Ratkaisuja Suomesta

Helsingin hallinto-oikeus antoi huhtikuussa kaksi tietosuojaa koskevaa ratkaisua, joissa se kumosi kaksi Liikenne- ja viestintäviraston (Traficom) tekemää päätöstä, jotka koskivat verkkosivustojen evästekäytäntöjä. Hallinto-oikeuden arvioitavana oli erityisesti kysymys siitä, voitiinko evästeiden käytölle vaadittava suostumus katsoa annetun verkkosivuston käyttäjän päätelaitteen verkkoselainten asetuksilla, jotka sallivat evästeiden käytön.

Ratkaisuissaan hallinto-oikeus katsoi, että sähköisen viestinnän palveluista annetussa laissa tarkoitettua evästeiden käytölle vaadittavaa suostumusta on tulkittava samalla tavalla kuin yleisessä tietosuoja-asetuksessa (GDPR) tarkoitettua suostumusta. Hallinto-oikeuden mukaan sellaista verkkosivuston evästekäytäntöä, jossa suostumus saadaan verkkosivuston käyttäjän päätelaitteen verkkoselaimen asetuksilla, jotka sallivat yleisesti eri tarkoituksiin kerättävien evästeiden käytön, ei voitu pitää GDPR:n edellyttämällä tavalla verkkosivuston käyttäjän yksilöitynä ja tietoisena suostumuksena. Täten Traficom.fi-verkkosivuston ja yksityisen tahon ylläpitämän verkkosivuston evästekäytännöt eivät olleet evästeiden käyttöön vaadittavan suostumuksen osalta lainmukaisia.

Evästesuostumuksen tulkintaan liittyvän asian lisäksi hallinto-oikeus vahvisti myös sen, että Traficom on toimivaltainen viranomainen evästesääntelyn eli sähköisen viestinnän palveluista annetun lain tulkitsemiseen ja sen noudattamisen valvontaan.

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi vuorostaan huhtikuussa antamassaan ratkaisussa pysäköintioperaattorina toimivalle rekisterinpitäjälle 75 000 euron suuruisen sakon tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä. Rikkomuksissa oli kyse muun muassa rekisteröidyn oikeuksien toteuttamatta jättämisestä, puutteista tietojen säilytysajan rajoittamisessa ja rekisteröidyn tunnistamiseen liittyvistä käytännöistä. Seuraamusmaksun määräämistä tuki osaltaan valvontaviranomaiselle tehtyjen kanteluiden määrä sekä laatu. Kyse ei ollut yksittäisistä kanteluista ja niihin liittyvistä erimielisyyksistä vaan vakiintuneesta useamman vuoden kestäneestä toimintatavasta ja täten järjestelmällisestä GDPR:n rikkomisesta.

Rekisterinpitäjä oli muun muassa säännönmukaisesti vaatinut tietoa henkilötunnuksesta rekisteröidyn tunnistamiseksi, vaikka sillä ei ollut alun perinkään tiedossa henkilötunnuksia, joten rekisterinpitäjä ei voinut verrata rekisteröidyn ilmoittamaa henkilötunnusta sillä jo hallussaan olevaan tietoon. Henkilötunnus oli kuitekin vaadittu kaikilta rekisteröidyiltä, jotka olivat halunneet käyttää GDPR:n mukaisia oikeuksiaan. Rekisterinpitäjän katsottiin käsitelleen rekisteröidyn tunnistamiseksi laajempaa joukkoa henkilötietoja kuin rekisteröidyn tunnistamiseksi oli tarpeen. Rekisterinpitäjä toimi täten vastoin GDPR:n mukaista tietojen minimoinnin periaatetta. Lisäksi havaittiin puutteita tavoissa, joilla rekisterinpitäjä informoi rekisteröityjä heidän henkilötietojensa käsittelystä. Rekisterinpitäjä laiminlöi myös asettaa sellaiset tietojen säilyttämistä koskevat säilytysajat, taikka tällaisten aikojen määrittämiskriteerit, joiden nojalla rekisteröidyn olisi ollut mahdollista ymmärtää, kuinka kauan tiettyjä henkilötietoja säilytetään.

