TSV 19.02.2024
Rekisteröidyn tarkastusoikeutta koskevan pyynnön esittämistä ja rekisteröidyn tunnistamista koskeva toimintatapa
tarkastusoikeus - tunnistaminen - säilytysaika
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 19.02.2024 |
| Diaarinumero: | TSV/224/2023 |
Apulaistietosuojavaltuutetun päätös
Asia
Rekisteröidyn tarkastusoikeutta koskevan pyynnön esittäminen ja rekisteröidyn henkilöllisyyden vahvistaminen sekä rekisteröidyn henkilötietojen käsittelyn lainmukaisuus ja säilytysaika
Rekisterinpitäjä
Ensiapukoulutuksen järjestäjä
Rekisteröidyn vaatimukset perusteluineen
Rekisteröity on pyytänyt tietosuojavaltuutetun toimistoa arvioimaan, toimiiko rekisterinpitäjä Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen ((EU) 2016/679) mukaisesti pyytäessään rekisteröityä lähettämään tarkastusoikeuden käyttämistä varten sähköpostitse allekirjoitetun tietopyyntölomakkeen ja kopion henkilöllisyystodistuksesta rekisteröidyn henkilöllisyyden vahvistamiseksi.
Rekisteröity on katsonut, että rekisterinpitäjän edellyttämät lisätiedot henkilöllisyyden vahvistamiseksi eivät ole perusteltuja ja asianmukaisia siihen nähden, mitä rekisteröidyn henkilötietoja rekisterinpitäjä käsittelee. Rekisteröity on katsonut, ettei rekisterinpitäjän menettelytapa ole henkilötietojen käsittelyä koskevien periaatteiden mukainen. Rekisteröidyn näkemyksen mukaan rekisterinpitäjä ei myöskään ole helpottanut rekisteröidyn oikeuksien käyttämistä.
Rekisteröity on myös todennut, ettei hän ole näkemyksensä mukaan saanut rekisterinpitäjältä asianmukaista selvitystä hänen henkilötietojensa käsittelyn perusteista. Rekisteröity on epäillyt hänen henkilötietojensa käsittelyn lainmukaisuutta. Rekisterinpitäjän rekisteröidylle sähköpostitse antaman informoinnin mukaan henkilötietojen käsittelyperusteena on joko sopimus tai oikeutettu etu. Rekisteröity on katsonut, ettei kumpikaan näistä käsittelyperusteista sovellu hänen tapauksessaan.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjältä on pyydetty asiassa selvitystä 7.6.2023. Rekisterinpitäjä on toimittanut selvityksensä tietosuojavaltuutetun toimistolle 20.6.2023.
Rekisterinpitäjä on todennut vastaanottaneensa rekisteröidyn esittämän tietopyynnön. Rekisterinpitäjän mukaan se ei ole voinut vahvistaa rekisteröidyn henkilöllisyyttä, koska rekisteröity on esittänyt tietopyynnön sähköpostitse, josta ilmenee ainoastaan rekisteröidyn etu- ja sukunimi sekä sähköpostiosoite. Rekisterinpitäjä on todennut ohjeistaneensa rekisteröityä lähettämään allekirjoitetun tietopyyntölomakkeen ja tunnistautumaan lähettämällä sähköpostitse kopion henkilöllisyystodistuksestaan. Rekisterinpitäjä on todennut tarjonneensa rekisteröidylle vaihtoehtoisesti mahdollisuuden tunnistautua sähköisesti Visma Sign -palvelussa. Rekisterinpitäjä on todennut, ettei se ole voinut toteuttaa rekisteröidyn esittämää pyyntöä saada pääsy tietoihin, koska rekisteröity ei ole suostunut toimittamaan allekirjoitettua tietopyyntölomaketta eikä tunnistautumaan rekisterinpitäjän edellyttämällä tavalla.
Rekisterinpitäjä on todennut, että henkilöllisyystodistuksen pyytämisellä varmistetaan se, että pyynnön esittäjä on rekisteröity ja että tietopyyntö kohdentuu oikeaan henkilöön. Rekisterinpitäjän toimintatapa ilmenee rekisterinpitäjän selvityksen liitteenä toimittamalta rekisteritietopyyntölomakkeelta, jossa todetaan, että pyyntöön tulee liittää kopio henkilöllisyystodistuksesta.
