Päivitetty: 5.9.2023
Ratkaisut Suomesta
Apulaistietosuojavaltuutettu antoi huhtikuussa yhteensä viisi ratkaisua, jotka koskivat kaikki url-hakutuloslinkkien poistamista Google Search -hakupalvelusta. Kyseiset ratkaisut eivät ole vielä lainvoimaisia.
Yhdessä ratkaisussa poistettavaksi pyydettyjen hakutuloslinkkien takaa oli löydettävissä muun muassa rekisteröidyn sukuelimestä otettu kuva, joka oli julkaistu verkossa ilman rekisteröidyn suostumusta.
Apulaistietosuojavaltuutettu totesi kyseisessä ratkaisussa, että rekisteröidylle oli hänelle tuomitun neljän kuukauden pituisen ehdollisen vankeusrangaistuksen myötä syntynyt julkinen tai julkisen kaltainen asema, joka toi lähtökohtaisesti suurelle yleisölle oikeutetun intressin rekisteröityä koskevien henkilötietojen saamiseen Google Search -hakupalvelusta. Lisäksi ratkaisussa tuotiin esille, että Journalistin ohjeiden mukaan rikoksesta tuomitun nimen, kuvan tai muita tunnistetietoja voi julkaista, ellei se tuomitun asemaan tai tekoon nähden ole selvästi kohtuutonta. Rekisteröity oli toiminut myös aktiivisesti eräässä poliittiseksi liikkeeksi katsottavassa liikkeessä, jonka toiminnasta oli uutisoitu paljon.
Ottaen huomioon rekisteröidyn julkinen asema, suuren yleisön tiedonsaantioikeudet sekä Google Search -hakupalvelun tarkoitus ja rooli tiedonjakelijana, apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjällä oli oikeus käsitellä hakutuloslinkkejä Google Search -hakupalvelussa. Apulaistietosuojavaltuutettu totesi kuitenkin yhden hakutuloslinkin osalta, että sen takaa löytynyt kuva rekisteröidyn sukuelimestä oli arkaluonteinen tieto, ja antoi siitä Googlelle yleisen tietosuoja-asetuksen (GDPR) mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisen hakutuloslinkin poistamisesta.
Toisessa vastaavanlaisessa ratkaisussa oli kyse sellaisen hakutuloslinkin poistamista, joka johti verkkosisältöön, jossa oli kerrottu rekisteröidylle useamman lapsen seksuaalisesta hyväksikäytöstä tuomitusta ehdottomasta vankeusrangaistuksesta. Kyseisen linkin takaa oli löydettävissä myös rekisteröidyn henkilötunnus.
Ensimmäisen esitellyn ratkaisun tavoin apulaistietosuojavaltuutettu katsoi, että rekisteröidyn saaman tuomion myötä rekisteröidylle oli syntynyt julkinen tai julkisen kaltainen asema, joka toi lähtökohtaisesti suurelle yleisölle oikeutetun intressin rekisteröityä koskevien henkilötietojen saamiseen Google Search -hakupalvelusta.
Ratkaisussa otettiin kuitenkin huomioon se, että hakutuloslinkin takaa oli saatavilla myös rekisteröidyn henkilötunnus, jota saa käsitellä tietosuojalain mukaisesti rekisteröidyn suostumuksella tai laissa säädetyllä perusteella. Lisäksi sitä saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää muun muassa rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi. Henkilötunnuksen käsittely ei kuitenkaan ole sallittua esimerkiksi kolmannen osapuolen tai rekisterinpitäjän oikeutettujen etujen toteuttamiseksi. Näin ollen apulaistietosuojavaltuutettu päätyi antamaan Googlelle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisen hakutuloslinkin poistamisesta.
Yhdessä ratkaisussa rekisteröity oli vuorostaan toiminut mediassa entisen työnantajansa edustajana. Rekisteröity pyysi sellaisten hakutuloslinkkien poistamista, joiden takaa löytyi pääosin tietoa kyseessä olevan yhtiön väitetysti kyseenalaisesta tai muutoin arvostelun kohteena olleesta toiminnasta taikka toimintatavoista.
