Päivitetty: 5. syysk. 2023
Ratkaisu Suomesta
Apulaistietosuojavaltuutettu antoi maaliskuussa yhden ratkaisun, joka koski henkilötietojen säilytysaikoja ja rekisteröidyn oikeutta saada henkilötietonsa poistetuksi.
Tapauksessa rekisteröity oli tehnyt sopimuksen teleoperaattorin kanssa, joka oli myöhemmin antanut perintätoimistolle toimeksiannon periä saataviaan rekisteröidyltä. Rekisteröity oli tehnyt perintätoimistolle pyynnön saada tarkastaa itseään koskevat tiedot ja pyytänyt perintätoimistoa poistamaan häntä koskevat henkilötiedot, minkä pyynnön perintätoimisto oli evännyt.
EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Rekisteröidyllä on oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen, kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on vastustanut henkilötietojensa käsittelyä taikka kun hänen henkilötietojensa käsittely ei muutoin ole GDPR:n säännösten mukaista.
Perintätoiminnan harjoittajien rekisteröinnistä annetun lakiin ja kirjanpitolakiin perustuen apulaistietosuojavaltuutettu katsoi, että perintätoimistolla oli ollut peruste säilyttää rekisteröidyn tietoja viiden vuoden ajan siitä, kun perintätoimenpiteet olivat hänen osaltaan päättyneet. Lisäksi apulaistietosuojavaltuutettu totesi, että vain sellaiset rekisteröidyn henkilötiedot, jotka sisältyivät tositteisiin, eli joiden perusteella on tehty perintätoimiston kirjanpitovelvoitteiden mukaisia kirjauksia, voitiin säilyttää kirjanpitolain 2 luvun 10 §:n 2 momentissa säädetyn 10 vuoden ajan. Muita kuin tällaisia tietoja ei tullut säilyttää viitta vuotta pidempään. Apulaistietosuojavaltuutettu toi myös ratkaisussaan esille sen, että rekisteröidyn ja rekisterinpitäjän väliset sähköpostiviestit eivät ole kirjanpitolain 2 luvun 10 §:n 2 momentin tarkoittamaa kirjanpitoaineistoa.
Apulaistietosuojavaltuutettu päätyi antamaan perintätoimistolle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä saada sellaiset henkilötietonsa poistetuiksi, jotka liittyivät viisi vuotta sitten päättyneisiin perintätoimenpiteisiin, ja joiden perusteella ei ollut tehty perintätoimiston kirjanpitovelvoitteiden mukaisia kirjauksia. Mikäli tällaisia kirjauksia oli tehty, tiedot oli poistettava kuuden vuoden kuluttua sen vuoden lopusta, jonka aikana tilikausi oli päättynyt.
Ratkaisuja muualta Euroopasta
Ruotsin tietosuojaviranomainen määräsi noin 7.000.000 euron suuruisen sanktion Googlelle siitä, että se ei noudattanut rekisteröidyn oikeuksia saada tietonsa poistetuksi Googlen hakutuloksista. Tietosuojaviranomainen oli puuttunut asiaan jo aiemmin vuosina 2017 ja 2018, mikä osaltaan johti em. sanktion määräämiseen. Tietosuojaviranomainen velvoitti Googlea myös lopettamaan sen harjoittaman käytännön, jossa se ilmoitti verkkosivuston omistajille siitä, mitkä tulokset ja linkin se poistaa hakutuloksistaan ja kuka on esittänyt tietojen poistamista koskevan pyynnön. Tällaiselle käytännölle ei katsottu olevan oikeudellista perustetta.
Alankomaiden tietosuojaviranominen määräsi vuorostaan 525.000 euron suuruisen sakon tennisyhdistykselle siitä, että se myi yli 350.000 jäsenensä henkilötiedot ilman kunkin rekisteröidyn antamaa suostumusta sponsoreille, jotka olivat suoramarkkinointitarkoituksessa yhteydessä joihinkin yhdistyksen jäseniin sähköpostitse ja puhelimitse. Tietosuojaviranomainen katsoi, että yhdistyksen oikeutettu etu ei ollut hyväksyttävä peruste tietojen myymiselle ja täten yhdistyksellä ei ollut oikeudellista perustetta menettelylleen.
Muutoin maaliskuussa lukumääräisesti eniten sakkoja määrättiin Espanjassa, missä annettiin 16 julkaistua ratkaisua, joissa rahalliset sanktiot vaihtelivat 2.000 eurosta 60.000 euroon. Ratkaisussa oli kyse muun muassa pyydettyjen tietojen toimittamisesta tietosuojaviranomaiselle, rekisteröityjen oikeuksia koskeviin pyyntöihin vastaamisesta, käsiteltävien tietojen minimoimisesta, riittävien toimenpiteiden osoittamisesta liittyen tietoturvan varmistamiseen ja tietojen käsittelemisestä ilman rekisteröidyn suostumusta tai yhtiön oikeutettua etua.
