KHO:2023:82
Tietosuojavaltuutetun toimistolle oli tehty kantelu, joka koski henkilötietojen keräämistä A Oy:n työhönottoprosessissa. Tietosuojavaltuutetun toimisto oli kantelun johdosta selvittänyt asiaa kahdella yhtiölle osoittamallaan selvityspyynnöllä. Yhtiö oli jälkimmäiseen selvityspyyntöön antamassaan vastauksessa kiistänyt keränneensä työnhakijoiden henkilötietoja tietosuoja-asetuksen vastaisesti sen jälkeen, kun tietosuoja-asetus oli tullut sovellettavaksi.
Asiassa oli arvioitava, oliko tietosuojavaltuutetun toimiston seuraamuskollegio voinut saamansa selvityksen perusteella määrätä yhtiölle hallinnollisen seuraamusmaksun tietosuojasäännösten rikkomisen johdosta. Hallinnollinen seuraamusmaksu oli määrätty 12 000 euron suuruisena.
Kun otettiin huomioon hallinnolliseen seuraamusmaksuun liittyvä viranomaisen korostunut selvitysvelvollisuus ja syyttömyysolettama, sekä se, että viranomaisella eli tässä tapauksessa tietosuojavaltuutetulla olisi ollut mahdollisuus hankkia selvitystä siitä, oliko yhtiö rikkonut tietosuojasääntelyä, korkein hallinto-oikeus totesi, ettei asiassa esitettyä selvitystä voitu pitää riittävänä sen osoittamiseksi, että yhtiö olisi päätöksessä esitetyllä ajanjaksolla kerännyt tarpeettomia henkilötietoja ilman lainmukaista käsittelyperustetta. Hallinto-oikeuden päätöstä, jolla seuraamuskollegion päätös hallinnollisen seuraamusmaksun määräämisestä oli kumottu, ei siten ollut syytä muuttaa.
Hallintolaki 31 § 1 mom
Tietosuojalaki 24 §
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 58 artikla 1 kohta a, b, e ja f alakohdat ja 2 kohta b, d ja i alakohdat, 83 artikla 1 ja 8 kohdat
Päätös, jota muutoksenhaku koskee
Turun hallinto-oikeus, 30.9.2022, H1549/2022
Korkeimman hallinto-oikeuden ratkaisu
Korkein hallinto-oikeus myöntää valitusluvan ja tutkii asian.
Vaatimus ennakkoratkaisupyynnön esittämisestä unionin tuomioistuimelle hylätään.
Valitus hylätään.
Asian tausta
(1) Tietosuojavaltuutettu on sille tehdyn kantelun johdosta katsonut selvitetyksi muun ohella seuraavaa:
A Oy (rekisterinpitäjä) on kerännyt tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c alakohtien, 6 artiklan 1 kohdan, 9 artiklan 1 kohdan sekä sitä täydentävän kansallisen työelämän tietosuojalain 3 ja 5 §:n säännösten vastaisesti työnhakijoita ja työntekijöitä koskevia tarpeettomia henkilötietoja. Edellä mainittujen säännösten vastaista henkilötietojen käsittelyä on suoritettu ainakin 25.05.2018–31.12.2019 välisenä aikana.
(2) Tietosuojavaltuutetun mukaan rekisterinpitäjä on laiminlyönyt sille tietosuoja-asetuksen 5 artiklan 2 kohdan nojalla kuuluvan osoitusvelvollisuuden siten, ettei rekisterinpitäjä ole kyennyt osoittamaan, että se noudattaa tietosuoja-asetusta työntekijöiden ja työnhakijoiden henkilötietoja käsiteltäessä.
(3) Tietosuojavaltuutettu on edelleen katsonut, että rekisterinpitäjä ei ole työntekijöiden ja työnhakijoiden henkilötietojen käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteuttanut tietosuoja-asetuksen 25 artiklan mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja joilla olisi varmistettu, että oletusarvoisesti olisi käsitelty vain kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.
