Sijaintitietotoiminnon automaattinen päälläolo Windows 10 -järjestelmässä
- Asiasanat
- Sijaintitiedot, Henkilötietojen käsittelijä
- Tapausvuosi
- 2022
- Antopäivä
- Diaarinumero
- 1141/161/22
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun päätös rekisteröityjen sijaintiietojen käsittelyä koskevassa asiassa
Asia
Sijaintitietotoiminnon käyttö Windows 10 -järjestelmässä
Henkilötietojen käsittelijä
Istekki Oy
Asian taustaa ja henkilötietojen käsittelijältä saatu selvitys
Pohjois-Savon sairaanhoitopiiri on 19.8.2021 tehnyt tietosuojavaltuutetun toimistolle alustavan tietoturvaloukkausilmoituksen, jonka mukaan työntekijöiden tietokoneissa on oletusarvoisesti ”salli sijaintitiedon käyttö tässä laitteessa” -toiminto päällä. Kyse on sairaanhoitopiirin mukaan myös kannettavista, työntekijöiden mukana liikkuvista tietokoneista.
Tietosuojavaltuutetun toimisto on pyytänyt asiassa selvitystä sairaanhoitopiirin ICT-palveluntarjoajalta, Istekki Oy:ltä, 8.2.2022 päivätyllä selvityspyynnöllä. Istekki Oy on antanut asiassa kirjallisen selvityksen 21.2.2022. Sairaanhoitopiirin osalta asiaa on selvitetty erikseen asianumerolla 6813/171/21.
Istekki Oy:n antaman selvityksen mukaan palvelu on tarjottu kaikille Istekki Oy:n toimittamia työasemia käyttäville asiakkaille siten, että sijaintitoiminto on päällä. Istekki Oy:n mukaan sijaintitiedon kytkin on oletuksena päällä Windows 10 -asennuksessa, eikä yksikään rekisterinpitäjäasiakas ole pyytänyt asetuksen määrittämistä tai muuttamista johonkin tiettyyn asentoon.
Sovellettavasta lainsäädännöstä
Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).
Oikeudellinen kysymys
Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.
Apulaistietosuojavaltuutetun on ratkaistava:
1) Tuleeko henkilötietojen käsittelijälle antaa asiassa määräys poistaa oletusarvoinen sijaintitietoasetus asiakkaiden Windows 10 -työasemista
Apulaistietosuojavaltuutetun päätös
Päätös
Henkilötietojen käsittelijän rekisterinpitäjäasiakkaiden työasemissa on ollut järjestelmälliseen tapaan oletusarvoisesti päällä sijaintitietojen käyttötoiminto. Henkilötietojen käsittelijälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys huolehtia siitä, ettei sijaintitietotoiminto ole perusteetta oletusarvoisesti päällä tämänhetkisten asiakkaiden Windows 10 -työasemissa. Henkilötietojen käsittelijän tulee tämän määräyksen nojalla kytkeä sijaintitieto-ominaisuus pois päältä asiakkaiden Windows 10 -työasemista 8.8.2022 mennessä, ellei rekisterinpitäjä ole käsittelijää toisin ohjeistanut. Rekisterinpitäjän kannan varmistamiseksi henkilötietojen käsittelijän tulee ilmoittaa tulevasta muutoksesta viipymättä kyseisille rekisterinpitäjäasiakkaille, ja näille rekisterinpitäjäasiakkaille tulee jättää tosiasiallinen mahdollisuus ilmoittaa käsittelijälle, ettei sijaintitietotoimintoa tule poistaa käytöstä. Henkilötietojen käsittelijän tulee toimittaa tietosuojavaltuutetun toimistolle 19.8.2022 mennessä tieto siitä, mitkä rekisterinpitäjät ovat ilmoittaneet, ettei sijaintitieto-ominaisuutta tule kytkeä pois päältä, sekä vahvistus sijaintitietotoiminnon pois kytkemisestä muista rekisterinpitäjäasiakkaiden työasemista.
