5.7.2021

Työntekijän sijaintiin liittyvien henkilötietojen käsittely työajanseurannassa

Apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset

Asia

Tietosuojavaltuutetun toimisto on selvittänyt, onko rekisterinpitäjällä ollut laillista perustetta käsitellä työntekijöiden sijaintitietoja työaikaleimausten yhteydessä.

Tietosuojavaltuutetun toimisto on selvittänyt rekisterinpitäjän toimintaa sille tehdyn kantelun pohjalta. Asiassa annettava päätös ei kuitenkaan koske nimenomaan kantelijan oikeutta, etua tai velvollisuutta, joten kantelijaa ei ole pidettävä hallintolain 11 §:n mukaisena asianosaisena.

Kysymyksenasettelu

Asiassa on apulaistietosuojavaltuutetun ratkaistavana seuraavat kysymykset:

1. Onko työntekijöiden sijaintitietojen käsittely ollut yksityisyydensuojasta työelämässä annetun lain (laki yksityisyydensuojasta työelämässä 759/2004, myöhemmin työelämän tietosuojalaki) 3 §:n mukaista.

2. Onko mahdollinen työntekijöiden sijaintitietojen käsittely ollut Euroopan Parlamentin ja Neuvoston asetuksen (EU) 2016/679 (myöhemmin tietosuoja-asetus) mukaista.

3. Mikäli henkilötietojen käsittely ei ole ollut työelämän tietosuojalain ja/tai tietosuoja-asetuksen säännösten mukaista, asiassa on ratkaistavana se, mikä seuraamus toiminnasta on rekisterinpitäjälle määrättävä.

Asiassa on seuraamuskollegion ratkaistavana:

Mikäli katsotaan, että rekisterinpitäjän toiminta on edellä mainituissa kohdissa kuvatuin tavoin yleisen tietosuoja-asetuksen ja/tai sitä kansallisesti täydentävän työelämän tietosuojalain säännösten vastaista tai puutteellista, asiassa on ratkaistavana se, tuleeko rekisterinpitäjälle asettaa tietosuoja-asetuksen 58 artiklan 2 (i) kohdan mukainen hallinnollinen seuraamusmaksu muiden mahdollisten seuraamusten sijasta tai lisäksi, sekä mahdollisesti määrättävän hallinnollisen seuraamusmaksun määrä.

Apulaistietosuojavaltuutetun päätös ja perustelut

Päätös

1. Rekisterinpitäjän työntekijöiden sijaintiin liittyvien henkilötietojen käsittely ei ole ollut työelämän tietosuojalain 3 §:n mukaista.

2. Rekiserinpitäjän työntekijöiden sijaintiin liittyvien henkilötietojen käsittely ei ole ollut tietosuoja-asetuksen 6 (1) artiklan mukaan lainmukaista.

Rekiserinpitäjän työntekijöiden sijaintiin liittyvien henkilötietoja ei ole käsitelty tietosuoja-asetuksen 5 (1) (a) artiklan mukaan lainmukaisesti eikä käsittelyssä ole noudatettu tietosuoja-asetuksen 5 (1) (c) artiklan tiedon minimointia koskevaa periaatetta.

3. Apulaistietosuojavaltuutettu määrää tietosuoja-asetuksen 58 (2) (f) artiklan nojalla rekisterinpitäjälle työntekijöiden sijaintitietoja koskevan käsittelykiellon.

Perustelut

1. Työelämän tietosuojalain mukainen tarpeellisuuden arviointi
Sovellettu lainsäädäntö

Työelämän tietosuojalain 3 §:n mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuus-vaatimuksesta ei voida poiketa työntekijän suostumuksella.

Saatu selvitys

Saadun selvityksen perusteella rekisterinpitäjä on ottanut X Oy:n (myöhemmin henkilötietojen käsittelijä) toimittaman mobiilisovelluksen (myöhemmin sovellus) käyttöön toukokuussa 2019 noin 350 työntekijän osalta. Sovelluksen käyttäminen edellyttää mobiililaitteessa myös paikannuksen sallimisen.

