Päivitetty: 5.9.2023
Ratkaisu Suomesta
Apulaistietosuojavaltuutettu antoi kesäkuussa yhden ratkaisun, joka koski pysäköintiluvan osoittavassa kortissa (ns. parkkilupalappu) ilmoitettavia tietoja. Kyseisestä ratkaisusta voi valittaa hallinto-oikeuteen, joten se ei ole vielä lainvoimainen.
Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) mukaisen huomautuksen. Rekisterinpitäjä ei ollut parkkilupalappujen yhteydessä suorittamassaan henkilötietojen käsittelyssä noudattanut GDPR:ssä säädettyä tietojen minimoinnin periaatetta. Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen määräyksen saattaa parkkilupalappujen yhteydessä suorittamansa henkilötietojen käsittely GDPR:ssä säädetyn mukaiseksi eli rekisterinpitäjän oli varmistettava, ettei parkkilupalapuista enää ilmene luvan haltijan osoite- tai asiointitietoja.
Ratkaisun perusteluissa tuotiin esille, että GDPR:ssä on säädetty tietojen minimoinnin periaatteesta. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. GDPR:n mukaan henkilötietojen on oltava riittäviä ja olennaisia sekä rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Täten henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin.
Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjä ei esittänyt mitään sellaista, joka osoitti osoitetiedon olevan välttämätöntä sen varmistamiseksi, että pysäköintipaikalle ajoneuvon pysäköineellä henkilöllä oli ollut oikeus pysäköidä ajoneuvo kyseiselle pysäköintipaikalle. Rekisterinpitäjä totesi itsekin, että nykyinen käytäntö oli korvattavissa esimerkiksi numeroista koostuvalla yksilöintitiedolla. Näin ollen käsittelyn tarkoitus oli kohtuullisesti toteutettavissa muilla keinoin. Ratkaisussa apulaistietosuojavaltuutettu totesi myös, että tietojen minimoinnin periaatetta on noudatettava, vaikka henkilötiedot olisivat julkisia tai muuten helposti saatavilla.
Ratkaisuja muualta Euroopasta
Saksan tietosuojaviranomainen määräsi 1.240.000 euron suuruisen sanktion rekisterinpitäjänä toimivalle vakuutusorganisaatiolle, joka järjesti erilaisia kilpailuja ja keräsi niihin osallistujien henkilötietoja, mukaan lukien heidän yhteystietonsa ja tiedot sairausvakuutusyhtiöstä. Rekisterinpitäjä käytti em. tietoja myös markkinointitarkoituksiin, mikäli osallistujat antoivat siihen suostumuksensa. Teknisillä ja organisatorisilla toimenpiteillä, mukaan lukien sisäiset ohjeet ja tietosuojakoulutus, rekisterinpitäjä halusi varmistaa, että markkinointitarkoituksiin käytettiin vain niitä kilpailuihin osallistujien tietoja, jotka olivat aikaisemmin antaneet siihen suostumuksensa. Rekisterinpitäjän määrittelemät toimenpiteet eivät kuitenkaan täyttäneet lakisääteisiä vaatimuksia, minkä seurauksena yli 500 henkilön, jotka osallistuivat arpajaisiin, henkilötietoja käytettiin markkinointitarkoituksiin ilman heidän antamaa suostumusta.
Unkarin tietosuojaviranomainen määräsi vuorostaan 288.000 euron suuruisen sanktion eräälle yhtiölle siitä, että se oli loukannut käyttötarkoituksen ja säilytysrajoituksen periaatteita. Yhtiön tietokanta sisälsi suuren määrän asiakastietoja, joille ei ollut enää tosiasiallisista keräystarkoitusta, eikä tiedoille ollut asetettu mitään säilytysaikaa. Unkarin tietosuojaviranomainen huomautti, että yhtiö ei ollut ryhtynyt tarkoituksenmukaisiin toimenpiteisiin tietojen hallinnan ja tietoturvan riskien vähentämiseksi.
Annamme mielellämme lisätietoja ratkaisusta ja tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 5.9.2023
Tietosuojavaltuutetun toimisto antoi toukokuussa kuusi päätöstä, joista neljässä määrättiin ensimmäisistä yleisen tietosuoja-asetuksen (GDPR) mukaisista hallinnollisista seuraamusmaksuista Suomessa. Käsittelemme tässä blogissa tarkemmin näitä neljää päätöstä. Yhtä annettua päätöstä, jossa todettiin, että selainasetuksilla ei voi antaa pätevää suostumusta evästeille, käsitellään tarkemmin Folksin toisessa blogitekstissä, jonka voi lukea täältä. Annetuista päätöksistä voi valittaa hallinto-oikeuteen, joten ne eivät ole vielä lainvoimaisia.
Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot
Ensimmäinen käsiteltävä päätös koski Postin käsittelemien henkilötietojen läpinäkyvyyttä ja rekisteröidylle toimitettavia tietoja. Käytännössä kysymys oli osoitteenmuutostiedoista, joiden luovuttaminen oli johtanut epätoivottuun markkinointiin.
Apulaistietosuojavaltuutettu antoi Postille GDPR:n mukaisen huomautuksen, koska sen muuttoilmoitusten yhteydessä suorittama henkilötietojen käsittely ei ollut ollut läpinäkyvää GDPR:ssä säädetyn mukaisesti. Posti ei ollut toimittanut muuttoilmoitusten yhteydessä rekisteröidyille GDPR:ssä tarkoitettuja tietoja oikea-aikaisesti silloin, kun henkilötietoja oli saatu rekisteröidyiltä.
GDPR:ssä on säädetty henkilötietojen käsittelyn läpinäkyvyyttä koskevasta velvollisuudesta, josta tietosuojatyöryhmä on antanut käytännön ohjeita, joissa on todettu, että läpinäkyvyyttä koskeva velvollisuus käsittää kolme keskeistä osa-aluetta: 1) tietojen asianmukaista käsittelyä koskevan tiedon antaminen rekisteröidyille, 2) rekisterinpitäjien tapa tiedottaa rekisteröidyille näiden GDPR:ään perustuvista oikeuksista ja 3) rekisterinpitäjien keinot auttaa rekisteröityjä käyttämään oikeuksiaan.
Päätöksessä todettiin, että voidakseen käyttää tietojen luovutusta koskevaa kielto-oikeuttaan on rekisteröidyn tiedettävä tällaisen oikeuden olemassaolosta. Postin tietosuojaselosteessa ollutta mainintaa kielto-oikeudesta ei voitu pitää riittävänä. Tietosuojaselosteessa ”Turvallinen tietojen luovutus” -otsikon alla oli kerrottu Postin suorittamasta tietojen luovutuksesta. Tässä yhteydessä ei kuitenkaan ollut minkäänlaista mainintaa luovutuskiellon mahdollisuudesta, vaan siitä oli esitetty tietosuojaselosteessa suppea maininta irrallaan varsinaisesta tietojen luovutusta koskevasta osiosta. Luovutuskiellosta oli mainittu ainoastaan yhdellä sanalla, eikä sen sisältöä ollut selostettu. Edellä esitetyn ei katsottu noudattaneen läpinäkyvyyden periaatteeseen sisältyvää velvollisuutta helposti ymmärrettävästä muodosta.
Vaikka Postin edellä selostettu toiminta oli ollut tuottamuksellista, apulaistietosuojavaltuutettu katsoi, että huomautuksen lisäksi oli arvioitava hallinnollisen seuraamusmaksun määräämistä, sillä kysymyksessä olleet puutteet Postin suorittamassa henkilötietojen käsittelyssä olivat vaikuttaneet satojen tuhansien rekisteröityjen oikeuksiin. Asian kokonaisarvioinnissa annettiin merkitystä myös sille, että Posti oli menettelyllään asettanut muuttoilmoituksen tehneet rekisteröidyt eri asemaan sillä perusteella, oliko maksuun perustuvaa asiakassuhdetta syntynyt vai ei. Maksavien asiakkaiden henkilötietojen suojan toteutumisesta oli huolehdittu paremmin.
Seuraamusmaksu
Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio määräsi Postin maksamaan valtiolle 100.000 euron suuruisen hallinnollisen seuraamusmaksun, jonka määräämiseen vaikutti rikkomuksen luonne, kesto, rekisteröityjen lukumäärää ja rikkomuksen tuottamuksellisuus. Kokonaisarvioinnissa otettiin huomioon se, että Posti oli ryhtynyt läpinäkyvyyttä merkittävästi parantaviin toimiin vasta viranomaisen otettua neljännen kerran yhteyttä Postiin varatakseen tälle tilaisuuden tulla kuulluksi asian käsittelyn mahdollisesti siirtyessä hallinnollisesta seuraamusmaksusta päättävälle seuraamuskollegiolle. Seuraamuskollegio katsoikin Postin olleen tietoinen siitä, että sen suorittama informointi ei ollut tavoittanut osaa rekisteröidyistä, mihin liittyen Posti oli ilmoittanut tutkivansa mahdollisuuksiaan parantaa informointinsa läpinäkyvyyttä jo syksyllä 2017.
