Ratkaisut Suomesta
Apulaistietosuojavaltuutettu antoi huhtikuussa yhteensä viisi ratkaisua, jotka koskivat kaikki url-hakutuloslinkkien poistamista Google Search -hakupalvelusta. Kyseiset ratkaisut eivät ole vielä lainvoimaisia.
Yhdessä ratkaisussa poistettavaksi pyydettyjen hakutuloslinkkien takaa oli löydettävissä muun muassa rekisteröidyn sukuelimestä otettu kuva, joka oli julkaistu verkossa ilman rekisteröidyn suostumusta.
Apulaistietosuojavaltuutettu totesi kyseisessä ratkaisussa, että rekisteröidylle oli hänelle tuomitun neljän kuukauden pituisen ehdollisen vankeusrangaistuksen myötä syntynyt julkinen tai julkisen kaltainen asema, joka toi lähtökohtaisesti suurelle yleisölle oikeutetun intressin rekisteröityä koskevien henkilötietojen saamiseen Google Search -hakupalvelusta. Lisäksi ratkaisussa tuotiin esille, että Journalistin ohjeiden mukaan rikoksesta tuomitun nimen, kuvan tai muita tunnistetietoja voi julkaista, ellei se tuomitun asemaan tai tekoon nähden ole selvästi kohtuutonta. Rekisteröity oli toiminut myös aktiivisesti eräässä poliittiseksi liikkeeksi katsottavassa liikkeessä, jonka toiminnasta oli uutisoitu paljon.
Ottaen huomioon rekisteröidyn julkinen asema, suuren yleisön tiedonsaantioikeudet sekä Google Search -hakupalvelun tarkoitus ja rooli tiedonjakelijana, apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjällä oli oikeus käsitellä hakutuloslinkkejä Google Search -hakupalvelussa. Apulaistietosuojavaltuutettu totesi kuitenkin yhden hakutuloslinkin osalta, että sen takaa löytynyt kuva rekisteröidyn sukuelimestä oli arkaluonteinen tieto, ja antoi siitä Googlelle yleisen tietosuoja-asetuksen (GDPR) mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisen hakutuloslinkin poistamisesta.
Toisessa vastaavanlaisessa ratkaisussa oli kyse sellaisen hakutuloslinkin poistamista, joka johti verkkosisältöön, jossa oli kerrottu rekisteröidylle useamman lapsen seksuaalisesta hyväksikäytöstä tuomitusta ehdottomasta vankeusrangaistuksesta. Kyseisen linkin takaa oli löydettävissä myös rekisteröidyn henkilötunnus.
Ensimmäisen esitellyn ratkaisun tavoin apulaistietosuojavaltuutettu katsoi, että rekisteröidyn saaman tuomion myötä rekisteröidylle oli syntynyt julkinen tai julkisen kaltainen asema, joka toi lähtökohtaisesti suurelle yleisölle oikeutetun intressin rekisteröityä koskevien henkilötietojen saamiseen Google Search -hakupalvelusta.
Ratkaisussa otettiin kuitenkin huomioon se, että hakutuloslinkin takaa oli saatavilla myös rekisteröidyn henkilötunnus, jota saa käsitellä tietosuojalain mukaisesti rekisteröidyn suostumuksella tai laissa säädetyllä perusteella. Lisäksi sitä saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää muun muassa rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi. Henkilötunnuksen käsittely ei kuitenkaan ole sallittua esimerkiksi kolmannen osapuolen tai rekisterinpitäjän oikeutettujen etujen toteuttamiseksi. Näin ollen apulaistietosuojavaltuutettu päätyi antamaan Googlelle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisen hakutuloslinkin poistamisesta.
Yhdessä ratkaisussa rekisteröity oli vuorostaan toiminut mediassa entisen työnantajansa edustajana. Rekisteröity pyysi sellaisten hakutuloslinkkien poistamista, joiden takaa löytyi pääosin tietoa kyseessä olevan yhtiön väitetysti kyseenalaisesta tai muutoin arvostelun kohteena olleesta toiminnasta taikka toimintatavoista.
