Tietosuojavaltuutetun uutiset ja tiedotteet 1/2022 ja 2/2022

Sisäisen turvallisuuden viranomaisten henkilötietojen käsittelyyn liittyvissä tarkastuksissa vuonna 2022 painottuvat EU-tietojärjestelmien valvonta ja siirrot kolmansiin maihin (24.1.2022)

Tammikuussa tietosuojavaltuutetun toimisto julkaisi suunnitelmansa sisäisen turvallisuuden viranomaisten henkilötietojen käsittelyyn liittyvistä tarkastuksista vuonna 2022. Tarkastustoiminta on osa tietosuojavaltuutetun tekemää valvontaa ja julkaisu suunnitelma sisältää vuoden 2022 aikana tulevat tarkastukset. Valvonnan kohteena on lainmukainen henkilötietojen käsittely rikosasioissa ja turvallisuuden ylläpitämisen yhteydessä. Jos vuoden aikana nousee esille kiireellisiä tai yksittäisiä kanteluasioita näihin voidaan lisäksi toteuttaa ad hoc-tarkastuksia. Suunnitelma on osa monivuotista valvontasuunnitelmaa.

Pääset lukemaan koko tiedotteen tästä.

Matkatoimistolle seuraamusmaksu tietosuojalainsäädännön rikkomisesta (27.1.2022)

Tietosuojavaltuutetun toimisto seuraamuskollegio määräsi matkatoimistoyritykselle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen rikkomisesta. Matkatoimisto käytti muun muassa suojaamatonta verkkoyhteyttä viisumihakulomakkeen yhteydessä sekä säilyttivät henkilötietoja sisältäviä lomakkeita avoimella verkkopalvelimella. Lomakkeisiin syötettyjä tietoja olivat esimerkiksi nimi, yhteystiedot sekä passin numero. Näin ollen puutokset kohdistuivat erityisesti rekisteröidyn oikeuksien toteuttamiseen sekä tietojen turvalliseen käsittelyyn. Yrityksen katsottiin laiminlyöneen velvollisuutensa tietojen asianmukaiseen suojaamisen ja käsittelyyn.

Tietosuojavaltuutetun toimiston seuraamuskollegion päätös ei ole lainvoimainen ja muutosta voidaan hakea hallinto-oikeudesta, noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.

Pääset lukemaan koko tiedotteen tästä ja päätöksen tästä.

Euroopan tietosuojaneuvoston ohje rekisteröidyn tarkastusoikeudesta julkiseen kuulemiseen (31.1.2022)

Euroopan tietosuojaneuvosto on julkaissut ohjeluonnoksen sekä vastannut evästesuostumusta koskeviin kirjeisiin. Tarkastusoikeutta, eli rekisteröidyn oikeutta saada tutustua tietoihinsa selvennetään julkaistussa ohjeessa. Ohje käsitellee muun muassa tarkastusoikeuden laajuutta, pyyntöjen muotoa, annettavia tietoja, asiaa koskevaa menettelyä sekä liiallisten ja perusteettomien pyyntöjen käsitteitä. Ohjeluonnosta on mahdollista kommentoida 11. maaliskuuta saakka tietosuojaneuvoston sivuilla.

Vastauksessaan evästesuostumusta koskeviin kirjeisiin tietosuojaneuvosto toistaa olevansa sitoutunut varmistamaan yhdenmukaisen tietosuojasäännösten soveltamisen EU:ssa. Tietosuojaneuvoston on syyskuussa perustanut työryhmän koordinoimaan vastauksia sekä päivittänyt suostumusta koskevat ohjeet varmistaakseen yhdenmukaisen lähestymistavan.

Pääset lukemaan koko tiedotteen tästä.

Euroopan tietosuojaviranomaiset ovat todenneet Google Analyticsin käytön verkkosivuilla tietosuojalainsäädännön vastaiseksi (11.2.2022)

Euroopan tietosuojaviranomaiset ovat tuoreessa päätöksessä linjanneet Google Analytics-palvelun rikkovan EU:n yleistä tietosuoja-asetusta. Euroopan tietosuojaviranomaiset ovat vastaanottaneet 101 valitusta NOYB:lta. Valitukset koskevat henkilötietojen siirtoja Yhdysvaltoihin Google Analyticsiä sekä muita seurantatyökaluilla käyttävillä verkkosivuilla. Suomessa tietosuojavaltuutetun toimistolla on myös vireillä muita asioita liitynnässä kokonaisuuteen.

