Ratkaisuja Suomesta

Tietosuojavaltuutettu antoi tammikuussa yhden ratkaisun, joka koski rekisteröidyn oikeutta saada tietonsa poistetuksi ja oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointitarkoituksiin.

Rekisteröity oli vuonna 2014 ostanut silmä- ja aurinkolasit rekisterinpitäjän optikkoliikkeestä, minkä jälkeen loppuvuonna 2017 sekä alkuvuonna 2018 rekisteröity oli alkanut saada rekisterinpitäjältä yhteydenottoja. Rekisteröity pyysi alkuvuonna 2018 rekisterinpitäjää poistamaan rekisteröidyn henkilötiedot ja lopettamaan yhteydenpidon rekisteröityyn. Rekisterinpitäjä oli vastannut rekisteröidylle ja kertonut yrittäneensä puhelimitse tavoitella häntä näöntarkastuskutsun takia, ja samalla ilmoittanut merkinneensä rekisteröidyn tietoihin suoramarkkinointikiellon. Siitä huolimatta rekisteröity oli loppuvuonna 2018 saanut rekisterinpitäjältä postitse suoramarkkinointikirjeen, jonka jälkeen rekisteröity oli ollut uudestaan yhteydessä rekisterinpitäjään ja pyytänyt tietojensa poistamista, mihin rekisterinpitäjä oli vastannut suoramarkkinoinnin johtuneen tietoteknisestä syystä. Tämän jälkeen rekisteröity sai jälleen loppuvuonna 2019 tekstiviestitse suoramarkkinointiviestin rekisterinpitäjältä ja oli jälleen yhteydessä rekisterinpitäjään. Rekisterinpitäjä oli vastannut rekisteröidylle ja kertonut, että hänelle oli merkitty markkinointikielto, mutta teknisestä virheestä johtuen hän oli jälleen saanut suoramarkkinointiviestin.

Yleisen tietosuoja-asetuksen (GDPR) mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja. GDPR:n mukaan rekisteröidyllä on myös oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, jos henkilötietoja käsitellään suoramarkkinointia varten. Jos rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä suoramarkkinointitarkoitukseen.

Tietosuojavaltuutettu katsoi päätöksessään, että rekisterinpitäjä ei ollut toteuttanut rekisteröidyn GDPR:n mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin, vaan rekisteröidyn henkilötietoja oli hänen suoramarkkinointia koskevasta kiellosta huolimatta käsitelty suoramarkkinointitarkoituksiin. Lisäksi rekisterinpitäjä oli vasta rekisteröidyn kolmannen pyynnön jälkeen toimittanut rekisteröidylle tiedon siitä, miksi hänen henkilötietojaan ei voitu poistaa, vaikka GDPR:n mukaan rekisterinpitäjän tulisi toimittaa rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta syy siihen, miksi se ei toteuta rekisteröidyn pyyntöä. Tietosuojavaltuutettu antoikin rekisterinpitäjälle GDPR:n mukaisen huomautuksen GDPR:n mukaisten rekisterinpitäjän velvollisuuksien laiminlyömisestä.

Helmikuussa tietosuojavaltuutettu antoi ratkaisun, joka koski rekisteröidyn oikeutta saada pääsy omiin tietoihinsa ja rekisteröidyn informointia keskusteluiden tallentamisesta. Tietosuojavaltuutettu katsoi, että rekisterinpitäjä ei ollut toteuttanut pyynnön esittäneen rekisteröidyn oikeutta saada pääsy omiin tietoihinsa.

Rekisterinpitäjä oli tallentanut puhelimen ääninauhurilla rekisteröityjen kanssa pidetyn urakan loppukatselmuksen, koska rekisterinpitäjän näkemyksen mukaan oli syytä epäillä, että asiakas tulee esittämään perusteettomia vaatimuksia urakkaan liittyen. Rekisterinpitäjä kertoi nauhurin olleen koko ajan rekisterinpitäjän toimitusjohtajan taskussa ja toimitusjohtajan olleen yksi nauhoitetun keskustelun osapuolista. Rekisterinpitäjä totesi tallenteen olevan tärkeä osa todistusaineistoa edelleen keskeneräisen riitatapauksen käsittelyssä, eikä rekisterinpitäjä luovuta sitä ennen käsittelyn päättymistä.