Ratkaisussa tuotiin esille, että lähtökohtaisesti liike-elämässä mukana olevien henkilöiden voidaan yleensä katsoa olevan julkisessa asemassa. Rekisteröidyn ei kuitenkaan osoitettu toimineen yhtiössä julkisen merkinnän alaisessa asemassa, ts. hänestä ei ollut tehty merkintää kaupparekisteriin, johon merkitään muun muassa tietoja yhtiön edustajista, edustamiseen oikeutetuista, hallintoneuvoston jäsenistä, hallituksen jäsenistä ja toimitusjohtajasta. Näyttöä ei myöskään esitetty siitä, että rekisteröity olisi toiminut yhtiössä määräävässä asemassa. Rekisteröidyn ei katsottu olleen julkisessa tai julkisen kaltaisessa asemassa pelkästään siksi, että hän oli toiminut yhtiössä sen tiedottajana.
Poistettavaksi pyydettyjen hakutuloslinkkien takaa löytyneissä verkkojulkaisuissa ei arvosteltu rekisteröidyn toimintaa, mutta kyseisten verkkosisältöjen saatavilla olo rekisteöridyn nimellä tehtävien Google Search -hakujen yhteydessä saattoi antaa virheellisen kuvan rekisteröidystä. Myös sillä oli tapauksen kokonaisarvioinnissa merkitystä, että rekisteröity ei enää ollut yhtiön palveluksessa. Apulaistietosuojavaltuutettu päätyikin antamaan Googlelle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä kyseisten hakutuloslinkkien poistamisesta.
Ratkaisuja muualta Euroopasta
Muualla Euroopassa annettiin huhtikuussa yhteensä kolme eri ratkaisua GDPR:n soveltamiseen liittyen.
Alankomaiden tietosuojaviranomainen määräsi 725.000 euron sanktion eräälle yhtiölle sen työntekijöiden sormenjälkien lainvastaisesta käsittelystä. Yhtiö oli vaatinut henkilökuntansa sormenjälkien skannaamista heidän läsnäolonsa kirjaamiseksi. Kyseinen ratkaisu ei ole vielä lainvoimainen ja yhtiö onkin ilmoittanut, että se valittaa siitä.
Ratkaisussa tuotiin esille, että GDPR:n mukaan luonnollisen henkilön tunnistamiseksi käsitellyt biometriset tunnisteet, kuten sormenjäljet, kuuluvat erityisiin henkilötietoryhmiin, joita voidaan käsitellä joko rekisteröidyn nimenomaisella suostumuksella, tai Alankomaiden lainsäädännön mukaisesti sillä perusteella, että niiden käsittely on välttämätöntä todentamis- tai turvallisuustarkoituksiin.
Alankomaiden tietosuojaviranomainen katsoi ratkaisussaan, että yhtiö ei voinut vedota kumpaankaan edellä esitettyyn käsittelyperusteeseen. Yhtiö ei kyennyt osoittamaan, että se olisi saanut työntekijöiltään vapaaehtoisen ja nimenomaisen suostumuksen heidän sormenjälkiensä käsittelyyn.
Toisessa huhtikuun aikana annetussa ratkaisussa Belgian tietosuojaviranomainen määräsi eräälle yhtiölle 50.000 euron sanktion siitä, että sen tietosuojavastaavaan ei katsottu olleen tarpeeksi riippumaton ja vailla eturistiriitoja, koska kyseisellä henkilöllä oli lukuisia muitakin positioita yhtiössä. Hän toimi muun muassa yhtiön tarkastusosaston päällikkönä.
Kolmannessa huhtikuun aikana annetussa ratkaisussa Ruotsin tietosuojaviranomainen määräsi eräälle yhtiölle noin 18.700 euron sanktion siitä, että yhtiöllä kesti noin viisi kuukautta ilmoittaa sattuneista tietoturvaloukkauksista rekisteröidyille. Lisäksi yhtiöllä kesti noin kolme kuukautta ilmoittaa kyseisistä tietoturvaloukkauksista tietosuojaviranomaiselle.
Jatkamme edelleen sekä kansallisen että eurooppalaisen tietosuojaratkaisukäytännön seuraamista.
Tilaamalla Folksin uutiskirjeen sivun alalaidasta saat koosteen blogissa julkaistuista jutuista suoraan omaan sähköpostiisi.
Lisätietoja antaa:
Anna Paimela
Osakas
+358 40 1648626