Finlex - Etusivulle
Tietosuojavaltuutettu

1.9.2023

Tietosuojavaltuutettu

Tietosuojavaltuutetun ratkaisuja EU:n yleisen tietosuoja-asetuksen, rikosasioiden tietosuojalain ja henkilötietolain tulkinnasta

Verkkopalveluun rekisteröityneiden henkilöiden henkilötietojen julkinen näkyvyys

Asiasanat
käsittelyn turvallisuus, sisäänrakennettu tietosuoja, verkkopalvelu
Tapausvuosi
2023
Antopäivä
Diaarinumero
3379/182/23
Säädösperusta
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Apulaistietosuojavaltuutetun päätös

Asia

Sisäänrakennettu ja oletusarvoinen tietosuoja ja käsittelyn turvallisuus

Rekisterinpitäjä

Kaupunki

Tietosuojavaltuutetun toimistolle tehty ilmoitus

Tietosuojavaltuutetun toimisto on 29.3.2023 vastaanottanut ilmoituksen, joka koskee rekisterinpitäjän osallistavan budjetoinnin palvelua (jäljempänä palvelu). Ilmoituksen mukaan palvelun hakutoiminnolla on mahdollista nähdä kaikkien palveluun rekisteröityneiden ihmisten etu- ja sukunimi. Ilmoituksen mukaan palvelussa on noin 124 000 ihmisen nimi julkisesti nähtävillä ja haettavissa.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto on 25.4.2023 pyytänyt asiasta rekisterinpitäjältä selvitystä. Rekisterinpitäjä on 25.5.2023 vastauksessaan selvityspyyntöön todennut seuraavaa.

Rekisterinpitäjä on kertonut, että palvelun tarkoitus on ollut osallistaa kaupungin asukkaita budjetointiin. Rekisterinpitäjän mukaan sivusto on luonteeltaan sosiaalinen osallisuuspalvelu, jossa kaupunkilaiset voivat käydä keskustelua kaupungin kehittämisestä.

Rekisterinpitäjän mukaan palvelussa on ollut hakutoiminto, josta on voinut hakea kaikkea sivustolla olevaa materiaalia: käyttäjiä, ehdotuksia ja julkaisuja. Kaikki palveluun luodut profiilit ovat olleet kaikille nähtävissä sivuston hakutuloksista. Tämä on ollut sivuston käyttämän alustan perusominaisuus.

Tietosuojavaltuutetun toimiston selvityspyynnön myötä rekisterinpitäjä on havainnut palvelussa tapahtuneen tietoturvaloukkauksen, josta se on tehnyt ilmoituksen tietosuojavaltuutetun toimistolle 3.5.2023. Tietoturvaloukkauksen korjaamiseksi kaikki palveluun tehdyt profiilit on poistettu ja rekisteröityminen palveluun on suljettu. Lisäksi palvelun hakutoiminto on poistettu. Rekisterinpitäjä on myös pyytänyt Googlea poistamaan palvelua koskevan hakusivun hakutuloksista. Rekisterinpitäjän mukaan tietoturvaloukkauksen kohteena on ollut noin 160 000 henkilöä.

Rekisterinpitäjän mukaan kaikista käyttäjistä on ollut mahdollista nähdä heidän etu- ja sukunimensä. Äänestyksiä varten rekisteröityminen palveluun on tapahtunut vahvan tunnistautumisen kautta, ja etu- ja sukunimi tulevat henkilön profiiliin suoraan tunnistautumispalvelusta. Nimen on halutessaan voinut jälkikäteen muuttaa.

Profiiliin on halutessaan voinut lisätä nimimerkin ja kuvan ja lisätietoja profiilista. Käyttäjä on voinut kirjoittaa lisätietokenttään mitä tahansa haluamiaan tietoja. Lisäksi profiilissa on näkynyt henkilön aktiivisuus sivustolla ja profiilit, joita hän seuraa, sekä profiilit, jotka seuraavat häntä. Aktiivisuusnäkymässä ovat näkyneet henkilön mahdollisesti jättämät ehdotukset ja kommentit, mutta ei esimerkiksi äänestyksiä.

Rekisterinpitäjä on selvityspyynnön myötä arvioinut nyt uudelleen tietojen näkyvyyttä ja julkaisua verkkosivuilla ja päätynyt piilottamaan palveluun luodut profiilit. Ainoastaan niissä tilanteissa, kun käyttäjä haluaa julkaista ehdotuksen tai jättää kommentin palvelussa, pyydetään suostumus profiilin julkaisemiselle. Ehdotuksen tai kommentin jättämisen jälkeen profiilin voi halutessaan piilottaa uudelleen.