Rekisterinpitäjä on ilmoittanut, ettei se käytä sijaintitietoja missään tilanteessa, vaan leimaushetken sijaintitieto ainoastaan kerätään, tallennetaan ja säilytetään niin kauan, kuin se on välttämätöntä järjestelmäteknisistä syistä mobiilileimauksen mahdollistamiseksi.
Rekisterinpitäjän näkemyksen mukaan työntekijöiden sijaintitietojen käsittely on ollut työntekijän työelämän tietosuojalain 3 §:n mukaisesti tarpeellista, minkä lisäksi käsittely on ollut myös tietosuoja-asetuksen mukaista.

Sovelluksen käyttö ei ole ollut pakollista, mutta siltä osin kuin työntekijä on halunnut sovellusta käyttää, on rekisterinpitäjän näkemyksen mukaan sijaintitiedon kerääminen, tallentaminen ja säilyttäminen ollut tarpeellista työelämän tietosuojalain 3 §:n mukaisesti, sillä sovellus ei toimi ilman sijaintitiedon käyttöä.

Johtopäätökset

Apulaistietosuojavaltuutetun näkemyksen mukaan on selvää, että vaikka nyt kyseessä olevan sovelluksen käyttö on edellyttänyt työntekijän sijaintitiedon käsittelyä, olisi työajan seuranta ja työaikojen leimaaminen mahdollista toteuttaa myös ilman sijaintitietojen käsittelyä erityisesti, kun otetaan huomioon, että saadun selvityksen perusteella sijaintia koskeva tieto on rekisterinpitäjälle tarpeeton. Näin ollen pelkästään se seikka, että nyt kyseessä olevalla sovelluksella työaikaa koskevien leimausten tekeminen ei onnistu ilman sijaintitietojen käsittelyä, ei tee niiden käsittelystä välittömästi tarpeellista siten kuin työelämän tietosuojalain 3 §:ssä säädetään. Apulaistietosuojavaltuutettu huomauttaa, että käytettäessä ulkoisten palveluntarjoajien järjestelmiä tai muita palveluita rekisterinpitäjän on itse kyettävä tunnistamaan henkilötietojen käsittelyä koskevat tarpeensa, eikä sellaisia palveluita tai järjestelmiä, joiden toiminnallisuudet eivät vastaa rekisterinpitäjän tarpeita tai mahdollista tietosuojaa koskevien säännösten noudattamista tulisi ottaa käyttöön.

Koska työntekijöiden sijaintitieto on ollut työnantajalle tarpeeton, ei työntekijöiden sijaintia koskevan tiedon käsittely ole ollut rekisterinpitäjälle välittömästi tarpeellista siten kuin työelämän tietosuojalain 3 §:ssä säädetään. Huomioitavaa tässä tapauksessa on myös, ettei työelämän tietosuojalain 3 §:n mukaisesta tarpeellisuusvaatimuksesta voida poiketa työntekijän suostumuksella.

2. Tietosuoja-asetuksen noudattamisen arviointi
Sovellettu lainsäädäntö

Tietosuoja-asetuksen 6 artiklan 1 kohdan mukaan henkilötietojen käsittely on lainmukaista ainoastaan jos, ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;

b) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

c) käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi;

d) käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

e) käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi;

f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

Tietosuoja-asetuksen 5 artiklan 1 (a) ja (c) kohtien mukaan henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”);

c) henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”).

Saatu selvitys

Rekisterinpitäjän näkemyksen mukaan työntekijöiden sijaintitietojen käsittely on ollut tietosuoja-asetuksen mukaista.

Selvityksessään 28.8.2020 rekisterinpitäjä on todennut, että työntekijöiden sijaintitietojen käsittelyperusteena ovat työnantajan oikeutettu etu ja työntekijän suostumus. Sittemmin 22.6.2021 annetussa selvityksessä työntekijöiden sijaintitietojen käsittelyperusteeksi on todettu rekisteröityjen suostumus.

Rekisterinpitäjä on selvityksessään tuonut esiin Euroopan tietosuojaneuvoston ohjeen ”Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020”, jonka mukaan suostumus on mahdollinen henkilötietojen käsittelyperuste työnantajan ja työntekijän välisessä suhteessa, jos työnantaja pystyy osoittamaan, että suostumus on tosiasiassa annettu vapaaehtoisesti. Tämä on mahdollista silloin, kun sillä, antavatko työntekijät suostumuksensa vai eivät, ei ole minkäänlaisia vahingollisia seurauksia.