Tietosuojavaltuutettu antoi rekisterinpitäjälle määräyksen noudattaa rekisteröidyn pyyntöä, joka koskee rekisteröidyn oikeutta saada pääsy omiin tietoihinsa, ja toimittamaan pyynnön esittäneelle rekisteröidylle tätä koskevat tiedot. Tietosuojavaltuutettu katsoi, että äänitallenteen toimittaminen jäljennöksenä ei vaikuta haitallisesti muiden oikeuksiin ja vapauksiin, kuten liikesalaisuuksiin. Lisäksi tietosuojavaltuutettu antoi rekisterinpitäjälle huomautuksen siitä, ettei rekisteröidyille kerrottu ennen äänitallennuksen aloittamista keskustelun nauhoittamisesta, vaan rekisterinpitäjä lähetti tästä tiedon rekisteröidyille vasta myöhemmin sähköpostiviestillä. GDPR:n mukaan henkilötietojen käsittelystä on kerrottava rekisteröidylle siinä yhteydessä, kun henkilötietoja kerätään. Tiedot on toimitettava rekisteröidylle läpinäkyvästi. Jotta rekisteröity saisi läpinäkyvästi tietoa henkilötietojensa käsittelystä, on rekisterinpitäjän toimitettava tieto käsittelystä ennen tietojen käsittelyn aloittamista tai aloittamishetkellä.

Ratkaisuja muualta Euroopasta

Espanjan tietosuojaviranomainen määräsi maaliskuussa yli 8 miljoonan euron sakon Vodafonelle. Yhtiö oli hyväksynyt kansainväliset tietojen siirrot toteuttamatta GDPR:n edellyttämiä riittäviä toimenpiteitä. Lisäksi rekisteröidyille soitettiin markkinointiin liittyviä puheluita ja lähetettiin markkinointitarkoituksissa sähköposti- ja tekstiviestejä ilman rekisteröidyn tähän antamaa suostumusta, myös henkilöille, jotka olivat nimenomaisesti ilmaisseet, etteivät halua vastaanottaa markkinointiviestejä. Tietosuojaviranomainen otti päätöksessään osaltaan huomioon myös sen, että Espanjan tietosuojaviranomainen oli vastaanottanut yhteensä 191 kantelua Vodafonesta vuodesta 2018 lähtien ja yhtiö oli saanut sakkoja yli 50 tapauksessa tammikuusta 2018 helmikuuhun 2020.

Lisäksi Espanjan tietosuojaviranomainen määräsi tammikuussa 6 miljoonan euron sakon CaixaBank SA:lle. Yhtiön eri asiakirjoissa ja kanavissa toimittamat tiedot eivät olleet yhdenmukaisia ja sen tietosuoja-käytännössä ilmaistiin tietoja epätarkasti. CaixaBank ei perustellut riittävästi henkilötietojen käsittelyn oikeudellista perustetta, erityisesti oikeutetun edun perusteella käsiteltyjen tietojen osalta. Yhtiö ei myöskään noudattanut pätevän suostumuksen saamisen vaatimuksia. Henkilötietojen siirtäminen CaixaBank-konserniin kuuluville muille yrityksille oli laitonta.

Saksan tietosuojaviranomainen määräsi tammikuussa yli 10 miljoonan euron sakon elektroniikan jälleenmyyjä notebooksbilliger.de AG:lle. Yhtiö oli valvonut työntekijöitään videokameravalvonnalla vähintään kahden vuoden ajan ilman oikeudellista perustetta. Videokameravalvontaa oli muun muassa työpaikalla, myynti-, varasto- ja virkistysalueilla. Yhtiön kertoman mukaan asennettujen videokameroiden tarkoituksena oli ehkäistä ja tutkia rikoksia sekä seurata tavaroiden liikkumista varastoissa. Varkauksien estämiseksi yhtiön olisi kuitenkin ensin tullut harkita lievempiä menetelmiä. Lainvastainen videokameravalvonta ulottui myös yhtiön asiakkaisiin, koska jotkut videokamerat osoittivat yhtiön myyntialueiden istuinalueille.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Kuluneen syksyn aikana muualla Euroopassa annettiin merkittäviä tietosuojaratkaisuja liittyen Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) rikkomiseen. Tässä blogissa käsitellään lyhyesti Saksan, Iso-Britannian, Italian, Ranskan, Espanjan ja Ruotsin tietosuojaviranomaisten loka-, marras- ja joulukuussa antamia ratkaisuja, joissa eri rekisterinpitäjille määrättiin maksettavaksi miljoonien eurojen suuruisia sakkoja GDPR:n mukaisten velvoitteiden rikkomisesta tai laiminlyönnistä.

