Päivitetty: 5. syysk. 2023
Ratkaisuja Suomesta
Tietoturvaloukkauksista ilmoittamatta jättäminen
Apulaistietosuojavaltuutettu antoi joulukuussa 2021 ratkaisun, joka koski paljon julkisuudessakin esillä ollutta Psykoterapiakeskus Vastaamon henkilötietojen käsittelyn asianmukaisen turvallisuuden laiminlyöntiä ja tietoturvaloukkauksesta ilmoittamatta jättämistä. Vastaamo teki tietosuojavaltuutetulle tietoturvaloukkausta koskevan ilmoituksen 29.9.2020. Ilmoituksen mukaan Vastaamo oli saanut 28.9.2020 uhkauskirjeen, jossa hakkeri ilmoitti kopioineensa Vastaamon potilastietokannan. Uhkauskirjeen liitteenä oli näyte potilastietokannasta, johon oli ollut 28.11.2018 tallennettuna 33 171 rekisteröityä koskevia henkilötietoja, ja 18.3.2019 yhteensä 35 885 rekisteröityä koskevia henkilötietoja.
Apulaistietosuojavaltuutettu katsoi, että Vastaamon henkilötietojen käsittelyssä oli tapahtunut tietoturvaloukkaus jo 20.12.2018 ja 15.3.2019. Vastaamon olisi tullut ilmoittaa 15.3.2019 tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille. Yleisen tietosuoja-asetuksen (GDPR) mukaan, jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.
Vastaamo ei ollut dokumentoinut 20.12.2018 sattunutta tietoturvaloukkausta siten kuin GDPR:ssä edellytetään, eikä Vastaamon laatima tietosuojaa koskeva vaikutustenarviointi täyttänyt GDPR:ssä asetettuja vaatimuksia. Lisäksi Vastaamo ei ollut ennen marraskuuta 2020 käsitellyt henkilötietoja GDPR:ssä ilmaistun henkilötietojen eheyden ja luottamuksellisuuden periaatteen mukaisesti tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus. Vastaamo ei ollut ennen marraskuuta 2020 pystynyt GDPR:n osoitusvelvollisuuden periaatteen mukaisella tavalla osoittamaan, että se on noudattanut GDPR:stä seuraavia vaatimuksia. Täten apulaistietosuojavaltuutettu määräsi Vastaamolle seuraamukseksi GDPR:n mukaisesti huomautuksen.
Ratkaisussa tuotiin esille, että tietoturvaloukkauksessa, jossa ulkopuolinen hyökkääjä ilmoittaa ladanneensa potilastietokannan palvelimilleen, ja vaatii tietojen palauttamista vastaan lunnaita, ovat tiedot haltuunsa saaneen tahon tarkoitusperät ilmeisen pahantahtoiset. Tietoturvaloukkauksesta rekisteröidyille aiheutuvia vahinkoja voidaan pitää tällöin paitsi todennäköisinä, myös luonteeltaan vakavina. Rekisteröidyt olivat potilastietojärjestelmään tallennettujen tietojen perusteella suoraan tunnistettavissa, koska potilasasiakirja-asetuksen mukaan potilaskertomukseen oli merkitty potilaan nimi, syntymäaika, henkilötunnus, kotikunta ja yhteystiedot. Ulkopuolinen taho on voinut saattaa haltuunsa saamat tiedot suuren joukon saataville julkaisemalla ne esimerkiksi internetissä, jolloin rekisteröidyille aiheutuvat vahingot ovat voineet olla pitkäaikaisia, tai jopa pysyviä. Edellä todetuilla perusteilla Vastaamon potilastietojen käsittelyssä 15.3.3019 tapahtunut tietoturvaloukkaus oli todennäköisesti aiheuttanut luonnollisten henkilöiden oikeuksille ja vapauksille korkean riskin. Vastaamon olisi siten tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että rekisteröidyille.
Vastaamon laatimassa vaikutustenarvioinnissa ei ollut riittävällä tavalla arvioitu riskien luonnetta, erityisluonnetta, alkuperää tai uhkia, jotka voivat johtaa laittomaan henkilötietoihin pääsyyn, tietojen asiattomaan muuttamiseen tai tietojen häviämiseen, eikä riittävällä tavalla tunnistettu kyseisistä riskeistä rekisteröityjen oikeuksille ja vapauksille kohdistuvia mahdollisia vaikutuksia. Riskejä oli arvioitu ainoastaan toteamalla, että riskit ovat vakavia ja todennäköisyydeltään vähäisiä.
Lisäksi apulaistietosuojavaltuutettu katsoi, että asiassa oli ratkaistava, tuleeko rikkomisten seuraamukseksi määrätä huomautuksen lisäksi hallinnollinen sakko, jonka määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka määräsikin Vastaamon maksamaan valtiolle 608 000 euron suuruisen hallinnollisen sakon. Sakon määrämisen yhteydessä tuotiin esille se, että potilastietojärjestelmän suojauksessa olleet puutteet olivat mahdollistaneet potilastietokantaan kohdistuvat ulkopuoliset hyökkäykset, ja ulkopuolinen hyökkäys oli tietokannan puutteellisen suojauksen aikana tosiasiallisesti tapahtunut ainakin 20.12.2018 ja 15.3.2019. Noin 300 rekisteröidyn nimet, osoitteet, henkilötunnukset ja potilaskertomukset oli julkaistu 21.–23.10.2020 anonyymissä Tor-verkossa. Lisäksi Tor-verkossa oli julkaistu 23.10.2020 noin 10 gigatavun kokoinen tiedosto, joka saattoi sisältää Vastaamon koko potilastietokannan. Useat henkilöt olivat saattaneet ladata tiedoston itselleen ainakin osittain. Potilastietoja oli tämän jälkeen julkaistu Tor-verkossa lisää myös muilla nimimerkeillä kuin kiristäjän käyttämällä nimimerkillä.