(4) Tietosuojavaltuutettu on 18.5.2020 annetulla päätöksellä dnro 137/161/20 määrännyt tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla A Oy:n rekisterinpitäjänä saattamaan henkilötietojen käsittelytoimet tietosuoja-asetuksen ja sitä kansallisesti täydentävän lainsäädännön säännösten mukaisiksi siten, että kaikki työntekijöistä ja työnhakijoista kerätyt käsittelyn tarkoituksen kannalta tarpeettomat henkilötiedot poistetaan siltä osin, kun niille ei ole osoitettavissa laillista käsittelyperustetta.
(5) Tietosuojavaltuutettu on lisäksi antanut päätöksessään rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaiset huomautukset muun ohella tietosuoja-asetuksen 5 artiklan 2 kohdan mukaiseen osoitusvelvollisuuteen liittyvien puutteiden johdosta sekä tietosuoja-asetuksen 24 artiklan ja 25 artiklan mukaiseen sisäänrakennetun ja oletusarvoiseen henkilötietojen käsittelyn periaatteiden toteuttamiseen sekä rekisterinpitäjän vastuuseen liittyvien puutteiden johdosta.
(6) Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio on samalla 18.5.2020 annetulla päätöksellä dnro 137/161/2020 määrännyt tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan 4 kohdan a alakohdan sekä 5 kohdan a ja d alakohtien nojalla A Oy:lle rekisterinpitäjänä määrältään 12 500 euron suuruisen hallinnollisen seuraamusmaksun valtiolle maksettavaksi.
(7) Hallinto-oikeus on, siltä osin kuin nyt on kysymys, kumonnut A Oy:n valituksen johdosta tietosuojavaltuutetun päätöksen edellä mainitun määräyksen osalta sekä edellä mainittuja huomautuksia koskevalta osalta. Hallinto-oikeus on lisäksi kumonnut seuraamusmaksua koskevan seuraamuskollegion päätöksen.
Asian ovat hallinto-oikeudessa ratkaisseet hallinto-oikeustuomarit Sirkku Laato, Marja Peltoniemi ja Timo Saarinen. Asian on esitellyt Marja Peltoniemi.
Vaatimukset ja selvitykset korkeimmassa hallinto-oikeudessa
(8) Apulaistietosuojavaltuutettu on pyytänyt lupaa valittaa hallinto-oikeuden päätöksestä ja valituksessaan vaatinut, että hallinto-oikeuden päätös kumotaan siltä osin kuin hallinto-oikeus on kumonnut tietosuojavaltuutetun päätöksessä annetun määräyksen ja huomautukset sekä seuraamuskollegion päätöksen hallinnollisesta seuraamusmaksusta. Tietosuojavaltuutetun ja seuraamuskollegion päätökset on saatettava kokonaisuudessaan voimaan.
(9) Lisäksi apulaistietosuojavaltuutettu on vaatinut, että tietosuoja-asetuksen tulkinnasta tulee tarvittaessa esittää unionin oikeuden yhtenäisen soveltamisen varmistamiseksi ennakkoratkaisupyyntö unionin tuomioistuimelle.
(10) A Oy on antanut lausuman, jossa se on muun ohella kiistänyt käyttäneensä asiassa tarkoitettua lomaketta työnhakuprosessissa 25.5.2018 jälkeen. Viimeistään tietosuoja-asetuksen tullessa voimaan yhtiö on mukauttanut käsittelyn uusien säännösten mukaiseksi ja viivytyksettä hävittänyt aiempia mahdollisesti tarpeettomia henkilötietoja. Asiassa tehdyt johtopäätökset ovat vääriä. Yhtiön väitetystä rikkomuksesta ei ole näyttöä. Hallinnollisen seuraamusmaksun edellytykset puuttuvat.
(11) Yhtiö on lisäksi kiinnittänyt huomiota siihen, että valituksen korkeimmalle hallinto-oikeudelle on tehnyt apulaistietosuojavaltuutettu, vaikka hallinto-oikeuden päätöksessä on ollut kysymys tietosuojavaltuutetun ja seuraamuskollegion tekemästä päätöksestä.