Rekisterinpitäjän näkemyksen mukaan työntekijät ovat antaneet suostumuksen sijaintitietojen käsittelyyn tosiasiassa vapaaehtoisesti ja suostumuksen antamisella tai antamatta jättämisellä ei ole ollut työntekijälle mitään vahingollisia seurauksia. Työntekijällä on ollut ja on myös milloin tahansa ollut mahdollisuus peruuttaa suostumuksensa sijaintitietojen käsittelyyn ja siirtyä käyttämään vaihtoehtoisia tapoja työajan seurantaan. Etätyötä tehdessä vaihtoehtoisia tapoja sovelluksen käytölle on ollut joko kirjata tehdyt työtunnit Excel-taulukkoon tai työskennellä säännöllisesti työsopimuksessa sovitun työajan mukaisen tuntimäärän, jolloin manuaalinen työajanseuranta, jossa seurataan ”plussasaldoa” ja/tai ”miinussaldoa” ei ole tarpeellinen. Vaikka sovelluksen käyttö on helpompaa ja nopeampaa manuaalinen työajanseuranta työntekijän työskennellessä etänä, ei voida katsoa, että työntekijälle aiheutuisi seuraamuksia siitä, ettei hän halua käyttää sovellusta.

Rekisterinpitäjän näkemyksen mukaan työntekijöiden sijaintitietojen käsittelyperusteena on ollut tietosuoja-asetuksen 6 (1) (a) artiklan mukainen rekisteröidyn suostumus. Sijaintitiedon kerääminen on ollut sovelluksen ominaisuus, jota ilman työajan leimaaminen sovelluksella ei onnistu. Rekisterinpitäjä ei ole tarvinnut työntekijän sijaintitietoa, ja sijaintitietojen käsittely on näin ollen rajoittunut niiden keräämiseen, tallentamiseen ja säilyttämiseen.

Johtopäätökset

Käsittelyn lainmukaisuus

Jotta henkilötietojen käsittely olisi tietosuoja-asetuksen 6 (1) (a) artiklan mukaisesti lainmukaista, sille on oltava sopiva käsittelyperuste. Rekisterinpitäjä on katsonut, että työntekijöiden sijaintietojen käsittelyperusteena on ollut rekisteröityjen suostumus. Saadun selvityksen perusteella on apulaistietosuojavaltuutetun näkemyksen mukaan kuitenkin selvää, että sijaintitiedon kerääminen ei ole ollut tässä tapauksessa tarpeellista, vaan sijaintitiedon keräämiselle on tosisiassa ollut syynä ainoastaan se, että ilman sijaintitiedon käsittelyä ei sovellusta voida työajan leimaamiseen käyttää. Rekisterinpitäjä ei ole esittänyt sellaista selvitystä, jonka nojalla rekisterinpitäjän työntekijöiden työtehtävät edellyttäisivät sijaintitietojen käsittelyä.

Huomioitavaa tapauksen kannalta on, ettei suostumus syrjäytä työelämän tietosuojalain 3 §:n tarpeellisuusvaatimusta eikä näin ollen rekisteröityjen suostumus tässä tapauksessa voi muodostaa laillista käsittelyperustetta tarpeettomille henkilötiedoille. Koska työntekijöiden sijaintitietojen käsittelyä tässä tapauksessa ei voida pitää työelämän tietosuojalain valossa lainmukaisena eikä käsittelylle ole osoitettavissa laillista käsittelyperustetta, ei edellä mainittujen tietojen käsittely ole tietosuoja-asetuksen 6 artiklan 1 kohdan tarkoittamalla tavalla lainmukaista.

Tietosuojaperiaatteiden noudattaminen

Koska käsittelylle ei ole esitetty laillista käsittelyperustetta apulaistietosuojavaltuutettu katsoo, että työntekijöiden sijaintiin liittyviä tietoja ei niin ikään ole käsitelty tietosuoja-asetuksen 5 (1) (a) artiklan mukaan lainmukaisesti.

