KHO:2023:56

Vuokraustoimintaa harjoittava A Oy (rekisterinpitäjä) keräsi säännönmukaisesti vuokra-asunnossa asuvien tai asuntoa hakevien perheiden alaikäisten lasten henkilötunnuksia.

Korkein hallinto-oikeus katsoi, ettei rekisterinpitäjä ollut esittänyt sellaista selvitystä, jonka perusteella voitaisiin katsoa, että kaikkien vanhempiensa kanssa vuokra-asunnossa asuvien tai asuntoa hakevien alaikäisten lasten henkilötunnusten säännönmukainen kerääminen olisi yleisen tietosuoja-asetuksen edellyttämällä tavalla tarpeellista rekisterinpitäjän ilmoittamiin käyttötarkoituksiin. Apulaistietosuojavaltuutettu oli siten voinut antaa rekisterinpitäjälle määräyksen saattaa käsittelytoimet lasten henkilötunnusten keräämisen osalta asetuksen säännösten mukaisiksi sekä poistaa kerätyt lasten henkilötunnustiedot siltä osin kuin niiden keräämiselle ei ole ollut asianmukaista perustetta.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 5 artikla 1 kohta c alakohta, 25 artikla, 58 artikla 2 kohta d alakohta ja 87 artikla

Tietosuojalaki 29 §:n 1 momentti

Päätös, jota muutoksenhaku koskee

Pohjois-Suomen hallinto-oikeus 15.8.2022 nro 1036/2022

Korkeimman hallinto-oikeuden ratkaisu

Korkein hallinto-oikeus myöntää valitusluvan ja tutkii asian.

Hallinto-oikeuden päätös kumotaan valituksenalaiselta osin eli siltä osin kuin hallinto-oikeus on kumonnut apulaistietosuojavaltuutetun A Oy:lle antaman lasten henkilötunnusten käsittelyä koskeva määräyksen. Apulaistietosuojavaltuutetun päätös 24.5.2021 saatetaan tältä osin voimaan.

Asian tausta

(1) Apulaistietosuojavaltuutettu on päätöksellään 24.5.2021 antanut rekisterinpitäjälle (A Oy) yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet lasten henkilötunnusten keräämisen osalta asetuksen säännösten mukaisiksi sekä poistaa kerätyt lasten henkilötunnustiedot siltä osin kuin niiden keräämiselle ei ole ollut asianmukaista perustetta.

(2) Apulaistietosuojavaltuutettu on päätöksessään todennut, että henkilötietojen keräämisen tulee tapahtua tarpeellisuusvaatimusta noudattaen, eikä rekisterinpitäjän ole lainmukaista kerätä rekisteröidyiltä sellaisia henkilötietoja, joiden tarpeellisuudelle ei ole esitettävissä asianmukaisia perusteita. Perusteiden olemassaoloa tulisi arvioida tapauskohtaisesti, eikä henkilötietoja voida esimerkiksi kerätä ja säilyttää pelkästään varmuuden vuoksi, tulevaisuuden varalle.

(3) Rekisterinpitäjän esittämien yksittäisten perustelujen osalta apulaistietosuojavaltuutettu on päätöksessään todennut, ettei lastensuojeluilmoitukseen ole välttämätöntä sisällyttää lapsen henkilötunnusta, eikä rekisterinpitäjä voi tällä perusteella kerätä etukäteen tätä tietoa mahdollista tulevaa käyttötarvetta silmällä pitäen. Myöskään avaintenhukkaamistilanteilla ei ole mahdollista perustella lasten henkilötunnusten keräämistä, eikä avaimen kadottaneella lapsella ole edes pääsääntöisesti esittää henkilöllisyystodistusta, johon rekisterinpitäjän hallussa olevaa henkilötunnustietoa olisi mahdollista verrata. Kansaneläkelaitos ei puolestaan pyydä asumistukiasiassa vuokranantajaa keräämään lasten henkilötunnuksia, eikä vuokranantaja tai isännöitsijä voi ylipäänsä hakea asumistukea asukkaan puolesta. Ympäristöministeriön arava- ja korkotukivuokra-asuntojen hakemuslomakkeesta annetun asetuksen ja sen liitteiden osalta apulaistietosuojavaltuutetun mukaan voidaan huomioida, ettei siinä ole tehty rajausta asukkaan iän perusteella, vaan 1 §:n mukaan henkilötunnustieto kerätään arava- ja korkotukivuokra-asuntoon asumaan tulevilta. Tämä ei apulaistietosuojavaltuutetun mukaan kuitenkaan oikeuta lasten henkilötunnustiedon järjestelmälliseen keräämiseen vuokraus- ja isännöintitoiminnassa, vaan tarpeellisuusarviointi tulee suorittaa tapauskohtaisesti, ja ympäristöministeriön asetusta sovellettaessa rekisterinpitäjän tulee varmistua siitä, että henkilö kuuluu asetuksen piiriin.

