaltuutetun toimisto on pyrkinyt selvittämään äänitallennusominaisuudella varustettujen kameroiden asennusta koskevien tietojen paikkansapitävyyttä rekisterinpitäjän palveluntarjoajalta, mutta ei ole saanut tätä koskevaan selvityspyyntöön vastausta.
Rekisterinpitäjän verkkosivuilla 13.11.2019 julkaistun tiedotteen mukaan sen autoissa on tallentava turvakamera, joista osa tallentaa ääntä ja kuvaa, osa pelkkää kuvaa. Samassa tiedotteessa rekisterinpitäjä toteaa, että turvakamera on autossa turvallisuuden takaamiseksi. Rekisterinpitäjän 15.11.2019 verkkosivuillaan julkaisemassa toisessa tiedotteessa rekisterinpitäjä toteaa, että sille on selvinnyt, että osassa kameroissa on äänitallennus päällä ja se poistetaan päältä. Tallentavan kameravalvonnan tietosuojaselosteessa rekisterinpitäjän verkkosivuilla todetaan vielä 25.5.2020, että henkilötietoja käsitellään autoissa kuvaa ja ääntä tallentavan kameravalvontajärjestelmän avulla.
Rekisterinpitäjä on määritellyt 12.12.2019 toimittamansa selvityksen liitteenä olevassa tallentavan kameravalvonnan tietosuojaselosteessa tallentavan turvakameravalvonnan yhteydessä toteutettavan henkilötietojen käsittelyn tarkoituksiksi välityksen piirissä olevien autoilijoiden ja kuljettajien omaisuuden suojaamisen, toimintaprosessien valvomisen, rikoksen kohteeksi joutumisen ennaltaehkäisyn sekä jo tapahtuneiden rikoksien ja vahinkotapahtumien selvittäminen välityksen piirissä olevissa autoissa niiden ja niiden läheisyydessä. Tiedotteessaan 13.11.2019 rekisterinpitäjä on ilmoittanut ääntä ja kuvaa, sekä osa pelkää kuvaa, tallentavien turvakameroiden tarkoitukseksi turvallisuuden takaamisen.
Käsittelyn tarkoituksiksi rekisterinpitäjä on maininnut myöhemmässä vastauksessaan 6.3.2020 taksinkuljettajan ja matkustajan turvallisuuden varmistamisen sekä vahinkotilanteiden ja turvallisuutta vaarantavien tilanteiden selvittämisen, sekä rekisterinpitäjän lakisääteisten velvoitteiden noudattamisen silloin, kun se luovuttaa kuvanauhoitteita poliisille.
3. Käsittelyn läpinäkyvyys
3.1. Käsittelyn läpinäkyvyys turvakameravalvonnan yhteydessä
Rekisterinpitäjän toimittaman selvityksen mukaan henkilötietojen käsittelyn läpinäkyvyydestä turvakameravalvonnan yhteydessä huolehditaan ensinnäkin autoihin sijoitetuilla ilmoituksilla tallentavasta turvakamerasta. Ilmoitus on sijoitettu taksiauton ulko- ja sisäpuolelle ja rekisterinpitäjän näkemyksen mukaan ilmoitusten avulla rekisteröity saa tiedon turvakameran olemassa olosta jo ennen autoon istumista ulkopuolella sijaitsevista ilmoituksista ja tarvittaessa myös sisäpuolelta.
Rekisterinpitäjän toimittamassa autoihin sekä ulko- että sisäpuolelle sijoitettavat ilmoitukset sisältävät pääasiassa taksikyydin hinnan muodostumiseen liittyvää tietoa. Ilmoituksen vasemmassa alareunassa on musta ilmoitusteksti koskien tallentavia turvakameroita: ”Autossa tallentava turvakamera. Rekisterinpitäjä Taksi Helsinki Oy. There is a surveillance camera in the car. The controller is Taksi Helsinki Oy.”
Taksiautoissa olevien ilmoitusten lisäksi rekisterinpitäjän verkkosivuilla on saatavilla rekisterinpitäjän yleinen tietosuojaseloste sekä sitä tarkentava tietosuojaseloste koskien tallentavaa kameravalvontaa. Tallentavan kameravalvonnan osalta tallentavan kameravalvonnan tietosuojaselosteessa määritellään
• Henkilötietojen käsittelyn tapahtuvan rekisterinpitäjän tilausvälitysjärjestelmän piirissä olevien autojen kuvaa ja ääntä tallentavan kameravalvontajärjestelmän avulla
• Rekisteröityjen ryhmät
• Käsittelyn tarkoitukset
• Käsittelyn oikeusperuste
• Rekisterinpitäjän oikeutetut edut, kun käsittely perustuu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohtaan
• Käsiteltävät henkilötiedot
• Tieto autoihin sijoitetuista turvakameravalvontaa koskevista ilmoituksista
• Tieto niistä rekisterinpitäjän palveluksessa olevista toimijoista, jotka saavat käsitellä kyseisiä henkilötietoja
• Tieto henkilötietojen vastaanottajista.
Muilta osin turvakameravalvontaa koskeva tietosuojaseloste viittaa rekisterinpitäjän yleiseen tietosuojaselosteeseen. Yleisessä tietosuojaselosteessa tiedotetaan henkilötietojen käsittelystäsiltä osin, kun kyseiset tiedot eivät selviä turvakameravalvontaa koskevasta tarkentavasta tietosuojaselosteesta. Tällaisia yleisen tietosuoja-asetuksen 12 ja 13 artiklan edellyttämiä ja rekisterinpitäjän yleisestä tietosuojaselosteesta selviäviä tietoja ovat
• rekisterinpitäjän identiteetti ja yhteystiedot
• tietosuojavastaavan yhteystiedot
• henkilötietojen säilytysaikaa koskevat määrittelykriteerit
• rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen
Lisäksi rekisterinpitäjän yleisestä tietosuojaselosteesta selviää tiedot henkilötietojen luovuttamisesta Euroopan talousalueen ulkopuolelle sekä oikeus peruuttaa suostumus, milloin henkilötietojen käsittely perustuu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a-alakohtaan.
Turvakamerailmoitusten ja tietosuojaselosteiden lisäksi rekisterinpitäjäon tiedottanut kameravalvonnan yhteydessä tapahtuvasta henkilötietojen käsittelystä verkkosivuillaan kahdessa tiedotteessaan: Tietoa Taksi Helsingin taksien turvakameroista -tiedotteessa, joka on julkaistu 13.11.2019 sekä Äänitallennus poistetaan kaikistaTaksi Helsinki Oy:n välityksessä olevien taksien turvakameroista -tiedotteessa, joka on julkaistu 15.11.2019.
Rekisterinpitäjä on 13.11.2019 julkaistussa tiedotteessa kuvaillutturvakameroista nousseiden kysymysten myötä henkilötietojen käsittelyä seuraavasti:
1. Taksi Helsingin autoissa on tallentava turvakamera. Osa kameroista tallentaa ääntä ja kuvaa, osa pelkkää kuvaa.
2. Turvakamerat ovat automaattisia ja jatkuvatallenteisia, jossa uusi tiedosto tallentuu vanhan päälle. Tallenteet säilyvät kamerasta riippuen muutaman päivän ajan.
3. Turvakamera on autossa turvallisuuden takaamiseksi eikä nauhoitteita pureta tai käydä läpi kuin erityistilanteissa, kuten rikosepäilyissä.
4. Turvakameran tiedot puretaan ainoastaan viranomaisten pyynnöstä.
5. Taksi Helsinki on huolehtinut GDPR:n mukaisesti, että asiakkaan tiedot ovat suojattu.
6. Tietosuojaselosteet löytyvät nettisivuiltamme osoitteesta www.taksihel-sinki.fi/taksi-helsinki-oy/tietosuojaselosteet/
Tämän lisäksi rekisterinpitäjä pahoittelee, ettei se ole ilmoittanut tarpeeksi selkeästi tallentavansa turvakameroissa kuvan lisäksi ääntä ja kertoo, että turvakamera on autossa vain asiakkaiden ja kuljettajien turvallisuuden takaamiseksi. Lisäksi rekisterinpitäjä esittää tiedotteessaan, että kameroiden asentamisessa on huomioitu EU:n tietosuoja-asetus ja tietosuojalautakunnan 2001 tekemä päätös.
Rekisterinpitäjän ylläpitämiin tietosuojaselosteisiin nähden rekisterinpitäjän 13.11. julkaisema tiedote tarkentaa, että turvakamerat ovat automaattisia ja jatkuvatallenteisia, joissa uusi tiedosto tallentuu vanhan päälle ja että tallenteet säilyvät kamerasta riippuen muutaman päivän ajan. Niin ikään tiedote lisää tietosuojaselosteisiin nähden, että turvakameran tiedot puretaan ainoastaan viranomaisen pyynnöstä ja että rekisterinpitäjä on huolehtinut GDPR:n mukaisesti, että asiakkaan tiedot on suojattu.
Rekisterinpitäjä ilmoittaa 15.11.2019 julkaisemassaan tiedotteessa, että äänitallennus poistetaan rekisterinpitäjän välityksessä olevista takseista.
Rekisterinpitäjän julkaisemien tiedotteiden verkkosivujen alapalkissa on linkki tietosuojaselosteet -sivulle, josta löytyvät edelleen linkit rekisterinpitäjän yleiseen tietosuojaselosteeseen sekä turvakameravalvonnan tietosuojaselosteeseen.
3.2. Käsittelyn läpinäkyvyys kanta-asiakasohjelman yhteydessä harjoitettavasta automaattisesta päätöksenteosta
Rekisterinpitäjä harjoittaa kanta-asiakasohjelmansa yhteydessä automaattista päätöksentekoa, mukaan lukien profilointi.
Rekisterinpitäjän selvityksen mukaan se informoi kanta-asiakasohjelman yhteydessä tehtävästä automaattisesta päätöksenteosta tietosuojaselosteidensa ja erillisten julkaisemiensa ilmoitusten avulla. Erillisillä ilmoituksilla rekisterinpitäjä viittaa ilmoitukseen rekisterinpitäjän mobiilisovelluksessa, sekä verkkosivuilla julkaisemiinsa ilmoituksiin koskien kanta-asiakasohjelman lanseerausta sekä itse kanta-asiakasohjelmaansa.
Rekisterinpitäjä on toimittanut selvityksensä liitteenä 12.12.2019 verkkosivuillaan julkaistut, edellä kuvatun, yleisen tietosuojaselosteen sekä sitä tarkentavan markkinointi- ja asiakasrekisterin tietosuojaselosteen, jotka molemmat koskevat asiakkaiden ja potentiaalisten asiakkaiden henkilötietojen käsittelyä.
Yleistä tietosuojaselostetta tarkentava tietosuojaseloste koskee henkilötietojen käsittelyä erityisesti rekisterinpitäjän verkkosivujen, rekisterinpitäjän sovelluksen sekä suoramarkkinoinnin yhteydessä. Siinä ei ole eritelty kanta-asiakasohjelman yhteydessä käsiteltäviä henkilötietoja tai sen siihen kuuluvaa automaattista päätöksentekoa.
Rekisterinpitäjän yleisessä tietosuojaselosteessa automaattista päätöksentekoa koskien kerrotaan, että markkinointi-, tuote- ja asiakasanalyyseihin saattaa liittyä profilointia ja että rekisterinpitäjällä on oikeutettu etu käyttää profilointia esim. markkinointitarkoituksissa tehtäviin asiakasanalyyseihin. Tietosuojaselosteessa on mainittu oikeus vastustaa käsittelyä rekisterinpitäjän oikeutetun edun perusteella. Rekisterinpitäjä on 6.3.2020 toimittamassaan vastauksessa tuonut esiin, ettei se ole ryhtynyt tietosuojaselosteella mainittuja asiakasanalyyseja koskevaan henkilötietojen käsittelyyn. Yleisessä tietosuojaselosteessa ei sen sijaan ole eritelty kanta-asiakasohjelmaa, sen oikeusperustetta eikä tietoa kanta-asiakasohjelman yhteydessä toteutettavasta automaattisesta päätöksenteosta, mukaan luettuna profilointi.
Rekisterinpitäjä kertoo 6.9.2018 julkaisemassaan lehdistötiedotteessa, että se julkaisee uuden kanta-asiakasohjelman, jonka myötä taksikyydin tilaajilla on kanta-asiakkaana, eli niin kutsuttuna VIP-asiakkaana, mahdollisuus päästä jonon ohi autoa tilatessa. Rekisterinpitäjä kertoo tiedotteessa, että kanta-asiakasohjelma avataan alkuun vain rekisterinpitäjän mobiilisovelluksen käyttäjille. Kanta-asiakasohjelman sisällöstä kerrotaan, että kyseisen VIP-asiakkuuden saavuttaa ajamalla 10 mobiilisovelluksella tilattua taksimatkaa 60 päivän aikana, ja että VIP asiakkuuden edut ovat voimassa vähintään kuukauden. Lisäksi kanta-asiakasohjelman kerrotaan otettavan käyttöön 10.9. sovelluspäivityksen myötä.
Rekisterinpitäjän kanta-asiakasohjelman verkkosivuilla kerrotaan, että kanta-asiakasohjelmaan pääsee käyttämällä säännöllisesti rekisterinpitäjän mobiilisovellusta tai tilaamalla taksin pääkaupunkiseudulla rekisterinpitäjän taksintilausnumerosta. Niin ikään rekisterinpitäjä kertoo, että kanta-asiakastasoja on kaksi: VIP ja SuperVIP.
VIP-asiakkaaksi pääsee tekemällä vähintään 10 puhelintilausta 60 päivän aikana. VIP-asiakkaiden puhelintilaukset etenevät siten, kun VIP-asiakas soittaa rekisterinpitäjän tilausnumeroon, tunnistaa järjestelmä VIP-asiakkuuden, minkä jälkeen asiakkaan puhelu priorisoidaan jonon kärkeen. SuperVIP-asiakkuuden saavuttaa tekemällä vähintään 10 sovellus-tai puhelintilausta 60 päivän aikana. SuperVIP-asiakkuus edellyttää rekisterinpitäjän mobiilisovellukseen rekisteröitymistä. Kerryttääkseen SuperVIP-asiakkuuden yhteydessä kanta-asiakaspisteitä puhelintilaukset on tehtävä samasta numerosta, joka on rekisteröity sovellukseen. Kuvauksessa kerrotaan niin ikään, että SuperVip-asiakkuuden yhteydessä oman kanta-asiakkuustilanteenpääsee tarkastamaan mobiilisovelluksen kohdasta ”omat tietoni” ja että tieto SuperVIP-asiakkaan tilauksesta tulee näkyviin autossa tilauksen yhteydessä sekä sovellus-että puhelintilauksista. Molempien kanta-asiakkuustasojen kuvauksessa kerrotaan, että kanta-asiakuuden myötä puhelut tai puhelut ja taksitilaukset menevät aina jonon ohi myös ruuhka-aikana.
Lisäksi kanta-asiakasohjelman sivuilla kerrotaan, että ”Jokainen taksimatka on 10 pistettä ja 100 pistettä saavutettuasi nouset VIP-tai SuperVIP-asiakkaaksi. Eli jokainen kyyti vie sinut paitsi perille, myös lähemmäksi VIP-asiakkuutta! Kanta-asiakastason edut ovat käytössäsi aina kuukauden kerrallaan. Järjestelmä tarkistaa aina tilausta tehdessäsi, mikä sinun tasosi on ja osaa siten määrittää puhelusi tai tilauksesi oikein. Kanta-asiakkuus ei vaadi sinulta mitään, eikä se velvoita sinua mihinkään. Voit vain nauttia sen tuomasta prioriteetista. ”Niin ikään kanta-asiakasohjelma osoittaa, mistä sen mobiilisovelluksen voi ladata.
Edellä kuvatuissa rekisterinpitäjän verkkosivuilla julkaisemien ilmoitusten verkkosivuilla on sivun alapalkissa linkki tietosuojaselosteet -sivulle, josta löytyvät edelleen linkit rekisterinpitäjän yleiseen tietosuojaselosteeseen sekä markkinointi-ja asiakasrekisterin tietosuojaselosteeseen.
Rekisterinpitäjän mobiilisovelluksen valikossa ilmenee tieto siitä, montako pistettä sovelluksen käyttäjä tarvitsee päästäkseen VIP-tasolle. Sovelluksen valikosta siirtyessä kohdasta ’Asetukset’ kohtaan ’Käyttöehdot’ pääsee rekisterinpitäjän sovelluksen käyttöehtoihin. Käyttöehdot sisältävät joitakin henkilötietojen käsittelyyn liittyviä tietoja, mutta ei tietoa kanta-asiakasohjelmasta tai siihen liittyvästä henkilötietojen käsittelystä. Käyttöehdot-sivun alalaidassa on linkki rekisterinpitäjän verkkosivuilla olevalle yleiselle tietosuojaselosteelle. Kanta-asiakasohjelmasta tai siihen liittyvästä henkilötietojen käsittelystä ei löydy tietoja myöskään mobiilisovelluksen valikossa olevasta ’Yhteystiedot ja kysymykset’ -kohdasta tai muualta sovelluksesta.
4. Henkilötietojen käsittelyyn osallistuvat toimijat ja niiden roolit
Rekisterinpitäjä katsoo itsensä rekisterinpitäjäksi käsittelemiään henkilötietoja koskien.
Rekisterinpitäjä on määritellyt seuraavat toimijat sen henkilötietojen käsittelijöiksi 12.12.2019 toimittamansa vastauksen yhteydessä:
• Telia / Inmics
• MTI
• Zendesk
• Nets
• Benemen
• Autoilijat
• Kuljettajat
6.3.2020 toimittamansa vastauksen yhteydessä rekisterinpitäjä on määritellyt seuraavat toimijat henkilötietojen käsittelijöiksi:
• Avenla Oy
• Zendesk Inc.
• Arena Interactive Oy
• LINK Mobility Oy
• Telia Inmics-Nebula Oy
• MTI Ltd, Data processing agreement
• Atea Finland Oy
• Mediatoimisto Voitto Oy
• Nets Finland Oy
• Benemen Finland Oy
• Koodiviidakko Oy
• Mediamaisteri Oy
Rekisterinpitäjäon toimittanut 6.3.2020 vastauksessaan määrittelemiensä henkilötietojen käsittelijöiden kanssa solmitut henkilötietojen käsittelysopimukset.
Rekisterinpitäjä on selvityksessään 6.3.2020 todennut, että se toimii ainakin tilausten vastaanottamisen ja tilausten toteuttamisen yhteydessä taksiautoilijayrittäjien kanssa yhteisrekisterinpitäjänä. Rekisterinpitäjä ei tästä syystä ole toimittanut taksiautoilijoiden kanssa solmittuja henkilötietojen käsittelijäsopimuksia. Rekisterinpitäjä esittää, että se tulee jatkossa tarkentamaan sen ja autoilijayritysten välistä järjestelyä etenkin niiden käsittelytoimien osalta, joissa se ja autoilijayritykset yhdessä määrittelevät henkilötietojen käsittelyn tarkoitukset ja keinot.
Rekisterinpitäjän selvityksen mukaan taksiautoihin sijoitettava tilausvälitysohjelmistoa käyttävä pääte on Android-pohjainen. Lisäksi rekisterinpitäjä ilmoittaa mobiilisovelluksensa ’Yhteystiedot ja kysymykset’ -osiossa, että sen mobiilisovellus käyttää erilaisia ohjelmistolisenssejä, joita ovat
• MIT lisenssin alaiset komponentit: Adform tracking, SAMKeychain (iOS only)
• Apache License 2.0 lisenssin alaisia komponentteja: KeyBoardVisibilityEvent (Android only), Snackbar (Android only), Volley (Android only), Scytale (Android only)
• Facebook lisenssin alaisia komponetteja: Facebook SDK
• Google lisenssin alaisia tai Google premium planiin kuuluvia komponentteja: Protobuf,Google Maps, Google Place.
5. Seloste käsittelytoimista
Rekisterinpitäjä on 12.12.2019 toimittamansa selvityksen liitteenä toimittanut tietosuojaselosteita, joilla katsoo täyttävänsä yleisen tietosuoja-asetuksen 30 artiklan mukaisen velvoitteen laatia seloste käsittelytoimista.
Lisäksi rekisterinpitäjä on esittänyt 6.3.2019 toimittamassa vastauksessaan, että tietosuojaselosteilta selviävät yleisen tietosuoja-asetuksen 30 artiklan mukaisesti seuraavat tiedot:
• Henkilötietojen käsittelyn tarkoitukset;
• Käsiteltävät henkilötietoryhmät ja rekisteröityjen ryhmät;
• Henkilötietojen vastaanottajien ryhmät;
• Henkilötietojen siirtäminen kolmanteen maahan ja tiedonsiirtoperusteet;
• Mahdollisuuksien mukaan henkilötietojen poistamiseen suunnitelluista määräajoista; ja
• Mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimenpiteistä.
6. Tietosuojaa koskevavaikutustenarviointi
6.1. Sijaintitietojen käsittelyä koskeva vaikutustenarviointi
Rekisterinpitäjä on toimittanut 6.2.2020 tietosuojaa koskevan vaikutustenarvioinnin, joka koskee sijaintitietojen käsittelemistä ja joka on laadittu Rekisterinpitäjän selvityksen mukaan asiakirjasta ilmenevänä päivämääränä 4.12.2019.
Sijaintitietojen käsittelyä koskevasta vaikutustenarvioinnissa sisältää seuraavat pääkohdat: henkilötietojen kuvaus, käsittelyn oikeasuhteisuutta ja tarpeellisuutta edistävät toimenpiteet, taksiasiakkaan ja autoilijan/kuljettajan (jatkossa asiakas) oikeuksia edistävät toimenpiteet, kuinka hallitaan asiakkaan oikeuksiin ja vapauksiin kohdistuvia riskejä, kuvaa sidosryhmien ottaminen mukaan, suunnitellut toimenpiteet riskeihin puuttumiseksi sekä suoja -ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilöietojen suoja.
Rekisterinpitäjän 6.3.2019 toimittaman vastauksen mukaan se on ottanut MTI-taksin-välitysohjelmiston käyttöön kesäkuussa 2017. Aikaisemmin 12.12.2019 toimittamansa selvityksen mukaan kaikki taksitilaukset kirjautuvat MTI välitysjärjestelmään. Järjestelmään tallennetaan tilauksen tilausnumero, tilauksen ajaneen auton numero, kuljettajan id, asiakkaan nouto-osoite, mahdollinen kohdeosoite sekä kyydin lähtöhetki ja saapumishetki määränpäähän. Kyydin reitti tallentuu järjestelmään sekä myös auton nopeudet. Tilaukseen linkitetään useimmiten myös asiakkaan puhelinnumero. Asiakkaasta saatetaan tallentaa (tilauskanavasta riippuen) myös nimi ja sähköpostiosoite.
6.2. Turvakameravalvontaa koskeva tietosuojaa koskeva vaikutustenarvioint
Rekisterinpitäjä on vastauksessaan 6.3.2020 katsonut, ettei sen olisi tullut laatia yleisen tietosuoja-asetuksen 35 artiklan mukaista tietosuojaa koskevaa vaikutustenarviointia taksiautojen turvakameravalvonnan yhteydessä tapahtuvasta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen, tietosuojalain tai tietosuojavaltuutetun päättämän luettelon perusteella.
Rekisterinpitäjän toimittaman selvityksen mukaan se kerää turvakameravalvonnan yhteydessä kuva- ja äänitallenteita, jotka ovat aika- ja paikkasidonnaisia.
Rekisterinpitäjän selvityksen turvakamerat kuvaavat paitsi taksiauton sisätiloja myös taksiauton ympäristöä. Rekisterinpitäjän palvelupäällikön Iltasanomille 13.11.2019 antaman videohaastattelun mukaan uudemmat turvakamerat tallentavat kuvan lisäksi ääntä sekä kuvaavat auton sisätilojen lisäksi auton eteen.
Rekisterinpitäjä on selvittänyt, että sen rekisteröityjen määrä lasketaan sadoissa tuhansissa, että se välittää noin neljä miljoonaa taksikyytiä vuosittain ja että sen välityksen piirissä on yhteensä yli 2000 autoa, joissa on tallentava turvakameravalvonta. Valtaosa rekisterinpitäjän välityksen piirissä olevista takseista toimivat pääosin pääkaupunkiseudulla.
Rekisterinpitäjän verkkosivuilta ilmenevien tietojen mukaan rekisterinpitäjätarjoaa tietyille asiakasryhmille suunnattuja taksipalveluja, joihin kuuluvat esimerkiksi seniori- ja invataksipalvelut.
6.3. Tietosuojaa koskeva vaikutustenarviointi automaattisesta päätöksenteosta
Rekisterinpitäjä on vastauksessaan 6.3.2020 katsonut, ettei sen olisi tullut laatia yleisen tietosuoja-asetuksen 35 artiklan mukaista tietosuojaa koskevaa vaikutustenarviointia sen kanta-asiakasohjelman yhteydessä tehtävän automaattisen päätöksenteon, mukaan luettuna profilointi, yhteydessä tapahtuvasta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen, tietosuojalain tai tietosuojavaltuutetun päättämän luettelon perusteella.
Rekisterinpitäjän selvityksen mukaan sen kanta-asiakasohjelman harjoittama automaattinen päätöksenteko rajoittuu puhelin- tai sovellustilausten tunnistamiseen. Mikäli rekisteröity on tilannut taksikyydin puhelimitse tai tilaussovellusta käyttäen 10 kertaa 60 päivän aikana, asiakas luokitellaan automaattisesti VIP-asiakkaaksi, jolloin hän seuraavaa tilausta tehdessään siirtyy mahdollisen jonon ohi. Rekisterinpitäjä katsoo, ettei sen kanta-asiakasohjelman yhteydessä harjoittamasta automaattisesta päätöksenteosta, mukaan luettuna profilointi, ole oikeusvaikutuksia tai muita merkittäviä vaikutuksia rekisteröidylle.