Päätöksen mukaan Googlen käyttöönottamat suojatoimet henkilötietojen siirroille Analyticsin kautta ei ole riittävät ja aiheuttavat näin ollen riskin verkkosivujen käyttäjille. Päätöksen antoi johtavana valvontaviranomaisena Ranskan valvontaviranomainen CNIL. Euroopan tietosuojaviranomaiset ovat yhdessä arvioineet Google Analyticsin ehtoja, jolla henkilötietoja on siirretty ja tästä aiheutuvia riskejä.

Pääset lukemaan koko tiedotteen tästä.

Alueelliset tietosuojaseminaarit pk-yrityksille käynnistyvät (17.2.2022)

Tietosuojavaltuutetun toimisto ja TIEKE ry järjestävät yhdessä pk-yrityksille suunnattuja maksuttomia tietosuojaseminaareja Tampereella, Turussa, Oulussa ja Jyväskylässä. Seminaarit ovat osa sekä jatkoa GDPR2DSN-hankkeelle. Seminaareissa käsitellään pk-yrittäjiä koskettavia tietosuoja-aiheita. Puhujina toimivat sekä paikalliset asiantuntijat, että asiantuntijoita tietosuojavaltuutetun toimistosta.

Lisää sisällöstä, seminaarien ajankohdista sekä ilmoittautumisesta voit lukea tästä.

Mahdollisuus saada kuitti pysäköintimaksusta ainoastaan tekstiviestitse vikatilanteissa ei ollut tietojen minimointivaatimuksen mukaista (23.2.2022)

Tietosuojavaltuutettu määräsi pysäköintiyhtiön muuttamaan käytäntöänsä kuitin toimittamisessa yleisen tietosuoja-asetuksen mukaiseksi. Tapauksessa oli kyse puhelinnumeron käsitellystä ja sen välttämättömyydestä. Pysäköintiyhtiön maksuautomaateista oli teknisen vian seurauksena voinut valita vain tekstiviestikuitin, jonka saaminen edellytti puhelinnumeron antamista. Yleisesti yhtiön maksuautomaateista on mahdollisuus sada joko paperi- tai tekstiviestikuitti. Yhtiön mukaan myös virhetilanteissa on mahdollisuus jälkeenpäin pyytää paperista kuittia asiakaspalvelusta, mutta tästä ei kuitenkaan tiedotettu oston yhteydessä.

Yhtiön mukaan puhelinnumeroita pyydetään ainoastaan silloin kuin asiakas valitsee tekstiviestikuitin, eikä tietoa käsitellä muihin tarkoituksiin. Tietosuojavaltuutettu katsoi kuitenkin, että puhelinnumeroiden käsittely tapauksessa ei ollut välttämätöntä. Yhtiön käytännössä ei ollut noudatettu yleisen tietosuoja-asetuksen tietojen minimoinnin periaatetta tai sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia tilanteessa, kun asiakas ainoastaan pystyy valitsemaan tekstiviestikuitin. Puhelinnumerotietojen käsittely ei nähty tapauksessa välttämättömänä.

Pääset lukemaan koko tiedotteen tästä.

Lääkäriklinikalle seuraamusmaksu puutteista rekisteröidyn oikeuksien toteutuksessa (28.2.2022)

Tietosuojavaltuutetun toimiston seuraamuskollegio katsoi, että lääkäriklinikka ei ollut toteuttanut asianmukaisesti asiakkaan tarkastusoikeutta potilastietoihinsa tai kertonut selkeästi, minkä tietojen osalta se toimi rekisterinpitäjänä. Lääkäriklinikalle määrättiin hallinnollinen seuraamusmaksu, seurauksena yleisen tietosuoja-asetuksen säännösten laiminlyönneistä. Seuraamuskollegio katsoi yrityksen toimintatavan olevan järjestelmällinen, jonka lisäksi asetuksen vastainen toiminta on ollut pitkäkestoista ja vaikuttanut suureen määrään rekisteröityjä.

Pääset lukemaan koko tiedotteen tästä.