Tietosuojavaltuutetun uutiset ja tiedotteet 6/2023
Euroopan tietosuojaneuvostolta suositukset yrityksiä koskevista sitovista sääännöistä ja lomake tietosuojaviranomaisille ilmoittamista varten (30.6.2023)
Euroopan tietosuojaneuvosto hyväksyi kesäkuun täyistunnossaan suositukset koskien rekisterinpitäjien BRC-sääntöjen (Controller Binding Corporate Rules) hyväksymishakemuksia sekä seikkoja ja periaatteita, joiden tulee sisältyä rekisterinpitäjien sääntöihin. Päivitetyissä suosituksissa tarkennetaan, mitä asioita BRC-sääntöjen tulisi sisältää, ja mitä BRC-hakemuksessa tulisi esittää. Suositukset sisältävät lisäksi päivitetyn vakiomuotoisen lomakkeen BRC-hakemuksille. Kaikkien BRC-sääntöjä käyttävien tai sääntöjen hyväksymistä hakevien rekisterinpitäjien tulee saattaa säännöt uusien vaatimusten mukaisiksi joko hakuprosessin aikana tai viimeistään osana vuoden 2024 vuotuista päivitystä.
Tietosuojaneuvosto hyväksyi täysistunnossaan myös uuden lomakkeen, jolla helpotetaan valitusten tekemistä EU- ja ETA-alueen tietosuojaviranomaisille. Lomaketta voidaan käyttää tapauksissa, joissa yksityishenkilö tekee itse valituksen sekä tapauksissa, joissa valituksen tekee yksityishenkilön laillinen edustaja, yksityishenkilöä edustava järjestö tai omasta aloitteestaan toimiva yhteisö.
Lomakkeen käyttö on kansallisille tietosuojaviranomaisille vapaaehtoista ja sitä voidaan muokata kansallisiin vaatimuksiin sopivaksi.
Alkuperäinen tiedote on luettavissa täältä.
Hallinto-oikeus piti voimassa tietosuojavaltuutetun toimiston päätöksen lääkäriklinikalle määrätystä seuraamusmaksusta (29.6.2023)
Helsingin hallinto-oikeus hylkäsi 16. kesäkuuta lääkäriklinikan valituksen, jossa lääkäriklinikka vaati hallinto-oikeutta kumoamaan apulaistietosuojavaltuutetun antaman huomautuksen ja tietosuojavaltuutetun toimiston seuraamuskollegion määräämän 5 000 euron seuraamusmaksun. Hallinto-oikeus katsoi apulaistietosuojavaltuutetun tavoin, että lääkäriklinikka oli rikkonut yleistä tietosuoja-asetusta, kun se ei ollut toimittanut asiakkaalle pyydettyjä potilastietoja tai ilmoittanut syytä oikeuden rajoittamiselle. Hallinto-oikeus totesi lisäksi, ettei menettely, jossa potilastiedot on mahdollista saada ainoastaan paikan päällä yrityksen toimipisteessä, ole yleisen tietosuoja-asetuksen mukainen.
Alkuperäinen tiedote on luettavissa täältä.
Sähköpostipalvelun tarjoajalle huomautus – oikeutta siirtää tiedot järjestelmästä toiseen ei ollut toteutettu tietosuojasäännösten mukaan (28.6.2023)
Tietosuojavaltuutettu antoi sähköpostipalvelun tarjoajalle huomautuksen, sillä sähköpostipalvelun tarjoaja ei ollut tarjonnut palvelun käyttäjille mahdollisuutta siirtää sähköpostiviestejään yleisen tietosuoja-asetuksen edellyttämällä tavalla. Sähköpostipalvelun ilmaisversiossa sähköpostiviestejä oli mahdollista siirtää ainoastaan yksi kerrallaan, kun taas maksullisessa versiossa käyttäjillä oli mahdollisuus siirtää sähköpostiviestit massoina järjestelmästä toiseen.
