L'APD finlandaise a infligé une amende de 25 000 euros à un établissement d'enseignement supérieur pour violation de la protection des données dans le traitement des données de localisation des employés. Le contrôleur avait introduit une application mobile qui permettait aux télétravailleurs de pointer à l'entrée et à la sortie. L'utilisation de l'application sur un appareil mobile nécessitait également une autorisation pour la collecte des données de localisation. La collecte de données de localisation au moment du pointage était une caractéristique de l'application, sans laquelle il n'était pas possible de pointer les heures de travail à l'aide de l'application. Selon les informations reçues du responsable du traitement, celui-ci n'a utilisé ni exploité activement les données de localisation dans aucune situation, mais n'a traité les données de localisation qu'au moment du pointage pour des raisons techniques. Cependant, le simple fait que l'horodatage ne soit pas possible dans l'application sans traiter les données de localisation ne rend pas nécessaire leur traitement. L'APD a donc considéré qu'il s'agissait d'une violation de la légalité de la collecte des données et du principe de minimisation des données, puisque le traitement des données de localisation n'était pas nécessaire aux fins du traitement - c'est-à-dire le simple enregistrement des heures de travail.