Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi hallinnollisen seuraamusmaksun useista puutteista henkilötietojen käsittelyssä
Seuraamuskollegio määräsi 26. toukokuuta hallinnollisen seuraamusmaksun Taksi Helsinki Oy:lle tietosuojalainsäädännön rikkomisesta. Yhtiö ei ollut arvioinut henkilötietojen käsittelyyn liittyviä riskejä ja vaikutuksia ennen kuin se otti käyttöönsä ääntä ja kuvaa takseissa tallentavan kameravalvontajärjestelmän. Puutteita oli myös asiakkaiden informoinnissa ja henkilötietojen käsittelyn dokumentoinnissa.
Tietosuojavaltuutetun toimisto alkoi selvittää Taksi Helsingin henkilötietojen käsittelyn lainmukaisuutta marraskuussa 2019. Yhtiön henkilötietojen käsittelyssä ilmeni vakavia puutteita.
Henkilötietojen käsittelyn vaikutuksia ei ollut arvioitu tietosuojalainsäädännön mukaisesti
Taksi Helsinki uusi kameravalvontajärjestelmänsä kuvaa ja ääntä nauhoittavaksi kesällä 2019. Yhtiö ei kuitenkaan arvioinut siihen liittyvän henkilötietojen käsittelyn lainmukaisuutta EU:n yleisen tietosuoja-asetuksen edellyttämällä tavalla.
Apulaistietosuojavaltuutettu määräsi yrityksen tekemään tasapainotestin, jossa arvioidaan muun muassa henkilötietojen käsittelyn tarpeellisuutta sekä vaikutuksia rekisteröityjen henkilöiden eduille ja oikeuksille.
Taksi Helsinki ei ollut myöskään tehnyt tietosuoja-asetuksen mukaisia vaikutustenarviointeja ennen henkilötietojen käsittelyn aloittamista. Tietosuojaa koskeva vaikutustenarviointi olisi pitänyt tehdä turvakameravalvonnasta, sijaintitietojen käsittelystä sekä kanta-asiakasohjelman yhteydessä harjoitetusta automaattisesta päätöksenteosta ja profiloinnista. Apulaistietosuojavaltuutettu määräsi yrityksen tekemään vaadittavat vaikutustenarvioinnit.
Äänitietojen käsittelylle ei ilmoitettu perusteluja
Taksi Helsinki ilmoitti käsittelevänsä autoilijoiden, henkilökunnan ja autoilijoiden asiakkaiden henkilötietoja kuvaa ja ääntä tallentavan kameravalvontajärjestelmän avulla. Yhtiö ei kuitenkaan ilmoittanut perusteluja sille, miksi se käsitteli äänitietoja vain osassa sen välityksen piiriin kuuluvissa taksiautoissa. Myöhemmin yhtiö kertoi, että äänitietojen käsittelyssä oli kyse erehdyksestä.
Apulaistietosuojavaltuutettu katsoi, ettei äänitietojen käsittely ollut tietosuoja-asetuksen tietojen minimoinnin periaatteen mukaista. Hän määräsi Taksi Helsingin varmistamaan, että äänitietojen käsittely ilman asiallisia perusteita lopetetaan välittömästi.
Ongelmia tietosuojan peruskysymyksissä
Apulaistietosuojavaltuutetun selvityksessä kävi myös ilmi, että Taksi Helsinki ei kertonut henkilötietojen käsittelystä tietosuojalainsäädännön edellyttämällä tavalla. Takseissa olevissa ilmoituksissa ei kerrottu äänen tallentamisesta tai siitä, mistä asiakkaat olisivat voineet saada tiedon.
Yhtiö ei myöskään kertonut kanta-asiakasohjelman yhteydessä suoritetusta automaattisesta päätöksenteosta ja profiloinnista tietosuojaselosteessaan. Apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan informointikäytäntöjään niin, että henkilötietojen käsittelystä kerrotaan ymmärrettävästi. Tietojen on myös oltava helposti saatavilla.
Selvityksessä havaittiin lisäksi dokumentointiin ja henkilötietojen käsittelyn roolien määrittelyyn liittyviä puutteita. Apulaistietosuojavaltuutettu määräsi Taksi Helsingin korjaamaan käytäntöjään.
Seurauksena hallinnollinen seuraamusmaksu
Taksi Helsingin henkilötietojen käsittelyssä ilmeni useita vakavia puutteita riskien tunnistamisessa, tietosuojaperiaatteiden noudattamisessa ja rekisteröityjen oikeuksien toteuttamisessa.
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Taksi Helsingille 72 000 euron suuruisen seuraamusmaksun. Kollegio arvioi määrän oikeasuhteiseksi, tehokkaaksi ja varoittavaksi.
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksistä voi valittaa hallinto-oikeuteen, joten ne eivät ole lainvoimaisia.
Lisätietoja:
Apulaistietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.