Tietosuojavaltuutetun mukaan palveluntarjoajan toiminta ei täyttänyt rekisteröidyn oikeutta saada häntä koskevat henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, eikä rekisterinpitäjä saa vaikeuttaa tai estää tietojen siirtämistä.
Tietosuojavaltuutettu huomautti, että automatisoidun työkalun tarjoaminen ainoastaan maksaville asiakkaille johtaa siihen, että tietosuoja-asetuksen 20 artiklassa säädetyn oikeuden käyttäminen täysimääräisesti on maksullista.
Alkuperäinen tiedote on luettavissa täältä.
EU-tuomioistuin: tarkastusoikeuden nojalla on oikeus saada tietää henkilötietojen tarkastelun ajankohta ja tarkoitukset (22.6.2023)
EU-tuomioistuin antoi 22. kesäkuuta ratkaisun asiassa C-579/22, jossa tuomioistuin arvioi rekisteröidyn oikeutta saada henkilötietojensa käsittelyä koskevat lokitiedot yleisen tietosuoja-asetuksen tarkastusoikeuden perusteella. EUT vahvisti, että rekisteröidyllä on oikeus saada tietää henkilötietoihinsa tehtyjen kyselyiden ajankohdasta ja syistä.
Sen sijaan rekisteröidyllä ei ole oikeutta saada tietoa hänen henkilötietojaan käsitelleiden työntekijöiden henkilöllisyydestä silloin, kun työntekijät ovat käsitelleet henkilötietoja rekisterinpitäjän alaisuudessa ja annettujen ohjeiden mukaan. Lähtökohdasta voidaan kuitenkin poiketa, jos työntekijän henkilöllisyyden ilmoittaminen on välttämätöntä rekisteröidyn oikeuden toteuttamiseksi. Tällaisessa tilanteessa rekisterinpitäjän tulee ottaa huomioon työntekijöiden oikeudet ja vapaudet sekä tarvittaessa punnita työntekijän ja rekisteröidyn oikeuksia keskenään.
Alkuperäinen tiedote on luettavissa täältä.
Hallinto-oikeus piti voimassa apulaistietosuojavaltuutetun päätöksen koskien virheellisten maksuhäiriötietojen luovuttamista (21.6.2023)
Helsingin hallinto-oikeus hylkäsi 8. kesäkuuta antamallaan päätöksen Oikeusrekisterikeskuksen valituksen koskien apulaistietosuojavaltuutetun päätöstä. Päätös koski kokonaisuutta, jossa Oikeusrekisterikeskus oli luovuttanut Suomen Asikastieto Oy:lle ja Bisnode Finland Oy:lle lainvoimaisiin tuomioihin perustuvia tietoja myös sellaisissa tapauksissa, joissa tuomioistuimen antama arvio velallisen maksuvelvollisuudesta ei liittynyt velallisen maksukykyyn tai maksuhalukkuuteen. Luottoyhtiöt olivat rekisteröineet maksuhäiriömerkinnöiksi tietoja, jotka eivät täyttäneet maksuhäiriömerkinnän edellytyksiä.
Apulaistietosuojavaltuutetun totesi päätöksessään, ettei riita-asioissa annettuihin tuomioihin perustuvia tietoja olisi pitänyt merkitä maksuhäiriömerkinnöiksi luottotietorekisteriin. Apulaistietosuojavaltuutetun mukaan luottoyhtiöille välitetyt virheelliset tiedot voivat aiheuttaa rekisteröidylle merkittävää haittaa, jos ne johtavat perusteettomaan maksuhäiriömerkintään. Helsingin hallinto-oikeus katsoi apulaistietosuojavaltuutetun tavoin, etteivät Oikeusrekisterikeskuksen toimenpiteet täyttäneet yleisen tietosuoja-asetuksen vaatimuksia.
Alkuperäinen tiedote on luettavissa täältä.
