7 minuutin lukuaika 23 kesäk. 2020
Suomen tietosuojavaltuutetun toimisto on määrännyt ensimmäiset seuraamusmaksut tietosuojarikkomuksista – mitä voimme oppia näistä?

Suomen tietosuojavaltuutetun toimisto on määrännyt ensimmäiset seuraamusmaksut tietosuojarikkomuksista – mitä voimme oppia näistä?

Kirjoittaja Reino Hyvärinen

Partner, Head of Law, EY Finland

Juridisten, teollisten, liiketoiminnallisten ja kaupallisten toimintojen erinomainen hallinta, jota hyödynnän yhteensovittaessani asiakkaiden strategioita ja tarpeita toteutuskelpoisiksi hankkeiksi.

7 minuutin lukuaika 23 kesäk. 2020
Samankaltaisia aiheita Lakipalvelut

Tietosuojavaltuutetun seuraamuskollegio on toukokuussa 2020 määrännyt Suomen ensimmäiset seuraamusmaksut tietosuojalainsäädännön rikkomisesta. Yhteensä seuraamusmaksuja määrättiin neljälle yritykselle suurimman seuraamusmaksun ollessa 100 000 euroa.

Rikkomukset koskivat muun muassa rekisteröityjen puutteellista informointia, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä. Lisäksi apulaistietosuojavaltuutettu on tuoreessa päätöksessään linjannut, että selainasetuksien kautta annettua suostumusta evästeiden käyttöön ei katsota riittäväksi.

Seuraamusmaksut toimivat hyvänä muistutuksena siitä, että yritysten on noudatettava toiminnassaan tietosuojalainsäädännön velvoitteita. Päätöksissä korostuvat sisäänrakennetun ja oletusarvoisen tietosuojan riittävä huomioiminen, rekisteröityjen läpinäkyvä ja selkeä informointi sekä henkilötietojen käsittelyn lainmukaisuuden ja riskien ennakollinen arviointi. Lisäksi apulaistietosuojavaltuutetun antama päätös toi kauan kaivattua selkeyttä kansallisiin evästekäytäntöihin.

Ensimmäinen tapaus: puutteet rekisteröityjen informoinnissa

Ensimmäinen tapaus koski rekisteröityjen puutteellista informointia. Yritys ei ollut kertonut rekisteröidyille heidän oikeuksistaan, muun muassa oikeudesta kieltää tietojen luovuttaminen muuttoilmoituksen tekemisen yhteydessä. Yrityksen olisi pitänyt kertoa selkeästi, että asiakkailla oli oikeus vastustaa henkilötietojen käsittelyä. Luovutuskiellosta oli mainittu ainoastaan yhdellä sanalla ilman sen sisällön tarkempaa kuvausta.

Päätöksessään tietosuojaviranomainen katsoi, ettei yrityksen suorittama henkilötietojen käsittely täyttänyt tietosuoja-asetuksen läpinäkyvyyden periaatteen vaatimuksia.

Seuraamusmaksu 100 000 euroa

Toinen tapaus: sijaintitietojen käsittely edellyttää vaikutustenarviointia

Toisessa tapauksessa kyse oli yrityksen työntekijöiden sijaintitietojen käsittelystä. Yritys käytti ajoneuvojen sijaintitietoja muun muassa työajanseurantaan. 

Tietosuojaviranomaisen mukaan yrityksen olisi tullut laatia tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi ennen sijaintitietojen käsittelyn aloittamista. Tietosuoja-asetus edellyttää vaikutustenarvioinnin tekemistä aina, kun henkilötietojen käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn henkilön oikeuksien ja vapauksien kannalta.

Työntekijöiden sijaintitietojen käsittelyssä katsottiin olevan kyse järjestelmällisestä valvonnasta ja valvonnan kohteena olevien työntekijöiden katsottiin olevan heikommassa asemassa suhteessa työnantajaan. Lisäksi yrityksen katsottiin laiminlyöneen sijaintitietojen käsittelyssä tietosuoja- asetuksen 25 artiklan sisäänrakennettua ja oletusarvoista tietosuojaa koskevia vaatimuksia.