Rekisterinpitäjä on edelleen todennut, että rekisteröidyn henkilötietojen käsittely perustuu sopimukseen. Rekisterinpitäjän selvityksen mukaan rekisteröity on solminut asiakassuhteen ilmoittautuessaan rekisterinpitäjän järjestämään koulutukseen. Rekisterinpitäjä on lisäksi toimittanut tietosuojavaltuutetun toimistolle jäljennökset käsittelemistään rekisteröidyn henkilötiedoista. Rekisterinpitäjä käsittelee selvityksensä mukaan rekisteröidystä seuraavia tietoja: etu- ja sukunimi, osoite, sähköpostiosoite, puhelinnumero sekä tietoja koulutuksen suorittamisesta.
Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä lisäselvitystä 31.8.2023. Rekisterinpitäjältä on tiedusteltu, onko ja miten rekisterinpitäjä määritellyt henkilötietojen säilytysajan tietojen käsittelytarkoituksittain. Rekisterinpitäjä on toimittanut lisäselvityksensä tietosuojavaltuutetun toimistolle 22.9.2023.
Rekisterinpitäjä on todennut lisäselvityksessään määrittäneensä henkilötietojen käsittelylle säilytysajat käsittelytarkoituksittain. Rekisterinpitäjän mukaan säilytysajoista informoidaan rekisterikohtaisissa tietosuojaselosteissa. Rekisterinpitäjä on todennut katsovansa, että henkilötietojen käsittelyn tarpeellisuusvaatimus päättyy, kun käydyn koulutuksen voimassaolon päättymisestä on kulunut kaksi vuotta tai viimeisestä tuoteostosta on kulunut kolme vuotta tai lakisääteisen säilytysajan päättyessä. Rekisterinpitäjän mukaan henkilötiedot anonymisoidaan tai poistetaan edellä mainitun säilytysajan päättyessä. Rekisterinpitäjä on edelleen todennut, että koulutukset ovat voimassa kolme vuotta.
Rekisteröidyn vastine
Asiassa ei ole pyydetty vastinetta rekisteröidyltä. Asia on sovellettavan lainsäädännön sekä vakiintuneen tulkintakäytännön perusteella siten selvä, että ratkaisu voidaan antaa ilman rekisteröidyn vastinetta hallintolain 34 § 2 momentin 5 kohdan perusteella. Asia voidaan ratkaista sovellettavan lainsäädännön sekä tietosuojavaltuutetun toimistolle tietoon saatetun vaatimuksen sekä rekisterinpitäjältä saatujen selvityksien perusteella.
Sovellettava lainsäädäntö
Henkilötietojen käsittelystä säädetään yleisessä tietosuoja-asetuksessa. Tietosuoja-asetusta täsmentää tietosuojalaki (1050/2018).
Yleisen tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittely on lainmukaista ainoastaan silloin, kun käsittelylle on 6 artiklan 1 kohdan mukainen käsittelyperuste. Henkilötietojen käsittelyä koskevista periaatteista säädetään yleisen tietosuoja-asetuksen 5 artiklassa. Sisäänrakennetusta ja oletusarvoisesta tietosuojasta säädetään 25 artiklassa. Oikeudesta tutustua tietoihin säädetään 15 artiklassa ja oikeuden toteuttamisessa noudatettavasta menettelystä 12 artiklassa.
Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa säädetään valvontaviranomaisen korjaavista toimivaltuuksista. Artiklan 2 kohdan c alakohdan mukaan valvontaviranomaisella on toimivalta määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat asetukseen perustuvien rekisteröidyn oikeuksien käyttöä. Artiklan 2 kohdan d alakohdan mukaan valvontaviranomaisella on toimivalta määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.
Oikeudellinen kysymys
Asiassa on ensinnäkin kysymys siitä, onko rekisterinpitäjän rekisteröidyn tarkastusoikeutta koskevan pyynnön esittämistä ja rekisteröidyn tunnistamista koskeva toimintatapa yleisen tietosuoja-asetuksen 12 artiklan 2 ja 6 kohdan sekä 5 artiklan 1 kohdan c alakohdan mukainen.
