Päivitetty: 5. syysk. 2023
Ratkaisu Suomesta
Tietosuojavaltuutettu antoi elokuussa lainvoimaa vailla olevan ratkaisun, joka koski vuokratun kohteen ostotarjousta pohtivalle ilmoitettavia vuokrasopimuksen tietoja ja tietojen minimointia. Tietosuojavaltuutettu katsoi ratkaisussa, että rekisterinpitäjä ei ollut vuokrattuna myytävän asunnon esittelyssä suorittamassaan vuokralaisen henkilötietojen käsittelyssä noudattanut yleisen tietosuoja-asetuksen (GDPR) mukaista tietojen minimoinnin periaatetta. Täten tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen huomautuksen.
Tietojen minimoinnin periaatteen mukaisesti henkilötietojen on oltava asianmukaisia ja olennaisia sekä rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Euroopan tietosuojaneuvoston antamien käytännön ohjeiden mukaan on ensin selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Kaikkien käsiteltävien henkilötietojen on oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi.
Tietosuojavaltuutettu totesi ratkaisussaan muun muassa vuokralaisen henkilötunnuksen osalta, että asiassa ei esitetty mitään sellaista, joka osoitti vuokralaisen henkilötunnuksen välittämisen asuntonäytön yhteydessä ostotarjousta pohtivalle henkilölle olevan välttämätöntä sen varmistamiseksi, että tuleva vuokranantaja voisi ostotarjousta pohtiessaan varmistua vuokralaisen luotettavuudesta. Tietosuojavaltuutettu katsoi myös, ettei vuokralaisen sähköpostiosoitteen välittäminen näyttämällä vuokrasopimusta ostotarjousta pohtivalle, mahdolliselle tulevalle vuokranantajalle, ilman vuokralaisen suostumusta, ollut perusteltua. Edellä todettu koski myös vuokralaisen puhelinnumeroa.
Ratkaisu muualta Euroopasta
Ranskan tietosuojaviranomainen määräsi 250.000 euron sakon rekisterinpitäjänä toimivalle yhtiölle, joka myi kenkiä verkossa, koska yhtiö ei ollut noudattanut tietojen minimoinnin periaatetta. Yhtiö oli muun muassa nauhoittanut kaikki asiakkaiden kanssa käydyt puhelinkeskustelut (mukaan lukien osoitteet ja pankkitiedot) ja tallentanut asiakkaiden pankkitiedot osittain salaamattomana.
Yhtiön käsittelemille henkilötiedoille ei ollut määritelty säilytysaikoja. Yhtiö ei ollut poistanut sellaisten asiakkaiden henkilötietoja, jotka eivät olleet kirjautuneet käyttäjätililleen yli 10 vuoteen. Lisäksi yhtiö oli säilyttänyt yli kolmen miljoonan sellaisen mahdollisen asiakkaan henkilötietoja, jotka eivät olleet olleet aktiivisia yli viiteen vuoteen. Yhtiön tietosuojaseloste oli myös ollut puutteellinen muun muassa käsittelyperusteiden osalta, eivätkä yhtiön työntekijät olleet saaneet asianmukaisesti tietoa siitä, että heidän asiakkaiden kanssa käymänsä puhelinkeskustelut nauhoitetaan.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 6. kesäk. 2023
GDPR, DPA, DPIA, LIA, CCPA, CMP, TCF, GVL…
Osa digimarkkinoijista tuntuu vielä parantelevan tietosuoja-asetuksen (GDPR) voimaantuloon valmistautumiseen liittyviä haavoja, kun pitäisi jo opetella kasa uusia kirjainyhdistelmiä. DPA:n, DPIA:n, LIA:n lisäksi puhutaan mm. CCPA:sta, CMP:stä, TCF:stä ja GVL:stä. Samalla pitää hahmottaa, mitä apulaistietosuojavaltuutetun evästesuostumusta koskeva ratkaisu tai Privacy Shieldin kumoaminen käytännössä tarkoittaa.
Miten nämä kaikki pitäisi ottaa haltuun?