Erityisten henkilötietoryhmien käsittely

Saksan tietosuojaviranomainen antoi lokakuussa ratkaisun, jossa ruotsalainen H&M Hennes & Mauritz -vaatekauppaketjulle määrättiin yli 35 miljoonan euron sakko. H&M:n saksalainen tytäryhtiö oli kerännyt tietoja muun muassa sen työntekijöiden sairauksista, lomista ja perhesuhteista sekä uskontoon liittyvistä asioista. Kerätyt tiedot sisälsivät esimerkiksi yksityiskohtaisia kuvauksia työntekijöiden oireista ja heidän saamistaan diagnooseista. Tietoihin pääsi käsiksi noin 50 yhtiön johtotehtävissä toimivaa henkilöä. Tietoja oli kerätty ainakin vuodesta 2014 alkaen siihen saakka, kun tietojen kerääminen paljastui lokakuussa 2019 sattuneen tietoturvaloukkauksen yhteydessä, minkä seurauksena tiedot olivat muutamien tuntien ajan edellä todettua laajemman henkilöjoukon nähtävissä.

Niin sanottuihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kiellettyä. Kyse on tällöin sellaisista tiedoista, joista ilmenee esimerkiksi henkilön uskonnollinen vakaumus, hänen terveyttä koskevia tietoja tai seksuaalinen suuntautuminen. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja on suojeltava erityisen tarkasti, koska niiden käsittely voi aiheuttaa huomattavia riskejä henkilön perusoikeuksille ja -vapauksille.

Tietoturvaloukkaukset

Henkilötietojen tietoturvaloukkauksella tarkoitetaan esimerkiksi tapahtumaa, jonka seurauksena henkilötietoihin pääsee käsiksi sellainen taho, jolla ei ole oikeutta käsitellä niitä. Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi hakkerointi tai kyberhyökkäys. Tietoturvaloukkaus voi johtaa esimerkiksi identiteettivarkauteen tai petokseen. Rekisterinpitäjän on suojattava henkilötiedot niin, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Lisäksi rekisterinpitäjän on varauduttava mahdollisiin tietoturvaloukkauksiin laatimalla toimintaohjeet tietoturvaloukkaustilanteita varten. Tietoturvaloukkauksiin on pystyttävä reagoimaan mahdollisimman nopeasti.

Iso-Britannian tietosuojaviranomainen antoi lokakuussa ratkaisun, jossa British Airways -lentoyhtiö määrättiin maksamaan yli 22 miljoonan euron sakko, koska se ei ollut suojannut yli 400 000 asiakkaansa henkilötietoja. Yhtiö käsitteli merkittävää määrää henkilötietoja ilman riittäviä turvatoimenpiteitä. Yhtiöön kohdistui vuonna 2018 kyberhyökkäys, jota se ei havainnut yli kahteen kuukauteen sen tapahtumisesta, ja silloinkin kolmannen osapuolen tekemän ilmoituksen perusteella. Tietomurtajan arveltiin päässeen käsiksi yli 400 000 tuhannen yhtiön asiakkaan ja henkilökunnan henkilötietoihin, jotka sisälsivät joidenkin rekisteröityjen osalta muun muassa tiedon heidän nimestä, osoitteesta, maksukortin numerosta ja sen turvakoodista (CVC-koodi). Tietosuojaviranomainen katsoi, että mikäli yhtiö olisi selvittänyt ja toteuttanut riittävät tekniset ja organisatoriset turvatoimenpiteet, olisi satoihin tuhansiin henkilöihin kohdistunut kyberhyökkäys voitu estää. Teknisillä ja organisatorisilla toimenpiteillä tarkoitetaan esimerkiksi henkilöstölle annettuja ohjeita tietosuojan toteuttamisesta, omavalvonnan kautta tapahtuvaa käytönvalvontaa, tietojärjestelmien tietoturvaa, tietojen salausta ja muita suojatoimenpiteitä.