Euroopan tietosuojaneuvostolta lopullinen ohje seuraamusmaksujen laskennasta (8.6.2023)
Tietosuojaneuvosto hyväksyi 24. toukokuuta lopullisen version ohjeesta, jolla yhdenmukaistetaan kansallisten tietosuojaviranomaisten tapoja laskea yleisen tietosuoja-asetuksen perusteella määrättävän seuraamusmaksun suuruus. Ohjeessa esitellään viisivaiheinen menetelmä, jossa otetaan huomioon rikkomusten määrä, raskauttavat tai lieventävät tekijät, seuraamusmaksujen lakisääteinen enimmäismäärä sekä tehokkuutta, varoittavuutta ja oikeasuhtaisuutta koskevat vaatimukset.
Ohje sisältää taulukon, joka sisältää yhteenvedon seuraamusmaksujen laskentamenetelmästä sekä kaksi esimerkkiä menetelmän soveltamisesta käytännössä.
Alkuperäinen uutinen on luettavissa täältä.
KHO: Lasten henkilötunnusten säännönmukainen kerääminen isännöinti- ja vuokraustoiminnassa oli tietosuoja-asetuksen tarpeellisuusvaatimusten vastaista (7.6.2023)
Korkein hallinto-oikeus antoi 5. kesäkuuta ratkaisun, jolla saatettiin voimaan apulaistietosuojavaltuutetun antama lasten henkilötunnusten käsittelyä koskeva määräys. Tapauksessa isännöinti- ja vuokraustoimintaa harjoittava rekisterinpitäjä oli säännönmukaisesti kerännyt vuokra-asunnoissa asuvien tai asuntoa hakevien perheiden alaikäisten lasten henkilötunnuksia.
Apulaistietosuojavaltuutettu määräsi rekisterinpitäjän saattamaan lasten henkilötunnusten käsittelyn lainmukaiseksi ja poistamaan tiedot lasten henkilötunnuksista siltä osin kuin niiden keräämiselle ei ollut asianmukaista perustetta. Apulaistietosuojavaltuutetun mukaan henkilötietojen keräämisessä tulee noudattaa tarpeellisuusperiaatetta, jonka vuoksi henkilötietoja ei voida kerätä ja säilyttää varmuuden vuoksi tulevaisuutta varten.
Korkeimman hallinto-oikeuden mukaan rekisterinpitäjä ei ollut esittänyt sellaista selvitystä, jonka perusteella olisi voitu katsoa, että kaikkien vanhempiensa kanssa vuokra-asunnossa asuvien tai asuntoa hakevien alaikäisten lasten henkilötunnusten säännönmukainen kerääminen olisi ollut tarpeellista rekisterinpitäjän ilmoittamiin käyttötarkoituksiin.
Alkuperäinen tiedote on luettavissa täältä. KHO:n ratkaisu on luettavissa täältä.
Oikaisu Ilmatieteen laitokselle annettuun päätökseen: huomautus vaikutusarvioinnin tekemättä jättämisestä poistettiin (1.6.2023)
Apulaistietosuojavaltuutettu on oikaissut Ilmatieteen laitosta koskevan päätöksen, jossa Ilmatieteen laitoksen todettiin siirtäneen henkilötietoja lainvastaisesti Yhdysvaltoihin Googlen palveluiden kautta. Oikaistussa päätöksessä poistettiin Ilmatieteen laitokselle annettu huomautus yleisen tietosuoja-asetuksen 35 artiklan mukaista vaikutustenarviointia koskevasta rikkomuksesta.
Apulaistietosuojavaltuutettu katsoi aiheelliseksi oikaista päätöstä, jottei suomalaisille rekisterinpitäjille syntyisi muita jäsenvaltioita laajempaa velvoitetta vaikutustenarviointiin Yhdysvaltoihin kohdistuvissa tiedonsiirroissa.
Alkuperäinen tiedote on luettavissa täältä. Apulaistietosuojavaltuutetun oikaistu päätös on luettavissa täältä.
Kirjoittajat