Vähintään 15 000 rekisteröityä sai 24.10.2020 kiristyskirjeen, jossa uhattiin saattaa julkisuuteen rekisteröidyn nimi, puhelinnumero, osoite, henkilötunnus ja potilaskertomus, jos rekisteröity ei maksa kiristäjälle 200–500 euron suuruista summaa. Ainakin 14 rekisteröityä maksoi kiristäjän vaatiman summan. Uusia henkilötietoja ei tiettävästi julkaistu sen jälkeen, kun kiristyssumman maksamisen määräaika umpeutui. Potilastietoja vuosi kuitenkin julkisuuteen uudelleen tammikuun lopulla 2021, jolloin kahdella Tor-verkon keskustelupalstalla julkaistiin linkki mahdollisesti lähes 32 000 potilaskertomusta sisältävään tiedostoon. Helmikuuhun 2021 mennessä tietomurrosta oli tehty lähes 25 000 rikosilmoitusta.
Vastaamon olisi 15.3.2019 käsittelemänsä kiristysviestin perusteella täytynyt jo tiedostaa, että jos potilastiedot olivat joutuneet ulkopuolisen hyökkääjän haltuun, todennäköisyys siitä, että lainvastaisesta käsittelystä aiheutuisi rekisteröidyille vahinkoja, olisi suuri. Vastaamo ei kuitenkaan ilmoittanut tietoturvaloukkauksesta rekisteröidyille ennen loka-marraskuuta 2020, toisin sanoen vasta yli puolitoista vuotta 15.3.2019 tapahtuneen tietoturvaloukkauksen jälkeen. Vastaamon menettelyä voitiin täten pitää tahallisena.
Vastaamon käsittelemät henkilötiedot olivat GDPR:ssä tarkoitettuja terveyttä koskevia tietoja, jotka kuuluvat GDPR:ssä tarkoitettuihin erityisiin henkilötietoryhmiin. Vastaamon toiminnan luonteen eli psykoterapiapalveluiden tarjoamisen vuoksi tiedot olivat erityisen arkaluonteisia ja potilaslain nojalla salassa pidettäviä. Rekisteröidyt olivat tietojen perusteella suoraan tunnistettavissa, ja tietoja oli säilytetty salaamattomina. Rekisteröityjen joukossa oli heikossa asemassa olevia henkilöitä, kuten lapsia, vanhuksia ja mielenterveysongelmista kärsiviä henkilöitä. Edellä mainitut seikat otettiin huomioon raskauttavana tekijänä sakon määräämisessä.
Hallinnollisen sakon määrän arvioinnissa otettiin lisäksi huomioon muun muassa tehokkuus, oikeasuhteisuus ja varoittavuus, rikkomisen luonne, vakavuus ja kesto sekä Vastaamon liikevaihto tilikaudelta 1.1.–31.12.2020. Sakon määrän arvioinnissa otettiin myös huomioon, että Vastaamo oli asetettu konkurssiin eikä se harjoittanut enää taloudellista toimintaa. Maksettavaksi määrättyä 608 000 euron sakkoa ei voitu pitää määrältään kohtuuttomana yksittäisten rikkomisten eikä kokonaissumman osalta ottaen huomioon rikkomisista määrättävissä olevan sakon enimmäismäärä, rikkomisten vakavuus ja kesto sekä se, että rikottujen säännösten tarkoituksena oli suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Sakon määrää ei voitu pitää kohtuuttomana myöskään sen takia, että sen on oltava määrältään riittävä, jotta sen avulla pystytään varmistamaan varoittava vaikutus GDPR:n säännösten vastaisuudessa tapahtuvan rikkomisen ehkäisemiseksi.
Asiakkaiden henkilötietojen käsittely WhatsApp-pikaviestipalvelussa
Tietosuojavaltuutettu antoi lokakuussa 2021 ratkaisun, joka koski asiakkaiden henkilötietojen välittämistä siivousalan yrityksen työntekijöiden henkilökohtaisiin puhelimiin WhatsApp-sovelluksella. Välitettyihin henkilötietoihin lukeutuivat esimerkiksi yrityksen asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja avainboksien numerot.
Ratkaisussa tuotiin esille, että GDPR:ssä säädetään eheyden ja luottamuksellisuuden periaatteesta, jonka mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Lisäksi GDPR:ssä säädetään rekisterinpitäjän vastuusta. Rekisterinpitäjän tulee ottaa huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, ja toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan GDPR:ää.
GDPR:ssä säädetään myös sisäänrakennetusta ja oletusarvoisesta tietosuojasta, jonka mukaisesti rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. GDPR:n mukaan sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat GDPR:ssä vahvistettuja edellytyksiä, joita on sovellettava, jotta varmistetaan, että GDPR:llä taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa. Jollei GDPR:n mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia sekä tehokkaita oikeussuojakeinoja.
Tietosuojavaltuutettu toi ratkaisussaan esille, että se oli jo aiemmin katsonut, terveydenhuollon toimintaa koskevassa kannanotossaan, että WhatsApp-sovelluksen käyttö johtaa asiakkaan henkilötietojen tietojen siirtoon kolmansiin maihin, eikä tietosuojavaltuutettu sen takia suosittele sovelluksen käyttöä ajanvaraukseen liittyvässä asiakasviestinnässä terveydenhuollon toiminnassa. Aiemmassa ratkaisukäytännössään tietosuojavaltuutettu on lisäksi katsonut, ettei työntekijöitä tulisi tietoturvasyistä velvoittaa omien välineidensä käyttöön.