Jatkamme edelleen kansallisen ja eurooppalaisen ratkaisukäytännön seuraamista.
Lisätietoja antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
EU:n whistleblower-direktiivi tulee osaksi kansallista lainsäädäntöä joulukuussa 2021. Direktiivi velvoittaa yli 50 henkilöä työllistäviä tai yli 10 MEUR liikevaihdon ylittäviä yrityksiä ja julkisen sektorin organisaatioita perustamaan epäiltyjen väärinkäytösten ilmiantokanavan ("ilmoituskanava", "eettinen kanava"). Lainsäädännön on tarkoitus antaa suojaa työnantajan kostotoimilta, kuten erottamiselta, alentamiselta tai pelottelulta. Ilmoittajaan kohdistuvista vastatoimista tulee kiellettyjä ja rangaistavia.
Direktiivin mukaan organisaatioiden on perustettava tietoturvallinen ilmiantokanava, jolla mahdollistetaan ilmoitukset väärinkäytöksistä. Organisaation tulee lähettää vastaanottoilmoitus seitsemän päivän sisällä ilmoituksesta sekä käsitellä ja tutkia asia kolmen kuukauden kuluessa ilmoituksen vastaanottamisesta. Ilmiantokanavan toiminnasta vastaavalla henkilöillä – olivat ne sitten organisaation sisäisesti nimettyjä henkilöitä tai organisaation ulkopuolisia asiantuntijoita – on oltava riittävä ammattitaito ilmoitusten vastaanottoon, käsittelyyn ja tutkintaan. Ilmoittajan identiteettiä on suojeltava ja raportit on säilytettävä tietoturvallisesti. Direktiivi lähtee siitä, että ilmoitus olisi ensin tehtävä työnantajalle sisäistä ilmiantokanavaa käyttäen, toisessa vaiheessa ulkoista ilmiantokanavaa käyttäen toimivaltaiselle viranomaiselle ja kolmantena vaiheena voisi olla tietojen julkistaminen. Tämä hierarkia mahdollistaa sen, että organisaatiot voivat pyrkiä selvittämään paljastuvat ongelmat oma-aloitteisesti.
Ilmiantokanavien käytössä työpaikoilla on otettava huomioon tietosuoja-asetuksesta ja työelämän tietosuojalaista johtuvat velvoitteet. Ennen kuin ilmiantokanava voidaan ottaa yrityksessä käyttöön, tulee asianmukaiset yhteistoimintamenettelyt henkilöstön kanssa käydä läpi. Tietosuojavaltuutetun ohjeistuksen mukaan ilmiantokanavan käyttöönotto edellyttää myös tietosuojaa koskevan vaikutustenarvioinnin (DPIA) toteuttamista.
Kun siis valmistaudut tulevaan lainsäädäntöön:
kartoita eri vaihtoehtoja ilmiantokanavan tekniselle toteuttamiselle
laadi yhteistyössä henkilöstön kanssa organisaation eettiset periaatteet (Code of Conduct) ja jalkauta se organisaatioon
laadi tietosuojaa koskeva vaikutustenarviointi sekä muu dokumentaatio, kuten tietosuojaseloste ja ilmiantokanavaa koskeva Q&A
kouluta avainhenkilöstö ilmiantokanavan tarkoituksesta ja käytöstä
käsittele asia yhteistoimintaneuvotteluissa
Tärkeää – ellei tärkeintä – on kuitenkin se, että vastuullisuus, eettinen toiminta ja läpinäkyvyys rakennetaan osaksi organisaation DNA:ta, eikä asia jää vain lainsäädännön pakolliseksi, tekniseksi toteuttamiseksi. Parhaimmillaan tätä lainsäädäntömuutosta voi käyttää ajurina rakentamaan yrityskulttuuria, jossa kaikilla on oikeus tuoda esiin epäkohdat ilman pelkoa ikävistä seuraamuksista, ja jossa epäkohdat käsitellään avoimesti perimmäisiä syitä tutkien. Vastuulliset yritykset saavat tutkitusti liiketoimintahyötyjä mm. sitouttamalla asiakkaita, nostamalla yrityksen arvoa sijoittajien silmissä ja houkuttelemalla parhaita osaajia.
