Tietosuojavaltuutetun uutiset ja tiedotteet 12/2022
Euroopan tietosuojaneuvosto hyväksyi kolme kiistanratkaisupäätöstä koskien Facebookia, Instagramia ja WhatsAppia (7.12.2022)
Tietosuojavaltuutetun toimisto tiedotti, että Euroopan tietosuojaneuvosto on hyväksynyt kolme kiistanratkaisupäätöstä koskien Meta Platforms Ireland Limitediä (Meta IE). Päätöksissä arvioitiin muun muassa käyttäytymiseen perustuvan kohdennetun mainonnan laillisuutta ja läpinäkyvyyttä sekä henkilötietojen käsittelyn laillisuutta palvelun kehittämiseksi.
Johtavana valvontaviranomaisena Irlannin valvontaviranomainen antoi päätösluonnokset, jotka koskivat käyttäytymiseen perustuvan kohdennetun mainonnan laillisuutta Facebookissa ja Instagramissa sekä henkilötietojen käsittelyn laillisuutta. Päätösluonnoksista ei päästy yksimielisyyteen, joten asia siirtyi yhteistyömenettelystä Euroopan tietosuojaneuvoston kiistanratkaisumenettelyyn. Tietosuojaneuvoston kiistanratkaisupäätökset sitovat Irlannin valvontaviranomaista, joka tekee lopulliset päätökset kiistanratkaisupäätösten perusteella viimeistään kuukauden kuluessa.
Alkuperäisen uutisen pääset lukemaan täältä ja Euroopan tietosuojaneuvoston englanninkielisen tiedotteen täältä.
Hyvinvointialueiden tietosuojavastaavien yhteystiedot on julkaistava toiminnan käynnistyessä (9.12.2022)
Vuoden 2023 alusta alkaen sosiaali- ja terveydenhuollon sekä pelastustoimen järjestämisvastuu siirtyy suurimmalta osalta kunnista ja kuntayhtymistä hyvinvointialueille. Tietosuojavaltuutetun toimisto muistuttaa, että tietosuojavastaavien yhteystiedot tulee muutoksen yhteydessä päivittää ajantasaisiksi.
Alkuperäisen uutisen ja lisätietoja pääset lukemaan täältä.
Viking Linelle seuraamusmaksu työntekijöiden terveystietojen lainvastaisesta käsittelystä (14.12.2022)
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Viking Line Oy Abp:lle 230 000 euron seuraamusmaksun useista tietosuojalainsäädännön rikkomuksista. Yhtiölle annettiin myös huomautus. Tietosuojavaltuutetun toimisto selvitti Viking Linen toimintaa vireille saatetun kantelun perusteella.
Apulaistietosuojavaltuutettu totesi, että Viking Linen henkilötietojen käsittelytavoissa on ollut useita vakavia puutteita. Viking Line oli lainvastaisesti tallentanut työntekijöiden diagnoositietoja henkilöstöhallinnon järjestelmää ja osa tiedoista oli myös virheellisiä. Seuraamuskollegio piti yhtiön toimintaa tältä osin erityisen moitittavana. Terveystiedot olisi lisäksi pitänyt poistaa heti, kun niiden säilyttämiselle ei enää ollut tarvetta.
Viking Line ei ollut myöskään kertonut työntekijöilleen asianmukaisesti henkilötietojen käsittelystä. Apulaistietosuojavaltuutettu määräsi yhtiön korjaamaan toimintaansa ja kertomaan työntekijöille henkilötietojen käsittelystä tietosuoja-asetuksen vaatimusten mukaisesti ja totesi, että yhtiön olisi pitänyt toimittaa entiselle työntekijälle kaikki tämän pyytämät henkilötietonsa, joita yhtiö säilytti.
Alkuperäisen tiedotteen pääset lukemaan täältä ja asiaa koskevat päätökset täältä.
