Tietosuojavaltuutetun uutiset ja tiedotteet 12/2023

 

Helsingin ja Hämeenlinnan hallinto-oikeudet pitivät voimassa tietosuojavaltuutetun verokoneita koskevan linjauksen (19.12.2023)

Tietosuojavaltuutettu linjasi syksyllä 2021, että verotietojen julkaisu verokoneissa ei ole tietosuojalainsäädännön vastaista. Linjaus perustui siihen, että tiettyjä tietosuoja-asetuksen säännöksiä ei sovelleta, jos henkilötietoja käsitellään journalistisiin tarkoituksiin. Tietosuojavaltuutettu katsoi tämä poikkeuksen koskevan myös verokoneita. Siten tietosuojavaltuutetulle kannelleiden henkilöiden pyyntöä tietojensa poistosta ei tarvitse toteuttaa.

Helsingin ja Hämeenlinnan hallinto-oikeudet hylkäsivät tietosuojavaltuutetun päätöksestä tehdyt valitukset ja pitivät voimassa tietosuojavaltuutetun kannan. Hallinto-oikeudet katsoivat tietojen olevan tärkeitä yhteiskunnallisen keskustelun kannalta ja totesivat verotietojen julkaisun verokoneessa olleen siten perusteltua. Hämeenlinnan hallinto-oikeus totesi lisäksi, että verotietojen käsittelyn kieltäminen verokoneissa tarkoittaisi sananvapauden rajoittamista.

Alkuperäinen uutinen on luettavissa täältä ja päätös täältä.

Apulaistietosuojavaltuutettu: henkilö on tunnistettava terveydenhuollon sähköisessä ajanvarauksessa (20.12.2023)

Apulaistietosuojavaltuutettu on antanut päätöksen koskien terveydenhuollon toimijan sähköistä ajanvarausjärjestelmää, jossa ajan varaajan henkilöllisyyttä ei todennettu millään tavoin. Ajan varaaminen erilaisiin terveydenhuollon palveluihin oli mahdollista pelkän nimen ja henkilötunnuksen perusteella. Terveydenhuollon toimijan käytäntö ajan varaamisessa ei täyttänyt tietojen turvallisen käsittelyn vaatimuksia.

Apulaistietosuojavaltuutettu huomioi, että henkilötunnus on tarkoitettu henkilöiden erottamiseen toisistaan, eikä henkilön tunnistamiseen, eikä pelkästään nimen ja henkilötunnuksen kysyminen verkkoajanvarauksen yhteydessä todenna ihmisen henkilöllisyyttä. Apulaistietosuojavaltuutettu korosti, että terveydenhuollon ajanvaraustiedot ovat terveystietoja, joita on suojattava erityisen tarkasti. Lisäksi sosiaali- ja terveydenhuollon asiakastietolain mukaan asiakas on tunnistettava luotettavasti sähköisessä asioinnissa.

Apulaistietosuojavaltuutettu määräsi terveydenhuollon toimijan korjaamaan käytäntönsä lainmukaiseksi.

Alkuperäinen uutinen on luettavissa täältä ja päätös täältä.

Tietosuojavaltuutettu: Ostotietojen säilyttämistä koko asiakassuhteen ajan ei voida pitää tarpeellisena (21.12.2023)

Tietosuojavaltuutettu on katsonut, että ostotietojen säilyttäminen koko kanta-asiakkuuden ajan ei ole tietosuojalainsäädännön mukaista. Tietosuojavaltuutetun päätös koski Keskon Plussa-järjestelmää siltä osin, kun Kesko oli katsonut voivansa säilyttää Plussa-asiakkaittensa ostotietoja tunnistettavassa, henkilöön yhdistettävässä muodossa koko asiakassuhteen ajan. Kesko oli valinnut lähtökohtaiseksi tiedonkeruun tasoksi asiakkaittensa yksityiskohtaiset, tuotekohtaiset ostotiedot, ja ostotietoja oli käsitelty muun muassa etujen ja palveluiden tarjoamiseksi sekä markkinoinnin toteuttamiseksi ja kohdentamiseksi. Asiakkaiden pääsy ostotietoihin oli rajattu korkeintaan viiteen vuoteen. Tietosuojavaltuutettu huomioi, että ostotiedoista voidaan päätellä yksityiskohtaistakin tietoa henkilön elämäntilanteesta, elintavoista ja liikkumisesta.

