Päivitetty: 5. syysk. 2023
Tietosuojavaltuutetun toimisto antoi toukokuussa kuusi päätöstä, joista neljässä määrättiin ensimmäisistä yleisen tietosuoja-asetuksen (GDPR) mukaisista hallinnollisista seuraamusmaksuista Suomessa. Käsittelemme tässä blogissa tarkemmin näitä neljää päätöstä. Yhtä annettua päätöstä, jossa todettiin, että selainasetuksilla ei voi antaa pätevää suostumusta evästeille, käsitellään tarkemmin Folksin toisessa blogitekstissä, jonka voi lukea täältä. Annetuista päätöksistä voi valittaa hallinto-oikeuteen, joten ne eivät ole vielä lainvoimaisia.
Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot
Ensimmäinen käsiteltävä päätös koski Postin käsittelemien henkilötietojen läpinäkyvyyttä ja rekisteröidylle toimitettavia tietoja. Käytännössä kysymys oli osoitteenmuutostiedoista, joiden luovuttaminen oli johtanut epätoivottuun markkinointiin.
Apulaistietosuojavaltuutettu antoi Postille GDPR:n mukaisen huomautuksen, koska sen muuttoilmoitusten yhteydessä suorittama henkilötietojen käsittely ei ollut ollut läpinäkyvää GDPR:ssä säädetyn mukaisesti. Posti ei ollut toimittanut muuttoilmoitusten yhteydessä rekisteröidyille GDPR:ssä tarkoitettuja tietoja oikea-aikaisesti silloin, kun henkilötietoja oli saatu rekisteröidyiltä.
GDPR:ssä on säädetty henkilötietojen käsittelyn läpinäkyvyyttä koskevasta velvollisuudesta, josta tietosuojatyöryhmä on antanut käytännön ohjeita, joissa on todettu, että läpinäkyvyyttä koskeva velvollisuus käsittää kolme keskeistä osa-aluetta: 1) tietojen asianmukaista käsittelyä koskevan tiedon antaminen rekisteröidyille, 2) rekisterinpitäjien tapa tiedottaa rekisteröidyille näiden GDPR:ään perustuvista oikeuksista ja 3) rekisterinpitäjien keinot auttaa rekisteröityjä käyttämään oikeuksiaan.
Päätöksessä todettiin, että voidakseen käyttää tietojen luovutusta koskevaa kielto-oikeuttaan on rekisteröidyn tiedettävä tällaisen oikeuden olemassaolosta. Postin tietosuojaselosteessa ollutta mainintaa kielto-oikeudesta ei voitu pitää riittävänä. Tietosuojaselosteessa ”Turvallinen tietojen luovutus” -otsikon alla oli kerrottu Postin suorittamasta tietojen luovutuksesta. Tässä yhteydessä ei kuitenkaan ollut minkäänlaista mainintaa luovutuskiellon mahdollisuudesta, vaan siitä oli esitetty tietosuojaselosteessa suppea maininta irrallaan varsinaisesta tietojen luovutusta koskevasta osiosta. Luovutuskiellosta oli mainittu ainoastaan yhdellä sanalla, eikä sen sisältöä ollut selostettu. Edellä esitetyn ei katsottu noudattaneen läpinäkyvyyden periaatteeseen sisältyvää velvollisuutta helposti ymmärrettävästä muodosta.
Vaikka Postin edellä selostettu toiminta oli ollut tuottamuksellista, apulaistietosuojavaltuutettu katsoi, että huomautuksen lisäksi oli arvioitava hallinnollisen seuraamusmaksun määräämistä, sillä kysymyksessä olleet puutteet Postin suorittamassa henkilötietojen käsittelyssä olivat vaikuttaneet satojen tuhansien rekisteröityjen oikeuksiin. Asian kokonaisarvioinnissa annettiin merkitystä myös sille, että Posti oli menettelyllään asettanut muuttoilmoituksen tehneet rekisteröidyt eri asemaan sillä perusteella, oliko maksuun perustuvaa asiakassuhdetta syntynyt vai ei. Maksavien asiakkaiden henkilötietojen suojan toteutumisesta oli huolehdittu paremmin.