(4) Hallinto-oikeus on A Oy:n valituksen johdosta kumonnut apulaistietosuojavaltuutetun päätöksen.

Hallinto-oikeus on lausunut perusteluissaan seuraavaa:

(5) Lasten henkilötietojen käsittely vuokrasuhteessa voi olla mahdollista tietosuoja-asetuksen 6 artiklan 1 kohdan f) alakohdassa tarkoitetun oikeutetun edun perusteella. Oikeutetun edun käsittelyn peruste edellyttää, että henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät syrjäytä rekisterinpitäjän oikeutettua etua käsitellä henkilötietoja, erityisesti jos rekisteröity on lapsi. Tätä koskevassa intressipunninnassa on huomioitava muun ohella tietosuojalainsäädännön tarkoitus ja tietosuoja-asetuksen 5 artiklan mukaiset henkilötietojen käsittelyn periaatteet.

(6) Nyt kysymyksessä olevassa tilanteessa lasten henkilötunnuksia ei ole tarkoitettu käytettäväksi tietosuoja-asetuksen johdantokappaleen 38 kohdassa lueteltuihin sellaisiin tarkoituksiin, joiden yhteydessä lasten henkilötietoihin kohdistuisi erityisen suojelun tarve. Lasten henkilötunnuksen käsittelyä vuokraustoiminnassa ei sinällään voida pitää merkittävänä puuttumisena lasten oikeuksiin ja etuihin, eikä henkilötunnuksen käsittelyllä ole siten merkittävää vaikutusta rekisteröitynä oleviin lapsiin. Tältä osin hallinto-oikeus on kiinnittänyt huomiota myös siihen, että kansallisesti on asetuksen tasoisella säännöksellä edellytetty, että aravarajoituslain piiriin kuuluvien asunnon hakijoiden on ilmoitettava asuntoa hakiessaan kaikkien huoneistoon asumaan tulevien henkilötunnukset asuntohakemuslomakkeella.

(7) Tietosuojalain 29 §:n 2 momentissa on nimenomaisesti sallittu henkilötunnuksen käsittely vuokraustoiminnassa. Koska sanotussa momentissa ei ole tehty rajausta sen suhteen, onko kysymys varsinaisia vuokrasuhteen osapuolia koskevasta vaiko laajemminkin huoneistoon asumaan tulevien henkilöiden henkilötunnusten käsittelystä, kyseisen momentin voidaan tulkita kattavan yleisesti vuokraustoimintaa koskevat käsittelytoimet mukaan lukien huoneistoon asumaan tulevien lasten henkilötunnusten käsittelyn.

(8) Yhtiöllä on ollut vuokraustoiminnasta johtuva tietosuoja-asetuksen 6 artiklan 1 kohdan f) alakohdassa tarkoitettu oikeutettu etu lasten henkilötietojen käsittelyyn. Ottaen huomioon tietosuojalain 29 §:n 2 momentin sekä sen seikan, että henkilön luotettava yksilöinti vuokraustoiminnassa on tärkeää rekisteröidyn oikeusturvankin kannalta, hallinto-oikeus on katsonut, että oikeutettu etu ulottuu nyt puheena olevassa tilanteessa myös lasten henkilötunnusten käsittelyyn. Koska henkilötunnuksen käsittelyä on tällä perusteella pidettävä tietosuoja-asetuksen 5 artiklan 1 kohdan a) alakohdassa ja 6 artiklassa tarkoitetulla tavalla lainmukaisena, sitä ei voida pitää puheena olevan käyttötarkoituksen kannalta tarpeettomana sovellettaessa tietojen minimointia koskevaa ensin mainitun artiklan c) alakohtaa.

