Tietosuojavaltuutetun toimistolta kaksi ratkaisua

8.7.2021

Ensimmäinen ratkaisu oli apulaistietosuojavaltuuten antama päätös, jolla se antoi rekisterinpitäjälle huomautuksen ja määräsi rekisterinpitäjän muuttamaan sähkölukkojärjestelmään liittyvä henkilötietojen käsittely yleisen tietosuoja-asetuksen (GDPR) mukaiseksi. Toisessa ratkaisussa tietosuojavaltuutetun toimiston seuraaamuskollegio määräsi hallinnollisen seuraamusmaksun ilman suostumusta harjoitetusta suoramarkkinoinnista.

Apulaistietosuojavaltuutetun käsittelemässä tapauksessa rekisterinpitäjänä toiminut yritys käytti taloyhtiössä sähköistä lukkojärjestelmää, joka kerää sähköisten avainten kautta henkilötiedoiksi luokiteltavia kiinteistön ovien kulkutietoja. Yksityinen henkilö oli kannellut tietosuojavaltuutetun toimistolle siitä, että hän ei ole antanut suostumustaan kulkutietojensa rekisteröintiin. Rekisterinpitäjä puolestaan katsoi, että sillä oli sekä sopimuksen täytäntöönpanemisen että oikeutetun edun nojalla peruste henkilötietojen käsittelyyn. Rekisterinpitäjä katsoi oikeutetun edun täyttyvän rekisterinpitäjän ja asukkaiden omaisuuden suojaamiseksi.

Apulaistietosuojavaltuuettu katsoi rekisterinpitäjän rikkoneen useita GDPR:n velvoitteita. Hän huomautti ensinnäkin, että kulunseuranta ei ole objektiivisesti tarkasteltuna tarpeellinen vuokrasopimuksen täytäntöönpanemiseksi, ottaen huomioon vuokrasopimuksen tarkoituksen, joten rekisterinpitäjä ei voinut käyttää tätä perustetta henkilötietojen käsittelyyn. Tarkastellessaan oikeutetun edun täyttymistä apulaistitetosuojavaltuutettu huomautti, että rekisterinpitäjä ei voi  vedota rekisteröityjen oikeutettuun etuun, toisin sanoen perustella käsittelyä heille käsittelystä koituvilla hyödyillä. Rekisterinpitäjä ei ollut lisäksi järjestänyt henkilötietojen käsittelyä siten, että rekisteröidyn vastustamisoikeus olisi voitu toteuttaa. Ratkaisussa katsottiin myös, että se oli suorittanut oikeutun edun edellyttämän tasapainotestin niin puutteellisesti, että se ei ollut itse asiassa suorittanut sitä ollenkaan. Näin ollen se ei myöskään ole voinut informoida tasapainotestin tuloksista asianmukaisesti rekisteröidyille GDPR:n edellyttämällä tavalla.

Ylipäänsä henkilötietojen käsittelystä oli informoitu puutteellisesti sillä asian vireillesaattajan vuokrasopimukseen oli sisällytetty vain viittaus ulkopuolisen tahon verkko-osoitteeseen, jossa kerrottiin sähkölukkojärjestelmän teknisestä toteutuksesta. Tämän katsottiin olevan GDPR:n 5(1)(a) artiklan käsittelyn läpinäkyvyyden vastaista. Lisäksi GDPR:n 5 artiklan mukaisia säilytyksen rajoittamisperiaatetta ja tietojen minimointiperiaatetta rikkoi se, että säilytysajan oli määrittänyt sattumanvarainen tekijä, tallenuskapasiteetti, eikä käsittelyn käyttötarkoitus. Esim. tietosuojaneuvoston ohjeessa on todettu, että valvontakameroiden tallenteiden asianmukainen säilytysaika määräytyy sillä, kuinka nopeasti murtoja on mahdollista havaita ollen pääsääntöisesti yksi vuorokausi.

Toisessa ratkaisussa tietosuojavaltuutetun toimistolle oli tullut neljä kantelua rekisterinpitäjänä toimineen aikakauslehtikustantamon harjoittamasta suoramarkkinoinnista, joka oli tehty automaattisen soittojärjestelmän avulla (ns. robottipuhelut). Rekisterinpitäjän mukaan tähän oli saatu suostumus erilaisilla tavoilla, muun muassa tilaus- ja sopimusehtojen hyväksymisellä, koska niissä oli sopimusehto suoramarkkinoinnista.

Tietosuojavaltuutetun mukaan suostumus ei ollut vapaaehtoinen, koska suostumus tulisi pyytää erikseen suoramarkkinointia varten. Sopimus- ja tilausehdoissa ei ollut myöskään tarkennettu sitä, miten henkilötietoja käsitellään suoramarkkinointia varten, mikä rikkoi läpinäkyvyysvaatimusta. Automatisoitu soittojärjestelmä ei myöskään teknisesti mahdollistanut rekisteröityjen oikeuksien, kuten vastustamisoikeuden, toteuttamista.

Lisäksi suoramarkkinointipuhelut oli toteuttanut alihankkija, joka siten toimi henkilötietojen käsittelijän roolissa. GDPR:n edellyttämää rekisterinpitäjän ja henkilötietojen käsittelijän välistä käsittelysopimusta ei kuitenkaan ollut tapauksessa tehty.

Seuraamuskollegio määräsi rekisterinpitäjälle 8 500 euron hallinnollisen seuraamismaksun. Seuraamusmaksun asettamista perusteltiin rikkomusten vakavuudella, luonteella, kestolla, rekisteröityjen määrällä ja teon tahallisuudella. Alihankkijayritys sai huomautuksen menettelystä, mitä puolsi se että se oli harjoittanut samanlaista toimintaa useiden rekisterinpitäjien lukuun. Seuraamusmaksu käsittelysopimuksen puuttumisesta jätettiin kuitenkin langettamatta sille, koska vastuu käsittelysopimuksen laatimisesta on ensisijaisesti rekisterinpitäjällä.

Ratkaisut ovat luettavissa täällä ja täällä.

(HL)