Tietosuojavaltuutetun tiedotteet 3/2024

Verkkokauppa.comille seuraamusmaksu asiakastietojen säilytysajan määrittelemättä jättämisestä – myös vaatimus asiakkaan rekisteröitymisestä oli lainvastainen (18.3.2024)

Tietosuojavaltuutetun toimiston seuraamiskollegio on määrännyt Verkkokauppa.comille 856 000 euron hallinnollisen seuraamusmaksun tietosuojasäännösten vastaisesta toiminnasta. Päätöksen mukaan yritys oli tietoisesti päättänyt jättää määrittelemättä asiakastileille keräämilleen henkilötiedoille säilytysajan ja jättänyt tietojen säilytysajan rajoittamisen asiakkaan vastuulle. Tietosuojavaltuutettu katsoo, ettei tietojen säilyttämistä voida perustella sillä, että asiakas voi pyytää tietojensa poistamista.

Lisäksi Verkkokauppa.com oli asettanut asiakastilin luomisen verkko-ostosten tekemisen edellytykseksi. Tietosuojavaltuutettu katsoo edellytyksen olevan tietosuoja-asetuksen vastainen, sillä yksittäisten verkkokauppaostosten tekeminen ei vaadi asiakastilin luomista eikä sellaista henkilötietojen säilyttämistä, johon käytäntö johtaa.

Tietosuojavaltuutettu määräsi Verkkokauppa.comin määrittelemään asianmukaisen säilytysajan asiakastilien tiedoille ja korjaamaan toimintatapansa myös pakollisen rekisteröitymisen osalta. Lisäksi yritykselle annettiin huomautus tietosuojasäännösten vastaisista toimintatavoista.

Tiedotteen löydät täältä ja tietosuojavaltuutetun ja seuraamuskollegion päätökset täältä.

Korkein hallinto-oikeus saattoi voimaan apulaistietosuojavaltuutetun päätöksen ja velvoitti Googlen poistamaan hakutuloslinkkejä (20.3.2024)

Korkein hallinto-oikeus (KHO) arvioi ratkaisussaan KHO:2024:34 tietosuoja-asetuksessa säädettyä oikeutta tulla unohdetuksi. Tapauksessa henkilö oli pyytänyt Googlea poistamaan hakupalvelustaan hakutuloslinkkejä, jotka johtavat vuonna 2010 julkaistuihin artikkeleihin, joissa kerrotaan henkilön olevan etsintäkuulutettu. Apulaistietosuojavaltuutettu oli määrännyt Googlen poistamaan kyseisiin artikkeleihin johtavat hakutuloslinkit, mutta Helsingin hallinto-oikeus kumosi päätöksen. KHO puolestaan katsoi, että apulaistietosuojavaltuutettu oli voinut määrätä Googlen poistamaan kyseiset hakutuloslinkit.

KHO arvioi ratkaisussaan yhtäältä yleisön oikeutta saada tietoja ja toisaalta henkilön oikeutta yksityisyyteen ja henkilötietojensa suojaan ja totesi, ettei Google ollut esittänyt riittäviä perusteita sille, että yleisön oikeus saada tiedot henkilön nimellä haettaessa olisi syrjäyttänyt henkilön oikeuden yksityisyyden ja henkilötietojensa suojaa. Lisäksi KHO huomioi, että hakutuloslinkkien poistaminen ei johda itse artikkeleiden poistamiseen ja linkkien poistaminen vaikuttaa siten yleisön tiedonsaantioikeuteen suhteellisen vähän.

Tiedotteen löydät täältä, KHO:n ratkaisun täältä ja apulaistietosuojavaltuutetun päätöksen täältä.

Apulaistietosuojavaltuutettu: henkilötunnusta ei tule merkitä potilaille automatisoidusti lähetettäviin tekstiviesteihin (27.3.2024)

Tietosuojavaltuutetun toimisto on selvittänyt käytäntöä, jossa terveydenhuollon asiakkaille on ilmoitettu laboratoriotutkimusten tuloksista automatisoidusti tekstiviesteillä, joihin oli merkitty myös asiakkaan henkilötunnus. Silloinen sairaanhoitopiiri, nykyinen hyvinvointialue, perusteli käytäntöä sillä, henkilötunnuksen sisällyttäminen viestiin varmistaa sen, ettei tietoja lähetetä esimerkiksi samannimisille henkilöille.

Apulaistietosuojavaltuutettu katsoo päätöksessään, että henkilötunnuksen merkitseminen viesteihin on ollut tarpeetonta, sillä asiakkaan yksilöiminen on mahdollista tehdä myös muilla tavoilla. Apulaistietosuojavaltuutettu on huomioinut tekstiviesteihin liittyvät tietoturvariskit ja suojauksen puutteen sekä korostanut tarvetta arvioida sitä, mitä tietoja asiakkaille lähetettäviin tekstiviesteihin sisällytetään.

Hyvinvointialue määrättiin huolehtimaan, että toimintatapa automatisoidussa tekstiviestien lähettämisessä on tietosuojasäännösten mukainen.

Tiedotteen löydät täältä ja apulaistietosuojavaltuutetun päätöksen täältä.

Positiivinen luottotietorekisteri otetaan käyttöön 1.4. – näin se vaikuttaa henkilötietojesi käsittelyyn (28.3.2024)

Huhtikuun alussa otettiin käyttöön positiivinen luottotietorekisteri, johon kootaan tiedot yksityishenkilöiden kaikista luotoista ja tuloista. Positiivista luottorekisteriä koskevassa laissa säädetään tarkasti muun muassa siitä, mihin tarkoituksiin rekisteriin kerättäviä tietoja voidaan käyttää ja luovuttaa. Yksityishenkilöllä on oikeus pyytää tietojensa oikaisua tai täydentämistä, mutta henkilö ei kuitenkaan yleensä voi kieltää henkilötietojensa käsittelyä rekisterissä, sillä luottotietojen käsittely perustuu lakisääteiseen velvollisuuteen. Tietosuojavaltuutetun toimisto valvoo henkilötietojen käsittelyä positiivisessa luottotietorekisterissä.

Tiedotteen löydät täältä ja lisätietoa henkilötietojen käsittelystä luottotietorekisterissä täältä.

Kuva: Unsplash / Jason Dent