Ratkaisuja Suomesta
Helsingin hallinto-oikeus antoi huhtikuussa kaksi tietosuojaa koskevaa ratkaisua, joissa se kumosi kaksi Liikenne- ja viestintäviraston (Traficom) tekemää päätöstä, jotka koskivat verkkosivustojen evästekäytäntöjä. Hallinto-oikeuden arvioitavana oli erityisesti kysymys siitä, voitiinko evästeiden käytölle vaadittava suostumus katsoa annetun verkkosivuston käyttäjän päätelaitteen verkkoselainten asetuksilla, jotka sallivat evästeiden käytön.
Ratkaisuissaan hallinto-oikeus katsoi, että sähköisen viestinnän palveluista annetussa laissa tarkoitettua evästeiden käytölle vaadittavaa suostumusta on tulkittava samalla tavalla kuin yleisessä tietosuoja-asetuksessa (GDPR) tarkoitettua suostumusta. Hallinto-oikeuden mukaan sellaista verkkosivuston evästekäytäntöä, jossa suostumus saadaan verkkosivuston käyttäjän päätelaitteen verkkoselaimen asetuksilla, jotka sallivat yleisesti eri tarkoituksiin kerättävien evästeiden käytön, ei voitu pitää GDPR:n edellyttämällä tavalla verkkosivuston käyttäjän yksilöitynä ja tietoisena suostumuksena. Täten Traficom.fi-verkkosivuston ja yksityisen tahon ylläpitämän verkkosivuston evästekäytännöt eivät olleet evästeiden käyttöön vaadittavan suostumuksen osalta lainmukaisia.
Evästesuostumuksen tulkintaan liittyvän asian lisäksi hallinto-oikeus vahvisti myös sen, että Traficom on toimivaltainen viranomainen evästesääntelyn eli sähköisen viestinnän palveluista annetun lain tulkitsemiseen ja sen noudattamisen valvontaan.
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi vuorostaan huhtikuussa antamassaan ratkaisussa pysäköintioperaattorina toimivalle rekisterinpitäjälle 75 000 euron suuruisen sakon tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä. Rikkomuksissa oli kyse muun muassa rekisteröidyn oikeuksien toteuttamatta jättämisestä, puutteista tietojen säilytysajan rajoittamisessa ja rekisteröidyn tunnistamiseen liittyvistä käytännöistä. Seuraamusmaksun määräämistä tuki osaltaan valvontaviranomaiselle tehtyjen kanteluiden määrä sekä laatu. Kyse ei ollut yksittäisistä kanteluista ja niihin liittyvistä erimielisyyksistä vaan vakiintuneesta useamman vuoden kestäneestä toimintatavasta ja täten järjestelmällisestä GDPR:n rikkomisesta.
Rekisterinpitäjä oli muun muassa säännönmukaisesti vaatinut tietoa henkilötunnuksesta rekisteröidyn tunnistamiseksi, vaikka sillä ei ollut alun perinkään tiedossa henkilötunnuksia, joten rekisterinpitäjä ei voinut verrata rekisteröidyn ilmoittamaa henkilötunnusta sillä jo hallussaan olevaan tietoon. Henkilötunnus oli kuitekin vaadittu kaikilta rekisteröidyiltä, jotka olivat halunneet käyttää GDPR:n mukaisia oikeuksiaan. Rekisterinpitäjän katsottiin käsitelleen rekisteröidyn tunnistamiseksi laajempaa joukkoa henkilötietoja kuin rekisteröidyn tunnistamiseksi oli tarpeen. Rekisterinpitäjä toimi täten vastoin GDPR:n mukaista tietojen minimoinnin periaatetta. Lisäksi havaittiin puutteita tavoissa, joilla rekisterinpitäjä informoi rekisteröityjä heidän henkilötietojensa käsittelystä. Rekisterinpitäjä laiminlöi myös asettaa sellaiset tietojen säilyttämistä koskevat säilytysajat, taikka tällaisten aikojen määrittämiskriteerit, joiden nojalla rekisteröidyn olisi ollut mahdollista ymmärtää, kuinka kauan tiettyjä henkilötietoja säilytetään.
