Tietosuojavaltuutetun päätös henkilötietojen käsittelyn läpinäkyvyydestä ja rekisteröityjen informoinnista

6.8.2021

Asian vireillesaattaja oli kertonut tietosuojavaltuutetun toimistolle epäilevänsä, että ilmanvaihtoyritys oli kerännyt asiakkaiden henkilötietoja lainvastaisesti. Vireillesaattaja oli huomannut yrityksen verkkosivuilta sittemmin poistetun lomakkeen, joka oli tämän mukaan todennäköisesti tarkoitettu yrityksen myyjille asiakasrekisterin luomiseksi.

Lomakkeessa oli varattu tila asuinalueen, talotyypin, nykyisen ilmanvaihtojärjestelmän ja rakennusvuoden tapaisten tietojen lisäksi tiedoille esimerkiksi parisuhdedynamiikasta, omistajien elämäntilanteesta, rahatilanteesta sekä ostajaryhmästä.

Rekisterinpitäjän toimittaman selvityksen mukaan kyse oli ollut verkkosivujen kehitysvaiheessa olevasta lomakkeesta, jonka ei ollut kuulunut olla näkyvillä. Rekisterinpitäjän mukaan lomaketta ei oltu koskaan käytetty eikä tietoja kerätty sen kautta. Rekisterinpitäjä oli esittänyt lisäksi muun muassa, että lomakkeella näkyneet kysymykset olivat olleet satunnaisia tekstejä, joita oli käytetty lomakkeen kehitystyössä.

Yleisen tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista, joista yksi on läpinäkyvyyden periaate. Läpinäkyvyyden periaate edellyttää, että henkilötietoja käsitellään rekisteröidyn kannalta läpinäkyvästi. Yleisen tietosuoja-asetuksen 12–14 artikloissa säädetään puolestaan rekisteröityjen informoinnista. Jotta henkilötietojen käsittely olisi läpinäkyvää, rekisteröityä tulee muun muassa informoida tästä käsittelystä.

Tietosuojavaltuutettu katsoi, että lomake oli tarkoitettu henkilötietojen keräämiseen tarkkailemalla rekisteröityjä ja heidän asuinolosuhteitaan asiakaskäynnin tai muun asiakastapaamisen yhteydessä. Lomakkeeseen varatut täytettävät kohdat olivat tietosuojavaltuutetun mukaan harkittuja ja lomake sisällöltään koherentti. Vaikka rekisterinpitäjä oli esittänyt, ettei lomaketta oltu tosiasiallisesti käytetty, katsoi tietosuojavaltuutettu lomakkeen ulkoasun ja sisällön viittaavan siihen, että lomaketta oli aiottu käyttää riippumatta siitä, mitä tietoja lopulliselle lomakkeelle tulisi kerätä.

Tietosuojavaltuutettu korosti, että silloin, kun henkilötietoja kerätään rekisteröityä tarkkailemalla, tulee rekisteröidylle toimittaa tiedot henkilötietojen käsittelystä tietosuoja-asetuksen 13 artiklan mukaisesti ja tarkoituksenmukaisessa muodossa. Informaation tulee tavoittaa rekisteröity oikea-aikaisesti ja tehokkaasti, minkä lisäksi rekisteröidyllä tulee olla tarkkailutyyppisen henkilötietojen keräämisen tapauksessa mahdollisuus välttää tarkkailtavaksi joutuminen. Henkilötietojen käsittelyn ei myöskään tulisi tulla rekisteröidylle yllätyksenä.

Tietosuojavaltuutettu totesi edelleen, että henkilötietojen kerääminen rekisteröityjä tarkkailemalla edellyttää lainmukaista käsittelyperustetta. Läpinäkyvyyden periaate edellyttää, että rekisterinpitäjä on rekisteröityä kohtaan avoin muun muassa sen suhteen, miten henkilötietoja kerätään ja käytetään, jolloin rekisteröity pystyy halutessaan käyttämään tietosuoja-asetuksen mukaisia oikeuksiaan.

Tietosuojavaltuutettu päätyi antamaan rekisterinpitäjälle varoituksen siitä, että asiakkaasta tarkkailemalla kerättyjen tietojen käsittely olisi yleisen tietosuoja-asetuksen säännösten vastaista, mikäli rekisteröityjä ei informoida käsittelystä, eikä käsittelylle ole lainmukaista käsittelyperustetta.

Koko päätös on luettavissa täältä.

(JT)

Share: