Finlex - Etusivulle
Tietosuojavaltuutettu

19.3.2025

Tietosuojavaltuutettu

Tietosuojavaltuutetun ratkaisuja EU:n yleisen tietosuoja-asetuksen, rikosasioiden tietosuojalain ja henkilötietolain tulkinnasta

Oppilaiden sormenjälkien käsittely pääsyn valvonnassa

Asiasanat
Biometriset tiedot, Vaikutustenarviointi
Tapausvuosi
2025
Antopäivä
Diaarinumero
TSV/21/2019
Säädösperusta
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Apulaistietosuojavaltuutetun päätös

Asia

Oppilaiden sormenjälkien käsittely pääsyn valvonnassa

Rekisterinpitäjä

Kaupunki

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto lähetti 31.10.2019 kaupungille selvityspyynnön, koska tietosuojavaltuutetun tietoon oli tullut, että kaupungin perusopetuksessa oleville oppilaille olisi jaettu kulkurannekkeita, joilla pääsi uimahalliin maksutta. Käytettävissä olevien tietojen perusteella kulkurannekkeisiin oli talletettu tietoja oppilaiden sormenjäljistä.

Rekisterinpitäjä kertoi 28.11.2019 antamassaan vastauksessa, että uimahallietuuden pääasiallinen käyttötapa on älypuhelimessa toimiva sovellus. Kulkurannekkeita on vanhempien suostumuksella käytetty korvaavana keinona niissä tapauksissa, kun älypuhelinta ei ole käytössä tai siihen ei ole haluttu asentaa kyseistä sovellusta. 

Selvityksen mukaan lukulaitteen avulla sormenjälkien yksityiskohdista laaditaan vain valmistajan tunteman algoritmin avustuksella matemaattinen malli, joka tallennetaan pakatussa muodossa ainoastaan käyttäjän omaan rannekkeeseen. Kuvaa sormenjäljestä ei tallenneta minnekään. Etua käytettäessä rannekkeella olevaa mallia verrataan sormesta uudelleen luotavaan malliin. Jos nämä ovat kylliksi toisiaan vastaavat, käyttäjä pääsee sisälle. Järjestelmässä ei ole tallennettuna käyttäjistä mitään tietoa. Sisäänpääsy tapahtuu geneerisen “oppilas”-tilin kautta. Käyttäjän omaan rannekkeeseen tallennettu malli ei ole palautettavissa sormenjälkitiedoksi. Käyttäjien rannekkeita ei ole identifioitu muilla keinoin käyttäjille.

Menettelyyn ei ole rekisterinpitäjän antaman selvityksen mukaan tulkittu liittyvän henkilötietojen käsittelyä. Toimittajan kuvauksen mukaan kyse ei ole sormenjälkitunnistuksesta, koska käyttäjiä ei tunnisteta tai henkilöidä sormenjäljestä tallennetun mallin perusteella. Kyse on selvityksen mukaan sormenjälkivarmennuksesta, jossa sormenjäljestä saatua mallia käytetään avuksi varmistamaan käyttöoikeus etuuteen.

Tietosuojavaltuutetun toimisto pyysi 17.5.2024 lisäselvitystä rekisterinpitäjältä. Rekisterinpitäjä kertoi 23.5.2024 antamassaan lisäselvityksessä, että kaupunki tarjoaa kaikille kaupunkilaisille 5.–9.-luokkalaisille maksuttomia uintikertoja uimahalleissa tai maauimalassa. Rekisterinpitäjän 7.1.2025 tietosuojavaltuutetun toimistoon toimittamassa huoltajille lähetetyssä uinnit -tiedotteessa kerrotaan, että uintikertoja on 43 ja että uintiranneke toimii oppilaan sormenjälkitunnisteella. Jos rannekkeen haluaa ottaa käyttöönsä, huoltajalta pyydetään tiedotteen lopussa olevalla suostumuslomakkeella suostumus sormenjälkitunnisteen ottamiseen hänen lapsestaan ja hänen henkilötietojensa lataamiseen uimahallirannekkeen käyttöönottoa varten.

Huoltajille jaetussa tiedotteessa kerrotaan lisäksi, että sivistystoimialalle tai uimahalleille ei synny henkilörekisteriä tai sormenjälkirekisteriä oppilaista. Sen mukaan oppilaiden tiedot tallentuvat uimahallin laitetoimittajan järjestelmään numerosarjana, jonka voi purkaa ainoastaan laitetoimittaja, joka vastaa siitä, että toiminta täyttää tarvittavat viranomaismääräykset. Tiedotteessa oli myös linkki sivulle www.kaupunki.fi/tietosuoja.

Kaudella 2023–2024 ranneke on selvityksen mukaan ollut käytössä 31 oppilaalla. Rekisterinpitäjän 7.1.2025 lähettämästä lisäselvityksestä ilmenee, että ranneke on käytössä myös kaudella 2024-2025. Selvityksen mukaan aina käyttökauden päättyessä tiedot hävitetään.

Sovellettavasta lainsäädännöstä

Henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (jäljempänä tietosuoja-asetus). Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Tietosuoja-asetusta täsmentää ja täydentää kansallinen tietosuojalaki (1050/2018). Henkilötietojen käsittelyyn voi vaikuttaa myös toimintaan sovellettava muu lainsäädäntö.

Henkilötiedolla tarkoitetaan tietosuoja-asetuksen 4 artiklan 1 kohdan mukaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä rekisteröity, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, (---) taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, (---) tekijän perusteella.

Käsittelyllä tarkoitetaan tietosuoja-asetuksen 4 artiklan 2 kohdan mukaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallettamista, (---) säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, (---) tietojen yhteensovittamista (…). Käsittely on lainmukaista tietosuoja-asetuksen 6 artiklan 1 kohdan mukaan ainoastaan jos ja vain siltä osin kuin vähintään yksi sen alakohdan edellytyksistä täyttyy.

Biometrisillä tiedoilla tarkoitetaan tietosuoja-asetuksen 4 artiklan 14 kohdan mukaan kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä tietyllä teknisellä käsittelyllä saatuja henkilötietoja, kuten (---) sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön yksiselitteinen tunnistaminen voidaan varmistaa.

Tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan sellaisten henkilötietojen käsittely, joista ilmenee (…) sekä (---) biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten (---) on kiellettyä. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin 2 kohdan alakohtaa.

Henkilötietojen suhteen on tietosuoja-asetuksen 5 artiklan 1 kohdan mukaan noudatettava seuraavia vaatimuksia:

a) niitä on käsiteltävä lainmukaisesti, (…) (”lainmukaisuus, …”); (---) Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).

Tietosuoja-asetuksen 25 artiklan 1 kohdan mukaan ottaen huomioon uusimman teknologian, toteuttamiskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on sekä käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, (…) tehokkaasti tietosuojaperiaatteiden (…), täytäntöönpanoa varten, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. (…)

Tietosuoja-asetuksen 58 artiklan 2 kohdan mukaan jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet: (---) b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia. (---)

d) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa. (…)

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain pohjalta. Käsillä olevassa asiassa on kyse menetelmästä, jolla selvitetään, onko oppilaalla oikeus päästä uimahalliin maksutta. Asiassa on ratkaistava:

1. Onko asiassa kyse tietosuoja-asetuksen 4 artiklan 14 kohdan mukaisten biometristen tietojen käsittelystä;

2. Onko rekisterinpitäjä noudattanut biometristen tietojen käsittelyssä tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädettyjä lainmukaisuuden periaatetta, 5 artiklan 2 kohtaa (osoitusvelvollisuus) ja 25 artiklan 1 kohtaa (sisäänrakennettu ja oletusarvoinen tietosuoja);

3. Onko rekisterinpitäjän tullut tehdä tietosuoja-asetuksen 35 artiklan 1 kohdan mukainen tietosuojaa koskeva vaikutustenarviointi.