Ratkaisussa tuotiin esille se, ettei säilytyksen rajoittamiseen, tietojen minimointiin, rekisteröidyn oikeuteen saada pääsy tietoihin ja saada tietonsa poistetuiksi liittyviä vaatimuksia voitu pitää vaikeasti tulkittavina. Asiassa annettujen selvitysten ja vastausten perusteella katsottiinkin, että rekisterinpitäjä ei ollut riittävällä tavalla perehtynyt voimassa olevaan lainsäädäntöön ja sitä koskeviin tulkintaohjeisiin, mikä osaltaan osoitti rikkomusten tarkoituksellisuutta. Rekisteröityjen yhteydenotoista ja tietosuojavaltuutetun toimiston selvityspyynnöistä huolimatta rekisterinpitäjä oli lisäksi edelleen jatkanut samanlaista henkilötietojen käsittelyä.
Ratkaisussa otettiin huomioon myös se, että rekisterinpitäjä saama taloudellinen hyöty on ollut sitä suurempi, mitä useampi annettu yksityisoikeudellinen pysäköinninvalvontamaksu on suoritettu, mihin liittyen viitattiin esimerkkiin sellaisista lopulta suoritettavista yksityisoikeudellisista pysäköinninvalvontamaksuista, joita koskevia reklamaatioita rekisterinpitäjä ei suostunut käsittelemään. Mikäli kyseisissä tilanteissa yksityisoikeudellinen pysäköinninvalvontamaksu annettiin tosiasiallisesti virheellisesti, mutta se lopulta kuitenkin suoritettiin, sai rekisterinpitäjä tällöin itselleen perusteetonta taloudellista hyötyä.
Toukokuussa annetussa ratkaisussa oli vuorostaan kyse siitä, että tieto rekisterinpitäjän työntekijän sairauslomasta oli julkaistu rekisterinpitäjän verkkosivuilla. Rekisterinpitäjä ei ollut oma-aloitteisesti tehnyt tapahtuneesta tietoturvaloukkauksesta ilmoitusta tietosuojavaltuutetun toimistolle. Rekisterinpitäjä oli kuitenkin työntekijän pyynnön johdosta poistanut tiedon verkkosivuilta ja korvannut sen tiedolla ”toistaiseksi poissaoleva”. Tieto ehti olla näkyvillä verkkosivuilla noin 12–24 tuntia. Tiedon päivitys rekisterinpitäjän verkkosivuille oli johtunut inhimillisestä virheestä, ja toimitusjohtaja määräsi tiedon poistettavaksi välittömästi, kun kävi ilmi, että tällainen tieto oli julkistettu. Verkkosivuilla olleen tiedon työntekijän sairauslomasta oli nähnyt analytiikkatyökalun mukaan neljä henkilöä, joista yksi oli ollut selvityspyynnön liitteen mukaan työntekijä itse ja toinen rekisterinpitäjä. Täten tiedon oli voinut nähdä korkeintaan kaksi ulkopuolista henkilöä. Työntekijän terveydentilasta, sairausloman syystä tai pituudesta ei julkaistu verkkosivuilla mitään tietoja.
Ratkaisussa todettiin, ettei rekisterinpitäjä ollut täyttänyt GDPR:n mukaista velvollisuuttaan ilmoittaa tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle. Rekisterinpitäjä oli myös laiminlyönyt velvollisuuden dokumentoida tietoturvaloukkaus siten kuin GDPR:ssä edellytetään. Tapauksessa verkkosivujen kautta annettiin sivullisille luvaton pääsy työntekijän terveydentilaa koskevaan henkilötietoon, ja tällöin apulaistietosuojavaltuutetun käsityksen mukaan oli selvää, että oli tapahtunut GDPR:ssä tarkoitettu henkilötietojen tietoturvaloukkaus.
Rekisterinpitäjä laiminlöi myös GDPR:n mukaisen velvollisuuden dokumentoida tapahtunut tietoturvaloukkaus, eikä se voinut osoittaa, että GDPR:ää olisi noudatettu arvioitaessa tapahtunutta tietoturvaloukkausta. Apulaistietosuojavaltuutettu korostikin GDPR:n mukaisen dokumentointi-velvollisuuden merkitystä. Vaikka rekisterinpitäjä riskiarvioinnissaan tulisikin siihen tulokseen, että ilmoitusta tietosuojavaltuutetulle ja/ tai rekisteröidyille ei tarvitse tehdä, tulee edellä mainittua dokumentointivelvollisuutta kuitenkin noudattaa, jotta tietosuojavaltuutetun toimisto voi tarvittaessa dokumentoinnin pohjalta tarkistaa, että riskejä on kuitenkin arvioitu asianmukaisesti ja GDPR:ää on noudatettu.