Tietosuoja-asetuksen 5 (1) (c) artiklan tietojen minimointia koskevan periaatteen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on niiden käyttötarkoituksen kannalta välttämätöntä. Käyttötarkoituksen kautta pystytään määrittelemään, mitkä henkilötiedot ovat välttämättömiä käsittelyn tarkoituksen toteuttamiseksi. Olennaista on erottaa toisistaan se, mikä on sovelluksen käyttötarkoituksen kannalta välttämätöntä ja mikä on sovelluksen käytön kannalta välttämätöntä. Tältä osin apulaistietosuojavaltuutettu korostaa, että henkilötietojen välttämättömyyttä arvioidaan nimenomaan suhteessa niiden käyttötarkoitukseen. Se, että sijaintitietojen käsittely on ollut välttämätöntä sovelluksen käyttämiseksi ei tarkoita sitä, että sijaintitietojen käsittely olisi välttämätöntä suhteessa niiden käyttötarkoitukseen.

Nyt kyseessä olevan sovelluksen käyttötarkoitus on ollut saadun selvityksen perusteella ensisijaisesti työntekijöiden työajan seuranta. Saadun selvityksen perusteella rekisterinpitäjä ei ole hyödyntänyt sijaintitietoja millään tavalla ja tietoa käsitellään ainoastaan siksi, että se on sovelluksen ominaisuus, jota ei voida poistaa käytöstä. Työajan seuranta on voitu saadun selvityksen perusteella suorittaa tarvittaessa myös ilman sijaintitiedon käsittelyä, mistä loogisesti seuraa, ettei sijaintitiedon käsittely tässä tapauksessa ole ollut sovelluksen käyttötarkoituksen kannalta välttämätöntä.

Näin ollen apulaistietosuojavaltuutettu katsoo, että keräämällä työntekijää koskevia tarpeettomia sijaintitietoja rekisterinpitäjä on toiminut tietosuoja-asetuksen 5 (1) (c) artiklan tiedon minimointia koskevan periaatteen vastaisesti.

3. Seuraamusta koskeva arviointi
Sovellettu lainsäädäntö

Tietosuoja-asetuksen 58 (2) (f) artiklan mukaan kansallinen valvontaviranomainen voi asettaa väliaikaisen tai pysyvän rajoituksen käsittelylle, mukaan lukien käsittelykielto.

Saatu selvitys

Rekisterinpitäjän mukaan 58 (2) (f) artiklan mukaista käsittelykieltoa ei tulisi määrätä, koska käsittely on ollut ja on lainmukaista.

Apulaistietosuojavaltuutetun näkemyksen mukaan työntekijöiden sijaintietojen käsittely ei kuitenkaan ole ollut eikä ole tarpeellista. Edelleen sijaintitietojen käsittely on apulaistietosuojavaltuutetun tällä päätöksellä toteamalla tavalla tietosuoja-asetuksen sekä sitä kansallisesti täydentävän työelämän tietosuojalain vastaista.

Johtopäätökset

Rekisterinpitäjä on käsitellyt työntekijöiden sijaintitietoja tietosuoja-asetuksen sekä työelämän tietosuojalain vastaisesti. Rekisterinpitäjä on kuitenkin itse katsonut, että työntekijöiden sijaintitietojen käsittely on ollut ja on lainmukaista eikä se ole ilmoittanut lopettavansa sijaintitietojen käsittelyä. Näin ollen oletettavaa on, että käsittely jatkuu myös tulevaisuudessa niiden rekisteröityjen osalta, jotka eivät ole pyytäneet siirtyä vaihtoehtoiseen tapaan kirjata työaikaa etätyötä tehdessä.

Koska rekisterinpitäjän työntekijöiden sijaintitietojen käsittelylle ei ole osoitettavissa laillista käsittelyperustetta ja käsiteltävät sijaintitiedot ovat sovelluksen käyttötarkoituksen kannalta tarpeettomia apulaistietosuojavaltuutettu katsoo, että näiden tietojen käsittely on lopetettava välittömästi ja näin ollen tietosuoja-asetuksen 58 (2) (f) artiklan mukaisen käsittelykiellon määrääminen on tarpeellista rekisteröityjen oikeuksien turvaamiseksi. Huomioitavaa käsittelykiellon osalta on, että se kattaa kaiken sovelluksella käsiteltäviin työntekijöiden sijaintitietoihin kohdistuvan käsittelyn mukaan lukien tietojen säilyttämisen ja näin ollen jo kerätyt tiedot tulee poistaa.

