Tietosuojavaltuutetun uutiset ja tiedotteet 5/2022

Euroopan tietosuojaneuvostolta ja Euroopan tietosuojavaltuutetulta yhteinen lausunto EU:n datasäädösehdotuksesta (9.5.2022)

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu antoivat yhteisen lausunnon datasäädösehdotuksesta. Uuden datasäädöksen tarkoituksena on luoda yhdenmukaiset säännöt monenlaisista tuotteista ja palveluista peräisin olevan datan saatavuudelle ja käytölle. Lausunnosta selviää, että molemmat instituutiot ovat tyytyväisiä siihen pyrkimykseen, että datasäädös ei vaikuta nykyiseen tietosuojakehykseen. Lausunnossa kehotetaan lainsäätäjiä varmistamaan, että rekisteröityjen oikeuksia suojataan asianmukaisesti, sillä datasäädöstä sovellettaisiin myös erittäin arkaluonteisiin henkilötietoihin. Silloin, kun tietojen perusteella voidaan tehdä täsmällisiä päätelmiä rekisteröityjen yksityiselämästä tai jos ne muuten aiheuttavat suuria riskejä rekisteröidylle, lainsäätäjän tulisi asettaa rajoituksia datan käytölle. Myös rekisteröidyn mahdollinen alaikäisyys tulisi huomioida tietojen käytön rajoituksissa.

Lausunnossa korostetaan, että henkilötietojen suojaa koskevan oikeuden rajoittaminen edellyttää ennakoitavaa oikeusperustaa. Tämä määrittää toimivaltaisen viranomaisen valtuuksien laajuuden ja käyttötavat. Lausunnossa myös kehotetaan lainsäätäjiä määrittelemään paljon tiukemmin hätätilan tai ”poikkeuksen tarpeen” ja ne julkisen sektorin elimet sekä unionin toimielimet, jotka voisivat pyytää tietoja.

Säädösehdotuksessa Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu on nimetty toimivaltaisiksi viranomaisiksi, jotka vastaisivat datasäädöksen soveltamisen valvonnasta henkilötietojen osalta.

Alkuperäisen uutisen pääset lukemaan tästä.

Tietosuojasta huolehtiminen on osa kyberhäiriöihin varautumista (16.5.2022)

Tietosuojavaltuutetun toimiston mukaan TIETO22-harjoituksessa nousi esiin etenkin organisaatioiden varautumisen tärkeys henkilötietoja koskeviin tietoturvaloukkauksiin, osana kyberhäiriöihin varautumista.

TIETO22 on Suomen suurin yritysten ja viranomaisten yhteinen kyberturvaharjoitus. Tietosuojavaltuutetun toimisto kehottaa organisaatioita varmistamaan järjestelmiensä turvallisuus ja tietoturvaloukkausten ilmoitusvelvollisuuksiin ja dokumentointiin liittyvät toimet. Tietosuojavaltuutetun toimisto kiinnittää erityisesti huomiota ohjelmistojen ajantasaisuuden varmistamiseen, pääsynhallintaan ja riittävään tietojärjestelmien valvontaan ja lokitukseen. Tietoturvaloukkauksen sattuessa – tietosuojavaltuutetun toimisto muistuttaa – rekisterinpitäjän on ilmoitettava henkilötietoihin kohdistuneesta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle, jos loukkaus voi aiheuttaa riskin rekisteröidylle. Ilmoitus on tehtävä 72 tunnin kuluessa sen havaitsemisesta.

Koko uutisen pääset lukemaan tästä.

Euroopan tietosuojaneuvoston toimintakertomus 2021 (17.5.2022)

Euroopan tietosuojaneuvoston vuoden 2021 toimintakertomus on julkaistu. Kertomus sisältää neuvoston keskeisimmät saavutukset ja tapahtumat neuvoston neljänneltä toimintavuodelta. Lisäksi kertomuksessa esitellään neuvoston tavoitteita vuodelle 2022.