Seuraamusmaksu
Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio määräsi Postin maksamaan valtiolle 100.000 euron suuruisen hallinnollisen seuraamusmaksun, jonka määräämiseen vaikutti rikkomuksen luonne, kesto, rekisteröityjen lukumäärää ja rikkomuksen tuottamuksellisuus. Kokonaisarvioinnissa otettiin huomioon se, että Posti oli ryhtynyt läpinäkyvyyttä merkittävästi parantaviin toimiin vasta viranomaisen otettua neljännen kerran yhteyttä Postiin varatakseen tälle tilaisuuden tulla kuulluksi asian käsittelyn mahdollisesti siirtyessä hallinnollisesta seuraamusmaksusta päättävälle seuraamuskollegiolle. Seuraamuskollegio katsoikin Postin olleen tietoinen siitä, että sen suorittama informointi ei ollut tavoittanut osaa rekisteröidyistä, mihin liittyen Posti oli ilmoittanut tutkivansa mahdollisuuksiaan parantaa informointinsa läpinäkyvyyttä jo syksyllä 2017.
Vaikutustenarviointi, rekisteröidyn informointi ja henkilötietojen käsittelyn dokumentointi
Seuraavassa päätöksessä oli kyse siitä, että Taksi Helsinki ei ollut rekisterinpitäjänä arvioinut sen henkilötietojen käsittelyyn liittyviä riskejä ja vaikutuksia ennen kuin se otti käyttöönsä ääntä ja kuvaa sen takseissa tallentavan turvakameravalvontajärjestelmän. Puutteita havaittiin myös Taksi Helsingin asiakkaiden informoinnissa ja henkilötietojen käsittelyn dokumentoinnissa.
Taksi Helsinki otti käyttöön uuden kuvaa ja ääntä nauhoittavan kameravalvontajärjestelmänsä kesällä 2019. Samassa yhteydessä yhtiö ei arvioinut siihen liittyvän henkilötietojen käsittelyn lainmukaisuutta. Apulaistietosuojavaltuutettu määräsikin Taksi Helsingin tekemään GDPR:n edellyttämän tasapainotestin, jossa arvioidaan muun muassa henkilötietojen käsittelyn tarpeellisuutta ja vaikutuksia rekisteröityjen eduille sekä oikeuksille.
Taksi Helsinki käsitteli osassa sen taksiautoista autoilijoiden ja heidän asiakkaiden henkilötietoja kuvaa sekä ääntä tallentavan turvakameravalvontajärjestelmän avulla. Apulaistietosuojavaltuutettu katsoi, ettei äänitietojen käsittely ollut GDPR:n tietojen minimoinnin periaatteen mukaista ja määräsi Taksi Helsingin varmistamaan, että äänitietojen käsittely taksien turvakameravalvonnan yhteydessä ilman asiallisia perusteita lopetetaan välittömästi.
Taksi Helsinki ei ollut informoinut rekisteröityjä heidän henkilötietojen käsittelystä lain edellyttämällä tavalla. Takseissa olevissa ilmoituksissa ei kerrottu äänen tallentamisesta eikä siitä, mistä rekisteröidyt olisivat voineet saada siitä tiedon. Lisäksi Taksi Helsinki ei kertonut tietosuojaselosteessaan sen kanta-asiakasohjelman yhteydessä suoritetusta automaattisesta päätöksenteosta ja profiloinnista. Näin ollen apulaistietosuojavaltuutettu määräsi Taksi Helsingin muuttamaan tiedottamiskäytäntöjään siten, että henkilötietojen käsittelystä kerrotaan ymmärrettävästi ja kyseisten tietojen tulee olla helposti saatavilla.