Käsittelykiellon määräämistä on käsitelty seuraamuskollegiossa tietosuojavaltuutetun toimiston työjärjestyksen mukaisesti.

Apulaistietosuojavaltuutetun ohjaus

Rekisterinpitäjä on antamassaan selvityksessä 28.8.2020 todennut, että henkilötietojen käsittelystä ei ole laadittu sopimusta henkilötietojen käsittelijän kanssa. Myöhemmin 22.6.2021 antamassaan selvityksessä rekisterinpitäjä aiemmasta poiketen toteaa, että rekisterinpitäjä on solminut henkilötietojen käsittelijän kanssa palvelusopimuksen, jonka mukaan sovellettavaksi tulee IT2018 YSE – Yleiset sopimusehdot ja IT2018 EHK – Erityisehtoja henkilötietojen käsittelystä-ehdot, joten henkilötietojen käsittelystä on sovittu kirjallisella sopimuksella.

Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle rekisterinpitäjän ja henkilötietojen käsittelijän välillä solmitun palvelusopimuslomake-sopimuksen. Sopimuksessa mainittuja liitteitä ovat seuraavat:

- palvelusopimusehdot

- palvelukuvaus

- IT2018 ETP-erityisehtoja tietoverkon välityksellä toimitettavista palveluista (pilvipalvelu)

Palvelusopimusehtojen kohdassa ”Muut sopimusehdot” todetaan seuraavaa: ”Niiltä osin kuin näissä sopimusehdoissa ei ole toisin sovittu, sovelletaan IT2018-sopimusehtoja.”

Rekisterinpitäjä on tämän lisäksi toimittanut tietosuojavaltuutetun toimistolle selvityksessään mainitsemat IT2018 YSE – Yleiset sopimusehdot ja IT2018 EHK – Erityisehtoja henkilötietojen käsittelystä-ehdot, mutta näitä ehtoja ei mainita rekisterinpitäjän ja henkilötietojen välillä solmitun palvelusopimuksen liitteissä.

Rekisterinpitäjä on 23.6.2021 antanut henkilötietojen käsittelijälle ohjeen koskien henkilötietojen käsittelyä. Ohjeen kohdassa 4 todetaan seuraavaa: ”Asiakkaan oikeudet ja velvollisuudet rekisterinpitäjänä: Asiakkaan oikeudet ja velvollisuudet rekisterinpitäjänä on kuvattu palvelusopimuksessa ja sen liitteissä (mukaan lukien IT2018 EHK -ehdot)”. Ohjeen on allekirjoittanut ainoastaan rekisterinpitäjän edustaja.

Tietosuoja-asetuksen 28 (3) artiklan mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Sopimuksen sisällöstä säädetään tarkemmin edellä mainitussa artiklassa.

Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjän sittemmin toimittamaa sopimuskokonaisuutta ei ole ollut saatavilla tai sitä ei muusta syystä tai toisesta ole toimitettu tietosuojavaltuutetun toimistolle sitä ensimmäisen kerran pyydettäessä heinäkuussa 2020. Lisäksi rekisterinpitäjän käsittelijälle antama ohje on annettu vasta tietosuojavaltuutetun toimiston selvitysten jälkeen.

Apulaistietosuojavaltuutettu ohjaa rekisterinpitäjää varmistamaan, että henkilötietojen käsittelijän suorittamaa käsittelyä määrittävä sopimuskokonaisuus on henkilötietojen käsittelijää oikeudellisesti sitova ja sisältää vähintään tietosuoja-asetuksen 28 (3) artiklan edellyttämät seikat. Edelleen apulaistietosuojavaltuutettu ohjaa rekisterinpitäjää varmistamaan, että kyseinen sopimuskokonaisuus on sisäisesti dokumentoitu ja löydettävissä siten, että sen avulla voidaan rekisterinpitäjän osoitusvelvollisuuden mukaisesti tarvittaessa osoittaa, että tietosuoja-asetusta on noudatettu.