Tapauksessa oli kuitenkin kyse inhimillisestä virheestä, minkä jälkeen rekisterinpitäjä oli ryhtynyt korjaaviin toimenpiteisiin ja poistanut tiedon sairauslomasta heti havaittuaan menettelyn virheelliseksi. Koska virhe oli havaittu melko nopeasti ja tapaus oli jäänyt kestoltaan lyhyeksi, olivat myös haitat jääneet melko vähäisiksi ottaen huomioon, että tieto sairauslomasta oli päätynyt hyvin todennäköisesti vain kahdelle tuntemattomaksi jääneelle henkilölle. Kokonaisarvioinnissa merkitystä annettiin myös sille, että rekisterinpitäjä oli pieni perheyritys, joka työllisti seitsemän henkilöä eikä sen ydinliiketoimintaan kuulunut henkilötietojen käsittely. Täten rekisterinpitäjän tahallisuutta tai tuottamusta tapauksessa voitiin pitää melko vähäisenä, minkä takia apulaistietosuojavaltuutettu katsoikin, että kyse oli GDPR:ssä tarkoitetusta vähäisestä rikkomisesta, ja seuraamukseksi sakon sijaan rekisterinpitäjälle voitiin antaa huomautus.
Ratkaisuja muualta Euroopasta
Espanjan tietosuojaviranomainen määräsi toukokuussa yhteensä 1,5 miljoonan euron suuruisen sakon rekisterinpitäjälle, kun se ei ollut toteuttanut teknisiä ja organisatorisia toimenpiteitä varmistaakseen, että henkilöllä, joka vuokrasi palvelun toisen luonnollisen henkilön puolesta, oli valtuutus sopia asiasta tämän toisen henkilön puolesta. Rekisterinpitäjä ei myöskään ollut toteuttanut teknisiä ja organisatorisia toimenpiteitä varmistaakseen, oliko henkilö, jonka valtuuttamana toinen henkilö toimi, antanut suostumuksensa henkilötietojensa käsittelyyn myös muihin tarkoituksiin. Täten tietosuojaviranomainen katsoi, että rekisterinpitäjä oli rikkonut GDPR:ää ja sille määrättiin 500 000 euron sakko.
Lisäksi tietosuojaviranomainen katsoi, että asiakirja, jolla oli tarkoitus toimittaa tietoja rekisteröidyille, ei tarjonnut riittävästi tietoja rekisterinpitäjästä, käsittelyn oikeusperusteesta, joka ei perustunut suostumukseen, käsittelyn tarkoituksista, jotka liittyivät profilointiin oikeutetun edun perusteella, eikä mahdollisuudesta vastustaa sellaista henkilötietojen käsittelyä, joka perustui rekisterinpitäjän oikeutettuun etuun. Täten tietosuojaviranomainen katsoi, että GDPR:ää oli rikottu ja määräsi tästä vielä rekisterinpitäjälle yhden miljoonan euron suuruisen sakon.
Lisäksi Espanjan tietosuojaviranomainen määräsi huhtikuussa yhden miljoonan euron suuruisen sakon rekisterinpitäjälle tapauksessa, jossa se oli saanut 96 valitusta rekisterinpitäjästä koskien rekisteröityjen henkilötietojen sisällyttämisestä, liittyen väitettyihin velkoihin, ilman heidän suostumustaan ja joissakin tapauksissa ilman, että tällaiset tiedot olivat täsmällisiä. Päätöksessä korostettiin erityisesti sitä, että tiedot olivat julkisesti saatavissa, alun perin julkistettuina julkishallinnon ja julkisoikeudellisten yhteisöjen asiakirjoissa, ja ne oli julkaistu uutiskirjeiden tai sanomalehtien kautta. Rekisterinpitäjä rikkoi GDPR:ää ja rekisterinpitäjän velvollisuutta toimittaa rekisteröidyille tietoja heidän henkilötiedoistaan, mikäli tietoja ei saatu rekisteröidyltä itseltään. Päätöksessä korostettiin myös, että rekisterinpitäjän oikeutettua etua ei voitu pitää pätevänä oikeusperusteena henkilötietojen käsittelylle.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.