Päätöksessä tietosuojaviranomainen toi myös esille, että tietämättömyys lainsäädännön sisällöstä ei poista vastuuta, eikä johda seuraamusten määräämättä jättämiseen.

Seuraamusmaksu 16 000 euroa

Kolmas tapaus: työntekijöiden tarpeettomien henkilötietojen kerääminen

Kolmannessa tapauksessa oli kyse siitä, että yritys oli kerännyt työnhakijoista ja työntekijöistä henkilötietoja tarpeettomasti. Yritys oli työhönottolomakkeella kysynyt muun muassa työnhakijan uskonnollisesta vakaumuksesta, terveydentilasta, perhesuhteista ja mahdollisesta raskaudesta.

Tietosuojaviranomainen katsoi, että yritys ei täyttänyt kerättyjen tietojen osalta tarpeellisuusvaatimusta. Työelämän tietosuojalain mukaan työnantaja saa käsitellä vain työntekijän työsuhteen kannalta tarpeellisia tietoja.

Seuraamusmaksun lisäksi tietosuojaviranomainen määräsi yrityksen poistamaan tarpeettomat tiedot ja antoi huomautuksen puutteellisesta dokumentoinnista.

Seuraamusmaksu 12 500 euroa

Neljäs tapaus: useita puutteita henkilötietojen käsittelyssä

Neljännessä tapauksessa oli kysymys takseissa ääntä ja kuvaa tallentavan kameravalvontajärjestelmän kautta kerätyistä henkilötiedoista.

Tietosuojaviranomaisen mukaan yritys ei ollut arvioinut henkilötietojen käsittelyn lainmukaisuutta tietosuoja-asetuksen edellyttämällä tavalla. Yrityksen olisi tullut tehdä ns. tasapainotesti henkilötietojen käsittelyn tarpeellisuuden sekä oikeutetun edun olemassa olon arvioimiseksi. Yritys ei ollut myöskään tehnyt tietosuoja-asetuksen 35 artiklan mukaisia vaikutustenarviointeja ennen henkilötietojen käsittelyä. Vaikutustenarviointi olisi tullut tehdä turvakameravalvonnasta, sijaintitietojen käsittelystä ja kanta-asiakasohjelman yhteydessä harjoitetusta automaattisesta päätöksenteosta ja profiloinnista. Tietosuojaviranomainen määräsi yrityksen tekemään vaadittavat arvioinnit.

Lisäksi tietosuojaviranomaisen selvityksessä tuli ilmi useita puutteita tietosuojan peruskysymyksissä kuten informointikäytännöissä, dokumentoinnissa ja henkilötietojen käsittelyyn liittyvien roolien määrittelyssä.

Seuraamusmaksu 72 000 euroa

”.. seuraamusmaksuja voi saada hyvin erilaisista rikkomuksista kuten lainmukaisesta perusteesta henkilötietojen keräämiselle, vaikutustenarviointien laiminlyönnistä tai rekisteröityjen puutteellisesta informoinnista.”
Mitä tapauksista voidaan oppia?

Tietosuojavaltuutetun toimiston seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua, määräsi nyt ensimmäistä kertaa seuraamusmaksuja Suomessa tietosuojavelvoitteiden rikkomisesta. Ensimmäiset päätökset osoittavat, että seuraamusmaksuja voi saada hyvin erilaisista rikkomuksista kuten lainmukaisesta perusteesta henkilötietojen keräämiselle, vaikutustenarviointien laiminlyönnistä tai rekisteröityjen puutteellisesta informoinnista.

