Ratkaisuja Suomesta
Tietoturvaloukkauksista ilmoittamatta jättäminen
Apulaistietosuojavaltuutettu antoi joulukuussa 2021 ratkaisun, joka koski paljon julkisuudessakin esillä ollutta Psykoterapiakeskus Vastaamon henkilötietojen käsittelyn asianmukaisen turvallisuuden laiminlyöntiä ja tietoturvaloukkauksesta ilmoittamatta jättämistä. Vastaamo teki tietosuojavaltuutetulle tietoturvaloukkausta koskevan ilmoituksen 29.9.2020. Ilmoituksen mukaan Vastaamo oli saanut 28.9.2020 uhkauskirjeen, jossa hakkeri ilmoitti kopioineensa Vastaamon potilastietokannan. Uhkauskirjeen liitteenä oli näyte potilastietokannasta, johon oli ollut 28.11.2018 tallennettuna 33 171 rekisteröityä koskevia henkilötietoja, ja 18.3.2019 yhteensä 35 885 rekisteröityä koskevia henkilötietoja.
Apulaistietosuojavaltuutettu katsoi, että Vastaamon henkilötietojen käsittelyssä oli tapahtunut tietoturvaloukkaus jo 20.12.2018 ja 15.3.2019. Vastaamon olisi tullut ilmoittaa 15.3.2019 tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille. Yleisen tietosuoja-asetuksen (GDPR) mukaan, jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.
Vastaamo ei ollut dokumentoinut 20.12.2018 sattunutta tietoturvaloukkausta siten kuin GDPR:ssä edellytetään, eikä Vastaamon laatima tietosuojaa koskeva vaikutustenarviointi täyttänyt GDPR:ssä asetettuja vaatimuksia. Lisäksi Vastaamo ei ollut ennen marraskuuta 2020 käsitellyt henkilötietoja GDPR:ssä ilmaistun henkilötietojen eheyden ja luottamuksellisuuden periaatteen mukaisesti tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus. Vastaamo ei ollut ennen marraskuuta 2020 pystynyt GDPR:n osoitusvelvollisuuden periaatteen mukaisella tavalla osoittamaan, että se on noudattanut GDPR:stä seuraavia vaatimuksia. Täten apulaistietosuojavaltuutettu määräsi Vastaamolle seuraamukseksi GDPR:n mukaisesti huomautuksen.
Ratkaisussa tuotiin esille, että tietoturvaloukkauksessa, jossa ulkopuolinen hyökkääjä ilmoittaa ladanneensa potilastietokannan palvelimilleen, ja vaatii tietojen palauttamista vastaan lunnaita, ovat tiedot haltuunsa saaneen tahon tarkoitusperät ilmeisen pahantahtoiset. Tietoturvaloukkauksesta rekisteröidyille aiheutuvia vahinkoja voidaan pitää tällöin paitsi todennäköisinä, myös luonteeltaan vakavina. Rekisteröidyt olivat potilastietojärjestelmään tallennettujen tietojen perusteella suoraan tunnistettavissa, koska potilasasiakirja-asetuksen mukaan potilaskertomukseen oli merkitty potilaan nimi, syntymäaika, henkilötunnus, kotikunta ja yhteystiedot. Ulkopuolinen taho on voinut saattaa haltuunsa saamat tiedot suuren joukon saataville julkaisemalla ne esimerkiksi internetissä, jolloin rekisteröidyille aiheutuvat vahingot ovat voineet olla pitkäaikaisia, tai jopa pysyviä. Edellä todetuilla perusteilla Vastaamon potilastietojen käsittelyssä 15.3.3019 tapahtunut tietoturvaloukkaus oli todennäköisesti aiheuttanut luonnollisten henkilöiden oikeuksille ja vapauksille korkean riskin. Vastaamon olisi siten tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että rekisteröidyille.
