Kuluneen syksyn aikana muualla Euroopassa annettiin merkittäviä tietosuojaratkaisuja liittyen Euroopan unionin yleisen tietosuoja-asetuksen (GDPR) rikkomiseen. Tässä blogissa käsitellään lyhyesti Saksan, Iso-Britannian, Italian, Ranskan, Espanjan ja Ruotsin tietosuojaviranomaisten loka-, marras- ja joulukuussa antamia ratkaisuja, joissa eri rekisterinpitäjille määrättiin maksettavaksi miljoonien eurojen suuruisia sakkoja GDPR:n mukaisten velvoitteiden rikkomisesta tai laiminlyönnistä.
Erityisten henkilötietoryhmien käsittely
Saksan tietosuojaviranomainen antoi lokakuussa ratkaisun, jossa ruotsalainen H&M Hennes & Mauritz -vaatekauppaketjulle määrättiin yli 35 miljoonan euron sakko. H&M:n saksalainen tytäryhtiö oli kerännyt tietoja muun muassa sen työntekijöiden sairauksista, lomista ja perhesuhteista sekä uskontoon liittyvistä asioista. Kerätyt tiedot sisälsivät esimerkiksi yksityiskohtaisia kuvauksia työntekijöiden oireista ja heidän saamistaan diagnooseista. Tietoihin pääsi käsiksi noin 50 yhtiön johtotehtävissä toimivaa henkilöä. Tietoja oli kerätty ainakin vuodesta 2014 alkaen siihen saakka, kun tietojen kerääminen paljastui lokakuussa 2019 sattuneen tietoturvaloukkauksen yhteydessä, minkä seurauksena tiedot olivat muutamien tuntien ajan edellä todettua laajemman henkilöjoukon nähtävissä.
Niin sanottuihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kiellettyä. Kyse on tällöin sellaisista tiedoista, joista ilmenee esimerkiksi henkilön uskonnollinen vakaumus, hänen terveyttä koskevia tietoja tai seksuaalinen suuntautuminen. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja on suojeltava erityisen tarkasti, koska niiden käsittely voi aiheuttaa huomattavia riskejä henkilön perusoikeuksille ja -vapauksille.
Tietoturvaloukkaukset
Henkilötietojen tietoturvaloukkauksella tarkoitetaan esimerkiksi tapahtumaa, jonka seurauksena henkilötietoihin pääsee käsiksi sellainen taho, jolla ei ole oikeutta käsitellä niitä. Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi hakkerointi tai kyberhyökkäys. Tietoturvaloukkaus voi johtaa esimerkiksi identiteettivarkauteen tai petokseen. Rekisterinpitäjän on suojattava henkilötiedot niin, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Lisäksi rekisterinpitäjän on varauduttava mahdollisiin tietoturvaloukkauksiin laatimalla toimintaohjeet tietoturvaloukkaustilanteita varten. Tietoturvaloukkauksiin on pystyttävä reagoimaan mahdollisimman nopeasti.
Iso-Britannian tietosuojaviranomainen antoi lokakuussa ratkaisun, jossa British Airways -lentoyhtiö määrättiin maksamaan yli 22 miljoonan euron sakko, koska se ei ollut suojannut yli 400 000 asiakkaansa henkilötietoja. Yhtiö käsitteli merkittävää määrää henkilötietoja ilman riittäviä turvatoimenpiteitä. Yhtiöön kohdistui vuonna 2018 kyberhyökkäys, jota se ei havainnut yli kahteen kuukauteen sen tapahtumisesta, ja silloinkin kolmannen osapuolen tekemän ilmoituksen perusteella. Tietomurtajan arveltiin päässeen käsiksi yli 400 000 tuhannen yhtiön asiakkaan ja henkilökunnan henkilötietoihin, jotka sisälsivät joidenkin rekisteröityjen osalta muun muassa tiedon heidän nimestä, osoitteesta, maksukortin numerosta ja sen turvakoodista (CVC-koodi). Tietosuojaviranomainen katsoi, että mikäli yhtiö olisi selvittänyt ja toteuttanut riittävät tekniset ja organisatoriset turvatoimenpiteet, olisi satoihin tuhansiin henkilöihin kohdistunut kyberhyökkäys voitu estää. Teknisillä ja organisatorisilla toimenpiteillä tarkoitetaan esimerkiksi henkilöstölle annettuja ohjeita tietosuojan toteuttamisesta, omavalvonnan kautta tapahtuvaa käytönvalvontaa, tietojärjestelmien tietoturvaa, tietojen salausta ja muita suojatoimenpiteitä.
