Seuraa Taloushallintoliitto

Henkilötunnus laskulla ja työnhakijoiden tietojen kysyminen – tietosuojavaltuutetun päätöksiä

Uutinen   •   Kesä 11, 2020 12:49 EEST

Laskulle ei henkilötunnusta

Tietosuojavaltuutettu on antanut 14.5.2020 päätöksen (Dnro 8205/154/18) saamaansa ilmoitukseen, joka koski laskulle kirjattavaa henkilötunnusta. Kyseessä olleessa tapauksessa kaupunki oli vastoin asiakkaan pyyntöä lisännyt turvapuhelinlaskulle henkilön sosiaaliturvatunnuksen kokonaisuudessaan, vaikka järjestelmässä jokaisella asiakkaalla oli tämän yksilöivä asiakasnumero olemassa.

Päätöksessään tietosuojavaltuutettu toteaa, että henkilötunnusta ei ole tarkoitettu käytettäväksi tunnistamisen välineenä, eikä yksinomaan tunnistaminen voi olla henkilötunnuksen käsittelyn perusteena. Laskulle ei näin ollen saa kirjata henkilötunnusta henkilön identifioimiseksi vaan henkilön yksilöimiseen tulee käyttää esimerkiksi asiakasnumeroa. Henkilötunnuksen käsittelystä säädetään tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa, jossa erikseen todetaan, ettei henkilötunnusta tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

Tietosuojavaltuutettu kiinnitti päätöksessä huomiota myös järjestelmien valmiuteen, että niissä tulee olla huomioituna tietosuoja-asetuksen vaatimukset. Rekisterinpitäjä oli vastauksessaan tuonut esille myös teknisten järjestelmien mukanaan tuomat haasteet.

Tietosuojavaltuutettu antoi rekisterinpitäjälle määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi.

Työnhakijoiden henkilötietojen kerääminen minimoitava

Tietosuojavaltuutettu on antanut 18.5.2020 päätöksen (Dnro 137/161/2020) saamaansa kanteluun, jossa kyseessä oli työnhakijan henkilötietojen kerääminen. Kyseessä oli yrityksen työhönottotilanteessa käyttämä henkilötietolomake, jossa on kysytty työnhakijoilta seuraavia henkilötietoja: syntymäkunta, seurakunta, perhesuhteet, suojelukoulutus, sotilasarvo, asunto, varusmiespalveluajan aloitusvuosi, varusmiespalveluaika, puolison nimi, puolison ammatti, puolison työpaikka, lasten syntymävuodet, terveydentilaan liittyvät tiedot ja tieto siitä, onko henkilö raskaana vai ei.

Tietosuojavaltuutetun päätöksen mukaan kyseisten tietojen kysymistä ei voida pitää työelämän tietosuojalain valossa tarpeellisena tai lainmukaisena, jolloin tietojen käsittely ei myöskään ole tietosuoja-asetuksen henkilötietojen minimointia koskevien periaatteiden mukaista eikä tietosuoja-asetuksen tarkoittamalla tavalla lainmukaista.

Lisäksi kysytyt tiedot henkilön seurakunnasta, terveydentilasta sekä tieto raskaudesta ovat tietosuoja-asetuksen mukaisia erityisiin henkilötietoryhmiin kuuluvia tietoja eli ns. arkaluonteisia tietoja, joten niiden käsittely on ollut myös tietosuoja-asetuksen 9 artiklan vastaista.

Edelleen tietosuojavaltuutettu totesi, että merkitystä ei tule antaa sille, että kysyttyjen tietojen kertominen on rekisterinpitäjän mukaan ollut vapaaehtoista, sillä työelämän tietosuojalain tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. Rekisterinpitäjänä toimivan työnantajan ja työnhakijan valtasuhteiden epätasapaino huomioon ottaen työnhakijan katsottiin rinnastuvan tällaisessa tapauksessa työntekijään.

Päätökseen sisältyy useampia kohtia, joissa ei ole noudatettu tietosuoja-asetuksen velvoitteita, muun muassa tietosuoja-asetuksen noudattamisen osoitusvelvollisuuteen liittyen. Lisäksi puutteita oli työntekijöiden ja työnhakijoiden henkilötietojen käsittelytapojen määrittämisessä ja itse käsittelyn yhteydessä toteutetuissa organisatorisissa tai teknisissä toimenpiteissä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja jotta käsittelyn asianmukaisuus olisi voitu varmistaa ja osoittaa.

Tietosuojavaltuutettu on antanut rekisterinpitäjälle huomautukset määriteltyjen tietosuoja-asetuksen kohtien puutteellisesta noudattamisesta sekä määrännyt tämän saattamaan henkilötietojen käsittelytoimet säädösten mukaisiksi. Lisäksi tietosuojalain mukainen seuraamuskollegio on määrännyt hallinnollisen seuraamusmaksun rekisterinpitäjälle. Maksun perusteissa huomioitiin rekisterinpitäjän toimenpiteet tilanteen korjaamiseksi heti selvityspyynnön saatuaan ja yhteistyö valvontaviranomaisen kanssa.

Tietosuojavaltuutetun päätökset ovat kokonaisuudessaan luettavissa finlex.fi/fi/viranomaiset/tsv/

Kommentit (0)

Lisää kommentti

Kommentti

Lähettämällä kommentin suostut siihen, että henkilötietojasi käsitellään Mynewsdeskin tietosuojakäytännön mukaisesti.