Tämä päätös ei koske rekisterinpitäjän toimintaa siltä osin, kun kyse on vaihtoehtoisesta rekisteröidyn tunnistautumistavasta. Voidaan todeta, että mikäli rekisterinpitäjällä on erilaisia tapoja rekisteröidyn henkilöllisyyden vahvistamiseksi, tulee rekisterinpitäjän varmistaa, että nämä tavat ovat yleisen tietosuoja-asetuksen mukaisia. Erityisesti tulee huomioida se, ettei vaihtoehtoisilla tunnistautumistavoilla vaikeuteta rekisteröidyn oikeuksien käyttämistä.
Apulaistietosuojavaltuutetun on lisäksi arvioitava, onko rekisterinpitäjällä ollut yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen käsittelyperuste rekisteröidyn henkilötietojen käsittelylle.
Apulaistietosuojavaltuutetun on myös ratkaistava, onko rekisteröidyn henkilötietojen säilyttämistä koskeva menettely ollut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan sekä 25 artiklan 2 kohdan mukainen.
Apulaistietosuojavaltuutetun on ratkaistava, onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi ja onko rekisterinpitäjälle annettava 58 artiklan 2 kohdan c alakohdan mukainen määräys noudattaa rekisteröidyn pyyntöä. Lisäksi apulaistietosuojavaltuutetun on arvioitava, tuleeko asiassa käyttää tietosuojavaltuutetulle kuuluvia muita toimivaltuuksia.
Apulaistietosuojavaltuutetun päätös ja perustelut
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa rekisteröidyn tarkastusoikeutta koskevan pyynnön esittämistä ja rekisteröidyn henkilöllisyyden vahvistamista koskeva käytäntönsä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan sekä 12 artiklan 2 ja 6 kohdan mukaiseksi.
Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 15.4.2024 mennessä, ellei rekisterinpitäjä hae muutosta tähän päätökseen.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle myös yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen noudattaa rekisteröidyn pyyntöä, joka koskee rekisteröidyn oikeutta saada tutustua häntä itseään koskeviin tietoihin.
Apulaistietosuojavaltuutettu antaa lisäksi rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen poistaa sen itse määrittelemää säilytysaikaa vanhemmat asiakastiedot ilman aiheetonta viivästystä, mukaan lukien rekisteröidyn tiedot. Apulaistietosuojavaltuutettu määrää tietosuojalain 25 §:n 3 momentin nojalla rekisterinpitäjää noudattamaan asiakastietojen poistamista koskevaa määräystä muutoksenhausta huolimatta. Apulaistietosuojavaltuutettu kuitenkin kiinnittää rekisterinpitäjän huomiota siihen, että rekisterinpitäjän tulee toteuttaa rekisteröidyn oikeus tutustua häntä itseään koskeviin tietoihin ennen tietojen poistamista.
Perustelut
Rekisteröidyn henkilöllisyyden vahvistaminen
Yleisessä tietosuoja-asetuksessa ei ole säännöksiä siitä, miten rekisteröidyn henkilöllisyys on todennettava. Yleisessä tietosuoja-asetuksessa ei myöskään säädetä tavasta, jolla rekisteröidyn on esitettävä oikeuksiaan koskevat pyynnöt.
Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Jos rekisterinpitäjällä on perusteltua syytä epäillä pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi 12 artiklan 6 kohdan mukaan pyytää pyynnön esittäjää toimittamaan lisätiedot, jotka ovat tarpeen henkilöllisyyden vahvistamiseksi. Jos rekisteröity toimittaa lisätiedot, joiden avulla hänet voidaan tunnistaa, rekisterinpitäjä ei saa kieltäytyä suorittamasta pyydettyä toimea.