Ratkaisussa tuotiin esille se, ettei säilytyksen rajoittamiseen, tietojen minimointiin, rekisteröidyn oikeuteen saada pääsy tietoihin ja saada tietonsa poistetuiksi liittyviä vaatimuksia voitu pitää vaikeasti tulkittavina. Asiassa annettujen selvitysten ja vastausten perusteella katsottiinkin, että rekisterinpitäjä ei ollut riittävällä tavalla perehtynyt voimassa olevaan lainsäädäntöön ja sitä koskeviin tulkintaohjeisiin, mikä osaltaan osoitti rikkomusten tarkoituksellisuutta. Rekisteröityjen yhteydenotoista ja tietosuojavaltuutetun toimiston selvityspyynnöistä huolimatta rekisterinpitäjä oli lisäksi edelleen jatkanut samanlaista henkilötietojen käsittelyä.

Ratkaisussa otettiin huomioon myös se, että rekisterinpitäjä saama taloudellinen hyöty on ollut sitä suurempi, mitä useampi annettu yksityisoikeudellinen pysäköinninvalvontamaksu on suoritettu, mihin liittyen viitattiin esimerkkiin sellaisista lopulta suoritettavista yksityisoikeudellisista pysäköinninvalvontamaksuista, joita koskevia reklamaatioita rekisterinpitäjä ei suostunut käsittelemään. Mikäli kyseisissä tilanteissa yksityisoikeudellinen pysäköinninvalvontamaksu annettiin tosiasiallisesti virheellisesti, mutta se lopulta kuitenkin suoritettiin, sai rekisterinpitäjä tällöin itselleen perusteetonta taloudellista hyötyä.

Toukokuussa annetussa ratkaisussa ​ oli vuorostaan kyse siitä, että tieto rekisterinpitäjän työntekijän sairauslomasta oli julkaistu rekisterinpitäjän verkkosivuilla. Rekisterinpitäjä ei ollut oma-aloitteisesti tehnyt tapahtuneesta tietoturvaloukkauksesta ilmoitusta tietosuojavaltuutetun toimistolle. Rekisterinpitäjä oli kuitenkin työntekijän pyynnön johdosta poistanut tiedon verkkosivuilta ja korvannut sen tiedolla ”toistaiseksi poissaoleva”. Tieto ehti olla näkyvillä verkkosivuilla noin 12–24 tuntia. Tiedon päivitys rekisterinpitäjän verkkosivuille oli johtunut inhimillisestä virheestä, ja toimitusjohtaja määräsi tiedon poistettavaksi välittömästi, kun kävi ilmi, että tällainen tieto oli julkistettu. Verkkosivuilla olleen tiedon työntekijän sairauslomasta oli nähnyt analytiikkatyökalun mukaan neljä henkilöä, joista yksi oli ollut selvityspyynnön liitteen mukaan työntekijä itse ja toinen rekisterinpitäjä. Täten tiedon oli voinut nähdä korkeintaan kaksi ulkopuolista henkilöä. Työntekijän terveydentilasta, sairausloman syystä tai pituudesta ei julkaistu verkkosivuilla mitään tietoja.

Ratkaisussa todettiin, ettei rekisterinpitäjä ollut täyttänyt GDPR:n mukaista velvollisuuttaan ilmoittaa tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle. Rekisterinpitäjä oli myös laiminlyönyt velvollisuuden dokumentoida tietoturvaloukkaus siten kuin GDPR:ssä edellytetään. Tapauksessa verkkosivujen kautta annettiin sivullisille luvaton pääsy työntekijän terveydentilaa koskevaan henkilötietoon, ja tällöin apulaistietosuojavaltuutetun käsityksen mukaan oli selvää, että oli tapahtunut GDPR:ssä tarkoitettu henkilötietojen tietoturvaloukkaus.

Rekisterinpitäjä laiminlöi myös GDPR:n mukaisen velvollisuuden dokumentoida tapahtunut tietoturvaloukkaus, eikä se voinut osoittaa, että GDPR:ää olisi noudatettu arvioitaessa tapahtunutta tietoturvaloukkausta. Apulaistietosuojavaltuutettu korostikin GDPR:n mukaisen dokumentointi-velvollisuuden merkitystä. Vaikka rekisterinpitäjä riskiarvioinnissaan tulisikin siihen tulokseen, että ilmoitusta tietosuojavaltuutetulle ja/ tai rekisteröidyille ei tarvitse tehdä, tulee edellä mainittua dokumentointivelvollisuutta kuitenkin noudattaa, jotta tietosuojavaltuutetun toimisto voi tarvittaessa dokumentoinnin pohjalta tarkistaa, että riskejä on kuitenkin arvioitu asianmukaisesti ja GDPR:ää on noudatettu.

