Ratkaisuja Suomesta
Tietosuojavaltuutettu antoi tammikuussa yhden ratkaisun, joka koski rekisteröidyn oikeutta saada tietonsa poistetuksi ja oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointitarkoituksiin.
Rekisteröity oli vuonna 2014 ostanut silmä- ja aurinkolasit rekisterinpitäjän optikkoliikkeestä, minkä jälkeen loppuvuonna 2017 sekä alkuvuonna 2018 rekisteröity oli alkanut saada rekisterinpitäjältä yhteydenottoja. Rekisteröity pyysi alkuvuonna 2018 rekisterinpitäjää poistamaan rekisteröidyn henkilötiedot ja lopettamaan yhteydenpidon rekisteröityyn. Rekisterinpitäjä oli vastannut rekisteröidylle ja kertonut yrittäneensä puhelimitse tavoitella häntä näöntarkastuskutsun takia, ja samalla ilmoittanut merkinneensä rekisteröidyn tietoihin suoramarkkinointikiellon. Siitä huolimatta rekisteröity oli loppuvuonna 2018 saanut rekisterinpitäjältä postitse suoramarkkinointikirjeen, jonka jälkeen rekisteröity oli ollut uudestaan yhteydessä rekisterinpitäjään ja pyytänyt tietojensa poistamista, mihin rekisterinpitäjä oli vastannut suoramarkkinoinnin johtuneen tietoteknisestä syystä. Tämän jälkeen rekisteröity sai jälleen loppuvuonna 2019 tekstiviestitse suoramarkkinointiviestin rekisterinpitäjältä ja oli jälleen yhteydessä rekisterinpitäjään. Rekisterinpitäjä oli vastannut rekisteröidylle ja kertonut, että hänelle oli merkitty markkinointikielto, mutta teknisestä virheestä johtuen hän oli jälleen saanut suoramarkkinointiviestin.
Yleisen tietosuoja-asetuksen (GDPR) mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle sekä käyttää muita oikeussuojakeinoja. GDPR:n mukaan rekisteröidyllä on myös oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, jos henkilötietoja käsitellään suoramarkkinointia varten. Jos rekisteröity vastustaa henkilötietojensa käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä suoramarkkinointitarkoitukseen.
Tietosuojavaltuutettu katsoi päätöksessään, että rekisterinpitäjä ei ollut toteuttanut rekisteröidyn GDPR:n mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin, vaan rekisteröidyn henkilötietoja oli hänen suoramarkkinointia koskevasta kiellosta huolimatta käsitelty suoramarkkinointitarkoituksiin. Lisäksi rekisterinpitäjä oli vasta rekisteröidyn kolmannen pyynnön jälkeen toimittanut rekisteröidylle tiedon siitä, miksi hänen henkilötietojaan ei voitu poistaa, vaikka GDPR:n mukaan rekisterinpitäjän tulisi toimittaa rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta syy siihen, miksi se ei toteuta rekisteröidyn pyyntöä. Tietosuojavaltuutettu antoikin rekisterinpitäjälle GDPR:n mukaisen huomautuksen GDPR:n mukaisten rekisterinpitäjän velvollisuuksien laiminlyömisestä.
Helmikuussa tietosuojavaltuutettu antoi ratkaisun, joka koski rekisteröidyn oikeutta saada pääsy omiin tietoihinsa ja rekisteröidyn informointia keskusteluiden tallentamisesta. Tietosuojavaltuutettu katsoi, että rekisterinpitäjä ei ollut toteuttanut pyynnön esittäneen rekisteröidyn oikeutta saada pääsy omiin tietoihinsa.
Rekisterinpitäjä oli tallentanut puhelimen ääninauhurilla rekisteröityjen kanssa pidetyn urakan loppukatselmuksen, koska rekisterinpitäjän näkemyksen mukaan oli syytä epäillä, että asiakas tulee esittämään perusteettomia vaatimuksia urakkaan liittyen. Rekisterinpitäjä kertoi nauhurin olleen koko ajan rekisterinpitäjän toimitusjohtajan taskussa ja toimitusjohtajan olleen yksi nauhoitetun keskustelun osapuolista. Rekisterinpitäjä totesi tallenteen olevan tärkeä osa todistusaineistoa edelleen keskeneräisen riitatapauksen käsittelyssä, eikä rekisterinpitäjä luovuta sitä ennen käsittelyn päättymistä.