(12) Apulaistietosuojavaltuutettu on antanut vastaselityksen.
Korkeimman hallinto-oikeuden ratkaisun perustelut
Ennakkoratkaisupyyntöä koskeva vaatimus
(13) Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklan mukaan unionin tuomioistuimella on toimivalta antaa ennakkoratkaisu muun ohella perussopimuksen ja unionin toimielimen säädöksen tulkinnasta. Jos tällainen kysymys tulee esille sellaisessa kansallisessa tuomioistuimessa käsiteltävänä olevassa asiassa, jonka päätöksiin ei kansallisen lainsäädännön mukaan saa hakea muutosta, tämän tuomioistuimen on saatettava kysymys unionin tuomioistuimen käsiteltäväksi. Korkein hallinto-oikeus käyttää Suomessa ylintä tuomiovaltaa hallintolainkäyttöasioissa.
(14) Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että velvollisuutta tehdä Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklassa tarkoitettu ennakkoratkaisupyyntö ei kuitenkaan ole silloin, jos kansallisessa tuomioistuimessa ei esiinny todellista epäilyä unionin tuomioistuimen olemassa olevan oikeuskäytännön soveltamismahdollisuudesta asiaan tai jos on täysin selvää, miten unionin oikeutta on kyseisessä tilanteessa asianmukaisesti sovellettava.
(15) Asiassa ei ole tullut esille sellaista unionin lainsäädännön tulkintaan liittyvää kysymystä, jonka johdosta ennakkoratkaisupyynnön esittäminen olisi edellä mainittu huomioon ottaen tarpeen.
Valituksen hylkääminen
Ratkaisun lähtökohdat ja kysymyksenasettelu
(16) Apulaistietosuojavaltuutetun valitus korkeimmassa hallinto-oikeudessa kohdistuu hallinto-oikeuden päätökseen siltä osin kuin hallinto-oikeus on kumonnut tietosuojavaltuutetun antaman määräyksen ja huomautukset sekä seuraamuskollegion määräämän hallinnollisen seuraamusmaksun.
(17) A Oy on lausumassaan kiinnittänyt huomiota siihen, että muutoksenhakijana korkeimmassa hallinto-oikeudessa on apulaistietosuojavaltuutettu, vaikka hallinto-oikeuden päätöksessä on ollut kysymys tietosuojavaltuutetun ja seuraamuskollegion tekemästä päätöksestä. Tämän vuoksi korkein hallinto-oikeus ottaa kantaa apulaistietosuojavaltuutetun muutoksenhakuoikeuteen ennen pääasian ratkaisua.
(18) Pääasia koskee kysymystä siitä, onko hallinto-oikeus voinut kumota edellä selostetuilta osin tietosuojavaltuutetun A Oy:lle antaman määräyksen ja huomautukset sekä seuraamuskollegion yhtiölle määräämän hallinnollisen seuraamusmaksun. Asiassa on kuitenkin ensin arvioitava, onko tietosuojavaltuutetun ja seuraamuskollegion päätös perustunut sellaiseen selvitykseen, jonka perusteella voidaan katsoa tulleen luotettavalla tavalla näytyksi, että yhtiö on kerännyt työhönoton yhteydessä tarpeettomia henkilötietoja ja siten rikkonut tietosuojaa koskevia säännöksiä tietosuojavaltuutetun päätöksessä tarkoitettuna aikana ja päätöksessä tarkoitelulla tavalla.
Apulaistietosuojavaltuutetun muutoksenhakuoikeus
Sovellettavat oikeusohjeet
(19) Yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan a alakohdan mukaan valvontaviranomaisen on alueellaan valvottava tämän asetuksen soveltamista ja täytäntöönpanoa.
(20) Tietosuojalain 8 §:n 1 momentin mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.
(21) Tietosuojalain 14 §:n 1 momentin mukaan tietosuojavaltuutetun tehtävistä ja toimivaltuuksista säädetään tietosuoja-asetuksen 55–59 artiklassa.
(22) Tietosuojalain 18 §:n 2 momentin mukaan apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla.