Kansainväliset henkilötietojen siirrot olivat keskeinen teema tietosuojaneuvoston työssä viime vuonna, minkä lisäksi EU:n digipolitiikka sekä lainvalvonta näkyivät erityisesti neuvoston toiminnassa. Neuvosto laati myös kahdeksan uutta ohjetta ja suositusta rekisterinpitäjien ja henkilötietojen käsittelijöiden tueksi sekä hyväksyi kuuden ohjeen ja suosituksen lopulliset versiot julkisen kuulemisen jälkeen. Neuvoston työssä tärkeänä painopisteenä oli lisäksi yleisen tietosuoja-asetuksen täytäntöönpano. Vuonna 2022 neuvosto jatkaa ohjeistuksen kehittämistä yleisen tietosuoja-asetuksen ymmärtämisen ja tulkitsemisen tueksi.

Toimintakertomus 2021 löytyy täältä.

Pääset lukemaan koko tiedotteen tästä.

Euroopan tietosuojaneuvostolta ohjeet koskien tietosuoja-asetuksen mukaisten hallinnollisten seuraamusmaksujen laskemista sekä kasvojentunnistusteknologian käyttöä lainvalvonnan alalla (24.5.2022)

Euroopan tietosuojaneuvosto on laatinut kaksi uutta ohjetta, jotka ovat parhaillaan julkisessa kuulemisessa. Seuraamusmaksujen laskemista koskevan ohjeen tarkoituksena on yhdenmukaistaa tietosuojaviranomaisten menettelyä seuraamusmaksun määrittelyssä. Ohje sisältää rikkomusten luokittelun arviointiperusteet, ja se on tärkeä lisä kehykseen, jota neuvosto kehittää tietosuojaviranomaisten välisen yhteistyön tehostamiseksi rajat ylittävissä tapauksissa. Toinen ohje tukee EU:n ja jäsenvaltioiden lainsäätäjiä sekä lainvalvontaviranomaisia kasvontunnistusjärjestelmien käyttöönotossa ja käyttämisessä. Ohjeessa neuvosto muun muassa kehottaa kieltämään kasvojentunnistusteknologian käytön tietyissä tilanteissa. Ohjeet ovat avoinna sidosryhmien kommenteille 27. kesäkuuta saakka.

Pääset lukemaan koko tiedotteen tästä.

Seuraamusmaksu telemarkkinointiyritykselle tietosuojavaltuutetun määräyksen noudattamatta jättämisestä (27.5.2022)

Luontaistuotteita myyneelle telemarkkinointiyritykselle määrättiin hallinnollinen seuraamusmaksu, koska se ei ollut noudattanut tietosuojavaltuutetun aikaisempaa määräystä rekisteröidyn tarkastusoikeuden toteuttamisesta.

Telemarkkinointiyritys ei ollut myöntynyt asiakkaan pyyntöön saada pääsy hänelle soitetun myyntipuhelun tallenteeseen. Tietosuojavaltuutettu oli heinäkuussa 2021 määrännyt yrityksen antamaan asiakkaalle pääsy tallenteeseen, mutta yritys ei noudattanut tietosuojavaltuutetun määräystä. Tallenne toimitettiin vasta, kun tietosuojavaltuutetun toimisto oli jo ryhtynyt toimenpiteisiin määräyksen noudattamatta jättämisen vuoksi. Tietosuojavaltuutetun toimiston seuraamuskollegio katsoi, ettei yritys ollut noudattanut tietosuojavaltuutetun määräystä pyynnön toteutuksesta asianmukaisesti ja kohtuullisessa ajassa, joten se määräsi telemarkkinointiyritykselle 8 300 euron suuruisen hallinnollisen seuraamusmaksun.

Seuraamuskollegion päätös löytyy täältä.

Pääset lukemaan koko tiedotteen tästä.

Kuva: Unspalsh, Dan Nelson