4. Mikäli rekisterinpitäjän harjoittama henkilötietojen käsittely ei ole ollut tietosuoja-asetuksen säännösten mukaista, onko rekisterinpitäjälle määrättävä tietosuoja-asetuksen 58 artiklan 2 kohdan mukainen seuraamus.

Apulaistietosuojavaltuutetun päätös ja perustelut

Päätös

Käyttäessään sormenjälkitodentamismenetelmää uimahalliin pääsyn varmistamiseksi rekisterinpitäjä on käsitellyt oppilaiden fysiologisiin ominaisuuksiin liittyvällä tietyllä teknisellä käsittelyllä saatuja henkilötietoja, joiden perusteella kyseinen oppilas voidaan tunnistaa tai kyseisen oppilaan yksiselitteinen tunnistaminen voidaan varmistaa. Käsittely on koskenut oppilaiden sormenjälkiä.

Rekisterinpitäjä ei ole määritellyt henkilötietojen käsittelyn perustetta ennen kyseisen menetelmän käyttöönottoa, koska rekisterinpitäjä on arvioinut, että kyse ei ole ollut henkilötietojen käsittelystä. Rekisterinpitäjä ei siten ole osoittanut, että biometristen tietojen käsittelyyn oli olemassa lainmukainen peruste. Rekisterinpitäjä ei ole noudattanut oppilaiden sormenjälkitietojen käsittelyssä tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädettyä lainmukaisuuden periaatetta eikä tietosuoja-asetuksen 5 artiklan 2 kohtaa ja 25 artiklan 1 kohtaa.

Rekisterinpitäjän olisi tullut tehdä tietosuoja-asetuksen 35 artiklan 1 kohdan perusteella tietosuojaa koskeva vaikutustenarviointi, koska pääsynvalvonnassa on käytetty uutta teknologiaa, jonka käyttöönotto todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksien ja vapauksien kannalta päätöksen perusteluissa mainituin perustein.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen, koska oppilaiden biometristen tietojen käsittelytoimet ovat olleet tietosuoja-asetuksen vastaisia edellä kuvatulla tavalla. Kyse on ollut sormenjälkitietojen käsittelystä. Päätöksessä ei ole arvioitu biometristen tietojen käsittelyn lainmukaisuutta laajemmin.

Apulaistietosuojavaltuutettu antaa tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjän tulee huolehtia siitä, että kaikki ranneketta käyttäneiden oppilaiden biometriset tiedot hävitetään asianmukaisesti. 1

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää sen toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistolle 15.8.2025 mennessä, ellei rekisterinpitäjä hae määräyksen osalta muutosta tähän päätökseen. Mikäli apulaistietosuojavaltuutetun päätöksessä annettuun määräykseen haetaan muutosta, eikä apulaistietosuojavaltuutetun päätös muutoksenhaun johdosta määräyksen osalta muutu, selvitys toimenpiteistä tulee ilman erillistä pyyntöä toimittaa tietosuojavaltuutetun toimistolle kahden kuukauden kuluessa siitä, kun muutoksenhaku on lopullisesti ratkaistu.

Perustelut

Onko asiassa kyse tietosuoja-asetuksen 4 artiklan 14 kohdan mukaisten biometristen tietojen käsittelystä

Henkilötietoja ovat tietosuoja-asetuksen 4 artiklan 1 kohdan mukaan kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot. Biometrisilla tiedoilla tarkoitetaan 4 artiklan 14 kohdan mukaan esimerkiksi luonnollisen henkilön fysiologisiin ominaisuuksiin liittyvällä tietyllä teknisellä käsittelyllä saatuja henkilötietoja, joiden perusteella kyseinen henkilö voidaan tunnistaa tai kyseisen henkilön yksiselitteinen tunnistaminen varmistaa.

Rekisterinpitäjä on arvioinut, että käsillä olevan sormenjälkivarmennukseksi kutsutun menetelmän käyttöön ei liity henkilötietojen käsittelyä. Rekisterinpitäjän selvityksen mukaan kuvaa sormenjäljestä ei talleteta minnekään eikä oppilaan rannekkeessa oleva malli ole palautettavissa sormenjälkitiedoksi. Rannekkeita ei ole identifioitu muilla keinoin käyttäjille. Järjestelmään ei ole rekisterinpitäjän selvityksen mukaan talletettu käyttäjistä mitään tietoa. Laskennassa käytetty algoritmi on vain valmistajan tuntema.

Apulaistietosuojavaltuutettu toteaa, että kyseisessä menetelmässä oppilaan sormenjälki luetaan lukulaitteella ja siitä lasketaan algoritmin avulla matemaattinen malli, joka talletetaan pakatussa muodossa oppilaalle annettavaan rannekkeeseen. Kun oppilas saapuu uimahalliin, siellä oleva lukulaite lukee jälleen oppilaan sormenjäljen ja laskee siitä saman algoritmin avulla matemaattisen mallin. Jos uimahallissa oppilaan sormenjäljestä algoritmin avulla laskettu malli vastaa riittävästi rannekkeeseen aikaisemmin talletettua sormenjäljestä laskettua mallia, oppilas pääsee uimahalliin.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että oppilaan sormenjälki liittyy hänen fysiologisiin ominaisuuksiinsa. 2 Kyse on tiettyä henkilöä koskevan tiedon sisällöstä. Käsillä olevassa menetelmässä käsitellään oppilaan sormenjälkiä silloin, kun hänen sormenjälkensä luetaan lukijalla edellä kerrotuissa tilanteissa sekä kun siitä silloin lasketaan sormenjälkivarmennuksessa käytettävällä algoritmilla malli (lukusarja), vaikka sormenjälkeä ei erikseen talletettaisi tietojärjestelmään eikä se olisi palautettavissa rannekkeelle talletetusta luvusta. Lisäksi sormenjälki on yhdysside, joka yksinään liittää tietyn tiedon tiettyyn henkilöön, eikä erillistä tietoa siitä, kenelle tietty sormenjälki kuuluu, tarvita 3 . Apulaistietosuojavaltuutettu kiinnittää myös huomiota siihen, että tietosuoja-asetusta sovelletaan riippumatta siitä, kuinka kauan henkilötietojen käsittely kestää. Apulaistietosuojavaltuutettu katsoo, että menetelmässä käsitellään tietosuoja-asetuksen 4 artiklan 1 ja 2 kohtien perusteella menetelmän käyttöön ottaneiden oppilaiden henkilötietoja. Kyse ei ole anonyymien tietojen käsittelystä, joiden käsittelyyn ei sovelleta tietosuoja-asetusta 4 .

Rekisterinpitäjän selvityksen mukaan oppilaan sormenjälkivarmennuksessa ei ole kyse sormenjälkitunnistuksesta, koska oppilaita ei tunnisteta tai henkilöidä sormenjäljestä tallennetun mallin perusteella. Sormenjälkivarmennuksessa varmistetaan käyttöoikeus tiettyyn etuuteen sormenjäljestä saadun mallin avulla.

