Hyppää sisältöön

Biträdande dataombudsmannen: insamling av positionsdata ska inte automatiskt vara påslagen på de anställdas datorer utan grund

Utgivningsdatum 22.6.2022 10.19 | Publicerad på svenska 1.7.2022 kl. 15.39
Pressmeddelande

Dataombudsmannens byrå har utrett hur tjänsteleverantörer inom den offentliga sektorn använder positionsdatafunktionen på datorer av anställda inom kommunsektorn och statsförvaltningen. Bakgrunden till utredningen var en anmälan om personuppgiftsincident från Norra Savolax sjukvårdsdistrikt, enligt vilken inställningar som tillåter insamling av positionsdata hade varit påslagna på de anställdas Windows 10-arbetsstationer trots att det inte har varit meningen att samla in data. De anställda har använt bärbara datorer till exempel vid distansarbete.

Dataombudsmannens byrå begärde en redogörelse om ärendet av Istekki Oy som producerar Norra Savolax sjukvårdsdistrikts ICT-tjänster. I samband med utredningsarbetet begärdes en redogörelse om användningen av positionsfunktionen även av Statens center för informations- och kommunikationsteknik Valtori. Både Istekki Oy och Valtori berättade, att insamling av positionsdata är påslagen som standard i operativsystemet Windows 10, och kunderna har inte gett några andra anvisningar.

En redogörelse begärdes också av Kuntien Tiera Oy. Enligt bolaget har inställningen för positionsdata inte varit påslagen i de ICT-miljöer som bolaget producerar för sina kunder.

Arbetsgivare får endast behandla personuppgifter som är nödvändiga för arbetstagarnas anställningsförhållande

Biträdande dataombudsmannen anser att sjukvårdsdistriktet inte hade ett behov som förutsätts av lagen att behandla de anställdas positionsdata och att sjukvårdsdistriktet inte adekvat hade gått igenom vilka uppgifter som det skulle samla in. Eftersom de anställdas positionsdata har varit onödiga för arbetsgivaren och oavsiktligt insamlade, borde dessa uppgifter inte ha behandlats.

För att sörja för standarddataskyddet borde sjukvårdsdistriktet ha gått igenom operativsystemets grundinställningar och märka att positionsfunktionen var påslagen innan arbetsstationerna togs i bruk. Biträdande dataombudsmannen observerar att de anställdas personuppgifter som uppkommit till följd av att positionsfunktionens varit på har även hamnat hos Microsoft.

Biträdande dataombudsmannen gav sjukvårdsdistriktet en anmärkning för att ha positionsdatafunktionen påslagen utan grund och beordrade sjukvårdsdistriktet att radera eventuell uppgiftshistorik, positionsloggar och övriga personuppgifter som uppkommit av användningen av positionsdatafunktionen. Sjukvårdsdistriktet har meddelat att inställningen har stängts av på de anställdas arbetsstationer.

Insamlingen av positionsdata har berört en stor del av anställda inom den offentliga sektorn

Biträdande dataombudsmannen vill påminna om att det ligger i ett personuppgiftsbiträdes eget intresse att inte agera på basis av den registeransvarigas bristfälliga anvisningar.

För att sluta samla in positionsdata automatiskt beordrades tjänsteleverantörerna att se till att funktionen inte är påslagen utan grund på deras nuvarande kunders arbetsstationer. Tjänsteleverantörerna ska radera all data som uppkommit när positionsdatafunktionen varit påslagen som standard. Den tidsfrist som ställdes för föreläggandenas genomförande har förlängts fram till 31.10.

Biträdande dataombudsmannens beslut gäller behandlingen av positionsdata av uppskattningsvis tiotusentals anställda inom den offentliga sektorn.

Biträdande dataombudsmannens beslut som gäller Norra Savolax sjukvårdsdistrikt på Finlex (på finska)
Biträdande dataombudsmannens beslut som gäller Istekki Oy på Finlex (på finska)
Biträdande dataombudsmannens beslut som gäller Valtori på Finlex (på finska)

Mer information:

Biträdande dataombudsman Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, tfn 029 566 6787

Sivun alkuun