Ajankohtainen oikeustapaus henkilötunnusten keräämisestä

KHO:2023:56

Tapauksen taustat

Asuntoja vuokraava rekisterinpitäjä A Oy keräsi säännönmukaisesti vuokra-asunnoissa asuvien perheiden lasten henkilötunnuksia. A Oy määrättiin apulaistietosuojavaltuutetun päätöksellä 24.5.2021 saattamaan käsittelytoimensa lasten henkilötunnusten keräämisen osalta tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjä määrättiin myös poistamaan keräämänsä lasten henkilötunnukset siltä osin kuin keräämiselle ei ollut asianmukaista perustetta. 

A Oy valitti päätöksestä hallinto-oikeuteen, joka kumosikin edellä kerrotun apulaistietosuojavaltuutetun päätöksen. Valituskierros jatkui, ja seuraavaksi KHO myönsi apulaistietosuojavaltuutetulle tämän pyytämän valitusluvan, ja otti asian käsiteltäväkseen.  Lopputulemana KHO päätyi kumoamaan hallinto-oikeuden tekemän päätöksen ja saattoi apulaistietosuojavaltuutetun antaman lasten henkilötietojen käsittelyä koskevan päätöksen takaisin voimaan. 

Käsittelyn kulku 

Apulaistietosuojavaltuutetun päätös ja perustelut

Apulaistietosuojavaltuutettu katsoi omassa päätöksessä, ettei lapsen henkilötunnuksen käsitteleminen säännönmukaisesti osana asuntovuokraustoimintaa ollut tietosuoja-asetuksen 5 artiklan 1 c kohdan mukaisen tarpeellisuusperiaatteen (tietojen minimointi) mukaista. 

Päätöksen perusteluna oli, etteivät A Oy:n esittämät perusteet lastensuojeluilmoituksen tekemisestä, avaintenhukkaamistilanteet, tai asumistukiasiat täyttäneet tarpeellisuusvaatimusta. Edellä mainituissa tilanteissa ei ollut päätöksen mukaan tarpeen säännönmukaisesti kerätä lasten henkilötunnuksia. Toisaalta ympäristöministeriön arava- ja korkotukivuokra-asuntojen hakemuslomakkeesta annetussa asetuksessa säädetään henkilötunnuksen käsittelemisestä, eikä tässä asetuksessa ole tehty rajausta asukkaan iän perusteella. Tällä perusteella arava- ja korkotukivuokra-asuntoon asumaan tulevien lasten henkilötunnuksia on siis mahdollista käsitellä. Tämä ei kuitenkaan oikeuta rekisterinpitäjää käsittelemään muiden lasten henkilötunnuksia.  

Apulaistietosuojavaltuutettu totesi, että henkilötietojen kerääminen on tehtävä tarpeellisuusvaatimusta noudattaen. Toisin sanoen tietosuoja-asetuksen mukaan ei ole sallittua kerätä sellaisia henkilötietoja, joiden tarpeellisuudelle ei ole asianmukaisia perusteita. Tarpeellisuuden arviointi on tehtävä tapauskohtaisesti, eikä henkilötietoja voi esimerkiksi kerätä ja säilyttää pelkästään varmuuden vuoksi.  

Hallinto-oikeuden päätös ja perustelut

Hallinto-oikeus katsoi tietosuoja-asetuksen 5 artiklan tarpeellisuusvaatimuksen täyttyvän sillä perusteella, että käsitellylle on ollut olemassa asetuksen 6 artiklan mukainen käsittelyperuste. Hallinto-oikeuden mukaan vuokraustoimintaa harjoittavalla rekisterinpitäjä A Oy:llä oli tietosuoja-asetuksen 6 artiklan 1 kohdan f) alakohdassa tarkoitettu oikeutettu etu lasten henkilötietojen käsittelyyn.  

Korkeimman hallinto-oikeuden päätös ja perustelut

KHO puolestaan totesi, että apulaistietosuojavaltuutettu on päätöksessään arvioinut A Oy:n lasten henkilötunnusten keräämistä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaisen tarpeellisuusvaatimuksen kannalta. Tämän vuoksi myös KHO arvioi, oliko lasten henkilötunnusten kerääminen tässä kyseisessä tapauksessa tietojen minimointia koskevan vaatimuksen mukaista. Apulaistietosuojavaltuutetun päätöksessä ei KHO:n päätöksen mukaan otettu kantaa 6 artiklan mukaiseen käsittelyperusteeseen. Toisin sanoen kyse ei siis tässä tapauksessa ollut 6 artiklan mukaisen laillisen käsittelyperusteen olemassaolosta. 

