EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamisen alettua on annettu noin 200 hallinnollista sakkoa, euromääräisesti lähes 150.000.000, ympäri Eurooppaa. Aloitamme sarjan, johon koostamme kuukausittain kiinnostavia tietosuojaratkaisuja meiltä ja muualta.

Tietosuojavaltuutetun toimiston ratkaisuja tammikuulta 2020

Pääsyoikeuden rajat

TSV katsoi 3.1.2020 antamassaan päätöksessä, että pankkisalaisuuteen liittyvästä tietojen luottamuksellisuudesta johtuen puolisolla ei ollut oikeutta päästä muihin kuin omaan asiointiinsa liittyviin asiointitietoihin. Puolisoilla oli yhteinen bonustili, jonka pääkäyttäjäksi oli merkitty pyytäjän vaimo. TSV katsoi, että koko bonustiliin liittyvien asiointitietojen antaminen puolisolle olisi merkinnyt vaimon pankkisalaisuuden loukkausta ja olisi siten vaikuttanut haitallisesti muiden (tässä tapauksessa vaimon) oikeuksiin GDPR:n 15 artiklan 4 kohdan tavalla. Puolison tietoihin pääsyoikeus koko bonustilin tietoihin voitiin siten evätä.

Tapaus kuvastaa hyvin sitä, minkä laajuiseksi rekisteröidyt yleensä näkevät tietoihin pääsyoikeutensa (kaikki mahdolliset häneen liittyvät tiedot) ja minkä laajuinen se oikeasti on. Rekisteröidyn tarkastusoikeus kattaa vain häntä koskevat henkilötiedot, eikä hänellä ole oikeutta saada sellaisia tietoja, jotka liittyvät toiseen rekisteröityyn. Tämä soveltuu myös esim. kanta-asiakasjärjestelmiin, jossa kanta-asiakastili on avattu toisen nimiin ja vaikkapa tämän puolisolla on rinnakkaiskortti, joka on liitetty tiliin.

Tietoturvaloukkauksen ilmoittamisen tapa

TSV antoi 3.1.2020 huomautuksen rahoitusalalla toimivalle rekisterinpitäjälle, kun sen tietoturvaloukkauksesta antama julkinen ilmoitus oli sisällöltään epäselvä. Koska kyse oli ”korkean riskin” aiheuttavasta tietoturvaloukkauksesta, rekisterinpitäjä oli ilmoittanut loukkauksesta henkilökohtaisesti rekisteröidyille. Koska kaikkien yhteystietoja ei kuitenkaan ollut tiedossa, rekisterinpitäjä käytti myös julkista tiedonantoa. Julkisessa ilmoituksessa oli kohta, jonka mukaan ”asianomaisille on lähetetty tilanteesta lisätietoa henkilökohtaisesti”. TSV katsoi, että ilmoitus ei täyttänyt läpinäkyvyyden vaatimusta, sillä niille rekisteröidyille, joille ei ilmoitettu henkilökohtaisesti, mutta joiden henkilötietoja loukkaus kosketti, saattoi jäädä käsitys, ettei loukkaus koskenut heitä, jos heille ei ollut ilmoitettu henkilökohtaisesti. Rekisteröityjen määrä oli huomattava, noin 9000-10000, joista noin 7000 rekisteröidylle ei toimitettu henkilökohtaista ilmoitusta.

Jutussa on huomionarvoista se, että TSV katsoi tietoturvaloukkauksen tapahtuneen aiottua laajemman tietoihin pääsyn takia, vaikka pääsy oli vain rajoitetulla osalla käsittelijän henkilöstöstä, ja rekisterinpitäjän ja käsittelijän välillä oli tehty tietojenkäsittelysopimus. Tietoturvaloukkaukseksi riitti se, että sopimuksessa oli määritelty, etteivät henkilötiedot tallennu tietokantaan eikä käsittelijällä ole pääsyä tietoihin, mutta näin oli kuitenkin käynyt. Sinänsä GDPR:n määritelmä loukkauksesta täyttyi, sillä pääsy oli GDPR:n määritelmän mukaisesti ”luvatonta”.

Ratkaisuja muualta Euroopasta tammikuussa 2020

Kyproksen tietosuojaviranomainen kielsi työnantajana toimineilta kolmelta saman konsernin yhtiöiltä automatisoidun ”Bradford’s Factor” -työkalun käytön ja määräsi näille yhteensä 82.000 euron hallinnollisen sakon. Kyseinen työkalu seurasi työntekijöiden sairauslomia, pisteytti niitä ja loi niiden perusteella jonkinlaisen profiilin työntekijästä tämän sairauspoissaolojen perusteella. Tietosuojaviranomainen katsoi, että kyseessä on ”arkaluontoisten henkilötietojen” kategoriaan kuuluvien terveystietojen käsittely, jolle ei ko. laajuudessa ollut perustetta, vaikka totesikin yleisesti noudatettavan pääsäännön, jonka mukaan työnantaja saa seurata sairauspoissaolojen yleisyyttä poissaolon syyn oikeellisuutta.

Kyseinen menettely ei olisi sallittua myöskään oman lainsäädäntömme perusteella. Työelämän tietosuojalain mukaan työntekijän terveydentilaa koskevat tiedot on kerättävä ensisijaisesti häneltä itseltään ja hänen kirjallisella suostumuksellaan (jonka on oltava nimenomainen, yksilöity ja vapaaehtoinen) niitä voidaan kerätä muualta. Lisäksi tietojen käyttötarkoitus on tarkoin rajattu, mitä osaltaan vahvistaa ko. laissa säädetty tietojen tarpeellisuusvaatimus, josta ei voida poiketa edes työntekijän suostumuksin. Siten tällaisen terveystietojen automaattiseen analysointiin ja profilointiin ei voitaisi ryhtyä edes työntekijän suostumuksella, sillä tällaisten tietojen käsittely tuskin olisi millään perusteella tarpeen työsuhteesta liittyvien velvollisuuksien hoitamiseksi.

Espanjan tietosuojaviranomainen määräsi 44.000 euron sakon yritykselle, joka oli lähettänyt henkilötietoja (nimen, osoitteen ja puhelinnumeron) sisältävän sopimuksen väärälle henkilölle.

Italian tietosuojaviranomainen määräsi 27.800.000 euron sakon telealan yritykselle, joka oli lähettänyt sähköistä suoramarkkinointia tai soittanut markkinointipuheluja ilman vastaanottajien suostumusta tai sen jälkeen, kun he olivat kieltäneet markkinoinnin. Yritys ei riittävällä tavalla huolehtinut telemarkkinointikumppaninsa menettelytavoista tai opt-out -listojen ajantasaisuudesta. Samalla havaittiin myös muita puutteita yrityksen tietojenkäsittelytavoissa, mm. informaation tarjoamisessa, säilytysaikojen määrittelyssä ja tietoturvassa.

Kreikan tietosuojaviranomainen määräsi 15.000 euron sakon yritykselle, joka otti käyttöön videovalvonnan työpaikalla. Viranomainen katsoi, että valvonnan käyttöönotto oli laitonta, sillä siitä ei ollut informoitu työntekijöitä.

Seuraava osa ilmestyy maaliskuun alussa.

Taulukon kuvalähde.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.