Apulaistietosuojavaltuutettu katsoo, että käsillä olevassa asiassa on selvityksestä saadun tiedon perusteella kyse sormenjälkitodentamisesta. Todentaminen tapahtuu siten, että uimahallia käyttävä henkilö tunnistetaan sormenjäljen avulla ja todennetaan, että kyseessä on sama henkilö, jonka sormenjälki on hänen rannekkeessaan. Näin varmistetaan, että henkilöllä on oikeus käyttää uimahallia.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjän käyttämässä teknisessä käsittelyssä käsitellään rekisteröidyn fysiologisiin ominaisuuksiin liittyviä henkilötietoja. Käsiteltävät tiedot ovat sormenjälkiä. Käyttämällä kyseistä menetelmää kyseinen luonnollinen henkilö voidaan myös tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa. Tietosuoja-asetuksen johdanto-osan 51 kohdassa viitataan siihen, että tietosuoja-asetuksen 4 artiklan 14 kohdan soveltamisen kannalta on riittävää, että erityinen tekninen menetelmä mahdollistaa luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen 5 . Sillä seikalla, että rekisterinpitäjä ei käytä kyseistä menetelmää oppilaan yksilölliseen tunnistamiseen tai todentamiseen, ei ole merkitystä asian arvioinnin kannalta, koska kyseisellä teknisellä menetelmällä voidaan käsitellä sormenjälkiä tällaiseen tarkoitukseen. Apulaistietosuojavaltuutettu katsoo, että kyseisessä rekisterinpitäjän käyttämässä menetelmässä käsitellään tietosuoja-asetuksen 4 artiklan 14 kohdan mukaisesti biometrisiä tietoja.

Onko rekisterinpitäjä noudattanut biometristen tietojen käsittelyssä tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädettyjä lainmukaisuuden periaatetta, 5 artiklan 2 kohtaa (osoitusvelvollisuus) ja 25 artiklan 1 kohtaa (sisäänrakennettu ja oletusarvoinen tietosuoja)

Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti. Käsittely on lainmukaista vain, jos jokin tietosuoja-asetuksen 6 artiklan 1 kohdan alakohdissa säädetyistä edellytyksistä täyttyy. Biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten on tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan kiellettyä. Kieltoa ei sovelleta, jos sovelletaan jotakin artiklan 2 kohdan alakohtaa. Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että tietosuoja-asetuksen 5 artiklan 1 kohtaa on noudatettu.

Rekisterinpitäjän selvityksistä ilmenee, että edun on voinut halutessaan saada käyttämällä ranneketta. Jos rannekkeen on halunnut ottaa käyttöönsä, siihen on pyydetty huoltajan kirjallinen suostumus. Tietosuojavaltuutetun toimiston pyynnöstä rekisterinpitäjän 7.1.2025 tietosuojavaltuutetun toimistoon lähettämän uinnit -tiedotteen mukaan huoltajan suostumus on pyydetty uimahallirannekkeen käyttöönottoon, tietojen lataamiseen rannekkeelle ja sormijälkitunnisteen tekemiseen. Tiedotteen lopussa olevan suostumuslausekkeen mukaan huoltaja suostuu siihen, että hänen lapseltaan otetaan sormenjälkitunniste ja hänen henkilötietonsa ladataan uimahallirannekkeen käyttöönottoa varten.

Tiedotteessa on kerrottu, että sivistystoimialalle tai uimahalleille ei synny henkilörekisteriä tai sormenjälkirekisteriä oppilaista. Sen mukaan oppilaiden tiedot tallentuvat uimahallin laitetoimittajan järjestelmään numerosarjana. Tiedotteessa on viitattu verkkosivuun www.kaupunki.fi/tietosuoja tarkemmin kertomatta, mistä tietosuojaselosteesta voi saada lisätietoja 6 . Koska rekisterinpitäjä on arvioinut, että sen käyttämässä menetelmässä ei käsitellä henkilötietoja, rekisterinpitäjä ei ole 28.11.2019 antamansa selvityksen perusteella määritellyt käsittelyn perustetta.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjän tulee määritellä henkilötietojen käsittelyn peruste ennen henkilötietojen käsittelyn aloittamista. Rekisterinpitäjä ei ole tunnistanut käsittelevänsä lasten biometrisiä tietoja eikä ole antamansa selvityksen mukaan myöskään määritellyt henkilötietojen käsittelyn perustetta. Apulaistietosuojavaltuutettu katsoo, että huoltajan suostumuksen pyytämisessä ei ole ollut kyse siitä, että suostumus olisi pyydetty henkilötietojen käsittelyyn, eikä rekisterinpitäjä ole sellaiseen myöskään vedonnut 7 . Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole pystynyt osoittamaan tietosuoja-asetuksen 5 artiklan 2 mukaisesti, että 5 artiklan 1 kohdan a alakohdan lainmukaisuuden periaatetta on noudatettu oppilaiden biometristen tietojen käsittelyssä.