Ratkaisussa tuotiin esille, että lähtökohtaisesti liike-elämässä mukana olevien henkilöiden voidaan yleensä katsoa olevan julkisessa asemassa. Rekisteröidyn ei kuitenkaan osoitettu toimineen yhtiössä julkisen merkinnän alaisessa asemassa, ts. hänestä ei ollut tehty merkintää kaupparekisteriin, johon merkitään muun muassa tietoja yhtiön edustajista, edustamiseen oikeutetuista, hallintoneuvoston jäsenistä, hallituksen jäsenistä ja toimitusjohtajasta. Näyttöä ei myöskään esitetty siitä, että rekisteröity olisi toiminut yhtiössä määräävässä asemassa. Rekisteröidyn ei katsottu olleen julkisessa tai julkisen kaltaisessa asemassa pelkästään siksi, että hän oli toiminut yhtiössä sen tiedottajana.
Poistettavaksi pyydettyjen hakutuloslinkkien takaa löytyneissä verkkojulkaisuissa ei arvosteltu rekisteröidyn toimintaa, mutta kyseisten verkkosisältöjen saatavilla olo rekisteöridyn nimellä tehtävien Google Search -hakujen yhteydessä saattoi antaa virheellisen kuvan rekisteröidystä. Myös sillä oli tapauksen kokonaisarvioinnissa merkitystä, että rekisteröity ei enää ollut yhtiön palveluksessa. Apulaistietosuojavaltuutettu päätyikin antamaan Googlelle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisten hakutuloslinkkien poistamisesta.
Ratkaisuja muualta Euroopasta
Muualla Euroopassa annettiin huhtikuussa yhteensä kolme eri ratkaisua GDPR:n soveltamiseen liittyen.
Alankomaiden tietosuojaviranomainen määräsi 725.000 euron sanktion eräälle yhtiölle sen työntekijöiden sormenjälkien lainvastaisesta käsittelystä. Yhtiö oli vaatinut henkilökuntansa sormenjälkien skannaamista heidän läsnäolonsa kirjaamiseksi. Kyseinen ratkaisu ei ole vielä lainvoimainen ja yhtiö onkin ilmoittanut, että se valittaa siitä.
Ratkaisussa tuotiin esille, että GDPR:n mukaan luonnollisen henkilön tunnistamiseksi käsitellyt biometriset tunnisteet, kuten sormenjäljet, kuuluvat erityisiin henkilötietoryhmiin, joita voidaan käsitellä joko rekisteröidyn nimenomaisella suostumuksella, tai Alankomaiden lainsäädännön mukaisesti sillä perusteella, että niiden käsittely on välttämätöntä todentamis- tai turvallisuustarkoituksiin.
Alankomaiden tietosuojaviranomainen katsoi ratkaisussaan, että yhtiö ei voinut vedota kumpaankaan edellä esitettyyn käsittelyperusteeseen. Yhtiö ei kyennyt osoittamaan, että se olisi saanut työntekijöiltään vapaaehtoisen ja nimenomaisen suostumuksen heidän sormenjälkiensä käsittelyyn.
Toisessa huhtikuun aikana annetussa ratkaisussa Belgian tietosuojaviranomainen määräsi eräälle yhtiölle 50.000 euron sanktion siitä, että sen tietosuojavastaavaan ei katsottu olleen tarpeeksi riippumaton ja vailla eturistiriitoja, koska kyseisellä henkilöllä oli lukuisia muitakin positioita yhtiössä. Hän toimi muun muassa yhtiön tarkastusosaston päällikkönä.
Kolmannessa huhtikuun aikana annetussa ratkaisussa Ruotsin tietosuojaviranomainen määräsi eräälle yhtiölle noin 18.700 euron sanktion siitä, että yhtiöllä kesti noin viisi kuukautta ilmoittaa sattuneista tietoturvaloukkauksista rekisteröidyille. Lisäksi yhtiöllä kesti noin kolme kuukautta ilmoittaa kyseisistä tietoturvaloukkauksista tietosuojaviranomaiselle.
Jatkamme edelleen sekä kansallisen että eurooppalaisen tietosuojaratkaisukäytännön seuraamista.
Tilaamalla Folksin uutiskirjeen sivun alalaidasta saat koosteen blogissa julkaistuista jutuista suoraan omaan sähköpostiisi.
Lisätietoja antaa:
Anna Paimela
Osakas
+358 40 1648626
Päivitetty: 5.9.2023
Ratkaisu Suomesta
Apulaistietosuojavaltuutettu antoi maaliskuussa yhden ratkaisun, joka koski henkilötietojen säilytysaikoja ja rekisteröidyn oikeutta saada henkilötietonsa poistetuksi.