Päätösten perusteella voidaan tehdä seuraavia havaintoja:

  • Rekisteröityjä on informoitava läpinäkyvästi, selkeästi ja oikea-aikaisesti
  • Vaikutustenarviointi on aina tehtävä, jos käsittelystä aiheutuu korkea riski rekisteröidyn oikeuksille ja vapauksille (mm. sijaintitietojen käsittely)
  • Henkilötietojen tarpeellisuuteen ja lainmukaiseen käsittelyperusteeseen tulee kiinnittää erityistä huomiota
  • Osoitusvelvollisuus edellyttää riittävää ja ajantasaista dokumentaatiota

Tietosuoja-asetuksen perusteella määrättävien seuraamusmaksujen enimmäismäärä voi olla 4 % yrityksen kokonaisliikevaihdosta tai 20 miljoonaa euroa. Lisäksi on hyvä huomata, että tietosuojaviranomaisten määräämät korjaavat toimenpiteet kuten henkilötietojen asettaminen väliaikaiseen tai pysyvään käyttökieltoon taikka tapausten saama julkisuus voivat joissakin tilanteissa olla yrityksen kannalta haitallisempia kuin pelkkä seuraamusmaksu.

Nyt viimeistään on hyvä hetki tarkistaa yrityksen tietosuojavelvoitteiden noudattaminen. Erityisesti tulisi kiinnittää huomioita henkilötietojen käsittelyn lainmukaisuuden varmistamiseen ja riittävän kattavan dokumentaation laatimiseen. Vastuu tietosuojavelvoitteiden noudattamisesta on yrityksien vastuulla. Päätöksien myötä on selvää, että tietämättömyys lain sisällöstä ei poista vastuuta tai johda seuraamusmaksun määräämättä jättämiseen.

Evästeitä koskevat suostumuskäytännöt uusiksi

Apulaistietosuojavaltuutettu on 14.5.2020 antamassaan päätöksessä linjannut, evästeitä koskevaan suostumukseen on sovellettava tietosuoja-asetuksen mukaisia suostumuksen edellytyksiä. Päätöksen mukaan suostumukseksi ei enää riitä Traficomin ohjeistuksen mukaisesti selainasetusten kautta annettu suostumus tai ilmoitukset, joissa todetaan, että "jatkamalla sivuston käyttöä hyväksyt evästeiden käytön". Jatkossa evästeitä varten pyydetyn suostumuksen tulisi olla tietosuoja-asetuksen mukainen eli vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Lisäksi evästeitä koskeva suostumuksen peruuttamisen tulisi olla yhtä helppoa kuin sen antamisen.

Apulaistietosuojavaltuutetun päätöksen myötä verkkosivujen evästeilmoitukset menevät nyt uusiksi suurimmalla osalla yrityksistä. Jokaisen yrityksen tulisikin nyt arvioida evästeitä koskevat suostumuskäytäntönsä ja päivittää niitä tarvittaessa.

Yhteenveto

Tietosuojaan liittyviä toimenpiteitä ja riskejä on arvioitava säännöllisesti. Organisaatioilta edellytetään kykyä hoitaa päivittäiset tietosuojaa koskevat kysymykset ja ongelmatilanteet.

Kokeneet tietosuoja-asiantuntijamme auttavat organisaatiotasi tunnistamaan tietosuojaan liittyvät riskit ja keskeiset kehityskohteet. Asiantuntijoillamme on kattava kokemus tietosuojaan liittyvistä toimeksiannoista ja tietosuoja-asetuksen johdosta suoritettujen kehitysprojektien menestyksekkäästä läpiviennistä. Olemme mielellämme tukena organisaatiosi tietosuojan kehittämisessä ja vaatimustenmukaisuuden saavuttamisessa.

Tästä artikkelista

Kirjoittaja Reino Hyvärinen

Partner, Head of Law, EY Finland

Juridisten, teollisten, liiketoiminnallisten ja kaupallisten toimintojen erinomainen hallinta, jota hyödynnän yhteensovittaessani asiakkaiden strategioita ja tarpeita toteutuskelpoisiksi hankkeiksi.

Related topics Lakipalvelut