Tietosuojavaltuutetun tiedotteet 1/2024

Hallinto-oikeus: Henkilöllä ei ole oikeutta saada tietoja työntekijöistä, jotka ovat tarkastelleet hänen asiakastietojaan (3.1.2024)

Itä-Suomen hallinto-oikeus on antanut päätöksen koskien tarkastusoikeutta lokitietoihin. Päätöksessä vahvistettiin apulaistietosuojavaltuutetun kanta siitä, että tietoa pyytävälle henkilölle on ilmoitettava tarkasti, milloin hänen henkilötietojaan on käsitelty. Puolestaan oikeutta saada tietoa työntekijöistä, jotka ovat tarkastelleet tietoja, ei ole.

Tapauksessa pankin työntekijä, joka oli myös pankin asiakas, vaati saada tietää, kuka oli tarkastellut hänen asiakastietojaan pankin sisäisessä tarkastuksessa. Pankki kieltäytyi paljastamasta työntekijöiden henkilöllisyyttä, koska tarkastelusta syntyneet lokitiedot olivat puolestaan työntekijöiden henkilötietoja. Pankki ei myöskään antanut käsittelyn tarkkoja ajankohtia. Henkilö teki valituksen pankin päätöksestä, mutta apulaistietosuojavaltuutettu hylkäsi sen. Asia eteni hallinto-oikeuden käsittelyyn, joka pyysi Euroopan unionin tuomioistuimelta (EUT) ennakkoratkaisua siitä, oliko rekisteröidyllä oikeus saada tiedot käyttäjälokeista yleisen tietosuoja-asetuksen mukaisen tarkastusoikeuden perusteella.

EUT linjasi heinäkuussa 2023, että henkilöllä on oikeus tietää, milloin ja miksi hänen tietojaan on käsitelty. Tarkastusoikeuden nojalla ei kuitenkaan lähtökohtaisesti ole oikeutta saada tietoja henkilöistä, jotka ovat käsitelleet tietoja työnantajansa alaisuudessa ja ohjeiden mukaisesti. Hallinto-oikeus totesi siten, että pankin on toimitettava tiedot asiakastietojen katselun tarkoista ajankohdista, mutta sen sijaan velvollisuutta antaa tietoja pankin työntekijöistä ei ole. Hallinto-oikeus palautti päätöksen tietosuojavaltuutetun toimistolle uudelleen arvioitavaksi, jotta tietosuojavaltuutettu voi määrätä pankin antamaan henkilölle tiedot käsittelyajankohdista.

Alkuperäinen tiedote on luettavissa täältä ja EUT:n tuomio täältä.

Digitoimijoille uusia velvollisuuksia ‒ tavoitteena turvallisemmat ja avoimemmat verkkopalvelut (12.1.2024)

EU:n digipalveluasetuksen soveltaminen alkaa 17.2.2024, ja se tuo uusia velvollisuuksia internetin verkkoalustoille ja muille digipalveluille. Sääntelyn tavoitteena on vähentää laitonta sisältöä ja lisätä palveluiden avoimuutta.

Asetus asettaa useita uusia velvollisuuksia erilaisille verkon toimijoille, kuten pilvipalveluille ja sosiaalisen median alustoille. Käyttäjille on muun muassa tarjottava mahdollisuus ilmoittaa laittomasta sisällöstä, ja palvelun tarjoajalla on velvollisuus käsitellä valitukset huolellisesti. Verkkoalustojen on lisäksi reagoitava oma-aloitteisesti selvästi laittomaan sisältöön. Lisäksi mainonnan ja suosittelujärjestelmien on oltava läpinäkyviä, ja alaikäisten suojeluun kiinnitetään erityistä huomiota. Jatkossa mainontaa ei saa kohdistaa myöskään erityisten henkilötietojen, kuten terveystietojen, poliittisten mielipiteiden, tai etnisen alkuperän perusteella.

Suomessa digipalveluasetuksen noudattamista valvovat pääasiassa Liikenne- ja viestintävirasto Traficom, kuluttaja-asiamies sekä tietosuojavaltuutettu. Sääntely koskee kaikkia verkon välityspalveluita, joita tarjotaan EU:n alueelle, mutta huomioitava on, että sääntely ei kaikilta osin koske kaikkia yrityksiä.

Alkuperäinen tiedote on luettavissa täältä.

Euroopan tietosuojaneuvosto julkaisi raportin tietosuojavastaavien asemaa koskevasta selvityksestä – moni tietosuojavastaava kohtaa edelleen haasteita tehtävässään (19.1.2024)

Euroopan tietosuojaneuvosto on hyväksynyt raportin tietosuojavastaavien asemasta EU-maissa. Raportissa esitetään kehityskohteita ja suosituksia tietosuojavastaavien roolin vahvistamiseksi, ja se perustuu yli 17 000 vastaukseen.

EU-maiden tietosuojaviranomaiset selvittivät tietosuojavastaavien asemaa eri aloilla. Raportissa haasteiksi tunnistettiin muun muassa puutteelliset resurssit, aseman riippumattomuus ja ylimmälle johdolle raportointi. Raportissa annetaan suosituksia näihin haasteisiin vastaamiselle.

Alkuperäinen tiedote on luettavissa täältä ja raportti täältä.

Hallinto-oikeus piti voimassa tietosuojavaltuutetun päätökset vakuutusyhtiöiden terveystietojen käsittelystä (25.1.2024)

Helsingin hallinto-oikeus on hylännyt kahden vakuutusyhtiön valitukset tietosuojavaltuutetun päätöksistä, jotka koskivat tietojen pyytämistä terveydenhuollolta ja vakuutuksen hakijoiden terveystietojen käsittelyä.

Tietosuojavaltuutettu selvitti vuonna 2022 vakuutusyhtiöiden toimintatapoja ja havaitsi, että terveystietoja pyydettiin liian laajasti suoraan terveydenhuollolta. Lisäksi huomattiin, että terveystietoja käsiteltiin vakuutuksen hakemisvaiheessa ilman asianmukaista perustetta. Näin ollen tietosuojavaltuutettu määräsi vakuutusyhtiöt rajamaan tarkemmin pyydetyt tiedot ja korjaamaan käytäntöjään. Päätöksistä valitettiin hallinto-oikeuteen, joka piti päätökset voimassa linjaten, että terveydenhuollosta pyydetyt tiedot tulee rajoittaa vain vakuutusyhtiön vastuun arvioimiseksi tarpeellisiin tietoihin, ja että vapaaehtoisen vakuutuksenhakijan terveystietojen käsittely ennen vakuutussopimuksen tekemistä ei ole sallittua. Vakuutusyhtiöt voivat valittaa päätöksistä korkeimpaan hallinto-oikeuteen, jos valituslupa myönnetään.

Alkuperäinen tiedote on luettavissa täältä ja hallinto-oikeuden tiedote täältä.

Kuva: Unsplash / Christopher Burns