Vaikutustenarviointi, rekisteröidyn informointi ja henkilötietojen käsittelyn dokumentointi
Seuraavassa päätöksessä oli kyse siitä, että Taksi Helsinki ei ollut rekisterinpitäjänä arvioinut sen henkilötietojen käsittelyyn liittyviä riskejä ja vaikutuksia ennen kuin se otti käyttöönsä ääntä ja kuvaa sen takseissa tallentavan turvakameravalvontajärjestelmän. Puutteita havaittiin myös Taksi Helsingin asiakkaiden informoinnissa ja henkilötietojen käsittelyn dokumentoinnissa.
Taksi Helsinki otti käyttöön uuden kuvaa ja ääntä nauhoittavan kameravalvontajärjestelmänsä kesällä 2019. Samassa yhteydessä yhtiö ei arvioinut siihen liittyvän henkilötietojen käsittelyn lainmukaisuutta. Apulaistietosuojavaltuutettu määräsikin Taksi Helsingin tekemään GDPR:n edellyttämän tasapainotestin, jossa arvioidaan muun muassa henkilötietojen käsittelyn tarpeellisuutta ja vaikutuksia rekisteröityjen eduille sekä oikeuksille.
Taksi Helsinki käsitteli osassa sen taksiautoista autoilijoiden ja heidän asiakkaiden henkilötietoja kuvaa sekä ääntä tallentavan turvakameravalvontajärjestelmän avulla. Apulaistietosuojavaltuutettu katsoi, ettei äänitietojen käsittely ollut GDPR:n tietojen minimoinnin periaatteen mukaista ja määräsi Taksi Helsingin varmistamaan, että äänitietojen käsittely taksien turvakameravalvonnan yhteydessä ilman asiallisia perusteita lopetetaan välittömästi.
Taksi Helsinki ei ollut informoinut rekisteröityjä heidän henkilötietojen käsittelystä lain edellyttämällä tavalla. Takseissa olevissa ilmoituksissa ei kerrottu äänen tallentamisesta eikä siitä, mistä rekisteröidyt olisivat voineet saada siitä tiedon. Lisäksi Taksi Helsinki ei kertonut tietosuojaselosteessaan sen kanta-asiakasohjelman yhteydessä suoritetusta automaattisesta päätöksenteosta ja profiloinnista. Näin ollen apulaistietosuojavaltuutettu määräsi Taksi Helsingin muuttamaan tiedottamiskäytäntöjään siten, että henkilötietojen käsittelystä kerrotaan ymmärrettävästi ja kyseisten tietojen tulee olla helposti saatavilla.
Taksi Helsinki ei ollut myöskään tehnyt GDPR:n edellyttämiä vaikutustenarviointeja ennen henkilötietojen käsittelyn aloittamista. Tietosuojaa koskeva vaikutustenarviointi olisi tullut tehdä kameravalvonnasta, sijaintitietojen käsittelystä sekä kanta-asiakasohjelman yhteydessä harjoitetusta automaattisesta päätöksenteosta ja profiloinnista, joista todennäköisesti katsottiin aiheutuvan korkea riski luonnollisen henkilön oikeuksille ja vapauksille. Näin ollen apulaistietosuojavaltuutettu määräsi Taksi Helsingin tekemään vaikutustenarvioinnin edellä mainituista henkilötietojen käsittelyistä.
Lisäksi apulaistietosuojavaltuutettu määräsi Taksi Helsingin määrittelemään kattavasti ne toimijat, jotka toimivat henkilötietojen käsittelijänä. Sen oli myös määriteltävä miltä osin se toimii yhteisrekisterinpitäjänä taksiautoilijayrittäjien kanssa.
Seuraamusmaksu
Seuraamuskollegio määräsi Taksi Helsingille 72.000 euron suuruisen hallinnollisen seuraamusmaksun. Sen määräämisessä otettiin huomioon muun muassa se, että Taksi Helsinki käsittelee henkilötietoja laajamittaisesti ja henkilötietojen käsittely koskee merkittävää määrää rekisteröityjä ja henkilötietotyyppejä. Asiassa huomioitiin myös raskauttavana seikkana se, että Taksi Helsingin katsottiin käsittelevän tavanomaisessa toiminnassaan heikommassa asemassa olevien rekisteröityjen tietoja (esim. lapset ja ikääntyneet ihmiset). Toisaalta seuraamuskollegio otti koronatilanteen vaikutukset yleisesti huomioon seuraamusmaksun määrää alentavana tekijänä.
