Puutteet informoinnissa

GDPR asettaa henkilötietoja käsitteleville informointivelvollisuuden. Henkilöille, joilta tietoja kerätään, on asianmukaisesti kerrottava muun muassa heidän oikeudestaan vastustaa henkilötietojensa käsittelyä. Yhden seuraamusmaksun kohteeksi joutuneen yrityksen osalta sakot perustuivat siihen, että se oli tietosuojavaltuutetun toimiston mielestä informoinut henkilöitä puutteellisesti tästä vastustamismahdollisuudesta. Kyseessä oli Posti Oy ja sen muuttoilmoituspalvelu. Postin tuote-ehdot, joissa vastustamismahdollisuudesta kerrottiin, eivät päätöksen mukaan olleet tulleet hyväksyttäväksi niille muuttoilmoituksen tehneille henkilöille, jotka eivät muuttoilmoituksen yhteydessä olleet ostaneet lisäpalveluita. Tästä syystä tietosuojavaltuutetun toimisto katsoi, että näiden henkilöiden osalta informointi oli toteutettu puutteellisesti.

Vaikutustenarvioinnin laiminlyönti

Toisen sakkoa saaneen yrityksen, Kymen Vesi Oy:n, osalta oli kyse siitä, että yritys oli laiminlyönyt velvollisuuden tehdä GDPR:n mukainen vaikutustenarviointi. Asetus edellyttää, että vaikutustenarviointi tehdään sellaisesta tietojen käsittelystä, joka todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille.

Kymen Vesi Oy:n autoissa oli ollut paikannuslaitteita, joista yritys sai tietoja työntekijöidensä sijainneista. Tällaisten sijaintitietojen käsittely aiheutti tietosuojavaltuutetun toimiston näkemyksen mukaan korkean riskin yrityksen työntekijöiden oikeuksien ja vapauksien kannalta. Tästä syystä yritys oli rikkonut tietosuoja-asetusta, kun se ei ollut tehnyt vaikutustenarviointia, eli toisin sanoen dokumentoidusti arvioinut sijaintitietojen käsittelyn tarpeellisuutta ja verrannut sitä käsittelystä aiheutuviin riskeihin ennen kuin se ryhtyi käsittelemään kyseisiä tietoja.

Tarpeettomien tietojen kerääminen

Kolmannen yrityksen osalta, jonka nimeä tietosuojavaltuutetun toimisto ei julkaissut, seuraamusmaksu määrättiin siitä syystä, että yritys oli kerännyt henkilötietoja tarpeettomasti. Työelämän tietosuojalain mukaan työnantaja saa kerätä vain tietoja, jotka ovat työntekijän työsuhteen kannalta tarpeellisia. Yritys oli kerännyt työnhakijoilta tietoja muun muassa seurakuntaan kuulumisesta, terveydentilasta ja raskaudesta. Tällaisten tietojen ei voida katsoa olevan työsuhteen kannalta tarpeellisia, mistä syystä niiden kerääminen katsottiin tietosuojalainsäädännön vastaiseksi.

Useat puutteet henkilötietojen käsittelyssä

Taksi Helsinki Oy:lle määrätyn seuraamusmaksun perusteena olivat useat henkilötietojen käsittelyyn liittyvät puutteet yrityksen käytännöissä. Muun muassa yrityksen tekemä vaikutustenarviointi taksiautoissa suoritetusta turvakameravalvonnasta oli ollut puutteellinen. Sijaintitietojen käsittelyn sekä Taksi Helsinki Oy:n kanta-asiakasohjelmaan liittyneen profiloinnin osalta vaikutustenarviointi oli laiminlyöty kokonaan. Myöskään Taksi Helsinki Oy:n asiakkaiden informointi henkilötietojen käsittelystä ei tietosuojavaltuutetun toimiston mukaan täyttänyt lainsäädännön vaatimuksia. Asiakkaita oli informoitu puutteellisesti erityisesti turvakameravalvonnan tallentamien äänitietojen osalta sekä kanta-asiakkaiden profiloinnin osalta.

Nämä tietosuojavaltuutetun toimiston päätökset seuraamusmaksuista eivät ole lainvoimaisia, eli sakkoa saaneet voivat vielä hakea päätöksiin muutosta valittamalla niistä hallinto-oikeuteen.

‍

‍

Lue myös:

EU-tuomioistuin totesi Privacy Shield -järjestelmän riittämättömäksi (Schrems II -asiassa)

Muutoksia rekisterinpitäjän ja henkilötietojen käsittelijän väliseen vastuunjakoon – sopimusten ja vastuukysymysten tarkastaminen ajankohtaista