(23) Tietosuojalain 24 §:n 1 momentin mukaan tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.
(24) Oikeudenkäynnistä hallintoasioissa annetun lain 7 §:n 1 momentin mukaan hallintopäätökseen saa hakea muutosta valittamalla se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa ja se, jonka valitusoikeudesta laissa erikseen säädetään. Viranomainen saa hakea muutosta valittamalla myös, jos valittaminen on tarpeen viranomaisen valvottavana olevan yleisen edun vuoksi.
Oikeudellinen arviointi muutoksenhakuoikeudesta
(25) Edellä mainituista säännöksistä ilmenee apulaistietosuojavaltuutetun asema ja seuraamuskollegion kokoonpano. Tähän nähden ja kun otetaan huomioon, että seuraamuskollegiolle ei ole laissa säädetty muuta toimivaltaa kuin tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrääminen, apulaistietosuojavaltuutetulla on oikeus hakea muutosta hallinto-oikeuden päätökseen, jolla tietosuojavaltuutetun ja seuraamuskollegion päätökset on kumottu.
Pääasia
Sovellettavat oikeusohjeet
(26) Hallintolain 31 §:n 1 momentin mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset. Pykälän 2 momentin mukaan asianosaisen on esitettävä selvitystä vaatimuksensa perusteista. Asianosaisen on muutoinkin myötävaikutettava vireille panemansa asian selvittämiseen.
(27) Hallintolain esitöissä (HE 72/2002 vp) on 31 §:n yksityiskohtaisissa perusteluissa todettu muun ohella, että ehdotuksen tarkoituksena on korostaa virallisperiaatteen noudattamista ja pyrkimystä aineellisen totuuden saavuttamiseen asettamalla viranomaisen velvollisuudeksi huolehtia asian riittävästä ja asianmukaisesta selvittämisestä. Asian riittävällä selvittämisellä tarkoitettaisiin sitä, että viranomainen hankkii sellaiset tiedot ja selvitykset, joilla se arvioi olevan merkitystä asian ratkaisemiselle. Selvittämisen asianmukaisuus puolestaan korostaisi viranomaiselle kuuluvaa menettelyjohtovaltaa ja huolellisuutta selvitysten hankkimisessa. Viranomainen voisi hankkia selvityksiä itse viran puolesta toisilta viranomaisilta tai se voisi pyytää selvitystä asianosaiselta. Viranomainen voisi myös pyytää ulkopuolista tahoa esittämään selvitystä. Selvitysten laajuus ja tarve tulisi harkita tapauskohtaisesti. Velvoittavien hallintopäätösten kohdalla selvitysvastuu on pääsääntöisesti viranomaisella, kun taas edunsuovan päätöksen ollessa kyseessä intressi on tavallisesti asianosaisella.
(28) Tietosuojalain 24 §:n 1 momentin mukaan tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan seuraamuskollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio on päätösvaltainen kolmijäsenisenä. Saman pykälän 5 momentin mukaan seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, kymmenen vuoden määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.
(29) Tietosuojalakia koskevassa hallituksen esityksessä (HE 9/2008 vp) on edellä mainitun pykälän yksityiskohtaisissa perusteluissa muun ohella todettu, että hallinnollisten seuraamusmaksujen määräämisessä olisi otettava huomioon rikosoikeudelliseen laillisuusuusperiaatteeseen sisältyvät seikat, kuten muun muassa taannehtivan rikoslain kielto.
(30) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) on tullut sovellettavaksi 25.5.2018 alkaen.
(31) Yleisen tietosuoja-asetuksen 58 artiklan (Valtuudet) 1 kohdan a, b, e ja f alakohtien mukaan jokaisella valvontaviranomaisella on kaikki seuraavat tutkintavaltuudet:
a) määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustaja antamaan kaikki tehtäviensä suorittamiseksi tarvittavat tiedot;
b) toteuttaa selvityksiä tietosuojaa koskevien tarkastusten muodossa;
e) saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten;
f) saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin tai jäsenvaltion prosessioikeuden mukaisesti.
