Ratkaisu Suomesta
Tietosuojavaltuutettu antoi elokuussa lainvoimaa vailla olevan ratkaisun, joka koski vuokratun kohteen ostotarjousta pohtivalle ilmoitettavia vuokrasopimuksen tietoja ja tietojen minimointia. Tietosuojavaltuutettu katsoi ratkaisussa, että rekisterinpitäjä ei ollut vuokrattuna myytävän asunnon esittelyssä suorittamassaan vuokralaisen henkilötietojen käsittelyssä noudattanut yleisen tietosuoja-asetuksen (GDPR) mukaista tietojen minimoinnin periaatetta. Täten tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen huomautuksen.
Tietojen minimoinnin periaatteen mukaisesti henkilötietojen on oltava asianmukaisia ja olennaisia sekä rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Euroopan tietosuojaneuvoston antamien käytännön ohjeiden mukaan on ensin selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Kaikkien käsiteltävien henkilötietojen on oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi.
Tietosuojavaltuutettu totesi ratkaisussaan muun muassa vuokralaisen henkilötunnuksen osalta, että asiassa ei esitetty mitään sellaista, joka osoitti vuokralaisen henkilötunnuksen välittämisen asuntonäytön yhteydessä ostotarjousta pohtivalle henkilölle olevan välttämätöntä sen varmistamiseksi, että tuleva vuokranantaja voisi ostotarjousta pohtiessaan varmistua vuokralaisen luotettavuudesta. Tietosuojavaltuutettu katsoi myös, ettei vuokralaisen sähköpostiosoitteen välittäminen näyttämällä vuokrasopimusta ostotarjousta pohtivalle, mahdolliselle tulevalle vuokranantajalle, ilman vuokralaisen suostumusta, ollut perusteltua. Edellä todettu koski myös vuokralaisen puhelinnumeroa.
Ratkaisu muualta Euroopasta
Ranskan tietosuojaviranomainen määräsi 250.000 euron sakon rekisterinpitäjänä toimivalle yhtiölle, joka myi kenkiä verkossa, koska yhtiö ei ollut noudattanut tietojen minimoinnin periaatetta. Yhtiö oli muun muassa nauhoittanut kaikki asiakkaiden kanssa käydyt puhelinkeskustelut (mukaan lukien osoitteet ja pankkitiedot) ja tallentanut asiakkaiden pankkitiedot osittain salaamattomana.
Yhtiön käsittelemille henkilötiedoille ei ollut määritelty säilytysaikoja. Yhtiö ei ollut poistanut sellaisten asiakkaiden henkilötietoja, jotka eivät olleet kirjautuneet käyttäjätililleen yli 10 vuoteen. Lisäksi yhtiö oli säilyttänyt yli kolmen miljoonan sellaisen mahdollisen asiakkaan henkilötietoja, jotka eivät olleet olleet aktiivisia yli viiteen vuoteen. Yhtiön tietosuojaseloste oli myös ollut puutteellinen muun muassa käsittelyperusteiden osalta, eivätkä yhtiön työntekijät olleet saaneet asianmukaisesti tietoa siitä, että heidän asiakkaiden kanssa käymänsä puhelinkeskustelut nauhoitetaan.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.