Tietosuojavaltuutetun seuraamuskollegio on toukokuussa 2020 määrännyt Suomen ensimmäiset seuraamusmaksut tietosuojalainsäädännön rikkomisesta. Yhteensä seuraamusmaksuja määrättiin neljälle yritykselle suurimman seuraamusmaksun ollessa 100 000 euroa.
Rikkomukset koskivat muun muassa rekisteröityjen puutteellista informointia, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä. Lisäksi apulaistietosuojavaltuutettu on tuoreessa päätöksessään linjannut, että selainasetuksien kautta annettua suostumusta evästeiden käyttöön ei katsota riittäväksi.
Seuraamusmaksut toimivat hyvänä muistutuksena siitä, että yritysten on noudatettava toiminnassaan tietosuojalainsäädännön velvoitteita. Päätöksissä korostuvat sisäänrakennetun ja oletusarvoisen tietosuojan riittävä huomioiminen, rekisteröityjen läpinäkyvä ja selkeä informointi sekä henkilötietojen käsittelyn lainmukaisuuden ja riskien ennakollinen arviointi. Lisäksi apulaistietosuojavaltuutetun antama päätös toi kauan kaivattua selkeyttä kansallisiin evästekäytäntöihin.
Ensimmäinen tapaus: puutteet rekisteröityjen informoinnissa
Ensimmäinen tapaus koski rekisteröityjen puutteellista informointia. Yritys ei ollut kertonut rekisteröidyille heidän oikeuksistaan, muun muassa oikeudesta kieltää tietojen luovuttaminen muuttoilmoituksen tekemisen yhteydessä. Yrityksen olisi pitänyt kertoa selkeästi, että asiakkailla oli oikeus vastustaa henkilötietojen käsittelyä. Luovutuskiellosta oli mainittu ainoastaan yhdellä sanalla ilman sen sisällön tarkempaa kuvausta.
Päätöksessään tietosuojaviranomainen katsoi, ettei yrityksen suorittama henkilötietojen käsittely täyttänyt tietosuoja-asetuksen läpinäkyvyyden periaatteen vaatimuksia.
Seuraamusmaksu 100 000 euroa
Toinen tapaus: sijaintitietojen käsittely edellyttää vaikutustenarviointia
Toisessa tapauksessa kyse oli yrityksen työntekijöiden sijaintitietojen käsittelystä. Yritys käytti ajoneuvojen sijaintitietoja muun muassa työajanseurantaan.
Tietosuojaviranomaisen mukaan yrityksen olisi tullut laatia tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi ennen sijaintitietojen käsittelyn aloittamista. Tietosuoja-asetus edellyttää vaikutustenarvioinnin tekemistä aina, kun henkilötietojen käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn henkilön oikeuksien ja vapauksien kannalta.
Työntekijöiden sijaintitietojen käsittelyssä katsottiin olevan kyse järjestelmällisestä valvonnasta ja valvonnan kohteena olevien työntekijöiden katsottiin olevan heikommassa asemassa suhteessa työnantajaan. Lisäksi yrityksen katsottiin laiminlyöneen sijaintitietojen käsittelyssä tietosuoja- asetuksen 25 artiklan sisäänrakennettua ja oletusarvoista tietosuojaa koskevia vaatimuksia.
Päätöksessä tietosuojaviranomainen toi myös esille, että tietämättömyys lainsäädännön sisällöstä ei poista vastuuta, eikä johda seuraamusten määräämättä jättämiseen.
Seuraamusmaksu 16 000 euroa
Kolmas tapaus: työntekijöiden tarpeettomien henkilötietojen kerääminen
Kolmannessa tapauksessa oli kyse siitä, että yritys oli kerännyt työnhakijoista ja työntekijöistä henkilötietoja tarpeettomasti. Yritys oli työhönottolomakkeella kysynyt muun muassa työnhakijan uskonnollisesta vakaumuksesta, terveydentilasta, perhesuhteista ja mahdollisesta raskaudesta.
Tietosuojaviranomainen katsoi, että yritys ei täyttänyt kerättyjen tietojen osalta tarpeellisuusvaatimusta. Työelämän tietosuojalain mukaan työnantaja saa käsitellä vain työntekijän työsuhteen kannalta tarpeellisia tietoja.
Seuraamusmaksun lisäksi tietosuojaviranomainen määräsi yrityksen poistamaan tarpeettomat tiedot ja antoi huomautuksen puutteellisesta dokumentoinnista.
Seuraamusmaksu 12 500 euroa
Neljäs tapaus: useita puutteita henkilötietojen käsittelyssä
Neljännessä tapauksessa oli kysymys takseissa ääntä ja kuvaa tallentavan kameravalvontajärjestelmän kautta kerätyistä henkilötiedoista.
Tietosuojaviranomaisen mukaan yritys ei ollut arvioinut henkilötietojen käsittelyn lainmukaisuutta tietosuoja-asetuksen edellyttämällä tavalla. Yrityksen olisi tullut tehdä ns. tasapainotesti henkilötietojen käsittelyn tarpeellisuuden sekä oikeutetun edun olemassa olon arvioimiseksi. Yritys ei ollut myöskään tehnyt tietosuoja-asetuksen 35 artiklan mukaisia vaikutustenarviointeja ennen henkilötietojen käsittelyä. Vaikutustenarviointi olisi tullut tehdä turvakameravalvonnasta, sijaintitietojen käsittelystä ja kanta-asiakasohjelman yhteydessä harjoitetusta automaattisesta päätöksenteosta ja profiloinnista. Tietosuojaviranomainen määräsi yrityksen tekemään vaadittavat arvioinnit.
Lisäksi tietosuojaviranomaisen selvityksessä tuli ilmi useita puutteita tietosuojan peruskysymyksissä kuten informointikäytännöissä, dokumentoinnissa ja henkilötietojen käsittelyyn liittyvien roolien määrittelyssä.
Seuraamusmaksu 72 000 euroa