Tietosuojavaltuutetun uutiset ja tiedotteet 5/2023

Euroopan tietosuojaneuvostolta tietosuojaopas pk-yrityksille (4.5.2023)

Euroopan tietosuojaneuvosto julkaisi pienille ja keskisuurille yrityksille suunnatun tietosuojaoppaan. Englanninkielinen verkko-opas tukee yrityksiä EU:n yleisen tietosuoja-asetuksen noudattamisessa.

Alkuperäinen uutinen on luettavissa täältä. Englanninkieliseen tietosuojaoppaaseen pääset täältä.

Julkaisimme ohjausta toisiolaissa säädetystä viranomaisten selvitysvelvollisuudesta (8.5.2023)

Tietosuojavaltuutetun toimisto kokosi verkkosivuilleen vastauksia toisiolaissa (552/2019) säädetystä viranomaisten selvitysvelvollisuudesta esitettyihin kysymyksiin.  Tietolupakäsittelystä vastaavien viranomaisten on toimitettava tietosuojavaltuutetun toimistolle selvitys toisiolain nojalla suorittamastaan tietojen käsittelystä ja tallennettujen tietojen käsittelystä kerran vuodessa. Selvitysvelvollisuus koskee seuraavia viranomaisia: Findata, sosiaali- ja terveysministeriö, Terveyden ja hyvinvoinnin laitos, Kela, Valvira, Fimea, aluehallintovirastot, Työterveyslaitos, Digi- ja väestötietovirasto, Tilastokeskus, Eläketurvakeskus sekä sosiaali- ja terveydenhuollon julkiset palvelunjärjestäjät.

Alkuperäinen uutinen on luettavissa täältä. Toisiolaista usein esitettyjen kysymysten vastauksiin pääset tutustumaan täältä.

Euroopan ihmisoikeustuomioistuin: Euroopan ihmisoikeussopimusta ei loukattu henkilötietojen käsittelyä koskevassa asiassa (10.5.2023)

Euroopan ihmisoikeustuomioistuin katsoi 9. toukokuuta antamassaan tuomioissa, että Jehovan todistajilla oli ollut velvollisuus noudattaa tietosuojalainsäädäntöä ovelta ovelle tapahtuvassa saarnaamistyössä. Koska uskonnollista yhdyskuntaa oli pidettävä saarnaamistyön yhteydessä kerättyjen henkilötietojen käsittelyn osalta rekisterinpitäjänä, ei se saanut ottaa muistiinpanoja ilman asianomaisten henkilöiden suostumusta. Suomen kansalliset viranomaiset olivat punninneet Jehovan todistajien oikeuksia suhteessa yksilön oikeuksiin asianmukaisesti.

Alkuperäinen uutinen on luettavissa täältä. Euroopan ihmisoikeustuomioistuimen englanninkielinen tuomio on luettavissa täältä.

Tietosuojavastaavien asemaa selvittävä kysely on käynnistynyt (22.5.2023)

Tietosuojavaltuutetun toimisto selvittää tietosuojavastaavien nimittämistä ja asemaa Suomessa viidellekymmenelle tietosuojavastaavalle lähetetyn kyselyn avulla. Selvitys on osa Euroopan tietosuojaneuvoston yhteistä toimenpidettä, jonka tarkoituksena on selvittää, onko tietosuojavastaavilla EU:n yleisen tietosuoja-asetuksen edellyttämä asema ja riittävät resurssit tehtäviensä hoitamiseen. Kuluvan vuoden aikana toteutettavassa toimenpiteessä mukana on 26 tietosuojan valvontaviranomaista ETA-maista. Organisaatioiden sisäisillä tietosuojavastaavilla on suuri rooli tietosuojalainsäännön ja rekisteröidyn oikeuksien edistäjinä.

Alkuperäinen tiedote on luettavissa täältä.

Ilmatieteen laitokselle huomautus henkilötietojen siirroista yhdysvaltalaisyritys Googlelle (22.5.2023)

Apulaistietosuojavaltuutettu antoi Ilmatieteen laitokselle huomautuksen ilman pätevää syytä tapahtuneesta henkilötietojen siirtämisestä Yhdysvaltoihin määräten kyseiset henkilötiedot poistettaviksi. Ilmatieteen laitos ilmoitti tietosuojavaltuutetun toimistolle hyödyntävänsä verkkosivuillaan Googlen reCAPTCHA ja Google Analytics -palveluita, joiden käyttöön liittyi verkkosivukävijöiden henkilötietojen käsittelyä.

Ilmatieteen laitos ei ollut määritellyt tai soveltanut lainmukaista henkilötietojen siirtoperustetta eikä viipymättä keskeyttänyt tiedonsiirtoja sen jälkeen, kun EU-tuomioistuin kumosi aiemmin tietojen siirtämisen mahdollistaneen EU:n ja Yhdysvaltojen välisen Privacy Shield- järjestelyn ratkaisussaan Schrems II (C-311/18). Ilmatieteen laitos ei myöskään ollut tehnyt suorittamastaan kansainvälisestä tiedonsiirrosta yleisen tietosuoja-asetuksen edellyttämää vaikutustenarviointia.

Alkuperäinen tiedote on luettavissa täältä. Apulaistietosuojavaltuutetun päätös on luettavissa täältä.