Rekisterinpitäjän selvityksen perusteella sen käsittelemät henkilötiedot automaattisen päätöksenteon, mukaan luettuna profilointi, perustana rajoittuvat puhelinnumeroihin, tietoihin taksisovelluksella tehdyistä tilauksista sekä tietoon siitä, onko rekisteröity saavuttanut VIP-tason.
OIKEUDELLISET KYSYMYKSET
1. Käsitteleekö rekisterinpitäjä turvakameravalvonnan yhteydessä kerättäviä henkilötietoja yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukaisesti lainmukaisesti
2. Onko sekä ääni- että kuvatietojen käsittely rekisterinpitäjän turvakameravalvonnan yhteydessä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c -alakohdan mukaisen minimointiperiaatteen mukaista
3. Ilmenevätkö rekisterinpitäjän rekisteröidyille antamista tiedoista yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan edellyttämät tiedot siten, että kyseiset tiedot ovat helposti ymmärrettävissä ja saatavilla
3.1. Koskien rekisterinpitäjän taksiautoissa harjoittamaa turvakameravalvontaa
3.2. Koskien rekisterinpitäjän kanta-asiakasohjelman yhteydessä tapahtuvaa automaattista päätöksentekoa, mukaan lukien profilointi
4. Onko rekisterinpitäjä määritellyt sen henkilötietojen käsittelyyn osallistuvat toimijat yleisen tieto-suoja-asetuksen 4 artiklan 7-8 kohtien, 26 artiklan sekä 28 artiklan mukaisesti
5. Vastaako rekisterinpitäjän toimittama seloste käsittelytoimista yleisen tietosuoja-asetuksen 30 artiklan asettamia vaatimuksia
6. Tietosuojaa koskeva vaikutustenarviointi
6.1. Vastaako rekisterinpitäjän toimittama sijaintitietojen käsittelyä koskeva vaikutustenarviointi yleisen tietosuoja-asetuksen 35 artiklan asettamia vaatimuksia
6.2. Onko rekisterinpitäjä velvollinen laatimaan taksiautojen turvakameravalvonnan yhteydessä tapahtuvasta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin
6.3. Onko rekisterinpitäjä velvollinen laatimaan kanta-asiakasohjelman yhteydessä harjoittamasta automaattisesta päätöksenteosta, mukaan lukien profilointi, yleisen tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin
Asiassa on tietosuojavaltuutetun seuraamuskollegion ratkaistavana
7. Mikäli katsotaan, että rekisterinpitäjän toiminta on edellä mainituissa kohdissa kuvatuin tavoin yleisen tietosuoja-asetuksen vastaista tai puutteellista asiassa on tietosuojavaltuutetun toimiston seuraamuskollegion ratkaistavana se, tulisiko asiassa määrätä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan mukainen hallinnollinen seuraamusmaksu ja sen määrä.
APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS
1. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d -alakohdan nojalla rekisterinpitäjän laatimaan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f - alakohdan edellyttämän tasapainotestin sekä toimittamaan selvityksen tehdyistä toimenpiteistä tiedoksi tietosuojavaltuutetun toimistoon kuukauden kuluessa tämän päätöksen antamisesta.
2. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d -alakohdan nojalla rekisterinpitäjän varmistumaan siitä, että äänitietojen käsittely taksien turvakameravalvonnan yhteydessä ilman asiallisia perusteita lopetetaan välittömästi. Rekisterinpitäjän on toimitettava selvitys tehdyistä toimenpiteistä tiedoksi tietosuojavaltuutetun toimistoon kuukauden kuluessa tämän päätöksen antamisesta.
3. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d -alakohdan nojalla rekisterinpitäjän muuttamaan turvakameravalvontaa ja kanta-asiakasohjelman yhteydessä tekemää automaattista päätöksentekoa, mukaan luettuna profilointi, koskevan henkilötietojen käsittelyn informointikäytäntöjä siten, että sen rekisteröidyille ilmoittamat tiedot sisältävät kaikki yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan edellyttämät tiedot siten, että ne ovat helposti saatavilla ja ymmärrettävässä muodossa, sekä toimittamaan selvityksen tehdyistä toimenpiteistä tiedoksi tietosuojavaltuutetun toimistoon kuukauden kuluessa tämän päätöksen antamisesta.
4. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d -alakohdan nojalla rekisterinpitäjän määrittelemään kattavasti ne toimijat, jotka toimivat suhteessa rekisterinpitäjään henkilötietojen käsittelijänä. Lisäksi rekisterinpitäjän on määriteltävä miltä osin se toimii yleisen tietosuoja-asetuksen 26 artiklan mukaisesti yhteisrekisterinpitäjänä taksiautoilijayrittäjien kanssa. Rekisterinpitäjän on toimitettava tietosuojavaltuutetun toimistoon tiedoksi kuukauden kuluessa tämän päätöksen antamisesta.
4.1. Selvitys siitä, miten rekisterinpitäjä on määritellyt Taksi Helsinki -mobiilisovelluksen ohjel-mistolisenssitarjoajien roolin suhteessa rekisterinpitäjään henkilötietojen käsittelyn kannalta ja millä perusteella.
4.2. Taksiautoilijoiden kanssa laadittu yhteisrekisterinpitäjyyttä koskeva järjestely, sekä
4.3. Selvitys mahdollisista muista toimenpiteistä, joihin on ryhdytty liittyen henkilötietojen käsittelyn toimijoihin ja niiden rooleihin henkilötietojen käsittelyn näkökulmasta.
5. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla rekisterinpitäjän saattamaan henkilötietojen käsittelyn vastaamaan yleisen tieto-suoja-asetuksen 30 artiklan vaatimuksia sekä toimittamaan selvityksen tehdyistä toimenpiteistä tiedoksi tietosuojavaltuutetun toimistoon kuukauden kuluessa tämän päätöksen antamisesta.
6. Tietosuojaa koskevat vaikutustenarvioinnit
6.1. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d ala-kohdan nojalla, että rekisterinpitäjän on laadittava sijaintitietojen käsittelyä koskevasta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi.
6.2. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d ala-kohdan nojalla, että rekisterinpitäjän on laadittava takseissa harjoitettavan turvakameravalvonnan yhteydessä tapahtuvasta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi.
6.3. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d ala-kohdan nojalla, että rekisterinpitäjän on laadittava sen kanta-asiakasohjelman sisältämän automaattisen päätöksenteon, mukaan luettuna profilointi, yhteydessä tapahtuvasta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi.
Apulaistietosuojavaltuutettu kiinnittää tässä yhteydessä huomiota yleisen tietosuoja-asetuksen 36 artiklan mukaiseen valvontaviranomaisen ennakkokuulemisvelvoitteeseen, mikäli vaikutustenarvioinnin perusteella tähän on tarvetta.
APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖKSEN PERUSTELUT
1. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukainen oikeutettu etu turvakameravalvonnan käsittelyperusteena ja sitä koskeva puuttuva tasapainotesti
Yleisen tietosuoja-asetuksen 6 artiklassa on luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan laillista. Kyseisen artiklan 1 kohdan f alakohdan mukaan yksi näistä tilanteista on se, kun käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi (myöhemmin oikeutettu etu).
Yleisen tietosuoja-asetuksen johdanto-osa kappaleen 47 mukaan tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa. Saman kohdan mukaan oikeutetun edun olemassaoloa on joka tapauksessa arvioitava huolellisesti; on arvioitava muun muassa voiko rekisteröity kohtuudella odottaa henkilötietojen keruun ajankohtana ja sen yhteydessä, että henkilötietoja voidaan käsitellä tätä tarkoitusta varten. Etenkin rekisteröidyn edut ja perusoikeudet voisivat syrjäyttää rekisterinpitäjän edun, jos henkilötietoja käsitellään olosuhteissa, joissa rekisteröity ei voi kohtuudella odottaa jatkokäsittelyä.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a-alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (nk. osoitusvelvollisuus).
Yleisen tietosuoja-asetuksen mukainen oikeutettu etuoikeusperusteen soveltaminen edellyttää yhtäältä rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun olemassa olon arviointia ja toisaalta sen arviointia, syrjäyttääkö rekisterinpitäjän oikeutettu eturekisteröidyn edut tai perusoikeudet tai -vapaudet. Rekisterinpitäjän oikeutetun edun olemassaolo voidaan osoittaa tällä niin kutsutulla tasapainotestillä.
Tietosuojavaltuutetun toimisto on sisällyttänyt 24.5.2018 julkaistuille internetsivuilleen ohjeistuksen oikeutetun edun käytöstä oikeusperusteena. Erityisesti tasapainotestin tekemisestä tietosuojavaltuutetun toimisto ohjeistaa, että testistä on laadittava osoitusvelvollisuuden mukaisesti kirjallinen kuvaus, jonka mukaan rekisterinpitäjä voi tarvittaessa osoittaa, että toiminta on yleisen tietosuoja-asetuksen mukaista. Tietosuojavaltuutetun toimisto erittelee ohjeessaan tasapainotestin tekemiselle kuusi vaihetta selityksineen. Ohjeistuksessa kehotetaan tekemään testi uudelleen ja päivittämään sitä koskeva kuvaus, mikäli henkilötietojen käsittelyn tarkoitus, luonne tai asiayhteys muuttuvat.
Rekisterinpitäjältä saadusta selvityksestä käy ilmi, että se ei ole laatinut tai dokumentoinut yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukaisen oikeutettu etu -käsittelyperusteen soveltamisen edellyttämää tasapainotestiä.
Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole pystynyt osoittamaan yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti, että henkilötietojen käsittely turvakameravalvonnan yhteydessä vastaa yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a -alakohdan ja 6 artiklan 1 kohdan f -alakohdan vaatimuksia.
Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, ettei tietosuojalautakunnan 25.2.2002 an-tama päätös koske äänitietojen käsittelyä turvakameravalvonnan yhteydessä. Nyt arvioitavana oleva henkilötietojen käsittely ja sen yhteydessä käytettävä teknologia on muuttunut äänitallennusominaisuuden lisäyksen myötä merkittävästi siten, ettei rekisterinpitäjä voi vedota tietosuojalautakunnan päätökseen ja sen yhteydessä tehtyihin arviointeihin siitä, mitä vaikutuksia käsittelyllä on rekisteröityjen eduille, oikeuksille tai vapauksille, sellaisenaan.
Merkitystä ei voida antaa myöskään rekisterinpitäjän väitteelle siitä, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f-alakohdan soveltamisen, mukaan luettuna tasapainotestiä koskevat vaatimukset, oikeustila olisi niin epäselvä, ettei sen noudattamista voitaisi edellyttää rekisterinpitäjiltä. Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että tasapainotestin sisältämät tiedot ja osoitusvelvollisuuden mukainen dokumentointivelvollisuus on määritelty yleisessä tietosuoja-asetuksessa ja että yleinen tietosuoja-asetus ei edellytä tasapainotestin tekemistä tietyssä muodossa. Apulaistietosuojavaltuutettu kiinnittää rekisterinpitäjän väitteen osalta huomiota myös siihen, että tietosuojavaltuutetun toimiston verkkosivuilla on kattava ja käytännönläheinen ohjeistus siitä, miten tasapainotestin voi tehdä.
2. Ääni-ja kuvatietojen käsittely turvakameravalvonnan yhteydessä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c-alakohdan mukaisen minimointiperiaatteen valossa
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (nk. tietojen minimointiperiaate)
Yleisen tietosuoja-asetuksen johdantokappaleen 39 mukaan ”...Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin.”
Rekisterinpitäjältä saatu selvitys ja tietosuojavaltuutetun toimiston hankkima muu selvitys on ristiriitaista. Tietosuojavaltuutetun toimistolle ei ole toimitettu yksiselitteisiä tietoja siitä, onko rekisterinpitäjän tarkoituksena ollut käsitellä sekä ääni- että kuvatietoja turvakameravalvonnan yhteydessä.
Rekisterinpitäjän toimittaman selvityksen ja yleisesti saatavilla olevien tietojen perusteella on selvää, että rekisterinpitäjä on ollut tietoinen, että äänitietoja käsitellään joissakin sen välityksen piiriin kuuluvista taksiautoista, ja että se on katsonut kyseisen käsittelyn tarkoituksenmukaiseksi ainakin 15.11.2019 asti siitä lukien, kun äänitallennustoiminnolla varustettuja kameroita on asennettu. Rekisterinpitäjän voidaan katsoa ryhtyneen toimenpiteisiin käsittelyn lopettamiseksi 20.12.2019, jolloin se kutsui sen välityksen piirissä olevat autot huoltoon äänitallennustoiminnan poiskytkemiseksi.
