Useat eurooppalaiset tietosuojaviranomaiset, viimeisimpänä Ranskan tietosuojaviranomainen CNIL, ovat katsoneet Google Analyticsin käytön rikkovan Euroopan unionin yleistä tietosuoja-asetusta (GDPR). Google käsittelee Yhdysvalloissa IP-osoitteita ja muita tunnisteita, jotka voidaan katsoa henkilötiedoiksi. Koska Yhdysvallat on maa, jossa ei ole eurooppalaisittain ajateltuna riittävää tietosuojan tasoa, eikä Google ole ottanut käyttöön riittäviä lisäsuojatoimia, ovat tietojensiirrot ja siten myös Google Analyticsin käyttö katsottu laittomaksi. Myös Suomen tietosuojavaltuutettu on uutisoinut asiasta.

Google Analytics lienee maailman käytetyin verkkoanalytiikkatyökalu, joten ratkaisut aiheuttavat päänvaivaa monelle. Ratkaisuksi on esitetty muun muassa IP-osoitteen anonymisointia. Valitettavasti se ei kuitenkaan tee Google Analyticsin käyttöä riskittömäksi, sillä anonymisointi tapahtuu vasta sen jälkeen, kun IP-osoite on ensin siirtynyt kokonaisena Googlelle. IP-osoitteen anonymisointi ei myöskään tee datasta anonyymia, jos mukana on muita tunnisteita, joilla voidaan yksilöidä luonnollinen henkilö.

Vaikka toimenpide ei riskejä poistaisikaan, niin kaikki yksityisyydensuojaa parantavat asetukset on syytä ottaa käyttöön, jos Google Analyticsin käyttöä aikoo jatkaa. Näitä ovat IP-anonymisoinnin lisäksi muun muassa:

• varmistus siitä, ettei Googlelle sen ehtojen vastaisesti lähetetä tietoja, joilla käyttäjä voidaan henkilökohtaisesti tunnistaa (personally identifiable information, "PII");

• asianmukaisen evästesuostumustyökalun käyttöönotto ja evästeiden asettaminen vasta sen jälkeen, kun käyttäjän suostumus on saatu;

• uusimman tietojenkäsittelysopimuksen hyväksyminen vakiosopimuslausekkeineen (sopijakumppanina Google Ireland Limited yhdysvaltalaisen Google LLC:n sijaan); ja

• asetetut rajoitukset tiedon jakamiseen (esim. data sharing -asetus pois päältä).

On myös hyvä harkita teknisesti mutkikkaampia toimenpiteitä, kuten ns. server side taggingiä, jossa lähetetään ensin data sivuston palvelimelle ja vasta sen jälkeen Google Analyticsille, mahdollistaen se, että voidaan kontrolloida Googlelle lähetettävää tietoa, esimerkiksi poistaa IP-osoitteet.

Kyse muustakin kuin Google Analyticsista

Google Analyticsiin liittyvät päätökset ovat jatkoa ns. Schrems II -ratkaisulle, jossa Euroopan unionin tuomioistuin kumosi EU:n ja USA:n välisen henkilötietojen tiedonsiirtomekanismin, ns. Privacy Shieldin, ja kyseenalaisti henkilötietojen siirrot Yhdysvaltoihin sen johdosta, että maan tiedusteluviranomaisilla on paikallisen lainsäädännön nojalla hyvin laajat tiedonsaantioikeudet. Olemme kertoneet ratkaisusta aiemmissa kirjoituksissamme, seuranneet viranomaisten suosituksia tiedonsiirtoihin liittyen sekä avustaneet asiakkaitamme uusien vakiosopimuslausekkeiden käyttöönotossa.