Taksi Helsinki ei ollut myöskään tehnyt GDPR:n edellyttämiä vaikutustenarviointeja ennen henkilötietojen käsittelyn aloittamista. Tietosuojaa koskeva vaikutustenarviointi olisi tullut tehdä kameravalvonnasta, sijaintitietojen käsittelystä sekä kanta-asiakasohjelman yhteydessä harjoitetusta automaattisesta päätöksenteosta ja profiloinnista, joista todennäköisesti katsottiin aiheutuvan korkea riski luonnollisen henkilön oikeuksille ja vapauksille. Näin ollen apulaistietosuojavaltuutettu määräsi Taksi Helsingin tekemään vaikutustenarvioinnin edellä mainituista henkilötietojen käsittelyistä.
Lisäksi apulaistietosuojavaltuutettu määräsi Taksi Helsingin määrittelemään kattavasti ne toimijat, jotka toimivat henkilötietojen käsittelijänä. Sen oli myös määriteltävä miltä osin se toimii yhteisrekisterinpitäjänä taksiautoilijayrittäjien kanssa.
Seuraamusmaksu
Seuraamuskollegio määräsi Taksi Helsingille 72.000 euron suuruisen hallinnollisen seuraamusmaksun. Sen määräämisessä otettiin huomioon muun muassa se, että Taksi Helsinki käsittelee henkilötietoja laajamittaisesti ja henkilötietojen käsittely koskee merkittävää määrää rekisteröityjä ja henkilötietotyyppejä. Asiassa huomioitiin myös raskauttavana seikkana se, että Taksi Helsingin katsottiin käsittelevän tavanomaisessa toiminnassaan heikommassa asemassa olevien rekisteröityjen tietoja (esim. lapset ja ikääntyneet ihmiset). Toisaalta seuraamuskollegio otti koronatilanteen vaikutukset yleisesti huomioon seuraamusmaksun määrää alentavana tekijänä.
Työntekijöiden sijaintietojen käsittely ja vaikutustenarviointi
Kolmannessa päätöksessä rekisterinpitäjänä toiminut työnantaja oli käyttänyt ajotietojärjestelmästä saatuja työntekijöiden sijaintitietoja heidän työaikojen seurantaan. Asiassa oli kyse siitä, oliko rekisterinpitäjä täyttänyt sille GDPR:n nojalla mahdollisesti asetetun velvollisuuden suorittaa tietosuojaa koskeva vaikutustenarviointi.
Päätöksessä tuotiin esille, että vaikutustenarviointi tulee tehdä, kun käsitellään esimerkiksi heikossa asemassa olevien rekisteröityjen sijaintitietoja. Heikossa asemassa olevilla rekisteröidyillä tarkoitetaan muun muassa työntekijöitä. Tietosuojavaltuutettu katsoikin, että rekisterinpitäjän olisi tullut suorittaa tietosuojaa koskeva vaikutustenarviointi käsiteltävänä olleiden työntekijöiden sijaintiin liittyvien käsittelytoimien osalta. Näin ollen tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen huomautuksen tietosuojaa koskevan vaikutustenarvioinnin tekemättä jättämisestä sekä sisäänrakennetun ja oletusarvoisen henkilötietojen käsittelyn periaatteeseen ja rekisterinpitäjän vastuun toteuttamiseen liittyvistä puutteista.
Seuraamusmaksu
Seuraamuskollegio katsoi tapauksessa tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi 16.000 euron suuruisen hallinnollisen seuraamusmaksun määräämisen, mitä perusteltiin rikkomusten luonteella, vakavuudella, tuottamuksellisuudella ja rekisteröityjen heikommalla asemalla suhteessa rekisterinpitäjään. Seuraamuskollegio toi esille sen, että tietosuojaa koskeva vaikutustenarviointi on GDPR:n keskeinen elementti ja sen tekemättä jättäminen on vakava puute.
