Etusivu Tietosuoja Kooste vuoden 2024 merkittävistä tietosuojaa koskevista asioista

Kooste vuoden 2024 merkittävistä tietosuojaa koskevista asioista

31.01.2025

Kooste vuoden 2024 merkittävistä tietosuojaa koskevista asioista

Olemme koostaneet käyttöösi vuoden 2024 merkittävimmät tietosuojaa koskevat uutiset sekä katsauksen oikeuskäytäntöön ja tietosuojavaltuutetun päätöksiin.

Uutiskatsaus

  • Henkilötietojen suullinen käsittely
  • Ohjeluonnos oikeutetusta edusta
  • Meta-pikseleiden käyttö verkkosivustolla
  • Suostumuksen pyytäminen evästeiden käyttöön

Myös suulliseen henkilötietojen käsittelyyn sovelletaan GDPR:ää

Tuotantoyhtiö Endemol Shine Finland oli pyytänyt Etelä-Savon käräjäoikeudelta tietoja erään kilpailuun osallistuneen henkilön mahdollisista rikostuomioista. Käräjäoikeus kieltäytyi luovuttamasta tietoja, minkä jälkeen Endemol Shine Finland valitti päätöksestä Itä-Suomen hovioikeuteen. Hovioikeus pyysi ennakkoratkaisua Euroopan unionin tuomioistuimelta (CJEU).

Maaliskuussa 2024 CJEU totesi, että suullinen henkilötietojen luovutus on GDPR:n mukaista henkilötietojen käsittelyä, jos tiedot ovat osa rekisteriä tai ne on tarkoitus sisällyttää rekisteriin. Tuomioistuin myös katsoi, että rikostuomioihin liittyviä tietoja ei voida luovuttaa ilman erityistä perusteltua intressiä, riippumatta siitä, onko pyytäjä yritys vai yksityishenkilö. Lisäksi tuomiossa otettiin kantaa julkisuusperiaatteen ja henkilötietojen suojan suhteeseen.

Yrityksissä on tärkeää huomioida linjaus, että tietosuojalainsäädännön velvoitteet koskevat myös suullista käsittelyä. Kertomalla henkilötiedoista suullisesti ei voida välttää GDPR:ää.  

Lisätietoja: gdprhub.eu2 ja eur-lex.europa.eu

Euroopan tietosuojaneuvoston ohjeluonnos oikeutetusta edusta

Euroopan tietosuojaneuvosto (EDPB) julkaisi lokakuussa 2024 ohjeluonnoksen, joka selventää oikeutetun edun käsitettä ja sen soveltamista GDPR:n mukaisesti.

Keskeisimmät kohdat ohjeluonnoksessa ovat kolmen vaatimuksen täyttyminen:

  • Oikeutetun edun olemassaolo: rekisterinpitäjän tai kolmannen osapuolen on osoitettava, että heillä on oikeutettu etu.
  • Käsittelyn tarpeellisuus: henkilötietojen käsittelyn on oltava tarpeellista oikeutetun edun toteutumiseksi.
  • Tasapainotesti: Rekisterinpitäjän on varmistettava, että yksilöiden edut tai perusoikeudet eivät ylitä rekisterinpitäjän tai kolmannen osapuolen oikeutettuja etuja. Tämä varmistetaan tasapainotestillä.

Ohjeessa kerrotaan, kuinka arviointi käytännössä tulee tehdä. Esimerkkitilanteina ohjeessa käsitellään esimerkiksi petoksentorjuntaa, suoramarkkinointia ja tietoturvallisuutta. Lisäksi ohje selventää oikeutetun edun ja yksilöiden tietosuojaoikeuksien välistä suhdetta.

Kannattaa tarkistaa, että oman organisaation oikeutettuun etuun perustuva käsittely täyttää yllä mainitut edellytykset ja tasapainotesti on tehty.