Tähän tietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla muutosta.

Tämän päätöksen on tehnyt apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, ja sen on esitellyt ylitarkastaja Katariina Koski.

Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.

Seuraamuskollegion päätös ja perustelut

Päätös

Ottaen huomioon apulaistietosuojavaltuutetun edellä ilmenevä päätös tietosuoja-asetuksen vastaisuudesta, seuraamuskollegio on arvioinut tietosuoja-asetuksen 83 artiklan perusteella tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi hallinnollisen seuraamusmaksun määräämisen.

Tietosuojavaltuutetun toimiston seuraamuskollegio määrää tietosuoja-asetuksen 58 (2) (i) artiklan ja 83 (5) (a) ja (d) artiklan nojalla rekisterinpitäjälle määrältään 25. 000 (kaksikymmentäviisituhatta) euron suuruisen hallinnollisen seuraamusmaksun valtiolle maksettavaksi.

Hallinnollisen seuraamusmaksun määrää arvioitaessa on otettu huomioon tietosuoja-asetuksen 83 (2) mukaiset raskauttavat ja lieventävät seikat.

Perustelut

Sovellettu lainsäädäntö

Tietosuoja-asetuksen 25 (1) artiklassa todetaan seuraavaa. Ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Tietosuoja-asetuksen 83 (1) artiklan mukaan tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

Tietosuoja-asetuksen 83 (2) mukaan hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta.

Kun päätetään hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä, kussakin yksittäisessä tapauksessa tietosuoja-asetuksen 83 (2) artiklan mukaan on otettava asianmukaisesti huomioon seuraavat seikat:

a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b) rikkomisen tahallisuus tai tuottamuksellisuus;

c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;

f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g) henkilötietoryhmät, joihin rikkominen vaikuttaa;

h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;

i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

Tietosuoja-asetuksen 83 (5) artiklan mukaan: Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a) edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna.

d) kaikki IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvat velvollisuudet

Tietosuoja-asetuksen 83 (3) artiklan mukaan: Jos rekisterinpitäjä tai henkilötietojen käsittelijä on rikkonut samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa.

Tietosuoja-asetuksen johdanto-osan kohdan 148 mukaan: Jos kyseessä on vähäinen rikkominen tai jos määrättävä sakko olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan sakon sijasta antaa huomautus.

Ammattikorkeakoululain (923/2014) 4 §:n mukaan ammattikorkeakoulun tehtävänä on antaa työelämän ja sen kehittämisen vaatimuksiin sekä tutkimukseen, taiteellisiin ja sivistyksellisiin lähtökohtiin perustuvaa korkeakouluopetusta ammatillisiin asiantuntijatehtäviin ja tukea opiskelijan ammatillista kasvua.

Ammattikorkeakoulun tehtävänä on lisäksi harjoittaa ammattikorkeakouluopetusta palvelevaa sekä työelämää ja aluekehitystä edistävää ja alueen elinkeinorakennetta uudistavaa soveltavaa tutkimustoimintaa, kehittämis- ja innovaatiotoimintaa sekä taiteellista toimintaa. Tehtäviään hoitaessaan ammattikorkeakoulun tulee tarjota mahdollisuuksia jatkuvaan oppimiseen.

Ammattikorkeakoululain 5 §:n mukaan (lainattu vain tapaukseen soveltuvin osin) ammattikorkeakoulu on osakeyhtiömuotoinen oikeushenkilö (ammattikorkeakouluosakeyhtiö), johon sovelletaan osakeyhtiölakia (624/2006), jollei tässä laissa toisin säädetä.

Ammattikorkeakouluosakeyhtiön toiminnan tarkoituksena ei saa olla voiton tavoittelu eikä se saa jakaa osakkeenomistajalle osinkoa taikka tuottaa muuta taloudellista etua osakkeenomistajalle tai muulle toimintaan osallistuvalle.

Saatu selvitys

Rekisterinpitäjän mukaan seuraamuskollegion ei tulisi määrätä rekisterinpitäjälle hallinnollista seuraamusmaksua, sillä rekisterinpitäjän käsityksen mukaan se ei sijaintitietoja käsitellessään ole toiminut lainvastaisesti.