Tapauksessa oli kuitenkin kyse inhimillisestä virheestä, minkä jälkeen rekisterinpitäjä oli ryhtynyt korjaaviin toimenpiteisiin ja poistanut tiedon sairauslomasta heti havaittuaan menettelyn virheelliseksi. Koska virhe oli havaittu melko nopeasti ja tapaus oli jäänyt kestoltaan lyhyeksi, olivat myös haitat jääneet melko vähäisiksi ottaen huomioon, että tieto sairauslomasta oli päätynyt hyvin todennäköisesti vain kahdelle tuntemattomaksi jääneelle henkilölle. Kokonaisarvioinnissa merkitystä annettiin myös sille, että rekisterinpitäjä oli pieni perheyritys, joka työllisti seitsemän henkilöä eikä sen ydinliiketoimintaan kuulunut henkilötietojen käsittely. Täten rekisterinpitäjän tahallisuutta tai tuottamusta tapauksessa voitiin pitää melko vähäisenä, minkä takia apulaistietosuojavaltuutettu katsoikin, että kyse oli GDPR:ssä tarkoitetusta vähäisestä rikkomisesta, ja seuraamukseksi sakon sijaan rekisterinpitäjälle voitiin antaa huomautus.

Ratkaisuja muualta Euroopasta

Espanjan tietosuojaviranomainen määräsi toukokuussa yhteensä 1,5 miljoonan euron suuruisen sakon rekisterinpitäjälle, kun se ei ollut toteuttanut teknisiä ja organisatorisia toimenpiteitä varmistaakseen, että henkilöllä, joka vuokrasi palvelun toisen luonnollisen henkilön puolesta, oli valtuutus sopia asiasta tämän toisen henkilön puolesta. Rekisterinpitäjä ei myöskään ollut toteuttanut teknisiä ja organisatorisia toimenpiteitä varmistaakseen, oliko henkilö, jonka valtuuttamana toinen henkilö toimi, antanut suostumuksensa henkilötietojensa käsittelyyn myös muihin tarkoituksiin. Täten tietosuojaviranomainen katsoi, että rekisterinpitäjä oli rikkonut GDPR:ää ja sille määrättiin 500 000 euron sakko.

Lisäksi tietosuojaviranomainen katsoi, että asiakirja, jolla oli tarkoitus toimittaa tietoja rekisteröidyille, ei tarjonnut riittävästi tietoja rekisterinpitäjästä, käsittelyn oikeusperusteesta, joka ei perustunut suostumukseen, käsittelyn tarkoituksista, jotka liittyivät profilointiin oikeutetun edun perusteella, eikä mahdollisuudesta vastustaa sellaista henkilötietojen käsittelyä, joka perustui rekisterinpitäjän oikeutettuun etuun. Täten tietosuojaviranomainen katsoi, että GDPR:ää oli rikottu ja määräsi tästä vielä rekisterinpitäjälle yhden miljoonan euron suuruisen sakon.

Lisäksi Espanjan tietosuojaviranomainen määräsi huhtikuussa yhden miljoonan euron suuruisen sakon rekisterinpitäjälle tapauksessa, jossa se oli saanut 96 valitusta rekisterinpitäjästä koskien ​​rekisteröityjen henkilötietojen sisällyttämisestä, liittyen väitettyihin velkoihin, ilman heidän suostumustaan ​​ja joissakin tapauksissa ilman, että tällaiset tiedot olivat täsmällisiä. Päätöksessä korostettiin erityisesti sitä, että tiedot olivat julkisesti saatavissa, alun perin julkistettuina julkishallinnon ja julkisoikeudellisten yhteisöjen asiakirjoissa, ja ne oli julkaistu uutiskirjeiden tai sanomalehtien kautta. Rekisterinpitäjä rikkoi GDPR:ää ja rekisterinpitäjän velvollisuutta toimittaa rekisteröidyille tietoja heidän henkilötiedoistaan, mikäli ​​tietoja ei saatu rekisteröidyltä itseltään. Päätöksessä korostettiin myös, että rekisterinpitäjän oikeutettua etua ei voitu pitää pätevänä oikeusperusteena henkilötietojen käsittelylle.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Euroopan komissio hyväksyi 4.6.2021 uudet mallisopimuslausekkeet, joita tulee jatkossa käyttää Euroopan unionin alueella rajat ylittävässä henkilötietojen käsittelyssä. Uudet mallisopimuslausekkeet ovat yhdenmukaisia ​​Schrems II -ratkaisun mukaisten tiedonsiirtovaatimusten kanssa. Voit lukea ratkaisusta tarkemmin aiemmista kirjoituksistamme täältä ja täältä. Uusia mallisopimuslausekkeita on mahdollista käyttää 27.6.2021 lukien.