Iso-Britannian tietosuojaviranomainen määräsi myös yli 20 miljoonan sakon Marriott Internationalille, joka oli vuonna 2016 ostanut Starwood Hotels and Resorts Worldwide -yhtiön, johon tehtiin kyberhyökkäys vuonna 2014. Hyökkäys kohdistui arviolta 339 miljoonan henkilön henkilötietoihin maailmanlaajuisesti ja yhteensä noin seitsemään miljoonaan isobritannialaiseen. Hyökkäyksen kohteeksi joutuneet henkilötiedot sisälsivät muun muassa tiedon rekisteröidyn nimestä, sähköpostiosoitteesta, puhelinnumerosta ja passin numerosta. Hyökkäys havaittiin alun perin vasta syyskuussa 2018, jolloin Marriot ilmoitti asiasta tietosuojaviranomaiselle ja rekisteröidyille. Tietosuojaviranomainen katsoi, että Marriott ei ollut toteuttanut riittäviä teknisiä ja organisatorisia turvatoimenpiteitä henkilötietojen suojaamiseksi. Marriottin katsottiin epäonnistuneen muun muassa tilien ja tietokantojen valvonnassa sekä henkilötietojen salaamisessa.
Lisäksi Iso-Britannian tietosuojaviranomainen tuomitsi yli 1,4 miljoonan euron sakon Ticketmasterille siitä, että se oli laiminlyönyt sen asiakkaiden henkilötietojen suojaamisen. Tietosuojaviranomainen katsoi, ettei yhtiö ollut ottanut käyttöön asianmukaisia turvatoimenpiteitä estääkseen sen online-maksusivulle asennettuun chatbotiin kohdistuneen kyberhyökkäyksen, jonka yhteydessä tietomurtaja pääsi käsiksi yhtiön asiakkaiden maksukorttien tietoihin. Hyökkäyksen kohteeksi joutui arviolta yli yhdeksän miljoonaa yhtiön asiakasta Euroopassa, ja noin 1,5 miljoonaa asiakasta Isossa-Britanniassa. Verkkohyökkäyksen seurauksena noin 60 000 tietyn pankin asiakasta joutui petoksen kohteeksi. Tietosuojaviranomainen katsoikin, että Tickermaster ei ollut arvioinut chatbotin käyttöön liittyviä riskejä eikä se ollut tunnistanut ja toteuttanut asianmukaisia turvatoimia niiden välttämiseksi.
Henkilötietojen käsittelyn peruste, säilytysaika ja rekisteröidyn oikeusien toteuttaminen
Rekisteröidyllä on oikeus saada tietoa hänen henkilötietojensa keräämisestä sekä käsittelystä. Rekisteröidylle on kerrottava muun muassa se, kuka on rekisterinpitäjä, mukaan lukien sen yhteystiedot, mihin tarkoituksiin hänen tietojaan käsitellään, millä perustella ja kuinka kauan sekä siirretäänkö tietoja Euroopan unionin ja Euroopan talousalueen ulkopuolelle. Rekisteröidyllä on oikeus saada pääsy omiin tietoihinsa ja lisäksi rekisteröidyllä on tietyissä tilanteissa oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat tiedot ilman aiheetonta viivytystä.
Italian tietosuojaviranomainen määräsi marraskuussa yli 12 miljoonan euron sakon Vodafonelle GDPR:n mukaisten tietosuojaperiaatteiden rikkomisesta ja miljoonien rekisteröityjen henkilötietojen luvattomasta käsittelystä puhelinmarkkinointitarkoituksiin. Yhtiö käytti markkinointipuheluiden soittamiseen sellaisia väärennettyjä puhelinnumeroita, joita ei ollut rekisteröity viestintäoperaattoreiden rekisteriin. Yhtiö sai sen yhteistyökumppaneilta markkinointiluetteloita, jotka sisälsivät yli 4,5 miljoonan henkilön henkilötiedot, jotka oli kerätty ilman rekisteröityjen antamia asianmukaisia suostumuksia.Yhtiö ei myöskään ollut ottanut käyttöön riittäviä turvatoimenpiteitä sen käyttämissä järjestelmissä. Sen työntekijät pyysivät rekisteröityjä lähettämään henkilöllisyystodistuksia WhatsAppin välityksellä.