Tarpeettomien henkilötietojen kerääminen
Viimeisessä käsiteltävässä päätöksessä oli kyse työnhakijoiden henkilötietojen tarpeettomasta keräämisestä. Tapauksessa rekisterinpitäjänä toiminut työnantaja oli kerännyt GDPR:n sekä sitä täydentävän kansallisen työelämän tietosuojalain säännösten vastaisesti työnhakijoista ja työntekijöistä tarpeettomia henkilötietoja.
Lain mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa edes rekisteröidyn antamalla suostumuksella.
Rekisterinpitäjä oli lomakkeellaan kysynyt työnhakijalta tietoja tämän syntymäkunnasta, seurakunnasta, perhesuhteista, suojelukoulutuksesta, sotilasarvosta, asunnosta, varusmiespalveluajan aloitusvuodesta, varusmiespalveluajasta, puolison nimestä, ammatista ja työpaikasta, lasten syntymävuosista, terveydentilasta sekä tietoa siitä, onko työnhakija raskaana vai ei.
Tietosuojavaltuutettu totesi, että tietoa henkilön sotilaskoulutuksesta voidaan jossain tapauksissa pitää lain edellyttämän tarpeellisuusvaatimuksen mukaisena arvioitaessa henkilön soveltuvuutta esimiestehtäviin. Tällaisen tiedon kysymistä lähtökohtaisesti kaikilta työnhakijoilta ei kuitenkaan voida pitää lain mukaisena. Lisäksi tietosuojavaltuutettu toi esille, että työntekijän lähiomaisen tietojen kysymisen tulee olla välittömästi työntekijän työsuhteen kannalta tarpeellista, ja liittyä työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtua työtehtävien erityisluonteesta.
Tietosuojavaltuutettu katsoikin, että lomakkeella kysytyt tiedot työnhakijan syntymäkunnasta, seurakunnasta, perhesuhteista, asunnosta, puolison nimestä, ammatista ja työpaikasta, lasten syntymävuosista, terveydentilasta ja mahdollisesta raskaudesta eivät olleet sellaisia tietoja, joita rekisterinpitäjällä olisi ollut mahdollista kysyä työnhakijoilta tai työntekijöiltä taikka muutoinkaan käsitellä. Tietosuojavaltuutettu ei katsonut sillä olevan merkitystä asiassa, että kysyttyjen tietojen kertominen oli rekisterinpitäjän mukaan ollut vapaaehtoista, koska lain mukaan tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.
Lisäksi tietosuojavaltuutettu katsoi, että rekisterinpitäjän laatima ja ylläpitämä seloste sen vastuulla olevista työntekijöiden ja työnhakijoiden henkilötietoja koskevista käsittelytoimista oli ollut puutteellinen. Siitä ei ollut riittävällä tarkkuudella ilmennyt GDPR:n mukaisia henkilötietojen suunniteltuja poistoaikoja. Tietosuojavaltuutettu totesikin, että rekisterinpitäjä oli laiminlyönyt sille GDPR:n nojalla kuuluvan osoitusvelvollisuuden.
Tietosuojavaltuutettu katsoi myös, että rekisterinpitäjä ei ollut työntekijöiden ja työnhakijoiden henkilötietojen käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteuttanut GDPR:n mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja joilla olisi varmistettu, että oletusarvoisesti olisi käsitelty vain kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.
Tietosuojavaltuutettu määrääsi rekisterinpitäjän saattamaan käsiteltävänä olevat käsittelytoimet lain mukaisiksi siten, että kaikki työntekijöistä ja työnhakijoista kerätyt henkilötiedot, jotka olivat käsittelyn tarkoituksen kannalta tarpeettomia, poistetaan siltä osin, kun niille ei ole osoitettavissa laillista käsittelyperustetta. Tietosuojavaltuutettu antoi myös rekisterinpitäjälle GDPR:n mukaisen huomautuksen käsittelytoimia koskevaan selosteeseen, osoitusvelvollisuuteen sekä sisäänrakennetun ja oletusarvoisen henkilötietojen käsittelyn periaatteiden toteuttamiseen ja rekisterinpitäjän vastuuseen liittyvistä puutteista.
