Korkeakoululle seuraamusmaksu tietosuojarikkomuksista työajanseurannassa kertyneiden sijaintitietojen käsittelyssä
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt heinäkuussa hallinnollisen seuraamusmaksun korkeakoululle tietosuojarikkomuksista työntekijöiden sijaintitietojen käsittelyssä. Rekisterinpitäjä käsitteli työntekijöiden sijaintitietoja tarpeettomasti ja ilman lainmukaista perustetta työajan leimaamiseen tarkoitetulla mobiilisovelluksella. Apulaistietosuojavaltuutettu määräsi rekisterinpitäjän myös päättämään sijaintitietojen käsittelyn.
Rekisterinpitäjä oli ottanut käyttöön mobiilisovelluksen, jota etätyössä olevat työntekijät ovat voineet käyttää työaikansa leimaamiseen. Sovelluksen käyttäminen mobiililaitteessa edellytti myös paikannuksen sallimisen. Sijaintitiedon kerääminen leimaushetkellä on ollut sovelluksen ominaisuus, jota ilman työajan leimaaminen sovelluksella ei onnistu.
Rekisterinpitäjä on kertonut käsittelevänsä tietoja työntekijöiden suostumuksen perusteella. Sovelluksen käyttö on ollut vapaaehtoista.
Työntekijöiden sijaintitietojen käsittelylle ei ollut laillista perustetta
Rekisterinpitäjältä saadun selvityksen mukaan rekisterinpitäjä ei ole aktiivisesti käyttänyt tai hyödyntänyt sijaintitietoja missään tilanteessa, vaan leimaushetken sijaintitietoa on käsitelty ainoastaan järjestelmäteknisistä syistä. Pelkästään se, että työaikaleimausten tekeminen sovelluksella ei onnistu ilman sijaintitietojen käsittelyä, ei kuitenkaan tee niiden käsittelystä tarpeellista. Tämän vuoksi apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjän työntekijöiden sijaintiin liittyvien henkilötietojen käsittely ole ollut työelämän tietosuojalain tarpeellisuusvaatimuksen mukaista.
Sijaintitietojen käsittelylle ei myöskään ole ollut yleisen tietosuoja-asetuksen mukaista laillista perustetta. Apulaistietosuojavaltuutettu huomauttaa, ettei suostumus syrjäytä työelämän tietosuojalain mukaista tarpeellisuusvaatimusta, eikä rekisteröityjen suostumus siksi voi olla laillinen käsittelyperuste tarpeettomille henkilötiedoille. Keräämällä työntekijää koskevia tarpeettomia sijaintitietoja rekisterinpitäjä on toiminut myös tietosuoja-asetuksen tiedon minimoinnin periaatteen vastaisesti.
Apulaistietosuojavaltuutettu toteaa lisäksi, ettei sellaisia palveluita tai järjestelmiä tulisi ottaa käyttöön, jotka eivät mahdollista tietosuojasäännösten noudattamista tai vastaa rekisterinpitäjän tarpeita.
Rekisterinpitäjälle määrättiin seuraamusmaksu ja käsittelykielto
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi rekisterinpitäjälle tietosuojarikkomuksista 25 000 euron suuruisen seuraamusmaksun. Lisäksi apulaistietosuojavaltuutettu määräsi rekisterinpitäjälle käsittelykiellon, joka kattaa kaiken sovelluksella kerättäviin ja jo kerättyihin sijaintitietoihin kohdistuvan käsittelyn.
Seuraamusmaksun määrää tuntuvasti alentavana seikkana otettiin huomioon, että ammattikorkeakoulun toiminnan päätarkoituksena ei ole voiton tavoittelu, vaan lakisääteinen korkeakouluopetuksen tarjoaminen.
Päätökset eivät ole vielä lainvoimaisia.
Seuraamuskollegion ja apulaistietosuojavaltuutetun päätökset Finlexissä
Lisätietoja:
Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766
2.8. lähtien apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, puh. 029 56 66787
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.