Tässä tapauksessa rekisterinpitäjä oli käyttänyt WhatsApp-sovellusta asiakastietojen välittämiseen. Erityisesti osoitteiden, ovikoodien ja avainboksien numeroiden kohdalla kyse oli tiedoista, joiden päätyminen sivulliselle olisi voinut aiheuttaa rekisteröidylle selkeää haittaa. Rekisterinpitäjä oli esittänyt antamassaan selvityksessä, että se on varotoimenpiteenä ohjeistanut entisiä työntekijöitä poistamaan kaiken viestinnän. Tässä yhteydessä rekisterinpitäjä ei selvityksessä saatujen tietojen perusteella ollut kuitenkaan varmistanut, onko yritystoimintaan liittyvä ryhmä esimerkiksi työsuhteen päättyessä poistettu, tai onko työntekijän varmuuskopiosta poistettu yritystä koskeva osio. Asiassa saadun selvityksen perusteella rekisterinpitäjä ei myöskään ollut informoinut rekisteröityjä, eli siivousalan yrityksen asiakkaita, WhatsApp-sovelluksen käytöstä.
Tietosuojavaltuutettu katsoikin ratkaisussaan, ettei WhatsApp-sovelluksen käyttö asiakastietojen välittämisessä yritykseltä työntekijän henkilökohtaiseen puhelimeen vastannut eheyden ja luottamuksellisuuden periaatteeseen, sisäänrakennetun ja oletusarvoisen tietosuojan velvoitteeseen ja käsittelyn turvallisuuteen liittyviä vaatimuksia, eikä rekisterinpitäjä ollut huomioinut, että sen tulee GDPR:n riskiperusteisen lähestymistavan mukaisesti toteuttaa riskejä vastaavat tekniset ja organisatoriset toimenpiteet henkilötietojen riittävän suojaamisen varmistamiseksi. Tietosuojavaltuutettu kiinnitti lisäksi erityistä huomiota siihen, että sovelluksen käyttö oli todennäköisesti johtanut tiedonsiirtoihin Euroopan unionista kolmansiin maihin, mukaan lukien Yhdysvaltoihin. Tietosuojavaltuutettu totesi, että rekisterinpitäjän menettely koskien WhatsApp-pikaviestinpalvelun käyttöä asiakkaiden henkilötietojen käsittelyssä ei ollut GDPR:n mukainen. Rekisterinpitäjälle annettiin GDPR:n mukainen määräys saattaa käsittelytoimet GDPR:n säännösten mukaisiksi sekä GDPR:n mukainen huomautus GDPR:n säännösten vastaisista käsittelytoimista.
Kaikkien yritysten on syytä huomioida, että WhatsApp-palvelun sovellusta käytettäessä sopimussuhde on yksityishenkilön, eli työntekijän ja Facebookin välillä, eivätkä esimerkiksi yksityishenkilön kanssa tehtävään sopimukseen sisältyvät vastuunrajoituslausekkeet ole lähtökohtaisesti yhteensopivia yrityskäytön kanssa. Sovellusta käytettäessä rekisterinpitäjällä ei myöskään ole keinoja valvoa, miten henkilötietoja sovelluksessa käytetään, tai asettaa muutoinkaan sen käytölle rajoituksia.
Rekisteröidyn oikeus tutustua puhelutallenteeseen
Tietosuojavaltuutettu antoi lokakuussa 2021 myös ratkaisun, joka koski rekisterinpitäjän oikeutta tarjota rekisteröidyn ja rekisterinpitäjän välillä käydyn puhelun puhelutallenne rekisteröidylle vain tekstimuodossa.
GDPR:n mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle kaikki tämän henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä sekä yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.
Kyseisessä tapauksessa tietosuojavaltuutettu katsoi, että rekisteröidyllä oli yksityisenä elinkeinonharjoittajana GDPR:n mukainen oikeus saada tutustua tietoihinsa puhelutallenteen osalta, ja myös ääni katsotaan henkilötiedoksi. Rekisterinpitäjä oli toiminut GDPR:n edellytysten mukaisesti toimittaessaan GDPR:n mukaiset tiedot rekisteröidylle kirjallisessa muodossa. Tietosuojavaltuutettu kiinnitti tapauksessa erityisesti huomiota siihen, että oikeutta saada tutustua tietoihin koskeva pyyntö oli koskenut äänitallennetta, joka piti sisällään tunnistettavissa olevan luonnollisen henkilön henkilötietoa. Kyseessä ei ollut oikeushenkilön henkilötietojen käsittely, koska yksityinen elinkeinonharjoittaja ei ole GDPR:ssä tarkoitettu oikeushenkilö. Tietosuojavaltuutettu katsoikin, että rekisteröidyllä oli GDPR:n mukainen oikeus saada tutustua tietoihin puhelutallenteen osalta.
Tietosuojavaltuutettu toi esille, että rekisterinpitäjällä ei ole aina velvollisuutta toimittaa tietoja alkuperäisessä muodossa, jos tiedot voidaan asianmukaisesti toimittaa myös muulla tapaa, esimerkiksi kirjallisesti. Rekisterinpitäjän on kuitenkin varmistuttava siitä, että muoto, jossa tiedot toimitetaan, on sellainen, että rekisteröity pystyy varmistumaan rekisterinpitäjän käsittelemien henkilötietojen oikeellisuudesta. Mahdollisuus toimittaa tiedot muussa kuin alkuperäisessä muodossa ei kuitenkaan tarkoita, että rekisterinpitäjä voisi muokata toimittamiaan henkilötietoja sellaiseksi, ettei rekisteröidylle toimitettavat tiedot vastaisi tietoja, joita rekisterinpitäjä käsittelee.