Henkilötietoja, joita on käytetty kyseisen henkilön rekisteröintiin, voidaan käyttää myös hyödyksi rekisteröidyn henkilöllisyyden vahvistamiseksi rekisteröidyn käyttäessä oikeuksiaan. Rekisterinpitäjän mahdollisuus lisätietojen pyytämiseen henkilöllisyyden arvioimista varten ei voi johtaa kohtuuttomiin vaatimuksiin ja sellaisten henkilötietojen keräämiseen, jotka eivät ole olennaisia tai tarpeellisia henkilön ja pyydettyjen henkilötietojen välisen yhteyden todentamiseksi. Euroopan tietosuojaneuvosto on todennut yleisessä tietosuoja-asetuksessa säädettyä tarkastusoikeutta koskevassa ohjeessaan (European Data Protection Board, Guidelines 01/2022 on data subject rights – Right of access. Version 2.0, Adopted on 28 March 2023.), että lisätietojen pyytäminen ei saa johtaa merkityksettömien tai tarpeettomien henkilötietojen keräämiseen. (Ibid, s. 26.)
Euroopan tietosuojaneuvosto on edelleen todennut, että vaikka henkilöllisyys joissain yhteyksissä varmistetaan henkilöllisyystodistuksen avulla, ei kuitenkaan voida pitää yleisesti säännönmukaisena rekisteröidyn henkilöllisyyden vahvistamismenettelynä sitä, että edellytetään pyynnön esittäneen henkilön toimittavan kopion henkilöllisyystodistuksestaan. (Ibid, s. 27.)
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”). Tietojen minimoinnin periaatetta on noudatettava myös silloin, kun rekisterinpitäjä edellyttää rekisteröidyn toimittavan lisätietoja hänen henkilöllisyytensä vahvistamiseksi.
Tässä tapauksessa rekisterinpitäjän käytäntönä on ollut, että tietojen tarkastusoikeuden toteuttamista varten rekisteröidyn on toimitettava rekisteritietopyyntölomake, jolle tulee täyttää nimi, syntymäaika, puhelinnumero, sähköpostiosoite sekä lähiosoite. Tällainen lomake on myös allekirjoitettava. Rekisteröidyn tunnistamista varten rekisteröidyn tulee liittää tämän lomakkeen oheen kopio henkilöllisyystodistuksestaan. Rekisteritietopyyntölomakkeessa on ollut ohjeistus edellä mainitusta käytännöstä. Henkilöllisyystodistuskopion pyytäminen on siten ollut rekisterinpitäjän tavanomainen toimintatapa rekisteröidyn tarkastusoikeuden toteuttamiseksi.
Kun otetaan huomioon 5 artiklan 1 kohdan c alakohta, rekisterinpitäjän ei tule pyytää rekisteröidyltä enempää tietoja kuin tämän tunnistamista varten on tarpeen. Jotta rekisterinpitäjä ei keräisi käsittelyn kannalta tarpeettomia tietoja, on sen tehtävä tarpeellisuusarviointi, jossa voidaan ottaa huomioon esimerkiksi käsiteltävien henkilötietojen tyyppi. Tässä tapauksessa rekisterinpitäjä harjoittaa pääsääntöisesti ensiapukoulutustoimintaa. Toimialastaan johtuen rekisterinpitäjä ei pääsääntöisesti käsittele asiakkaita koskevia erityisiin henkilötietoryhmiin kuuluvia tietoja. Arvioitaessa kerättävien tietojen tarpeellisuutta rekisterinpitäjän tulisi välttää liiallinen henkilötietojen kerääminen.
Henkilöllisyystodistuksen tiedot ovat laskettava 12 artiklan 6 kohdan mukaisiksi lisätiedoiksi, joita rekisterinpitäjän tulisi pyytää vain, jos sillä on perusteltua syytä epäillä pyynnön esittäneen rekisteröidyn henkilöllisyyttä. Apulaistietosuojavaltuutetun arvion mukaan rekisterinpitäjän toimintatapa rekisteröidyn tunnistamisessa ei ole tapahtunut tapauskohtaisen harkinnan perusteella, vaan henkilöllisyystodistuskopion edellyttäminen on ollut säännönmukainen tunnistamiskeino. Henkilöllisyystodistuksen kopiota on vaadittu kaikilta rekisteröidyiltä, jotka ovat halunneet käyttää yleisen tietosuoja-asetuksen mukaista oikeuttaan saada pääsy tietoihin.
Apulaistietosuojavaltuutettu kiinnittää huomiota myös siihen, että rekisterinpitäjä ei ole antamassaan selvityksessä tuonut esiin perusteita sille, miksi se ei ole kyennyt tunnistamaan rekisteröityä rekisteröidyn toimittamien tietojen perusteella.
Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on käsitellyt rekisteröidyn tunnistamiseksi laajempaa joukkoa henkilötietoja kuin rekisteröidyn tunnistamiseksi on tarpeen ottaen erityisesti huomioon sen, että rekisterinpitäjä ei ole toimittanut perusteluja sille, miksi se ei ole kyennyt tunnistamaan rekisteröityä tämän toimittamien tietojen perusteella, ja siten toiminut vastoin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimointiperiaatetta. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on käsitellyt henkilötietoja yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan sekä 12 artiklan 6 alakohdan vastaisesti.
Rekisterinpitäjä on myös edellyttänyt lomakkeen toimittamista allekirjoitettuna. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän toimintatavasta on seurannut kohtuutonta vaivaa rekisteröidylle, kun rekisteröidyn on täytynyt toimittaa allekirjoitetun rekisteritietopyyntölomakkeen ohella kopio henkilöllisyystodistuksestaan.
Apulaistietosuojavaltuutettu katsoo, että kyseinen toimintatapa ei ole ollut 12 artiklan 2 kohdan mukainen keino, jolla rekisterinpitäjän voitaisiin katsoa pyrkineen helpottaa rekisteröidyn oikeuksien käyttöä. Rekisterinpitäjän toimintatavan voidaan siten katsoa vaikeuttaneen kohtuuttomasti rekisteröidyn oikeuksien käyttämistä.
Edellä kuvatun perusteella apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa rekisteröidyn tarkastusoikeutta koskevan pyynnön esittämistä ja rekisteröidyn tunnistamista koskevan käytäntönsä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan sekä 12 artiklan 2 ja 6 kohdan mukaiseksi.
Lopuksi apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle jäljennökset käsittelemistään rekisteröidyn henkilötiedoista. Apulaistietosuojavaltuutettu siten katsoo, että rekisterinpitäjä on kyennyt tunnistamaan rekisteröidyn. Tietosuojavaltuutetun toimistolle toimitettujen tietojen mukaan rekisterinpitäjä ei ole toimittanut näitä tietoja rekisteröidylle. Tämän vuoksi apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen toimittaa tiedot myös rekisteröidylle.
Rekisteröidyn henkilötietojen käsittelyn lainmukaisuus
Rekisteröity on todennut, että hänen näkemyksensä mukaan rekisterinpitäjän informoinnin perusteella käsittelyperusteeksi toteama sopimus tai oikeutettu etu ei sovellu hänen tapauksessaan. Rekisteröity on näin ollen epäillyt hänen henkilötietojensa käsittelyn lainmukaisuutta. Rekisterinpitäjän selvityksen perusteella rekisteröidylle on annettu ainoastaan yleistä informointia henkilötietojen käsittelyn perusteista, koska rekisterinpitäjä ei ole kertomansa mukaan kyennyt vahvistamaan rekisteröidyn henkilöllisyyttä eikä siten tarkistamaan, löytyykö rekisteröidyn henkilötietoja rekisterinpitäjän rekistereistä. Rekisterinpitäjän tietosuojaselosteessa todetaan, että henkilötietojen käsittelyperusteena on joko sopimus tai oikeutettu etu.
Henkilötietojen käsittely on lainmukaista ainoastaan silloin, kun käsittelylle on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen käsittelyperuste. Rekisterinpitäjän tietosuojavaltuutetun toimistolle antaman selvityksen mukaan rekisteröidyn henkilötietojen käsittelyperuste on sopimus, joka on syntynyt asiakkuuden perusteella rekisteröidyn ilmoittautuessa koulutukseen. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan mukaan henkilötietojen käsittely on lainmukaista silloin, kun käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena.
Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjällä on ollut peruste käsitellä rekisteröidyn henkilötietoja, sillä rekisteröity on ilmoittautunut ja osallistunut rekisterinpitäjän järjestämään koulutukseen. Apulaistietosuojavaltuutettu katsoo näin ollen, että rekisterinpitäjällä ollut yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen käsittelyperuste rekisteröidyn henkilötietojen käsittelylle.