Käytännön havaintomme kuitenkin on se, että tiedonsiirrot ja niiden arviointi koetaan yrityksissä hyvin hankaliksi ja toimenpiteet ovat jääneet ainakin osin toteuttamatta. Tätä havaintoa vahvistaa se, että esimerkiksi juuri Google Analytics on edelleen laajalti käytössä, vaikka jo syksyn 2020 viranomaissuositukset puhuivat sitä vastaan, että dataa käsiteltäisiin selkokielisenä Yhdysvalloissa. Syitä toimenpiteiden puuttumisille on varmasti lukuisia – ei vähäisimpänä se, että yritykset kokevat, että transatlanttisiin tietovirtoihin tulisi löytää ratkaisu valtioiden, ei yritysten välillä. Tätä hakee myös Google.

Kansainvälisten tiedonsiirtojen arvioinnilta ei voi välttyä

Koettiinpa kansainväliset tiedonsiirrot kuinka hankaliksi tahansa, vain hyvin harva yritys voi välttyä niiden analysoinnilta. Google Analyticsin lisäksi lähes kaikki käyttävät jonkinlaista pilvipalvelua esimerkiksi sähköpostia tai asiakirjojen tallentamista varten. Näiden käyttö tyypillisesti johtaa siihen, että tietoihin voi olla pääsy EU/ETA-alueen ulkopuolelta, vaikka asiakas olisikin valinnut palvelinkeskuksen Euroopasta. Näin ollen lähes kaikkien yritysten tulee kartoittaa ja dokumentoida kansainväliset tietovirrat, ottaa käyttöön uudet vakiosopimuslausekkeet ja tarvittaessa täydentää niitä lisäsuojakeinoilla sekä dokumentoida tiedonsiirtoihin liittyvät riskiarviot. Jos arviossa päädytään siihen, ettei vakiosopimuslausekkeet ja mahdolliset täydentävät suojakeinot ole riittäviä, tiedonsiirrot tulisi lopettaa.

Esimerkiksi Google Analyticsia koskevassa riskiarviossa kannattaa muun muassa:

• dokumentoida tehdyt toimenpiteet (ks. ensimmäinen kohta);

• verrata omaa toimintaa ratkaisuiden kohteena olevien verkkosivustojen toimintaan (ratkaisuiden kohteena olleet sivustot eivät kaikilta osin olleet toteuttaneet ensimmäisen kohdan toimenpiteitä); ja

• arvioida, mikä painoarvo on esimerkiksi sillä, että Googlen ilmoituksen mukaan Yhdysvaltain tiedusteluviranomaiset eivät koskaan ole esittäneet Google Analyticsia koskevia tietopyyntöjä.

Realismia on, että kaikki eivät lopeta tiedonsiirtoja Yhdysvaltoihin, vaikka riskiarvio antaisi siihen aihetta. Vaikka yritys lopulta päättäisi jättää esimerkiksi Google Analyticsin käyttöön, niin edellä mainittuja toimenpiteitä, eli teknisiä ja sopimuksellisia muutoksia sekä riskiarvion dokumentointia, tekemällä voi täyttää tietosuoja-asetuksen osoitusvelvollisuutta ja jäädä hieman rauhallisemmin katsomaan, miten ratkaisu- ja markkinakäytäntö sekä Googlen lisäkontrollit kehittyvät.

Nyt, tuumasta toimeen. Apua ja lisätietoja saat:

Anna Paimela

Osakas

anna.paimela@legalfolks.fi

+358 40 164 8626

LinkedIn

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Ratkaisuja Suomesta

Tietoturvaloukkauksista ilmoittamatta jättäminen

Apulaistietosuojavaltuutettu antoi joulukuussa 2021 ratkaisun, joka koski paljon julkisuudessakin esillä ollutta Psykoterapiakeskus Vastaamon henkilötietojen käsittelyn asianmukaisen turvallisuuden laiminlyöntiä ja tietoturvaloukkauksesta ilmoittamatta jättämistä. Vastaamo teki tietosuojavaltuutetulle tietoturvaloukkausta koskevan ilmoituksen 29.9.2020. Ilmoituksen mukaan Vastaamo oli saanut 28.9.2020 uhkauskirjeen, jossa hakkeri ilmoitti kopioineensa Vastaamon potilastietokannan. Uhkauskirjeen liitteenä oli näyte potilastietokannasta, johon oli ollut 28.11.2018 tallennettuna 33 171 rekisteröityä koskevia henkilötietoja, ja 18.3.2019 yhteensä 35 885 rekisteröityä koskevia henkilötietoja.

