• Toni Haapasalo

Elokuun tietosuojaratkaisuja

Ratkaisu Suomesta

Tietosuojavaltuutettu antoi elokuussa yhden ratkaisun, joka ei ole vielä lainvoimainen, ja joka koski vuokratun kohteen ostotarjousta pohtivalle ilmoitettavia vuokrasopimuksen tietoja ja tietojen minimointia. Tietosuojavaltuutettu katsoi ratkaisussa, että rekisterinpitäjä ei ollut vuokrattuna myytävän asunnon esittelyssä suorittamassaan vuokralaisen henkilötietojen käsittelyssä noudattanut yleisen tietosuoja-asetuksen (GDPR) mukaista tietojen minimoinnin periaatetta. Täten tietosuojavaltuutettu antoi rekisterinpitäjälle GDPR:n mukaisen huomautuksen.

Tietojen minimoinnin periaatteen mukaisesti henkilötietojen on oltava asianmukaisia ja olennaisia sekä rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Euroopan tietosuojaneuvoston antamien käytännön ohjeiden mukaan on ensin selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Kaikkien käsiteltävien henkilötietojen on oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi.

Tietosuojavaltuutettu totesi ratkaisussaan muun muassa vuokralaisen henkilötunnuksen osalta, että asiassa ei esitetty mitään sellaista, joka osoitti vuokralaisen henkilötunnuksen välittämisen asuntonäytön yhteydessä ostotarjousta pohtivalle henkilölle olevan välttämätöntä sen varmistamiseksi, että tuleva vuokranantaja voisi ostotarjousta pohtiessaan varmistua vuokralaisen luotettavuudesta. Tietosuojavaltuutettu katsoi myös, ettei vuokralaisen sähköpostiosoitteen välittäminen näyttämällä vuokrasopimusta ostotarjousta pohtivalle, mahdolliselle tulevalle vuokranantajalle, ilman vuokralaisen suostumusta, ollut perusteltua. Edellä todettu koski myös vuokralaisen puhelinnumeroa.

Ratkaisu muualta Euroopasta

Ranskan tietosuojaviranomainen määräsi 250.000 euron sakon rekisterinpitäjänä toimivalle yhtiölle, joka myi kenkiä verkossa, koska yhtiö ei ollut noudattanut tietojen minimoinnin periaatteetta.Yhtiö oli muun muassa nauhoittanut kaikki asiakkaiden kanssa käydyt puhelinkeskustelut (mukaan lukien osoitteet ja pankkitiedot) ja tallentanut asiakkaiden pankkitiedot osittain salaamattomana.


Yhtiön käsittelemille henkilötiedoille ei ollut määritelty säilytysaikoja. Yhtiö ei ollut poistanut sellaisten asiakkaiden henkilötietoja, jotka eivät olleet kirjautuneet käyttäjätililleen yli 10 vuoteen. Lisäksi yhtiö oli säilyttänyt yli kolmen miljoonan sellaisen mahdollisen asiakkaan henkilötietoja, jotka eivät olleet olleet aktiivisia yli viiteen vuoteen. Yhtiön tietosuojaseloste oli myös ollut puutteellinen muun muassa käsittelyperusteiden osalta, eivätkä yhtiön työntekijät olleet saaneet asianmukaisesti tietoa siitä, että heidän asiakkaiden kanssa käymät puhelinkeskustelut nauhoitetaan.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@iconics.fi tai + 358 40 164 8626) tai Toniin (toni.haapasalo@iconics.fi tai +358 44 033 0331).

ICONICSIN MISSIO ON YKSINKERTAINEN: LUODA PAREMPIA LIIKEJURIDIIKAN PALVELUITA.

KÄYTÄMME LAKIA LIIKETOIMINNAN MAHDOLLISTAMISEEN.

SINÄ VOIT KESKITTYÄ MENESTYKSEESI.

Iconics Oy

Teollisuuskatu 21, 00510 Helsinki

hello@iconics.fi

Tilaa uutiskirjeemme!

  • Black Twitter Icon
  • Black LinkedIn Icon
  • Black Facebook Icon

© Iconics Oy, 2020