Tapauksessa rekisteröity oli tehnyt sopimuksen teleoperaattorin kanssa, joka oli myöhemmin antanut perintätoimistolle toimeksiannon periä saataviaan rekisteröidyltä. Rekisteröity oli tehnyt perintätoimistolle pyynnön saada tarkastaa itseään koskevat tiedot ja pyytänyt perintätoimistoa poistamaan häntä koskevat henkilötiedot, minkä pyynnön perintätoimisto oli evännyt.
EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Rekisteröidyllä on oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen, kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on vastustanut henkilötietojensa käsittelyä taikka kun hänen henkilötietojensa käsittely ei muutoin ole GDPR:n säännösten mukaista.
Perintätoiminnan harjoittajien rekisteröinnistä annetun lakiin ja kirjanpitolakiin perustuen apulaistietosuojavaltuutettu katsoi, että perintätoimistolla oli ollut peruste säilyttää rekisteröidyn tietoja viiden vuoden ajan siitä, kun perintätoimenpiteet olivat hänen osaltaan päättyneet. Lisäksi apulaistietosuojavaltuutettu totesi, että vain sellaiset rekisteröidyn henkilötiedot, jotka sisältyivät tositteisiin, eli joiden perusteella on tehty perintätoimiston kirjanpitovelvoitteiden mukaisia kirjauksia, voitiin säilyttää kirjanpitolain 2 luvun 10 §:n 2 momentissa säädetyn 10 vuoden ajan. Muita kuin tällaisia tietoja ei tullut säilyttää viitta vuotta pidempään. Apulaistietosuojavaltuutettu toi myös ratkaisussaan esille sen, että rekisteröidyn ja rekisterinpitäjän väliset sähköpostiviestit eivät ole kirjanpitolain 2 luvun 10 §:n 2 momentin tarkoittamaa kirjanpitoaineistoa.
Apulaistietosuojavaltuutettu päätyi antamaan perintätoimistolle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä saada sellaiset henkilötietonsa poistetuiksi, jotka liittyivät viisi vuotta sitten päättyneisiin perintätoimenpiteisiin, ja joiden perusteella ei ollut tehty perintätoimiston kirjanpitovelvoitteiden mukaisia kirjauksia. Mikäli tällaisia kirjauksia oli tehty, tiedot oli poistettava kuuden vuoden kuluttua sen vuoden lopusta, jonka aikana tilikausi oli päättynyt.
Ratkaisuja muualta Euroopasta
Ruotsin tietosuojaviranomainen määräsi noin 7.000.000 euron suuruisen sanktion Googlelle siitä, että se ei noudattanut rekisteröidyn oikeuksia saada tietonsa poistetuksi Googlen hakutuloksista. Tietosuojaviranomainen oli puuttunut asiaan jo aiemmin vuosina 2017 ja 2018, mikä osaltaan johti em. sanktion määräämiseen. Tietosuojaviranomainen velvoitti Googlea myös lopettamaan sen harjoittaman käytännön, jossa se ilmoitti verkkosivuston omistajille siitä, mitkä tulokset ja linkin se poistaa hakutuloksistaan ja kuka on esittänyt tietojen poistamista koskevan pyynnön. Tällaiselle käytännölle ei katsottu olevan oikeudellista perustetta.
Alankomaiden tietosuojaviranominen määräsi vuorostaan 525.000 euron suuruisen sakon tennisyhdistykselle siitä, että se myi yli 350.000 jäsenensä henkilötiedot ilman kunkin rekisteröidyn antamaa suostumusta sponsoreille, jotka olivat suoramarkkinointitarkoituksessa yhteydessä joihinkin yhdistyksen jäseniin sähköpostitse ja puhelimitse. Tietosuojaviranomainen katsoi, että yhdistyksen oikeutettu etu ei ollut hyväksyttävä peruste tietojen myymiselle ja täten yhdistyksellä ei ollut oikeudellista perustetta menettelylleen.
Muutoin maaliskuussa lukumääräisesti eniten sakkoja määrättiin Espanjassa, missä annettiin 16 julkaistua ratkaisua, joissa rahalliset sanktiot vaihtelivat 2.000 eurosta 60.000 euroon. Ratkaisussa oli kyse muun muassa pyydettyjen tietojen toimittamisesta tietosuojaviranomaiselle, rekisteröityjen oikeuksia koskeviin pyyntöihin vastaamisesta, käsiteltävien tietojen minimoimisesta, riittävien toimenpiteiden osoittamisesta liittyen tietoturvan varmistamiseen ja tietojen käsittelemisestä ilman rekisteröidyn suostumusta tai yhtiön oikeutettua etua.