Evästesuostumus
Apulaistietosuojavaltuutetun ratkaisu siitä, että verkkosivuston julkaisijan tulee pyytää evästeisiin GDPR:n mukainen vapaaehtoinen suostumus, on tullut lainvoimaiseksi. Ratkaisun mukaan selainasetuksin annettu suostumus ei täytä GDPR:n vaatimuksia mm. sen vuoksi, että suostumuksesta kieltäytyminen ja suostumuksen peruuttaminen eivät ole yhtä helppoja kuin suostumuksen antaminen. Ratkaisu käytännössä edellyttää, että käyttäjältä saadaan suostumus evästeisiin ennen niiden asettamista. Yleiseurooppalaisista ratkaisuista ja viranomaisohjeista voidaan myös vetää yhteen, että käyttäjää tulee informoida evästeiden käyttötarkoituksista ja niitä asettavista kumppaneista mahdollisimman läpinäkyvästi. Ratkaisun kohteena olevalle yritykselle annettiin määräaika 1.9.2020 korjata käytäntöjään.
TCF ja CMP
Suostumustenhallintamekanismien käyttöönottoon on ajanut edellä mainitun ratkaisun lisäksi se, että IAB Europen Transparency & Consent Frameworkin (TCF) 2.0 -version siirtymäkausi on päättynyt 15.8.2020. Erityisesti mediasivustot ovat ottaneet käyttöön ns. consent management platformeja (CMP), joiden avulla käyttäjää informoidaan evästeiden käytöstä ja pyydetään suostumus tietojen tallentamiseen käyttäjän päätelaitteelle ja näiden tietojen käyttöön yksilöityihin käyttötarkoituksiin.
TCF:n mahdollistamin tavoin osa toimijoista vetoaa evästeillä kerättyjen tietojen hyödyntämisessä oikeutettuun etuun. Suostumuksen ja oikeutetun edun ero käytännössä se, että suostumus annetaan (käyttäjä laittaa rastin ruutuun tai siirtää togglen on -asentoon) ja oikeutettua etua vastustetaan (käyttäjä ottaa rastin ruudusta pois tai siirtää togglen off -asentoon). Jos sivusto myy digitaalista mainontaa ja/tai hyödyntää dataa ohjelmallisen mainonnan ekosysteemissä, on TCF:n mukaisesti välitetty suostumusta koskeva tieto (consent string) kieli, jota ko. ekosysteemissä toimivat tahot voivat lukea.
TCF koskee ennen kaikkea mediasivustoja ja adtech-palveluntarjojia. Useat kaupalliset CMP-palveluntarjoajat tarjoavat myös TCF:ää yksinkertaisempaa evästesuostumusta, joka voi olla ratkaisu monen tavanomaisen verkkosivuston tarpeisiin.
Ammattijargonista kohti yhteistä kieltä
Kun tietosuoja-asiantuntijat heittävät puheessaan LIA:a, DPIA:a, DPA:a, LIA:a ja CIPP:ä on kyse omaa ammatti-identiteettiä vahvistavasta jargonista, joka kuitenkin helposti rajaa rivityöntekijän ulkopuolelle ja tekee tietosuojan toteuttamisesta vain tietyn rajatun ammattikunnan työtä. Samalla tavoin digimarkkinoija saattaa puhua DSP:stä, SSP:stä, DMP:stä, CDP:stä, CMP:stä ja TCF:stä, ja tulee termejä ja käytäntöjä avaamatta rajanneeksi ulos sen henkilön, jonka pitäisi neuvotella sopimus tai laatia tietosuojainformaatio.
Miten kirjoittaa tietosuojaseloste, jossa kuvataan digitaaliseen markkinointiin liittyvä henkilötietojen käsittely mahdollisimman kansantajuisesti, ellei itsekään täysin ymmärrä?
Tietosuoja ei ole koskaan ollut vain juristien asia, vaan verkkokäyttäytymisdataa hyödyntävä digitaalinen mainonta ja markkinointi on erinomainen esimerkki siitä, että eri alojen asiantuntijoiden tulee tehdä yhteistyötä ja löytää yhteinen kieli. Juristin tai tietosuoja-asiantuntijan tulee ymmärtää käytännöt, digimarkkinoijan tulee viestiä liiketoiminnan tarpeista ja digimainonnan toimintalogiikoista sekä teknologian avulla tulee huolehtia siitä, homma toimii myös konepellin alla. Lain, liiketoiminnan ja teknologian tukena ovat prosessit, joilla varmistetaan, että kaikki nivoutuu yhteen ja kyse on jatkuvasta kehitystyöstä, ei projektista. Avoimuus ja selkeä viestintä ovat ensimmäisiä askeleita eri asiantuntijaryhmien osallistamiseen, ja siihen, ettei tietosuoja jää pelkäksi paperiharjoitukseksi.