Apulaistietosuojavaltuutettu on tehnyt aloitteen koskien oppilas- ja opiskelijarekisterien tietojen luovutusta opiskeluhuollolle (16.12.2022)
Apulaistietosuojavaltuutettu on tehnyt opetus- ja kulttuuriministeriölle, sosiaali- ja terveysministeriölle, THL:lle ja Opetushallitukselle aloitteen, joka koskee oppilaiden ja opiskelijoiden tietojen luovuttamista opiskeluhuollon psykologi- ja kuraattoripalveluille. Aloitteen tavoitteena on, että tietojen luovutuksen edellytyksiä selvennettäisiin ja huomioitaisiin valtakunnallisessa ohjeistuksessa.
Opiskeluhuoltolain muutosten yhteydessä on tunnistettu tarve käytännön soveltamisohjeille, joilla tiedonkulku ja henkilötietojen asianmukainen käsittely opiskeluhuollossa varmistetaan. Apulaistietosuojavaltuutettu pitää tärkeänä, että tulevassa valtakunnallisessa ohjeistuksessa selvennetään edellytyksiä, joilla oppilas- ja opiskelijarekisteristä voidaan luovuttaa oppilaiden henkilötietoja. Tietojen luovutuksessa tulisi turvata oppilaiden ja opiskelijoiden oikeudet ja vapaudet henkilötietojen käsittelyssä.
Alkuperäisen tiedotteen ja lisätietoja pääset lukemaan täältä.
Euroopan komission luonnos Yhdysvaltojen tietosuojan riittävyyttä koskevasta päätöksestä hyväksymismenettelyyn (16.12.2022)
Euroopan komissio julkaisi 13. joulukuuta päätösluonnoksen Yhdysvaltojen tietosuojan tason riittävyydestä. Päätöksellä puututaan huolenaiheisiin, joita Euroopan unionin tuomioistuin (EUT) esitti vuonna 2020 Schrems II -päätöksessään (C-311/18). Tuomiollaan EUT kumosi Privacy Shield -järjestelyn, jonka perusteella henkilötietoja voitiin siirtää EU:n ja Yhdysvaltojen välillä. Luonnos on toimitettu Euroopan tietosuojaneuvoston arvioitavaksi.
Tietosuojan riittävyyspäätöksen perusteella tietoja voitaisiin siirtää ETA-alueelta järjestelyyn osallistuville yhdysvaltalaisille yrityksille ilman erillisiä suojatoimia. Riittävyyspäätöstä ei voisi käyttää välineenä henkilötietojen siirtoihin julkisen sektorin toimijoiden välillä.
Alkuperäisen tiedotteen ja lisätietoja pääset lukemaan täältä.
Ulkopuoliselle päätyneiden laitteiden tietoja ei ollut salattu – apulaistietosuojavaltuutetulta huomautus terveydenhuollon toimijalle (21.12.2022)
Tietosuojavaltuutetun toimisto sai terveydenhuollon toimijalta ilmoituksen tietoturvaloukkauksesta, jonka mukaan kannettava tietokone, paperiasiakirjoja ja kaksi ulkoista kiintolevyä olivat päätyneet sivulliselle varastetussa tietokonelaukussa. Tietokone, kiintolevyt ja paperiasiakirjat sisälsivät muun muassa asiakkaiden terveystietoja, yhteystietoja ja vakuutuksia koskevia tietoja. Tietokone oli suljettu ja kirjautuminen oli suojattu salasanalla, mutta tietokoneen massamuistia tai sen sisältämiä henkilötietoja ei ollut salattu.
Apulaistietosuojavaltuutettu toteaa, että kannettavalle tietokoneelle tallennettujen henkilötietojen suojaaminen pelkällä salasanalla on ollut puutteellinen suojausmenetelmä. Terveydenhuollon toimijalle annettiin huomautus puutteista henkilötietojen turvallisessa käsittelyssä. Apulaistietosuojavaltuutettu katsoi, että yritys ei ollut täyttänyt tietosuoja-asetuksen mukaista velvollisuuttaan henkilötietojen asianmukaisesta suojaamisesta.
Alkuperäisen tiedotteen pääset lukemaan täältä ja asiaa koskevan päätöksen täältä.
Kirjoittajat