Vaikka rekisterinpitäjä on asian selvityksen edetessä uudelleen muotoillut käsittelyn tarkoituksia, voidaan turvallisuutta ja rikoksien ja vahinkojen selvittämistä pitää toimitetun selvityksen perusteella turvakameravalvonnan tarkoituksien yhteisinä tekijöinä silloin, kun kyseinen käsittely perustuu oikeutettuun etuun. Siihen asti, kunnes rekisterinpitäjä on ryhtynyt toimenpiteisiin äänitallennuksen poistamiseksi ja kun äänitallennus on vielä ollut käytössä osassa autoissa, käsittelyn tarkoitusten täytyy katsoa rekisterinpitäjän toimittaman selvityksen ja julkisesti saatavilla olevien tietosuojaselosteiden perusteella sisältävän myös toimintaprosessien valvomisen.
Rekisterinpitäjä ei ole selvityksessään tuonut esiin perusteluja sille, miksi se on käsitellyt kuvatietojen lisäksi äänitietoja osassa autoistaan. Sitä vastoin rekisterinpitäjä on asian käsittelyn myöhemmässä vaiheessa esittänyt, että äänitietojen käsittelyssä on kyse erehdyksestä. Kuten edellä on käynyt ilmi, tämä on ristiriidassa asiassa saadun muun selvityksen kanssa.
Koska rekisterinpitäjän selvityksen perusteella se käsittelee kuvatietoja kaikissa autoissaan, voi-daan kuvatietojen käsittely katsoa olevan sen normaalia käsittelyä ja äänitietojen käsittelyn ole-van tämän ylittävää.
Rekisterinpitäjän osoittaman turvakameravalvontakäytännön, jossa vain osassa sen autojen turvakameravalvontaa tallennetaan kuvatietojen lisäksi myös äänitietoja ja rekisterinpitäjän toimittaman selvityksen perusteella voidaan todeta, että äänitietojen käsittely ei ole ollut välttämätöntä sen määrittelemiin tarkoituksiin nähden ja että se on pystynyt saavuttamaan turvakameravalvonnalle määrittelemänsä henkilötietojen käsittelyn tarkoitukset pelkästään kuvatietoja käsittelemällä.
Näin ollen apulaistietosuojavaltuutettu katsoo,että rekisterinpitäjän äänitietojen käsittely turvakameravalvonnan yhteydessä kuvatietojen lisäksi ei oleollut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan tietojen minimoinnin periaatteen mukaista, eikä se ole pystynyt osoittamaan saman yleisen tietosuoja-asetuksen kohdan noudattamista yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti.
3. Käsittelyn läpinäkyvyys yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan edellyttämällä tavalla
Yleisen tietosuoja-asetuksen 12 artiklan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa.
Yleisen tietosuoja-asetuksen 13 artiklan mukaan kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:
a) rekisterinpitäjän ja tapauksen mukaan tämän mahdollisen edustajan identiteetti ja yhteystiedot;
b) tapauksen mukaan tietosuojavastaavan yhteystiedot;
c) henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste;
d) rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan;
e) henkilötietojen vastaanottajat tai vastaanottajaryhmät;
f) tapauksen mukaan tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.
Edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saa-daan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja lä-pinäkyvän käsittelyn takaamiseksi:
a) henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit;
b) rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen;
c) oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan;
d) oikeus tehdä valitus valvontaviranomaiselle;
e) onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset;
f) automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.
3.1. Rekisterinpitäjän informointikäytäntö turvakameravalvontaa koskien
Yleisen tietosuoja-asetuksen 13 artiklan 2 kohdan d-e alakohtien edellyttämät tiedot puuttuvat rekisterinpitäjän tietosuojaselosteilta kokonaan, eikä rekisterinpitäjä ole osoittanut, että nämä tiedot olisivat rekisteröityjen saatavilla muualla.
Rekisterinpitäjän äänitietojen käsittelyä koskevassa tiedottamisessa turvakameravalvonnan yhteydessä vallitsee epäsuhta eri tiedottamiskanavien välillä. Ensinnäkin takseihin sijoitettavassa turvakameravalvonnasta kertovassa ilmoituksessa ei ole erikseen kuvattu tai mainittu äänen tallentamisesta.
Taksiautoissa olevissa ilmoituksissa ei myöskään ole viitattu rekisterinpitäjän turvakameravalvontaa koskevaan tietosuojaselosteeseen tai muualle, mistä matkustajat olisivat saaneet tiedon äänitietojen käsittelystä. Äänitietojen käsittelystä on löytynyt tieto vain turvakameravalvontaa koskevalla tietosuojaselosteella ja rekisterinpitäjän 13.11.2019 ja 15.11.2019 verkkosivuilla julkaisemissa tiedotteissa näiden tiedotteiden julkaisun jälkeen.
Rekisterinpitäjän on katsottu käsittelevän tai käsitelleen äänitietoja edellä kuvatusti.
Näin ollen rekisterinpitäjä ei ole tiedottanut rekisteröityjä sen harjoittamasta henkilötietojen käsittelystä turvakameravalvonnan yhteydessä yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan edellyttämin tiedoin eikä se ei ole toteuttanut rekisteröityjen informointia äänitietojen käsittelystä turvakameravalvonnasta siten, että tätä koskeva tieto olisi ollut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a-alakohdan ja 12 artiklan 1 kohdan edellyttämällä tavalla helposti ymmärrettävissä ja saatavilla eikä se ole pystynyt osoittamaan edellä kuvattujen asetuksen kohtien noudattamista yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti.
3.2. Rekisterinpitäjän informointikäytäntö koskien kanta-asiakasohjelman yhteydessä tehtävää automaattista päätöksentekoa, mukaan luettuna profilointi
Rekisterinpitäjän tietosuojaselosteilta puuttuu vastoin yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan asettamia edellytyksiä tieto yleisen tietosuoja-asetuksen 22 artiklan mukaisesta rekisteröityjen oikeudesta olla joutumatta automaattisen yksittäispäätösien, mukaan luettuna profilointi, kohteeksi. Rekisterinpitäjä ei ole osoittanut, että tämä tieto löytyisi muualtakaan.
Rekisterinpitäjän tietosuojaselosteista ei ilmene 13 artiklan 1 kohdan c kohdan mukaista tietoa siitä, mihin oikeusperusteeseen sen kanta-asiakasohjelman yhteydessä harjoittama automaattinen päätöksenteko, mukaan luettuna profilointi, perustuu. Kanta-asiakasohjelman ei voida katsoa kuuluvan rekisterinpitäjän tietosuojaselosteella mainitseman markkinointi-, tuote-, ja asiakasanalyysien alle, joita se kertoo harjoittavansa oikeutetun edun perusteella, vaikka kyseinen käsittely saattaa sisältää automaattista päätöksentekoa, mukaan lukien profilointia, sillä se ei ole selvityksensä mukaan kyseiseen käsittelyyn vielä ryhtynyt. Rekisterinpitäjä ei ole osoittanut, että käsittelyn perustetta koskeva tieto löytyisi muualta.
Kanta-asiakasohjelman yhteydessä tapahtuvan automaattisen päätöksenteon oikeusperusteen ollessa epäselvä, myös rekisteröityjen oikeuksista tiedottaminen ei tapahdu läpinäkyvästi. Erityisesti yleisen tietosuoja-asetuksen 21 artiklan 1 kohdan mukaisen oikeuden vastustaa käsittelyä rekisterinpitäjän oikeutetun edun perusteella tapahtuvaa käsittelyä merkitys jää epäselväksi.
Rekisterinpitäjän kanta-asiakasohjelman yhteydessä harjoittaman automaattisen päätöksenteon, mukaan luettuna profilointi, osalta tietosuojaselosteilta puuttuu yleisen tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdan mukainen tieto automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolosta, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.
Rekisterinpitäjän kanta-asiakasohjelman verkkosivuilla kuvataan VIP-asiakkuuden määräytymisen perusteita. Kanta-asiakasohjelman verkkosivuilta puuttuu yksiselitteinen tieto automaattisen päätöksen olemassaolosta ja sitä koskevasta henkilötietojen käsittelystä. Tämä tieto on oleellinen erityisesti, jotta rekisteröidyt osaisivat käyttää heille kuuluvia tietosuojaoikeuksia kyseisen käsittelyn yhteydessä.
Rekisterinpitäjän verkkosivuilla olevat tietosuojaselosteet eivät linkity kanta-asiakasohjelman verkkosivuille tai toisin päin siten, että rekisteröity saisi helposti ja ymmärrettävässä muodossa kokonaiskuvan siitä henkilötietojen käsittelystä, jota rekisterinpitäjä harjoittaa kanta-asiakasohjelmansa yhteydessä.
Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjän informointikäytäntö sen kanta-asiakasohjelman yhteydessä harjoittamasta automaattisestä päätöksenteosta vastaa yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan asettamia edellytyksiä. Rekisterinpitäjä ei ole osoittanut kyseisten tietojen löytymistä muualla. Näin ollen se ei ole myöskään pystynyt osoittamaan yleisen tietosuoja-asetuksen 12 artiklan noudattamista yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti.
4. Henkilötietojen käsittelyyn osallistuvat toimijat
Rekisterinpitäjällä tarkoitetaan yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Henkilötietojen käsittelijällä tarkoitetaan saman artiklan 8 kohdan mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Yleisen tietosuoja-asetuksen 26 artiklan mukaan
1. Jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste.
2. Edellä 1 kohdassa tarkoitetusta järjestelystä on käytävä asianmukaisesti ilmi yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien on oltava rekisteröidyn saatavilla.
3. Riippumatta 1 kohdassa tarkoitetun järjestelyn ehdoista rekisteröity voi käyttää tämän asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitä-jää vastaan.
Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä
g) käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi;
h) varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus;
i) toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet;
j) noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä;
k) ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä;
l) auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot;
m) rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot;
n) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.
Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on määritellyt oman roolinsa yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaisesti. Lisäksi henkilötietojen käsittelijöiksi voidaan katsoa ainakin ne toimijat, joiden kanssa rekisterinpitäjä on laatinut henkilötietojen käsittelysopimuksen.
Rekisterinpitäjän mobiilisovelluksenohjelmistolisenssien tarjoajien osalta rekisterinpitäjä ei ole määritellyt yhtään toimijaa henkilötietojen käsittelijäksi, eikä se ole toimittanut selvitystä siitä, mikä näiden toimijoiden rooli on rekisterinpitäjän henkilötietojen käsittelyssä tai heidän kanssaan tehdyistä toimenpiteistä henkilötietojen käsittelyn suhteen. Julkisista lähteistä saatavien tietojen perusteella ainakin MIT:n lisenssin alainen Adform tracking ja Facebook SDK -palvelut sisältävät lähtökohtaisesti henkilötietojen käsittelyä. Julkisten lähteiden mukaan näiden palvelujen sisällyttäminen sovellukseen edellyttää myös jonkinlaista suhdetta, kuten sopimuksen solmimista tai käyttöehtojen hyväksymistä, palvelun tilaajan ja sen tuottajan välillä.
Rekisterinpitäjä on 6.3.2020 vastauksessaan esittänyt 12.12.2019 toimittamastaan selvityksestään poiketen, että rekisterinpitäjän välityksen piiriin kuuluvat taksiautoilijayritykset eivät olisi henkilötietojen käsittelijöitä vaan että ne toimivat yhtäältä itsenäisinä rekisterinpitäjinä ja toisaalta yhteisrekisterinpitäjinä tässä asiassa tarkoitetun rekisterinpitäjän kanssa. Rekisterinpitäjän selvityksen mukaan yhteisrekisterinpitäjyys tulisi kyseeseen esimerkiksi taksitilauksen vastaanottamisen ja tilausten toteuttamisen yhteydessä. Rekisterinpitäjä ei ole toimittanut tietosuojavaltuutetun toimistolle yleisen tietosuoja-asetuksen 26 artiklan mukaista keskinäistä järjestelyä sen ja autoilijayritysten välillä tai muuta selvitystä yhteisrekisterinpitäjyyden osoittamiseksi. Rekisterinpitäjän 6.3.2020 antaman vastauksen mukaan se tulee jatkossa tarkentamaan sen ja autoilijayritysten välistä järjestelyä etenkin niiden käsittelytoimien osalta, joissa se ja autoilijayritykset yhdessä määrittelevät henkilötietojen käsittelyn tarkoitukset ja keinot.
Rekisterinpitäjä on esittänyt toimittamassaan selvityksessä, ettei sen käsittelemiä henkilötietoja siirretä Euroopan talousalueen ulkopuolelle ilman asianmukaista siirtoperustetta. Apulaistiesuojavaltuutettu ei tässä yhteydessä ole tutkinut tietojen siirtoja laajemmin ja sitä koskevat kysymykset on rajattu tässä päätöksessä tarkasteltavan asiakokonaisuuden ulkopuolelle.
Apulaistietosuojavaltuutettu katsoo edellä kuvatuin perustein, että rekisterinpitäjä ei ole pystynyt osoittamaan, että se olisi määritellyt sen rekisterinpitäjänä käsittelemien henkilötietojen käsittelyyn osallistuvia henkilötietojen käsittelijöitä kattavasti.
