Tietosuojavaltuutetun uutiset ja tiedotteet 9/2023

Euroopan tietosuojavaltuutettu ja tietosuojaneuvosto toivovat rajat ylittävien asioiden käsittelyä sujuvoittavan asetuksen nopeaa hyväksymistä (29.9.2023)

Euroopan tietosuojaneuvosto ja tietosuojavaltuutettu antoivat lausunnon komission säädösehdotuksesta, jolla pyritään yhdenmukaistamaan hallinnollisia menettelyjä jäsenmaiden rajat ylittävien asioiden käsittelyssä. Ehdotuksen tarkoituksena on tehostaa viranomaisten yhteistyötä asioissa, jotka koskevat kansalaisia useassa EU-maassa.

Euroopan tietosuojavaltuutettu ja tietosuojaneuvosto pitivät myönteisenä sitä, että säädösehdotuksessa määritellään, mitä tietoja edellytetään kantelun tutkittavaksi ottamiselle. Lausunnossa korostettiin sitä, että viranomaisten yhteisymmärrystä tulisi pyrkiä edistämään jo yhteistyön alkuvaiheessa. Euroopan tietosuojavaltuutettu ja tietosuojaneuvosto antoivat ehdotusta koskien parannusehdotuksia muun muassa siitä, että tiettyihin menettelyn vaiheisiin säädettäisiin määräajat. Lisäksi asetuksen ei tulisi rajoittaa asian käsittelyyn osallistuvien viranomaisten mahdollisuutta esittää vastalauseita johtavan valvontaviranomaisen tekemästä päätösluonnoksesta.

Tietosuojaneuvosto ja -valtuutettu antoivat myös kannanoton digimarkkinasäädöksen (Digital Markets Act, DMA) mukaisesta kuluttajien profilointitekniikoiden kuvauksen malliraportista. Raportin malliluonnoksella täsmennetään, mitä portinvartijoiden tulisi sisällyttää profilointitekniikoiden kuvauksiinsa. Tietosuojaneuvosto ja tietosuojavaltuutettu ovat laatineet suosituksia, joilla selvennetään pyydettyjen tietojen laajuutta.

Alkuperäinen tiedote on luettavissa täältä. Euroopan tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun lausunto on luettavissa täältä.

Tietosuojavaltuutetun päätös ei ota kantaa tiedonsiirtojen lainmukaisuuteen Venäjälle – asian tutkinta ei pääty (27.9.2023)

Tietosuojavaltuutetun toimisto tiedotti, että toimiston päätös koskien Yangoa ei tarkoittanut tiedonsiirtojen Venäjälle olevan tietosuoja-asetuksen mukaisia tai Venäjän tietosuojan tason olevan riittävä. Asian tutkinta ei ole päättynyt, vaan Yangon tietojen siirron lainmukaisuuden arviointi ja lopullinen päätös tullaan tekemään EU-maiden rajat ylittävässä menettelyssä. Lopullisen päätöksen valmistelusta vastaa asiassa toimivaltaisena viranomaisena Alankomaat ja tietosuojavaltuutetun toimisto osallistuu asian käsittelyyn.

Alkuperäinen tiedote on luettavissa täältä.

Yango-taksipalvelun tiedonsiirtojen valvonta jatkuu Euroopan tietosuojaviranomaisten yhteistyössä – Yango saa jatkaa toimintaansa Suomessa toistaiseksi (26.9.2023)

Tietosuojavaltuutettu oli antanut elokuussa Yandex LLC:lle ja Ridetech International B.V.:lle väliaikaisen määräyksen keskeyttää Yango-taksipalvelussa kerättyjen henkilötietojen siirron Venäjälle. Määräys perustui Venäjän uuden taksilainsäädännön voimaantuloon, mikä olisi silloisen tiedon mukaan laajentanut maan turvallisuuspalvelun FSB:n oikeutta saada taksitoiminnasta käsiteltäviä tietoja. Lainsäädäntöä olisi sovellettu Suomessa Yangon asiakkaiden tietoihin. Kielto ei kuitenkaan tullut voimaan, koska määräyksen täytäntöönpanoa siirrettiin lisäselvityksen arviointia varten.

Tietosuojavaltuutetun saamien uusien tietojen perusteella Venäjän uutta lainsäädäntöä ei sovellettukaan taksien toimintaan Suomessa, joten valtuutettu poisti antamansa määräyksen.

Yango-taksipalvelun henkilötietojen käsittelyn valvonnassa toimii johtavana valvontaviranomaisena Alankomaiden tietosuojaviranomainen. Johtavana valvontaviranomaisena se voi tehdä pysyviä päätöksiä Ridetech B.V:n henkilötietojen käsittelystä. Suomen tietosuojavaltuutetulla on toimivalta puuttua yhtiön toimintaan Suomessa vain määräaikaisesti. Tietosuojavaltuutetun toimisto ja Norjan tietosuojaviranomainen jatkavat yhteistyötä Alankomaiden tietosuojaviranomaisen kanssa ja osallistuvat Yangoa koskevien asioiden tutkintaan.

Alkuperäinen tiedote on luettavissa täältä.