Rekisterinpitäjän liikevaihto vuonna 2020 on ollut 61 942 032,55 euroa.

Rikkomisen luonne, vakavuus ja kesto

Rekisterinpitäjä on käsitellyt työnhakijoiden ja työntekijöidensä henkilötietoja työelämän tietosuojalain keskeisten säännösten vastaisesti siten, että sijaintitietojen käsittelyyn oikeuttava käsittelyperuste on puuttunut. Näin menettelemällä rekisterinpitäjä on myös toiminut tietosuoja-asetuksen vastaisesti käsittelemällä sijaintitietoja ilman laillista käsittelyperustetta tiedon minimoinnin periaatteen vastaisesti.

Henkilötietojen käsittely ilman laillista käsittelyperustetta, tietosuoja-asetuksen periaatteiden vastainen henkilötietojen käsittely ja tietosuoja-asetuksen IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvien velvollisuuksien rikkominen ovat tietosuoja-asetuksen 83 artiklan 5 (a) ja (d) kohtien mukaan luonteeltaan vakavamman luokan rikkeitä.

Rekisterinpitäjä on käsitellyt työntekijöidensä sijaintiin liittyviä henkilötietoja toukokuusta 2019 asti, eli päätöstä tehdessä kesäkuussa 2021 käsittely on kestänyt hieman yli 2 vuotta.

Rekisteröityjen määrä ja heille aiheutunut vahinko

Tapauksessa sovelluksen avulla on käsitelty säännöllisesti rekisterinpitäjän noin 350 henkilön sijaintitietoja.

Rekisteröidyille ei ole osoitettu aiheutuneen konkreettista taloudellista tai muuta aineellista vahinkoa todetun rikkomuksen seurauksena. Päinvastoin rekisterinpitäjän mukaan suurin osa sen työntekijöistä on pitänyt sovellusta hyödyllisenä. Sovelluksen käyttö on helpottanut työntekijöiden omaa työajanseurantaa ja vähentänyt työntekijöiden omaa manuaalista työtä siihen liittyen. Rekisterinpitäjän mukaan työntekijät ovat milloin tahansa voineet halutessaan lopettaa sovelluksen käytön ilman, että se aiheuttaa työntekijälle vahinkoa.

Rikkomisen tahallisuus tai tuottamuksellisuus

Rekisterinpitäjä on suorittanut sovelluksen osalta tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin ja käsitellyt sovelluksen käyttöä yhteistoimintaneuvottelukunnassa, mikä osaltaan osoittaa, että rekisterinpitäjä on pyrkinyt havaitsemaan sovelluksen tietosuojaan liittyviä riskejä ja noudattamaan lainsäädäntöä. Sijaintitietojen käsittelyä on käsitelty yhteistoimintaneuvottelukunnassa, jolloin sovelluksen perusteet on käyty läpi hyvässä yhteisymmärryksessä. Henkilöstön edustajat eivät ole esittäneet, ettei sijaintitietoja voisi käsitellä.

Rekisterinpitäjän toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi

Rekisterinpitäjä on tarjonnut työntekijöille vaihtoehtoisia tapoja työajanseurannan toteuttamiseksi. Rekisterinpitäjä on myös selvittänyt mahdollisuutta tehdä muutoksia sovellukseen siten, että se jatkossa toimisi myös ilman sijaintitietojen käsittelyä. Toistaiseksi rekisterinpitäjä on kuitenkin jatkanut sovelluksen käyttöä ja sijaintitietojen keräämistä.

Rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset

Tietosuojavaltuutetun toimiston tiedon mukaan rekisterinpitäjällä ei ole vastaavia aiempia rikkomuksia.

Yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi

Rekisterinpitäjä on noudattanut lainsäädännön edellyttämää yhteistyötä valvontaviranomaisen kanssa.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

Käsittelyn kohteena ei ole ollut erityisiin henkilötietoryhmiin kuuluvia tietoja.

Käsittelyn kohteen on ollut heikommassa asemassa olevia rekisteröityjä koskevia henkilötietoja

Johtopäätökset

Seuraamusharkinta

Apulaistietosuojavaltuutetun päätöksellä todettuja rekisterinpitäjän rikkomuksia on pidettävä lähtökohtaisesti luonteeltaan vakavina rikkomuksina.

