Tietosuojavaltuutetun uutiset ja tiedotteet 7/2022

Euroopan tietosuojaneuvostolta ohje sertifioinnista henkilötietojen siirron välineenä ja Accoria koskeva kiistanratkaisupäätös (1.7.2022)

Euroopan tietosuojaneuvosto on laatinut uudet ohjeet liittyen sertifiointeihin kansainvälisten tiedonsiirtojen välineenä. Uutena välivälineenä henkilötietojen siirtämiseksi kolmansiin maihin otettiin yleisessä tietosuoja-asetuksessa käyttöön hyväksytyt sertifiointimekanismit. Ohje koskien sertifiointia tiedonsiirtojen välineenä koostuu neljästä osasta. Ohjeen osat keskittyvät mm. soveltamisalaan sekä eri toimijoihin, täytäntöönpantaviin sitoumuksiin ja sertifiointielinten akkreditointivaatimuksia koskevien ohjeiden täytäntöönpanoon. Uusi ohje täydentää aiempaa ohjeistusta liittyen yleisempiin ohjeisiin sertifioinnista. Sidosryhmillä on mahdollisuus kommentoida ohjeluonnosta syyskuun loppuun saakka.

Accor SA:ta koskevassa tapauksessa Ranskan valvontaviranomainen antoi päätösluonnoksen, johon yksi osallistuvista valvontaviranomaisista esitti vastalauseita. Yhdestä vastalauseesta valvontaviranomaiset eivät päässeet yhteisymmärrykseen, jonka seurauksena Ranskan valvontaviranomainen siirsi asian tietosuojaneuvoston ratkaistavaksi. Kantelun mukaan oikeutta markkinointiviestien vastaanottamista postitse ei oltu huomioitu asianmukaisesti ja rekisteröidyn tarkastusoikeuden käytössä oli myös havaittu vaikeuksia. Tietosuojaneuvoston kiistanratkaisupäätös julkaistaan sen jälkeen kuin Ranskan valvontaviranomainen on ilmoittanut päätöksestään yhtiölle.

Pääset lukemaan koko tiedotteen tästä.

Otavamedialle seuraamusmaksu puutteista tietosuojaoikeuksien toteutuksessa (5.7.2022)

Vuonna 2018-2021 tietosuojavaltuutetulle saatettiin vireille yksitoista asiaa koskien Otavamediaa. Kantelijoiden asiat koskivat muun muassa vastauksia tietosuojaoikeuksiin koskeviin tiedosteluihin ja pyyntöihin. Otavamedia vetosi tapauksessa tekniseen ongelmaan, jonka seurauksena viestit eivät olleet ohjautuneet asiakaspalvelijoille. Tietosuojavaltuutettu totesi, että koska kyseessä on rekisteröityjen pääasiallinen sähköinen yhteydenottokanava tietosuojaan liittyvissä asioissa, Otavamedian olisi pitänyt huolehtia sen testaamisesta ja toimivuudesta. Toiseksi rekisteröidyillä on ollut mahdollisuus tehdä omia tietojaan koskevia pyyntöjä Otavamedialle tulostettavalla lomakkeella, johon vaadittiin myös henkilön allekirjoitus tunnistamistarkoituksiin. Suhteessa käytäntöön tietosuojavaltuutettu katsoi, että Otavamedia on tarpeettoman laajasti kerännyt tietoja tunnistamista varten. Käytännön arvioinnin yhteydessä tietosuojavaltuutettu myös muistutti, että rekisterinpitäjä ei saa hankaloittaa rekisteröidyn oikeuksien käyttämistä.

Tapauksessa tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Otavamedialle hallinnollisen seuraamusmaksun puutteiden seurauksena liittyen rekisteröidyn oikeuksien toteuttamiseen sähköisen kanavan kautta. Otavamedia velvoitettiin korjaamaan menettelynsä tietosuojasäännösten mukaiseksi sekä luopumaan lomakkeessa vaaditusta allekirjoituksesta. Tämän lisäksi Otavamedialle annettiin huomautus rekisteröidyn oikeuksien laiminlyönnistä.

Päätökset ovat lainvoimaisia ja luettavissa Finlexissä.

Pääset lukemaan koko tiedotteen tästä.

Tietosuojavaltuutetun mukaan vakuutusyhtiöt ovat keränneet terveystietoja tarpeettoman laajasti (7.7.2022)

Tietosuojavaltuutetun toimisto ryhtyi selvittämään asiakokonaisuutta saatuaan yhteydenottoja vakuutusyhtiöiden asiakkailta sekä terveydenhuollon toimijoilta. Selvityksessä havaittiin puutteita erityisesti terveydenhuollolta pyydettävien tietojen asianmukaisessa rajaamisessa sekä vakuutuksenhakijoiden terveystietojen käsittelyn lainmukaisuudessa.