Apulaistietosuojavaltuutettu toteaa, että käsillä olevassa päätöksessä ei ole arvioitu käsittelyperusteen lainmukaisuutta, koska rekisterinpitäjä ei ole ensin itse määritellyt käsittelyperustetta. Rekisterinpitäjä on käsitellyt biometrisiä tietoja selvittämättä, onko käsittely lainmukaista. Mikäli rekisterinpitäjä arvioi, että jokin henkilötietojen käsittelyperuste on olemassa tässä asiassa, rekisterinpitäjän tulee arvioida henkilötietojen käsittelyä myös muiden tietosuoja-asetuksen velvoitteiden kannalta 8 . Näillä seikoilla on merkitystä, jos henkilötietojen käsittelyn lainmukaisuus tulee arvioitavaksi laajemmin.

Tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Rekisterinpitäjän on artiklan 1 kohdan mukaisesti käsittelytapojen määrittämisen ja käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden täytäntöönpanemiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin 9 . Tällöin tulee ottaa huomioon muun muassa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisteröityjen oikeuksille ja vapauksille.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että käsillä olevassa asiassa on kyse lasten tietojen käsittelystä, joka on tietosuoja-asetuksessa arvioitu erityisen suojelun kohteeksi 10 . Lisäksi käsiteltävät tiedot ovat biometrisiä tietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja vapauksien kannalta 11 . Rekisterinpitäjä ei ole tunnistanut käsittelevänsä lasten arkaluonteisia biometrisiä tietoja ottaessaan käyttöön uutta teknologiaa. Rekisterinpitäjä ei ole myöskään selvittänyt ennen käsittelyn aloittamista, onko sellainen käsittely lainmukaista eikä huolehtinut muidenkaan tietosuoja-asetuksen velvoitteiden toteuttamisesta.

Apulaistietosuojavaltuutettu toteaa, että sisäänrakennettu ja oletusarvoinen tietosuoja edellyttää rekisterinpitäjän käyttävän sellaisia tietoteknisiä ratkaisuja, jotka soveltuvat toiminnan luonteeseen, laajuuteen, asiayhteyteen ja tarkoituksiin. Toimenpiteiden toteutuksessa on otettava huomioon luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit ja käsittelyn tulee vastata tietosuoja-asetuksen vaatimuksia. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole pystynyt osoittamaan, että sisäänrakennettua ja oletusarvoista tietosuojaa on noudatettu käsillä olevassa asiassa.

Onko rekisterinpitäjän tullut tehdä tietosuoja-asetuksen 35 artiklan 1 kohdan mukainen tietosuojaa koskeva vaikutustenarviointi

Tietosuojaa koskeva vaikutustenarviointi tulee 35 artiklan 1 kohdan mukaan tehdä ennen käsittelyä, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa luonnollisten henkilöiden oikeuksien ja vapauksien kannalta korkean riskin. Arviossa otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että päätöksen kohteena olevassa asiassa rekisterinpitäjän sormenjälkivarmennukseksi kutsumaa erityistä teknistä menetelmää käytettiin oppilaiden uimahallikäyntien yhteydessä pääsynvalvonnassa, jota voidaan pitää uutena kyseisen teknologian käyttökohteena. Menetelmällä käsiteltiin biometrisessä muodossa olevia oppilaiden sormenjälkitietoja sen varmistamiseksi, että oppilas oli oikeutettu käyttämään uimahallia maksutta 12 , vaikka rekisterinpitäjän tarkoituksena ei ollut rekisteröidyn yksiselitteinen tunnistaminen. Kyse oli lasten henkilötietojen käsittelystä, jota on pyrittävä erityisesti suojaamaan 13 . Lapset olivat rekisterinpitäjään nähden heikommassa asemassa. Lasten arkaluonteisia sormenjälkitietoja luettiin lukulaitteilla ranneketta annettaessa ja aina, kun lapsi meni uimahalliin tai maauimalaan 14 . Sormenjälkien lukukerratkin näissä tilanteissa kasvattavat henkilötietojen käsittelystä rekisteröidyille aiheutuvaa riskiä 15 .