Apulaistietosuojavaltuutettu katsoi, että Vastaamon henkilötietojen käsittelyssä oli tapahtunut tietoturvaloukkaus jo 20.12.2018 ja 15.3.2019. Vastaamon olisi tullut ilmoittaa 15.3.2019 tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille. Yleisen tietosuoja-asetuksen (GDPR) mukaan, jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

Vastaamo ei ollut dokumentoinut 20.12.2018 sattunutta tietoturvaloukkausta siten kuin GDPR:ssä edellytetään, eikä Vastaamon laatima tietosuojaa koskeva vaikutustenarviointi täyttänyt GDPR:ssä asetettuja vaatimuksia. Lisäksi Vastaamo ei ollut ennen marraskuuta 2020 käsitellyt henkilötietoja GDPR:ssä ilmaistun henkilötietojen eheyden ja luottamuksellisuuden periaatteen mukaisesti tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus. Vastaamo ei ollut ennen marraskuuta 2020 pystynyt GDPR:n osoitusvelvollisuuden periaatteen mukaisella tavalla osoittamaan, että se on noudattanut GDPR:stä seuraavia vaatimuksia. Täten apulaistietosuojavaltuutettu määräsi Vastaamolle seuraamukseksi GDPR:n mukaisesti huomautuksen.

Ratkaisussa tuotiin esille, että tietoturvaloukkauksessa, jossa ulkopuolinen hyökkääjä ilmoittaa ladanneensa potilastietokannan palvelimilleen, ja vaatii tietojen palauttamista vastaan lunnaita, ovat tiedot haltuunsa saaneen tahon tarkoitusperät ilmeisen pahantahtoiset. Tietoturvaloukkauksesta rekisteröidyille aiheutuvia vahinkoja voidaan pitää tällöin paitsi todennäköisinä, myös luonteeltaan vakavina. Rekisteröidyt olivat potilastietojärjestelmään tallennettujen tietojen perusteella suoraan tunnistettavissa, koska potilasasiakirja-asetuksen mukaan potilaskertomukseen oli merkitty potilaan nimi, syntymäaika, henkilötunnus, kotikunta ja yhteystiedot. Ulkopuolinen taho on voinut saattaa haltuunsa saamat tiedot suuren joukon saataville julkaisemalla ne esimerkiksi internetissä, jolloin rekisteröidyille aiheutuvat vahingot ovat voineet olla pitkäaikaisia, tai jopa pysyviä. Edellä todetuilla perusteilla Vastaamon potilastietojen käsittelyssä 15.3.3019 tapahtunut tietoturvaloukkaus oli todennäköisesti aiheuttanut luonnollisten henkilöiden oikeuksille ja vapauksille korkean riskin. Vastaamon olisi siten tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että rekisteröidyille.

Vastaamon laatimassa vaikutustenarvioinnissa ei ollut riittävällä tavalla arvioitu riskien luonnetta, erityisluonnetta, alkuperää tai uhkia, jotka voivat johtaa laittomaan henkilötietoihin pääsyyn, tietojen asiattomaan muuttamiseen tai tietojen häviämiseen, eikä riittävällä tavalla tunnistettu kyseisistä riskeistä rekisteröityjen oikeuksille ja vapauksille kohdistuvia mahdollisia vaikutuksia. Riskejä oli arvioitu ainoastaan toteamalla, että riskit ovat vakavia ja todennäköisyydeltään vähäisiä.