Joissain tapauksissa henkilötieto itsessään voi asettaa velvollisuuden toimittaa tiedot tietyssä muodossa. Kun käsiteltävä henkilötieto muodostuu esimerkiksi rekisteröidyn äänestä, rekisteröidyllä voi tietyissä tilanteissa olla oikeus saada tutustua nimenomaisesti ääntä koskevaan tietoon. Nyt kyseessä olleessa asiassa ei kuitenkaan käynyt ilmi sellaisia seikkoja, joiden perusteella olisi katsottava, että tiedot tulisi toimittaa rekisteröidylle äänitallenteena. Tietosuojavaltuutettu katsoi, että oikeus saada tutustua tietoon ääntä koskevan tiedon osalta voidaan toteuttaa niin, että rekisterinpitäjä kirjoittaa auki puhelutallenteen sisällön. Tietosuojavaltuutettu kuitenkin korosti, että aukikirjoitetun litteroinnin on vastattava puhelutallenteen sisältöä, jotta rekisteröity pystyy varmistumaan siitä, että käsiteltävät henkilötiedot ovat lainmukaisia.
Ratkaisuja muualta Euroopasta
Marraskuussa 2021 Alankomaiden tietosuojaviranomainen määräsi valtiovarainministeriölle 2,75 miljoonan euron sakon, koska maan verovirastot olivat käsitelleet useiden vuosien ajan lastenhoidon hoitotukea koskevien hakemusten yhteydessä tietoja hakijoiden kaksoiskansalaisuudesta. Tietoturvaviranomainen totesi, että Alankomaiden kansalaisten kaksoiskansalaisuutta koskevia tietoja ei olisi tarvittu arvioitaessa lastenhoidon hoitotukihakemusta. Lisäksi kyseisiä tietoja oli käsitelty järjestäytyneiden petosten torjunnan ja automaattisen päätöksenteon tarkoituksissa viranomaisen riskijärjestelmässä. Käsittely ei ollut tarpeen myöskään kyseisiin tarkoituksiin. Vero- ja tullihallinnon olisi pitänyt poistaa kaksoiskansalaisuustiedot jo tammikuussa 2014. Silti toukokuussa 2018 yhteensä 1,4 miljoonan henkilön kaksoiskansalaisuustiedot olivat edelleen rekisteröityinä järjestelmiin. Tietosuojaviranomainen totesikin, että tietoja oli käsitelty laittomasti ilman pätevää oikeusperustaa. Lisäksi tietosuojaviranomainen totesi, että rekisteröityjä oli syrjitty heidän kansalaisuutensa perusteella.
Lokakuussa 2021 Espanjan tietosuojaviranomainen määräsi yhtiölle kolmen miljoonan euron sanktion. Yhtiö oli pyytänyt rekisteröidystä tietoja toiselta yritykseltä, vaikka rekisteröity ei ollut ollut yhtiön asiakas vuodesta 2014 lähtien ja hän oli ollut mukana mainoskampanjassa, jossa tarjottiin hänelle yhtiön tarjoamaa ennakkoluottoa. Yhtiö oli käyttänyt kyseisen rekisteröidyn tietoja ilman hänen antamaansa suostumusta arvioidakseen hänen luottokelpoisuuttaan. Tietoja käytettiin rekisteröidyistä taloudellisten profiilin luomiseen ja sen perusteella tiettyjen rahoituspalveluiden (esim. luottokorttien tai lainojen) mainostamiseen hänelle. Tietosuojaviranomainen katsoi, että rekisterinpitäjä ei ollut saanut suostumusta rekisteröidyiltä. Rekisterinpitäjä ei ollut tiedottanut rekisteröidylle myöskään riittävästi tietojen käsittelystä, mukaan lukien profiloinnista. Rekisterinpitäjä oli toimittanut rekisteröidyille vain yleistä tietoa erilaisista profiloinnin käsittelytoimista.
Lokakuussa 2021 Italian tietosuojaviranomainen määräsi yhtiölle reilun kolmen miljoonan euron sanktion laittomasta puhelinmarkkinoinnista. Kymmenet ihmiset väittivät saaneensa ei-toivottuja mainospuheluita ja mainostekstiviestejä sekä suoraan yhtiöltä että muiden yritysten puhelinkeskusten kautta. Tietosuojaviranomainen totesikin, että myynninedistämispuhelut tehtiin ilman, että käyttäjille oli ilmoitettu riittävästi henkilötietojen alkuperästä. Rekisteröidyillä ei täten ollut mahdollisuutta ottaa yhteyttä tiedot keränneeseen yhtiöön ja vastustaa henkilötietojensa käsittelyä. Yhtiö käytti muilta yrityksiltä saamiaan tietoluetteloita myynninedistämistarkoituksiinsa eikä pystynyt tarkistamaan luetteloa rekisteröidyistä, jotka olivat vastustaneet yhteydenottoa mainostarkoituksiin ennen mainospuhelujen tekemistä, minkä takia useat rekisteröidyt saivat mainossoittoja nimenomaisesti antamastaan kiellosta huolimatta. Lisäksi tietosuojaviranomainen totesi, että yhtiö ei ollut asianmukaisesti nimittänyt luetteloiden toimittajia henkilötietojen käsittelijöiksi. Sanktion suuruutta määrittäessään tietosuojaviranomainen otti raskauttavana huomioon muun muassa sen, että rikkomukset koskivat systemaattista toimintaa, joka johtui yhtiön toiminnasta.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai +358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 5. syysk. 2023
Liikenne- ja viestintävirasto (Traficom) julkaisi syyskuussa palveluntarjoajia ja loppukäyttäjiä koskevan ohjeistuksen, joka koskee evästeitä ja muita käyttäjän päätelaitteille tallennettavia tietoja sekä näiden tietojen käyttöä. Traficomin ohjeistuksen mukainen uusi linjaus on suuri muutos aiempaan kansalliseen tulkintaan ja se vaikuttaa haastavan evästesuostumuksen pyytämiseen liittyviä vakiintuneita standardeja.
