Tietosuoja- ja tietoturva -uutiskirje kevät 2024
13.02.2024
AJANKOHTAISTA
- Tietosuojalain sekä rikosasioiden tietosuojalain muutokset tulivat voimaan 1.1.2024
- EUT: Pelko henkilötietojen mahdollisesta väärinkäytöstä tietoturvaloukkauksen jälkeen voi oikeuttaa vahingonkorvauksiin
- Ostotietojen säilyttämistä koko asiakassuhteen ajan ei voitu pitää tarpeellisena
- Hallinto-oikeus: henkilöllä ei ole oikeutta saada tietoja työntekijöistä, jotka ovat tarkastelleet hänen asiakastietojaan
- Yrityshakemiston ylläpitäjälle seuraamusmaksu puhelutallenteiden antamista koskevista rikkomuksista
- Oppilaitokselle huomautus opiskelijoiden henkilötietojen luovuttamisesta suoramarkkinointia varten
Tietosuojalain sekä rikosasioiden tietosuojalain muutokset tulivat voimaan 1.1.2024
Eduskunta hyväksyi vuoden 2023 lopussa muutoksia tietosuojalakiin sekä rikosasioiden tietosuojalakiin. Lakimuutokset tulivat voimaan 1.1.2024.
Muutosten yhteydessä henkilötunnusten käsittelyä koskevaa sääntelyä selkiytettiin. Lakiin lisättiin uusi säännös, jonka mukaan henkilön tunnistamiseen ei saa käyttää ainoastaan henkilötunnusta tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmää, sillä näiden tietojen esittäminen ei vielä takaa sitä, että kyseessä on henkilötunnuksen tarkoittama henkilö. Säännöksen tarkoituksena ei ole muuttaa nykyistä oikeustilaa, sillä tietosuojavaltuutetun toimisto on jo ennen lakimuutosta katsonut, ettei henkilötietojen käsittely vastannut tietosuojalainsäädännön vaatimuksia tilanteessa, jossa henkilö tunnistautui pelkän henkilötunnuksen ja nimensä yhdistelmällä terveydenhuollon sähköisessä ajanvarausjärjestelmässä. Näin ollen henkilön tunnistaminen tulee tapahtua esimerkiksi vahvana tunnistamisena.
Toisen keskeinen muutos on, että jatkossa tietosuojavaltuutetun toimiston on ratkaistava kanteluasia tai ilmoitettava henkilölle arvio ratkaisun ajankohdasta kolmen kuukauden kuluessa siitä, kun asia on tullut vireille. Mikäli tietosuojavaltuutetun toimisto ei täytä velvoitteitaan annetussa määräajassa, henkilö voi tehdä niin sanotun passiivisuusvalituksen hallinto-oikeudelle. Kyseisen muutoksen tarkoituksena on tehostaa valituksen tehneen henkilön oikeussuojakeinoja.
Lisäksi tietosuojavaltuutetun päätöksentekoa koskevaa sääntelyä muutetaan siten, että jatkossa se voi siirtää ratkaisuvaltaa esittelijöinä toimiville virkamiehille asioissa, joissa lain soveltamiskäytäntö on vakiintunut. Ratkaisuvallan siirtäminen edellyttää myös, ettei asian ratkaiseminen sen oikeudellisesta luonteesta tai sisällöstä johtuen edellytä esittelyä tietosuojavaltuutetulle.
Lisätietoja: Tietosuojavaltuutetun toimisto ja lakimuutoksen käsittelytiedot
EUT: Pelko henkilötietojen mahdollisesta väärinkäytöstä tietoturvaloukkauksen jälkeen voi oikeuttaa vahingonkorvauksiin
Euroopan unionin tuomioistuin (EUT) on antanut ratkaisun koskien niitä syitä, joiden vuoksi tietoturvaloukkauksen kohteeksi joutunut henkilö voi hakea rekisterinpitäjältä vahingonkorvauksia. Ratkaisussa EUT linjasi, että tietoturvaloukkauksessa vuotaneiden tietojen mahdollinen tuleva väärinkäytös voi olla sellainen vahinko, josta rekisterinpitäjä joutuu maksamaan vahingonkorvauksia.
Tapauksessa Bulgarian veroviranomaisen tietojärjestelmiin oli tehty kyberhyökkäys, jonka seurauksena miljoonien ihmisten henkilötietoja julkaistiin verkossa. Hyökkäyksen jälkeen useat sellaiset loukkauksen kohteeksi joutuneet henkilöt, joiden tietoja ei ollut julkaistu verkossa, vaativat korvauksia heidän tietojensa vaarantumisesta. Bulgarian korkein hallinto-oikeus pyysi EUT:lta ennakkoratkaisua siitä, voiko tietojen mahdollinen tuleva väärinkäytös muodostaa sellaisenaan oikeuden vahingonkorvauksiin.