Lisäksi apulaistietosuojavaltuutettu katsoi, että asiassa oli ratkaistava, tuleeko rikkomisten seuraamukseksi määrätä huomautuksen lisäksi hallinnollinen sakko, jonka määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka määräsikin Vastaamon maksamaan valtiolle 608 000 euron suuruisen hallinnollisen sakon. Sakon määrämisen yhteydessä tuotiin esille se, että potilastietojärjestelmän suojauksessa olleet puutteet olivat mahdollistaneet potilastietokantaan kohdistuvat ulkopuoliset hyökkäykset, ja ulkopuolinen hyökkäys oli tietokannan puutteellisen suojauksen aikana tosiasiallisesti tapahtunut ainakin 20.12.2018 ja 15.3.2019. Noin 300 rekisteröidyn nimet, osoitteet, henkilötunnukset ja potilaskertomukset oli julkaistu 21.–23.10.2020 anonyymissä Tor-verkossa. Lisäksi Tor-verkossa oli julkaistu 23.10.2020 noin 10 gigatavun kokoinen tiedosto, joka saattoi sisältää Vastaamon koko potilastietokannan. Useat henkilöt olivat saattaneet ladata tiedoston itselleen ainakin osittain. Potilastietoja oli tämän jälkeen julkaistu Tor-verkossa lisää myös muilla nimimerkeillä kuin kiristäjän käyttämällä nimimerkillä.

Vähintään 15 000 rekisteröityä sai 24.10.2020 kiristyskirjeen, jossa uhattiin saattaa julkisuuteen rekisteröidyn nimi, puhelinnumero, osoite, henkilötunnus ja potilaskertomus, jos rekisteröity ei maksa kiristäjälle 200–500 euron suuruista summaa. Ainakin 14 rekisteröityä maksoi kiristäjän vaatiman summan. Uusia henkilötietoja ei tiettävästi julkaistu sen jälkeen, kun kiristyssumman maksamisen määräaika umpeutui. Potilastietoja vuosi kuitenkin julkisuuteen uudelleen tammikuun lopulla 2021, jolloin kahdella Tor-verkon keskustelupalstalla julkaistiin linkki mahdollisesti lähes 32 000 potilaskertomusta sisältävään tiedostoon. Helmikuuhun 2021 mennessä tietomurrosta oli tehty lähes 25 000 rikosilmoitusta.

Vastaamon olisi 15.3.2019 käsittelemänsä kiristysviestin perusteella täytynyt jo tiedostaa, että jos potilastiedot olivat joutuneet ulkopuolisen hyökkääjän haltuun, todennäköisyys siitä, että lainvastaisesta käsittelystä aiheutuisi rekisteröidyille vahinkoja, olisi suuri. Vastaamo ei kuitenkaan ilmoittanut tietoturvaloukkauksesta rekisteröidyille ennen loka-marraskuuta 2020, toisin sanoen vasta yli puolitoista vuotta 15.3.2019 tapahtuneen tietoturvaloukkauksen jälkeen. Vastaamon menettelyä voitiin täten pitää tahallisena.

Vastaamon käsittelemät henkilötiedot olivat GDPR:ssä tarkoitettuja terveyttä koskevia tietoja, jotka kuuluvat GDPR:ssä tarkoitettuihin erityisiin henkilötietoryhmiin. Vastaamon toiminnan luonteen eli psykoterapiapalveluiden tarjoamisen vuoksi tiedot olivat erityisen arkaluonteisia ja potilaslain nojalla salassa pidettäviä. Rekisteröidyt olivat tietojen perusteella suoraan tunnistettavissa, ja tietoja oli säilytetty salaamattomina. Rekisteröityjen joukossa oli heikossa asemassa olevia henkilöitä, kuten lapsia, vanhuksia ja mielenterveysongelmista kärsiviä henkilöitä. Edellä mainitut seikat otettiin huomioon raskauttavana tekijänä sakon määräämisessä.