Ohjeistuksen tarkoituksena on edistää luottamuksellisuuden toteutumista ja hyviä käytäntöjä evästeiden sekä muiden palvelun käyttöä kuvaavien tietojen tallentamisessa ja käytössä.
Ohjeistus on tarkoitettu kaikille sellaisille tahoille, jotka käyttävät evästeitä tai vastaavia tekniikoita toteuttaessaan sekä tarjotessaan verkkosivustoja tai muita sähköiseen viestintään pohjautuvia palveluja, kuten mobiilisovelluksia. Ohjeistus ei ole kuitenkaan sellaisenaan juridisesti velvoittava, mutta se sisältää valvovan viranomaisen näkemyksen lainmukaisista ja hyväksyttävistä evästekäytännöistä, joista poikkeamalla palveluntarjoaja kantaa riskin toimintansa mahdollisesta lainvastaisuudesta.
Annamme mielellämme lisätietoja Traficomin ohjeistuksesta ja sen perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Päivitetty: 5. syysk. 2023
Ratkaisuja Suomesta
Velvollisuus laatia henkilötietojen käsittelysopimus
Tietosuojavaltuutettu antoi kesäkuussa ratkaisun, joka koski henkilötietojen käsittelysopimusta ja henkilötietojen käsittelijän rekisterinpitäjän lukuun harjoittamaa henkilötietojen käsittelyä.
Tietosuojavaltuutetulle oli syyskuusta 2018 kesäkuuhun 2019 tehty neljä kantelua, jotka koskivat ei-toivottuja automatisoiduilla soittojärjestelmillä (ns. roboteilla) toteutettuja lehden suoramarkkinointi-puheluita. Lehden kustantajana toimii yhtiö X, jonka lukuun yhtiö Y oli toteuttanut lehden suoramarkkinointia. Kyseiset osapuolten välille ei ollut laadittu yleisen tietosuoja-asetuksen (GDPR) mukaista sopimusta tai muuta oikeudellista asiakirjaa, jossa olisi määritelty henkilötietojen käsittelijän rekisterinpitäjän lukuun harjoittamaa henkilötietojen käsittelyä. GDPR:n mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.
Tietosuojavaltuutettu katsoi ratkaisussaan, että Y oli laiminlyönyt sille henkilötietojen käsittelijänä kuuluvan velvollisuuden laatia edellä mainittu sopimus tai muu oikeudellinen asiakirja. Se oli toiminut henkilötietojen käsittelijänä suoramarkkinointia koskevan käsittelyn osalta. Tietosuojavaltuutettu antoi Y:lle huomautuksen GDPR:n säännöksen laiminlyönnistä. Lisäksi hallinnollisen seuraamusmaksun määräämisestä päättävä seuraamuskollegio määräsi Y:lle hallinnollisen seuraamusmaksun (sanktio). Seuraamuskollegio katsoi Y:n rikkomuksen olleen luonteeltaan vakavaa. Y oli tietoisesti laiminlyönyt velvollisuuden laatia GDPR:n mukainen henkilötietojen käsittelysopimus, mikäli puolsi sanktion määräämistä. Seuraamuskollegio katsoi kuitenkin, ettei sanktion määrääminen nyt käsillä olevassa asiassa ollut oikeasuhtaista. Seuraamuskollegio totesi, että päävastuu henkilötietojen käsittelysopimuksen laatimisesta oli kuitenkin X:llä rekisterinpitäjänä, sillä kyse on X:n puolesta tapahtuvasta henkilötietojen käsittelystä. Lisäksi arvioinnissa otettiin huomioon Y:n vähäinen liikevaihto ja käräjäoikeuteen vireille saatettu konkurssihakemus.
Sijaintitietojen käsittely
Apulaistietosuojavaltuutettu antoi heinäkuussa ratkaisun, joka koski työntekijän sijaintiin liittyvien henkilötietojen käsittelyä työajanseurannassa. Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjän työntekijöiden sijaintiin liittyvien henkilötietojen käsittely ei ollut ollut yksityisyyden suojasta työelämässä annettun lain (työelämän tietosuojalaki) ja GDPR:n mukaista. Sijaintitietojen käsittelyssä ei ollut noudatettu GDPR:n mukaista tiedon minimointia koskevaa periaatetta. Apulaistietosuojavaltuutettu määräsikin rekisterinpitäjälle työntekijöiden sijaintitietoja koskevan käsittelykiellon.
Rekisterinpitäjä oli ottanut henkilötietojen käsittelijänä toimineen yhtiön toimittaman mobiilisovelluksen käyttöön noin 350 työntekijän osalta. Sovelluksen käyttäminen edellytti myös paikannuksen sallimisen. Sovelluksen käyttö ei ollut pakollista, mutta siltä osin kuin työntekijä oli halunnut sitä käyttää, oli rekisterinpitäjän näkemyksen mukaan sijaintitiedon kerääminen, tallentaminen ja säilyttäminen ollut tarpeellista työelämän tietosuojalain mukaisesti, sillä sovellus ei toiminut ilman sijaintitiedon käyttöä. Työelämän tietosuojalain mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Lain mukaisesta tarpeellisuusvaatimuksesta ei voida poiketa edes työntekijän suostumuksella.
