2. maaliskuuta 2021 | Max Atallah
Katsaus vuoden 2020 suurimpiin tietosuojasanktioihin Euroopassa
Vuoden vastikään vaihduttua on paikallaan tarkastella vuoden 2020 antia eurooppalaisten tietosuojasanktioiden osalta. Siispä käymme alla tiivistetysti läpi muutamia suurimpia tietosuojaviranomaisten vuonna 2020 langettamia hallinnollisia seuraamusmaksuja (jäljempänä ”tietosuojasanktio”) ja niihin liittyvien EU:n yleisen tietosuoja-asetuksen (jäljempänä ”tietosuoja-asetus”) sääntöjen rikkomusten taustoja.
Telecom Italia – 27,8 miljoonaa euroa
Vuoden 2020 ensimmäinen megaluokan tietosuojasanktio nähtiin heti tammikuussa, kun Italian tietosuojaviranomainen Garante per la protezione dei dati personali (jäljempänä ”Garante”) määräsi 15. tammikuuta päivätyllä ratkaisullaan tietoliikenneoperaattori Telecom Italialle (jäljempänä ”TIM”) 27,8 miljoonan euron tietosuojasanktion yhtiön toimittua tietosuoja-asetuksen sääntelyn vastaisesti. Garante katsoi TIM:n toimineen vastoin tietosuoja-asetuksen sääntelemiä henkilötietojen käsittelyä koskevia periaatteita (artikla 5), käsittelyn lainmukaisuutta (artikla 6), rekisteröityjen oikeutta tulla unohdetuksi (artikla 17), käsittelyn vastustamisoikeutta (artikla 21), käsittelyn turvallisuutta (artikla 32) sekä tietoturvaloukkauksista ilmoittamista viranomaisille (artikla 33).
Garanten suorittaman tutkinnan kautta kävi ilmi, että TIM oli ohjeistanut eri puhelinpalvelukeskuksia kohdistamaan ns. kylmä- ja markkinointisoittoja TIM:n potentiaalisille asiakkaille ilman näiden antamaa etukäteistä asianmukaista suostumusta taikka olemassa olevaa oikeudellista perustetta yhteydenotoille. TIM oli muun muassa hyödyntänyt paperisia lomakkeita ja sovelluksia saadakseen rekisteröidyiltä suostumukset yhteydenottoihin, mutta lomakkeet ja sovellusten käyttöehdot oli laadittu niin epämääräisiksi taikka vajavaisiksi, että niiden hyväksyminen ei ollut täyttänyt tietosuoja-asetuksen suostumukselta edellyttämiä tunnusmerkkejä (artikla 7). TIM ei myöskään ollut pitänyt ajantasaisina listojaan niistä rekisteröidyistä, jotka eivät halunneet vastaanottaa markkinointia – aiheuttaen näin satoja tuhansia perusteettomia yhteydenottoja. TIM oli niin ikään ylläpitänyt lain ja omien käytännesääntöjensä vastaisesti perusteettomia listoja rekisteröidyistä, säilyttänyt henkilötietoja tarpeettoman pitkään ja käyttänyt niitä vailla rekisteröityjen suostumusta. Garante huomautti asiassa käyneen lisäksi ilmi, että TIM oli jättänyt noudattamatta tietosuoja-asetuksen asettamia tietoturvaloukkausten ilmoittamisen aikamääreitä ja jättänyt tarttumatta loukkausten vaikutuksia lieventäviin toimiin.
WINDTRE – 16,7 miljoonaa euroa
Seuraava suurempi tietosuojasanktio nähtiin heinäkuussa, tällä kertaa 16,7 miljoonan euron suuruisena ja kohdistuen tässäkin tapauksessa Garanten toimesta italialaiseen tietoliikenneoperaattoriin – WINDTRE:en. Garanten 13. heinäkuuta päivätystä ratkaisusta käy ilmi, että WINDTRE:n katsottiin toimineen tietosuoja-asetuksen sääntelyn vastaisesti henkilötietojen käsittelyä koskevien periaatteiden (artikla 5), käsittelyn lainmukaisuuden (artikla 6), läpinäkyvyyden (artikla 12), rekisterinpitäjän vastuun (artikla 24) sekä sisäänrakennetun ja oletusarvoisen tietosuojan (artikla 25) osalta – joista viimeiseksi mainitun tiimoilta kirjoitimmekin vastikään artikkelin pk-yritysten näkökulmasta.