Folks x Quru
Jotta voisimme mahdollistaa sen, että asiakas saa kattavaa palvelua yhdestä pisteestä, Folks on yhdistänyt voimansa digitaalisen markkinoinnin ja analytiikan ammattilaisista koostuvan tiimin, Qurun, kanssa. Yhdessä voimme tarjota asiakkaillemme kattavan, erityisesti nettisivujen tietosuojaan liittyvän palvelun, jossa auditoidaan asiakkaan verkkosivujen tietosuojakäytännöt, selvitetään sivuston evästeet ja skriptit, tehdään toimenpidesuositukset sekä avustetaan suositusten toteuttamisessa, kuten CMP:n implementoinnissa tai verkkosivun tietosuojaselosteen laatimisessa. Qurun missiona on auttaa asiakkaita hyödyntämään dataa liiketoiminnan ytimessä, kun taas Folksin missiona on käyttää lakia tämän mahdollistamiseen.
Onko sinulla homma hallussa?
Jos tuntuu siltä, että evästeisiin ja verkkosivuihin liittyvässä tietosuojatekemisessä olisi vielä petrattavaa, ota yhteyttä Annaan +358 40 164 8626, anna.paimela@legalfolks.fi.
Lue myös Qurun toimitusjohtajan Mira Mäkirannan blogi: "Keksit haltuun: Lainmukaisen evästehallinnan kolme tärkeää askelta".
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 5. syysk. 2023
Ratkaisuja Suomesta
Apulaistietosuojavaltuutettu antoi heinäkuussa yhteensä 14 ratkaisua, joissa käsiteltiin pääasiallisesti sähköistä suoramarkkinointia ja siihen liittyviä rekisteröidyn oikeuksia.
Sähköinen suoramarkkinointi ja rekisteröidyn suostumus
Ratkaisuissa tuotiin muun muassa esille, että suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen etukäteisen suostumuksensa. Suostumuksella tarkoitetaan yleisen tietosuoja-asetuksen (GDPR) mukaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Tietojen käsittelyn perustuessa suostumukseen, on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Rekisteröidyllä on milloin tahansa oikeus peruuttaa antamansa suostumus. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä oikeudesta. Suostumuksen peruuttamisen on oltava rekisteröidylle yhtä helppoa kuin sen antaminen.
Ratkaisuissa todettiin, että suostumuksen vaatimus sinällään seuraa sähköisen viestinnän palveluista annetussa laista (viestintäpalvelulaki), jota tulee kuitenkin lukea yhdessä GDPR:n kanssa. Viestintäpalvelulaissa ei säädetä suostumuksen edellytyksistä, vaan suostumuksen edellytyksistä säädetään GDPR:ssä. Koska tällöin on kyse henkilötietojen käsittelyyn liittyvän suostumuksen GDPR:n mukaisista edellytyksistä, oli tietosuojavaltuutettu sähköistä suoramarkkinointia koskevissa tapauksissa toimivaltainen käyttämään sille GDPR:ssä määriteltyjä toimivaltuuksia.
Ratkaisuissa tuotiin myös esille, että suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Lähtökohta on kuitenkin se, että mikäli työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@yritys.fi, on sähköpostiosoitetta pidettävä luonnollisen henkilön osoitteena, ja henkilöltä on tällöin saatava etukäteinen suostumus suoramarkkinointiin. Apulaistietosuojavaltuutettu katsoikin, että rekisterinpitäjän tulee ennen suoramarkkinoinnin kohdistamista yhteisössä toimivalle luonnolliselle henkilölle selvittää kyseisen henkilön asema yhteisössä ja arvioida, liittyvätkö suoramarkkinointiviestissä markkinoidut hyödykkeet ja palvelut olennaisesti henkilön työtehtäviin. Pelkästään se seikka, että henkilö työskentelee yrityksessä, joka kuuluu rekisterinpitäjän asiakassegmenttiin, ja että tämän yrityksen työntekijän työsuhdepuhelimen puhelinnumero on yrityksen käytössä, ei tarkoita luonnollisella henkilöllä työntekijänä olevan asemavaltuus vastaanottaa suoramarkkinointia.