Niin ikään apulaistietovaltuutettu katsoo, että rekisterinpitäjä ei ole pystynyt osoittamaan, että se olisi määritellyt yleisen tietosuoja-asetuksen 26 artiklan edellyttämällä tavalla yhteisrekisterinpitäjäksi katsomiensa autoilijayritysten kanssa käsittelyn tarkoituksia ja keinoja siltä osin, kun he toimivat rekisterinpitäjän esittämällä tavalla yhteisrekisterinpitäjänä. Rekisterinpitäjä ei myöskään ole osoittanut, että se olisi laatinut saman artiklan edellyttävän yhteisrekisterinpitäjyyttä koskevan keskinäisen järjestelyä yhteisrekisterinpitäjän kanssa. Näin ollen rekisterinpitäjä ei ole pystynyt osoittamaan edellä kuvattujen asetuksen kohtien noudattamista yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti.
5. Seloste käsittelytoimista
Yleisen tietosuoja-asetuksen 30 artiklan mukaan jokaisen rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen on käsitettävä kaikki seuraavat tiedot:
a) rekisterinpitäjän ja mahdollisen yhteisrekisterinpitäjän, rekisterinpitäjän edustajan ja tietosuojavastaavan nimi ja yhteystiedot;
b) käsittelyn tarkoitukset;
c) kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;
d) henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan, mukaan lukien kolmansissa maissa tai kansainvälisissä järjestöissä olevat vastaanottajat;
e) tarvittaessa tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle, mukaan lukien tieto siitä, mikä kolmas maa tai kansainvälinen järjestö on kyseessä, sekä asianmukaisia suojatoimia koskevat asiakirjat, jos kyseessä on 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto;
f) mahdollisuuksien mukaan eri tietoryhmien poistamisen suunnitellut määräajat;
g) mahdollisuuksien mukaan yleinen kuvaus 32 artiklan 1 kohdassa tarkoitetuista teknisistä ja organisatorisista turvatoimista.
Kyseisen selosteen on oltava kirjallinen, mukaan lukien sähköisessä muodossa. Rekisterinpitäjän on pyydettäessä saatettava seloste valvontaviranomaisen saataville. Velvoite ylläpitää selostetta käsittelytoimista ei koske yritystä tai järjestöä, jossa on alle 250 työntekijää, paitsi jos sen suorittama käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille, käsittely ei ole satunnaista tai käsittely kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin tietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin.
Yleisen tietosuoja-asetuksen johdantokappaleen 82 mukaan rekisterinpitäjän tai henkilötietojen käsittelijän olisi ylläpidettävä rekisteriä sen vastuulla olevista käsittelytoimista voidakseen osoittaa, että ne ovat tämän asetuksen mukaisia. Rekisterinpitäjät ja henkilötietojen käsittelijät olisi velvoitettava tekemään yhteistyötä valvontaviranomaisen kanssa ja esittämään sille pyydettäessä käsittelyä koskevat rekisterit, jotta tietojenkäsittelytoimia voidaan seurata niiden pohjalta.
Rekisterinpitäjä on edellä kuvatulla tavalla toimittanut yleisen tietosuojaselosteen, tallentavaa turvakameravalvontaa koskevan tarkentavan tietosuojaselosteen sekä markkinointia koskevan tarkentavan tietosuojaselosteen.
Rekisterinpitäjän tietosuojaselosteista voidaan katsoa selviävän seuraavat yleisen tietosuoja-asetuksen 30 artiklan 1 kohdan b-d sekä f ja g -alakohtien mukaiset tiedot. Saman asetuksen kohdan a ja e -alakohtien tiedot selviävät vain osittain.
Yleisen tietosuoja-asetuksen 30 artiklan 1 kohdan a alakohdan mukaisista tiedoista rekisterinpitäjän nimi ja yhteystiedot sekä tietosuojavastaavan yhteistiedot. Rekisterinpitäjän edustajan ja tietosuojavastaavan nimi puuttuvat. Niin ikään tietosuojaselosteista ei löydy tietoja rekisterinpitäjän 6.3.2019 toimittamassa vastauksessa kuvailemasta yhteisrekisterinpitäjäjärjestelystä.
Yleisen tietosuoja-asetuksen 30 artiklan 1 kohdan e alakohdan mukaisesti rekisterinpitäjä on sisällyttänyt tietosuojaselosteisiin tiedot henkilötietojen siirroista kolmansiin maihin sekä sovellettavat siirtoperusteet. Rekisterinpitäjän tietosuojaselosteista sen sijaan puuttuu tiedot niistä maista, joihin henkilötietoja siirretään.
Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjän toimittamat tietosuojaselosteet vastaa sisällöllisesti edellä kuvatuin tavoin yleisen tietosuoja-asetuksen asettamia vaatimuksia, eikä rekisterinpitäjä ole siten osoittanut täyttäneensä yleisen tietosuoja-asetuksen 30 artiklan mukaisia velvoitteita eikä se ole pystynyt osoittamaan kyseisen asetuksen kohdan noudattamista yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti.
Apulaistietosuojavaltuutettu katsoo niin ikään ensinnäkin, että yleinen tietosuoja-asetus ei edellytä selosteen käsittelytoimista laatimista tietyssä muodossa muuten, kuin että se on tehtävä kirjallisesti, mukaan lukien sähköisessä muodossa. Selosteen käsittelytoimista voi siis laatia missä tahansa asiakirjamuodossa. Tietosuojavaltuutetun toimiston julkaiseman taulukkomuodon etuina voidaan pitää selkeää jäsentelyä ja tiivistä esittämistapaa, mutta se on kuitenkin vain yksi esimerkki selosteen käsittelytoimista laatimiseksi. Toiseksi, yleinen tieto-suoja-asetus ei myöskään edellytä nimeämään asiakirjaa juuri selosteeksi käsittelytoimista. Tärkeintä kuitenkin on se, että asiakirjan sisältö vastaa yleisen tietosuoja-asetuksen 30 artiklan edellytyksiä. Rekisterinpitäjän asiakirjahallinnan kannalta voi kuitenkin olla perusteltua nimetä asiakirjat sen mukaan, minkä yleisen tietosuoja-asetuksen kohdan noudattamista milläkin asiakirjalla halutaan osoittaa. Kolmanneksi on kiinnitettävä huomiota siihen, että yleisen tietosuoja-asetuksen 30 artiklan mukainen seloste käsittelytoimista on yhtäältä rekisterinpitäjän työkalu yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuuden noudattamisen osoittamiseksi valvontaviranomaiselle ja toisaalta valvontaviranomainen ensisijainen arviointiasiakirja ja väline kokonaiskuvan saamiseksi rekisterinpitäjän harjoittamasta henkilötietojen käsittelystä.
6. Tietosuojaa koskeva vaikutustenarviointi
Yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asia-yhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.
Tietosuojaa koskeva vaikutustenarvionti vaaditaan yleisen tietosuoja-asetuksen 35 artiklan 3 kohdan mukaan erityisesti muun muassa kun käsittely sisältää luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällistä ja kattavaa arviointia, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi; sekä kun henkilötietojen käsittelyssä on kyse yleisölle avoimen alueen järjestelmällisestä valvonnasta. Tietosuojaa koskevan vaikutustenarvioinnin on yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan mukaan sisällettävä vähintään
a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut;
b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden
c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja
d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.
Yleisen tietosuoja-asetuksen 99 artiklan 2 kohdan mukaan yleistä tietosuoja-asetusta aletaan soveltamaan 25 toukokuuta 2018.
Yleisen tietosuoja-asetuksen johdantokappaleen 84 mukaan tämän asetuksen noudattamisen edesauttamiseksi tapauksissa, joissa käsittelytoimiin todennäköisesti liittyy luonnollisten henkilöiden oikeuksiin ja vapauksiin liittyvä korkea riski, rekisterinpitäjän olisi vastattava tietosuojaa koskevan vaikutustenarvioinnin suorittamisesta erityisesti kyseisen riskin alkuperän, luonteen, erityisluonteen ja vakavuuden arvioimiseksi. Arvioinnin tulos olisi otettava huomioon määriteltäessä asianmukaisia toimia, jotka on toteutettava, jotta voidaan osoittaa, että henkilötietojen käsittely on tämän asetuksen säännösten mukaista. Jos tietosuojaa koskevan vaikutustenarvioinnin perusteella osoitetaan, että käsittelytoimiin liittyy korkea riski, jota rekisterinpitäjä ei voi asianmukaisin toimenpitein vähentää saatavilla olevan tekniikan ja toteuttamiskustannusten suhteen, ennen tietojenkäsittelyä olisi kuultava valvontaviranomaista.
Tietosuojaryhmä on vaikutustenarviointeja koskevassa ohjeessaan (Tietosuojaryhmän ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu ”korkea riski”, annettu 4. huhtikuuta 2017) antanut esimerkkejä tilanteista, joissa vaikutustenarvionti tulee tehdä. Ohjeen mukaan tietosuojaa koskeva vaikutustenarviointi on yleensä tehtävä yleisen tietosuoja-asetuksen 35 artiklan 3 kohdan mukaisten käsittelytoimien lisäksi myös silloin, jos henkilötietojen käsittelyssä täyttyy kaksi seuraavista kriteereistä. Mitä useampi näistä kriteereistä täyttyy, sitä todennäköisemmin henkilötietojen käsittely aiheuttaa korkean riskin rekisteröityjen oikeuksien ja vapauksien kannalta:
• Henkilötietojen arviointi ja pisteytys (mukaan lukien profilointi ja ennakointi)
• Automaattinen päätöksenteko, jolla on oikeusvaikutuksia
• Rekisteröityjen järjestelmällinen valvonta
• Erityisiin henkilötietoryhmiin kuuluvien tai muuten hyvin henkilökohtaisten tietojen käsittely
• Tietojen laajamittainen käsittely
• Tietokokonaisuuksien yhdistäminen
• Heikossa asemassa olevien henkilötietojen käsittely
• Uusien teknisten tai organisatoristen ratkaisujen soveltaminen tai innovatiivinen käyttö
6.1. Rekisterinpitäjän laatiman sijaintitietoja koskevan vaikutustenarvioinnin yleisen tietosuoja-asetuksen 35 artiklan 1 ja 7 kohtien mukaisuus
Rekisterinpitäjä käsittelee sijaintitietoja MTI-taksinvälitysohjelmistonsa yhteydessä. Se on ottanut MTI-järjestelmän käyttöönsä ennen yleisen tietosuoja-asetuksen soveltamista. Sijaintitietojen käsittelyä koskeva vaikutustenarviointi on laadittu 4.12.2019. Vaikutustenarviointi on siten laadittu kun tässä tarkastelu asia on ollut jo vireillä ja henkilötietojen käsittely on kestänyt yleisen tietosuoja-asetuksen soveltamisen aikana noin puolitoista vuotta.
Rekisterinpitäjä ei ole yksilöinyt sijaintietojen käsittelyä koskevassa vaikutustenarvioinnissaan yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan a alakohdan mukaisesti sitä tai niitä oikeutettuja etuja, joiden perusteella se käsittelee henkilötietoja. Oikeutettu etu viittaa sananmukaisesti johonkin rekisterinpitäjän tavoittelemaan konkreettiseen etuun, jota se tavoittelee henkilötietojen käsittelyn keinoin. Sen sijaan rekisterinpitäjä on kirjannut vaikutustenarviointiin käsittelyn tarkoitusta sekä perustellut tarvetta henkilötietojen käsittelylle. Esimerkiksi reklamaatioprosessin osalta on todettava, ettei asiakassuhteen hoito, tai siihen pohjautuva reklamaatioprosessin olemassaolo, ole itsearvoisesti rekisterinpitäjän oikeutettu etu.
Rekisterinpitäjä ei sen sijaan ole yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan b alakohdan edellyttämällä tavalla arvioinut sen käsittelytoimien oikeasuhtaisuutta kyseisen käsittelyn tarkoituksiin nähden. Käsittelytoimien oikeasuhteisuuden arviointi edellyttää Tietosuojaryhmän tietosuojaa koskevaavaikutustenarviointia koskevan ohjeen (Tietosuojaryhmän vaikutustenarviointia koskeva ohje, liite 2, s. 26) mukaan yhtäältä käsittelyn lainmukaisuuden ja toisaalta käsiteltävien henkilötietojen ominaisuuksien arviointia erityisesti yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c ja e -alakohtien mukaisesti. Erityisesti rekisterinpitäjän toimittamasta vaikutustenarvioinnista jää puuttumaan käsiteltävien henkilötietojen arviointi ja perustelut yleisen tietosuoja-asetuksen minimointiperiaatteen ja säilytyksen rajoittamista koskevan periaatteen mukaisesti.
Yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan c alakohdan mukaan vaikutustenarviointiin on sisällytettävä arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä. Riskillä tarkoitetaan Tietosuojaryhmän ohjeistuksen mukaan skenaariota, jolla kuvataan tapahtumaa ja sen seurauksia ja arvioidaan niiden vakavuutta ja todennäköisyyttä (Tietosuojaryhmän vaikutustenarviointia koskeva ohje, s. 7). Tietosuojakontekstissa riski voidaan siten kuvata tosielämän tapahtumaksi, jolla on tyypillisesti negatiivisia vaikutuksia rekisteröidyn oikeuksien ja vapauksien toteutumiselle. Näillä tapahtumilla ja niiden seurauksilla on eriasteisia vakavuuksia ja todennäköisyyksiä. Rekisterinpitäjä ei ole sisällyttänyt arvioonsa tällaisia skenaarioita tai tosielämän tapahtumia, jotka muodostaisivat riskin rekisteröidyn oikeuksille, vaikka rekisterinpitäjä on arvioinnissaan pyrkinyt määrittelemään riskien alkuperää, luonnetta, vakavuutta, riskienhallintaa, uhkakuvia sekä riskien johdosta tehtyjä toimenpiteitä. Siten rekisterinpitäjä ei ole tosiasiassa määritellyt niitä nimenomaisia riskejä, joita sen sijaintitietojen käsittelystä aiheutuu rekisterinpitäjän oikeuksille ja vapauksille yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan c alakohdan mukaisesti.
Rekisterinpitäjä on arvioinnissaan määritellyt sellaisia toimenpiteitä, jotka saattaisivat tulla kyseeseen yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan d alakohdan mukaisina toimenpiteinä riskeihin puuttumiseksi. Näitä kirjattuja toimenpiteitä ei voida kuitenkaan ottaa huomioon arvioitaessa sitä, vastaako rekisterinpitäjän sijaintitietojen käsittelystä laadittu vaikutustenarviointiyleisen tietosuoja-asetuksen asettamia sisällöllisiä vaatimuksia, sillä rekisterinpitäjä ei ole edellä kuvatuin tavoin määritellyt henkilötietojen käsittelyyn liittyviä riskejä asianmukaisesti. Riskien määrittelyn puuttuessa myöskään niihin liittyviä hallinta- ja muita toimenpiteitä ei ole mahdollista määritellä yleisen tietosuoja-asetuksen mukaisesti.
Apulaistietosuojavaltuutettu katsoo edellä olevin perustein, ettei rekisterinpitäjän toimittamaa sijaintitietojen käsittelystä laadittua tietosuojaa koskevaa vaikutustenarviossa on merkittäviä puutteita, eikä sitä ole laadittu oikea-aikaisesti yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan mukaisesti. Niin ikään vaikutustenarviointi ei vastaa yleisen tietosuoja-asetuksen 35 artiklan 7 kohdan asettamia edellytyksiä.
6.2. Tietosuojaa koskevan vaikutustenarvioinnin laatiminen turvakameravalvonnasta taksiautoissa yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan perusteella
Rekisterinpitäjä on osoittanut muualla selvityksessään sen käsittelevän turvakameravalvonnan yhteydessä kuvatietoja sekä ainakin käsitelleen osassa sen välityksenpiiriin kuuluvissa taksiautoissa kuvatietojen lisäksi äänitietoja valvontatarkoituksessa. Kyseisen henkilötietojen tarkoituksena on ollut rekisterinpitäjän osoittamalla tavalla pääosin kuljettajien ja matkustajien turvallisuuden sekä kuljettajien työolojen turvaaminen. Kyseisen käsittelyn tarkoitukseksi rekisterinpitäjä on määritellyt myös vahinkotilanteiden ja turvallisuutta vaarantamisen tilanteiden selvittämisen. Lisäksi rekisterinpitäjä on määritellyt käsittelyn tarkoitukseksi toimintaprosessiensa valvomisen.
Turvakameravalvonnan yhteydessä tapahtuvassa henkilötietojen käsittelyssä on asiallisesti kokonaisuudessaan kyse valvonnasta. Taksiautoihin asennettujen turvakameroiden keräämien tietojen avulla pystytään jälkikäteisesti todentamaan erilaisia turvallisuuteen, henkilö- ja omaisuusvahinkoihin sekä rikosasioita koskevia tapahtumia sekä taksiautoissa ja sen läheisyydessä olleita tapahtumia ja käytäntöjä yleisemminkin. Rekisterinpitäjän harjoittama turvakameravalvonta on katsottava järjestelmälliseksi, sillä se on otettu käyttöön kaikissa Taksi Helsingin välityksen piiriin kuuluvissa taksiautoissa ja toteutettu yhdenmukaisesti jatkuvatallenteisilla turvakameroilla.
Arkaluonteiset tai luonteeltaan hyvin henkilökohtaiset tiedot eivät Tietosuojaryhmän mukaan (Tietosuojaryhmän vaikutustenarviointia koskeva ohje, s. 11) rajoitu pelkästään yleisen tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin tai 10 artiklan tarkoittamiin rikostuomioita tai rikkomuksia koskeviin tietoihin. Arkaluonteiset tai luonteeltaan hyvin henkilökohtaiset tiedot kattavat myös muita yleisessä merkityksessä arkaluonteisia henkilötietoja, koska ne liittyvät kotitaloutta koskevaan ja yksityiseen toimintaan, tai koska ne vaikuttavat perusoikeuden käyttämiseen tai koska niiden loukkaamiseen liittyy selvästi rekisteröidyn arkeen kohdistuvia vaikutuksia.
On pidettävä todennäköisenä, että turvakameravalvonnan yhteydessä on tallennettu luonteeltaan hyvin henkilökohtaisia tietoja. Esimerkiksi taksimatkan aikana käyty puhelinkeskustelu tai matkustaminen tietyssä seurassa saattavat välittää rekisteröidyistä sellaisia tietoja, joiden tuleminen ilmi saattaisi aiheuttaa rekisteröidylle haittaa heidän normaalissa elämässään. Lisäksi pidettävä todennäköisenä, ettei valtaosa rekisteröidyistä ole olleet tietoisia siitä, että siinä taksiautossa, jolla he ovat matkustaneet, on mahdollisesti kerätty turvakameravalvonnan yhteydessä myös äänitietoja, eivätkä he ole siten välttämättä osanneet ottaa tätä myöskään huomioon taksiautoissa käyttäytymisessään.
Rekisterinpitäjän selvityksen perusteella turvakameravalvonnan yhteydessä tapahtuvaa henkilötietojen käsittelyä on kokonaisuudessaan pidettävä laajamittaisena. Tätä puoltavat etenkin käsiteltävien henkilötietojen määrä, vaikutustenalaisten rekisteröityjen runsas määrä, välityksen piirissä olevien taksien määrä sekä välitettyjen taksikyytien määrä vuodessa. Laajamittaisuuden arvioinnissa on lisäksi otettava huomioon, että turvakamerat tallentavat henkilötietoja paitsi taksikyydin tilanneesta matkustajasta, myös hänen seurassaan matkustavista henkilöistä, jolloin on todennäköistä, että tosiasiallisesti turvakameravalvonnan kohteena on moninkertainen määrä luonnollisia henkilöitä verrattuna tilauksen tehneisiin rekisterinpitäjän rekisteröityihin. Lisäksi on todettava, että turvakameravalvonnan myötä käsiteltävät henkilötietoryhmät eivät rajoitu pelkästään kuva- ja äänitallenteisiin luonnollisista henkilöistä, jotka jo itsesään keräävät runsaasti erityyppisiä henkilötietoja taksiautoissa matkustavista luonnollisista henkilöistä.
Lisäksi rekisterinpitäjän toimittaman selvityksen mukaan turvakameravalvonnan yhteydessä keräämät kuva- ja äänitallenteet ovat aika- ja paikkasidonnaisia, jonka voidaan katsoa entisestään lisäävän käsiteltävien henkilötietojen määrää, mutta myös korostavan henkilötietojen käsittelyn mahdollisia vaikutuksia rekisteröidyille. Henkilötietojen keston ja pysyvyyden osalta rekisterinpitäjän toimittamisesta selvityksestä ilmenee, että turvakameravalvonta kuuluu sen tavanomaiseen toimintaan ja henkilötietojen käsittelyyn. Rekisterinpitäjä on ryhtynyt toimenpiteisiin varmistaakseen, että turvakameroiden äänitallennus on kytketty pois päältä joulukuussa 2019. Maantieteelliseltä vaikutusalueelta rekisterinpitäjän liiketoiminta on keskittynyt sen verkkosivuilta ilmenevin tiedoin pääkaupunkiseudulle, mutta sen välityksen piirissä olevia taksiautoja on myös muualla Suomessa. Rekisterinpitäjä on Suomen suurin taksikyytien välitysyhtiö.
Turvakameravalvonnan tietosuojaa koskevassa riskiarviossa on huomioitava lisäksi ainakin heikommassa asemassa olevia rekisteröityjä koskevien tietojen käsittely. Heikommassa asemassa olevien rekisteröityjen ja rekisterinpitäjän voimasuhteiden välillä ilmenee epätasapaino, joka saattaa ilmetä esimerkiksi heikommassa asemassa olevien rekisteröityjen vaikeuksina tai kyvyttömyytenä käyttää heille kuuluvia tietosuojaoikeuksia. Taksikyytipalveluja tarjotaan ovat lähtökohtaisesti kaikille henkilöryhmille ja turvakameravalvonnan kohteena on siten tavanomaisesti esimerkiksi lapsia ja ikääntyneitä ihmisiä. Erityisen heikommassa asemassa olevien rekisteröityjen ryhmän muodostavat taksiautojen kuljettajat, jotka ovat palvelussuhteessa rekisterinpitäjän autoilijakumppaneiden kanssa.
Apulaistietosuojavaltuutettu katsoo edellä esitetyin perustein ja neljän Tietosuojaryhmän määrittelemän kriteerin täyttyessä, että rekisterinpitäjän harjoittamaan turvakameravalvontaan liittyy yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan mukainen korkea riski luonnollisen henkilön oikeuksien ja vapauksien kannalta ja siitä olisi tullut laatia saman artiklan mukainen tietosuojaa koskeva vaikutustenarviointi ennen arvioinnin kohteena olevan käsittelyn aloittamista, eikä rekisterinpitäjä ole pystynyt osoittamaan kyseisen asetuksen kohdan noudattamista yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti.
Niin ikään koska velvoite laatia vaikutustenarviointi voidaan osoittaa jo yleisen tietosuoja-asetuksen 35 artiklan osalta, ei ole syytä tutkia, olisiko samasta käsittelytoimesta tullut laatia tietosuojaa koskeva vaikutustenarvio muulla perusteella.
Apulaistietosuojavaltuutettu kiinnittää huomioita siihen, ettei automaattisen päätöksenteon, mukaan lukien profilointi, yleisen tietosuoja-asetuksen 22 artiklan mukaisuutta ole tarkoituksenmukaista arvioida laajemmin ennen sitä koskevan vaikutustenarvioinnin laatimista.
6.3. Tietosuojaa koskeva vaikutustenarviointi rekisterinpitäjän kanta-asiakasohjelman yhteydessä harjoittamasta automaattisesta päätöksenteosta, mukaan lukien profilointi
Yleisen tietosuoja-asetuksen 35 artiklan 3 kohdan a-alakohdan soveltaminen edellyttää, että automaattinen käsittely, kuten profilointi sisältää luonnollisen henkilön henkilökohtaisten ominaisuuksien järjestelmällistä ja kattavaa arviointia ja että kyseinen automaattinen käsittely johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi. Yleisen tietosuoja-asetuksen 35 artiklan 3 kohdassa oleva lista ei ole edellä kuvatusti tyhjentävä, vaan tietosuojaa koskeva vaikutustenarviointi tulee tehdä myös muissa tapauksissa, joissa henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksien ja vapauksien kannalta, kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.
Rekisterinpitäjän selvityksen perusteella sen käsittelemät henkilötiedot automaattisen päätöksenteon, mukaan luettuna profilointi, perustana rajoittuvat puhelinnumeroihin, tietoihin taksisovelluksella tehdyistä tilauksista sekä tietoon siitä, onko rekisteröity saavuttanut VIP-tason. Luonnollisen henkilön henkilökohtaisten ominaisuuksien järjestelmällistä ja kattavaa arviointia koskevan vaatimuksen osalta on todettava yhtäältä, että automaattisen päätöksenteon, mukaan lukien profilointi, sisältämä henkilökohtaisten ominaisuuksien arviointi rajoittuu käytännössä tietoon siitä, kuinka usein tietty henkilö käyttää taksia.
Vaikka rekisterinpitäjän kyseisen käsittelytoimen yhteydessä harjoittama henkilökohtaisten ominaisuuksien arviointi tapahtuu jokaisen taksitilauksen yhteydessä ja voidaan siten katsoa järjestelmälliseksi, ei puhelimella tai tilaussovelluksen avulla tehtyjen taksitilausten, niiden määrän sekä VIP-asiakkuustiedon käsittelyä voida pitää yleisen tietosuoja-asetuksen 35 artiklan 3 kohdan a alakohdan tarkoittamana luonnollisen henkilön ominaisuuksien kattavana arviointina. Koska ensimmäinen yleisen tietosuoja-asetuksen 35 artiklan 3 kohdan a alakohdan kahdesta kumulatiivisesta vaatimuksesta ei täyty, ei sen toista sisäänkirjoitettua vaatimusta, eli automaattisen päätöksenteon johtamista päätöksen, jolla on oikeusvaikutuksia tai muita merkittäviä vaikutuksia, ole syytä tässä yhteydessä arvioida.
