Koronapandemia on saanut paljon huomiota viimeisen vajaan kahden vuoden aikana myös tietosuojan ja yksityisyyden suojaamisen osalta. Euroopan tietosuojaneuvosto onkin julkaissut useita aiheeseen liittyviä ohjeistuksia ja lausuntoja.
Kansallisten tietosuojaviranomaisten (DPA) tekemiä päätöksiä henkilötietojen keräämisestä ja käsittelystä pandemiaan liittyvissä asioissa on kuitenkin viimeaikoihin saakka ollut vain muutamia.
Seuraavat kolme tietosuojaviranomaisten tekemää päätöstä selkeyttävät yksityisyydensuojan ja koronatilanteen keskinäistä jännitettä:
Suomalainen taloyhtiö ilmoitti asukkailleen, että heidän tulisi ilmoittaa positiivisesta koronatestituloksesta isännöitsijälleen. Tietosuojavaltuutetun toimisto antoi rekisterinpitäjälle varoituksen, jonka mukaan kyseisten henkilötietojen käsittely olisi ilman lainmukaista käsittelyperustetta ja tietosuojaperiaatteiden huomioimista yleisen tietosuoja-asetuksen vastaista.
Apulaistietosuojavaltuutettu totesi, että yleisesti ottaen asukkaiden ja asunto-osakeyhtiön välillä on olemassa suhde, joka mahdollisesti vaatii asukkaiden henkilötietojen käsittelyä esimerkiksi osapuolien välisten sopimuksen tai asunto-osakeyhtiön lakisääteisten velvoitteiden perusteella.
Koronavirukseen ja sen testituloksiin liittyvät tiedot luokitellaan kuitenkin tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin, koska kyseessä ovat terveyttä koskevat tiedot. Terveystietojen käsittely vaatii sekä tietosuoja-asetuksen 6 artiklan että 9 artiklan mukaisen lainmukaisen perusteen, ja jos erityistä artikla 9 mukaista perustetta ei ole, tietojen käsittely on kiellettyä.
Apulaistietosuojavaltuutetun mukaan rekisterinpitäjä ei ollut myöskään arvioinut, voiko asukkaiden tietoja koronavirukseen liittyen kerätä eikä sitä, oliko tietojen käsittelyyn tietosuoja-asetuksen 9 artiklan mukaista perustetta. Myöskään tietojen minimointiperiaatetta tai sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia ei huomioitu. Koska henkilötietoja ei todistetusti oltu kerätty, apulaistietosuojavaltuutettu ei nähnyt varoituksen ohella tarpeelliseksi harkita muita valvontaviranomaisen käytössä olevien korjaavien toimivaltuuksien käyttöä.
Apulaistietosuojavaltuutetun päätös on luettavissa täällä.
Tanskan tietosuojavirasto katsoi, että tanskalainen yritys ei muun muassa ollut toteuttanut asianmukaisia suojatoimenpiteitä käsitellessään koronapikatestejä koskevia tietoja. Tanskan tietosuojavirasto määräsi yritykselle maksettavaksi 600 000 kruunun hallinnollisen sakon (noin 80 500 euroa).
Yritys perusti WhatsApp-keskusteluryhmiä heidän neljälle testauspisteelleen. Yrityksen työntekijät jakoivat tietoa keskusteluryhmissä omilla henkilökohtaisilla puhelimillaan. Kaikilla toimipisteen työskentelevillä henkilöillä oli pääsy kyseisen toimipisteen keskusteluryhmään, ja he vastaanottivat kaikki muiden työntekijöiden ryhmään lähettämät tiedot. Tämä tarkoitti sitä, että ne työntekijät, joilla ei ollut tarvetta käsitellä tietoja, saivat myös tietoonsa esimerkiksi ihmisten henkilöturvatunnuksia ja terveyteen liittyviä tietoja. WhatsApp-keskusteluryhmissä oli mukana myös sellaisia henkilöitä, jotka eivät enää olleet yrityksessä töissä.
Edellä mainitun tietosuoja-asetuksen 9 artiklan mukaisesti terveyteen liittyvän tiedon käsittely vaatii erityisen lainmukaisen perusteen ja lisäksi tällainen tietojen käsittely rikkoo lähtökohtaisesti asianomaisten henkilöiden yksityisyyttä. Näin ollen korkeita vaatimuksia vastaavia turvatoimenpiteitä täytyy myös noudattaa.
Tanskan tietosuojaviraston päätös (tanskan kielellä) on luettavissa täällä.
Portugalilainen kunta jakoi Facebook-sivullaan tietoa kahdesta positiivisesta koronatestituloksesta kyseisten henkilöiden Ranskan matkan jälkeen. Myös matkustuspäivä ja henkilöiden asuinalue oli ilmoitettu. Portugalin tietosuojaviranomaisen mukaan kunta oli rikkonut tietojen käsittelyn lainmukaisuutta ja määräsi kunnalle maksettavaksi 2500 euron sakon.
Kuten aikaisemmissakin tapauksissa, tiedot katsottiin kuuluvan erityiseen henkilötietojen tietoryhmään, joiden käsittely vaatii tietosuoja-asetuksen 9 artiklan mukaisen laillisen perusteen. Kunta perusteli vastauksessaan, että antamiensa tietojensa perusteella kyseisten henkilöiden tunnistaminen olisi lähes mahdotonta. Viranomaisen mukaan taas julkaistujen tietojen perusteella kyseiset henkilöt olisivat tunnistettavissa. Kuten tämä päätös osoittaa, henkilötiedoiksi voidaan katsoa myös sellaisia tietoja, joiden avulla yksilöt ovat epäsuorasti tunnistettavissa.
Portugalin tietosuojaviraston päätös (portugalin kielellä) on luettavissa täällä.
Edellä mainitut päätökset osoittavat selkeästi, että pandemia tai muut vastaavanlaiset poikkeukselliset olosuhteet eivät oikeuta poikkeuksiin tai salli oikoteitä tietosuojaan liittyen, varsinkaan tietosuoja-asetuksen 9 artiklan mukaisten luonteeltaan sensitiivisten henkilötietojen käsittelyn suhteen. Lyhyesti sanottuna koronaviruspandemian kaltaisten olosuhteidenkin aikana, jolloin tiedon jakaminen sinänsä on tärkeää, on kuitenkin noudatettava yksityisyydensuojan kannalta keskeistä sääntelyä.
Blogin kirjoittajat Suvi Julin ja Atte Karineva vastaavat mielellään tietoturvaan liittyviin kysymyksiin.