Jatkamme edelleen kansallisen ja eurooppalaisen ratkaisukäytännön seuraamista.
Lisätietoja antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7.6.2023
EU:n whistleblower-direktiivi tulee osaksi kansallista lainsäädäntöä joulukuussa 2021. Direktiivi velvoittaa yli 50 henkilöä työllistäviä tai yli 10 MEUR liikevaihdon ylittäviä yrityksiä ja julkisen sektorin organisaatioita perustamaan epäiltyjen väärinkäytösten ilmiantokanavan ("ilmoituskanava", "eettinen kanava"). Lainsäädännön on tarkoitus antaa suojaa työnantajan kostotoimilta, kuten erottamiselta, alentamiselta tai pelottelulta. Ilmoittajaan kohdistuvista vastatoimista tulee kiellettyjä ja rangaistavia.
Direktiivin mukaan organisaatioiden on perustettava tietoturvallinen ilmiantokanava, jolla mahdollistetaan ilmoitukset väärinkäytöksistä. Organisaation tulee lähettää vastaanottoilmoitus seitsemän päivän sisällä ilmoituksesta sekä käsitellä ja tutkia asia kolmen kuukauden kuluessa ilmoituksen vastaanottamisesta. Ilmiantokanavan toiminnasta vastaavalla henkilöillä – olivat ne sitten organisaation sisäisesti nimettyjä henkilöitä tai organisaation ulkopuolisia asiantuntijoita – on oltava riittävä ammattitaito ilmoitusten vastaanottoon, käsittelyyn ja tutkintaan. Ilmoittajan identiteettiä on suojeltava ja raportit on säilytettävä tietoturvallisesti. Direktiivi lähtee siitä, että ilmoitus olisi ensin tehtävä työnantajalle sisäistä ilmiantokanavaa käyttäen, toisessa vaiheessa ulkoista ilmiantokanavaa käyttäen toimivaltaiselle viranomaiselle ja kolmantena vaiheena voisi olla tietojen julkistaminen. Tämä hierarkia mahdollistaa sen, että organisaatiot voivat pyrkiä selvittämään paljastuvat ongelmat oma-aloitteisesti.
Ilmiantokanavien käytössä työpaikoilla on otettava huomioon tietosuoja-asetuksesta ja työelämän tietosuojalaista johtuvat velvoitteet. Ennen kuin ilmiantokanava voidaan ottaa yrityksessä käyttöön, tulee asianmukaiset yhteistoimintamenettelyt henkilöstön kanssa käydä läpi. Tietosuojavaltuutetun ohjeistuksen mukaan ilmiantokanavan käyttöönotto edellyttää myös tietosuojaa koskevan vaikutustenarvioinnin (DPIA) toteuttamista.
Kun siis valmistaudut tulevaan lainsäädäntöön:
kartoita eri vaihtoehtoja ilmiantokanavan tekniselle toteuttamiselle
laadi yhteistyössä henkilöstön kanssa organisaation eettiset periaatteet (Code of Conduct) ja jalkauta se organisaatioon
laadi tietosuojaa koskeva vaikutustenarviointi sekä muu dokumentaatio, kuten tietosuojaseloste ja ilmiantokanavaa koskeva Q&A
kouluta avainhenkilöstö ilmiantokanavan tarkoituksesta ja käytöstä
käsittele asia yhteistoimintaneuvotteluissa
Tärkeää – ellei tärkeintä – on kuitenkin se, että vastuullisuus, eettinen toiminta ja läpinäkyvyys rakennetaan osaksi organisaation DNA:ta, eikä asia jää vain lainsäädännön pakolliseksi, tekniseksi toteuttamiseksi. Parhaimmillaan tätä lainsäädäntömuutosta voi käyttää ajurina rakentamaan yrityskulttuuria, jossa kaikilla on oikeus tuoda esiin epäkohdat ilman pelkoa ikävistä seuraamuksista, ja jossa epäkohdat käsitellään avoimesti perimmäisiä syitä tutkien. Vastuulliset yritykset saavat tutkitusti liiketoimintahyötyjä mm. sitouttamalla asiakkaita, nostamalla yrityksen arvoa sijoittajien silmissä ja houkuttelemalla parhaita osaajia.
Lisätietoja asiasta antaa:
Anna Paimela
Osakas
+358 40 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.