Vastaamon laatimassa vaikutustenarvioinnissa ei ollut riittävällä tavalla arvioitu riskien luonnetta, erityisluonnetta, alkuperää tai uhkia, jotka voivat johtaa laittomaan henkilötietoihin pääsyyn, tietojen asiattomaan muuttamiseen tai tietojen häviämiseen, eikä riittävällä tavalla tunnistettu kyseisistä riskeistä rekisteröityjen oikeuksille ja vapauksille kohdistuvia mahdollisia vaikutuksia. Riskejä oli arvioitu ainoastaan toteamalla, että riskit ovat vakavia ja todennäköisyydeltään vähäisiä.
Lisäksi apulaistietosuojavaltuutettu katsoi, että asiassa oli ratkaistava, tuleeko rikkomisten seuraamukseksi määrätä huomautuksen lisäksi hallinnollinen sakko, jonka määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka määräsikin Vastaamon maksamaan valtiolle 608 000 euron suuruisen hallinnollisen sakon. Sakon määrämisen yhteydessä tuotiin esille se, että potilastietojärjestelmän suojauksessa olleet puutteet olivat mahdollistaneet potilastietokantaan kohdistuvat ulkopuoliset hyökkäykset, ja ulkopuolinen hyökkäys oli tietokannan puutteellisen suojauksen aikana tosiasiallisesti tapahtunut ainakin 20.12.2018 ja 15.3.2019. Noin 300 rekisteröidyn nimet, osoitteet, henkilötunnukset ja potilaskertomukset oli julkaistu 21.–23.10.2020 anonyymissä Tor-verkossa. Lisäksi Tor-verkossa oli julkaistu 23.10.2020 noin 10 gigatavun kokoinen tiedosto, joka saattoi sisältää Vastaamon koko potilastietokannan. Useat henkilöt olivat saattaneet ladata tiedoston itselleen ainakin osittain. Potilastietoja oli tämän jälkeen julkaistu Tor-verkossa lisää myös muilla nimimerkeillä kuin kiristäjän käyttämällä nimimerkillä.
Vähintään 15 000 rekisteröityä sai 24.10.2020 kiristyskirjeen, jossa uhattiin saattaa julkisuuteen rekisteröidyn nimi, puhelinnumero, osoite, henkilötunnus ja potilaskertomus, jos rekisteröity ei maksa kiristäjälle 200–500 euron suuruista summaa. Ainakin 14 rekisteröityä maksoi kiristäjän vaatiman summan. Uusia henkilötietoja ei tiettävästi julkaistu sen jälkeen, kun kiristyssumman maksamisen määräaika umpeutui. Potilastietoja vuosi kuitenkin julkisuuteen uudelleen tammikuun lopulla 2021, jolloin kahdella Tor-verkon keskustelupalstalla julkaistiin linkki mahdollisesti lähes 32 000 potilaskertomusta sisältävään tiedostoon. Helmikuuhun 2021 mennessä tietomurrosta oli tehty lähes 25 000 rikosilmoitusta.
Vastaamon olisi 15.3.2019 käsittelemänsä kiristysviestin perusteella täytynyt jo tiedostaa, että jos potilastiedot olivat joutuneet ulkopuolisen hyökkääjän haltuun, todennäköisyys siitä, että lainvastaisesta käsittelystä aiheutuisi rekisteröidyille vahinkoja, olisi suuri. Vastaamo ei kuitenkaan ilmoittanut tietoturvaloukkauksesta rekisteröidyille ennen loka-marraskuuta 2020, toisin sanoen vasta yli puolitoista vuotta 15.3.2019 tapahtuneen tietoturvaloukkauksen jälkeen. Vastaamon menettelyä voitiin täten pitää tahallisena.