Garanten ratkaisusta ilmenee, että WINDTRE oli muun muassa käsitellyt rekisteröityjensä henkilötietoja vailla laillisia perusteita osana markkinointikampanjoitaan siten, että useampi sata WINDTRE:n asiakkaista oli pyytämättä vastaanottanut tekstiviestejä, sähköposteja ja puhelinsoittoja kampanjoiden yhteydessä. Rekisteröidyille ei myöskään ollut annettu asianmukaista mahdollisuutta peruuttaa annettua suostumusta suoramarkkinoinnille tai vastustaa henkilötietojen käsittelyä, ja yhtiö oli jopa julkaissut rekisteröityjensä yhteystietoja julkisissa luetteloissa.
Hennes & Mauritz – 35,3 miljoonaa euroa
Lokakuun 1. päivä Saksan Hampurin osavaltion tietosuojaviranomainen der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (jäljempänä ”HmbBfDI”) tiedotti määränneensä ruotsalaiselle vähittäiskaupan jättiläiselle Hennes & Mauritzille (jäljempänä ”H&M”) 35,4 miljoonan euron tietosuojasanktion ryhmittymän toimittua vastoin tietosuoja-asetuksen asettamia vaatimuksia henkilötietojen käsittelyä koskevien periaatteiden (artikla 5) ja käsittelyn lainmukaisuuden (artikla 6) osalta.
HmbBfDI:n suorittamasta tutkinnasta ilmeni, että H&M:n Nürnbergin palvelukeskuksen johto oli ainakin vuodesta 2014 lähtien kerännyt ja tallentanut erinäisten keskusteluiden yhteydessä laajamittaisesti palvelukeskuksen henkilöstön arkaluonteisia henkilötietoja. Kerätyt henkilötiedot sisälsivät esimerkiksi yksityiskohtaisia terveystietoja oirekuvauksineen sekä uskonnollista vakaumusta koskevia tietoja. Arkaluonteiset henkilötiedot olivat sittemmin levinneet organisaation sisällä teknisen virheen ja ns. huhukampanjoiden myötä, vaikuttaen suoraan henkilöarviointeihin ja henkilöstöratkaisuihin. Palvelukeskuksen johdon henkilötietojen käsittelytoimet rikkoivat siten tietosuoja-asetuksen säännöksiä muun muassa käyttötarkoitussidonnaisuuden sekä käsittelyn läpinäkyvyyden ja lainmukaisuuden osalta. Tapauksen positiivisena haarana voi kuitenkin nähdä sen, että epäkohtien tultua ilmi H&M tarttui tehokkaasti toimeen korjatakseen henkilötietojen käsittelytoimiinsa ja teknologiaan liittyvät puutteet, tarjoten samalla avokätisen rahallisen kompensaation laittomasta henkilötietojen käsittelystä kärsineille rekisteröidyille. H&M painotti tietosuoja-asioihin panostettavan jatkossa toden teolla – muun muassa uusien kuukausittaisten tietosuojaraporttien ja tietosuojakoordinaattorin nimittämisen muodossa. H&M:n ryhtiliike saikin kiitosta HmbBfDI:n suunnalta.
British Airways – 22,1 miljoonaa euroa
Yhdistyneen kuningaskunnan tietosuojaviranomainen Information Commissioner’s Office (jäljempänä ”ICO”) langetti 16. lokakuuta päivätyllä ratkaisullaan 20 miljoonan punnan (22,1 miljoonaa euroa) tietosuojasanktion brittiläiselle lentoyhtiö British Airwaysille (jäljempänä ”BA”) tietosuoja-asetuksen tarkoittamien henkilötietojen käsittelyä koskevien periaatteiden (artikla 5) ja käsittelyn turvallisuuden (artikla 32) laiminlyönnistä.