Miten uudet mallisopimuslausekkeet eroavat aiemmista mallisopimuslausekkeista?

Uusissa mallisopimuslausekkeissa on otettu aiempaa huomattavasti kattavampi lähestymistapa tietojen siirtämisen hallintaan. Uudet mallisopimuslausekkeet sisältävät erilliset määräykset tiedonsiirtoihin, jotka tapahtuvat rekisterinpitäjältä toiselle rekisterinpitäjälle, rekisterinpitäjältä henkilötietojen käsittelijälle, henkilötietojen käsittelijältä rekisterinpitäjälle sekä henkilötietojen käsittelijältä toiselle henkilötietojen käsittelijälle, mitä on erityisesti toivottu ICT-palveluiden tarjoamiseen liittyen, koska niiden yhteydessä henkilötietojen käsittelijä käytännössä usein suorittaa tarvittavat tiedonsiirrot. Aiemmin rekisterinpitäjän on ollut tarpeen sopia mallisopimuslausekkeista suoraan tietojen siirtäjän kanssa, tai valtuuttaa henkilötietojen käsittelijä tekemään sen rekisterinpitäjän puolesta.

Uudet mallisopimuslausekkeet edellyttävät, Schrems II -tuomion mukaisesti, että henkilötietoja kolmansiin maihin siirtävien organisaatioiden on tehtävä tarkat arvioinnit tietosuojan tasosta asianomaisissa kolmansissa maissa. Uudet mallisopimuslausekkeet velvoittavat sopimusosapuolia osoittamaan, ettei niillä ole ollut syytä uskoa perusteellisen tietojen siirtämisen kokonaisarvioinnin perusteella, että kolmannen maan lait ja/tai käytännöt heikentäisivät mallisopimuslausekkeiden turvaamaa henkilötietojen käsittelyä kolmannessa maassa. Tehty arviointi tulee dokumentoida ja kyseinen dokumentaatio on toimitettava toimivaltaisen tietosuojaviranomaisen saataville sen pyynnöstä.

Uudet mallisopimuslausekkeet selventävät sen, että yritysten tulee voida luottaa riskiperusteiseen lähestymistapaan arvioidessaan siirrettyjen tietojen suojaamisen tasoa, ottaen huomioon aiempi käytännön kokemus viranomaisten esittämistä tietojen luovutuspyynnöistä. Asiaankuuluvaa käytännön kokemusta tulee tukea riittävän säännöllisesti laadituilla sisäisillä asiakirjoilla, jotka yrityksen ylemmän johdon tulee sertifioida.

Kun uusia mallisopimuslausekkeita aletaan käyttää rekisterinpitäjän ja henkilötietojen käsittelijän tai käsitellijän ja sen alikäsittelijän välillä, on lisäksi hyvä huomioida se, että ne voivat toimia myös tietojenkäsittelysopimuksena, mikä tarkoittaa sitä, ettei erillistä tietojenkäsittelysopimusta välttämättä siinä tapauksessa tarvita, koska tarpeelliset seikat on huomioitu jo mallisopimuslausekkeilla.

Käytännössä kaikkien sellaisten EU:n sisällä toimivien organisaatioiden, jotka harjoittavat rajat ylittävää liiketoimintaa tai käyttävät kansainvälisiä ICT-palveluja, tulee alkaa valmistautua uusien mallisopimuslausekkeiden käyttöönottoon. Yritysten tulee arvioida henkilötietojen tietoturvan taso kolmannessa maassa jo ennen uusien mallisopimuslausekkeiden ottamista käyttöön.

Koska uudet mallisopimuslausekkeet tulee ottaa käyttöön?

Euroopan komission päätökseen sisältyy siirtymäkausi, jonka mukaan vanhoja mallisopimuslausekkeita voidaan hyödyntää uusissa sopimuksissa 26.9.2021 saakka ja 27.9.2021 alkaen tulee käyttää uusia mallisopimuslausekkeita. Jo tehdyissä sopimuksissa voidaan vuorostaan hyödyntää vanhoja mallisopimuslausekkeita 27.12.2022 asti, minkä jälkeen yritysten on viimeistään korvattavat vanhat mallisopimuslausekkeet uusilla mallisopimuslausekkeilla.