Vastaamon käsittelemät henkilötiedot olivat GDPR:ssä tarkoitettuja terveyttä koskevia tietoja, jotka kuuluvat GDPR:ssä tarkoitettuihin erityisiin henkilötietoryhmiin. Vastaamon toiminnan luonteen eli psykoterapiapalveluiden tarjoamisen vuoksi tiedot olivat erityisen arkaluonteisia ja potilaslain nojalla salassa pidettäviä. Rekisteröidyt olivat tietojen perusteella suoraan tunnistettavissa, ja tietoja oli säilytetty salaamattomina. Rekisteröityjen joukossa oli heikossa asemassa olevia henkilöitä, kuten lapsia, vanhuksia ja mielenterveysongelmista kärsiviä henkilöitä. Edellä mainitut seikat otettiin huomioon raskauttavana tekijänä sakon määräämisessä.
Hallinnollisen sakon määrän arvioinnissa otettiin lisäksi huomioon muun muassa tehokkuus, oikeasuhteisuus ja varoittavuus, rikkomisen luonne, vakavuus ja kesto sekä Vastaamon liikevaihto tilikaudelta 1.1.–31.12.2020. Sakon määrän arvioinnissa otettiin myös huomioon, että Vastaamo oli asetettu konkurssiin eikä se harjoittanut enää taloudellista toimintaa. Maksettavaksi määrättyä 608 000 euron sakkoa ei voitu pitää määrältään kohtuuttomana yksittäisten rikkomisten eikä kokonaissumman osalta ottaen huomioon rikkomisista määrättävissä olevan sakon enimmäismäärä, rikkomisten vakavuus ja kesto sekä se, että rikottujen säännösten tarkoituksena oli suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Sakon määrää ei voitu pitää kohtuuttomana myöskään sen takia, että sen on oltava määrältään riittävä, jotta sen avulla pystytään varmistamaan varoittava vaikutus GDPR:n säännösten vastaisuudessa tapahtuvan rikkomisen ehkäisemiseksi.
Asiakkaiden henkilötietojen käsittely WhatsApp-pikaviestipalvelussa
Tietosuojavaltuutettu antoi lokakuussa 2021 ratkaisun, joka koski asiakkaiden henkilötietojen välittämistä siivousalan yrityksen työntekijöiden henkilökohtaisiin puhelimiin WhatsApp-sovelluksella. Välitettyihin henkilötietoihin lukeutuivat esimerkiksi yrityksen asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja avainboksien numerot.
Ratkaisussa tuotiin esille, että GDPR:ssä säädetään eheyden ja luottamuksellisuuden periaatteesta, jonka mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Lisäksi GDPR:ssä säädetään rekisterinpitäjän vastuusta. Rekisterinpitäjän tulee ottaa huomioon henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, ja toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan GDPR:ää.
GDPR:ssä säädetään myös sisäänrakennetusta ja oletusarvoisesta tietosuojasta, jonka mukaisesti rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. GDPR:n mukaan sellaisten henkilötietojen siirto, joita käsitellään tai joita on tarkoitus käsitellä kolmanteen maahan tai kansainväliselle järjestölle siirtämisen jälkeen, toteutetaan vain, jos rekisterinpitäjä ja henkilötietojen käsittelijä noudattavat GDPR:ssä vahvistettuja edellytyksiä, joita on sovellettava, jotta varmistetaan, että GDPR:llä taattua luonnollisten henkilöiden henkilötietojen suojan tasoa ei vaaranneta. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa. Jollei GDPR:n mukaista päätöstä ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos kyseinen rekisterinpitäjä tai henkilötietojen käsittelijä on toteuttanut asianmukaiset suojatoimet ja jos rekisteröityjen saatavilla on täytäntöönpanokelpoisia oikeuksia sekä tehokkaita oikeussuojakeinoja.