Apulaistietosuojavaltuutettu katsoi, että vaikka sovelluksen käyttö oli edellyttänyt työntekijän sijaintitiedon käsittelyä, oli työajan seuranta ja työaikojen leimaaminen ollut mahdollista toteuttaa myös ilman sijaintitietojen käsittelyä erityisesti, kun otettiin huomioon, että sijaintitieto oli ollut rekisterinpitäjälle tarpeeton. Täten pelkästään se seikka, että sovelluksella työaikaa koskevien leimausten tekeminen ei onnistunut ilman sijaintitietojen käsittelyä, ei tehnyt sijaintitietojen käsittelystä välittömästi tarpeellista. Apulaistietosuojavaltuutettu huomauttikin, että käytettäessä ulkoisten palveluntarjoajien järjestelmiä tai muita palveluita rekisterinpitäjän tulee tunnistaa henkilötietojen käsittelyä koskevat tarpeensa, eikä sellaisia palveluita tai järjestelmiä, joiden toiminnallisuudet eivät vastaa rekisterinpitäjän tarpeita, tai mahdollista tietosuojaa koskevien säännösten noudattamista, tule ottaa käyttöön.
Apulaistietosuojavaltuutettu toi myös ratkaisussaan esille sen, että GDPR:n mukaisen tietojen minimointia koskevan periaatteen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on niiden käyttötarkoituksen kannalta välttämätöntä. Käyttötarkoituksen kautta pystytään määrittelemään, mitkä henkilötiedot ovat välttämättömiä käsittelyn tarkoituksen toteuttamiseksi. Olennaista on erottaa toisistaan se, mikä on sovelluksen käyttötarkoituksen kannalta välttämätöntä, ja se, mikä on sovelluksen käytön kannalta välttämätöntä. Tältä osin apulaistietosuojavaltuutettu korosti, että henkilötietojen välttämättömyyttä arvioidaan nimenomaan suhteessa niiden käyttötarkoitukseen. Se, että sijaintitietojen käsittely oli ollut välttämätöntä sovelluksen käyttämiseksi ei tarkoittanut sitä, että sijaintitietojen käsittely olisi ollut välttämätöntä suhteessa niiden käyttötarkoitukseen. Työajan seuranta oli voitu suorittaa tarvittaessa myös ilman sijaintitiedon käsittelyä, minkä takia sijaintitiedon käsittely ei ollut sovelluksen käyttötarkoituksen kannalta välttämätöntä ja täten rekisterinpitäjä oli toiminut tiedon minimointia koskevan periaatteen vastaisesti.
Tapauksessa seuraamuskollegio määräsi rekisterinpitäjälle 25 000 euron suuruisen sanktion perustuen osaltaan siihen, että rekisterinpitäjä oli käsitellyt työnhakijoiden ja työntekijöidensä (noin 350 henkilöä) henkilötietoja työelämän tietosuojalain keskeisten säännösten vastaisesti. Sijaintitietojen käsittelyyn oikeuttava käsittelyperuste oli puuttunut. Näin menettelemällä rekisterinpitäjä oli myös toiminut GDPR:n vastaisesti käsittelemällä sijaintitietoja ilman laillista käsittelyperustetta tiedon minimoinnin periaatteen vastaisesti. Rekisterinpitäjä oli käsitellyt työntekijöidensä sijaintiin liittyviä henkilötietoja toukokuusta 2019 asti eli ratkaisua annettaessa kesäkuussa 2021 sijaintitietojen käsittely oli kestänyt hieman yli kaksi vuotta. Käsittely oli kohdistunut rekisterinpitäjään nähden heikommassa asemassa oleviin rekisteröityihin, työntekijöihin. Täten seuraamuskollegio katsoi tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi 25 000 euron suuruisen sanktion määräämisen. Lieventävinä seikkoina otettiin erityisesti huomioon se, että rekisteröidyille ei ollut aiheutunut sijaintietojen käsittelystä taloudellista tai muuta aineellista vahinkoa. eikä rekisterinpitäjä ollut tavoitellut tai saavuttanut toiminnallaan mitään taloudellista hyötyä. Seuraamusmaksun määrän oikeasuhteisuutta arvioitaessa otettiin lisäksi seuraamusmaksun määrää tuntuvasti alentavana seikkana huomioon se, että rekisterinpitäjän tehtävänä oli tarjota ammattikorkeakoululain mukaisesti korkeakouluopetusta sekä se, että rekisterinpitäjän toiminnan päätarkoituksena ei ole voiton tavoittelu.
Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröityjen informointi
Tietosuojavaltuutettu antoi heinäkuussa myös ratkaisun, joka koski asiakkaiden henkilötietojen keräämistä asiakkaita tarkkailemalla. Rekisterinpitäjänä toimi yritys, joka tarjosi kotitalouksille ja taloyhtiöille asiakaskontaktin luomiseksi ilmaisen rakennuksen hengitysilman mittauksen. Rekisterinpitäjän verkkosivuilla oli ollut lomake, joka oli ilmeisesti tarkoitettu yrityksen myyjille asiakasrekisterin luomiseen. Lomakkeessa oli varattu tila asuinalueen, talotyypin, nykyisen ilmanvaihtojärjestelmän ja rakennusvuoden tapaisten tietojen lisäksi muun muassa tiedoille parisuhdedynamiikasta, henkilöiden elämäntilanteesta ja rahatilanteesta. Rekisterinpitäjän mukaan lomakkeen ei kuulunut olla näkyvillä yrityksen verkkosivuilla ja sitä ei myöskään koskaan käytetty.
Asiassa oli kyse henkilötietojen käsittelyn läpinäkyvyydestä ja rekisteröityjen informoinnista. Tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen varoituksen siitä, että asiakkaasta tarkkailemalla kerättyjen tietojen käsittely olisi ollut tässä tapauksessa, ilman lainmukaista käsittelyperustetta ja rekisteröityjen informointia, GDPR:n säännösten vastaista.