(9) Yhtiön käsittelytoimet puheena olevilta osin ovat siten hallinto-oikeuden mukaan olleet lainmukaiset.

Asian ovat ratkaisseet hallinto-oikeuden jäsenet Mikko Pikkujämsä, Renne Pulkkinen ja Anna-Leena Kiviniemi, joka on myös esitellyt asian.

Vaatimukset ja selvitykset korkeimmassa hallinto-oikeudessa

(10) Apulaistietosuojavaltuutettu on pyytänyt lupaa valittaa hallinto-oikeuden päätöksestä ja valituksessaan vaatinut, että hallinto-oikeuden päätös kumotaan. Apulaistietosuojavaltuutettu on esittänyt vaatimuksensa tueksi seuraavaa:

(11) Hallinto-oikeus on perustellut yleisen tietosuoja-asetuksen 5 artiklan tarpeellisuusvaatimuksen täyttymisen sillä, että käsitellylle on hallinto-oikeuden näkemyksen mukaan ollut olemassa asetuksen 6 artiklan mukainen käsittelyperuste. Yleisen tietosuoja-asetuksen 5 ja 6 artikloissa on kyse kahdesta eri asiasta. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohtaa ei voida jättää soveltamatta. Hallinto-oikeuden tulkinta tekisi kyseisen artiklan merkityksettömäksi ja tarkoittaisi, ettei sitä tarvitse ottaa lainkaan huomioon henkilötunnusta käsiteltäessä.

(12) Henkilötietojen käsittelyn tarpeellisuutta ei voida perustella sillä, että tietojen käsittelylle on määriteltävissä yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste. Tarpeellisuusarviointi on oma keskeinen arvionsa, eikä sitä tule sekoittaa käsittelyperusteen määrittelyyn.

(13) Apulaistietosuojavaltuutettu on päätöksessään katsonut, ettei lasten henkilötunnusten systemaattiselle keräämiselle ole yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan edellyttämää tarvetta. Nyt arvioitavassa asiassa ei ole ollut kyse henkilötietojen käsittelyperusteen (yleisen tietosuoja-asetuksen 6 artikla) määrittelemisestä, eikä apulaistietosuojavaltuutetun päätöksessä ole tästä johtuen otettu lainkaan kantaa käsittelyperusteeseen. Jos rekisterinpitäjä käsittelee muita kuin tietosuojasääntelyssä tarkoitetulla tavalla tarpeellisia henkilötietoja, sen menettely on lainvastaista, vaikka käsittelylle olisi sinänsä määriteltävissä yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste, kuten rekisteröidyn suostumus tai rekisterinpitäjän oikeutettu etu.

(14) Hallinto-oikeus on niin ikään perustanut ratkaisunsa kriteereihin, jotka eivät tietosuojasääntelyssä liity henkilötietojen käsittelyn tarpeellisuusarviointiin, sekä jättänyt asianmukaisen tarpeellisuusarvioinnin tekemättä.

(15) Rekisterinpitäjä ei nyt arvioitavassa tapauksessa ole esittänyt sellaisia perusteita lasten henkilötunnusten keräämiselle, joissa käsittelyn tarkoitus ei ole ollut kohtuullisesti saavutettavissa muilla keinoin.

(16) Henkilötietojen kerääminen ja muu käsittely ei ole mahdollista suoraan sillä perusteella, että rekisteröidylle ei esimerkiksi katsota tästä aiheutuvan merkittäviä vaikutuksia. Merkittävä puuttuminen tai merkittävät vaikutukset eivät ole tietosuojasääntelyn mukaisessa tarpeellisuusarvioinnissa käytettyjä kriteereitä.

(17) Henkilötietojen käsittelyn tarpeellisuusvaatimuksella (ns. minimointiperiaate) on pyritty estämään esimerkiksi se, että toimijat keräisivät henkilötietoja varmuuden varalle ja ilman päteviä, tapauskohtaisia perusteita. Tarpeellisuusvaatimuksen tarkoitus konkretisoituu esimerkiksi sivullisten saadessa pääsyn henkilötietoihin. Tietovuototilanteessa tiedot päätyvät myös asiattomien hyödynnettäväksi, ja rekisteröity voi joutua rikoksen, kuten identiteettivarkauden uhriksi.