Vodafone määrättiin ottamaan käyttöön sellaiset järjestelmät, jotka osoittavat, että sen puhelinmarkkinointitarkoituksiin tapahtuva henkilötietojen käsittely perustuu GDPR:n mukaisesti annettuun suostumukseen sekä toteuttamaan tiukempia turvatoimenpiteitä että toimittamaan todisteet muun muassa siitä, että sen markkinointipuhelut soitetaan yhtiön oman myyntiverkoston kautta ja yhtiön nimiin rekisteröidyistä puhelinnumeroista. Lisäksi Vodafonea kiellettiin jatkamasta sellaisten henkilötietojen käsittelyä markkinointi- tai muihin kaupallisiin tarkoituksiin, mitkä on saatu kolmannelta osapuolelta, joka ei ole saanut asianmukaista suostumusta henkilötietojen käsittelyyn markkinointitarkoituksiin.
Ranskan tietosuojaviranomainen määräsi marraskuussa yli kahden miljoonan euron sakon suurelle ja monikansalliselle vähittäiskauppa Carrefourille siitä, että sen konserniin kuuluvat yhtiöt olivat rikkoneet rekisteröidyn informointivelvollisuutta, evästeiden käyttöä, tietojen säilyttämisen rajoittamista ja rekisteröidyn oikeuksien käyttämistä koskevia GDPR:n säännöksiä. Tietosuojaviranomainen katsoi, että yhtiöiden verkkosivustojen välityksellä käyttäjille toimitetut tiedot eivät olleet helposti saatavilla ja helposti ymmärrettäviä, eivätkä ne sisältäneet tietoa tietojen säilytysajasta. Käyttäjille annetut tiedot olivat riittämättömiä myös liittyen tietojen siirtämiseen Euroopan unionin ulkopuolelle. Evästeet asetettiin automaattisesti käyttäjien koneisiin ennen heidän antamaa suostumusta. Yhtiöt eivät myöskään noudattaneet niiden määrittämiä tietojen säilytysaikoja. Niiden hallussa oli henkilötietoja yli 28 miljoonasta sellaisesta asiakkaasta, joka oli ollut passiivinen 5–10 vuotta. Tietosuojaviranomainen katsoi yhtiöiden määrittelemä neljän vuoden säilytysaika oli niin ikään kohtuuton. Lisäksi yhtiöt eivät vastanneet useisiin rekisteröityjen esittämiin pyyntöihin koskien heidän pääsyä omiin henkilötietoihin ja niiden poistamista.
Espanjan tietosuojaviranomainen määräsi joulukuussa Banco Bilbao Vizcaya Argentarialle yhteensä viiden miljoonan euron sakon siitä, kun se ei antanut riittäviä tietoja käsiteltävistä henkilötietoryhmistä, erityisesti liittyen niihin asiakastietoihin, joita se sai ja käsitteli tarjoamiensa tuotteiden ja palveluiden yhteydessä. Yhtiö ei myöskään hankkinut rekisteröidyiltä asianmukaisia suostumuksia markkinointitekstiviestien lähettämiseen ennen niiden lähettämistä, eikä sillä ollut käytössä sellaista mekanismia, jolla se olisi varmistanut asianmukaisen suostumuksen saamisen.
Suostumuksen antaminen evästeiden käyttöön
Evästeet ovat pieniä tekstitiedostoja, joita tallennetaan käyttäjän laitteelle tämän vieraillessa verkkosivustolla. Evästeitä voidaan hyödyntää esimerkiksi markkinoinnin kohdentamiseen, mihin tarvitaan kuitenkin käyttäjän suostumus. Jotta suostumus täyttää GDPR:n edellytykset, käyttäjällä on oltava tilaisuus valita, hyväksyykö vai hylkääkö hän suostumusta koskevat ehdot. Käyttäjälle tulee antaa selkeät ja kattavat tiedot evästeistä. GDPR:n mukaista suostumusta evästeiden käytölle ei voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta.