Euroopan komission päätöksessä todetaan kuitenkin, että henkilötietojen käsittelytoimien on pysyttävä muuttumattomina ja niihin on sovellettava asianmukaisia ​​suojatoimenpiteitä edellä todetuista siirtymäajoista huolimatta. Siirtymäaika ei täten vapauta yrityksiä suorittamasta Schrems II -ratkaisuun perustuvia velvoitteita asianmukaisten suojatoimien arvioimisesta ja varmistamisesta nykyisissäkin sopimussuhteissa.

Annamme mielellämme lisätietoja uusista mallisopimuslausekkeista ja avustamme niiden ottamisessa käyttöön. Asiaan liittyen voit olla yhteydessä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Ratkaisuja Suomesta

Tietosuojavaltuutettu antoi tammikuussa yhden ratkaisun, joka koski rekisteröidyn oikeutta saada tietonsa poistetuksi ja oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointitarkoituksiin.

Rekisteröity oli vuonna 2014 ostanut silmä- ja aurinkolasit rekisterinpitäjän optikkoliikkeestä, minkä jälkeen loppuvuonna 2017 sekä alkuvuonna 2018 rekisteröity oli alkanut saada rekisterinpitäjältä yhteydenottoja. Rekisteröity pyysi alkuvuonna 2018 rekisterinpitäjää poistamaan rekisteröidyn henkilötiedot ja lopettamaan yhteydenpidon rekisteröityyn. Rekisterinpitäjä oli vastannut rekisteröidylle ja kertonut yrittäneensä puhelimitse tavoitella häntä näöntarkastuskutsun takia, ja samalla ilmoittanut merkinneensä rekisteröidyn tietoihin suoramarkkinointikiellon. Siitä huolimatta rekisteröity oli loppuvuonna 2018 saanut rekisterinpitäjältä postitse suoramarkkinointikirjeen, jonka jälkeen rekisteröity oli ollut uudestaan yhteydessä rekisterinpitäjään ja pyytänyt tietojensa poistamista, mihin rekisterinpitäjä oli vastannut suoramarkkinoinnin johtuneen tietoteknisestä syystä. Tämän jälkeen rekisteröity sai jälleen loppuvuonna 2019 tekstiviestitse suoramarkkinointiviestin rekisterinpitäjältä ja oli jälleen yhteydessä rekisterinpitäjään. Rekisterinpitäjä oli vastannut rekisteröidylle ja kertonut, että hänelle oli merkitty markkinointikielto, mutta teknisestä virheestä johtuen hän oli jälleen saanut suoramarkkinointiviestin.

Yleisen tietosuoja-asetuksen (GDPR) mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja. GDPR:n mukaan rekisteröidyllä on myös oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, jos henkilötietoja käsitellään suoramarkkinointia varten. Jos rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä suoramarkkinointitarkoitukseen.

Tietosuojavaltuutettu katsoi päätöksessään, että rekisterinpitäjä ei ollut toteuttanut rekisteröidyn GDPR:n mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin, vaan rekisteröidyn henkilötietoja oli hänen suoramarkkinointia koskevasta kiellosta huolimatta käsitelty suoramarkkinointitarkoituksiin. Lisäksi rekisterinpitäjä oli vasta rekisteröidyn kolmannen pyynnön jälkeen toimittanut rekisteröidylle tiedon siitä, miksi hänen henkilötietojaan ei voitu poistaa, vaikka GDPR:n mukaan rekisterinpitäjän tulisi toimittaa rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta syy siihen, miksi se ei toteuta rekisteröidyn pyyntöä. Tietosuojavaltuutettu antoikin rekisterinpitäjälle GDPR:n mukaisen huomautuksen GDPR:n mukaisten rekisterinpitäjän velvollisuuksien laiminlyömisestä.

Helmikuussa tietosuojavaltuutettu antoi ratkaisun, joka koski rekisteröidyn oikeutta saada pääsy omiin tietoihinsa ja rekisteröidyn informointia keskusteluiden tallentamisesta. Tietosuojavaltuutettu katsoi, että rekisterinpitäjä ei ollut toteuttanut pyynnön esittäneen rekisteröidyn oikeutta saada pääsy omiin tietoihinsa.