Seuraamusmaksu
Seuraamuskollegio katsoi, että rekisterinpitäjän rikkomukset ja puutteet olivat niiden luonne ja vakavuus, työnhakijoille aiheutunut syrjinnän riski sekä rekisterinpitäjään nähden heikommassa asemassa olevien henkilöiden erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely huomioiden vakavuudeltaan sellaisia, että tehokas, oikeasuhteinen ja varoittava seuraamus, edellä mainittujen tietosuojavaltuutetun antamien määräysten lisäksi, oli 12.500 euron suuruinen hallinnollinen seuraamusmaksu.
Yhteenveto ja seuraavat toimenpiteet
Tietosuoja-asetusta on nyt sovellettu kaksi vuotta. Seuraamusmaksut ovat osoitus siitä, että tietosuojaviranomaisen linja seuraamusten suhteen on muuttumassa: enää selitykset siitä, että "emme tienneet" tai "emme ole vielä ehtineet", eivät kelpaa, vaan yritysten odotetaan tietävän ja toteuttavan tietosuojan perusperiaatteet, kuten kertovan käsittelystä läpinäkyvästi, arvioivan riskejä aktiivisesti, keräävän vain tarpeellisia tietoja sekä huolehtivan osoittamisvelvollisuudesta. Varmista siis viimeistään nyt, että yritykselläsi on tietosuojalainsäädännön edellyttämä dokumentaatio, kuten tietosuojalausekkeet, selosteet käsittelytoimista, vaikutustenarvioinnit, tietojenkäsittelysopimukset, kirjanpito tietoturvaloukkauksista, dokumentoidut prosessit mm. rekisteröidyn oikeuksien ja datan elinkaaren hallintaan, ja että henkilöstölläsi on tarvittava osaaminen noudattaa dokumentteja myös käytännössä.
Annamme mielellämme lisätietoja ratkaisusta ja tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 6. kesäk. 2023
Apulaistietosuojavaltuutettu otti päätöksessään 14.5.2020 kantaa evästesuostumuksen pätevyyteen.
Rekisterinpitäjän antaman selvityksen mukaan se noudattaa evästeisiin annettavan suostumuksen osalta Traficomin ohjeistusta. Tämän ohjeen mukaan suostumus ei-välttämättömiin evästeisiin voidaan antaa selaimen asetusten avulla. Lisäksi rekisterinpitäjä kertoo ottaneensa käyttöön niin sanotun evästebannerin, jonka tarkoituksena on lisätä evästeiden käyttöön liittyvää läpinäkyvyyttä ja tehdä vaikutusmahdollisuuksien käyttämisestä mahdollisimman helppoa. Klikkaamalla bannerin kohtaa ”Lisätietoja” käyttäjä pääsee tietosuojaselosteeseen, jossa on lisätietoja evästeistä, rekisterinpitäjän kumppaneista ja vaikutusmahdollisuuksista. ”Lisätietoja” ja ”OK” -napin lisäksi evästebannerissa ei ole erillistä mahdollisuutta kieltää evästeitä.
Apulaistietosuojavaltuutettu katsoi, ettei ko. menettely täytä lainsäädännön edellytyksiä ja antoi rekisterinpitäjälle määräyksen muuttaa sen toimintatavat suostumuksen pyytämisessä yleisen tietosuoja-asetuksen (GDPR) mukaiseksi. Apulaistietosuojavaltuutettu katsoi, että sähköisen viestinnän tietosuojadirektiivin (ja näin ollen sähköisen viestinnän palveluista annetun lain) viittaukset suostumukseen olivat korvautuneet henkilötietodirektiivin kumoamisen johdosta tietosuoja-asetuksella. Sen mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.