Hallinnollisen sakon määrän arvioinnissa otettiin lisäksi huomioon muun muassa tehokkuus, oikeasuhteisuus ja varoittavuus, rikkomisen luonne, vakavuus ja kesto sekä Vastaamon liikevaihto tilikaudelta 1.1.–31.12.2020. Sakon määrän arvioinnissa otettiin myös huomioon, että Vastaamo oli asetettu konkurssiin eikä se harjoittanut enää taloudellista toimintaa. Maksettavaksi määrättyä 608 000 euron sakkoa ei voitu pitää määrältään kohtuuttomana yksittäisten rikkomisten eikä kokonaissumman osalta ottaen huomioon rikkomisista määrättävissä olevan sakon enimmäismäärä, rikkomisten vakavuus ja kesto sekä se, että rikottujen säännösten tarkoituksena oli suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Sakon määrää ei voitu pitää kohtuuttomana myöskään sen takia, että sen on oltava määrältään riittävä, jotta sen avulla pystytään varmistamaan varoittava vaikutus GDPR:n säännösten vastaisuudessa tapahtuvan rikkomisen ehkäisemiseksi.

Asiakkaiden henkilötietojen käsittely WhatsApp-pikaviestipalvelussa

Tietosuojavaltuutettu antoi lokakuussa 2021 ratkaisun, joka koski asiakkaiden henkilötietojen välittämistä siivousalan yrityksen työntekijöiden henkilökohtaisiin puhelimiin WhatsApp-sovelluksella. Välitettyihin henkilötietoihin lukeutuivat esimerkiksi yrityksen asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja avainboksien numerot.

Ratkaisussa tuotiin esille, että GDPR:ssä säädetään eheyden ja luottamuksellisuuden periaatteesta, jonka mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Lisäksi GDPR:ssä säädetään rekisterinpitäjän vastuusta. Rekisterinpitäjän tulee ottaa huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, ja toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan GDPR:ää.

GDPR:ssä säädetään myös sisäänrakennetusta ja oletusarvoisesta tietosuojasta, jonka mukaisesti rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. GDPR:n mukaan sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat GDPR:ssä vahvistettuja edellytyksiä, joita on sovellettava, jotta varmistetaan, että GDPR:llä taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa. Jollei GDPR:n mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia sekä tehokkaita oikeussuojakeinoja.

Tietosuojavaltuutettu toi ratkaisussaan esille, että se oli jo aiemmin katsonut, terveydenhuollon toimintaa koskevassa kannanotossaan, että WhatsApp-sovelluksen käyttö johtaa asiakkaan henkilötietojen tietojen siirtoon kolmansiin maihin, eikä tietosuojavaltuutettu sen takia suosittele sovelluksen käyttöä ajanvaraukseen liittyvässä asiakasviestinnässä terveydenhuollon toiminnassa. Aiemmassa ratkaisukäytännössään tietosuojavaltuutettu on lisäksi katsonut, ettei työntekijöitä tulisi tietoturvasyistä velvoittaa omien välineidensä käyttöön.

Tässä tapauksessa rekisterinpitäjä oli käyttänyt WhatsApp-sovellusta asiakastietojen välittämiseen. Erityisesti osoitteiden, ovikoodien ja avainboksien numeroiden kohdalla kyse oli tiedoista, joiden päätyminen sivulliselle olisi voinut aiheuttaa rekisteröidylle selkeää haittaa. Rekisterinpitäjä oli esittänyt antamassaan selvityksessä, että se on varotoimenpiteenä ohjeistanut entisiä työntekijöitä poistamaan kaiken viestinnän. Tässä yhteydessä rekisterinpitäjä ei selvityksessä saatujen tietojen perusteella ollut kuitenkaan varmistanut, onko yritystoimintaan liittyvä ryhmä esimerkiksi työsuhteen päättyessä poistettu, tai onko työntekijän varmuuskopiosta poistettu yritystä koskeva osio. Asiassa saadun selvityksen perusteella rekisterinpitäjä ei myöskään ollut informoinut rekisteröityjä, eli siivousalan yrityksen asiakkaita, WhatsApp-sovelluksen käytöstä.