Rekisterinpitäjä oli tallentanut puhelimen ääninauhurilla rekisteröityjen kanssa pidetyn urakan loppukatselmuksen, koska rekisterinpitäjän näkemyksen mukaan oli syytä epäillä, että asiakas tulee esittämään perusteettomia vaatimuksia urakkaan liittyen. Rekisterinpitäjä kertoi nauhurin olleen koko ajan rekisterinpitäjän toimitusjohtajan taskussa ja toimitusjohtajan olleen yksi nauhoitetun keskustelun osapuolista. Rekisterinpitäjä totesi tallenteen olevan tärkeä osa todistusaineistoa edelleen keskeneräisen riitatapauksen käsittelyssä, eikä rekisterinpitäjä luovuta sitä ennen käsittelyn päättymistä.

Tietosuojavaltuutettu antoi rekisterinpitäjälle määräyksen noudattaa rekisteröidyn pyyntöä, joka koskee rekisteröidyn oikeutta saada pääsy omiin tietoihinsa, ja toimittamaan pyynnön esittäneelle rekisteröidylle tätä koskevat tiedot. Tietosuojavaltuutettu katsoi, että äänitallenteen toimittaminen jäljennöksenä ei vaikuta haitallisesti muiden oikeuksiin ja vapauksiin, kuten liikesalaisuuksiin. Lisäksi tietosuojavaltuutettu antoi rekisterinpitäjälle huomautuksen siitä, ettei rekisteröidyille kerrottu ennen äänitallennuksen aloittamista keskustelun nauhoittamisesta, vaan rekisterinpitäjä lähetti tästä tiedon rekisteröidyille vasta myöhemmin sähköpostiviestillä. GDPR:n mukaan henkilötietojen käsittelystä on kerrottava rekisteröidylle siinä yhteydessä, kun henkilötietoja kerätään. Tiedot on toimitettava rekisteröidylle läpinäkyvästi. Jotta rekisteröity saisi läpinäkyvästi tietoa henkilötietojensa käsittelystä, on rekisterinpitäjän toimitettava tieto käsittelystä ennen tietojen käsittelyn aloittamista tai aloittamishetkellä.

Ratkaisuja muualta Euroopasta

Espanjan tietosuojaviranomainen määräsi maaliskuussa yli 8 miljoonan euron sakon Vodafonelle. Yhtiö oli hyväksynyt kansainväliset tietojen siirrot toteuttamatta GDPR:n edellyttämiä riittäviä toimenpiteitä. Lisäksi rekisteröidyille soitettiin markkinointiin liittyviä puheluita ja lähetettiin markkinointitarkoituksissa sähköposti- ja tekstiviestejä ilman rekisteröidyn tähän antamaa suostumusta, myös henkilöille, jotka olivat nimenomaisesti ilmaisseet, etteivät halua vastaanottaa markkinointiviestejä. Tietosuojaviranomainen otti päätöksessään osaltaan huomioon myös sen, että Espanjan tietosuojaviranomainen oli vastaanottanut yhteensä 191 kantelua Vodafonesta vuodesta 2018 lähtien ja yhtiö oli saanut sakkoja yli 50 tapauksessa tammikuusta 2018 helmikuuhun 2020.

Lisäksi Espanjan tietosuojaviranomainen määräsi tammikuussa 6 miljoonan euron sakon CaixaBank SA:lle. Yhtiön eri asiakirjoissa ja kanavissa toimittamat tiedot eivät olleet yhdenmukaisia ja sen tietosuoja-käytännössä ilmaistiin tietoja epätarkasti. CaixaBank ei perustellut riittävästi henkilötietojen käsittelyn oikeudellista perustetta, erityisesti oikeutetun edun perusteella käsiteltyjen tietojen osalta. Yhtiö ei myöskään noudattanut pätevän suostumuksen saamisen vaatimuksia. Henkilötietojen siirtäminen CaixaBank-konserniin kuuluville muille yrityksille oli laitonta.

Saksan tietosuojaviranomainen määräsi tammikuussa yli 10 miljoonan euron sakon elektroniikan jälleenmyyjä notebooksbilliger.de AG:lle. Yhtiö oli valvonut työntekijöitään videokameravalvonnalla vähintään kahden vuoden ajan ilman oikeudellista perustetta. Videokameravalvontaa oli muun muassa työpaikalla, myynti-, varasto- ja virkistysalueilla. Yhtiön kertoman mukaan asennettujen videokameroiden tarkoituksena oli ehkäistä ja tutkia rikoksia sekä seurata tavaroiden liikkumista varastoissa. Varkauksien estämiseksi yhtiön olisi kuitenkin ensin tullut harkita lievempiä menetelmiä. Lainvastainen videokameravalvonta ulottui myös yhtiön asiakkaisiin, koska jotkut videokamerat osoittivat yhtiön myyntialueiden istuinalueille.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.