Ratkaisu Suomesta
Apulaistietosuojavaltuutettu antoi maaliskuussa yhden ratkaisun, joka koski henkilötietojen säilytysaikoja ja rekisteröidyn oikeutta saada henkilötietonsa poistetuksi.
Tapauksessa rekisteröity oli tehnyt sopimuksen teleoperaattorin kanssa, joka oli myöhemmin antanut perintätoimistolle toimeksiannon periä saataviaan rekisteröidyltä. Rekisteröity oli tehnyt perintätoimistolle pyynnön saada tarkastaa itseään koskevat tiedot ja pyytänyt perintätoimistoa poistamaan häntä koskevat henkilötiedot, minkä pyynnön perintätoimisto oli evännyt.
EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Rekisteröidyllä on oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen, kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun rekisteröity on vastustanut henkilötietojensa käsittelyä taikka kun hänen henkilötietojensa käsittely ei muutoin ole GDPR:n säännösten mukaista.
Perintätoiminnan harjoittajien rekisteröinnistä annetun lakiin ja kirjanpitolakiin perustuen apulaistietosuojavaltuutettu katsoi, että perintätoimistolla oli ollut peruste säilyttää rekisteröidyn tietoja viiden vuoden ajan siitä, kun perintätoimenpiteet olivat hänen osaltaan päättyneet. Lisäksi apulaistietosuojavaltuutettu totesi, että vain sellaiset rekisteröidyn henkilötiedot, jotka sisältyivät tositteisiin, eli joiden perusteella on tehty perintätoimiston kirjanpitovelvoitteiden mukaisia kirjauksia, voitiin säilyttää kirjanpitolain 2 luvun 10 §:n 2 momentissa säädetyn 10 vuoden ajan. Muita kuin tällaisia tietoja ei tullut säilyttää viitta vuotta pidempään. Apulaistietosuojavaltuutettu toi myös ratkaisussaan esille sen, että rekisteröidyn ja rekisterinpitäjän väliset sähköpostiviestit eivät ole kirjanpitolain 2 luvun 10 §:n 2 momentin tarkoittamaa kirjanpitoaineistoa.
Apulaistietosuojavaltuutettu päätyi antamaan perintätoimistolle GDPR:n mukaisen määräyksen noudattaa rekisteröidyn pyyntöä saada sellaiset henkilötietonsa poistetuiksi, jotka liittyivät viisi vuotta sitten päättyneisiin perintätoimenpiteisiin, ja joiden perusteella ei ollut tehty perintätoimiston kirjanpitovelvoitteiden mukaisia kirjauksia. Mikäli tällaisia kirjauksia oli tehty, tiedot oli poistettava kuuden vuoden kuluttua sen vuoden lopusta, jonka aikana tilikausi oli päättynyt.
Ratkaisuja muualta Euroopasta
Ruotsin tietosuojaviranomainen määräsi noin 7.000.000 euron suuruisen sanktion Googlelle siitä, että se ei noudattanut rekisteröidyn oikeuksia saada tietonsa poistetuksi Googlen hakutuloksista. Tietosuojaviranomainen oli puuttunut asiaan jo aiemmin vuosina 2017 ja 2018, mikä osaltaan johti em. sanktion määräämiseen. Tietosuojaviranomainen velvoitti Googlea myös lopettamaan sen harjoittaman käytännön, jossa se ilmoitti verkkosivuston omistajille siitä, mitkä tulokset ja linkin se poistaa hakutuloksistaan ja kuka on esittänyt tietojen poistamista koskevan pyynnön. Tällaiselle käytännölle ei katsottu olevan oikeudellista perustetta.
Alankomaiden tietosuojaviranominen määräsi vuorostaan 525.000 euron suuruisen sakon tennisyhdistykselle siitä, että se myi yli 350.000 jäsenensä henkilötiedot ilman kunkin rekisteröidyn antamaa suostumusta sponsoreille, jotka olivat suoramarkkinointitarkoituksessa yhteydessä joihinkin yhdistyksen jäseniin sähköpostitse ja puhelimitse. Tietosuojaviranomainen katsoi, että yhdistyksen oikeutettu etu ei ollut hyväksyttävä peruste tietojen myymiselle ja täten yhdistyksellä ei ollut oikeudellista perustetta menettelylleen.
Muutoin maaliskuussa lukumääräisesti eniten sakkoja määrättiin Espanjassa, missä annettiin 16 julkaistua ratkaisua, joissa rahalliset sanktiot vaihtelivat 2.000 eurosta 60.000 euroon. Ratkaisussa oli kyse muun muassa pyydettyjen tietojen toimittamisesta tietosuojaviranomaiselle, rekisteröityjen oikeuksia koskeviin pyyntöihin vastaamisesta, käsiteltävien tietojen minimoimisesta, riittävien toimenpiteiden osoittamisesta liittyen tietoturvan varmistamiseen ja tietojen käsittelemisestä ilman rekisteröidyn suostumusta tai yhtiön oikeutettua etua.
Jatkamme edelleen kansallisen ja eurooppalaisen ratkaisukäytännön seuraamista.
Lisätietoja antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.