Tietosuojavaltuutetun toimiston tekemässä selvityksissä kävi ilmi, että vakuutusyhtiöt katsovat tarpeelliseksi joissakin tilanteissa pyytää rekisteröityjen terveystietoja suoraan terveydenhuollolta. Henkilön terveydentilatietoja koskeva pyyntö on kuitenkin rajattava koskemaan tiettyä tapausta, sairautta tai oiretta koskeviin tietoihin, joita tarvitaan vakuutusyhtiön vastuun arvioimisessa. Tämän lisäksi vakuutusyhtiön tulee arvioida, miltä ajanjaksolta tietojen pyytäminen tarvitaan.

Tietosuojavaltuutettu määräsi kolme vakuutusyhtiötä korjaamaan käytäntöjään vakuutuksenhakijoiden terveystietojen käsittelyn sekä terveydenhuollolle lähetettävien tietopyyntöjen rajaamisen osalta, minkä lisäksi se antoi huomautuksen yhdelle vakuutusyhtiölle tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä.

Pääset lukemaan koko tiedotteen tästä.

Annina Hautala nimitetty apulaistietosuojavaltuutetun virkaan (8.7.2022)

Valtioneuvosto on nimittänyt oikeustieteen maisteri Annina Hautalan apulaistietosuojavaltuutetun virkaan 1.9. alkaen viiden vuoden määräajaksi. Apulaistietosuojavaltuutettuna Hautala vastaa turvallisuus- ja oikeushallintoon liittyvistä asioista ja johtaa yhtä tietosuojavaltuutetun toimiston asiakaspalveluryhmistä.

Tietosuojavaltuutetun toimistossa apulaistietosuojavaltuutettu vastaa hänen tehtäviinsä kuuluvien asioiden ratkaisemisesta ja johtaa rikosasioiden tietosuojadirektiivin alaan kuuluvia asioita. Lisäksi apulaistietosuojavaltuutettu toimii jäsenenä tietosuojavaltuutetun toimiston seuraamuskollegiossa sekä toimii tarvittaessa tietosuojavaltuutetun sijaisena.

Pääset lukemaan koko uutisen tästä.

Helsingin hallinto-oikeus piti tietosuojavaltuutetun pysäköinninvalvontayhtiötä koskevat päätökset voimassa (14.7.2022)

Helsingin hallinto-oikeus hylkäsi pysäköinninvalvontayhtiö ParkkiPate Oy:n valituksen tietosuojavaltuutetun päätöksistä. Tietosuojavaltuutetun toimisto oli huhtikuussa 2021 määrännyt pysäköinninvalvontayhtiön muuttamaan tietosuoja-asetuksen vastaiset käytäntönsä henkilötietojen käsittelyssä lainmukaisiksi. Yhtiö oli säännönmukaisesti rikkonut yleistä tietosuoja-asetusta toiminnassaan koskien muun muassa rekisteröidyn oikeuksien toteuttamatta jättämistä, puutteita tietojen säilytysajan rajoittamisessa sekä asiakkaiden tunnistamiseen liittyviä käytäntöjä. Tietosuojavaltuutetun toimisto määräsi yhtiölle 75 000 euron seuraamusmaksun tietosuojarikkomuksista.

Hallinto-oikeuden arvio rikkomuksista oli yhdenmukainen tietosuojavaltuutetun näkemysten kanssa ja se katsoi hallinnollisen seuraamusmaksun määräämisen yhtiölle tapahtuneen asianmukaisesti. Seuraamusmaksun määräämisessä arvioitiin huomioitavia seikkoja kuitenkin osin lievemmin, minkä seurauksena hallinto-oikeus alensi yhtiölle määrättyä seuraamusmaksua 75 000 eurosta 70 000 euroon.

Pääset lukemaan koko uutisen tästä.

Lausunto: Eurooppalaisen terveysdata-avaruuden on varmistettava sähköisten terveystietojen vahva suoja (22.7.2022)

Euroopan tietosuojaneuvosto on yhdessä Euroopan tietosuojavaltuutetun kanssa antanut lausunnon komission eurooppalaisesta terveysdata-avaruutta koskevasta ehdotuksesta. Lausunnossa suhtaudutaan myönteisesti yksilöiden henkilökohtaisten terveystietojen hallinnan vahvistamiseen, mutta huomiota kiinnitetään myös huolenaiheisiin. Terveystietojen toissijaiseen käyttöön sisältyy yksilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä, eikä ehdotuksessa oltu määritelty riittävän tarkasti niitä tarkoituksia, joita varten sähköisiä terveystietoja voitaisiin käsitellä.

Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu olivat huomioineet komission pyrkimyksen ehdotuksessa, mutta ehdotuksessa esitetty yksilöiden oikeuksien kuvaus ei ollut yhdenmukainen yleisen tietosuoja-asetuksen kanssa. Uusien julkisten elinten tehtävät ja toimivaltuudet tulee räätälöidä huolellisesti, ja toimivaltuuksien päällekkäisyyttä tulee välttää. Myös yhteistyön muoto ja vaatimuksia tulisi täsmentää.

Alkuperäisen tiedotteen ja lisää aiheesta pääset lukemaan tästä.