Tietosuojavaltuutettu toi ratkaisussaan esille, että se oli jo aiemmin katsonut, terveydenhuollon toimintaa koskevassa kannanotossaan, että WhatsApp-sovelluksen käyttö johtaa asiakkaan henkilötietojen tietojen siirtoon kolmansiin maihin, eikä tietosuojavaltuutettu sen takia suosittele sovelluksen käyttöä ajanvaraukseen liittyvässä asiakasviestinnässä terveydenhuollon toiminnassa. Aiemmassa ratkaisukäytännössään tietosuojavaltuutettu on lisäksi katsonut, ettei työntekijöitä tulisi tietoturvasyistä velvoittaa omien välineidensä käyttöön.
Tässä tapauksessa rekisterinpitäjä oli käyttänyt WhatsApp-sovellusta asiakastietojen välittämiseen. Erityisesti osoitteiden, ovikoodien ja avainboksien numeroiden kohdalla kyse oli tiedoista, joiden päätyminen sivulliselle olisi voinut aiheuttaa rekisteröidylle selkeää haittaa. Rekisterinpitäjä oli esittänyt antamassaan selvityksessä, että se on varotoimenpiteenä ohjeistanut entisiä työntekijöitä poistamaan kaiken viestinnän. Tässä yhteydessä rekisterinpitäjä ei selvityksessä saatujen tietojen perusteella ollut kuitenkaan varmistanut, onko yritystoimintaan liittyvä ryhmä esimerkiksi työsuhteen päättyessä poistettu, tai onko työntekijän varmuuskopiosta poistettu yritystä koskeva osio. Asiassa saadun selvityksen perusteella rekisterinpitäjä ei myöskään ollut informoinut rekisteröityjä, eli siivousalan yrityksen asiakkaita, WhatsApp-sovelluksen käytöstä.
Tietosuojavaltuutettu katsoikin ratkaisussaan, ettei WhatsApp-sovelluksen käyttö asiakastietojen välittämisessä yritykseltä työntekijän henkilökohtaiseen puhelimeen vastannut eheyden ja luottamuksellisuuden periaatteeseen, sisäänrakennetun ja oletusarvoisen tietosuojan velvoitteeseen ja käsittelyn turvallisuuteen liittyviä vaatimuksia, eikä rekisterinpitäjä ollut huomioinut, että sen tulee GDPR:n riskiperusteisen lähestymistavan mukaisesti toteuttaa riskejä vastaavat tekniset ja organisatoriset toimenpiteet henkilötietojen riittävän suojaamisen varmistamiseksi. Tietosuojavaltuutettu kiinnitti lisäksi erityistä huomiota siihen, että sovelluksen käyttö oli todennäköisesti johtanut tiedonsiirtoihin Euroopan unionista kolmansiin maihin, mukaan lukien Yhdysvaltoihin. Tietosuojavaltuutettu totesi, että rekisterinpitäjän menettely koskien WhatsApp-pikaviestinpalvelun käyttöä asiakkaiden henkilötietojen käsittelyssä ei ollut GDPR:n mukainen. Rekisterinpitäjälle annettiin GDPR:n mukainen määräys saattaa käsittelytoimet GDPR:n säännösten mukaisiksi sekä GDPR:n mukainen huomautus GDPR:n säännösten vastaisista käsittelytoimista.
Kaikkien yritysten on syytä huomioida, että WhatsApp-palvelun sovellusta käytettäessä sopimussuhde on yksityishenkilön, eli työntekijän ja Facebookin välillä, eivätkä esimerkiksi yksityishenkilön kanssa tehtävään sopimukseen sisältyvät vastuunrajoituslausekkeet ole lähtökohtaisesti yhteensopivia yrityskäytön kanssa. Sovellusta käytettäessä rekisterinpitäjällä ei myöskään ole keinoja valvoa, miten henkilötietoja sovelluksessa käytetään, tai asettaa muutoinkaan sen käytölle rajoituksia.
Rekisteröidyn oikeus tutustua puhelutallenteeseen
Tietosuojavaltuutettu antoi lokakuussa 2021 myös ratkaisun, joka koski rekisterinpitäjän oikeutta tarjota rekisteröidyn ja rekisterinpitäjän välillä käydyn puhelun puhelutallenne rekisteröidylle vain tekstimuodossa.