(32) Mainitun artiklan 2 kohdan b, d ja i alakohtien mukaan jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:
b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;
d) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa;
i) määrätä 83 artiklan nojalla hallinnollinen seuraamusmaksu tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen.
(33) Yleisen tietosuoja-asetuksen 83 artiklan (Hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset) 1 kohdan mukaan jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.
(34) Mainitun artiklan 8 kohdan mukaan valvontaviranomaisen tämän artiklan mukaisien valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.
Asiassa esitetty selvitys
(35) Tietosuojavaltuutetun toimistolle on tammikuussa 2019 tehty kantelu, johon on liitetty kaksi valokuvaa toimenhakulomakkeesta. Kuvista käy ilmi, että lomakkeessa on kysytty muun ohella sairauksia sekä raskautta, kuuloa, perhesuhteita, lasten syntymävuosia, seurakuntaa ja sotilasarvoa. Kantelukirjelmää ei ole liitetty oikeudenkäyntiasiakirjoihin.
(36) Tietosuojavaltuutetun toimisto on kantelun johdosta selvittänyt henkilötietojen käsittelyä A Oy:n työhönottoprosessissa lähettämällä yhtiölle kaksi selvityspyyntöä.
(37) Ensimmäisessä selvityspyynnössä 10.1.2020 yhtiöltä on kysytty muun ohella, mistä lomakkeesta selvityspyynnön liitteenä olevissa valokuvissa on kyse, sekä pyydetty liittämään vastaukseen jäljennös kyseessä olevasta lomakkeesta kokonaisuudessaan. Lisäksi on tiedusteltu, kerääkö yhtiö tai onko se kerännyt työnhakijoiden henkilötietoja kyseisellä lomakkeella, mikä on lomakkeella kysyttyjen henkilötietojen käsittelyyn työnhakuvaiheessa oikeuttava peruste ja käyttötarkoitus ja millä perusteella yhtiö katsoo, että lomakkeella kysytyt henkilötiedot ovat olennaisia ja tarpeellisia suhteessa niiden käyttötarkoitukseen ja ottaen huomioon yksityisyyden suojasta työelämässä annetun lain (laki yksityisyyden suojasta työelämässä 759/2004, 3 §).
(38) Edelleen yhtiöltä on tiedusteltu, kauanko kyseessä oleva lomake on ollut käytössä ja kuinka monen rekisteröidyn tiedot on kerätty kyseisellä lomakkeella ja mitä mahdollisia muita henkilötietoja työnhakijalta pyydetään tai on pyydetty.
(39) A Oy on ensimmäiseen selvityspyyntöön antamassaan vastauksessa 27.1.2020 kertonut muun ohella seuraavaa:
(40) Yhtiön työhönotossa on käytetty siihen tarkoitettua lomaketta. Työnhakija itse täyttää lomakkeen harkintansa mukaan niiltä kohdin kuin katsoo tarpeelliseksi. Sen jälkeen hakija luovuttaa lomakkeen arkistoitavaksi. Näin hän päätyy työnhakijaksi. Lomake talletetaan odottamaan päätöstä. Selvityspyynnön liitteinä olleissa valokuvissa näkyvä lomake on vanhentunut. Yhtiö on vuoden 2020 alussa siirtynyt käyttämään uudistettua lomaketta. Kun työhönotto on sujunut hyvin, ei yhtiössä ole huomattu, että yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen henkilötietojen käsittelyyn. Yhtiö tulee tästä eteenpäin noudattamaan asetusta ja pyytää saada anteeksi virheellisen toimintansa. Selvitykseen on liitetty sekä valokuvissa esitetty tyhjä lomake kokonaisuudessaan että uudistettu lomake.
(41) Tämän jälkeen tietosuojavaltuutetun toimisto on 7.2.2020 lähettänyt A Oy:lle toisen selvityspyynnön. Yhtiölle on tässä yhteydessä ilmoitettu, että se on käsitellyt henkilötietoja tietosuoja-asetuksen säännösten vastaisesti. Rekisterinpitäjää on pyydetty muun ohella kertomaan, kuinka monen rekisteröidyn tiedot on kerätty käsiteltävänä olevalla toimenhakulomakkeella.
