31.5.2022

Sijaintitietotoiminnon automaattinen päälläolo Windows 10 -järjestelmässä

Apulaistietosuojavaltuutetun päätös rekisteröityjen sijaintiietojen käsittelyä koskevassa asiassa

Asia

Sijaintitietotoiminnon käyttö Windows 10 -järjestelmässä

Henkilötietojen käsittelijä

Istekki Oy

Asian taustaa ja henkilötietojen käsittelijältä saatu selvitys

Pohjois-Savon sairaanhoitopiiri on 19.8.2021 tehnyt tietosuojavaltuutetun toimistolle alustavan tietoturvaloukkausilmoituksen, jonka mukaan työntekijöiden tietokoneissa on oletusarvoisesti ”salli sijaintitiedon käyttö tässä laitteessa” -toiminto päällä. Kyse on sairaanhoitopiirin mukaan myös kannettavista, työntekijöiden mukana liikkuvista tietokoneista.

Tietosuojavaltuutetun toimisto on pyytänyt asiassa selvitystä sairaanhoitopiirin ICT-palveluntarjoajalta, Istekki Oy:ltä, 8.2.2022 päivätyllä selvityspyynnöllä. Istekki Oy on antanut asiassa kirjallisen selvityksen 21.2.2022. Sairaanhoitopiirin osalta asiaa on selvitetty erikseen asianumerolla 6813/171/21.

Istekki Oy:n antaman selvityksen mukaan palvelu on tarjottu kaikille Istekki Oy:n toimittamia työasemia käyttäville asiakkaille siten, että sijaintitoiminto on päällä. Istekki Oy:n mukaan sijaintitiedon kytkin on oletuksena päällä Windows 10 -asennuksessa, eikä yksikään rekisterinpitäjäasiakas ole pyytänyt asetuksen määrittämistä tai muuttamista johonkin tiettyyn asentoon.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Apulaistietosuojavaltuutetun on ratkaistava:

1) Tuleeko henkilötietojen käsittelijälle antaa asiassa määräys poistaa oletusarvoinen sijaintitietoasetus asiakkaiden Windows 10 -työasemista

Apulaistietosuojavaltuutetun päätös

Päätös

Henkilötietojen käsittelijän rekisterinpitäjäasiakkaiden työasemissa on ollut järjestelmälliseen tapaan oletusarvoisesti päällä sijaintitietojen käyttötoiminto. Henkilötietojen käsittelijälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys huolehtia siitä, ettei sijaintitietotoiminto ole perusteetta oletusarvoisesti päällä tämänhetkisten asiakkaiden Windows 10 -työasemissa. Henkilötietojen käsittelijän tulee tämän määräyksen nojalla kytkeä sijaintitieto-ominaisuus pois päältä asiakkaiden Windows 10 -työasemista 8.8.2022 mennessä, ellei rekisterinpitäjä ole käsittelijää toisin ohjeistanut. Rekisterinpitäjän kannan varmistamiseksi henkilötietojen käsittelijän tulee ilmoittaa tulevasta muutoksesta viipymättä kyseisille rekisterinpitäjäasiakkaille, ja näille rekisterinpitäjäasiakkaille tulee jättää tosiasiallinen mahdollisuus ilmoittaa käsittelijälle, ettei sijaintitietotoimintoa tule poistaa käytöstä. Henkilötietojen käsittelijän tulee toimittaa tietosuojavaltuutetun toimistolle 19.8.2022 mennessä tieto siitä, mitkä rekisterinpitäjät ovat ilmoittaneet, ettei sijaintitieto-ominaisuutta tule kytkeä pois päältä, sekä vahvistus sijaintitietotoiminnon pois kytkemisestä muista rekisterinpitäjäasiakkaiden työasemista.