Henkilötietojen käsittelijälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys poistaa sijaintitieto-ominaisuuden käytössä syntyneet henkilötiedot niiltä osin, kuin kyse on Windows 10 -työasemista, joissa sijaintitieto-ominaisuus on ollut perusteetta päällä. Henkilötietojen käsittelijän tulee toimittaa tietosuojavaltuutetun toimistolle vahvistus suoritetuista toimenpiteistä 19.8.2022 mennessä.
Perustelut
Henkilötietojen käsittelijän vastuu
Nyt arvioitavana olevassa asiassa henkilötietojen käsittelijän rekisterinpitäjäasiakkaiden työasemissa on ollut oletusarvoisesti päällä Windows 10 -käyttöjärjestelmän sijaintitietoasetus. Henkilötietojen käsittelijän mukaan yksikään rekisterinpitäjäasiakas ei ole pyytänyt asetuksen määrittämistä tai muuttamista johonkin tiettyyn asentoon.
Apulaistietosuojavaltuutettu toteaa, että henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun ja rekisterinpitäjän ohjeistuksen mukaisesti. Vastuu henkilötietojen käsittelyn tarkoitusten ja keinojen määrittelystä on yleisen tietosuoja-asetuksen 4(7) artiklan mukaisesti rekisterinpitäjällä. Nyt arvioitavana olevassa asiassa rekisterinpitäjä ei ole antanut henkilötietojen käsittelijälle ohjeistusta siitä, tulisiko sijaintitietotoiminnon olla päällä Windows 10 -työasemissa. Tällaisessa tilanteessa henkilötietojen käsittelijän kannattaa kommunikoida rekisterinpitäjän kanssa ja selvittää, mitä henkilötietoja on tarkoitus käsitellä. Henkilötietojen käsittelijän ei pidä ohjeistuksen puuttuessa olettaa, että sijaintitietojen keruutoiminnon on tarkoitus olla kytkettynä päälle ja että henkilötietoja on tarkoitus kerätä. Huomioitakoon, että sijaintitietotoiminnon käyttö voi johtaa suurien henkilötietomäärien kertymiseen.
Huomioitakoon myös, että rekisterinpitäjän ohjeistuksen puutteellisuus saattaa johtaa siihen, että muutoin kuin ohjeistuksen mukaisesti henkilötietoja käsitellyt henkilötietojen käsittelijä katsotaan näiden käsittelytoimien osalta vastuulliseksi, itsenäiseksi rekisterinpitäjäksi, joka vastaa yleisen tietosuoja-asetuksen noudattamisesta kuten rekisterinpitäjä. Henkilötietojen käsittelijän on näin myös oman etunsa mukaista huolehtia siitä, ettei se käsittele henkilötietoja puutteellisen ohjeistuksen pohjalta. Henkilötietojen käsittelijän asemassa toimivien on myös tärkeää huomioida, että käsittelijällekin on mahdollista määrätä yleisen tietosuoja-asetuksen 58 artiklan mukaisia seuraamuksia, mukaan lukien 58 artiklan 2 kohdan i-alakohdan mukainen hallinnollinen seuraamusmaksu.
Määräys poistaa sijaintietotoiminto käytöstä
Nyt arvioitavana olevassa asiassa henkilötietojen käsittelijällä on asiakkainaan muun muassa lukuisia sairaanhoitopiirejä ja kuntia. Henkilötietojen käsittelytoimien saattamiseksi yleisen tietosuoja-asetuksen säännösten mukaiseksi sijaintitietotoiminnon käytön osalta apulaistietosuojavaltuutettu antaa henkilötietojen käsittelijälle yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukaisen määräyksen. Määräyksen sisältö on avattu tarkemmin tämän päätösasiakirjan päätöskohdassa sivulla 2.
Henkilötietojen käsittelijälle toimitetaan tämän päätöksen ohessa tiedoksi käsittelijän rekisterinpitäjäasiakkaalle, Pohjois-Savon sairaanhoitopiirille, asiassa 6813/171/21 annettu päätös.
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Lisätietoja tästä päätöksestä antaa asian esittelijä
Ylitarkastaja Niina Miettinen, puh. 029 566 6774
Päätös on lainvoimainen.