(18) A Oy on ilmoittanut, ettei se anna asiassa selitystä. Yhtiön ilmoitus on lähetetty tiedoksi apulaistietosuojavaltuutetulle.

Korkeimman hallinto-oikeuden ratkaisun perustelut

Kysymyksenasettelu

(19) Asiassa on kyse siitä, onko A Oy:n harjoittama alaikäisten lasten henkilötunnusten kerääminen yleisen tietosuoja-asetuksen vastaista siten, että apulaistietosuojavaltuutettu on voinut antaa A Oy:lle määräyksen saattaa käsittelytoimet lasten henkilötunnusten keräämisen osalta asetuksen säännösten mukaisiksi sekä poistaa kerätyt lasten henkilötunnustiedot siltä osin kuin niiden keräämiselle ei ole ollut asianmukaista perustetta.

(20) Apulaistietosuojavaltuutettu on nyt kysymyksessä olevassa päätöksessään arvioinut A Oy:n harjoittamaa lasten henkilötunnusten keräämistä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaisen tarpeellisuusvaatimuksen kannalta. Asiassa on näin ollen arvioitavana kysymys siitä, onko A Oy:n harjoittama alaikäisten lasten henkilötunnusten kerääminen mainitussa alakohdassa säädetyn tietojen minimointia koskevan vaatimuksen mukaista.

(21) Selvyyden vuoksi korkein hallinto-oikeus toteaa, että puheena olevassa apulaistietosuojavaltuutetun päätöksessä ei ole otettu kantaa 6 artiklan mukaiseen käsittelyperusteeseen. Asiassa ei siten ole kyse sen arvioimisesta, onko käsittelylle 6 artiklassa tarkoitettua käsittelyperustetta.

Sovellettavat oikeusohjeet

(22) Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 5 artiklan (Henkilötietojen käsittelyä koskevat periaatteet) 1 kohdassa luetellaan vaatimukset, joita henkilötietojen suhteen on noudatettava. Mainitun kohdan c alakohdan mukaan niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”).

(23) Yleisen tietosuoja-asetuksen 25 artiklan (Sisäänrakennettu ja oletusarvoinen tietosuoja) 1 kohdan mukaan ottaen huomioon uusimman teknologian, toteuttamiskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on sekä käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

(24) Saman artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

(25) Yleisen tietosuoja-asetuksen 58 artiklan (Valtuudet) 2 kohdan mukaan valvontaviranomaisella on muun ohella seuraavat korjaavat toimivaltuudet: d) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.

(26) Yleisen tietosuoja-asetuksen 87 artiklan (Kansallisen henkilötunnuksen käsitteleminen) mukaan jäsenvaltiot voivat määritellä tarkemmin erityiset kansallisen henkilötunnuksen tai muun yleisen tunnisteen käsittelyn edellytykset. Tässä tapauksessa kansallista henkilötunnusta tai muuta yleistä tunnistetta on käytettävä ainoastaan noudattaen rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti.

(27) Tietosuojalain 29 §:n 1 momentin mukaan henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:

1) laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai

3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

(28) Tietosuojalain 29 §:n 2 momentin mukaan henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa.

(29) Tietosuojalain 29 §:n 3 momentin mukaan sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä.

Oikeudellinen arviointi ja johtopäätös

(30) Yleisen tietosuoja-asetuksen 5 artiklassa on säädetty yleisistä periaatteista, joita on noudatettava kaikessa asetuksen soveltamisalaan kuuluvassa henkilötietojen käsittelyssä. Artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti.

(31) Yleisen tietosuoja-asetuksen 6 artiklassa on säädetty siitä, mitkä henkilötietojen käsittelyperusteet ovat lainmukaisia. Henkilötietojen käsittely voi olla lainmukaista vain, jos sille on kyseisessä artiklassa säädetty peruste. Käsittelyperusteen olemassaolo ei kuitenkaan yksinään tee käsittelystä lainmukaista. Henkilötietojen käsittelyssä on sen lisäksi noudatettava 5 artiklassa säädettyjä vaatimuksia, muun ohella artiklan 1 kohdan c alakohdassa säädettyä minimointiperiaatetta.