EUT katsoi, että pelko tietojen mahdollisesta tulevasta väärinkäytöksestä voi sellaisenaan muodostaa vahingon, joka tulee korvattavaksi vahingonkorvauksena. EUT kuitenkin täsmensi, että pelon täytyy olla objektiivisesti perusteltu, jotta se voisi oikeuttaa vahingonkorvaukseen. Lisäksi EUT totesi, että organisaatio voi vapautua vahingonkorvausvastuusta, jos se pystyy osoittamaan, ettei se ole millään tavalla vastuussa tietoturvaloukkauksesta ja sen turvaamistoimet tietoturvaloukkausten estämiseksi ovat olleet asianmukaisia sekä riittäviä.
Tapaukseen liittyen tietosuojavaltuutetun toimisto muistutti, että vahinkoa kärsineen henkilön tulee esittää korvausvaatimuksensa suoraan tietosuojalainsäädäntöä rikkoneelle organisaatiolle ja, mikäli tämä ei suostu vaatimuksiin, käräjäoikeudelle. Näin ollen vahingonkorvausta ei voi hakea tietosuojavaltuutetun toimiston kautta.
Lisätietoja: Tietosuojavaltuutetun toimisto ja EUT:n tuomio
Ostotietojen säilyttämistä koko asiakassuhteen ajan ei voitu pitää tarpeellisena
Tietosuojavaltuutettu antoi huomautuksen kaupan alan toimijalle, koska yrityksen käytänteet henkilötietojen säilyttämisestä eivät olleet tietosuojalainsäädännön mukaisia.
Kyseinen toimija oli katsonut voivansa säilyttää asiakkaidensa yksityiskohtaisia ostotietoja tunnistettavassa ja henkilöön yhdistettävässä muodossa koko asiakassuhteen ajan, joka kyseisessä tapauksessa kanta-asiakasohjelman takia olisi voinut olla kymmeniä vuosia. Tietoja käytettiin muun muassa liiketoiminnan kehittämiseen, etujen ja palvelujen tarjoamiseen sekä markkinoinnin toteuttamiseen ja kohdentamiseen. Asiakkaat olivat itse voineet tarkastella kyseisiä tietoja korkeintaan viiden vuoden ajalta.
Tietosuojavaltuutettu totesi, että henkilötiedoille tulee määritellä käyttötarkoitukseensa nähden mahdollisimman lyhyt säilytysaika. Tietosuojavaltuutettu katsoi, ettei yksityiskohtaisten ostotietojen säilyttäminen koko asiakassuhteen ajan ollut niiden käyttötarkoitukseen nähden tarpeellista, ja näin ollen käytäntö oli tietosuojalainsäädännön vastainen.
Tietosuojavaltuutettu muistutti myös, että rekisteröidyille on oltava selvää, mihin käyttötarkoitukseen tietoja kerätään ja kuinka kauan niitä säilytetään. Lisäksi rekisteröidyllä tulee olla mahdollisuus vaikuttaa siihen, missä laajuudessa häntä koskevia tietoja kerätään.
Lisätietoja: Tietosuojavaltuutetun toimisto
Hallinto-oikeus: Henkilöllä ei ole oikeutta saada tietoja työntekijöistä, jotka ovat tarkastelleet hänen asiakastietojaan
Itä-Suomen hallinto-oikeus on antanut ratkaisun koskien tarkastusoikeutta lokitietoihin. Tapauksessa pankin asiakas pyysi saada tietoonsa henkilöt, jotka olivat tarkastelleet hänen asiakastietojaan pankin sisäisessä tarkastuksessa. Pankki kieltäytyi ilmoittamasta kyseisten työntekijöiden henkilöllisyyksiä sillä perusteella, että nämä tiedot eivät olleet kysyjän omia henkilötietoja. Asiakas kanteli pankin menettelystä tietosuojavaltuutetun toimistolle. Apulaistietosuojavaltuutettu kuitenkin hylkäsi asiakkaan vaatimukset, koska hänen pyytämänsä tiedot eivät olleet häntä koskevia tietoja vaan työntekijöitä koskevia henkilötietoja. Asiakas valitti apulaistietosuojavaltuutetun päätöksestä hallinto-oikeuteen.
Hallinto-oikeus arvioi tapausta Euroopan unionin tuomioistuimen (EUT) antaman ratkaisun avulla. EUT oli ratkaisussaan todennut, että rekisteröidyllä on oikeus saada tietää henkilötietojensa käsittelyn ajankohdat sekä syyt. Lisäksi EUT oli linjannut, että rekisteröidyllä voi olla oikeus saada hänen henkilötietojaan käsitelleiden työntekijöiden henkilötietoja, mikäli tietojen antaminen on välttämätöntä sen varmistamiseksi, että hänen henkilötietojaan on käsitelty tietosuojalainsäädännön mukaisesti. Toisaalta EUT oli katsonut, että työntekijöiden henkilöllisyyttä koskevien tietojen antaminen rekisteröidylle voi loukata kyseisten työntekijöiden henkilötietojen suojaa, jonka vuoksi tietojen antamisen tarpeellisuutta tulee punnita tapauskohtaisesti.
