Etusivu Uutiset Suomessa on määrätty ensimmäiset seuraamusmaksut tietosuojarikkomuksista – Mitä niistä voidaan oppia?

Suomessa on määrätty ensimmäiset seuraamusmaksut tietosuojarikkomuksista – Mitä niistä voidaan oppia?

29.05.2020

Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt ensimmäistä kertaa Suomessa seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Annettujen päätösten kohteena olevissa tapauksissa puutteita havaittiin mm. rekisteröityjen informoinnissa, vaikutustenarvioinnin tekemisessä sekä tietojen minimoinnissa ja osoitusvelvollisuuden toteuttamisessa. Päätökset eivät ole lainvoimaisia.

Rekisteröityjen puutteellinen informointi ja henkilötietojen käsittelyn läpinäkyvyys

Ensimmäinen päätöksistä koski puutteellista informointia. Posti Oy ei ollut riittävällä tavalla informoinut rekisteröityjä tietosuojalainsäädännön mukaisista oikeuksista, joihin lukeutuu esimerkiksi oikeus vastustaa henkilötietojen käsittelyä suoramarkkinointiin. Rekisteröidyt olivat saaneet muuttoilmoituksen täyttämisen jälkeen suoramarkkinointiin liittyviä yhteydenottoja eri yrityksiltä. Rekisterinpitäjän katsottiin laiminlyöneen rekisteröityjen informoinnille asetettuja vaatimuksia ja samalla myös henkilötietojen käsittelyn läpinäkyvyyden periaatteen noudattamisen, joka on yksi tietosuoja-asetuksen keskeisimmistä periaatteista. Rikkomus koski pelkästään vuoden 2019 aikana arviolta noin 161 000 rekisteröityä.

Seuraamusmaksun suuruus: 100 000 euroa.

Työntekijöiden sijaintitietojen käsittely ja vaikutustenarvioinnin tekemättä jättäminen

Toisessa tapauksessa Kymen Vesi Oy oli käsitellyt työntekijöidensä sijaintitietoja paikantamalla ajoneuvoja ajotietojärjestelmän avulla. Tällä tavalla saatuja tietoja käytettiin muun muassa työajanseurantaan. Tapauksessa katsottiin olevan kyse sijaintitietojen järjestelmällisestä valvonnasta, ja valvonnan kohteena olevien työntekijöiden katsottiin olevan heikommassa asemassa suhteessa rekisterinpitäjänä olevaan työnantajaan. Rekisterinpitäjän olisi tullut tehdä tietosuoja-asetuksen mukainen vaikutustenarviointi ennen sijaintitietojen käsittelyn aloittamista.

Tietosuoja-asetus edellyttää vaikutustenarvioinnin tekemistä aina, kun käsittelystä todennäköisesti seuraa korkea riski henkilön oikeuksille ja vapauksille. Lisäksi tietosuojavaltuutettu on julkaissut luettelon käsittelytoimien tyypeistä, joiden yhteydessä on aina suoritettava vaikutustenarviointi.  Tietosuojavaltuutetun toimiston luettelon mukaan vaikutustenarviointi on suoritettava esimerkiksi ennen sijaintitietojen käsittelyä, jos sijaintitietoja käytetään järjestelmälliseen valvontaan, ja käsittely kohdistuu rekisterinpitäjään nähden heikommassa asemassa olevien rekisteröityjen sijaintitietoihin.

Seuraamusmaksun suuruus: 16 000 euroa.

Tarpeettomien henkilötietojen kerääminen

Kolmannessa tapauksessa kyseessä oli työnhakijoiden ja työntekijöiden henkilötietojen tarpeettomasta keräämisestä. Yritys oli kerännyt henkilötietolomakkeella tietoja muun muassa henkilön uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. Esimerkiksi tiedot henkilön terveydentilasta tai uskonnollisesta vakaumuksesta ovat tietosuoja-asetuksen nojalla erityisiin henkilötietoryhmiin (arkaluontoisiin) katsottavia tietoja, joiden käsittely on sallittua vain tietosuoja-asetuksen mukaisella poikkeusperusteella. Lisäksi työelämän tietosuojalain mukaan työnantaja saa käsitellä vain työntekijän työsuhteen kannalta tarpeellisia tietoja. Tapauksessa tietojen kerääminen ei täyttänyt lain edellyttämää tarpeellisuusvaatimusta.

Tapauksessa todettiin puutteita myös tietosuoja-asetuksen mukaisen osoitusvelvollisuuden noudattamisessa. Yritys ei kyennyt osoittamaan noudattavansa tietosuoja-asetusta työntekijöiden ja työnhakijoiden henkilötietoja käsiteltäessä.

Seuraamusmaksun suuruus: 12 500 euroa. Tämän lisäksi seuraamuskollegio velvoitti yrityksen poistamaan tarpeettomat henkilötiedot ja antoi huomautuksen puutteellisesta dokumentoinnista (osoitusvelvollisuuden laiminlyönti).

Mitä tapauksista voidaan oppia?

Kyseessä ovat ensimmäiset seuraamusmaksut Suomessa tietosuoja-asetuksen rikkomisesta. Annetut päätökset voivat auttaa määrittämään seuraamusmaksujen suuruutta, mutta eivät vielä linjaa seuraamuksia enemmälti. Joka tapauksessa nyt viimeistään kannattaa tarkastella omia prosesseja myös käytännön tasolla ja laittaa dokumentaatio tietosuoja-asetuksen edellyttämälle tasolle. Päätöksessäkin todetaan, että tietämättömyys lain sisällöstä ei vapauta vastuusta.

  • Osoitusvelvollisuus: Rekisterinpitäjän pitää pystyä osoittamaan tietosuojasääntelyn noudattaminen. Tämä edellyttää riittävää dokumentaatiota.
  • Informointi: kerro läpinäkyvästi henkilötietojen käsittelystä. Kiinnitä erityistä huomiota siihen, että rekisteröidyt ymmärtävät, mihin tarkoituksiin heidän tietojaan voidaan käsitellä, ja mitä oikeuksia heillä on missäkin käsittelytilanteessa.
  • Tarpeellisuus: Kiinnitä huomiota kerättyjen tietojen tarpeellisuuteen (tietojen minimoinnin vaatimus).
  • Vaikutustenarviointi: Tee vaikutustenarviointi, jos käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn oikeuksille ja vapauksille. Tarkista myös tietosuojavaltuutetun toimiston luettelo käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi.
  • Käsittelyperusteet: Varmista juridiset perusteet käsittelylle. Jos olet aikeissa käsitellä arkaluontoisia tietoja, varmista erityisperusteet, ja huolehdi vaikutustenarvioinnista sekä muista velvoitteista.

Lisätietoja:

Tietosuojavaltuutetun toimiston uutinen tietosuoja-asetuksen nojalla annetuista seuraamusmaksuista

Tietosuojavaltuutetun päätös luetteloksi käsittelytoimista, joiden yhteydessä on tehtävä vaikutuksenarviointi

Annamme mielellämme lisätietoja:
Markus Myhrberg, osakas, puh. +358 40 505 5343, [email protected]

Ville Kukkonen, Senior Associate, CIPP/E, puh. +358 40 745 6784, [email protected]

Back to Top