Tietosuojavaltuutettu katsoikin ratkaisussaan, ettei WhatsApp-sovelluksen käyttö asiakastietojen välittämisessä yritykseltä työntekijän henkilökohtaiseen puhelimeen vastannut eheyden ja luottamuksellisuuden periaatteeseen, sisäänrakennetun ja oletusarvoisen tietosuojan velvoitteeseen ja käsittelyn turvallisuuteen liittyviä vaatimuksia, eikä rekisterinpitäjä ollut huomioinut, että sen tulee GDPR:n riskiperusteisen lähestymistavan mukaisesti toteuttaa riskejä vastaavat tekniset ja organisatoriset toimenpiteet henkilötietojen riittävän suojaamisen varmistamiseksi. Tietosuojavaltuutettu kiinnitti lisäksi erityistä huomiota siihen, että sovelluksen käyttö oli todennäköisesti johtanut tiedonsiirtoihin Euroopan unionista kolmansiin maihin, mukaan lukien Yhdysvaltoihin. Tietosuojavaltuutettu totesi, että rekisterinpitäjän menettely koskien WhatsApp-pikaviestinpalvelun käyttöä asiakkaiden henkilötietojen käsittelyssä ei ollut GDPR:n mukainen. Rekisterinpitäjälle annettiin GDPR:n mukainen määräys saattaa käsittelytoimet GDPR:n säännösten mukaisiksi sekä GDPR:n mukainen huomautus GDPR:n säännösten vastaisista käsittelytoimista.

Kaikkien yritysten on syytä huomioida, että WhatsApp-palvelun sovellusta käytettäessä sopimussuhde on yksityishenkilön, eli työntekijän ja Facebookin välillä, eivätkä esimerkiksi yksityishenkilön kanssa tehtävään sopimukseen sisältyvät vastuunrajoituslausekkeet ole lähtökohtaisesti yhteensopivia yrityskäytön kanssa. Sovellusta käytettäessä rekisterinpitäjällä ei myöskään ole keinoja valvoa, miten henkilötietoja sovelluksessa käytetään, tai asettaa muutoinkaan sen käytölle rajoituksia.

Rekisteröidyn oikeus tutustua puhelutallenteeseen

Tietosuojavaltuutettu antoi lokakuussa 2021 myös ratkaisun, joka koski rekisterinpitäjän oikeutta tarjota rekisteröidyn ja rekisterinpitäjän välillä käydyn puhelun puhelutallenne rekisteröidylle vain tekstimuodossa.

GDPR:n mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle kaikki tämän henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä sekä yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Kyseisessä tapauksessa tietosuojavaltuutettu katsoi, että rekisteröidyllä oli yksityisenä elinkeinonharjoittajana GDPR:n mukainen oikeus saada tutustua tietoihinsa puhelutallenteen osalta, ja myös ääni katsotaan henkilötiedoksi. Rekisterinpitäjä oli toiminut GDPR:n edellytysten mukaisesti toimittaessaan GDPR:n mukaiset tiedot rekisteröidylle kirjallisessa muodossa. Tietosuojavaltuutettu kiinnitti tapauksessa erityisesti huomiota siihen, että oikeutta saada tutustua tietoihin koskeva pyyntö oli koskenut äänitallennetta, joka piti sisällään tunnistettavissa olevan luonnollisen henkilön henkilötietoa. Kyseessä ei ollut oikeushenkilön henkilötietojen käsittely, koska yksityinen elinkeinonharjoittaja ei ole GDPR:ssä tarkoitettu oikeushenkilö. Tietosuojavaltuutettu katsoikin, että rekisteröidyllä oli GDPR:n mukainen oikeus saada tutustua tietoihin puhelutallenteen osalta.