(32) Unionin tuomioistuin on useissa ratkaisuissaan lausunut, että henkilötietojen käsittelyn on yhtäältä oltava mainitun asetuksen 5 artiklassa ilmaistujen periaatteiden mukaista ja toisaalta täytettävä saman asetuksen 6 artiklassa luetellut edellytykset (mm. C-439/19, tuomion kohta 96 sekä yhdistetyt asiat C-511/18, C-512/18 ja C-520/18, tuomion kohta 208)

(33) Edellä sanotun perusteella henkilötietojen käsittelyn ei voida katsoa olevan 5 artiklan 1 kohdan c alakohdassa tarkoitetulla tavalla tarpeellista, sillä hallinto-oikeuden käyttämällä perusteella, että käsittelylle on 6 artiklassa tarkoitettu lainmukainen peruste.

(34) Yleisen tietosuoja-asetuksen 87 artikla mahdollistaa kansallisen henkilötunnuksen käsittelyn edellytyksistä säätämisen kansallisesti. Tähän säännökseen perustuva tietosuojalain 29 § mahdollistaa henkilötunnuksen käsittelyn vuokraustoiminnassa. Käsittelyn on kuitenkin tällöinkin oltava myös yleisen tietosuoja-asetuksen 5 artiklassa säädettyjen periaatteiden mukaista.

(35) Arvioitaessa sitä, ovatko henkilötiedot 5 artiklan 1 kohdan c alakohdassa tarkoitetulla tavalla asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään, on otettava huomioon rekisterinpitäjän ilmoittamat tietojen käyttötarkoitukset. Tarpeellisuuden arvioinnissa voidaan ottaa huomioon myös yleisen tietosuoja-asetuksen johdantokappale 39, jossa muun ohella todetaan, että henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta, ja että henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin.

(36) A Oy on ilmoittanut tarvitsevansa lasten henkilötunnuksia vuokrasuhteeseen liittyvien asioiden hoitamiseen ja asukasrekisterin ylläpitoon. Henkilötunnusten keräämistä on perusteltu myös asumistukeen, ovenavauspalveluun, huoli-ilmoitusten tekemiseen sosiaalitoimelle ja tietojärjestelmän toimintaan liittyvillä syillä. Lisäksi arava- ja korkotukiasuntojen osalta lainsäädäntö velvoittaa ilmoittamaan asuntohakemuslomakkeella asumaan tulevien henkilöiden nimet ja henkilötunnukset.

(37) Korkein hallinto-oikeus toteaa kuten hallinto-oikeus, että apulaistietosuojavaltuutettu on hyväksynyt sen, että arava- ja korkotukivuokra-asuntojen hakemuslomakkeesta ja sen liitteistä annetun ympäristöministeriön asetuksen (904/2006) piiriin kuuluvilta henkilöiltä voidaan iästä riippumatta kerätä henkilötunnus. Asiassa ei tämän vuoksi tule arvioitavaksi lasten henkilötunnusten kerääminen kyseisen asetuksen soveltamisen piiriin kuuluvissa tilanteissa.

(38) A Oy on kuitenkin asiassa esitetyn selvityksen perusteella säännönmukaisesti kerännyt lasten henkilötunnukset asuntojen hakijoilta ja vuokralaisilta siitä riippumatta, onko kyse arava- tai korkotuki- vai vapaarahoitteisista vuokra-asunnoista. Siltä osin kuin kyse on vapaarahoitteisista vuokra-asunnoista, perusteena mainittu arava- ja korkotukea koskeva lainsäädäntö ei edellytä vanhempiensa kanssa vuokra-asunnossa asuvien tai asuntoa hakevien alaikäisten lasten henkilötunnusten keräämistä. Alaikäisen lapsen henkilötunnuksen käsitteleminen on kuitenkin tarpeen silloin, kun alaikäinen itse on vuokrasopimuksen osapuoli tai vuokra-asunnon hakija. Nämä tilanteet, joissa alaikäisten lasten henkilötunnusten kerääminen on tarpeen vuokrasopimukseen ja asunnon hakemiseen liittyvillä syillä, eivät kuitenkaan muodosta tarvetta kerätä henkilötunnuksia säännönmukaisesti kaikilta vuokralaisten tai asunnonhakijoiden alaikäisiltä lapsilta.