Lisätietoja: EDPB:n lausunto ja ohjeet  ja Tietosuojavaltuutetun toimiston tiedote

Meta-pikseleiden käyttö verkkosivustolla

Ruotsin tietosuojaviranomainen (Integritetsskyddsmyndigheten, IMY) määräsi seuraamusmaksun eräälle pankille Meta-pikselien käytöstä. Pankki käytti Meta-pikseleitä verkkosivustollaan ja sovelluksessaan. Meta-pikselit keräsivät ja siirsivät tietoja, kuten asiakkaiden arvopaperiomistuksia ja tilinumeroita, Meta Platforms Inc:lle (aiemmin Facebook Inc.) useiden vuosien ajan.

Kesäkuussa 2024 IMY totesi, että pankki ei ollut toteuttanut asianmukaisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen suojaamiseksi. IMY määräsi pankille 15 miljoonan kruunun (noin 1,3 miljoonan euron) seuraamusmaksun.

Onkin tärkeää varmistaa, että kaikki yrityksen käyttämät analytiikka- ja markkinointityökalut ovat GDPR:n mukaisia ja että henkilötietojen suojaaminen on huomioitu.

Lisätietoja: IMY

Suostumuksen pyytäminen evästeiden käyttöön

Helsingin hallinto-oikeus hylkäsi kahden yhtiön valitukset Traficomin päätöksistä, jotka koskivat evästeiden käyttöä yhtiöiden verkkosivustoilla.

Traficom oli velvoittanut kaksi yhtiötä muuttamaan evästekäytäntöjään siten, että personointievästeiden, toimitusevästeiden ja chat-evästeiden käyttö edellyttää käyttäjän aktiivista suostumusta. Yhtiöt olivat alun perin tulkinneet, että edellä mainitut evästeet ovat välttämättömiä, eikä niiden käyttöön lain mukaan tarvitse pyytää käyttäjän suostumusta.

Lisäksi Traficom määräsi, että verkkosivustojen suostumushallintatyökalut oli muutettava siten, että käyttäjän oli mahdollista kieltäytyä muiden kuin välttämättömien evästeiden käytöstä suostumushallintatyökalun ensimmäisellä tasolla.

Hallinto-oikeus katsoi, että molempien yhtiöiden käyttämät suostumushallintatyökalut olivat lainvastaisia, koska evästeistä kieltäytyminen oli tehty hankalammaksi kuin niiden käyttöön suostuminen.

Korkein hallinto-oikeus ei myöntänyt valituslupaa, joten hallinto-oikeuden päätös jäi voimaan.

On syytä varmistaa, että yrityksen evästekäytännöt ja suostumuksenhallintatyökalu vastaavat lainsäädännön vaatimuksia. 

Lisätietoja: Tuomioistuinlaitos

Lexia Asianajotoimisto auttaa sinua ja yritystäsi noudattamaan tietosuojalainsäädäntöä. Olethan yhteydessä asiantuntijoihimme, mikäli voimme tarjota asiantuntemustamme!

Artikkelin kirjoittaja: Erika Leinonen, Counsel, [email protected]

Lisää aiheesta

EU:n tekoälyasetuksen velvoitteita voimaan helmikuussa 2025

Tekoälyasetus (EU 2024/1689) tuli voimaan 1.8.2024. EU:n […]

Lexian HR-webinaari: Työoikeuden ajankohtaisaamu keskiviikkona 11.12.2024 klo 9.00–10.00

Vuoden viimeisessä webinaarissamme käymme läpi, millä edellytyksillä […]

Uusi tekoälysäädös voimaan 1.8.2024 – tiedätkö jo, mikä se on ja keitä se koskee?

Tekoälysäädös Euroopan unionin parlamentti hyväksyi 13.3.2024 tekoälysäädöksen, […]

EU-sääntely muuttuu ja data-asetus mullistaa

Miten luomme uutta liiketoimintaa ja kilpailukykyä Suomeen […]

Back to Top