Apulaistietosuojavaltuutettu katsoo edellä kuvatuin perustein, ettei rekisterinpitäjän olisi tullut laatia tietosuojaa koskevaa vaikutustenarviointia yleisen tietosuoja-asetuksen 35 artiklan 3 kohdan a alakohdan mukaan. Ratkaistavaksi jää, olisiko sen tullut laatia tietosuojaa koskeva vaikutustenarvio yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan, eli jos henkilötietojen käsittelyn voidaan katsoa aiheuttavan todennäköisesti korkean riskin luonnollisen henkilön vapauksille ja oikeuksille, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen.
Arvioitaessa rekisterinpitäjän velvollisuutta laatia tietosuojaa koskeva vaikutustenarviointi yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan perusteella apulaistietosuojavaltuutettu kiinnittää huomiota Tietosuojaryhmän ohjeessaan määrittämiin henkilökohtaisia ominaisuuksiin perustuviin arviointia ja pisteytystä koskeviin kriteereihin, automaattiseen päätöksentekoon, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia, tietojen laajamittaiseen käsittelyyn ja heikossa asemassa olevia rekisteröityjä koskevien rekisteröityjen tietojenkäsittelyyn koskeviin kriteereihin.
Henkilökohtaisten ominaisuuksiin perustuvan arvioinnin ja pisteytyksen osalta on todettava, kuten edellä on kuvattu, ettei automaattisen päätöksenteon yhteydessä käsiteltävät henkilötiedot ilmennä henkilön ominaisuuksien osalta muuta, kuin käytännössä sen, kuinka usein hän käyttää taksipalveluja. Rekisterinpitäjän toimittaman selvityksen perusteella se ei käsittele muita tällaisia rekisteröidyistä ilmeneviä tietoja kanta-asiakasohjelman sisältämän automaattisen päätöksenteon yhteydessä. Rekisterinpitäjän toimittaman selvityksen perusteella VIP-asiakkuuden todentaminen ja sen tuomien etujen tarjoaminen soveltuville henkilöille edellyttää rekisteröityjen pisteytystä, joka perustuu sen tekemiin taksitilauksien määrään, ei taksipalvelujen käytön tiheydellä ole nähtävissä kanta-asiakasohjelman yhteydessä tapahtuvan henkilötietojen käsittelyn osalta muuta merkitystä, kuin VIP-asiakkuuden todentaminen. Apulaistietosuojavaltuutettu katsoo, ettei henkilöiden pisteytystä koskeva henkilötietojen käsittely ilmennä todennäköistä korkeaa riskiä rekisteröityjen oikeuksille ja vapauksille.
Automaattisen päätöksenteon, mukaan luettuna profilointi, perusteella tehtävien rekisteröityjä koskevin päätöksien oikeusvaikutuksien ja muiden merkittävien vaikutuksien osalta Tietosuojaryhmä on katsonut, että tällaisiin vaikutuksiin lukeutuu esimerkiksi henkilöiden ulkopuolelle jättäminen tai syrjintä, eikä kriteerin edellytykset täyty, jos käsittelyn vaikutukset luonnollisiin henkilöihin ovat vähäisiä tai niitä ei ole (Tietosuojaryhmän vaikutustenarviointia koskeva ohje, s. 10). Rekisterinpitäjä on katsonut vastauksessaan 6.3.2020, ettei kyseisellä käsittelyllä ole oikeusvaikutuksia tai muita merkittäviä vaikutuksia rekisteröidyille.
Apulaistietosuojavaltuutettu toteaa, että kyseisen käsittelytoimen perusteella tehtyjen päätösten tosiasialliset vaikutukset rajautuvat lähtökohtaisesti siihen, että taksia tilaava henkilö saa taksikyydin joko nopeammin, hitaammin taikka ääritapauksessa, jossa hänen eteensä jonoon tulee pelkästään VIP-asiakkaita, hän saa rekisterinpitäjän välittämän taksin vasta pitkän ajan kuluttua tai ei ollenkaan. Edellä kuvattujen vaikutusten perusteella apulaistietosuojavaltuutettu katsoo kyseisellä henkilötietojen käsittelyllä olevan pääasiassa vain vähäisiä vaikutuksia luonnollisiin henkilöihin, kun otetaan huomioon, että rekisterinpitäjän merkittävästä markkina-asemasta huolimatta saatavilla on myös muita taksikyytejä välittäviä ja taksipalveluja tarjoavia palveluntarjoajia. Kyseisen henkilötietojen käsittelyn vaikutukset saattaisivat olla suuremmat, mikäli rekisterinpitäjän tarjoamat palvelut olisivat ainoina kyytipalveluina tietyn ryhmän käytössä.
Laajamittaisen käsittelyn arvioinnissa on huomioitava yhtäältä, että kyseisen käsittelyn yhteydessä käsitellään vain rajoitetusti henkilötietotyyppejä. Toisaalta henkilötietojen käsittelyn määrää voidaan pitää suurena. Rekisterinpitäjän selvityksen mukaan rekisterinpitäjän välityskeskus välittää noin neljä miljoonaa taksikyytiä vuosittain, joissa valtaosa tilauksista tulee digitaalisia tilauskanavia pitkin ja noin kolmannes puhelimitse. Tällöin pelkästään puhelimitse tehtyjä taksitilauksia ja niiden yhteydessä tapahtuvaa automaattista käsittelyä VIP-asiakkuuden määrittämiseksi on yli miljoona kertaa vuodessa. Kun huomioidaan tämän lisäksi tilaussovellusten kautta tehdyt tilaukset, voidaan henkilötietojen käsittelyä tältä osin pitää laajamittaisena. Lisäksi on huomioitava, että kyseinen käsittely on osa rekisterinpitäjän tavanomaista henkilötietojen käsittelyä ja se on kestänyt rekisterinpitäjän osoittamalla tavalla syyskuusta 2018 alkaen. Rekisterinpitäjän henkilötietojen käsittelyn maantieteelliset vaikutukset sijoittuvat erityisesti pääkaupunkiseudulle, mutta sen tarjoamat palvelut ovat saatavilla sekä sen rekisteröidyt saattavat sijoittua muuallekin. Automaattista päätöksentekoa, mukaan lukien profilointi, koskeva henkilötietojen käsittely rekisterinpitäjän kanta-asiakasohjelman yhteydessä on katsottava kokonaisuudessaan laajamittaiseksi.
Heikommassa asemassa olevia rekisteröityjä koskevien tietojen käsittelyn osalta voidaan todeta, kuten edellä turvakameravalvontaa koskien on tuotu esiin, että rekisterinpitäjä käsittelee todennäköisesti tässä asemassa olevien rekisteröityjen tietoja. Automaattisen päätöksenteon, mukana luettuna profilointi, osalta on todettava lisäksi, että tässä asemassa olevat henkilöt eivät välttämättä osaa käyttää heidän oikeuttaan vastustaa heitä koskevaa automaattista päätöksentekoa.
Kahden Tietosuojaryhmän määrittämän edellytyksen täyttyessä apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän harjoittamasta automaattisesta päätöksenteosta, mukaan luettuna profilointi, todennäköisesti aiheutuu korkean riski luonnollisen henkilön oikeuksille ja vapauksille. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän olisi tullut laatia kanta-asiakasohjelmansa yhteydessä harjoittamasta automaattisesta päätöksenteosta, mukaan lukien profilointi, yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan tietosuojaa koskeva vaikutustenarviointi ennen käsittelyyn ryhtymistä, kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset. Näin ollen rekisterinpitäjä ei ole pystynyt osoittamaan kyseisen asetuksen kohdan noudattamista yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti.
Apulaistietosuojavaltuutetun päätöksen yhteenveto
Rekisterinpitäjän henkilötietojen käsittelyssä on edellä kuvatusti ilmennyt yleisen tietosuoja-asetuksen noudattamisen vakavia puutteita. Henkilötietojenkäsittely ei täytä yleisen tietosuoja-asetuksen 5, 6, 12, 26, 28, 30 ja 35 artiklassa säädettyjä käsittelyn edellytyksiä. Näin laajat puutteet henkilötietojen käsittelyssä ilmentävät myös yleisen tietosuoja-asetuksen 25 artiklan mukaisen sisäänrakennetun ja oletusarvoisen tietosuojan vastaista menettelyä sekä puutteita rekisterinpitäjältä 24 artiklassa edellytetyissä teknisissä ja organisatorisissa toimenpiteissä.
SEURAAMUSKOLLEGION PÄÄTÖS SEURAAMUSMAKSUN MÄÄRÄÄMISESTÄ JA SEN SUURUUDESTA
Ottaen huomioon apulaistietosuojavaltuutetun päätös asetuksen vastaisuudesta, johon liittyvät rikkomukset ilmentävät kokonaisvaltaisesti vakavia puutteita henkilötietojen käsittelyn perusedellytyksissä, seuraamuskollegio on arvioinut yleisen tietosuoja-asetuksen 83 artiklan perusteella tehokkaaksi, oikeasuhtaiseksi ja varoittavaksi seuraamukseksi hallinnollisen seuraamusmaksun määräämisen.
Tietosuojavaltuutetun toimiston seuraamuskollegio määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukaisesti ja yleisen tietosuoja-asetuksen 83 artiklan sekä tietosuojalain 24 §:n nojalla rekisterinpitäjälle 72.000,00 (seitsemänkymmentäkaksituhatta) eu-ron suuruisen hallinnollisen seuraamusmaksun valtiolle maksettavaksi.
Hallinnollisen seuraamusmaksun määrää arvioitaessa on otettu huomioon tietosuoja-asetuksen 83 artiklan 2 kohdan mukaiset raskauttavat ja lieventävät tekijät.
Rekisterinpitäjä ei ole tietosuojavaltuutetun toimiston kuulemispyyntöön toimittamassaan vastauksessa esittänyt, että koronatilanne olisi hallinnollista seuraamusmaksua alentavana tekijä. Seuraamuskollegio on hallinnollisen seuraamusmaksun määrää arvioidessaan ottanut kuitenkin poikkeuksellisen tilanteen huomioon. On yleisesti tiedossa, että koronatilanne on vaikuttanut merkittävästi taksitoimintaan. Koska nämä vaikutukset eivät näy vielä seuraamuskollegiolla käytössä olleista Taksi Helsingin liikevaihtoa koskevista tiedoista, on seuraamuskollegio ottanut koronatilanteen vaikutukset yleisesti huomioon seuraamusmaksun määrää alentavana tekijänä. Hallinnollinen seuraamusmaksu pannaan täytäntöön, kuten sakon täytäntöönpanosta annetussa laissa (672/2002) on säädetty.
SEURAAMUSKOLLEGION PÄÄTÖKSEN PERUSTELUT
Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukaan jokaisella valvontaviranomaisella on korjaavat toimivaltuudet määrätä 83 artikla nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen.
Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan jokaisen valvontaviranomaisen on varmistettava, ettätämän asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen on tämän artiklan mukaisesti kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.
Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:
e) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;
f) rikkomisen tahallisuus tai tuottamuksellisuus;
g) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;
h) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;
i) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;
j) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;
k) henkilötietoryhmät, joihin rikkominen vaikuttaa;
l) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;
m) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;
n) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja
o) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.
Yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan mukaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.
Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:
a) edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna;
b) rekisteröityjen 12–22 artiklan mukaiset oikeudet;
Tietosuojalain 24 artiklan mukaan tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana.
Rekisterinpitäjän kuuleminen seuraamuksmaksun määräämisestä
Rekisterinpitäjää on kuultu seuraamusmaksun määräämisestä 13.2.2020 toimitetulla lisäselvitys-ja kuulemispyynnöllä. Rekisterinpitäjä on esittänyt 6.3.2020 toimittamassa vastauksessaan, että seuraamusmaksun määräämisen edellytykset eivät täyty miltään osin asiassa. Rekisterinpitäjä katsoo, että asiassa tulisi havaittujen puutteiden korjaamisen lisäksi määrätä korkeintaan huomautus. Rekisterinpitäjä viittaa tältä osin tietosuojavaltuutetun toimiston aikaisempiin päätöksiin, joissa seuraamukseksi on puutteiden korjaamisen ohella määrätty huomautus.
• Turvakameroiden osalta rekisterinpitäjä katsoo, että seuraamusmaksun määräämisen edellytyksiä arvioitaessa tulisi yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan perusteella huomioida erityisesti seuraavat seikat: Ottaen huomioon esitetty selvitys asiassa, mahdollinen rikkomus on ollut vähäinen ja lyhytkestoinen eikä siitä ole esitetty aiheutuneen vahinkoa;
• Mahdollinen rikkomus ei ole ollut tahallinen ja enintään lievästi tuottamuksellinen;
• Rekisterinpitäjäon välittömästi ryhtynyt toimenpiteisiin mahdollisen rikkomuksen korjaamiseksi ja haittavaikutusten lieventämiseksi;
• Rekisterinpitäjäon itse tiedottanut rekisteröityjä mahdollisesta rikkomuksesta ja sen korjaustoimista;
• Rekisterinpitäjäon tehnyt yhteistyötä TSV:n kanssa ja toimet rikkomisen korjaamiseksi sekä mahdollisten haittavaikutusten lieventämiseksi on tehty heti TSV:n ensimmäisen Taksi Helsingille osoittaman selvityspyynnön jälkeen; ja
• Taksi Helsinki ei ole syyllistynyt aiempiin rikkomuksiin.