Oikeudellinen kysymys

Apulaistietosuojavaltuutetun on ratkaistava, onko rekisterinpitäjä noudattanut yleisen tietosuoja-asetuksen (EU) 2016/679 sisäänrakennettua ja oletusarvoista tietosuojaa koskevan 25 artiklan 2 kohdassa säädettyä ja käsittelyn turvallisuutta koskevan 32 artiklan 1 kohdassa säädettyä siltä osin kuin palveluun luodut profiilit ja niihin liittyvät tiedot ovat olleet kaikkien haettavissa ja nähtävissä.

Apulaistietosuojavaltuutetun päätös ja perustelut

Päätös

Rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 25 artiklan 2 kohdassa eikä 32 artikla 1 kohdassa säädettyä siltä osin kuin palveluun luodut profiilit ja niihin liittyvät tiedot ovat olleet kaikkien haettavissa ja nähtävissä.

Apulaistietosuojavaltuutettu antaa tämän johdosta rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen.

Apulaistietosuojavaltuutettu ei tässä yhteydessä anna rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaista määräystä saattaa käsittelytoimia yleisen tietosuoja-asetuksen säännösten mukaisiksi, koska rekisterinpitäjä on jo ryhtynyt toimenpiteisiin palvelun toiminnallisuuksien korjaamiseksi.

Perustelut

Sovellettavat oikeusohjeet

Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta. Yleisen tietosuoja-asetuksen johdanto-osan 78 kappaleen mukaan palveluja kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä on huomioitava, että rekisterinpitäjän tulee pystyä täyttämään tietosuojavelvoitteensa.

Yleisen tietosuoja-asetuksen 32 artiklassa säädetään käsittelyn turvallisuudesta. Artiklan 1 kohdan mukaan ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet.

Asiassa saatu selvitys

Rekisterinpitäjältä saadun selvityksen perusteella palvelussa on ollut hakutoiminto, josta on voinut hakea kaikkia sivuston käyttäjiä. Kaikki palveluun luodut profiilit ovat olleet kaikille nähtävissä sivuston hakutuloksista. Profiileista on ollut nähtävissä käyttäjien etu- ja sukunimi, ellei käyttäjä ole rekisteröitymisen jälkeen vaihtanut nimeä. Profiiliin on halutessaan voinut lisätä nimimerkin ja kuvan ja lisätietoja profiilista. Käyttäjä on voinut kirjoittaa lisätietokenttään mitä tahansa haluamiaan tietoja. Lisäksi profiilissa on näkynyt henkilön aktiivisuus sivustolla ja profiilit, joita hän seuraa, sekä profiilit, jotka seuraavat häntä. Aktiivisuusnäkymässä ovat näkyneet henkilön mahdollisesti jättämät ehdotukset ja kommentit.

Rekisterinpitäjältä saadun selvityksen perusteella palvelun tarkoitus on ollut osallistaa kaupungin asukkaita budjetointiin. Rekisterinpitäjän mukaan sivusto on luonteeltaan sosiaalinen osallisuuspalvelu, jossa kaupunkilaiset voivat käydä keskustelua kaupungin kehittämisestä. Rekisterinpitäjä on tietosuojavaltuutetun toimiston selvityspyynnön myötä arvioinut nyt uudelleen tietojen näkyvyyttä ja julkaisua verkkosivuilla ja päätynyt piilottamaan palveluun luodut profiilit.

Oikeudellinen arviointi ja johtopäätökset

Apulaistietosuojavaltuutettu toteaa, että ottaen huomioon palvelun käyttötarkoitus osallistavan budjetoinnin välineenä ei voida pitää tarpeellisena, että kaikkien käyttäjien profiilit ovat olleet julkisesti haettavissa ja nähtävissä kaikille palvelun oman hakutoiminnon kautta. Palvelussa ei ole ollut teknistä tai organisatorista rajoitusta, joka olisi estänyt ulkopuolisten pääsyn tietoihin, joihin heidän ei kuulu päästä. Palvelun käyttäjien profiilit ovat siten olleet rajoittamattoman henkilömäärän saatavilla.

Edellä esitetyn perusteella apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän ei ole toteuttanut yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan edellyttämiä asianmukaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan oletusarvoisesti vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisten henkilötietojen käsittely. Rekisterinpitäjä ei myöskään ole toteuttanut yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan edellyttämiä riskiä vastaavan turvallisuustason varmistamiseksi asianmukaisia teknisiä ja organisatorisia toimenpiteitä.

Sovelletut lainkohdat

Perusteluissa mainitut.

Päätös on lainvoimainen.

Sivun alkuun