Tietosuojavaltuutettu korosti ratkaisussaan, että myös silloin, kun henkilötietoja kerätään rekisteröityä tarkkailemalla, rekisteröidylle tulee toimittaa tiedot tämän henkilötietojen käsittelystä GDPR:n mukaisesti ja tarkoituksenmukaisessa muodossa. Informaation tulee tavoittaa rekisteröity oikeaan aikaan, ja informaation antamiskanavan valinnassa rekisterinpitäjän tulee pyrkiä lisäämään sen todennäköisyyttä, että informaatio tavoittaa rekisteröidyn. Informaation antamisen oikea-aikaisuuden osalta tarkkailutyyppinen henkilötietojen kerääminen edellyttää lähtökohtaisesti sitä, että rekisteröidyllä on mahdollisuus välttää saamansa informaation perusteella tarkkailtavaksi joutuminen, eikä henkilötietojen käsittelyn tule ylipäätään tulla yllätyksenä rekisteröidylle.
Silloin, kun henkilötietoja kerätään rekisteröityjä tarkkailemalla, rekisterinpitäjällä tulee olla siihen GDPR:n mukainen käsittelyperuste, ja rekisteröityjä tulee informoida tästä henkilötietojen käsittelystä oikea-aikaisesti. Läpinäkyvyyden periaate edellyttää, että rekisterinpitäjä on oltava rekisteröityä kohtaan avoin muun muassa sen suhteen, miten henkilötietoja kerätään ja käytetään. Vastaava päämäärä on myös rekisteröidyn informoinnilla, jolla käytännössä toteutetaan käsittelyn läpinäkyvyyden periaatetta.
Ratkaisuja muualta Euroopasta
Tietojen minimimointi
Ruotsin tietosuojaviranomainen määräsi kesäkuussa Storstockholms Lokaltrafikille (Tukholman paikallinen kuljetusyhtiö) 1 600 000 euron suuruisen sanktion. Rekisterinpitäjä oli varustanut lipuntarkastajat heidän vartaloonsa kiinnitetyillä kameroilla, jotka oli suunniteltu estämään uhkaavat tilanteet. Kamerat dokumentoivat tapahtumat ja varmistivat, että oikeaa henkilöä sakotetaan, kun hän matkustaa Tukholman julkisilla liikennevälineillä ilman voimassa olevaa matkalippua. Lipuntarkastajien oli pidettävä kamera päällä koko työvuoron ajan, mikä tarkoitti käytännössä sitä, että he kuvasivat kaikki ohittamansa matkustajat. Koska useita satoja tuhansia ihmisiä käyttää päivittäin Tukholman julkista liikennettä, suuri joukko ihmisistä saattoi päätyä lipuntarkastajan kuvaamalle video- ja äänitallenteeelle. Tietosuojaviranomainen katsoikin, että kameroita voitiin käyttää uhkaavien tilanteiden ehkäisemiseen ja dokumentointiin, mutta esitallennusaika tuli lyhtentää enintään 15 sekuntiin, koska sitä pidempi esitallennusaika ei ole tarpeen. Lisäksi tietosuojaviranomainen toi esille sen, että äänitallenteet eivät auttaneet tunnistamaan henkilöitä, joilla ei ollut voimassa olevaa matkalippua. Tietosuojaviranomainen pitikin äänitallenteita GDPR:n mukaisen tietojen minimoinnin periaatteen vastaisena. Tietosuojaviranomainen totesi myös, että rekisterinpitäjä ei ollut antanut riittävästi tietoa sen suorittamasta kameravalvonnasta, mukaan lukien tietoa siitä, että videokuvan lisäksi tallennettiin myös äänet.
Italian tietosuojaviranomainen määräsi kesäkuussa Foodinholle 2 600 000 euron suuruisen sanktion. Foodinho on italialainen ruokatoimituspalvelu. Foodinho ei ollut rekisterinpitäjänä ilmoittanut riittävän selkeästi ruokalähetteinä toimiville työntekijöilleen järjestelmänsä toiminnasta eikä varmistanut heidän arviointiiinsa käytettyjen algoritmien tulosten tarkkuutta sekä oikeellisuutta. Rekisterinpitäjä ei ollut toiminut GDPR:n tietojen minimoinnin periaatteen mukaisesti. Järjestelmä käsitteli ruokalähettien tietoja siinä määrin, että se ylitti käsittelyn tarkoituksen, ja joissain tapauksissa järjestelmä tallensi ruokalähetteihin liittyviä tietoja huomattavasti pidempään kuin oli tarpeen. Lisäksi rekisterinpitäjä ei ollut toteuttanut riittäviä teknisiä ja organisatorisia toimenpiteitä turvallisen tietojenkäsittelyn varmistamiseksi. Rekisterinpitäjä ei ollut myöskään tehnyt vaikutustenarviointia, vaikka olisi pitänyt.
Espanjan tietosuojaviranomainen määräsi heinäkuussa Mercadona S.A:lle 2 520 000 euron suuruisen sanktion. Yhtiö oli asentanut sen myymälöihin kasvojentunnistusjärjestelmiä, joiden tarkoituksena oli rikokseen syyllistyvien henkilöiden tunnistaminen. Järjestelmään tallentui kuitenkin kaikki myymälöihin saapuvat henkilöt, jotka saattoivat olla allaikäisiä tai yhtiön työntekijöitä. Tietosuojaviranomainen katsoikin, että yhtiön kasvojentunnistusjärjestelmä rikkoi tietojen minimoinnin periaatetta sekä välttämättömyys- että suhteellisuusperiaatetta. Lisäksi tietosuojaviranomainen toi ilmi sen, että yhtiön tekemä vaikutustenarviointi oli puutteellinen, koska siinä ei ollut otettu huomioon kasvojentunnistusjärjestelmien kautta tapahtuvan tietojenkäsittelyn aiheuttama korkeaa riskiä yhtiön työntekijöiden oikeuksille ja vapauksille. Yhtiö oli myös rikkonut ilmoitusvelvollisuuttaan, koska se ei ole antanut rekisteröidyille asianmukaisia tietoja heidän henkilötietojensa käsittelystä.