Ranskan tietosuojaviranomainen määräsi joulukuussa Google LLC:lle ja Google Irlannille yhteensä 100 miljoonan euron sakot siitä, että ne olivat asettaneet automaattisesti mainosevästeitä google.fr-sivustolla vierailevien käyttäjien laitteisiin ilman heidän antamaa etukäteistä suostumusta sekä antamatta riittäviä tietoja siitä, miten evästeitä käytetään. Kun käyttäjä vieraili google.fr-sivustolle, sen alaosassa näkyi informointibanneri, jossa oli "Googlen tietosuojamuistutus" -huomio, jonka edessä oli kaksi painiketta: "Muistuta minua myöhemmin" ja "Avaa nyt" . Banneri ei antanut käyttäjälle tietoja evästeistä, jotka oli kuitenkin jo asetettu hänen tietokoneelleen. Sakon määrässä otettiin huomioon muun muassa yhtiöiden digitaalisesta mainonnasta saamat merkittävät tuotot, ja se, että edellä mainitut käytännöt vaikuttivat lähes 50 miljoonaan käyttäjään.
Lisäksi Ranskan tietosuojaviranominen määräsi Amazon Europe Corelle 35 miljoonan euron sakot evästeiden käyttämisestä automaattisesti amazon.fr-sivustolla ilman käyttäjien tähän antamaa etukäteistä suostumusta. Useita evästeitä käytettiin mainontaan. Lisäksi, riippumatta siitä, mitä kautta käyttäjät tulivat sivustolla, heille joko ilmoitettiin riittämättömästi, tai heille ei koskaan ilmoitettu siitä, että evästeet oli asetettu heidän käyttämälleen laitteelle. Sivuston informointibannerissa todettiin: "Käyttämällä tätä vsivustoa hyväksyt evästeiden käytön, jonka avulla voimme tarjota ja parantaa palveluitamme. Lue lisää. ” Yhtiön tarjoamat lisätiedot sisälsivät vain yleistä tietoa kaikkien asetettujen evästeiden tarkoituksista. Tietosuojaviranomainen katsoikin, että bannerin avulla käyttäjä ei voinut ymmärtää, että hänen tietokoneelleen asetettuja evästeitä käytettiin pääasiassa personoitujen mainosten näyttämiseen. Käyttäjälle ei myöskään kerrottu mahdollisuudesta kieltäytyä evästeistä, ja siitä, miten se tehdään. Sakon määrässä otettiin huomioon muun muassa se, että yhtiön pääasiallinen toiminta oli kulutustuotteiden myynti, ja evästeet mahdollistivat sen tuotteiden mainoksien näkyvyyden merkittävän kasvun muilla sivustoilla, sekä se, että miljoonia ranskassa asuvia vieraili päivittäin amazon.fr-sivustolla.
Vaikutustenarvioinnin tekeminen ja terveystietojen käsittely
Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Vaikutustenarviointi on tehtävä silloin, kun suunniteltu tietojen käsittely aiheuttaa todennäköisesti korkean riskin rekisteröidyn oikeuksille ja vapauksille. Vaikutustenarviointi on tehtävä esimerkiksi silloin, kun käsitellään laajamittaisesti erityisiä henkilötietoryhmiä, kuten terveystietoja.
Ruotsin tietosuojaviranomainen määräsi lukuisia GDPR:n mukaisia sakkoja joulukuussa. Yhdessä tapauksessa se tuomitsi lähes kolmen miljoonan euron sakon Capio St. Göran’s -sairaalalle riittämättömien teknisten ja organisatoristen toimenpiteiden toteuttamatta jättämisestä. Sairaala oli esimerkiksi laiminlyönnit GDPR:n mukaisen vaikutustenarvioinnin tekemisen, ts. se ei ollut arvioinut, mitä rekisteröidyn vapauksia ja oikeuksia käsittely voi vaarantaa, ja mitä vahinkoja rekisteröidylle voi aiheutua suunnitellusta henkilötietojen käsittelystä. Se ei ollut myöskään määritellyt niitä henkilöitä, jotka käsittelevät työssään terveystietoja, eikä se täten ollut varmistanut, että niitä käsittelevien henkilöiden piiri olisi mahdollisimman rajattu.
Myös ruotsalaiselle Aleris Sjukvård AB:lle, joka tarjoaa terveydenhuollon ja diagnostiikan palveluja, määrätiin yli miljoonan sakko samankaltaisista rikkomuksista. Yhtiö oli laiminlyönyt vaikutustenarvioinnin tekemisen. Se ei ollut arvioinut ja määrittänyt niitä henkilöitä, joilla on pääsy sen potilaiden terveydentilatietoihin. Tietosuojaviranomainen totesikin, että yhtiön vastuulla oli tarvittavien teknisten ja organisatoristen toimenpiteiden toteuttaminen.
Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti suoritettavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.