(42) A Oy on vastannut toiseen selvityspyyntöön 11.3.2020. Vastauksessaan yhtiö on esittänyt muun ohella, että tietosuoja-asetuksen tultua voimaan yhtiö on mukauttanut työnhakuprosessin henkilötietokäsittelyä säännösten mukaiseksi ja hävittänyt turvallisesti aiempia mahdollisesti liiallisia henkilötietoja. Yhtiö ei kerää työnhakijoiden henkilötietoja kuvien mukaisella lomakkeella. Ennen asetuksen voimaantuloa yhtiö on mahdollisesti joissain tapauksissa kerännyt liiallisesti henkilötietoja.
(43) A Oy on valituksessaan hallinto-oikeudelle edelleen esittänyt, ettei kyseistä lomaketta lainkaan ole käytetty yleisen tietosuoja-asetuksen voimaantulon jälkeen ja tarpeettomat tiedot on jo poistettu. Kun tietosuojavaltuutettu on selvityspyynnöllään pyytänyt yhtiöltä valokuvissa esitettyä lomaketta, yhtiö on löytänyt lomakkeesta vain tyhjän kopion.
(44) Korkeimmalle hallinto-oikeudelle antamassaan lausumassa A Oy on esittänyt, ettei lomake lainkaan liity yhtiöön eikä sitä ole käytetty 25.5.2018 jälkeen.
Oikeudellinen arviointi pääasian osalta
(45) Korkein hallinto-oikeus toteaa aluksi, että tietosuojavaltuutetun päätöksessä esitetyt määräyksen ja huomautusten perusteluiksi luettavat kohdat eivät voi olla erikseen muutoksenhaun kohteena. Tämän vuoksi ja koska tietosuojavaltuutetun päätöksen varsinainen ratkaisuosa ja sen perustelut eivät käy päätöksestä hallintolain 44 §:ssä edellytetyllä tavalla selvästi ilmi, korkein hallinto-oikeus on joutunut tulkitsemaan päätöstä sen selvittämiseksi, mikä osa päätöksestä on voinut olla erikseen muutoksenhaun kohteena.
(46) Tietosuojavaltuutetun ja seuraamuskollegion päätökset perustuvat olennaisesti siihen seikkaan, että tietosuojavaltuutettu on pitänyt selvitettynä sitä, että A Oy on ainakin 25.05.2018–31.12.2019 välisenä aikana ilman lainmukaista perustetta kerännyt työnhakijoilta henkilötietoja nyt kyseessä olevalla työnhakulomakkeella. Myös hallinto-oikeus on päätöksensä perusteluissa esittänyt, että asiassa on luotettavalla tavalla osoitettu, että yhtiö on ainakin seuraamuksen kohteena olleena ajanjaksona käyttänyt kyseistä työnhakulomaketta, ja tietosuojavaltuutettu on tämän vuoksi perustellusti voinut katsoa rekisterinpitäjän keränneen työnhakijoita ja työntekijöitä koskevia tarpeettomia henkilötietoja.
(47) Korkein hallinto-oikeus toteaa, että asiassa on ensimmäiseksi arvioitava, onko asiassa esitetty sellaista selvitystä, joka osoittaa rekisterinpitäjän rikkoneen tietosuoja-asetuksen säännöksiä 25.05.2018–31.12.2019 välisenä aikana.