Sakon määrääminen
Edellä mainituista 14 ratkaisusta 11 koski saman rekisterinpitäjän toimintaa liittyen sähköiseen suoramarkkinointiin ja rekisteröidyn oikeuksien toteuttamiseen. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio arvioi kyseistä rekisterinpitäjää koskevassa päätöksessään tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi 7.000 euron suuruisen sakon määräämisen.
Rekisterinpitäjän rikkomukset kohdistuivat GDPR:n perusperiaatteisiin, suostumuksen edellytysten puuttumiseen sekä rekisteröidyn mukaisten oikeuksien toteuttamatta jättämiseen ja laiminlyöntiin. Apulaistietosuojavaltuutetun kyseistä rekisterinpitäjää koskevista ratkaisuista ilmenee, että rekisterinpitäjä oli laiminlyönyt sähköiseen suoramarkkinointiin vaadittavan suostumuksen edellytykset ainakin 11 henkilön osalta. Lisäksi rekisterinpitäjä oli samalla laiminlyönyt ja jättänyt toteuttamatta 10 rekisteröidyn osalta yhden tai useamman GDPR:n mukaisen oikeuden. Rekisterinpitäjän aiheuttama GDPR:n säännösten rikkominen ei ollut hetkellistä tai tapahtunut inhimillisen virheen johdosta sillä rikkomuksia tapahtui toistuvasti useamman kuukauden ajan. Rekisteröidyt olivat olleet yhteydessä rekisterinpitäjään ja tuoneet tämän tietoon sen, ettei se ollut toteuttanut heidän oikeuksiaan. Rekisterinpitäjä oli kuitenkin rekisteröityjen yhteydenotoista huolimatta jatkanut toimintaansa ennallaan useamman kuukauden ajan, mikä osoitti sen, että rekisterinpitäjä oli tahallisesti laiminlyönyt rekisteröidyn oikeuksien toteutumisen.
Seuraamuskollegio katsoi, että rekisterinpitäjä oli pyrkinyt hyötymään GDPR:n ja viestintäpalvelulain rikkomisesta, mikä puolsi sakon määräämistä. Lisäksi otettiin huomioon sakon määrää ankaroittavana seikkana rekisterinpitäjän yhteistyöhaluttomuus tietosuojavaltuutetun toimiston kanssa. Sakon määrää lieventävänä tekijänä huomioitiin vuorostaan se, ettei rekisteröidyille ollut aiheutunut rikkomuksista taloudellista tai muuta aineellista vahinkoa.
Osakasluettelon tietojen luovuttaminen - henkilötietojen käsittelijä vai rekisterinpitäjä?
Yhdessä heinäkuussa annetussa ratkaisussa yritys oli vuorostaan katsonut osakasluetteloista saatujen henkilötietojen luovuttamisen suoramarkkinointiin olleen mahdollista. Suoramarkkinointiin luovutettavia tietoja olivat olleet nimi, osoite tai kotipaikka, syntymäaika, kansalaisuus, omistustiedot, odotusluettelomäärät, sekä odotusluettelolla olon syy ja tiedot mahdollisista yhteisomistajista. Kyseessä oleva yritys katsoi toimineensa henkilötietojen käsittelijänä yhtiön tai osuuskunnan lukuun, ja rekisteröidyn informointivelvollisuus suoramarkkinoinnista oli tällöin yhtiöllä tai osuuskunnalla. Apulaistietosuojavaltuutettu katsoi kuitenkin, että yritys oli toiminut rekisterinpitäjänä ja antoi tälle GDPR:n mukaisen huomautuksen sekä määräyksen saattaa käsittelytoimet GDPR:n mukaisiksi.
Apulaistietosuojavaltuutettu totesi, että henkilötietojen käsittelyn tarkoitukset voi määritellä vain rekisterinpitäjä, mutta keinojen osalta rajanveto ei ole yhtä selkeä, koska niiden osalta rekisterinpitäjän on mahdollista valtuuttaa henkilötietojen käsittelijä tekemään päätöksiä siitä, miten henkilötietoja käsitellään, kun kyse on teknisistä ja organisatorisista seikoista. Jos käsittelijä kuitenkin päättää oma-aloitteisesti laventaa käsittelyn keinoja, se ei silloin toimi rekisterinpitäjältä saadun valtuutuksen oikeuttamana. Yrityksen tapauksessa ei ollut kyse teknisten ja organisatoristen seikkojen alle menevistä toimenpiteistä, vaan yritys oli tehnyt sellaisia henkilötietojen käsittelyä koskevia päätöksiä, joiden tekeminen kuului rekisterinpitäjälle. Täten yritys oli muuttunut tuon käsittelyn osalta rekisterinpitäjäksi ja sen olisi pitänyt siitä hetkestä lähtien ryhtyä toteuttamaan GDPR:ssä rekisterinpitäjälle säädettyjä velvollisuuksia.