Tulkinnanvarainen tilanne selkiytyy
Yleiseurooppalainen tulkinta, muutamia poikkeuksia lukuun ottamatta, on jo pitkään ollut se, että evästeille tulee saada GDPR:n mukainen suostumus. Suomessa epävarmuutta on aiheuttanut Traficomin kansallisen lain vanhoihin esitöihin perustuva linja, jonka mukaan suostumus voidaan antaa selainasetusten avulla. Traficomin nettisivuilla olevaan linjaukseen on viitattu laajalti, sillä se on ollut ainoa selvästi julkituotu viranomaisohjeistus evästesuostumukseen liittyen.
Tässä ratkaisuissa tietosuojavaltuutetun toimisto kuitenkin vahvisti, että vaikka evästeitä valvoo Traficom, tietosuojavaltuutetun toimisto on toimivaltainen ottamaan kantaa tiedollisen itsemääräämisoikeuden käyttöön perustuvan suostumuksen antamiseen. Lisäksi EU-oikeuden etusijasta seuraa, että suostumusta on tulkittava yleisen tietosuoja-asetuksen mukaisesti.
Ratkaisun mukaan bannerin kautta annettavan suostumuksen ei voitu katsoa täyttävän vapaaehtoisen suostumuksen edellytyksiä, eikä suostumuksesta kieltäytymistä tai sen peruuttamista ollut tehty yhtä helpoksi kuin suostumuksen antamista. Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää. Apulaistietosuojavaltuutettu katsoi, ettei tietosuoja-asetuksen mukaista suostumusta voida antaa siten, että käyttäjä jättää tekemättä muutoksia selainasetuksiinsa.
Aikataulu ja seuraavat toimenpiteet
Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle määräyksen muuttaa sen käsittelytoimet suostumuksen keräämisessä yleisen tietosuoja-asetuksen säännösten mukaisiksi. Se jätti rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määräsi toimittamaan selvityksen tehdyistä toimenpiteistä 1.9.2020 mennessä.
Tiedotteen mukaan tietosuojavaltuutetun toimistossa on vireillä kymmeniä vastaavia tapauksia, jotka tullaan ratkaisemaan nyt annetun päätöksen mukaisesti. Yritysten, joilla hyödynnetään evästeitä muihin kuin välttämättömiin tarkoituksiin, kannattaa harkita seuraavia toimenpiteitä kesän ja alkusyksyn aikana:
Tee evästeaudit. Esimerkiksi Webbkoll-palvelulla pääsee alkuun.
Listaa kumppanit sekä luokittele evästeet ja niiden käyttötarkoitukset.
Poista turhat/vanhentuneet skriptit.
Kartoita suostumustenhallintamekanismeja, testaa ja ota käyttöön. Tee samalla tarvittavat muutokset tägienhallintaan, kuten Google Tag Manageriin.
Päivitä sivustosi tietosuoja/evästekäytännöt.
Lue myös aikaisempi kirjoitus: "Ajankohtaista digimainonnan tietosuojasta."
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
040 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 5. syysk. 2023
Ratkaisut Suomesta
Apulaistietosuojavaltuutettu antoi huhtikuussa yhteensä viisi ratkaisua, jotka koskivat kaikki url-hakutuloslinkkien poistamista Google Search -hakupalvelusta. Kyseiset ratkaisut eivät ole vielä lainvoimaisia.
Yhdessä ratkaisussa poistettavaksi pyydettyjen hakutuloslinkkien takaa oli löydettävissä muun muassa rekisteröidyn sukuelimestä otettu kuva, joka oli julkaistu verkossa ilman rekisteröidyn suostumusta.