KHO perusteli päätöstään sillä, ettei käsittelyperusteen olemassaolo yksinään tee käsittelystä lainmukaista. Henkilötietojen käsittelyssä on lisäksi myös noudatettava 5 artiklan mukaisia tietosuojaperiaatteita, kuten artiklan kohdan 1 c mukaista tietojen minimointiperiaatetta. Tältä osin KHO viittasi myös useisiin EUTI:n ratkaisuihin.  

KHO:n mukaan tarpeellisuusarvioinnissa on huomioitava rekisterinpitäjän ilmoittamat tietojen käyttötarkoitukset. Arvioinnissa voidaan ottaa huomioon myös yleisen tietosuoja-asetuksen johdantokappale 39, jossa todetaan mm., että henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta, ja että henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin. 

KHO viittasi päätöksessään myös 25 artiklan mukaiseen  sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukseen sekä kyseistä vaatimusta koskevaan tietosuojaneuvoston ohjeeseen. Niiden perusteella rekisterinpitäjän on oletusarvoisesti käsiteltävä henkilötietoja vain sen verran kuin käsittely on ehdottoman välttämätöntä lainmukaisen tietojen käyttötarkoituksen toteuttamiseksi. 

Lopputulemana tässä tapauksessa siis on, että rekisterinpitäjä ei voi perustella muiden kuin arava- ja korkotukivuokra-asuntoon asumaan tulevien lasten henkilötunnusten keräämistä lastensuojeluilmoituksen tekemisellä, avaintenhukkaamistilanteilla eikä asumistukiasioilla.  Perusteena ei myöskään voi olla käytössä olevan tietojärjestelmän tekniset vaatimukset, vaan tietojärjestelmät on suunniteltava niin, etteivät ne edellytä muutoin tarpeettomien henkilötietojen käsittelyä.  

KHO katsoi, ettei A Oy ole rekisterinpitäjänä esittänyt sellaista selvitystä, jonka perusteella kaikkien vuokra-asunnossa asuvien tai asuntoa hakevien perheiden lasten henkilötunnusten säännönmukainen kerääminen olisi 5 artiklan 1 c kohdan mukaisesti tarpeellista yhtiön ilmoittamiin edellä selostettuihin käyttötarkoituksiin. 

Kommenttimme lopullisesta päätöksestä

KHO:n ratkaisu on mielestäni hyvä muistutus kaikille rekisterinpitäjille, että tietosuoja-asetuksen 5 artiklan mukaisia tietosuojaperiaatteita, käsittelyn tarpeellisuus mukaan luettuna, on noudatettava kaikessa henkilötietojen käsittelyssä koko käsittelyn elinkaaren ajan.  

On tärkeää huomioida, että tietosuoja-asetuksen 5 artiklan 1 a kohdan mukainen laillisuusperiaate on ainoastaan yksi periaatteista. Tämä periaate ei siis yksinään riitä tekemään käsittelystä asetuksen mukaista, vaikka käsittelylle olisikin olemassa 6 artiklan mukainen laillinen käsittelyperuste.  

Henkilötietojen käsittelyn tarpeellisuutta onkin tämän ratkaisun perusteella tärkeää arvioida aina tapauskohtaisesti ja huomioitava kussakin tapauksessa nimenomaan tietojen käsittelyn tarkoitus.   

Asuntoja vuokraava rekisterinpitäjä A Oy keräsi säännönmukaisesti vuokra-asunnoissa asuvien perheiden lasten henkilötunnuksia. Apulaistietosuojavaltuutetun päätöksellä 24.5.2021 määrättiin rekisterinpitäjä saattamaan käsittelytoimensa lasten henkilötunnusten keräämisen osalta tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjä määrättiin myös poistamaan keräämänsä lasten henkilötunnukset siltä osin kuin keräämiselle ei ollut asianmukaista perustetta.

Rekisterinpitäjä A Oy valitti päätöksestä hallinto-oikeuteen, joka kumosikin edellä kerrotun apulaistietosuojavaltuutetun päätöksen. Valituskierros jatkui ja seuraavaksi korkein hallinto-oikeus puolestaan myönsi apulaistietosuojavaltuutetulle tämän vaatiman valitusluvan ja otti asian käsiteltäväkseen.  Lopputulemana KHO päätyi kumoamaan hallinto-oikeuden tekemän päätöksen ja saattoi apulaistietosuojavaltuutetun alun perin lasten henkilötietojen käsittelyä koskevan päätöksen takaisin voimaan.

Oikeustapauslyhennelmän on kommentteineen laatinut PTCS:n asiantuntija Elisa Molin.