Henkilötietojen käsittelijälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukainen määräys poistaa sijaintitieto-ominaisuuden käytössä syntyneet henkilötiedot niiltä osin, kuin kyse on Windows 10 -työasemista, joissa sijaintitieto-ominaisuus on ollut perusteetta päällä. Henkilötietojen käsittelijän tulee toimittaa tietosuojavaltuutetun toimistolle vahvistus suoritetuista toimenpiteistä 19.8.2022 mennessä.

Perustelut
Henkilötietojen käsittelijän vastuu

Nyt arvioitavana olevassa asiassa henkilötietojen käsittelijän rekisterinpitäjäasiakkaiden työasemissa on ollut oletusarvoisesti päällä Windows 10 -käyttöjärjestelmän sijaintitietoasetus. Henkilötietojen käsittelijän mukaan yksikään rekisterinpitäjäasiakas ei ole pyytänyt asetuksen määrittämistä tai muuttamista johonkin tiettyyn asentoon.

Apulaistietosuojavaltuutettu toteaa, että henkilötietojen käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun ja rekisterinpitäjän ohjeistuksen mukaisesti. Vastuu henkilötietojen käsittelyn tarkoitusten ja keinojen määrittelystä on yleisen tietosuoja-asetuksen 4(7) artiklan mukaisesti rekisterinpitäjällä. Nyt arvioitavana olevassa asiassa rekisterinpitäjä ei ole antanut henkilötietojen käsittelijälle ohjeistusta siitä, tulisiko sijaintitietotoiminnon olla päällä Windows 10 -työasemissa. Tällaisessa tilanteessa henkilötietojen käsittelijän kannattaa kommunikoida rekisterinpitäjän kanssa ja selvittää, mitä henkilötietoja on tarkoitus käsitellä. Henkilötietojen käsittelijän ei pidä ohjeistuksen puuttuessa olettaa, että sijaintitietojen keruutoiminnon on tarkoitus olla kytkettynä päälle ja että henkilötietoja on tarkoitus kerätä. Huomioitakoon, että sijaintitietotoiminnon käyttö voi johtaa suurien henkilötietomäärien kertymiseen.

Huomioitakoon myös, että rekisterinpitäjän ohjeistuksen puutteellisuus saattaa johtaa siihen, että muutoin kuin ohjeistuksen mukaisesti henkilötietoja käsitellyt henkilötietojen käsittelijä katsotaan näiden käsittelytoimien osalta vastuulliseksi, itsenäiseksi rekisterinpitäjäksi, joka vastaa yleisen tietosuoja-asetuksen noudattamisesta kuten rekisterinpitäjä. Henkilötietojen käsittelijän on näin myös oman etunsa mukaista huolehtia siitä, ettei se käsittele henkilötietoja puutteellisen ohjeistuksen pohjalta. Henkilötietojen käsittelijän asemassa toimivien on myös tärkeää huomioida, että käsittelijällekin on mahdollista määrätä yleisen tietosuoja-asetuksen 58 artiklan mukaisia seuraamuksia, mukaan lukien 58 artiklan 2 kohdan i-alakohdan mukainen hallinnollinen seuraamusmaksu.

Määräys poistaa sijaintietotoiminto käytöstä

Nyt arvioitavana olevassa asiassa henkilötietojen käsittelijällä on asiakkainaan muun muassa lukuisia sairaanhoitopiirejä ja kuntia. Henkilötietojen käsittelytoimien saattamiseksi yleisen tietosuoja-asetuksen säännösten mukaiseksi sijaintitietotoiminnon käytön osalta apulaistietosuojavaltuutettu antaa henkilötietojen käsittelijälle yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukaisen määräyksen. Määräyksen sisältö on avattu tarkemmin tämän päätösasiakirjan päätöskohdassa sivulla 2.

Henkilötietojen käsittelijälle toimitetaan tämän päätöksen ohessa tiedoksi käsittelijän rekisterinpitäjäasiakkaalle, Pohjois-Savon sairaanhoitopiirille, asiassa 6813/171/21 annettu päätös.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.