(48) Asiassa saadun selvityksen mukaan tietosuojavaltuutetun toimisto on sille tehdyn kantelun johdosta ryhtynyt selvittämään henkilötietojen käsittelyä A Oy:n työhönottoprosessissa. Tietosuojavaltuutetun tai seuraamuskollegion päätöksistä ei käy ilmi kantelukirjelmän sisältöä eikä sitä, miten kirjelmään liitetty tyhjä lomake on yhdistetty A Oy:öön. Yhtiö itse on kiistänyt käyttäneensä lomaketta työhönotossa ainakaan yleisen tietosuoja-asetuksen voimassaoloaikana, vaikka yhtiön arkistoista onkin löytynyt tyhjä kopio kyseisestä lomakkeesta. Yhtiö on ilmoittanut mahdollisesti joskus aiemmin keränneensä tarpeettomia henkilötietoja. Lukuun ottamatta niitä vastauksia, jotka yhtiö on antanut tietosuojavaltuutetun toimiston selvityspyyntöihin, viranomainen ei ole asiaa selvittäessään hankkinut näyttöä siitä, että lomake olisi ollut yhtiöllä käytössä tietosuojavaltuutetun päätöksessä tarkoitettuna aikana tai siitä, että yhtiö edelleen säilyttäisi perusteettomasti kerättyjä henkilötietoja.
(49) Tietosuojavaltuutetun johtopäätös, jonka mukaan rekisterinpitäjä on kerännyt tietosuoja-asetuksen 5 artiklan 1 kohdan a ja c) alakohtien, 6 artiklan 1 kohdan, 9 artiklan 1 kohdan sekä sitä täydentävän kansallisen työelämän tietosuojalain 3 ja 5 §:n säännösten vastaisesti työnhakijoita ja työntekijöitä koskevia tarpeettomia henkilötietoja ainakin 25.05.2018–31.12.2019 välisenä aikana on siten perustunut yhtiön antamien selvitysten perusteella tehtyihin päätelmiin, jotka yhtiö on kiistänyt.
(50) Selvityksen riittävyyttä arvioitaessa on otettava huomioon, että tietosuoja-asetuksen 83 artiklan mukaista hallinnollista seuraamusmaksua on pidettävä rangaistusluonteisena seuraamuksena. Perustuslakivaliokunnan kannanotoissa on katsottu, että rangaistusluonteiset hallinnolliset seuraamukset ovat oikeudenkäynnin menettelyllisiä oikeusturvatakeita arvioitaessa rikosasioihin verrannollisia. Hallinnolliset sanktiot eivät saa menettelynsä puolesta muodostua perustuslain 21 §:ssä tarkoitetun syyttömyysolettaman vastaisiksi eivätkä ne voi myöskään perustua puhtaasti käännettyyn todistustaakkaan taikka ankaraan objektiiviseen vastuuseen (esim. PeVL 15/2016 vp ja PeVL 4/2004 vp).
(51) Edellä sanotun perusteella hallinnollisen seuraamusmaksun määräämisessä selvitysvastuu on hallintolain 31 §:n perusteella ensisijaisesti viranomaisella. Viranomaisen ensisijainen selvitysvelvollisuus perustuu tällaisessa tilanteessa lähtökohtana pidettävään syyttömyysolettamaan ja siihen, ettei asianosainen ole velvollinen esittämään itselleen kielteistä selvitystä. Tietosuoja-asetus antaa tietosuojavaltuutetulle laajat toimivaltuuden selvityksen hankkimiseksi. Tilanteessa, jossa rekisterinpitäjä on kiistänyt keräävänsä ja säilyttävänsä henkilötietoja tietosuojasääntelyn vastaisesti, eikä kiistämistä ole voitu pitää ilmeisen perusteettomana, tietosuojavaltuutetun toimisto olisi esimerkiksi tarkastuksella voinut selvittää, minkälaisia henkilötietoja yhtiön työhönottoprosessissa kerätään ja minkälaisia työhakijoiden henkilötietoja yhtiöllä on tallennettuina.
(52) Kun otetaan huomioon erityisesti hallinnolliseen seuraamusmaksuun liittyvä viranomaisen korostunut selvitysvelvollisuus ja syyttömyysolettama sekä se, että tietosuojavaltuutetulla viranomaisena olisi ollut mahdollisuus hankkia selvitystä siitä, onko A Oy rikkonut tietosuojasääntelyä, korkein hallinto-oikeus toteaa, ettei asiassa esitettyä selvitystä voida pitää tässä tapauksessa riittävänä sen osoittamiseksi, että yhtiö olisi 25.05.2018–31.12.2019 välisenä aikana kerännyt tarpeettomia henkilötietoja ilman lainmukaista käsittelyperustetta.