Iso-Britannian tietosuojaviranomainen määräsi myös yli 20 miljoonan sakon Marriott Internationalille, joka oli vuonna 2016 ostanut Starwood Hotels and Resorts Worldwide -yhtiön, johon tehtiin kyberhyökkäys vuonna 2014. Hyökkäys kohdistui arviolta 339 miljoonan henkilön henkilötietoihin maailmanlaajuisesti ja yhteensä noin seitsemään miljoonaan isobritannialaiseen. Hyökkäyksen kohteeksi joutuneet henkilötiedot sisälsivät muun muassa tiedon rekisteröidyn nimestä, sähköpostiosoitteesta, puhelinnumerosta ja passin numerosta. Hyökkäys havaittiin alun perin vasta syyskuussa 2018, jolloin Marriot ilmoitti asiasta tietosuojaviranomaiselle ja rekisteröidyille. Tietosuojaviranomainen katsoi, että Marriott ei ollut toteuttanut riittäviä ​​teknisiä ja organisatorisia turvatoimenpiteitä henkilötietojen suojaamiseksi. Marriottin katsottiin epäonnistuneen muun muassa tilien ja tietokantojen valvonnassa sekä henkilötietojen salaamisessa.

Lisäksi Iso-Britannian tietosuojaviranomainen tuomitsi yli 1,4 miljoonan euron sakon Ticketmasterille siitä, että se oli laiminlyönyt sen asiakkaiden henkilötietojen suojaamisen. Tietosuojaviranomainen katsoi, ettei yhtiö ollut ottanut käyttöön asianmukaisia ​​turvatoimenpiteitä estääkseen sen online-maksusivulle asennettuun chatbotiin kohdistuneen kyberhyökkäyksen, jonka yhteydessä tietomurtaja pääsi käsiksi yhtiön asiakkaiden maksukorttien tietoihin. Hyökkäyksen kohteeksi joutui arviolta yli yhdeksän miljoonaa yhtiön asiakasta Euroopassa, ja noin 1,5 miljoonaa asiakasta Isossa-Britanniassa. Verkkohyökkäyksen seurauksena noin 60 000 tietyn pankin asiakasta joutui petoksen kohteeksi. Tietosuojaviranomainen katsoikin, että Tickermaster ei ollut arvioinut chatbotin käyttöön liittyviä riskejä eikä se ollut tunnistanut ja toteuttanut asianmukaisia turvatoimia niiden välttämiseksi.

Henkilötietojen käsittelyn peruste, säilytysaika ja rekisteröidyn oikeusien toteuttaminen

Rekisteröidyllä on oikeus saada tietoa hänen henkilötietojensa keräämisestä sekä käsittelystä. Rekisteröidylle on kerrottava muun muassa se, kuka on rekisterinpitäjä, mukaan lukien sen yhteystiedot, mihin tarkoituksiin hänen tietojaan käsitellään, millä perustella ja kuinka kauan sekä siirretäänkö tietoja Euroopan unionin ja Euroopan talousalueen ulkopuolelle. Rekisteröidyllä on oikeus saada pääsy omiin tietoihinsa ja lisäksi rekisteröidyllä on tietyissä tilanteissa oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat tiedot ilman aiheetonta viivytystä.