Tietosuojavaltuutettu toi esille, että rekisterinpitäjällä ei ole aina velvollisuutta toimittaa tietoja alkuperäisessä muodossa, jos tiedot voidaan asianmukaisesti toimittaa myös muulla tapaa, esimerkiksi kirjallisesti. Rekisterinpitäjän on kuitenkin varmistuttava siitä, että muoto, jossa tiedot toimitetaan, on sellainen, että rekisteröity pystyy varmistumaan rekisterinpitäjän käsittelemien henkilötietojen oikeellisuudesta. Mahdollisuus toimittaa tiedot muussa kuin alkuperäisessä muodossa ei kuitenkaan tarkoita, että rekisterinpitäjä voisi muokata toimittamiaan henkilötietoja sellaiseksi, ettei rekisteröidylle toimitettavat tiedot vastaisi tietoja, joita rekisterinpitäjä käsittelee.

Joissain tapauksissa henkilötieto itsessään voi asettaa velvollisuuden toimittaa tiedot tietyssä muodossa. Kun käsiteltävä henkilötieto muodostuu esimerkiksi rekisteröidyn äänestä, rekisteröidyllä voi tietyissä tilanteissa olla oikeus saada tutustua nimenomaisesti ääntä koskevaan tietoon. Nyt kyseessä olleessa asiassa ei kuitenkaan käynyt ilmi sellaisia seikkoja, joiden perusteella olisi katsottava, että tiedot tulisi toimittaa rekisteröidylle äänitallenteena. Tietosuojavaltuutettu katsoi, että oikeus saada tutustua tietoon ääntä koskevan tiedon osalta voidaan toteuttaa niin, että rekisterinpitäjä kirjoittaa auki puhelutallenteen sisällön. Tietosuojavaltuutettu kuitenkin korosti, että aukikirjoitetun litteroinnin on vastattava puhelutallenteen sisältöä, jotta rekisteröity pystyy varmistumaan siitä, että käsiteltävät henkilötiedot ovat lainmukaisia.

Ratkaisuja muualta Euroopasta

Marraskuussa 2021 Alankomaiden tietosuojaviranomainen määräsi valtiovarainministeriölle 2,75 miljoonan euron sakon, koska maan verovirastot olivat käsitelleet useiden vuosien ajan lastenhoidon hoitotukea koskevien hakemusten yhteydessä tietoja hakijoiden kaksoiskansalaisuudesta. Tietoturvaviranomainen totesi, että Alankomaiden kansalaisten kaksoiskansalaisuutta koskevia tietoja ei olisi tarvittu arvioitaessa lastenhoidon hoitotukihakemusta. Lisäksi kyseisiä tietoja oli käsitelty järjestäytyneiden petosten torjunnan ja automaattisen päätöksenteon tarkoituksissa viranomaisen riskijärjestelmässä. Käsittely ei ollut tarpeen myöskään kyseisiin tarkoituksiin. Vero- ja tullihallinnon olisi pitänyt poistaa kaksoiskansalaisuustiedot jo tammikuussa 2014. Silti toukokuussa 2018 yhteensä 1,4 miljoonan henkilön kaksoiskansalaisuustiedot olivat edelleen rekisteröityinä järjestelmiin. Tietosuojaviranomainen totesikin, että tietoja oli käsitelty laittomasti ilman pätevää oikeusperustaa. Lisäksi tietosuojaviranomainen totesi, että rekisteröityjä oli syrjitty heidän kansalaisuutensa perusteella.