(53) Seuraamuskollegion päätös hallinnollisen seuraamusmaksun määräämisestä A Oy:lle on perustunut olennaisilta osin siihen, että yhtiön on katsottu käsitelleen työnhakijoiden ja työntekijöidensä henkilötietoja työelämän tietosuojalain keskeisten säännösten vastaisesti siten, että useiden kerättyjen henkilötietojen käsittelyyn oikeuttava käsittelyperuste on puuttunut. Korkein hallinto-oikeus on edellä todennut, että tietosuojavaltuutettu ei ole esittänyt riittävää selvitystä siitä, että yhtiö olisi työhönottoprosessissaan käsitellyt henkilötietoja tietosuojasääntelyn vastaisesti sen jälkeen, kun tietosuoja-asetus on tullut sovellettavaksi. Näin ollen seuraamuskollegiolla ei ole ollut perusteita määrätä yhtiölle hallinnollista seuraamusmaksua. Seuraamuskollegion päätös on tullut kumota ja hallinto-oikeuden päätös on tältä osin pidettävä voimassa.
(54) Hallinto-oikeuden kumoama tietosuojavaltuutetun määräys on koskenut tarpeettomien henkilötietojen poistamista siltä osin kuin niille ei ole osoitettavissa laillista käsittelyperustetta. Yhtiö on myöntänyt keränneensä tarpeettomia henkilötietoja ennen tietosuoja-asetuksen soveltamista, mutta koska yhtiön mukaan nämä tiedot on poistettu tietosuoja-asetuksen tultua sovellettavaksi ja kun muuta selvitystä määräyksessä tarkoitettujen henkilötietojen olemassa olosta ei ole, hallinto-oikeuden lopputulos määräyksen kumoamisen osalta on oikea. Hallinto-oikeuden päätös on pidettävä voimassa myös tältä osin.
(55) Korkein hallinto-oikeus toteaa, että tietosuojavaltuutettu ei ole yksilöinyt yhtiön osoitusvelvollisuuden noudattamisen puutteita lukuun ottamatta henkilötietojen käsittelyselosteen puutetta, jonka osalta annetusta määräyksestä korkeimmassa hallinto-oikeudessa ei ole kysymys, sekä sitä, ettei yhtiöltä selvityspyynnössä pyydettyä materiaalia ole toimitettu tietosuojavaltuutetulle sitä ensimmäisen kerran pyydettäessä. Asiassa on siten jäänyt epäselväksi, mihin huomautuksen antaminen siitä, että yhtiö ei ole kyennyt osoittamaan noudattaneensa tietosuojalainsäädäntöä, on perustunut. Päätöstä ei ole tältä osin ole perusteltu hallintolain 45 §:n 1 mukaisesti. Siten hallinto-oikeuden päätös on pidettävä voimassa myös tämän huomautuksen kumoamisen osalta.
(56) Tietosuojavaltuutetun päätöksen huomautus sisäänrakennetun ja oletusarvoisen tietosuojan puutteista on perustunut arvioon siitä, että yhtiö on tietosuoja-asetuksen voimassaoloaikana kerännyt tarpeettomia henkilötietoja ilman lainmukaista käsittelyperustetta. Koska tästä ei edellä kuvatuin perustein ole esitetty riittävästi selvitystä, on hallinto-oikeus päätöksen lopputulos myös tämän huomautuksen kumoamisen osalta pidettävä voimassa.
Johtopäätös
(57) Kun otetaan huomioon edellä lausuttu, apulaistietosuojavaltuutetun valitus on hylättävä. Hallinto-oikeuden päätöksen lopputuloksen muuttamiseen ei ole perusteita.
Asian ovat ratkaisseet oikeusneuvokset Riitta Mutikainen, Mika Seppälä, Kari Tornikoski, Taina Pyysaari ja Jaakko Autio. Asian esittelijä Liisa Selvenius-Hurme.