Metalle 1,2 miljardin euron seuraamusmaksu lainvastaisista henkilötietojen siirroista Yhdysvaltoihin Euroopan tietosuojaneuvoston päätöksen seurauksena (24.5.2023)

Irlannin tietosuojaviranomainen määräsi Meta Platforms Ireland Limitedille 1,2 miljardin euron hallinnollisen seuraamusmaksun lainvastaisista henkilötietojen siirroista Yhdysvaltoihin Facebook-palvelussa. Euroopan tietosuojaneuvoston kiistanratkaisupäätöksen perusteella määrätty seuraamusmaksu on tähän mennessä suurin tietosuoja-asetuksen perusteella määrätty sakko. Meta määrättiin lisäksi saattamaan tiedonsiirrot asetuksen mukaisiksi ja keskeyttämään eurooppalaisten käyttäjien henkilötietojen siirtämisen Yhdysvaltoihin.

Irlannin tietosuojaviranomainen totesi Metan rikkoneen tietosuoja-asetusta jatkaessaan tiedonsiirtoa Yhdysvaltoihin EU:n tuomioistuimen 2020 antaman Schrems II ratkaisun jälkeen ilman asianomaisia suojatoimia. Tietosuoja-asetuksen vastaisia olivat muun muassa vakiolausekkeiden perusteella tehdyt tiedonsiirrot. Meta ilmoitti valittavansa päätöksestä.

Alkuperäinen tiedote on luettavissa täältä. Euroopan tietosuojaneuvoston kiistanratkaisupäätös on luettavissa täältä.

EU:n yleinen tietosuoja-asetus täyttää viisi vuotta – näin se on parantanut ihmisten oikeuksia (25.5.2023)

EU:n yleinen tietosuoja-asetus (GDPR) astui voimaan 25. toukokuuta 2018. Asetus on sittemmin parantanut ihmisten tietosuojaoikeuksia ja tuonut EU:n tietosuojaviranomaisille lisää keinoja puuttua tietosuojalainsäädännön rikkomuksiin.

GDPR:n myötä tietoturvaloukkauksia koskeva tiedonsaanti on lisääntynyt. Nykyään organisaatioilla on velvollisuus ilmoittaa henkilötietoja koskevista tietoturvaloukkauksista tietosuojan valvontaviranomaisille ja tietoturvaloukkauksen kohteeksi joutuneille. Organisaatioiden sisällä toimivien tietosuojavastaavien nimittämisvelvollisuus on laajentunut samaan aikaan, kun tietosuojaviranomaisten tehtävien määrä on kasvanut. Vuonna 2022 viranomaisten käsiteltävänä oli 11 095 asiaa, kun viisi vuotta aiemmin luku oli neljä tuhatta. Hallinnollisia seuraamusmaksuja on kuluneen viiden vuoden aikana määrätty 18.

Viisi vuotta sitten toimintansa aloitti myös Euroopan tietosuojaneuvosto, joka vastaa GDPR:n lisäksi poliisin- ja rikosoikeusviranomaisia koskevan tietosuojadirektiivin yhdenmukaisesta soveltamisesta. Henkilötietojen käsittelyä valvotaan nykyisin rajat ylittävässä yhteistyössä, joka onkin jo tuottanut yhteensä 711 päätöstä. Euroopan tietosuojaneuvosto antaa myös EU- ja ETA-maiden tietosuojaviranomaisia sitovia päätöksiä tilanteissa, joissa viranomaiset ovat erimielisiä GDPR:n tulkinnasta. Viiden vuoden aikana tällaisia kiistanratkaisupäätöksiä on annettu kahdeksan kappaletta.

Alkuperäinen tiedote on luettavissa täältä.

Tietosuojavaltuutettu Anu Talus on valittu Euroopan tietosuojaneuvoston puheenjohtajaksi (25.5.2023)

Suomen tietosuojavaltuutettu Anu Talus valittiin Euroopan tietosuojaneuvoston puheenjohtajaksi Andrea Jelinekin puheenjohtajakauden päätyessä. Puheenjohtajan toimikausi on viisivuotinen. Talus jatkaa tietosuojavaltuutetun tehtävässä myös Euroopan tietosuojaneuvoston puheenjohtajana. Euroopan tietosuojaneuvoston varapuheenjohtajaksi valittiin Irene Loizidou Nikolaidou jo aiemmin valitun Aleid Wolfsteinin jatkaessa toisena varapuheenjohtajana.

Alkuperäinen tiedote on luettavissa täältä.

Pohjoismaiden tietosuojaviranomaiset sopivat yhteisten tavoitteiden edistämisestä (31.5.2023)

Pohjoismaiden tietosuojaviranomaiset tapasivat 15.–16. toukokuuta Reykjavikissa järjestetyssä vuotuisessa kokouksessaan. Tietosuojaviranomaiset sopivat yhteisten tavoitteiden edistämisestä Reykjavikin julkilausumassa. Yhteistyötä päätettiin lisätä tarkastustoiminnan suunnittelussa ja henkilötietojen tietoturvaloukkausten käsittelyn kehittämisessä. Kokouksessa keskusteltiin lisäksi tietosuojalainsäädännön rikkomisesta johtuvien hallinnollisten seuraamusmaksujen määräämisestä sekä yksityiselle että julkiselle sektorille.

Alkuperäinen uutinen on luettavissa täältä. Reykjavikin julkilausuma on luettavissa täältä.

Kuva: Unsplash, Solen Feyissa