Italian tietosuojaviranomainen määräsi marraskuussa yli 12 miljoonan euron sakon Vodafonelle GDPR:n mukaisten tietosuojaperiaatteiden rikkomisesta ja miljoonien rekisteröityjen henkilötietojen luvattomasta käsittelystä puhelinmarkkinointitarkoituksiin. Yhtiö käytti markkinointipuheluiden soittamiseen sellaisia väärennettyjä puhelinnumeroita, joita ei ollut rekisteröity viestintäoperaattoreiden rekisteriin. Yhtiö sai sen yhteistyökumppaneilta markkinointiluetteloita, jotka sisälsivät yli 4,5 miljoonan henkilön henkilötiedot, jotka oli kerätty ilman rekisteröityjen antamia asianmukaisia suostumuksia.Yhtiö ei myöskään ollut ottanut käyttöön riittäviä turvatoimenpiteitä sen käyttämissä järjestelmissä. Sen työntekijät pyysivät rekisteröityjä lähettämään henkilöllisyystodistuksia WhatsAppin välityksellä.

Vodafone määrättiin ottamaan käyttöön sellaiset järjestelmät, jotka osoittavat, että sen puhelinmarkkinointitarkoituksiin tapahtuva henkilötietojen käsittely perustuu GDPR:n mukaisesti annettuun suostumukseen sekä toteuttamaan tiukempia turvatoimenpiteitä että toimittamaan todisteet muun muassa siitä, että sen markkinointipuhelut soitetaan yhtiön oman myyntiverkoston kautta ja yhtiön nimiin rekisteröidyistä puhelinnumeroista. Lisäksi Vodafonea kiellettiin jatkamasta sellaisten henkilötietojen käsittelyä markkinointi- tai muihin kaupallisiin tarkoituksiin, mitkä on saatu kolmannelta osapuolelta, joka ei ole saanut asianmukaista suostumusta henkilötietojen käsittelyyn markkinointitarkoituksiin.

Ranskan tietosuojaviranomainen määräsi marraskuussa yli kahden miljoonan euron sakon suurelle ja monikansalliselle vähittäiskauppa Carrefourille siitä, että sen konserniin kuuluvat yhtiöt olivat rikkoneet rekisteröidyn informointivelvollisuutta, evästeiden käyttöä, tietojen säilyttämisen rajoittamista ja rekisteröidyn oikeuksien käyttämistä koskevia GDPR:n säännöksiä. Tietosuojaviranomainen katsoi, että yhtiöiden verkkosivustojen välityksellä käyttäjille toimitetut tiedot eivät olleet helposti saatavilla ja helposti ymmärrettäviä, eivätkä ne sisältäneet tietoa tietojen säilytysajasta. Käyttäjille annetut tiedot olivat riittämättömiä myös liittyen tietojen siirtämiseen Euroopan unionin ulkopuolelle. Evästeet asetettiin automaattisesti käyttäjien koneisiin ennen heidän antamaa suostumusta. Yhtiöt eivät myöskään noudattaneet niiden määrittämiä tietojen säilytysaikoja. Niiden hallussa oli henkilötietoja yli 28 miljoonasta sellaisesta asiakkaasta, joka oli ollut passiivinen 5–10 vuotta. Tietosuojaviranomainen katsoi yhtiöiden määrittelemä neljän vuoden säilytysaika oli niin ikään kohtuuton. Lisäksi yhtiöt eivät vastanneet useisiin rekisteröityjen esittämiin pyyntöihin koskien heidän pääsyä omiin henkilötietoihin ja niiden poistamista.

Espanjan tietosuojaviranomainen määräsi joulukuussa Banco Bilbao Vizcaya Argentarialle yhteensä viiden miljoonan euron sakon siitä, kun se ei antanut riittäviä tietoja käsiteltävistä henkilötietoryhmistä, erityisesti liittyen niihin asiakastietoihin, joita se sai ja käsitteli tarjoamiensa tuotteiden ja palveluiden yhteydessä. Yhtiö ei myöskään hankkinut rekisteröidyiltä asianmukaisia suostumuksia markkinointitekstiviestien lähettämiseen ennen niiden lähettämistä, eikä sillä ollut käytössä sellaista mekanismia, jolla se olisi varmistanut asianmukaisen suostumuksen saamisen.

Suostumuksen antaminen evästeiden käyttöön

Evästeet ovat pieniä tekstitiedostoja, joita tallennetaan käyttäjän laitteelle tämän vieraillessa verkkosivustolla. Evästeitä voidaan hyödyntää esimerkiksi markkinoinnin kohdentamiseen, mihin tarvitaan kuitenkin käyttäjän suostumus. Jotta suostumus täyttää GDPR:n edellytykset, käyttäjällä on oltava tilaisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot. Käyttäjälle tulee antaa selkeät ja kattavat tiedot evästeistä. GDPR:n mukaista suostumusta evästeiden käytölle ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.

