31.5.2022

Sijaintitietotoiminnon automaattinen päälläolo Windows 10 -järjestelmässä

Apulaistietosuojavaltuutetun päätös rekisteröityjen sijaintitietojen käsittelyä koskevassa asiassa

Asia

Sijaintitietotoiminnon käyttö Windows 10 -järjestelmässä

Henkilötietojen käsittelijä

Valtion tieto- ja viestintätekniikkakeskus Valtori

Asian taustaa ja henkilötietojen käsittelijältä saatu selvitys

Tietosuojavaltuutetun toimisto on keväällä 2022 selvittänyt sijaintitietotoiminnon käyttöä Windows 10 -järjestelmässä eri kunta-alan palveluntarjoajilta. Tämän selvitystyön yhteydessä selvitystä on pyydetty myös Valtion tieto- ja viestintätekniikkakeskus Valtorilta (jatkossa: Valtori) 21.3.2022 päivätyllä selvityspyynnöllä. Valtori on antanut asiassa kirjallisen selvityksen 4.4.2022.

Valtorin antaman selvityksen mukaan sijaintitietoasetus on Microsoftin määrityksen mukaisesti oletuksena päällä Windows 10 -käyttöjärjestelmässä, ja palvelu on tarjottu tällaisena kaikille Päätelaitepalvelu Valtin (28576 työasemaa) ja Päätelaitepalvelu Valtti Moduulin (6726 työasemaa) asiakkaille. Valtorin mukaan osa sen asiakkaista hyödyntää sijaintitietoa työtehtävissään, ja sijaintitietoa käytetään myös yleisesti käyttäjäkokemuksen parantamiseen, sillä se mahdollistaa ajantasaiset ja sijaintitiedon mukaisesti kohdistuvat syötteet, kuten säätiedot sekä uutistiedot. Lisäksi sijaintitietoa voidaan yrittää käyttää avuksi koneen katoamistilanteessa.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Apulaistietosuojavaltuutetun on ratkaistava:

1) Tuleeko henkilötietojen käsittelijälle antaa asiassa määräys poistaa oletusarvoinen sijaintitietoasetus asiakkaiden Windows 10 -työasemista

Apulaistietosuojavaltuutetun päätös

Päätös

Henkilötietojen käsittelijän rekisterinpitäjäasiakkaiden työasemissa on ollut järjestelmälliseen tapaan oletusarvoisesti päällä sijaintitietojen käyttötoiminto. Henkilötietojen käsittelijälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys huolehtia siitä, ettei sijaintitietotoiminto ole perusteetta oletusarvoisesti päällä tämänhetkisten asiakkaiden Windows 10 -työasemissa. Henkilötietojen käsittelijän tulee tämän määräyksen nojalla kytkeä sijaintitieto-ominaisuus pois päältä asiakkaiden Windows 10 -työasemista8.8.2022 mennessä, ellei rekisterinpitäjä ole käsittelijää toisin ohjeistanut. Rekisterinpitäjän kannan varmistamiseksi henkilötietojen käsittelijän tulee ilmoittaa tulevasta muutoksesta viipymättä kyseisille rekisterinpitäjäasiakkaille, ja näille rekisterinpitäjäasiakkaille tulee jättää tosiasiallinen mahdollisuus ilmoittaa käsittelijälle, ettei sijaintitietotoimintoa tule poistaa käytöstä. Henkilötietojen käsittelijän tulee toimittaa tietosuojavaltuutetun toimistolle 19.8.2022 mennessä tieto siitä, mitkä rekisterinpitäjät ovat ilmoittaneet, ettei sijaintitieto-ominaisuutta tule kytkeä pois päältä, sekä vahvistus sijaintitietotoiminnon pois kytkemisestä muista rekisterinpitäjäasiakkaiden työasemista.

Henkilötietojen käsittelijälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys poistaa sijaintitieto-ominaisuuden käytössä syntyneet henkilötiedot niiltä osin, kuin kyse on Windows 10 -työasemista, joissa sijaintitieto-ominaisuus on ollut perusteetta päällä. Henkilötietojen käsittelijän tulee toimittaa tietosuojavaltuutetun toimistolle vahvistus suoritetuista toimenpiteistä 19.8.2022 mennessä.