Apulaistietosuojavaltuutettu totesi kyseisessä ratkaisussa, että rekisteröidylle oli hänelle tuomitun neljän kuukauden pituisen ehdollisen vankeusrangaistuksen myötä syntynyt julkinen tai julkisen kaltainen asema, joka toi lähtökohtaisesti suurelle yleisölle oikeutetun intressin rekisteröityä koskevien henkilötietojen saamiseen Google Search -hakupalvelusta. Lisäksi ratkaisussa tuotiin esille, että Journalistin ohjeiden mukaan rikoksesta tuomitun nimen, kuvan tai muita tunnistetietoja voi julkaista, ellei se tuomitun asemaan tai tekoon nähden ole selvästi kohtuutonta. Rekisteröity oli toiminut myös aktiivisesti eräässä poliittiseksi liikkeeksi katsottavassa liikkeessä, jonka toiminnasta oli uutisoitu paljon.
Ottaen huomioon rekisteröidyn julkinen asema, suuren yleisön tiedonsaantioikeudet sekä Google Search -hakupalvelun tarkoitus ja rooli tiedonjakelijana, apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjällä oli oikeus käsitellä hakutuloslinkkejä Google Search -hakupalvelussa. Apulaistietosuojavaltuutettu totesi kuitenkin yhden hakutuloslinkin osalta, että sen takaa löytynyt kuva rekisteröidyn sukuelimestä oli arkaluonteinen tieto, ja antoi siitä Googlelle yleisen tietosuoja-asetuksen (GDPR) mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisen hakutuloslinkin poistamisesta.
Toisessa vastaavanlaisessa ratkaisussa oli kyse sellaisen hakutuloslinkin poistamista, joka johti verkkosisältöön, jossa oli kerrottu rekisteröidylle useamman lapsen seksuaalisesta hyväksikäytöstä tuomitusta ehdottomasta vankeusrangaistuksesta. Kyseisen linkin takaa oli löydettävissä myös rekisteröidyn henkilötunnus.
Ensimmäisen esitellyn ratkaisun tavoin apulaistietosuojavaltuutettu katsoi, että rekisteröidyn saaman tuomion myötä rekisteröidylle oli syntynyt julkinen tai julkisen kaltainen asema, joka toi lähtökohtaisesti suurelle yleisölle oikeutetun intressin rekisteröityä koskevien henkilötietojen saamiseen Google Search -hakupalvelusta.
Ratkaisussa otettiin kuitenkin huomioon se, että hakutuloslinkin takaa oli saatavilla myös rekisteröidyn henkilötunnus, jota saa käsitellä tietosuojalain mukaisesti rekisteröidyn suostumuksella tai laissa säädetyllä perusteella. Lisäksi sitä saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää muun muassa rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi. Henkilötunnuksen käsittely ei kuitenkaan ole sallittua esimerkiksi kolmannen osapuolen tai rekisterinpitäjän oikeutettujen etujen toteuttamiseksi. Näin ollen apulaistietosuojavaltuutettu päätyi antamaan Googlelle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisen hakutuloslinkin poistamisesta.
Yhdessä ratkaisussa rekisteröity oli vuorostaan toiminut mediassa entisen työnantajansa edustajana. Rekisteröity pyysi sellaisten hakutuloslinkkien poistamista, joiden takaa löytyi pääosin tietoa kyseessä olevan yhtiön väitetysti kyseenalaisesta tai muutoin arvostelun kohteena olleesta toiminnasta taikka toimintatavoista.
Ratkaisussa tuotiin esille, että lähtökohtaisesti liike-elämässä mukana olevien henkilöiden voidaan yleensä katsoa olevan julkisessa asemassa. Rekisteröidyn ei kuitenkaan osoitettu toimineen yhtiössä julkisen merkinnän alaisessa asemassa, ts. hänestä ei ollut tehty merkintää kaupparekisteriin, johon merkitään muun muassa tietoja yhtiön edustajista, edustamiseen oikeutetuista, hallintoneuvoston jäsenistä, hallituksen jäsenistä ja toimitusjohtajasta. Näyttöä ei myöskään esitetty siitä, että rekisteröity olisi toiminut yhtiössä määräävässä asemassa. Rekisteröidyn ei katsottu olleen julkisessa tai julkisen kaltaisessa asemassa pelkästään siksi, että hän oli toiminut yhtiössä sen tiedottajana.