GDPR:n mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle kaikki tämän henkilötietojen käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä sekä yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.
Kyseisessä tapauksessa tietosuojavaltuutettu katsoi, että rekisteröidyllä oli yksityisenä elinkeinonharjoittajana GDPR:n mukainen oikeus saada tutustua tietoihinsa puhelutallenteen osalta, ja myös ääni katsotaan henkilötiedoksi. Rekisterinpitäjä oli toiminut GDPR:n edellytysten mukaisesti toimittaessaan GDPR:n mukaiset tiedot rekisteröidylle kirjallisessa muodossa. Tietosuojavaltuutettu kiinnitti tapauksessa erityisesti huomiota siihen, että oikeutta saada tutustua tietoihin koskeva pyyntö oli koskenut äänitallennetta, joka piti sisällään tunnistettavissa olevan luonnollisen henkilön henkilötietoa. Kyseessä ei ollut oikeushenkilön henkilötietojen käsittely, koska yksityinen elinkeinonharjoittaja ei ole GDPR:ssä tarkoitettu oikeushenkilö. Tietosuojavaltuutettu katsoikin, että rekisteröidyllä oli GDPR:n mukainen oikeus saada tutustua tietoihin puhelutallenteen osalta.
Tietosuojavaltuutettu toi esille, että rekisterinpitäjällä ei ole aina velvollisuutta toimittaa tietoja alkuperäisessä muodossa, jos tiedot voidaan asianmukaisesti toimittaa myös muulla tapaa, esimerkiksi kirjallisesti. Rekisterinpitäjän on kuitenkin varmistuttava siitä, että muoto, jossa tiedot toimitetaan, on sellainen, että rekisteröity pystyy varmistumaan rekisterinpitäjän käsittelemien henkilötietojen oikeellisuudesta. Mahdollisuus toimittaa tiedot muussa kuin alkuperäisessä muodossa ei kuitenkaan tarkoita, että rekisterinpitäjä voisi muokata toimittamiaan henkilötietoja sellaiseksi, ettei rekisteröidylle toimitettavat tiedot vastaisi tietoja, joita rekisterinpitäjä käsittelee.
Joissain tapauksissa henkilötieto itsessään voi asettaa velvollisuuden toimittaa tiedot tietyssä muodossa. Kun käsiteltävä henkilötieto muodostuu esimerkiksi rekisteröidyn äänestä, rekisteröidyllä voi tietyissä tilanteissa olla oikeus saada tutustua nimenomaisesti ääntä koskevaan tietoon. Nyt kyseessä olleessa asiassa ei kuitenkaan käynyt ilmi sellaisia seikkoja, joiden perusteella olisi katsottava, että tiedot tulisi toimittaa rekisteröidylle äänitallenteena. Tietosuojavaltuutettu katsoi, että oikeus saada tutustua tietoon ääntä koskevan tiedon osalta voidaan toteuttaa niin, että rekisterinpitäjä kirjoittaa auki puhelutallenteen sisällön. Tietosuojavaltuutettu kuitenkin korosti, että aukikirjoitetun litteroinnin on vastattava puhelutallenteen sisältöä, jotta rekisteröity pystyy varmistumaan siitä, että käsiteltävät henkilötiedot ovat lainmukaisia.
