Ratkaisu Suomesta
Apulaistietosuojavaltuutettu antoi kesäkuussa yhden ratkaisun, joka koski pysäköintiluvan osoittavassa kortissa (ns. parkkilupalappu) ilmoitettavia tietoja. Kyseisestä ratkaisusta voi valittaa hallinto-oikeuteen, joten se ei ole vielä lainvoimainen.
Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) mukaisen huomautuksen. Rekisterinpitäjä ei ollut parkkilupalappujen yhteydessä suorittamassaan henkilötietojen käsittelyssä noudattanut GDPR:ssä säädettyä tietojen minimoinnin periaatetta. Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen määräyksen saattaa parkkilupalappujen yhteydessä suorittamansa henkilötietojen käsittely GDPR:ssä säädetyn mukaiseksi eli rekisterinpitäjän oli varmistettava, ettei parkkilupalapuista enää ilmene luvan haltijan osoite- tai asiointitietoja.
Ratkaisun perusteluissa tuotiin esille, että GDPR:ssä on säädetty tietojen minimoinnin periaatteesta. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. GDPR:n mukaan henkilötietojen on oltava riittäviä ja olennaisia sekä rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Täten henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin.
Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjä ei esittänyt mitään sellaista, joka osoitti osoitetiedon olevan välttämätöntä sen varmistamiseksi, että pysäköintipaikalle ajoneuvon pysäköineellä henkilöllä oli ollut oikeus pysäköidä ajoneuvo kyseiselle pysäköintipaikalle. Rekisterinpitäjä totesi itsekin, että nykyinen käytäntö oli korvattavissa esimerkiksi numeroista koostuvalla yksilöintitiedolla. Näin ollen käsittelyn tarkoitus oli kohtuullisesti toteutettavissa muilla keinoin. Ratkaisussa apulaistietosuojavaltuutettu totesi myös, että tietojen minimoinnin periaatetta on noudatettava, vaikka henkilötiedot olisivat julkisia tai muuten helposti saatavilla.
Ratkaisuja muualta Euroopasta
Saksan tietosuojaviranomainen määräsi 1.240.000 euron suuruisen sanktion rekisterinpitäjänä toimivalle vakuutusorganisaatiolle, joka järjesti erilaisia kilpailuja ja keräsi niihin osallistujien henkilötietoja, mukaan lukien heidän yhteystietonsa ja tiedot sairausvakuutusyhtiöstä. Rekisterinpitäjä käytti em. tietoja myös markkinointitarkoituksiin, mikäli osallistujat antoivat siihen suostumuksensa. Teknisillä ja organisatorisilla toimenpiteillä, mukaan lukien sisäiset ohjeet ja tietosuojakoulutus, rekisterinpitäjä halusi varmistaa, että markkinointitarkoituksiin käytettiin vain niitä kilpailuihin osallistujien tietoja, jotka olivat aikaisemmin antaneet siihen suostumuksensa. Rekisterinpitäjän määrittelemät toimenpiteet eivät kuitenkaan täyttäneet lakisääteisiä vaatimuksia, minkä seurauksena yli 500 henkilön, jotka osallistuivat arpajaisiin, henkilötietoja käytettiin markkinointitarkoituksiin ilman heidän antamaa suostumusta.
Unkarin tietosuojaviranomainen määräsi vuorostaan 288.000 euron suuruisen sanktion eräälle yhtiölle siitä, että se oli loukannut käyttötarkoituksen ja säilytysrajoituksen periaatteita. Yhtiön tietokanta sisälsi suuren määrän asiakastietoja, joille ei ollut enää tosiasiallisista keräystarkoitusta, eikä tiedoille ollut asetettu mitään säilytysaikaa. Unkarin tietosuojaviranomainen huomautti, että yhtiö ei ollut ryhtynyt tarkoituksenmukaisiin toimenpiteisiin tietojen hallinnan ja tietoturvan riskien vähentämiseksi.
Annamme mielellämme lisätietoja ratkaisusta ja tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.