Ranskan tietosuojaviranomainen määräsi joulukuussa Google LLC:lle ja Google Irlannille yhteensä 100 miljoonan euron sakot siitä, että ne olivat asettaneet automaattisesti mainosevästeitä google.fr-sivustolla vierailevien käyttäjien laitteisiin ilman heidän antamaa etukäteistä suostumusta sekä antamatta riittäviä tietoja siitä, miten evästeitä käytetään. Kun käyttäjä vieraili google.fr-sivustolle, sen alaosassa näkyi informointibanneri, jossa oli "Googlen tietosuojamuistutus" -huomio, jonka edessä oli kaksi painiketta: "Muistuta minua myöhemmin" ja "Avaa nyt" . Banneri ei antanut käyttäjälle tietoja evästeistä, jotka oli kuitenkin jo asetettu hänen tietokoneelleen. Sakon määrässä otettiin huomioon muun muassa yhtiöiden digitaalisesta mainonnasta saamat merkittävät tuotot, ja se, että edellä mainitut käytännöt vaikuttivat lähes 50 miljoonaan käyttäjään.

Lisäksi Ranskan tietosuojaviranominen määräsi Amazon Europe Corelle 35 miljoonan euron sakot evästeiden käyttämisestä automaattisesti amazon.fr-sivustolla ilman käyttäjien tähän antamaa etukäteistä suostumusta. Useita evästeitä käytettiin mainontaan. Lisäksi, riippumatta siitä, mitä kautta käyttäjät tulivat sivustolla, heille joko ilmoitettiin riittämättömästi, tai heille ei koskaan ilmoitettu siitä, että evästeet oli asetettu heidän käyttämälleen laitteelle. Sivuston informointibannerissa todettiin: "Käyttämällä tätä vsivustoa hyväksyt evästeiden käytön, jonka avulla voimme tarjota ja parantaa palveluitamme. Lue lisää. ” Yhtiön tarjoamat lisätiedot sisälsivät vain yleistä tietoa kaikkien asetettujen evästeiden tarkoituksista. Tietosuojaviranomainen katsoikin, että bannerin avulla käyttäjä ei voinut ymmärtää, että hänen tietokoneelleen asetettuja evästeitä käytettiin pääasiassa personoitujen mainosten näyttämiseen. Käyttäjälle ei myöskään kerrottu mahdollisuudesta kieltäytyä evästeistä, ja siitä, miten se tehdään. Sakon määrässä otettiin huomioon muun muassa se, että yhtiön pääasiallinen toiminta oli kulutustuotteiden myynti, ja evästeet mahdollistivat sen tuotteiden mainoksien näkyvyyden merkittävän kasvun muilla sivustoilla, sekä se, että miljoonia ranskassa asuvia vieraili päivittäin amazon.fr-sivustolla.

Vaikutustenarvioinnin tekeminen ja terveystietojen käsittely

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Vaikutustenarviointi on tehtävä silloin, kun suunniteltu tietojen käsittely aiheuttaa todennäköisesti korkean riskin rekisteröidyn oikeuksille ja vapauksille. Vaikutustenarviointi on tehtävä esimerkiksi silloin, kun käsitellään laajamittaisesti erityisiä henkilötietoryhmiä, kuten terveystietoja.

Ruotsin tietosuojaviranomainen määräsi lukuisia GDPR:n mukaisia sakkoja joulukuussa. Yhdessä tapauksessa se tuomitsi lähes kolmen miljoonan euron sakon Capio St. Göran’s -sairaalalle riittämättömien teknisten ja organisatoristen toimenpiteiden toteuttamatta jättämisestä. Sairaala oli esimerkiksi laiminlyönnit GDPR:n mukaisen vaikutustenarvioinnin tekemisen, ts. se ei ollut arvioinut, mitä rekisteröidyn vapauksia ja oikeuksia käsittely voi vaarantaa, ja mitä vahinkoja rekisteröidylle voi aiheutua suunnitellusta henkilötietojen käsittelystä. Se ei ollut myöskään määritellyt niitä henkilöitä, jotka käsittelevät työssään terveystietoja, eikä se täten ollut varmistanut, että niitä käsittelevien henkilöiden piiri olisi mahdollisimman rajattu.