Euroopan tietosuojaneuvosto tiivistää yhteistyötä strategisissa asioissa (25.7.2022)

Euroopan tietosuojaneuvosto antoi huhtikuussa julkilausuman, jossa se kertoi kansallisten tietosuojaviranomaisten syventävän yhteistyötä yleisen tietosuoja-asetuksen täytäntöönpanossa. Yhteistyötä tiivistetään erityisesti tunnistamalla ja sopimalla strategisesti tärkeistä, rajat ylittävistä tapauksista, joille tietosuojaneuvosto on laatinut määrittely-, menettely- ja käsittelykriteerit.

Strategisesti tärkeät tapaukset ovat niin kutsuttuja yhden luukun periaatteen mukaisesti käsiteltäviä asioita, joihin liittyy suuri riski rekisteröityjen oikeuksille ja vapauksille useissa ETA-maissa. Tietosuojaneuvoston jäsenet päättävät yhdessä, valvonta viranomaisten ehdotusten joukosta, mitkä katsotaan strategisesti tärkeiksi EU:n tasolla.

Alkuperäisen tiedotteen ja lisätietoja pääset lukemaan tästä.

Rekisteröidyn pyyntö tarkastaa tietonsa toteutettava ennen pyyntöä tietojen poistosta – pankille huomautus puutteellisista toimintatavoista (27.7.2022)

Tietosuojavaltuutetun toimisto sai ilmoituksen kahdelta henkilöltä, että he eivät olleet saaneet pankilta asiakaskirjettä huolimatta siitä, että he olivat pyytäneet pankkia poistamaan asiakastietonsa asiakkuuden päätyttyä. Toisessa tapauksista henkilö ei myöskään ollut saanut vahvistusta siitä, oliko tiedot poistettu, vaikka hän oli useamman kerran pyytänyt pankkia poistamaan tiedot. Toinen kantelija oli pyytänyt saada tarkistaa pankissa olevat henkilötietonsa kirjeen saatuaan. Hän ei kuitenkaan ollut saanut vastausta pyyntöönsä. Jäljennökset saatuaan hän oli pyytänyt pankkia poistamaan kaikki tiedot. Kantelijan mukaan asiakastiedoista toimitetut jäljennökset sisälsivät tietoja, jotka olisi jo pitänyt poistaa, minkä lisäksi jäljennöksestä puuttui osa tiedoista. Tapauksissa pankki vetosi siihen, että kyseessä oli inhimillinen virhe. Pankki kertoi olevansa yhteydessä entiseen asiakkaaseen sekä ilmoitti myöhemmin tehneensä riskiarvion tietojen säilyttämisestä ja poistaneensa jäljellä olevat tiedot. Toisessa tapauksessa pankki oli katsonut voivansa säilyttää tietoja lakisääteisistä syistä ja ei näin ollen ollut poistanut kaikkia tietoja. Pankin sisäisten väärinymmärrysten seurauksena asiakas ei saanut vahvistusta pyyntönsä käsittelystä.

Tietosuojavaltuutettu totesi tapauksessa, että pankin olisi pitänyt poistaa tiedot joiden säilytystä ei voitu enää nähdä tarpeellisena sekä ilmoittaa asiakkaalle perusteet miksi osaa tiedoista ei oltu voitu poistaa. Tietosuojavaltuutettu totesi myös arvioinnin yhteydessä, että jos rekisteröity tapauksessa esittää molemmat pyynnöt, on tarkastusoikeus pyrittävä toteuttamaan kokonaisuudessaan ennen kuin tiedot poistetaan. Tarkastusoikeutta ei voida enää toteuttaa tietojen poistamisen jälkeen. Päätökset eivät ole lainvoimaisia.

Päätökset pääset lukemaan tästä (oikeus saada tietonsa poistetuksi) ja tästä (oikeus saada tarkastaa sekä poistaa tietonsa)

Sijoituspalvelujen tarjoajalle huomautus tietosuojasäännösten vastaisesta käytännöstä tunnistamiseen tarvittavien tietojen pyytämisessä (29.7.2022)

Tietosuojavaltuutetun toimistoon saatettiin vireille kaksi valitusta liittyen ruotsalaisen sijoituspalveluja tarjoavan yhtiön tunnistamiskäytäntöön. Asiakkaita oli tapauksissa pyydetty lähettämään postitse henkilöllisyyden varmistamiseen liittyviä tietoja, vaikka yhtiöllä oli myös käytössä tähän tarkoitukseen soveltuva sähköinen asiointikanava. Päätöksessään Ruotsin tietosuojaviranomainen Integritetsskyddsmyndigheten (IMY), yhdessä Norjan ja Tanskan viranomaisten kanssa totesivat, että rekisterinpitäjä voi ainoastaan poikkeustapauksessa tarjota postia ainoana yhteydenottokanavana henkilöllisyyden varmistamiseen liittyvien tietojen lähettämisessä. Koska yhtiöllä oli käyttösään menettelyyn soveltuva sähköinen yhteydenottokanava, se ei ilman erityisiä perusteita voi vaatia hankalampaa tapaa asiakkaan tietosuojaoikeuksien käyttämiseksi. Yhtiö sai tapauksessa huomautuksen tietosuoja-asetuksen vastaisesta menettelystä.

Pääset lukemaan koko uutisen tästä.

Kuva: Unsplash, Dan Nelson