Hyppää sisältöön

Apulaistietosuojavaltuutettu: sijaintitiedon keräämisen ei pidä olla automaattisesti päällä työntekijöiden tietokoneissa ilman perustetta

Julkaisuajankohta 22.6.2022 10.19
Tiedote

Tietosuojavaltuutetun toimisto on selvittänyt julkisen sektorin palveluntarjoajilta sijaintitietotoiminnon käyttöä kuntasektorin ja valtionhallinnon työntekijöiden tietokoneissa. Selvityksen taustalla oli Pohjois-Savon sairaanhoitopiirin tekemä tietoturvaloukkausilmoitus, jonka mukaan sijaintitietojen keräämisen sallivat asetukset ovat olleet päällä työntekijöiden Windows 10 -työasemissa, vaikka tietoja ei ole ollut tarkoitus kerätä. Kannettavia tietokoneita on käytetty esimerkiksi etätyössä.

Tietosuojavaltuutetun toimisto pyysi asiasta selvitystä Pohjois-Savon sairaanhoitopiirin ICT-palvelut tuottavalta Istekki Oy:ltä. Selvitystyön yhteydessä myös Valtion tieto- ja viestintätekniikkakeskus Valtorilta pyydettiin selvitystä sijaintitoiminnon käytöstä. Sekä Istekki Oy että Valtori kertoivat, että sijaintitietojen kerääminen on oletusarvoisesti päällä Windows 10 -käyttöjärjestelmässä, eivätkä asiakkaat ole ohjeistaneet muuta.

Selvitystä pyydettiin myös Kuntien Tiera Oy:ltä. Yhtiön mukaan sen asiakkailleen tuottamissa ICT-ympäristöissä sijaintitietoasetus on ollut pois päältä.

Työnantaja saa käsitellä vain työntekijän työsuhteen kannalta tarpeellisia henkilötietoja

Apulaistietosuojavaltuutettu katsoo, ettei sairaanhoitopiirillä ollut lain edellyttämää tarvetta työntekijöiden sijaintitietojen käsittelylle, eikä sairaanhoitopiiri ollut käynyt asianmukaisesti läpi, mitä tietoja sen on tarkoitus kerätä. Koska työntekijöiden sijaintitiedot ovat olleet työnantajalle tarpeettomia ja tahattomasti kerättyjä, näitä tietoja ei olisi pitänyt käsitellä.

Oletusarvoisesta tietosuojasta huolehtiakseen sairaanhoitopiirin olisi pitänyt käydä läpi järjestelmän perusasetukset ja havaita sijaintitoiminnon päällä olo ennen työasemien käyttöönottoa. Apulaistietosuojavaltuutettu huomioi, että sijaintitoiminnon päällä olon seurauksena syntyneitä henkilötietoja on päätynyt myös Microsoftille.

Apulaistietosuojavaltuutettu antoi sairaanhoitopiirille huomautuksen sijaintitietotoiminnon perusteettomasta päällä pitämisestä ja määräsi sen poistamaan mahdolliset historiatiedot, sijaintilokit ja muut sijaintitietotoiminnon käytössä syntyneet henkilötiedot. Sairaanhoitopiiri on ilmoittanut ottaneensa asetuksen pois käytöstä työntekijöiden työasemissa.

Sijaintitietojen kerääminen on koskenut laajasti julkisen sektorin työntekijöitä

Apulaistietosuojavaltuutettu muistuttaa, että henkilötietojen käsittelijän on oman etunsa mukaista huolehtia, ettei se toimi rekisterinpitäjän puutteellisen ohjeistuksen pohjalta.

Sijaintitietojen automaattisen keräämisen lopettamiseksi palveluntarjoajat määrättiin huolehtimaan, ettei toiminto ole perusteetta automaattisesti päällä tämänhetkisten asiakkaiden työasemissa. Palveluntarjoajien tulee poistaa tiedot, jotka ovat syntyneet sijaintitietotoiminnon ollessa oletusarvoisesti päällä. Määräysten toteutukselle asetettiin määräaika, jota on jatkettu 31.10. saakka.

Apulaistietosuojavaltuutetun päätökset koskevat arviolta kymmenien tuhansien julkisen sektorin työntekijöiden sijaintitietojen käsittelyä.

Apulaistietosuojavaltuutetun Pohjois-Savon sairaanhoitopiiriä koskeva päätös Finlexissä
Apulaistietosuojavaltuutetun Istekki Oy:tä koskeva päätös Finlexissä
Apulaistietosuojavaltuutetun Valtoria koskeva päätös Finlexissä

Lisätietoja:

​​​​​​​Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, puh. 029 566 6787

Sivun alkuun