Työntekijöiden sijaintietojen käsittely ja vaikutustenarviointi
Kolmannessa päätöksessä rekisterinpitäjänä toiminut työnantaja oli käyttänyt ajotietojärjestelmästä saatuja työntekijöiden sijaintitietoja heidän työaikojen seurantaan. Asiassa oli kyse siitä, oliko rekisterinpitäjä täyttänyt sille GDPR:n nojalla mahdollisesti asetetun velvollisuuden suorittaa tietosuojaa koskeva vaikutustenarviointi.
Päätöksessä tuotiin esille, että vaikutustenarviointi tulee tehdä, kun käsitellään esimerkiksi heikossa asemassa olevien rekisteröityjen sijaintitietoja. Heikossa asemassa olevilla rekisteröidyillä tarkoitetaan muun muassa työntekijöitä. Tietosuojavaltuutettu katsoikin, että rekisterinpitäjän olisi tullut suorittaa tietosuojaa koskeva vaikutustenarviointi käsiteltävänä olleiden työntekijöiden sijaintiin liittyvien käsittelytoimien osalta. Näin ollen tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen huomautuksen tietosuojaa koskevan vaikutustenarvioinnin tekemättä jättämisestä sekä sisäänrakennetun ja oletusarvoisen henkilötietojen käsittelyn periaatteeseen ja rekisterinpitäjän vastuun toteuttamiseen liittyvistä puutteista.
Seuraamusmaksu
Seuraamuskollegio katsoi tapauksessa tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi 16.000 euron suuruisen hallinnollisen seuraamusmaksun määräämisen, mitä perusteltiin rikkomusten luonteella, vakavuudella, tuottamuksellisuudella ja rekisteröityjen heikommalla asemalla suhteessa rekisterinpitäjään. Seuraamuskollegio toi esille sen, että tietosuojaa koskeva vaikutustenarviointi on GDPR:n keskeinen elementti ja sen tekemättä jättäminen on vakava puute.
Tarpeettomien henkilötietojen kerääminen
Viimeisessä käsiteltävässä päätöksessä oli kyse työnhakijoiden henkilötietojen tarpeettomasta keräämisestä. Tapauksessa rekisterinpitäjänä toiminut työnantaja oli kerännyt GDPR:n sekä sitä täydentävän kansallisen työelämän tietosuojalain säännösten vastaisesti työnhakijoista ja työntekijöistä tarpeettomia henkilötietoja.
Lain mukaan työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa edes rekisteröidyn antamalla suostumuksella.
Rekisterinpitäjä oli lomakkeellaan kysynyt työnhakijalta tietoja tämän syntymäkunnasta, seurakunnasta, perhesuhteista, suojelukoulutuksesta, sotilasarvosta, asunnosta, varusmiespalveluajan aloitusvuodesta, varusmiespalveluajasta, puolison nimestä, ammatista ja työpaikasta, lasten syntymävuosista, terveydentilasta sekä tietoa siitä, onko työnhakija raskaana vai ei.
Tietosuojavaltuutettu totesi, että tietoa henkilön sotilaskoulutuksesta voidaan jossain tapauksissa pitää lain edellyttämän tarpeellisuusvaatimuksen mukaisena arvioitaessa henkilön soveltuvuutta esimiestehtäviin. Tällaisen tiedon kysymistä lähtökohtaisesti kaikilta työnhakijoilta ei kuitenkaan voida pitää lain mukaisena. Lisäksi tietosuojavaltuutettu toi esille, että työntekijän lähiomaisen tietojen kysymisen tulee olla välittömästi työntekijän työsuhteen kannalta tarpeellista, ja liittyä työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtua työtehtävien erityisluonteesta.
Tietosuojavaltuutettu katsoikin, että lomakkeella kysytyt tiedot työnhakijan syntymäkunnasta, seurakunnasta, perhesuhteista, asunnosta, puolison nimestä, ammatista ja työpaikasta, lasten syntymävuosista, terveydentilasta ja mahdollisesta raskaudesta eivät olleet sellaisia tietoja, joita rekisterinpitäjällä olisi ollut mahdollista kysyä työnhakijoilta tai työntekijöiltä taikka muutoinkaan käsitellä. Tietosuojavaltuutettu ei katsonut sillä olevan merkitystä asiassa, että kysyttyjen tietojen kertominen oli rekisterinpitäjän mukaan ollut vapaaehtoista, koska lain mukaan tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella.