Tietosuojalainsäädännön mukaan henkilötiedoille on määritettävä käyttötarkoitukseensa nähden mahdollisimman lyhyt säilytysaika, ja asiakkailla on oltava mahdollisuus vaikuttaa siihen, missä laajuudessa heidän tietojaan kerätään. Asiakkaille on oltava selvää, mihin tarkoitukseen tietoja käytetään ja kuinka kauan. Tietosuojavaltuutettu määräsi 19.12.2023 lainvoimaiseksi tulleessa päätöksessään Keskon poistamaan tai anonymisoimaan ostotietoja ja määrittämään tiedoille säilytysajat käyttötarkoituksen mukaan. Kesko on ryhtynyt toimiin saattaakseen toimintansa tietosuoja-asetuksen mukaiseksi.

Alkuperäinen uutinen on luettavissa täältä ja päätös täältä.

EU-tuomioistuin: Pelko henkilötietojen mahdollisesta väärinkäytöstä tietoturvaloukkauksen jälkeen voi oikeuttaa vahingonkorvauksiin (22.12.2023)

Euroopan unionin tuomioistuin (EUT) on ottanut kantaa syihin, joiden vuoksi tietoturvaloukkauksen kohteeksi joutunut henkilö voi hakea organisaatiolta vahingonkorvauksia. Tapauksessa oli taustalla Bulgarian veroviranomaista vastaan nostetut kanteet, joissa vaadittiin korvauksia henkisestä kärsimyksestä, jota heidän tietojensa vaarantuminen aiheutti. Veroviranomaisen tietojärjestelmään tehtiin kyberhyökkäys vuonna 2019.

Lähtökohtana on, että organisaatio voi joutua vahingonkorvausvastuuseen, jos henkilötiedot joutuvat vääriin käsiin tietoturvaloukkauksen seurauksena. EUT linjasi tapauksessa C-340/21, että tietoturvaloukkauksen kohteeksi joutuneen ihmisen pelko siitä, että ulkopuoliset käyttävät tulevaisuudessa väärin hänen henkilötietojaan, voi itsessään olla sellainen aineeton vahinko, josta organisaatio voi joutua maksamaan vahingonkorvauksia. Pelon täytyy kuitenkin olla perusteltu.

Alkuperäinen uutinen on luettavissa täältä ja ratkaisu täältä.

Tietosuojalaki ja rikosasioiden tietosuojalaki muuttuvat 1.1.2024 alkaen (27.12.2023)

Eduskunta on hyväksynyt muutoksia tietosuojalakiin ja rikosasioiden tietosuojalakiin, jotta ne vastaisivat EU:n tietosuojalainsäädäntöä, jonka mukaan kantelun tehnyt henkilö voi valittaa tuomioistuimelle, jos valvontaviranomainen ei käsittele hänen kanteluaan.

Muutoksen myötä tietosuojavaltuutetun toimiston on 1.1.2024 lähtien ratkaistava kanteluasia tai ilmoitettava henkilölle arvio ratkaisun ajankohdasta kolmen kuukauden kuluessa siitä, kun asia on tullut vireille. Jos näin ei toimita, henkilö voi valittaa hallinto-oikeuteen. Muutosta ei sovelleta takautuvasti asioihin, jotka ovat tulleet vireille ennen vuotta 2024.

Tietosuojavaltuutetun toimiston asioiden käsittelyä pyritään myös nopeuttamaan uudella säännöksellä, jonka perusteella tietosuojavaltuutettu voi siirtää ratkaisuvaltaa esittelijöinä toimiville virkahenkilöille asioissa, joissa lain soveltamiskäytäntö on vakiintunut. Samalla selkiytetään henkilötunnuksen käsittelyä koskevaa sääntelyä: henkilön tunnistamiseen ei saa käyttää yksinomaan henkilötunnusta tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmää.

Alkuperäinen uutinen on luettavissa täältä.

Kuva: Unsplash / Kaffeebart