Tietosuojavaltuutettu antoi rekisterinpitäjälle määräyksen noudattaa rekisteröidyn pyyntöä, joka koskee rekisteröidyn oikeutta saada pääsy omiin tietoihinsa, ja toimittamaan pyynnön esittäneelle rekisteröidylle tätä koskevat tiedot. Tietosuojavaltuutettu katsoi, että äänitallenteen toimittaminen jäljennöksenä ei vaikuta haitallisesti muiden oikeuksiin ja vapauksiin, kuten liikesalaisuuksiin. Lisäksi tietosuojavaltuutettu antoi rekisterinpitäjälle huomautuksen siitä, ettei rekisteröidyille kerrottu ennen äänitallennuksen aloittamista keskustelun nauhoittamisesta, vaan rekisterinpitäjä lähetti tästä tiedon rekisteröidyille vasta myöhemmin sähköpostiviestillä. GDPR:n mukaan henkilötietojen käsittelystä on kerrottava rekisteröidylle siinä yhteydessä, kun henkilötietoja kerätään. Tiedot on toimitettava rekisteröidylle läpinäkyvästi. Jotta rekisteröity saisi läpinäkyvästi tietoa henkilötietojensa käsittelystä, on rekisterinpitäjän toimitettava tieto käsittelystä ennen tietojen käsittelyn aloittamista tai aloittamishetkellä.
Ratkaisuja muualta Euroopasta
Espanjan tietosuojaviranomainen määräsi maaliskuussa yli 8 miljoonan euron sakon Vodafonelle. Yhtiö oli hyväksynyt kansainväliset tietojen siirrot toteuttamatta GDPR:n edellyttämiä riittäviä toimenpiteitä. Lisäksi rekisteröidyille soitettiin markkinointiin liittyviä puheluita ja lähetettiin markkinointitarkoituksissa sähköposti- ja tekstiviestejä ilman rekisteröidyn tähän antamaa suostumusta, myös henkilöille, jotka olivat nimenomaisesti ilmaisseet, etteivät halua vastaanottaa markkinointiviestejä. Tietosuojaviranomainen otti päätöksessään osaltaan huomioon myös sen, että Espanjan tietosuojaviranomainen oli vastaanottanut yhteensä 191 kantelua Vodafonesta vuodesta 2018 lähtien ja yhtiö oli saanut sakkoja yli 50 tapauksessa tammikuusta 2018 helmikuuhun 2020.
Lisäksi Espanjan tietosuojaviranomainen määräsi tammikuussa 6 miljoonan euron sakon CaixaBank SA:lle. Yhtiön eri asiakirjoissa ja kanavissa toimittamat tiedot eivät olleet yhdenmukaisia ja sen tietosuoja-käytännössä ilmaistiin tietoja epätarkasti. CaixaBank ei perustellut riittävästi henkilötietojen käsittelyn oikeudellista perustetta, erityisesti oikeutetun edun perusteella käsiteltyjen tietojen osalta. Yhtiö ei myöskään noudattanut pätevän suostumuksen saamisen vaatimuksia. Henkilötietojen siirtäminen CaixaBank-konserniin kuuluville muille yrityksille oli laitonta.
Saksan tietosuojaviranomainen määräsi tammikuussa yli 10 miljoonan euron sakon elektroniikan jälleenmyyjä notebooksbilliger.de AG:lle. Yhtiö oli valvonut työntekijöitään videokameravalvonnalla vähintään kahden vuoden ajan ilman oikeudellista perustetta. Videokameravalvontaa oli muun muassa työpaikalla, myynti-, varasto- ja virkistysalueilla. Yhtiön kertoman mukaan asennettujen videokameroiden tarkoituksena oli ehkäistä ja tutkia rikoksia sekä seurata tavaroiden liikkumista varastoissa. Varkauksien estämiseksi yhtiön olisi kuitenkin ensin tullut harkita lievempiä menetelmiä. Lainvastainen videokameravalvonta ulottui myös yhtiön asiakkaisiin, koska jotkut videokamerat osoittivat yhtiön myyntialueiden istuinalueille.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.