Ratkaisuja muualta Euroopasta
Marraskuussa 2021 Alankomaiden tietosuojaviranomainen määräsi valtiovarainministeriölle 2,75 miljoonan euron sakon, koska maan verovirastot olivat käsitelleet useiden vuosien ajan lastenhoidon hoitotukea koskevien hakemusten yhteydessä tietoja hakijoiden kaksoiskansalaisuudesta. Tietoturvaviranomainen totesi, että Alankomaiden kansalaisten kaksoiskansalaisuutta koskevia tietoja ei olisi tarvittu arvioitaessa lastenhoidon hoitotukihakemusta. Lisäksi kyseisiä tietoja oli käsitelty järjestäytyneiden petosten torjunnan ja automaattisen päätöksenteon tarkoituksissa viranomaisen riskijärjestelmässä. Käsittely ei ollut tarpeen myöskään kyseisiin tarkoituksiin. Vero- ja tullihallinnon olisi pitänyt poistaa kaksoiskansalaisuustiedot jo tammikuussa 2014. Silti toukokuussa 2018 yhteensä 1,4 miljoonan henkilön kaksoiskansalaisuustiedot olivat edelleen rekisteröityinä järjestelmiin. Tietosuojaviranomainen totesikin, että tietoja oli käsitelty laittomasti ilman pätevää oikeusperustaa. Lisäksi tietosuojaviranomainen totesi, että rekisteröityjä oli syrjitty heidän kansalaisuutensa perusteella.
Lokakuussa 2021 Espanjan tietosuojaviranomainen määräsi yhtiölle kolmen miljoonan euron sanktion. Yhtiö oli pyytänyt rekisteröidystä tietoja toiselta yritykseltä, vaikka rekisteröity ei ollut ollut yhtiön asiakas vuodesta 2014 lähtien ja hän oli ollut mukana mainoskampanjassa, jossa tarjottiin hänelle yhtiön tarjoamaa ennakkoluottoa. Yhtiö oli käyttänyt kyseisen rekisteröidyn tietoja ilman hänen antamaansa suostumusta arvioidakseen hänen luottokelpoisuuttaan. Tietoja käytettiin rekisteröidyistä taloudellisten profiilin luomiseen ja sen perusteella tiettyjen rahoituspalveluiden (esim. luottokorttien tai lainojen) mainostamiseen hänelle. Tietosuojaviranomainen katsoi, että rekisterinpitäjä ei ollut saanut suostumusta rekisteröidyiltä. Rekisterinpitäjä ei ollut tiedottanut rekisteröidylle myöskään riittävästi tietojen käsittelystä, mukaan lukien profiloinnista. Rekisterinpitäjä oli toimittanut rekisteröidyille vain yleistä tietoa erilaisista profiloinnin käsittelytoimista.
Lokakuussa 2021 Italian tietosuojaviranomainen määräsi yhtiölle reilun kolmen miljoonan euron sanktion laittomasta puhelinmarkkinoinnista. Kymmenet ihmiset väittivät saaneensa ei-toivottuja mainospuheluita ja mainostekstiviestejä sekä suoraan yhtiöltä että muiden yritysten puhelinkeskusten kautta. Tietosuojaviranomainen totesikin, että myynninedistämispuhelut tehtiin ilman, että käyttäjille oli ilmoitettu riittävästi henkilötietojen alkuperästä. Rekisteröidyillä ei täten ollut mahdollisuutta ottaa yhteyttä tiedot keränneeseen yhtiöön ja vastustaa henkilötietojensa käsittelyä. Yhtiö käytti muilta yrityksiltä saamiaan tietoluetteloita myynninedistämistarkoituksiinsa eikä pystynyt tarkistamaan luetteloa rekisteröidyistä, jotka olivat vastustaneet yhteydenottoa mainostarkoituksiin ennen mainospuhelujen tekemistä, minkä takia useat rekisteröidyt saivat mainossoittoja nimenomaisesti antamastaan kiellosta huolimatta. Lisäksi tietosuojaviranomainen totesi, että yhtiö ei ollut asianmukaisesti nimittänyt luetteloiden toimittajia henkilötietojen käsittelijöiksi. Sanktion suuruutta määrittäessään tietosuojaviranomainen otti raskauttavana huomioon muun muassa sen, että rikkomukset koskivat systemaattista toimintaa, joka johtui yhtiön toiminnasta.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai +358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.