Biträdande dataombudsmannen vid Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har beslutat att ge Norra Savolax sjukvårdsdistrikt en anmärkning för att ha positionsdatafunktionen påslagen utan grund, samt beordrat sjukvårdsdistriktet att radera eventuell uppgiftshistorik, positionsloggar och övriga personuppgifter som uppkommit av användningen av positionsdatafunktionen. Biträdande dataombudsmannens beslut gäller behandlingen av positionsdata av uppskattningsvis tiotusentals anställda inom den offentliga sektorn.
Av beslutet framgår att Dataombudsmannens byrå utrett hur tjänsteleverantörer inom den offentliga sektorn använder positionsdatafunktionen på datorer av anställda inom kommunsektorn och statsförvaltningen. Bakgrunden till utredningen är en anmälan om personuppgiftsincident från Norra Savolax sjukvårdsdistrikt, enligt vilken inställningar som tillåter insamling av positionsdata varit påslagna på de anställdas Windows 10-arbetsstationer trots att det inte varit meningen att samla in data. De anställda har använt bärbara datorer till exempel vid distansarbete.
Dataombudsmannens byrå begärde en redogörelse om ärendet av Istekki Oy som producerar Norra Savolax sjukvårdsdistrikts ICT-tjänster. I samband med utredningsarbetet begärdes en redogörelse om användningen av positionsfunktionen även av Statens center för informations- och kommunikationsteknik Valtori. Både Istekki Oy och Valtori berättade, att insamling av positionsdata är påslagen som standard i operativsystemet Windows 10, och kunderna har inte gett några andra anvisningar.
En redogörelse begärdes också av Kuntien Tiera Oy. Enligt bolaget har inställningen för positionsdata inte varit påslagen i de ICT-miljöer som bolaget producerar för sina kunder.
Biträdande dataombudsmannen anser att sjukvårdsdistriktet inte hade ett behov att behandla de anställdas positionsdata. Biträdande dataombudsmannen anser vidare att sjukvårdsdistriktet inte adekvat gått igenom vilka uppgifter som det skulle samla in. Eftersom de anställdas positionsdata har varit onödiga för arbetsgivaren och oavsiktligt insamlade, borde dessa uppgifter inte ha behandlats.
För att uppfylla kraven för dataskydd som standard (Privacy by Default) enligt artikel 25.2 i dataskyddsförordningen (GDPR) borde sjukvårdsdistriktet ha gått igenom operativsystemets grundinställningar och märkt att positionsfunktionen var påslagen innan arbetsstationerna togs i bruk. Biträdande dataombudsmannen observerar att de anställdas personuppgifter som uppkommit till följd av att positionsfunktionens varit på har även hamnat hos Microsoft.
Mot denna bakgrund beslutade biträdande dataombudsmannen att ge sjukvårdsdistriktet en anmärkning för att ha positionsdatafunktionen påslagen utan grund och beordrade samtidigt sjukvårdsdistriktet att radera eventuell uppgiftshistorik, positionsloggar och övriga personuppgifter som uppkommit av användningen av positionsdatafunktionen. Sjukvårdsdistriktet har meddelat att inställningen har stängts av på de anställdas arbetsstationer.
Biträdande dataombudsmannen påminner även om att det ligger i ett personuppgiftsbiträdes eget intresse att inte agera på basis av den personuppgiftsansvariges bristfälliga anvisningar.
För att sluta samla in positionsdata automatiskt beordrades tjänsteleverantörerna Istekki Oy och Valtori att se till att funktionen inte är påslagen utan grund på deras nuvarande kunders arbetsstationer. Tjänsteleverantörerna ska även radera all data som uppkommit när positionsdatafunktionen varit påslagen som standard. Den tidsfrist som ställdes för föreläggandenas genomförande har förlängts fram till den 31 oktober 2022.