Ratkaisussa tuotiin myös esille, että tietojen luovutuksesta ei voi päättää henkilötietojen käsittelijä, vaan sen tulee käsitellä henkilötietoja rekisterinpitäjän antaman ohjeistuksen mukaisesti. Rekisterinpitäjän ohjeistuksen ulkopuolella toimiminen johtaa roolin muuttumiseen henkilötietojen käsittelijästä rekisterinpitäjäksi ja samalla useiden GDPR:n artiklojen rikkomiseen.
Ratkaisuja muualta Euroopasta
Italian tietosuojaviranomainen määräsi rekisterinpitäjälle 16,7 miljoonan euron suuruisen sakon satoihin rekisteröityihin tekstiviestien, sähköpostin, puhelinsoittojen ja automaattisten puheluiden avulla kohdistetusta laittomasta suoramarkkinoinnista ilman rekisteröityjen antamaa suostumusta. Rekisteröity ei myöskään pystynyt käyttämään oikeuttaan peruuttaa antamansa suostumus ja vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksissa, koska rekisterinpitäjän tietosuojaselosteessa olleet yhteystiedot olivat olleet puutteellisia. Rekisteröityjen tiedot julkaistiin myös julkisissa puhelinluetteloissa heidän vastustuksestaan huolimatta. Lisäksi useat rekisterinpitäjän jakamat sovellukset oli toteutettu siten, että joka kerta, kun rekisteröity käytti sovellusta, hänen tuli antaa antaa suostumuksensa eri käsittelytoimiin, ja annettu suostumus oli mahdollista peruuttaa vasta 24 tunnin kuluttua sen antamisesta.
Alankomaiden tietosuojaviranomainen määräsi rekisterinpitäjälle 830.000 euron suuruisen sakon, koska se oli vaatinut maksua rekisteröidyltä, kun tämä pyysi sähköistä pääsyä henkilötietoihinsa. Rekisterinpitäjä tarjosi rekisteröidylle postitse ilmaisen pääsyn tietoihin vain kerran vuodessa. GDPR:n mukaan rekisterinpitäjän on tarjottava rekisteröidylle mahdollisuus käyttää henkilötietojaan sähköisessä muodossa, kun hänen tietojaan käsitellään sähköisesti. Lähtökohtaisesti pääsy henkilötietoihin tulisi toteuttaa ilmaiseksi. Mikäli pyyntöjen katsottaisiin kuitenkin olevan toistuvia, voisi maksun vaatiminen olla perusteltua. Tällaiset tilanteet tulisi arvioida tapauskohtaisesti. Tietosuojaviranomainen katsoi tässä tapauksessa, että maksun vaatiminen rekisteröidyltä ei ollut perusteltua.
Belgian tietosuojaviranomainen määräsi Googlen belgialaiselle tytäryhtiölle 600.000 euron suuruisen sakon rekisteröidyn hakemuksen hylkäämisestä. Rekisteröity oli pyytänyt häntä koskevien vanhentuneiden artikkeleiden poistamista, koska hän katsoi niiden vahingoittavan hänen mainettaan. Belgian tietosuojaviranomainen totesi, että perusteettomiin häirintää koskeviin valituksiin liittyvillä artikkeleilla voi olla vakavia seurauksia rekisteröidylle ja hänellä oli täten oikeus saada artikkelit poistetuksi. Tämä oikeus on myös poliittisissa viroissa toimivilla henkilöillä, vaikka he eivät yleensä julkisen asemansa takia nauti vastaavaa yksityisyyden suojaa kuin muut yksityiset henkilöt. Sakosta 500.000 euroa määrättiin rekisteröidyn hakemuksen hylkäämisestä ja 100.000 euroa avoimuusperiaatteen rikkomisesta, koska Google ei ollut riittävästi perustellut hakemuksen hylkäämistä.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.