BA:n tietosuojasanktioiden taustalla oli ICO:n käynnistämä tutkinta, jossa muun muassa paljastui lentoyhtiön käsitelleen valtavia määriä henkilötietoja ilman asianmukaisia teknisiä ja organisatorisia suojatoimenpiteitä. ICO katsoi myös BA:n identifioimien tietoturvapuutteiden olleen tosiasiallisesti lentoyhtiön tiedossa sekä korjattavissa, ja että lentoyhtiöllä olisi ollut mahdollisuus estää heihin myöhemmin kohdistunut tietoturvaloukkaus. ICO nosti esille niin ikään sen tosiasian, että lentoyhtiöön kohdistunut laajamittainen tietoturvaloukkaus oli huomattu vasta kahden kuukauden viiveellä. Suuren sanktion ICO perusteli sillä, että BA:n laiminlyöntien seurauksena tietoturvaloukkaus oli aiheuttanut arvioltaan yli 400 000 rekisteröidyn henkilötietojen, kuten maksukorttitietojen, käyttäjätunnuksien ja yhteystietojen päätymisen rikollisten käsiin.
Yhteenveto
Yhteinen tekijä yllä mainituille esimerkkitapauksille on se, että niistä jokaisessa katsottiin toimitun vastoin tietosuoja-asetuksen asettamia vaatimuksia henkilötietojen käsittelyä koskevien periaatteiden (artikla 5) osalta. Yritysten tulee siis henkilötietoja käsitellessään vähintäänkin muistaa huomioida tietosuoja-asetuksen tarkoittamat henkilötietojen käsittelyperiaatteet, eli pähkinänkuoressa:
- Lainmukaisuus, kohtuullisuus ja läpinäkyvyys ⇒ Henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
- Käyttötarkoitussidonnaisuus ⇒ Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.
- Tietojen minimointi ⇒ Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
- Täsmällisyys ⇒ Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä – on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä.
- Säilytyksen rajoittaminen ⇒ Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.
- Eheys ja luottamuksellisuus ⇒ Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia.
Niin ikään lainvastaiset markkinoinnit ovat olleet keskiössä suurimmissa tietosuojasanktioissa, joten rekisterinpitäjien tulisi myös kiinnittää tarkasti huomiota siihen, että markkinoinnissa huomioidaan henkilötietojen suoja lain vaatimalla tavalla.
Johtopäätöksiä
Henkilötietojen käsittelyperiaatteiden noudattamiselle on odotetusti annettu vahva painoarvo läpi Euroopan. Tältä osin onkin todettava, että yhdessäkään esimerkkitapauksessa ei ollut kyse mahdottomista tilanteista taikka monimutkaisista rajatapauksista, vaan selkeistä tietosuojapuutteista ja ennakoivalla lähestymistavalla vältettävissä olleista kustannuksista. Tietosuojaviranomaisten sanktioratkaisujen perusteluista on myös suoraan ja rivien välistä luettavissa se, että isojen toimijoiden odotetaan toimivan esimerkkinä pienemmilleen ja kantavan vetovastuun tietosuojakuuliaisuuden edistämisessä. Tämän voikin nähdä olevan tarkoituksenmukainen lähestymistapa, huomioiden kyseisten toimijoiden resurssit ja merkitys yhteiskunnan toimivuudelle. Pelkkä keppi on kuitenkin huono motivaattori, vaikka voidaankin katsoa, että taloudelliset seuraamukset voivat varteenotettavana pelotteena ohjata yritysten toimintaa. Yritysten kannattaisikin mieluummin nähdä asianmukaisesti hoidetut tietosuojavelvoitteet kilpailuvalttina ja todellisena arvona – vähintäänkin vakuutuksena tulevaisuutta varten.
Tietosuojaan erikoistuneena toimistona avustamme sinua mielellämme kaikissa tietosuojaan liittyvissä kysymyksissä. Ennakollisissa reagoinneissa luomme sinulle puitteet menestyksekkäälle riskienhallinnalle, ja jälkikäteisessä pyrimme minimoimaan toimintaasi uhkaavat riskit.
Artikkelin laatimiseen osallistui myös toimistomme lakimiesharjoittelija Jere Lehtimäki.
02.03.2021 MAX