Ratkaisu Suomesta

Apulaistietosuojavaltuutettu teki helmikuussa yhden ratkaisun, joka koski informointia asiakaspuheluiden tallentamisesta ja rekisteröidyn oikeutta saada pääsy tietoihinsa.

Tapauksessa katsottiin, että käytäntö, jossa rekisterinpitäjä ei ollut antanut puhelutallennetta rekisteröidylle, vaan oli edellyttänyt nauhoitteen kuuntelua toimipaikassaan virallisen pyynnön esittämisen jälkeen, ei vastannut tietosuojalainsäädännön edellytyksiä. Tietosuoja-asetuksen poikkeus, jonka mukaan oikeus saada jäljennös tiedoista ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin, ei tullut sovellettavaksi tässä tapauksessa. Tietosuojavaltuutettu on jo aiemmassa ratkaisussaan (12.9.2013, dnro 2240/523/2013) katsonut, että puhelinkeskustelunauhoitteisiin sisältyy käytännössä aina myös toista henkilöä koskevia henkilötietoja, eikä tämän voida katsoa olevan esteenä tarkastusoikeuden (pääsyoikeuden) toteuttamiselle.

Lisäksi apulaistietosuojavaltuutettu katsoi, että yrityksen informointikäytäntö ei ollut riittävän läpinäkyvä, kun yritys ei informoinut tallentamisesta sillä hetkellä, kun tallentaminen alkoi. Käytäntö, jossa informoitiin asiakkaita ja potentiaalisia asiakkaita tallentamisesta "äänikuitilla" eli puhelun lopussa tehdyllä sopimusyhteenvedolla, johti huomautukseen. Ongelmallista oli myös se, ettei informaatiota annettu lainkaan niille, jotka eivät solmineet sopimusta puhelun aikana.

Ratkaisuja muualta Euroopasta

Eurooppalaisia helmikuun 2020 sakkotilastoja pitää käsissään Espanja, jossa annettiin lähes 20 julkaistua ratkaisua, joiden rahalliset sanktiot vaihtelivat aina 800 eurosta 75.000 euroon. Suuri osa ratkaisuista koski sitä, että organisaatiolla oli puutteellinen (tai kokonaan puuttuva) oikeusperuste käsitellä henkilötietoja. Suurimmat 75.000 euron sanktiot toi tekninen virhe, jonka vuoksi rekisteröity sai laskumuistutuksia, vaikka hänellä ei ollut enää sopimussuhdetta rekisterinpitäjän kanssa. Ratkaisut koskivat myös sitä, ettei tietosuojaperiaatteiden – kuten henkilötietojen minimointiperiaatteen – noudattaminen ollut riittävällä tasolla, esimerkiksi valvontakamerat oli asetettu kuvaamaan jalkakäytäväaluetta toimipisteen ulkopuolella vaikuttaen näin tarpeettomasti jalankulkijoiden yksityisyydensuojaan.

Sakotuskäytännön yhtenäistäminen

Tietosuoja-asetus (GDPR) ei tähdännyt vain lainsäädännön harmonisointiin, vaan myös täytäntöönpanon harmonisointiin. Nykyisellään käytäntö näyttää kuitenkin vaihtelevan merkittävästi eri EU-maiden välillä. Osa maista on pyrkinyt yhtenäistämään sakotuskäytäntöä laatimalla kaavan, jolla sakkojen euromäärä voidaan laskea. Saksan ja Alankomaiden mekaanisia laskukaavoja on kritisoitu siitä, etteivät ne ota riittävällä tavalla huomioon tapauksen yksityiskohtia ja näyttävät johtavan aina sakkoihin, vaikka GDPR viittaa liikevaihtoon vain sakkojen maksimäärää määriteltäessä. Vaikka malleista ei ole vielä vedättävissä suoria johtopäätöksiä muita EU-maita koskien, voi organisaatiolla olla hyödyllistä kokeilla, mitä mahdollisesti tiedossa olevien riskien aktualisoitumisesta voisi seurata (ks. Saksan malli ja Alankomaiden malli). Esimerkiksi Alankomaiden yksinkertaisemman mallin mukaan puuttuva tietojenkäsittelysopimus voisi johtaa sakkoon, jonka määrä on 120.000 - 500.000 euroa (oletusarvoisesti 310.000 euroa). Mallit eivät luonnollisesti huomioi muita seuraamuksia, kuten tietojen käsittelykiellon vaikutuksia yrityksen liiketoiminalle, maineen vahingoittumista tai asiakkaiden luottamuksen menettämistä.

Jatkamme ratkaisukäytännön seuraamista.

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.