6.8.2021

Asukkaiden koronatartuntatiedon kerääminen taloyhtiön toimesta

Apulaistietosuojavaltuutetun päätös tietojen minimointia, käsittelyn lainmukaisuutta ja sisäänrakennettua ja oletusarvoista tietosuojaa koskevassa asiassa

Asia

Asukkaiden koronatartuntatiedon kerääminen taloyhtiön toimesta

Kantelijalta saatu selvitys

Tietosuojavaltuutetun toimistossa on 25.3.2020 saatettu vireille kantelu, jonka mukaan taloyhtiön maaliskuussa 2020 antamassa tiedotteessa kerrottiin, että asukas, jolla todetaan koronavirus, on velvollinen ilmoittamaan asiasta isännöitsijälle.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 13.7.2021 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa selvityksen 22.7.2021.
Rekisterinpitäjä on kertonut, että asukkaita on pyydetty ilmoittamaan tartunnasta, jotta taloyhtiössä voidaan tehostaa siivousta. Rekisterinpitäjän mukaan sen ei ole ollut tarkoitus kerätä asukkaiden terveystietoja, eikä isännöitsijälle ole tullut yhtään ilmoitusta tartunnasta.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Yleisen tietosuoja-asetuksen 5(1)(c) artiklan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi)

Yleisen tietosuoja-asetuksen 6 artiklassa säädetään käsittelyn lainmukaisuudesta. Jotta henkilötietojen käsittely olisi lainmukaista, sille tulee olla olemassa yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste.

Yleisen tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Artiklan 1 kohdan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on kiellettyä. Artiklan 2 kohdan mukaan artiklan 1 kohtaa ei sovelleta, jos sovelletaan jotakin artiklan 2 kohdan käsittelyperusteita.

Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdan mukaan ottaen huomioon uusimman teknii-kan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet. Artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Apulaistietosuojavaltuutetun on ratkaistava, tuleeko asiassa käyttää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia, kuten yleisen tietosuoja-asetuksen 58(2)(a) artiklan mukaisen varoituksen antaminen.

Apulaistietosuojavaltuutetun päätös

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan a-alakohdan mukainen varoitus siitä, että asukkaiden koronatartuntatietojen käsittely olisi tässä tapauksessa, ilman lainmukaista käsittelyperustetta ja tietosuojaperiaatteiden huomioimista yleisen tietosuoja-asetuksen säännösten vastaisia.

Perustelut

Yleisen tietosuoja-asetuksen 5(1)(c) artiklassa säädetään tietojen minimointiperiaatteesta, joka edellyttää, että henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Tietojen minimointiperiaate on osa yleisen tietosuoja-asetuksen lähtökohtana olevaa sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusta (yleisen tietosuoja-asetuksen 25 artikla), jota noudattaakseen rekisterinpitäjän tulee ottaa tietosuoja huomioon toiminnassaan alusta alkaen. Sisäänrakennetun ja oletusarvoisen tietosuojan toteutuminen edellyttää, että rekisterinpitäjä panee tietosuojaperiaatteet, kuten tietojen minimointiperiaatteen, täytäntöön tehokkaasti.

Yleisen tietosuoja-asetuksen 6 artiklassa säädetään käsittelyn lainmukaisuudesta. Jotta henkilötietojen käsittely olisi lainmukaista, sille tulee olla olemassa yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste.

Yleisen tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Artiklan 1 kohdan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on kiellettyä. Artiklan 2 kohdan mukaan artiklan 1 kohtaa ei sovelleta, jos sovelletaan jotakin artiklan 2 kohdan käsittelyperusteista. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely edellyttää näin ollen, että käsittelylle on olemassa yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste ja että lisäksi myös jokin yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan edellytyksistä täyttyy.

Nyt arvioitavana olevassa asiassa taloyhtiö on maaliskuussa 2020 asukkaille jakamassaan tiedotteessa esittänyt asukkaille, että heillä on velvollisuus toimittaa isännöitsijälle tieto koronatartunnasta. Rekisterinpitäjä on 22.7.2021 antanut asiassa tietosuojavaltuutetun toimistolle selvityksen, jonka mukaan koronatartuntaa koskevien henkilötietojen käsittelylle ei ole määritelty yleisen tietosuoja-asetuksen mukaista käsittelyperustetta. Rekisterinpitäjä on kertonut selvityksessään, että tiedonkeruun tarkoituksena on ollut siivouksen tehostaminen tartuntatapauksen ilmetessä.

Huomioitakoon yleisesti, että taloyhtiön ja asukkaan välillä on asukassuhde, josta johtuvien tehtävien hoitamiseksi taloyhtiö käsittelee asukkaan henkilötietoja. Henkilötietoja saatetaan tällöin käsitellä esimerkiksi taloyhtiön ja asukkaan välisen sopimuksen tai taloyhtiön lakisääteisen velvoitteen perusteella. Koronatartuntatiedossa on puolestaan kyse yleisen tietosuoja-asetuksen 4(15) artiklan mukaisesta terveystiedosta, joka kuuluu yleisen tietosuoja-asetuksen 9(1) artiklan mukaisiin erityisiin henkilötietoryhmiin. Käsittelylle tulee näin ollen olla olemassa sekä yleisen tietosuoja-asetuksen 6 artiklan että 9 artiklan mukainen oikeusperuste.

Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ole nyt tarkasteltavassa asiassa tehnyt arviota siitä, voiko se kerätä asukkaiden terveystietoja, eikä se ole arvioinut oikea-aikaisesti sitä, onko henkilötietojen käsittelylle määriteltävissä lainmukaista perustetta (yleisen tietosuoja-asetuksen 6 ja 9 artiklat). Rekisterinpitäjä ei ole myöskään arvioinut, olisiko asukkaiden terveystietojen kerääminen ristiriidassa yleisen tietosuoja-asetuksen 5(1)(c) artiklan mukaisen tietojen minimointiperiaatteen tai 25 artiklan sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten kanssa.

Koska henkilötietoja ei asiassa saadun selvityksen mukaan ole tosiasiallisesti kerätty, apulaistietosuojavaltuutettu ei katso aiheelliseksi harkita varoituksen antamisen ohella muiden yleisen tietosuoja-asetuksen 58 artiklan mukaisten korjaavien toimivaltuuksien käyttöä.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantito-distusta vastaan.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.