Rekisteröityä koskevien henkilötietojen säilytysaika
Yleisen tietosuoja-asetuksen johdantokappaleen 39 kohdassa todetaan, että henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Rekisterinpitäjän on asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa säädetään säilytyksen rajoittamisperiaatteesta. Artiklan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötietojen säilytysajan tulee aina olla mahdollisimman lyhyt, ja rekisteröityjä tulee informoida säilytysajasta henkilötietoja kerättäessä, eli rekisterinpitäjän tulee jo ennen henkilötietojen käsittelytoimiin ryhtymistä määritellä henkilötietojen säilytysaika.
Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi yleisen tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Yleisen tietosuoja-asetuksen 25 artiklan 2 kohta asettaa yhdessä säilytyksen rajoittamista koskevan 5 artiklan 1 kohdan e alakohdan kanssa selvän velvoitteen rekisterinpitäjälle varmistua siitä, että henkilötietoja säilytetään sen käsittelytarkoituksen kannalta ainoastaan tarpeellinen aika.
Rekisterinpitäjä on selvityksensä mukaan määritellyt henkilötietojen käsittelyn säilytysajat käyttötarkoituksittain. Rekisterinpitäjä katsoo, että henkilötietojen käsittelyn tarpeellisuusvaatimus päättyy, kun käydyn koulutuksen voimassaolon päättymisestä on kulunut kaksi vuotta tai viimeisestä tuoteostosta on kulunut kolme vuotta.
Rekisteröidyn henkilötietojen käsittely on perustunut rekisterinpitäjän selvityksen mukaan sopimukseen, joka on syntynyt rekisteröidyn ilmoittautuessa koulutukseen, joka on järjestetty huhtikuussa 2017. Rekisteröity ei ole saadun selvityksen perusteella käyttänyt muita rekisterinpitäjän tarjoamia palveluita, eli asiakkuuden voidaan katsoa perustuvan ainoastaan huhtikuussa 2017 järjestettyyn koulutukseen. Rekisterinpitäjä on todennut selvityksessään, että käydyt koulutukset ovat voimassa kolme vuotta.
Apulaistietosuojavaltuutettu katsoo, että edellä mainitun rekisterinpitäjän määrittelemän säilytysajan perusteella rekisterinpitäjän olisi tullut poistaa rekisteröidyn henkilötiedot viisi vuotta järjestetyn koulutuksen jälkeen, eli huhtikuussa 2022. Rekisterinpitäjän 20.6.2023 tietosuojavaltuutetun toimistolle antaman selvityksen mukaan rekisteröidyn suorittaman koulutuksen pätevyys olisi kuitenkin ollut voimassa vuoden 2020 loppuun saakka, eli pidempään kuin kolme vuotta. Tämän tiedon perusteella rekisteröidyn henkilötiedot olisi tullut poistaa vuoden 2022 lopussa. Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ole näin ollen noudattanut itse määrittelemäänsä säilytysaikaa henkilötietojen käsittelylle. Tietosuojavaltuutetun toimiston saaman tiedon perusteella rekisteröity on esittänyt tietojen saamista koskevan pyynnön rekisterinpitäjälle helmikuussa 2023. Apulaistietosuojavaltuutettu katsoo, ettei rekisteröidyn tarkastusoikeutta koskevan pyynnön käsittely ole siten voinut olla perusteena tietojen pitkittyneelle säilyttämiselle, vaan tiedot olisi tullut poistaa jo aiemmin.
Apulaistietosuojavaltuutettu näin ollen katsoo, että rekisterinpitäjä on käsitellyt rekisteröidyn henkilötietoja vastoin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohtaa ja 25 artiklan 2 alakohtaa. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen poistaa sen itse määrittelemää säilytysaikaa vanhemmat asiakastiedot ilman aiheetonta viivästystä, mukaan lukien rekisteröidyn tiedot. Apulaistietosuojavaltuutettu kuitenkin kiinnittää rekisterinpitäjän huomiota siihen, että rekisterinpitäjän tulee toteuttaa rekisteröidyn oikeus tutustua häntä itseään koskeviin tietoihin ennen tietojen poistamista.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään valitusosoituksessa mainittuun hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös on lainvoimainen.