Lisäksi tietosuojavaltuutettu katsoi, että rekisterinpitäjän laatima ja ylläpitämä seloste sen vastuulla olevista työntekijöiden ja työnhakijoiden henkilötietoja koskevista käsittelytoimista oli ollut puutteellinen. Siitä ei ollut riittävällä tarkkuudella ilmennyt GDPR:n mukaisia henkilötietojen suunniteltuja poistoaikoja. Tietosuojavaltuutettu totesikin, että rekisterinpitäjä oli laiminlyönyt sille GDPR:n nojalla kuuluvan osoitusvelvollisuuden.
Tietosuojavaltuutettu katsoi myös, että rekisterinpitäjä ei ollut työntekijöiden ja työnhakijoiden henkilötietojen käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteuttanut GDPR:n mukaisia riittäviä organisatorisia tai teknisiä toimenpiteitä, jotta tietosuojaperiaatteiden toteutuminen olisi saatu osaksi henkilötietojen käsittelyä ja joilla olisi varmistettu, että oletusarvoisesti olisi käsitelty vain kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.
Tietosuojavaltuutettu määrääsi rekisterinpitäjän saattamaan käsiteltävänä olevat käsittelytoimet lain mukaisiksi siten, että kaikki työntekijöistä ja työnhakijoista kerätyt henkilötiedot, jotka olivat käsittelyn tarkoituksen kannalta tarpeettomia, poistetaan siltä osin, kun niille ei ole osoitettavissa laillista käsittelyperustetta. Tietosuojavaltuutettu antoi myös rekisterinpitäjälle GDPR:n mukaisen huomautuksen käsittelytoimia koskevaan selosteeseen, osoitusvelvollisuuteen sekä sisäänrakennetun ja oletusarvoisen henkilötietojen käsittelyn periaatteiden toteuttamiseen ja rekisterinpitäjän vastuuseen liittyvistä puutteista.
Seuraamusmaksu
Seuraamuskollegio katsoi, että rekisterinpitäjän rikkomukset ja puutteet olivat niiden luonne ja vakavuus, työnhakijoille aiheutunut syrjinnän riski sekä rekisterinpitäjään nähden heikommassa asemassa olevien henkilöiden erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely huomioiden vakavuudeltaan sellaisia, että tehokas, oikeasuhteinen ja varoittava seuraamus, edellä mainittujen tietosuojavaltuutetun antamien määräysten lisäksi, oli 12.500 euron suuruinen hallinnollinen seuraamusmaksu.
Yhteenveto ja seuraavat toimenpiteet
Tietosuoja-asetusta on nyt sovellettu kaksi vuotta. Seuraamusmaksut ovat osoitus siitä, että tietosuojaviranomaisen linja seuraamusten suhteen on muuttumassa: enää selitykset siitä, että "emme tienneet" tai "emme ole vielä ehtineet", eivät kelpaa, vaan yritysten odotetaan tietävän ja toteuttavan tietosuojan perusperiaatteet, kuten kertovan käsittelystä läpinäkyvästi, arvioivan riskejä aktiivisesti, keräävän vain tarpeellisia tietoja sekä huolehtivan osoittamisvelvollisuudesta. Varmista siis viimeistään nyt, että yritykselläsi on tietosuojalainsäädännön edellyttämä dokumentaatio, kuten tietosuojalausekkeet, selosteet käsittelytoimista, vaikutustenarvioinnit, tietojenkäsittelysopimukset, kirjanpito tietoturvaloukkauksista, dokumentoidut prosessit mm. rekisteröidyn oikeuksien ja datan elinkaaren hallintaan, ja että henkilöstölläsi on tarvittava osaaminen noudattaa dokumentteja myös käytännössä.
Annamme mielellämme lisätietoja ratkaisusta ja tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 6.6.2023
Apulaistietosuojavaltuutettu otti päätöksessään 14.5.2020 kantaa evästesuostumuksen pätevyyteen.