Muiden asioiden kuin turvakameroiden osalta rekisterinpitäjä katsoo, että seuraamusmaksun määräämisen edellytyksiä arvioitaessa tulisi yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan perusteella huomioida erityisesti seuraavat seikat:
• Ottaen huomioon esitetty selvitys asiassa, mahdollinen rikkomus on ollut vähäinen eikä siitä ole esitetty aiheutuneen vahinkoa;
• Mahdollinen rikkomus ei ole ollut tahallinen ja enintään lievästi tuottamuksellinen;
• Taksi Helsinki on välittömästi ryhtynyt toimenpiteisiin mahdollisen rikkomuksen korjaamiseksi ja haittavaikutusten lieventämiseksi;
• Taksi Helsinki on tehnyt yhteistyötä TSV:n kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi; ja
• Taksi Helsinki ei ole syyllistynyt aiempiin rikkomuksiin.
Seuraamusmaksun määräämistä koskeva arviointi
Sakon määräämisessä on yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaisesti yksittäisarviosta, jossa otetaan huomioon kulloinkin käsillä olevan asian ominaispiirteet. Rekisterinpitäjä on kuulemisen yhteydessä vedonnut tietosuojavaltuutetun toimiston aikaisempiin päätöksiin, joissa seuraamusmaksua ei ole määrätty, vaan seuraamukseksi on määrätty saattamaan henkilötietojen käsittely yleisen tietosuoja-asetuksen mukaiseksi ja annettu huomautus. Kyseisillä päätöksillä ei ole niiden ulkopuolelle ulottuvaa laajempaa oikeusvaikutusta ja seuraamusta koskeva harkinta tehdään jokaisen asian osalta erikseen. Seuraamusmaksun määräämistä koskeva päätös tehdään tässä yksittäistapauksessa edellä kuvattujen ja apulaistietosuojavaltuutetun ratkaisemien yleisen tietosuoja-asetuksen vastaisuuksien ja niistä annettujen määräysten tietojen perusteella.
Hallinnollisen seuraamusmaksun tulee olla yksittäistapauksessa tehokas, oikeasuhtainen ja varoittava. Tehokkuuden osalta on todettava, etteinyt käsiteltävänä olevassa tapauksessa pelkän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys ole riittävä seuraus rekisterinpitäjän yleisen tietosuoja-asetuksen vastainen henkilötietojen käsittely huomioiden. Rekisterinpitäjän yleisen tietosuoja-asetuksen vastainen menettely on sisältänyt edellä kuvatulla tavalla vakavia puutteita yleisen tietosuoja-asetuksen ja rekisteröidyn oikeuksien ja vapauksien kannalta keskeisissä asetuksen kohdissa. Apulaistietosuojavaltuutetun yhteenvedon mukaisesti nämä puutteet kuvastavat yleisen tietosuoja-asetuksen vaatimusten vastaista menettelyä kokonaisvaltaisemmin. Hallinnollista seuraamusmaksua voidaan pitää tehokkaana keinona puuttua siihen, ettei rekisterinpitäjä ole puuttunut asian selvittämiseen mennessä sen tästä päätöksestä ilmenevien yleisen tietosuoja-asetuksen mukaisten velvoitteiden laiminlyöntiin.
Hallinnollisen seuraamusmaksun tulee olla määrältään oikeasuhteinen, kun huomioidaan rekisterinpitäjän liiketoiminta ja sen taloudellinen tilanne. Hallinnollisen seuraamusmaksua määrätessä huomioidaan rekisterinpitäjän edeltävän tilikauden vuotuinen maailmanlaajuinen kokonaisliikevaihto. Rekisterinpitäjä on vastauksessaan 6.3.2020 ilmoittanut edeltävän tilikauden kokonaisliikevaihdoksi 10,1 miljoonaa euroa. Edeltävän tilikauden, eli vuoden 2019 tilinpäätös ei rekisterinpitäjän vastauksen perusteella ollut vielä valmistunut. Rekisterinpitäjän ilmoittamaa tilikauden 2019 liikevaihtotietoa on pidettävä uskottavana, sillä rekisterinpitäjän toimittaman 2018 tilinpäätöksen mukaan vuoden 2018 liikevaihto oli 8,792 miljoonaa euroa ja vuonna 2017 7,325 miljoonaa euroa.
Hallinnollisen seuraamusmaksun tulee olla luonteeltaan varoittava. Rahamääräisen seuraamusmaksun määräämisellä tulee olla sellainen taloudellinen vaikutus rekisterinpitäjälle, ettei se ole yhdentekevä sen liiketoiminnan kannalta. Seuraamuksen tulee motivoida rekisterinpitäjä välttämään yleisen tietosuoja-asetuksen rikkomista jatkossa.
Seuraamusmaksun enimmäismäärän arviointi
Apulaistietosuojavaltuutettu on katsonut päätöksessään rekisterinpitäjän menettelyn olleen yleisen tietosuoja-asetuksen 5 artiklan, 6 artiklan, 12 artiklan, 26 artiklan, 28 artiklan, 30 artiklan ja 35 artiklan vastaista, jotka osaltaan ilmentävät yleisen tietosuoja-asetuksen 24 ja 25 artiklan vastaista menettelyä.
Näistä 5, 6 ja 12 artiklojen rikkomukset kuuluvat vakavimpina rikkomuksina yleisen tietosuoja-asetuksen 83 artiklan 5 alakohdan mukaiseen korkeampaan seuraamusmaksuluokkaan.
Näin ollen sovellettava hallinnollisen seuraamusmaksun enimmäismäärä määräytyy yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaisesti eikä saa ylittää sitä yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan perusteella.
Raskauttavien ja lieventävien asianhaarojen arviointi
Rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus
Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a alakohdan mukaisina lieventävinä asianhaaroina voidaan pitää yhtäältä sitä, että rekisterinpitäjä on käsitellyt turvakameravalvonnan yhteydessä äänitietoja rajoitetun ajan. Lisäksi rekisterinpitäjä on ryhtynyt turvakameravalvonnan osalta korjaaviin toimenpiteisiin sille osoitetun asiaa koskevan selvityspyynnön jälkeen. Toisaalta rekisterinpitäjän olisi tullut arvioida ja saattaa turvakameravalvonnan yhteydessä harjoittama henkilöjen käsittely yleisen tietosuoja-asetuksen mukaiseksi jo siihen mennessä, kun yleistä tietosuoja-asetusta alettiin soveltaa, sekä huomioida ja varmistua sen vaatimuksien noudattamisesta ennen, kun uusia äänitallennuksella varustettuja laitteita otettiin käyttöön.
Asiassa on niin ikään huomioitava se, että henkilötietojen käsittely on keskeinen edellytys rekisterinpitäjän liiketoiminnalle ja se on menetellyt yleisen tietosuoja-asetuksen vastaisesti järjestelmällisesti tavanomaisen toimintansa yhteydessä. Rekisterinpitäjä käsittelee henkilötietoja laajamittaisesti ja henkilötietojen käsittely koskee merkittävää määrää rekisteröityjä ja henkilötietotyyppejä.
Rekisteröidyille aiheutuneet vahingot rajoittuvat siihen, että heitä koskevia henkilötietoja on käsitelty lainvastaisesti, mikä aiheuttaa todennäköisesti turvattomuuden tunnetta ja yksityisyyden suojan menettämisen tunnetta. Niin ikään rekisterinpitäjän yleisen tietosuoja-asetuksen vastaisen menettelyn johdosta rekisteröidyillä on ollut huonommat edellytykset valvoa heitä koskevien henkilötietojen käsittelyn lainmukaisuutta. Asiassa on lisäksi huomioitava raskauttavana seikkana se, että rekisterinpitäjän voidaan katsoa käsittelevän tavanomaisessa toiminnassaan heikommassa asemassa olevien rekisteröityjen tietoja. Rekisteröidyille aiheutuneita taloudellisia vahinkoja ei ole asian selvittämisen aikana käynyt ilmi.
Rikkomisen tahallisuus tai tuottamuksellisuus
Rekisterinpitäjän asetuksen vastainen menettely on katsottava tuottamukselliseksi. Tuottamuksellisuutta on tässä tapauksessa pidettävä hallinnollisen seuraamusmaksun määräämistä puoltavana tekijänä. Hallinnollisen seuraamusmaksun määräämisen kannalta raskauttavana seikkana voidaan pitää sitä, että asian selvityksen kestäessä rekisterinpitäjän menettelystä on käynyt ilmi useita henkilötietojen käsittelyn kannalta perustavanlaatuisia puutteita.
Rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi
Seuraamusmaksun määräämistä koskevina lieventävinä seikkoina otetaan huomioon, että rekisterinpitäjä on omaehtoisesti lopettanut ja pyrkinyt varmistamaan, ettei turvakameravalvonnan yhteydessä enää käsitellä äänitiedostoja ja se on selvityksensä perusteella sitoutunut korjaamaan henkilötietojen käsittelyä koskevat puutteet. Toisaalta on huomioitava, että rekisterinpitäjä on ryhtynyt toimenpiteisiin ja sitoutunut korjaamaan puutteet vasta rekisterinpitäjälle osoitetun selvityspyynnön jälkeen.
Muiden asetuksen vastaisuuksien osalta voidaan katsoa raskauttavaksi seikaksi se, ettei rekisterinpitäjä ole asetuksen soveltamisen alkamiseen mennessä tai sen jälkeen ole riittävästi huolehtinut siitä, että henkilötietojen käsittely olisi yleisen tietosuoja-asetuksen mukaista.
Rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet
Rekisterinpitäjän vastuuta lieventävänä seikkana voidaan katsoa sen osoittamat toimenpiteet ennen asian selvittämistä ja selvittämisen kestäessä. Toisaalta asiassa todetut yleisen tietosuoja-asetuksen vastaisuudet osoittavat vakavaa piittaamattomuutta henkilötietojen käsittelystä rekisteröidyille aiheutuvien vaikutuksiin nähden, jolloin käsittelyn turvallisuutta koskevat myöhemmät toimenpiteet eivät ole perustuneet asianmukaiseen arvioon.
Rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset
Rekisterinpitäjää koskien ei ole aikaisempia vastaavia rikkomuksia.
Yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi
Lieventävänä seikkana voidaan pitää sitä, että rekisterinpitäjän voidaan katsoa toimineen valvontaviranomaisen kanssa yhteistyössä ja selvityksensä perusteella sitoutuneensa ryhtyvänsä korjaaviin toimenpiteisiin.
Henkilötietoryhmät, joihin rikkominen vaikuttaa
Raskauttavana seikkana asiassa on pidettävä sitä, että rekisterinpitäjä käsittelee laajamittaisesti rekisteröityjä koskevia henkilötietoja. Erityisesti rekisteröityjä koskeviin sijainti- sekä kuva- ja äänitietojen käsittelemiseen liittyy tavanomaista korkeampi riski.
Tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa
Tietosuojavaltuutetun toimisto sai rekisterinpitäjää koskevasta asiasta tiedon alun perin ilmiannosta, jonka teki huolestunut anonyymi rekisteröity. Rekisterinpitäjää koskevaa asia tuli vireille ja sitä alettiin tutkimaan oma-aloitteisena asiana viran puolesta.
Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot
Lieventävänä seikkana voidaan katsoa se, että rekisterinpitäjä on asian selvittämisen kestäessä osoittanut sitoutuneensa vastaisuudessa kehittämään tietosuojaansa.
Edellä kuvat seikat huomioon ottaen tietosuojavaltuutetun toimiston seuraamuskollegio määrää rekisterinpitäjän yleisen tietosuoja-asetuksen vastaisesta menettelystä apulaistietosuojavaltuutetun antaman yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen lisäksi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukaisen hallinnollisen seuraamusmaksun.
Seuraamuskollegio katsoo edellä päätöksessä kuvatut yleisen tietosuoja-asetuksen vastaisuudet huomioon ottaen tehokkaaksi, oikeasuhtaiseksi ja varoittavaksi seuraamusmaksuksi 72.000,00 (seitsemänkymmentäkaksituhatta) euroa.
Sovelletut lainkohdat
Perusteluista ilmenevät.
Helsingin hallinto-oikeus kumosi apulaistietosuojavaltuutetun määräyksen laatia tietosuojaa koskeva vaikutustenarviointi kanta-asiakasohjelman yhteydessä harjoitetusta automaattisesta päätöksenteosta ja profiloinnista ja alensi seuraamusmaksun määrän 60 000 euroon (Helsingin hallinto-oikeuden päätös H5415/2021, annettu 2.11.2021). Muilta osin apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset ovat lainvoimaisia. Korkein hallinto-oikeus ei myöntänyt valituslupaa hallinto-oikeuden päätöksestä (1443/2024, annettu 17.5.2024).