Koska nyt kyseessä oleva henkilötietojen käsittelyä on tapahtunut yli kahden vuoden ajan, ei rikkomusta voida pitää kestoltaan erityisen lyhyenä, vaan kyse on ollut vakiintuneesta toimintatavasta.

Sijaintitietoja on käsitelty noin 350 rekisteröidyn osalta ja näin ollen käsittely on vaikuttanut merkittävään osaan rekisterinpitäjän henkilöstöstä. Käsittely on kohdistunut rekisterinpitäjään nähden heikommassa asemassa oleviin rekisteröityihin.

Seuraamuskollegion käsityksen mukaan on selvää, että rekisterinpitäjä ei ole rikkonut tietosuojaa koskevia säännöksiä välinpitämättömyydestä johtuen. Tältä osin täytyy kuitenkin huomioida, että mikäli rekisterinpitäjä olisi noudattanut tietosuoja-asetuksen 25 artiklaa huolellisesti olisi rekisterinpitäjän tullut havaita, ettei aiotulle sijaintitietojen käsittelylle ole tarvetta eikä näin ollen myöskään laillista käsittelyperustetta.

Näin ollen rekisterinpitäjän tapauksessa osoittamaa tuottamuksen astetta voidaan pitää hallinnollisen seuraamusmaksun määräämistä puoltavana seikkana.

Edellä mainitut seikat huomioiden, nyt kyseessä olevaa rikkomusta ei voida pitää tietosuoja-asetuksen johdanto-osan kohdan 148 tarkoittamalla tavalla vähäisenä. Seuraamuskollegio katsoo, että apulaistietosuojavaltuutetun rekisterinpitäjään kohdistaman seuraamuksen lisäksi rekisterinpitäjälle tulee määrätä hallinnollinen seuraamusmaksu.

Hallinnollisen seuraamusmaksun määrä

Todetuista rikkomuksista 5 ja 6 artiklan mukaiset rikkomukset ovat luonteeltaan tietosuoja-asetuksen 83 (5) (a) ja (d) artiklan nojalla ylemmän vakavuusluokan rikkeitä, jolloin rekiserinpitäjälle määrättävän hallinnollisen seuraamusmaksun määrä on enintään 20 000 000 euroa, tai neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Tapauksessa rikotut tietosuoja-asetuksen artiklat ja rekisterinpitäjän liikevaihto huomioiden rekisterinpitäjälle määrättävän hallinnollisen seuraamusmaksun enimmäismäärä olisi 20 000 000 euroa.

Seuraamuskollegio katsoo, että apulaistietosuojavaltuutetun toteamat tietosuoja-asetusta ja sitä kansallisesti täydentävää lainsäädäntöä koskevat rikkomukset ovat rikkomusten luonne ja vakavuus, tuottamuksellisuus, rekisteröityjen määrä ja rekisteröityjen heikompi asema suhteessa rekisterinpitäjään huomioon ottaen sellaisia, että tehokas, oikeasuhteinen ja varoittava seuraamus on apulaistietosuojavaltuutetun antaman määräyksen lisäksi määrältään 25 000 euron suuruinen hallinnollinen seuraamusmaksu.

Rekisteröidyille ei ole aiheutunut käsittelystä taloudellista tai muuta aineellista vahinkoa. Sovellusta voidaan sinänsä pitää hyödyllisenä ja työajan seurantaa helpottavana myös rekisteröityjen näkökulmasta. Tässä tapauksessa näitä voidaan pitää lieventävinä seikkoina ottaen erityisesti huomioon, että rekisterinpitäjä ei ole tavoitellut tai saavuttanut rikkomisella taloudellista hyötyä.

Seuraamusmaksun määrän oikeasuhteisuutta arvioitaessa on lisäksi otettu seuraamusmaksun määrää tuntuvasti alentavana seikkana huomioon, että rekisterinpitäjän tehtävänä on ammattikorkeakoululain 4 §:n mukaisesti tarjota korkeakouluopetusta sekä se, ettei rekisterinpitäjän toiminnan päätarkoituksena ole voiton tavoittelu.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätökset eivät ole vielä lainvoimaisia.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.