Apulaistietosuojavaltuutettu toteaa, että ottaen huomioon käsiteltyjen tietojen luonteen, käsittelyn laajuuden sekä sen, että näitä tietoja käsiteltiin ja uutta teknologiaa käytettiin uimahalliin pääsyn valvonnassa, oppilaiden biometristen tietojen käsittely käsillä olevassa asiassa todennäköisesti aiheuttaa ranneketta käyttävien oppilaiden oikeuksien ja vapauksien kannalta korkean riskin henkilötietojen käsittelyssä. Apulaistietosuojavaltuutettu katsoo, että ennen teknologian käyttöön ottamista olisi tullut tehdä tietosuojan vaikutustenarviointi tietosuoja-asetuksen 35 artiklan 1 kohdan perusteella.

Rekisterinpitäjä totesi antamassaan selvityksessä, että se ei tehnyt virallista vaikutustenarviointia, koska rekisterinpitäjän tulkinnan mukaan menettelyyn ei ole tulkittu liittyvän henkilötietojen käsittelyä. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut tietosuoja-asetuksen 35 artiklassa säädettyä ennen kyseiseen biometristen tietojen käsittelyyn ryhtymistä. Vaikutustenarvioinnin minimisisältö on säädetty tietosuoja-asetuksen 35 artiklan 7 kohdassa.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös on lainvoimainen.

Apulaistietosuojavaltuutetun ohjaus

Tietosuojaa koskeva vaikutustenarviointi tulee tehdä ennen käsittelyä tietosuoja-asetuksen 35 artiklassa säädetyissä tilanteissa. Vaikutustenarviointia edeltää suunnitellun henkilötietojen käsittelyn lainmukaisuuden arviointi. Tietosuojavaltuutettu on julkaissut vaikutustenarviointien laatimisesta ohjeen. Apulaistietosuojavaltuutettu ohjaa tutustumaan ohjeeseen 16 .

Toimintatapaansa määrittäessään rekisterinpitäjän tulee myös kiinnittää erityistä huomiota siihen, että lähtökohtaisesti suostumus ei sovellu henkilötietojen käsittelyperusteeksi tilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta ja tosiasiallinen vapaaehtoisuuden edellytyksen täyttyminen on epävarmaa. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen 17 . Lisäksi käsillä olevassa tapauksessa huomionarvoista on se, että käsittelyn kohteena on lasten henkilötietoja, joiden suojaaminen on erityisesti pyrittävä varmistamaan 18 , ja biometriset tiedot, jotka arkaluonteisuutensa vuoksi kaipaavat erityistä suojaa.

Kehitettäessä erilaisia teknisiä ratkaisuja tulee ottaa huomioon myös tietosuojaperiaatteet kuten tietojen minimointiperiaate 19 . On syytä lisäksi huomioida, että erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on vielä erityisasemassa tietosuojasääntelyssä. 20

Lisäksi apulaistietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota siihen, että rekisterinpitäjän ja henkilötietojen käsittelijän tehtävät ja vastuut henkilötietojen käsittelyssä tulee määritellä selkeästi ottaen huomioon tietosuoja-asetuksen 4 artiklan 7 ja 8 kohdat sekä 28 artikla 21 .

Tähän apulaistietosuojavaltuutetun ohjaukseen ei voi hakea muutosta valittamalla.