Poistettavaksi pyydettyjen hakutuloslinkkien takaa löytyneissä verkkojulkaisuissa ei arvosteltu rekisteröidyn toimintaa, mutta kyseisten verkkosisältöjen saatavilla olo rekisteöridyn nimellä tehtävien Google Search -hakujen yhteydessä saattoi antaa virheellisen kuvan rekisteröidystä. Myös sillä oli tapauksen kokonaisarvioinnissa merkitystä, että rekisteröity ei enää ollut yhtiön palveluksessa. Apulaistietosuojavaltuutettu päätyikin antamaan Googlelle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisten hakutuloslinkkien poistamisesta.
Ratkaisuja muualta Euroopasta
Muualla Euroopassa annettiin huhtikuussa yhteensä kolme eri ratkaisua GDPR:n soveltamiseen liittyen.
Alankomaiden tietosuojaviranomainen määräsi 725.000 euron sanktion eräälle yhtiölle sen työntekijöiden sormenjälkien lainvastaisesta käsittelystä. Yhtiö oli vaatinut henkilökuntansa sormenjälkien skannaamista heidän läsnäolonsa kirjaamiseksi. Kyseinen ratkaisu ei ole vielä lainvoimainen ja yhtiö onkin ilmoittanut, että se valittaa siitä.
Ratkaisussa tuotiin esille, että GDPR:n mukaan luonnollisen henkilön tunnistamiseksi käsitellyt biometriset tunnisteet, kuten sormenjäljet, kuuluvat erityisiin henkilötietoryhmiin, joita voidaan käsitellä joko rekisteröidyn nimenomaisella suostumuksella, tai Alankomaiden lainsäädännön mukaisesti sillä perusteella, että niiden käsittely on välttämätöntä todentamis- tai turvallisuustarkoituksiin.
Alankomaiden tietosuojaviranomainen katsoi ratkaisussaan, että yhtiö ei voinut vedota kumpaankaan edellä esitettyyn käsittelyperusteeseen. Yhtiö ei kyennyt osoittamaan, että se olisi saanut työntekijöiltään vapaaehtoisen ja nimenomaisen suostumuksen heidän sormenjälkiensä käsittelyyn.
Toisessa huhtikuun aikana annetussa ratkaisussa Belgian tietosuojaviranomainen määräsi eräälle yhtiölle 50.000 euron sanktion siitä, että sen tietosuojavastaavaan ei katsottu olleen tarpeeksi riippumaton ja vailla eturistiriitoja, koska kyseisellä henkilöllä oli lukuisia muitakin positioita yhtiössä. Hän toimi muun muassa yhtiön tarkastusosaston päällikkönä.
Kolmannessa huhtikuun aikana annetussa ratkaisussa Ruotsin tietosuojaviranomainen määräsi eräälle yhtiölle noin 18.700 euron sanktion siitä, että yhtiöllä kesti noin viisi kuukautta ilmoittaa sattuneista tietoturvaloukkauksista rekisteröidyille. Lisäksi yhtiöllä kesti noin kolme kuukautta ilmoittaa kyseisistä tietoturvaloukkauksista tietosuojaviranomaiselle.
Jatkamme edelleen sekä kansallisen että eurooppalaisen tietosuojaratkaisukäytännön seuraamista.
Tilaamalla Folksin uutiskirjeen sivun alalaidasta saat koosteen blogissa julkaistuista jutuista suoraan omaan sähköpostiisi.
Lisätietoja antaa:
Anna Paimela
Osakas
+358 40 1648626