TikTokille 345 miljoonan euron seuraamusmaksu lasten tietosuojaan liittyvistä rikkomuksista (20.9.2023)

Irlannin tietosuojaviranomainen oli tutkinut TikTokin toimintatapoja 13–17-vuotiaiden lasten henkilötietojen käsittelyssä 2020. Tietosuojaviranomainen päätyi toteamaan, että TikTok oli rikkonut lasten ja nuorten henkilötietojen käsittelyssä useita tietosuoja-asetuksen säännöksiä. Esimerkiksi se, että lapsikäyttäjien tilit olivat oletusarvoisesti asetettu julkisiksi oli minimointiperiaatteen sekä sisäänrakennetun ja oletusarvoisen tietosuojan vastaista. Lisäksi TikTok ei ollut kertonut alaikäisille käyttäjille riittävän selkeästi henkilötietojen käsittelystä.

Euroopan tietosuojaneuvosto käsitteli asiaa kiistanratkaisumenettelyssä, jossa käsiteltiin erityisesti sitä, oliko sovelluksen tietyissä muotoiluratkaisuissa rikottu tietosuoja-asetuksessa säädettyä oikeudenmukaisuuden periaatetta. Valvontaviranomaiset olivat yksimielisiä muista Irlannin toteamista rikkomuksista. Tietosuojaneuvosto kehotti Irlantia antamaan TikTokille määräyksen lopettaa tietosuoja-asetusta rikkovien muotoiluratkaisujen käyttö ja suhtautui epäilevästi myös TikTokin iäntarkistustoimenpiteiden tehokkuuteen. Neuvoston tekemän sitovan kiistanratkaisupäätöksen jälkeen Irlanti antoi asiassa ratkaisunsa.

Alkuperäinen tiedote on luettavissa täältä. Irlannin tietosuojaviranomaisen lopullinen päätös on luettavissa täältä.

Korkeimmalta hallinto-oikeudelta ratkaisut seuraamusmaksujen määräämisestä: Postille määrätty seuraamusmaksu saatettiin voimaan (13.9.2023)

Korkein hallinto-oikeus totesi 12. syyskuuta annetussa ratkaisussa, että tietosuojavaltuutetun toimisto on voinut määrätä Postille hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen rikkomisesta. Henkilöt, jotka olivat asiassa kannelleet tietosuojavaltuutetulle, olivat saaneet muuttoilmoituksen tekemisen jälkeen yhteydenottoja ja suoramarkkinointia eri yrityksiltä. Seuraamuskollegion mukaan postin olisi tullut kertoa muuttoilmoituksen tekemisen yhteydessä, että asiakkailla on oikeus kieltää tietojensa luovuttaminen eteenpäin suoramarkkinointitarkoituksiin.

Korkein hallinto-oikeus arvioi toisessa ratkaisussa, oliko seuraamuskollegio voinut määrätä yhtiölle 12 000 euron seuraamusmaksun saamansa selvityksen perusteella. Kollegion päätöksen mukaan yhtiö oli kerännyt henkilötietoja tarpeettomasti työhönottoprosessin yhteydessä. Hallinto-oikeus oli kumonnut tämän päätöksen, mutta pitänyt voimassa tietosuojavaltuutetun huomautuksen käsittelytoimia koskevaan selosteeseen liittyvistä puutteista. Korkein hallinto-oikeus piti hallinto-oikeuden päätöksen voimassa ja totesi, että tietosuojavaltuutetun toimiston saaman selvityksen perusteella ei voitu osoittaa, että yhtiö olisi kyseisellä ajanjaksolla kerännyt tarpeettomia henkilötietoja ilman lainmukaista käsittelyperustetta.

Alkuperäinen tiedote on luettavissa täältä. Korkeimman hallinto-oikeuden ratkaisut ovat luettavissa täältä ja täältä.

Yrityshakemiston ylläpitäjälle seuraamusmaksu puhelutallenteiden antamista koskevista rikkomuksista (11.9.2023)

Tietosuojavaltuutetun toimisto oli vuosina 2019–2022 saanut Suomen Yritysrekisteristä useita kanteluita, joissa elinkeinonharjoittajat kertoivat saaneensa laskun Suomen Yritysrekisteriä koskevan myyntipuhelun jälkeen. Tämän johdosta he olivat pyytäneet tallennetta puhelusta ja yhtiö oli toimittanut puhelusta kirjallisen koosteen, joka ei kantelijoiden mukaan vastannut puhelun sisältöä.

Tietosuojavaltuutetun mukaan tällaista koostetta ei voida pitää tietosuoja-asetuksen mukaisena jäljennöksenä, joka vastaisi alkuperäistä puhelun sisältöä. Lisäksi apulaistietosuojavaltuutettu oli maaliskuussa 2021 todennut, että puhelun kuuntelumahdollisuuden tarjoaminen ei voi olla ainoa tapa tarkastusoikeuden toteuttamiseksi, ja oli määrännyt yhtiön korjaamaan toimintaansa. Yhtiö ei kuitenkaan ollut ottanut käyttöön toista tapaa puhelutallenteiden toimittamiseen tietosuoja-asetuksen mukaisesti.

Tämän johdosta tietosuojavaltuutetun toimiston seuraamuskollegio määräsi 23 000 euron hallinnollisen seuraamusmaksun Suomen Yritysrekisterille. Seuraamuskollegio piti yhtiön rikkomuksia tahallisina ja laajamittaisina.

Alkuperäinen tiedote on luettavissa täältä. Tietosuojavaltuutetun ja seuraamuskollegion päätökset ovat luettavissa täältä.

Kuva: Unsplash / Markus Spiske