Perustelut
Henkilötietojen käsittelijän vastuu

Nyt arvioitavana olevassa asiassa henkilötietojen käsittelijän rekisterinpitäjäasiakkaiden työasemissa on ollut oletusarvoisesti päällä Windows 10 -käyttöjärjestelmän sijaintitietoasetus.

Apulaistietosuojavaltuutettu toteaa, että henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun ja rekisterinpitäjän ohjeistuksen mukaisesti. Vastuu henkilötietojen käsittelyn tarkoitusten ja keinojen määrittelystä on yleisen tietosuoja-asetuksen 4(7) artiklan mukaisesti rekisterinpitäjällä. Silloin, kun rekisterinpitäjä ei ole antanut henkilötietojen käsittelijälle ohjeistusta siitä, tulisiko esimerkiksi sijaintitietotoiminnon olla päällä Windows 10 -työasemissa, henkilötietojen käsittelijän kannattaa kommunikoida rekisterinpitäjän kanssa ja selvittää, mitä henkilötietoja on tarkoitus käsitellä. Henkilötietojen käsittelijän ei pidä ohjeistuksen puuttuessa olettaa, että esimerkiksi sijaintitietojen keruutoiminnon on tarkoitus olla kytkettynä päälle ja että henkilötietoja on tarkoitus kerätä. Huomioitakoon, että sijaintitietotoiminnon käyttö voi johtaa suurien henkilötietomäärien kertymiseen.

Huomioitakoon myös, että rekisterinpitäjän ohjeistuksen puutteellisuus saattaa johtaa siihen, että muutoin kuin ohjeistuksen mukaisesti henkilötietoja käsitellyt henkilötietojen käsittelijä katsotaan näiden käsittelytoimien osalta vastuulliseksi, itsenäiseksi rekisterinpitäjäksi, joka vastaa yleisen tietosuoja-asetuksen noudattamisesta kuten rekisterinpitäjä. Henkilötietojen käsittelijän on näin myös oman etunsa mukaista huolehtia siitä, ettei se käsittele henkilötietoja puutteellisen ohjeistuksen pohjalta. Henkilötietojen käsittelijän asemassa toimivien on myös tärkeää huomioida, että käsittelijällekin on mahdollista määrätä yleisen tietosuoja-asetuksen 58 artiklan mukaisia seuraamuksia, mukaan lukien 58 artiklan 2 kohdan i-alakohdan mukainen hallinnollinen seuraamusmaksu.

Määräys poistaa sijaintietotoiminto käytöstä

Nyt arvioitavana olevassa asiassa henkilötietojen käsittelijä tuottaa muun muassa valtionhallinnon ICT-palvelut ja käsittelee näin lukuisten rekisteröityjen henkilötietoja. Henkilötietojen käsittelytoimien saattamiseksi yleisen tietosuoja-asetuksen säännösten mukaiseksi sijaintitietotoiminnon käytön osalta apulaistietosuojavaltuutettu antaa henkilötietojen käsittelijälle yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukaisen määräyksen. Määräyksen sisältö on avattu tarkemmin tämän päätösasiakirjan päätöskohdassa sivulla 2.

Koska henkilötietojen käsittelijä on esittänyt perusteita sijaintitoiminnon oletusarvoiselle käytölle, todettakoon, että päätöksen henkilötietojen keräämisestä tekee rekisterinpitäjä, ei henkilötietojen käsittelijä. Käsittelijän esittämän osalta voidaan kuitenkin todeta, että esimerkiksi uutissyöte tai säätiedot eivät ole sellaisia perusteita, joiden nojalla sijaintitietojen käsittely olisi lain edellyttämällä tavalla tarpeellista. Myöskään sijaintitietojen mahdollinen hyödyllisyys tietokoneen katoamistilanteissa ei lähtökohtaisesti ole lainmukainen peruste kerätä työntekijän sijaintitietoja, ja etenkään suorittaa jatkuvaa rekisteröidyn seurantaa. Apulaistietosuojavaltuutettu kiinnittää henkilötietojen käsittelijän huomiota niin ikään siihen, että sijaintitoimintoa käytettäessä henkilötietoja on päätynyt myös sijaintipalveluntarjoajalle. Asiassa on näiltä osin ollut kyse esimerkiksi sellaisista tiedoista, jotka sijaintipalveluntarjoaja voi yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, tietoja yhdistelemällä.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.