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
+358 40 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. kesäk. 2023
Ratkaisu Suomesta
Apulaistietosuojavaltuutettu teki helmikuussa yhden ratkaisun, joka koski informointia asiakaspuheluiden tallentamisesta ja rekisteröidyn oikeutta saada pääsy tietoihinsa.
Tapauksessa katsottiin, että käytäntö, jossa rekisterinpitäjä ei ollut antanut puhelutallennetta rekisteröidylle, vaan oli edellyttänyt nauhoitteen kuuntelua toimipaikassaan virallisen pyynnön esittämisen jälkeen, ei vastannut tietosuojalainsäädännön edellytyksiä. Tietosuoja-asetuksen poikkeus, jonka mukaan oikeus saada jäljennös tiedoista ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin, ei tullut sovellettavaksi tässä tapauksessa. Tietosuojavaltuutettu on jo aiemmassa ratkaisussaan (12.9.2013, dnro 2240/523/2013) katsonut, että puhelinkeskustelunauhoitteisiin sisältyy käytännössä aina myös toista henkilöä koskevia henkilötietoja, eikä tämän voida katsoa olevan esteenä tarkastusoikeuden (pääsyoikeuden) toteuttamiselle.
Lisäksi apulaistietosuojavaltuutettu katsoi, että yrityksen informointikäytäntö ei ollut riittävän läpinäkyvä, kun yritys ei informoinut tallentamisesta sillä hetkellä, kun tallentaminen alkoi. Käytäntö, jossa informoitiin asiakkaita ja potentiaalisia asiakkaita tallentamisesta "äänikuitilla" eli puhelun lopussa tehdyllä sopimusyhteenvedolla, johti huomautukseen. Ongelmallista oli myös se, ettei informaatiota annettu lainkaan niille, jotka eivät solmineet sopimusta puhelun aikana.
Ratkaisuja muualta Euroopasta
Eurooppalaisia helmikuun 2020 sakkotilastoja pitää käsissään Espanja, jossa annettiin lähes 20 julkaistua ratkaisua, joiden rahalliset sanktiot vaihtelivat aina 800 eurosta 75.000 euroon. Suuri osa ratkaisuista koski sitä, että organisaatiolla oli puutteellinen (tai kokonaan puuttuva) oikeusperuste käsitellä henkilötietoja. Suurimmat 75.000 euron sanktiot toi tekninen virhe, jonka vuoksi rekisteröity sai laskumuistutuksia, vaikka hänellä ei ollut enää sopimussuhdetta rekisterinpitäjän kanssa. Ratkaisut koskivat myös sitä, ettei tietosuojaperiaatteiden – kuten henkilötietojen minimointiperiaatteen – noudattaminen ollut riittävällä tasolla, esimerkiksi valvontakamerat oli asetettu kuvaamaan jalkakäytäväaluetta toimipisteen ulkopuolella vaikuttaen näin tarpeettomasti jalankulkijoiden yksityisyydensuojaan.
Sakotuskäytännön yhtenäistäminen
Tietosuoja-asetus (GDPR) ei tähdännyt vain lainsäädännön harmonisointiin, vaan myös täytäntöönpanon harmonisointiin. Nykyisellään käytäntö näyttää kuitenkin vaihtelevan merkittävästi eri EU-maiden välillä. Osa maista on pyrkinyt yhtenäistämään sakotuskäytäntöä laatimalla kaavan, jolla sakkojen euromäärä voidaan laskea. Saksan ja Alankomaiden mekaanisia laskukaavoja on kritisoitu siitä, etteivät ne ota riittävällä tavalla huomioon tapauksen yksityiskohtia ja näyttävät johtavan aina sakkoihin, vaikka GDPR viittaa liikevaihtoon vain sakkojen maksimäärää määriteltäessä. Vaikka malleista ei ole vielä vedättävissä suoria johtopäätöksiä muita EU-maita koskien, voi organisaatiolla olla hyödyllistä kokeilla, mitä mahdollisesti tiedossa olevien riskien aktualisoitumisesta voisi seurata (ks. Saksan malli ja Alankomaiden malli). Esimerkiksi Alankomaiden yksinkertaisemman mallin mukaan puuttuva tietojenkäsittelysopimus voisi johtaa sakkoon, jonka määrä on 120.000 - 500.000 euroa (oletusarvoisesti 310.000 euroa). Mallit eivät luonnollisesti huomioi muita seuraamuksia, kuten tietojen käsittelykiellon vaikutuksia yrityksen liiketoiminalle, maineen vahingoittumista tai asiakkaiden luottamuksen menettämistä.
Jatkamme ratkaisukäytännön seuraamista.
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.