1 Biometristen tietojen tuhoamisessa on tärkeä varmistua, että kaikki sormenjälkimallit tuhotaan (rannekkeessa oleva mikrosiru ei enää toimi) ja sormenjälkilukijoiden muistit (lukijan mikrosirun sormenjälkitietokanta) ovat tyhjiä. Toimenpiteet ovat aiheellista kirjata.

2 Kts. Tietosuojatyöryhmän lausunto 4/2007 henkilötietojen käsitteestä (WP 136, annettu 20.6.2007, jäljempänä Lausunto henkilötietojen käsitteestä). Sen mukaan biometristä tietoa (kuten sormenjälki) voidaan pitää tiettyä henkilöä koskevan tiedon sisältönä (s. 8). Kts. myös s. 15 ja 17.

3 Kts. Lausunto henkilötiedon käsitteestä sivu 8.

4 Kts. tietosuoja-asetuksen johdanto-osan kohta 26.

5 Vrt. Tietosuoja-asetuksen johdanto-osan kohdan 51 mukaan valokuvat kuuluvat tietosuoja-asetuksen johdanto-osan kohdan 51 mukaan biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisin tunnistamisen tai todentamisen.

6 Asian esittelijä vieraili kyseisellä sivulla. Todennäköisesti kyse on liikuntalaitosten sisäänpääsy- ja kulunvalvontaa koskevasta tietosuojaselosteesta.

7 Tietosuoja-asetuksen 7 artiklan 1 kohdan mukaan rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojen käsittelyyn.

8 Henkilötietoja on tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan käsiteltävä asianmukaisesti ja käsiteltävien henkilötietojen on c alakohdan mukaan oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi).

9 Tietosuoja-asetuksen johdanto-osan 78 kappaleessa todetaan, että tietojärjestelmiä kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä on huomioitava, että rekisterinpitäjän tulee pystyä täyttämään tietosuojavelvoitteensa.

10 Kts. tietosuoja-asetuksen johdanto-osan kohta 38.

11 Tietosuoja-asetuksen johdanto-osan kohta 51.

12 Tietosuoja-asetuksen johdanto-osan kohta 51.

13 Tietosuoja-asetuksen johdanto-osan kohdat 38 ja 75.

14 Rekisterinpitäjän tietosuojavaltuutetun toimistoon toimittamasta aineistosta ilmenee, että rannekkeeseen on ladattu 43 uintikertaa.

15 Rekisterinpitäjän selvityksestä saadun tiedon perusteella järjestelmässä on mahdollista tallettaa sormenjälkimalleja, koska sormenjälkilukija mahdollistaa 5 000 sormenjälkimallin tallennuksen (”5 K Users”). Rekisterinpitäjän voi olla vaikea osoittaa, onko sormenjälkimalleja tallennettu lukijoihin.

16 https://tietosuoja.fi/vaikutustenarviointi.

17 Kts. tietosuoja-asetuksen 4 artiklan 11 kohta, 7 artikla sekä tietosuoja-asetuksen johdanto-osan kohta 43.

18 Tietosuoja-asetuksen johdanto-osan kohta 38.

19 Tietosuoja-asetuksen 5 artiklan 1 kohdassa säädetyt tietosuojaperiaatteet.

20 Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on tietosuoja-asetuksen johdanto-osan 51 kohdan mukaan suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille.

21 Asiassa on käynyt ilmi, että kyseisessä menetelmässä oppilaan sormenjälki luetaan lukulaitteella ranneketta annettaessa sekä uimahalliin ja maauimalaan mentäessä. Rekisterinpitäjän selvityksessä kerrotaan, että oppilaiden tiedot tallentuvat uimahallin laitetoimittajan järjestelmään numerosarjana, jonka voi purkaa ainoastaan laitetoimittaja, joka vastaa siitä, että toiminta täyttää tarvittavat viranomaismääräykset. Millä perusteella laitetoimittaja voi käsitellä oppilaiden henkilötietoja?

Sivun alkuun