Myös ruotsalaiselle Aleris Sjukvård AB:lle, joka tarjoaa terveydenhuollon ja diagnostiikan palveluja, määrätiin yli miljoonan sakko samankaltaisista rikkomuksista. Yhtiö oli laiminlyönyt vaikutustenarvioinnin tekemisen. Se ei ollut arvioinut ja määrittänyt niitä henkilöitä, joilla on pääsy sen potilaiden terveydentilatietoihin. Tietosuojaviranomainen totesikin, että yhtiön vastuulla oli tarvittavien teknisten ja organisatoristen toimenpiteiden toteuttaminen.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Ratkaisu Suomesta

Tietosuojavaltuutettu antoi elokuussa lainvoimaa vailla olevan ratkaisun, joka koski vuokratun kohteen ostotarjousta pohtivalle ilmoitettavia vuokrasopimuksen tietoja ja tietojen minimointia. Tietosuojavaltuutettu katsoi ratkaisussa, että rekisterinpitäjä ei ollut vuokrattuna myytävän asunnon esittelyssä suorittamassaan vuokralaisen henkilötietojen käsittelyssä noudattanut yleisen tietosuoja-asetuksen (GDPR) mukaista tietojen minimoinnin periaatetta. Täten tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen huomautuksen.

Tietojen minimoinnin periaatteen mukaisesti henkilötietojen on oltava asianmukaisia ja olennaisia sekä rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Euroopan tietosuojaneuvoston antamien käytännön ohjeiden mukaan on ensin selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Kaikkien käsiteltävien henkilötietojen on oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi.

Tietosuojavaltuutettu totesi ratkaisussaan muun muassa vuokralaisen henkilötunnuksen osalta, että asiassa ei esitetty mitään sellaista, joka osoitti vuokralaisen henkilötunnuksen välittämisen asuntonäytön yhteydessä ostotarjousta pohtivalle henkilölle olevan välttämätöntä sen varmistamiseksi, että tuleva vuokranantaja voisi ostotarjousta pohtiessaan varmistua vuokralaisen luotettavuudesta. Tietosuojavaltuutettu katsoi myös, ettei vuokralaisen sähköpostiosoitteen välittäminen näyttämällä vuokrasopimusta ostotarjousta pohtivalle, mahdolliselle tulevalle vuokranantajalle, ilman vuokralaisen suostumusta, ollut perusteltua. Edellä todettu koski myös vuokralaisen puhelinnumeroa.

Ratkaisu muualta Euroopasta

Ranskan tietosuojaviranomainen määräsi 250.000 euron sakon rekisterinpitäjänä toimivalle yhtiölle, joka myi kenkiä verkossa, koska yhtiö ei ollut noudattanut tietojen minimoinnin periaatetta. Yhtiö oli muun muassa nauhoittanut kaikki asiakkaiden kanssa käydyt puhelinkeskustelut (mukaan lukien osoitteet ja pankkitiedot) ja tallentanut asiakkaiden pankkitiedot osittain salaamattomana.

Yhtiön käsittelemille henkilötiedoille ei ollut määritelty säilytysaikoja. Yhtiö ei ollut poistanut sellaisten asiakkaiden henkilötietoja, jotka eivät olleet kirjautuneet käyttäjätililleen yli 10 vuoteen. Lisäksi yhtiö oli säilyttänyt yli kolmen miljoonan sellaisen mahdollisen asiakkaan henkilötietoja, jotka eivät olleet olleet aktiivisia yli viiteen vuoteen. Yhtiön tietosuojaseloste oli myös ollut puutteellinen muun muassa käsittelyperusteiden osalta, eivätkä yhtiön työntekijät olleet saaneet asianmukaisesti tietoa siitä, että heidän asiakkaiden kanssa käymänsä puhelinkeskustelut nauhoitetaan.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.