Tietojen säilytysaika
Italian tietosuojaviranomainen määräsi vuorostaan heinäkuussa elintarvikkeiden toimituspalvelulle Deliveroo Italylle 2 500 000 euron suuruisen sanktion. Deliveroo oli käsitelly lainvastaisesti noin 8000 lähettinsä henkilötietoja. Deliveroo oli käyttänyt keskitettyä järjestelmää, jonka avulla se käsitteli ja hallinnoi tilausten ja työvuorojen antamista läheteilleen. Läheteille ei informoitu riittävällä tavalla heidän älypuhelimiinsa asennetun järjestelmän toiminnasta eikä yhtiö ollut varmistanut järjestelmässä käytettävien algoritmijärjestelmien tulosten tarkkuutta ja oikeellisuutta. Deliveroo valvoi lähettiensä työntekoa tarkasti ja oli tietoinen lähettiensä kulloisestakin sijainnista. Lisäksi järjestelmään tallentui suuri määrä tilausten toteuttamisen aikana kerättyjä henkilötietoja, mukaan lukien lähetin käymät keskustelut yhtiön asiakaspalvelun kanssa. Eri tietojen säilytysaikaa ei ollut myöskään määritelty tarkoituksenmukaisella tavalla, vaan yhtiö oli määritellyt tiedoille vain yleisen kuuden vuoden säilytysajan. Lisäksi tietosuojaviranomainen katsoi, että rekisterinpitäjä ei ollut toteuttanut riittäviä teknisiä ja organisatorisia toimenpiteitä käsittelyn riittävän turvallisuuden varmistamiseksi. Deliveroo ei myöskään ollut tehnyt vaikutustenarviointia, vaikka olisi pitänyt.
Ranskan tietosuojaviranomainen määräsi heinäkuussa yksityiselle vakuutusyhtiölle 1 750 000 euron suuruisen sanktion. Yhtiö oli rekisterinpitäjänä säilyttänyt miljoonien henkilöiden tiedot liian pitkään. Yhtiö ei ollut noudattanut määriteltyä kolmen vuoden säilytysaikaa, vaan se oli säilyttänyt tietoja lähes 2 000 sellaisesta asiakkaasta, joka ei ollut ollut yhteydessä yhtiöön yli kolmeen vuoteen, joissakin tapauksissa viiteen vuoteen. Yhtiö oli lisäksi säilyttänyt yli kahden miljoonan asiakkaan tiedot, joista osa oli arkaluonteisia (terveydentila), pidempään kuin oli lain mukaan sallittua.
Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröityjen informointi
Irlannin tietosuojaviranomainen antoi syyskuun alussa päätöksensä WhatsApp Ireland Ltd:lle perustuen Euroopan tietosuojaneuvoston sitovaan kiistanratkaisupäätökseen, joka annettiin heinäkuun lopussa. Asiassa oli kyse siitä, noudattiko WhatsApp GDPR:n mukaista velvoitetta kertoa läpinäkyvästi rekisteröidyille näiden henkilötietojen käsittelystä.
Irlannin tietosuojaviranomainen selvitti jo vuonna 2018 alkaneessa tutkinnassaan sitä, oliko WhatsApp noudattanut GDPR:n läpinäkyvyyttä koskevia velvoitteita henkilötietojen käsittelystä annettavien tietojen osalta. Samassa yhteydessä tutkittiin myös rekisteröityjen informointia WhatsAppin ja muiden Facebook-yritysten välisestä tietojen käsittelystä. Asiaa käsiteltiin lopulta Euroopan talousalueen tietosuojaviranomaisten välisessä yhteistyössä, koska Irlannin tietosuojaviranomainen hylkäsi Euroopan unionin jäsenmaiden valvontaviranomaisten sen päätösluonnoksesta esittämät vastalauseet ja siirsi asian tietosuojaneuvoston kiistanratkaisumenettelyyn.
Irlannin tietosuojaviranomainen täydensi päätöstään läpinäkyvyyttä koskevien rikkomusten ja määrättävän sanktion osalta tietosuojaneuvoston kiistanratkaisupäätöksen perusteella. Tietosuojaneuvosto nimittäin havaitsi, että WhatsApp oli informoinut käyttäjiään puutteellisesti myös rekisterinpitäjän oikeutetuista eduista, joihin WhatsApp-käyttäjien henkilötietojen käsittely perustui.
Irlannin tietosuojaviranomainen määräsikin WhatsApp Ireland Ltd:lle yhteensä 225 miljoonan euron suuruisen sanktion. Lopullisen sanktion määrittämisessä huomioitiin muun muassa WhatsAppin rikkomusten määrä sekä Facebook Inc. -emoyhtiön kokonaisliikevaihto perustuen siihen tulkintaan, että kaikki samoja tai toisiinsa liittyviä käsittelytoimia koskevat rikkomukset tulee ottaa huomioon sanktion määrää määriteltäessä. Lisäksi todettiin, että läpinäkyvyyttä koskevat käsittelytoimet tuli saattaa GDPR:n mukaisiksi mahdollisimman nopeasti, minkä takia tähän liittyvää määräaikaa lyhennettiin aiemmin annetusta kuudesta kuukaudesta kolmeen kuukauteen.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.