Lokakuussa 2021 Espanjan tietosuojaviranomainen määräsi yhtiölle kolmen miljoonan euron sanktion. Yhtiö oli pyytänyt rekisteröidystä tietoja toiselta yritykseltä, vaikka rekisteröity ei ollut ollut yhtiön asiakas vuodesta 2014 lähtien ja hän oli ollut mukana mainoskampanjassa, jossa tarjottiin hänelle yhtiön tarjoamaa ennakkoluottoa. Yhtiö oli käyttänyt kyseisen rekisteröidyn tietoja ilman hänen antamaansa suostumusta arvioidakseen hänen luottokelpoisuuttaan. Tietoja käytettiin rekisteröidyistä taloudellisten profiilin luomiseen ja sen perusteella tiettyjen rahoituspalveluiden (esim. luottokorttien tai lainojen) mainostamiseen hänelle. Tietosuojaviranomainen katsoi, että rekisterinpitäjä ei ollut saanut suostumusta rekisteröidyiltä. Rekisterinpitäjä ei ollut tiedottanut rekisteröidylle myöskään riittävästi tietojen käsittelystä, mukaan lukien profiloinnista. Rekisterinpitäjä oli toimittanut rekisteröidyille vain yleistä tietoa erilaisista profiloinnin käsittelytoimista.

Lokakuussa 2021 Italian tietosuojaviranomainen määräsi yhtiölle reilun kolmen miljoonan euron sanktion laittomasta puhelinmarkkinoinnista. Kymmenet ihmiset väittivät saaneensa ei-toivottuja mainospuheluita ja mainostekstiviestejä sekä suoraan yhtiöltä että muiden yritysten puhelinkeskusten kautta. Tietosuojaviranomainen totesikin, että myynninedistämispuhelut tehtiin ilman, että käyttäjille oli ilmoitettu riittävästi henkilötietojen alkuperästä. Rekisteröidyillä ei täten ollut mahdollisuutta ottaa yhteyttä tiedot keränneeseen yhtiöön ja vastustaa henkilötietojensa käsittelyä. Yhtiö käytti muilta yrityksiltä saamiaan tietoluetteloita myynninedistämistarkoituksiinsa eikä pystynyt tarkistamaan luetteloa rekisteröidyistä, jotka olivat vastustaneet yhteydenottoa mainostarkoituksiin ennen mainospuhelujen tekemistä, minkä takia useat rekisteröidyt saivat mainossoittoja nimenomaisesti antamastaan kiellosta ​​huolimatta. Lisäksi tietosuojaviranomainen totesi, että yhtiö ei ollut asianmukaisesti nimittänyt luetteloiden toimittajia henkilötietojen käsittelijöiksi. Sanktion suuruutta määrittäessään tietosuojaviranomainen otti raskauttavana huomioon muun muassa sen, että rikkomukset koskivat systemaattista toimintaa, joka johtui yhtiön toiminnasta.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai +358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Liikenne- ja viestintävirasto (Traficom) julkaisi syyskuussa palveluntarjoajia ja loppukäyttäjiä koskevan ohjeistuksen, joka koskee evästeitä ja muita käyttäjän päätelaitteille tallennettavia tietoja sekä näiden tietojen käyttöä. Traficomin ohjeistuksen mukainen uusi linjaus on suuri muutos aiempaan kansalliseen tulkintaan ja se vaikuttaa haastavan evästesuostumuksen pyytämiseen liittyviä vakiintuneita standardeja.

Ohjeistuksen tarkoituksena on edistää luottamuksellisuuden toteutumista ja hyviä käytäntöjä evästeiden sekä muiden palvelun käyttöä kuvaavien tietojen tallentamisessa ja käytössä.

Ohjeistus on tarkoitettu kaikille sellaisille tahoille, jotka käyttävät evästeitä tai vastaavia tekniikoita toteuttaessaan sekä tarjotessaan verkkosivustoja tai muita sähköiseen viestintään pohjautuvia palveluja, kuten mobiilisovelluksia. Ohjeistus ei ole kuitenkaan sellaisenaan juridisesti velvoittava, mutta se sisältää valvovan viranomaisen näkemyksen lainmukaisista ja hyväksyttävistä evästekäytännöistä, joista poikkeamalla palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta.

Annamme mielellämme lisätietoja Traficomin ohjeistuksesta ja sen perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).