(39) Myöskään asumistukeen, ovenavauspalveluun ja huoli-ilmoitusten tekemiseen liittyvät seikat eivät perustele tarvetta lasten henkilötunnusten säännönmukaiselle keräämiselle. Asumistuen hakijana on pääsääntöisesti alaikäisen lapsen vanhempi. Ovenavauspalvelu ja huoli-ilmoitusten tekeminen on mahdollista hoitaa käyttämättä henkilötunnusta.

(40) Vaikka edellä mainittujen tehtävien hoitaminen saattaa joissain tilanteissa olla helpompaa, jos käytettävissä on henkilötunnus, ovat rekisterinpitäjän mainitsemat käsittelyn tarkoitukset kuitenkin kohtuullisesti toteutettavissa ilman henkilötunnuksen käyttämistä.

(41) Yleisen tietosuoja-asetuksen 25 artiklassa säädetty sisäänrakennetun ja oletusarvoisen tietosuojan vaatimus tarkoittaa muun ohella sitä, että rekisterinpitäjän on valittava oletusarvoiset käsittelyasetukset ja -vaihtoehdot ja vastattava niiden täytäntöönpanosta siten, että oletusarvoisesti toteutetaan vain asetetun lainmukaisen tavoitteen saavuttamiseksi ehdottoman välttämätön henkilötietojen käsittely (Euroopan tietosuojaneuvoston ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, versio 2.0, annettu 20. lokakuuta 2020, kohta 42). Siten rekisterinpitäjä ei voi perustella henkilötietojen käsittelyn tarpeellisuutta käyttämänsä tietojärjestelmän teknisillä vaatimuksilla, vaan tietojärjestelmät on suunniteltava siten, etteivät ne edellytä muutoin tarpeettomien henkilötietojen käsittelyä. Näin ollen A Oy:n esittämiä, tietojärjestelmän toiminnallisuuksiin liittyviä syitä ei voi pitää sellaisena seikkoina, joiden perusteella henkilötietojen käsittelyä olisi pidettävä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa tarkoitetulla tavalla tarpeellisena.

(42) Edellä sanotun perusteella korkein hallinto-oikeus katsoo, ettei A Oy ole rekisterinpitäjänä esittänyt sellaista selvitystä, jonka perusteella voitaisiin katsoa, että kaikkien vanhempiensa kanssa vuokra-asunnossa asuvien tai asuntoa hakevien alaikäisten lasten henkilötunnusten säännönmukainen kerääminen olisi yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa tarkoitetulla tavalla tarpeellista yhtiön ilmoittamiin edellä käsiteltyihin käyttötarkoituksiin. Apulaistietosuojavaltuutettu on siten voinut antaa A Oy:lle määräyksen saattaa käsittelytoimet lasten henkilötunnusten keräämisen osalta asetuksen säännösten mukaisiksi sekä poistaa kerätyt lasten henkilötunnustiedot siltä osin kuin niiden keräämiselle ei ole ollut asianmukaista perustetta. Korkein hallinto-oikeus toteaa, että määräys ei estä A Oy:tä rekisterinpitäjänä edelleen keräämästä ja säilyttämästä lasten henkilötunnuksia tilanteissa, joissa käsittelylle on tietosuojasääntelyn mukainen peruste ja tarve.

(43) Mainituilla perusteilla hallinto-oikeuden päätös on kumottava siltä osin kuin hallinto-oikeus on kumonnut lasten henkilötunnusten keräämistä koskevan määräyksen ja apulaistietosuojavaltuutetun päätös saatetaan tältä osin voimaan.

Asian ovat ratkaisseet oikeusneuvokset Riitta Mutikainen, Kari Tornikoski, Taina Pyysaari, Jaakko Autio ja Robert Utter. Asian esittelijä Liisa Selvenius-Hurme.