Rekisterinpitäjän antaman selvityksen mukaan se noudattaa evästeisiin annettavan suostumuksen osalta Traficomin ohjeistusta. Tämän ohjeen mukaan suostumus ei-välttämättömiin evästeisiin voidaan antaa selaimen asetusten avulla. Lisäksi rekisterinpitäjä kertoo ottaneensa käyttöön niin sanotun evästebannerin, jonka tarkoituksena on lisätä evästeiden käyttöön liittyvää läpinäkyvyyttä ja tehdä vaikutusmahdollisuuksien käyttämisestä mahdollisimman helppoa. Klikkaamalla bannerin kohtaa ”Lisätietoja” käyttäjä pääsee tietosuojaselosteeseen, jossa on lisätietoja evästeistä, rekisterinpitäjän kumppaneista ja vaikutusmahdollisuuksista. ”Lisätietoja” ja ”OK” -napin lisäksi evästebannerissa ei ole erillistä mahdollisuutta kieltää evästeitä.
Apulaistietosuojavaltuutettu katsoi, ettei ko. menettely täytä lainsäädännön edellytyksiä ja antoi rekisterinpitäjälle määräyksen muuttaa sen toimintatavat suostumuksen pyytämisessä yleisen tietosuoja-asetuksen (GDPR) mukaiseksi. Apulaistietosuojavaltuutettu katsoi, että sähköisen viestinnän tietosuojadirektiivin (ja näin ollen sähköisen viestinnän palveluista annetun lain) viittaukset suostumukseen olivat korvautuneet henkilötietodirektiivin kumoamisen johdosta tietosuoja-asetuksella. Sen mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Suostumusta ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.
Tulkinnanvarainen tilanne selkiytyy
Yleiseurooppalainen tulkinta, muutamia poikkeuksia lukuun ottamatta, on jo pitkään ollut se, että evästeille tulee saada GDPR:n mukainen suostumus. Suomessa epävarmuutta on aiheuttanut Traficomin kansallisen lain vanhoihin esitöihin perustuva linja, jonka mukaan suostumus voidaan antaa selainasetusten avulla. Traficomin nettisivuilla olevaan linjaukseen on viitattu laajalti, sillä se on ollut ainoa selvästi julkituotu viranomaisohjeistus evästesuostumukseen liittyen.
Tässä ratkaisuissa tietosuojavaltuutetun toimisto kuitenkin vahvisti, että vaikka evästeitä valvoo Traficom, tietosuojavaltuutetun toimisto on toimivaltainen ottamaan kantaa tiedollisen itsemääräämisoikeuden käyttöön perustuvan suostumuksen antamiseen. Lisäksi EU-oikeuden etusijasta seuraa, että suostumusta on tulkittava yleisen tietosuoja-asetuksen mukaisesti.
Ratkaisun mukaan bannerin kautta annettavan suostumuksen ei voitu katsoa täyttävän vapaaehtoisen suostumuksen edellytyksiä, eikä suostumuksesta kieltäytymistä tai sen peruuttamista ollut tehty yhtä helpoksi kuin suostumuksen antamista. Sitä, että käyttäjälle kerrottiin mahdollisuudesta kieltää evästeiden tallentaminen ja käyttö selainasetuksista, ei voitu pitää sellaisena aktiivisena ja nimenomaisena tahdonilmaisuna, jota pätevän suostumuksen antaminen edellyttää. Apulaistietosuojavaltuutettu katsoi, ettei tietosuoja-asetuksen mukaista suostumusta voida antaa siten, että käyttäjä jättää tekemättä muutoksia selainasetuksiinsa.
Aikataulu ja seuraavat toimenpiteet
Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle määräyksen muuttaa sen käsittelytoimet suostumuksen keräämisessä yleisen tietosuoja-asetuksen säännösten mukaisiksi. Se jätti rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määräsi toimittamaan selvityksen tehdyistä toimenpiteistä 1.9.2020 mennessä.
Tiedotteen mukaan tietosuojavaltuutetun toimistossa on vireillä kymmeniä vastaavia tapauksia, jotka tullaan ratkaisemaan nyt annetun päätöksen mukaisesti. Yritysten, joilla hyödynnetään evästeitä muihin kuin välttämättömiin tarkoituksiin, kannattaa harkita seuraavia toimenpiteitä kesän ja alkusyksyn aikana:
Tee evästeaudit. Esimerkiksi Webbkoll-palvelulla pääsee alkuun.
Listaa kumppanit sekä luokittele evästeet ja niiden käyttötarkoitukset.
Poista turhat/vanhentuneet skriptit.
Kartoita suostumustenhallintamekanismeja, testaa ja ota käyttöön. Tee samalla tarvittavat muutokset tägienhallintaan, kuten Google Tag Manageriin.
Päivitä sivustosi tietosuoja/evästekäytännöt.
Lue myös aikaisempi kirjoitus: "Ajankohtaista digimainonnan tietosuojasta."
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
040 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.