Nyt kyseessä olleessa tapauksessa hallinto-oikeus katsoi, että pankin olisi antamiensa tietojen lisäksi tullut antaa asiakkaalle tiedot hänen henkilötietojensa käsittelyn ajankohdista. Tätä vastoin hallinto-oikeus katsoi, ettei asiakas tarvinnut työntekijöiden nimiä sen varmistamiseksi, että hänen henkilötietojaan oli käsitelty tietosuojalainsäädännön edellyttämällä tavalla.
Päätöksestä voi vielä valittaa korkeimpaan hallinto-oikeuteen, jos tämä myöntää valitusluvan.
Lisätietoja: Hallinto-oikeuden ratkaisu
Yrityshakemiston ylläpitäjälle seuraamusmaksu puhelutallenteiden antamista koskevista rikkomuksista
Tietosuojavaltuutetun toimisto määräsi hallinnollisen seuraamusmaksun yrityshakemiston ylläpitäjälle, koska yhtiö ei ollut toimittanut puhelutallenteita niitä pyytäneille henkilöille tietosuojalainsäädännön mukaisesti. Yhtiö ei myöskään ollut noudattanut apulaistietosuojavaltuutetun aiempaa määräystä korjata toimintansa lainmukaiseksi.
Tapauksessa useat elinkeinonharjoittajat olivat pyytäneet yhtiöltä tallenteita heille soitetuista myyntipuheluista. Pyyntöjen myötä yhtiö oli toimittanut puheluista kirjallisia koosteita, jotka eivät kuitenkaan elinkeinonharjoittajien mukaan vastanneet puheluiden sisältöä.
Tietosuojavaltuutetun mukaan rekisteröidyllä on oikeus saada jäljennös niistä henkilötiedoista, joita rekisterinpitäjä käsittelee. Jäljennöstä ei tarvitse toimittaa alkuperäisessä muodossa, mutta sen on sisällöltään vastattava täydellisesti pyydettyjä tietoja. Nyt kyseessä olleessa tapauksessa tietosuojavaltuutettu katsoi, ettei yhtiön toimittamaa kirjallista koostetta voitu pitää tietosuoja-asetuksen mukaisena jäljennöksenä, koska se ei vastannut puhelun alkuperäistä sisältöä. Näin ollen tietosuojavaltuutettu totesi yhtiön toimintatavan tietosuojalainsäädännön vastaiseksi.
Tietosuojavaltuutetun päätös ei ole vielä lainvoimainen ja siitä voidaan valittaa hallinto-oikeuteen.
Lisätietoja: Tietosuojavaltuutetun toimisto
Oppilaitokselle huomautus opiskelijoiden henkilötietojen luovuttamisesta suoramarkkinointia varten
Oppilaitoksen tietojärjestelmästä oli lähetetty sen kurssille ilmoittautuneille opiskelijoille sähköpostiviesti, jossa oli kerrottu toisen organisaation järjestämistä kursseista hintatietoineen. Apulaistietosuojavaltuutetun ratkaistavana oli, oliko oppilaitos luovuttanut opiskelijoidensa henkilötietoja toiselle organisaatiolle tietosuojalainsäädännön vastaisesti.
Apulaistietosuojavaltuutetun mukaan henkilötietojen luovuttaminen toiselle rekisterinpitäjälle edellyttää lainmukaista perustetta. Vaikka nyt kyseessä olleessa tapauksessa opiskelijoiden henkilötietoja ei ollut tosiasiallisesti luovutettu toiselle organisaatiolle, apulaistietosuojavaltuutettu katsoi, että henkilötiedot oli saatettu toisen organisaation käyttöön suoramarkkinointia varten. Näin ollen apulaistietosuojavaltuutettu katsoi, että toiminta oli vaikutuksiltaan verrattavissa henkilötietojen luovuttamiseen. Koska toiminnalle ei myöskään ollut lainmukaista perustetta, kuten opiskelijoiden suostumusta, apulaistietosuojavaltuutettu katsoi, että oppilaitos oli toiminut tietosuojalainsäädännön vastaisesti ja antoi oppilaitokselle huomautuksen.
Lisätietoja: Tietosuojavaltuutetun toimisto (Dnro TSV/35/2022)
Jos kaipaat apua yrityksesi tietosuoja-asioiden tarkistamisessa ja päivittämisessä, olethan yhteydessä Lexiaan!
Teksti: Erika Leinonen, Counsel, [email protected]