10. heinäkuuta 2020 | Max Atallah

tietosuoja & uutishuone

Suomen tietosuojaviranomaisten seuraamusmaksuihin johtaneet ratkaisut

Suomen tietosuojaviranomaiset ovat tähän mennessä antaneet neljä (4) seuraamusmaksuihin johtanutta ratkaisua tietosuojalakien noudattamiseen liittyen. Käsittelemme tässä kommentaarissa kaikkia kyseisiä tapauksia ja pyrimme lopussa luomaan yhteenvedon havainnoista. Tapaukset esitetään pienimmästä seuraamusmaksusta suurimpaan.

Vielä alustuksena todetaan, että tietosuojaviranomaiset huomioivat seuraamusmaksujen päättämisessä ja määrittämisessä seuraavat seikat:

  • rikkomisen luonne, vakavuus ja kesto
  • rekisteröityjen määrä ja heille aiheutunut vahinko
  • rikkomisen tahallisuus ja tuottamuksellisuus, rekisterinpitäjän toimet rekisteröidyille aiheutuneen vahingon lievittämiseksi
  • rekisterinpitäjän vastuun aste, ottaen huomioon sisäänrakennetun ja oletusarvoisen tietosuojan sekä tietoturvan
  • rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset
  • yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi
  • henkilötietoryhmät, joihin rikkominen vaikuttaa, mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

Ratkaisu 1 – Tarpeettomien henkilötietojen käsittely rekrytoinnissa

Tietosuojaviranomaiset tunnistivat tapauksessa seuraavat tietosuojarikkeet:

  • rekisterinpitäjänä toiminut työnantaja oli pyytänyt työnhakijoilta rekrytointilomakkeella tarpeettomia tietoja, kuten työnhakijan puolison nimiä, ammattia ja työpaikkaa koskevia tietoja
  • työnantajalla on ollut puutteellinen rekisterinpitäjän seloste henkilötietojen poistoajankohtia koskien
  • työnantaja on laiminlyönyt osoitusvelvollisuuden periaatteen noudattamisen, sillä se ei ole kyennyt osoittaa noudattavansa tietosuojalakeja työnhakijoiden ja työntekijöiden henkilötietoja käsitellessään
  • työnantaja ei ole noudattanut sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia, sillä riittävä tietosuoja ei ole toteutunut automaationa eikä työnantaja ollut varmistanut, että se keräisi vain tarpeellisia henkilötietoja

Tietosuojaviranomaiset määräsivät yritykselle 12 500 euron suuruisen seuraamusmaksun.

Ratkaisu 2 – Tietosuojan vaikutustenarvioinnin (DPIA) toteuttamista koskeva velvollisuus

Tietosuojaviranomaiset tunnistivat tapauksessa seuraavat tietosuojarikkeet:

  • rekisterinpitäjänä toiminut työnantaja oli järjestelmällisesti käsitellyt työntekijöiden sijaintitietoja, ja tästä huolimatta laiminlyönyt toteuttaa DPIA:n
  • työnantaja ei ole noudattanut sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia, sillä työnantaja ei ollut toteuttanut riittäviä toimenpiteitä, jotta tietosuoja olisi toteutunut automaationa, ja että työnantaja keräisi vain tarpeellisia henkilötietoja

Tietosuojaviranomaiset määräsivät yritykselle 16 000 euron suuruisen seuraamusmaksun.

Ratkaisu 3 – Turvakameravalvonta ja tietosuojalaiminlyönnit

Tietosuojaviranomaiset tunnistivat tapauksessa seuraavat tietosuojarikkeet:

  • rekisterinpitäjän toiminut taksialan yritys ei ollut kyennyt osoittamaan, että sen oikeutettu etu olisi oikeuttanut sen käsittelemään henkilötietoja kameravalvonnan yhteydessä (yhdistä osoitusvelvollisuuden periaatteeseen)
  • rekisterinpitäjä on rikkonut tietojen minimoinnin periaatetta käsitellessään äänitietoja kameravalvonnan yhteydessä
  • rekisterinpitäjä ei ole noudattanut osoitusvelvollisuuden periaatetta, sillä se ei ole kyennyt osoittamaan, miksi se noudattaisi tietojen minimoinnin periaatetta käsitellessään äänitietoja
  • rekisterinpitäjä ei ollut noudattanut läpinäkyvyyden periaatetta, kun se käyttämät tietosuojaselosteet eivät sisältäneet riittävästi tietoa (tietosuojaselosteet eivät täyttäneet sisällöllisesti kaikkia lain vaatimuksia, sisältäneet tietoa kaikista relevanteista käsittelytoimista ja informoineet rekisteröityjä kaikista heidän oikeuksistaan)
  • rekisterinpitäjä ei ollut solminut asianmukaisia tietosuojasopimuksia käsittelijöiden kanssa
  • rekisterinpitäjällä ei ollut tietosuoja-asetuksen artiklan 30 mukaista rekisterinpitäjän selostetta
  • rekisterinpitäjän laatima DPIA on ollut lain valossa puutteellinen
  • rekisterinpitäjä on laiminlyönyt osoitusvelvollisuuden periaatteen noudattamisen, sillä se ei ole kyennyt osoittaa noudattavansa tietosuojalakeja

Tietosuojaviranomaiset määräsivät yritykselle 72 000 euron suuruisen seuraamusmaksun.

Ratkaisu 4 – Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröityjen informoiminen

Tietosuojaviranomaiset tunnistivat tapauksessa seuraavat tietosuojarikkeet:

  • rekisterinpitäjän toteuttama rekisteröityjen informointi ei täyttänyt lain vaatimuksia, etenkään rekisteröityjen oikeuksia koskien
  • rekisterinpitäjä ei toteuttanut rekisteröityjen oikeuksia
  • rekisterinpitäjä ei ollut noudattanut läpinäkyvyyden periaatetta, kun se käyttämät tietosuojaselosteet eivät sisältäneet riittävästi tietoa (tietosuojaselosteet eivät olleet riittävän selkeitä eikä niistä ollut tietoa riittävän selkeästi saatavilla)

Tietosuojaviranomaiset määräsivät yritykselle 100 000 euron suuruisen seuraamusmaksun.

Yhteenveto

Ratkaisuista on ilmeistä, että seuraavat kolme (3) teemaa on toistunut sanktioiden osalta:

  • tietosuojadokumentaatio ei vastaa lain vaatimuksia
  • osoitusvelvollisuuden periaatetta ei ole ymmärretty eikä siten toteutettu
  • sisäänrakennetun ja oletusarvoisen tietosuojan velvoitetta ei ole ymmärretty eikä siten toteutettu

Tietosuojajuristin näkökulmasta edellä mainitut teemat olisi saanut kuntoon asiantuntijan avulla kussakin tapauksessa huomattavasti langetettuja sakkoja edullisemmin – kyse ei ollut kovinkaan monimutkaisista asioista. Tässäkin siis korostuu, että lainsäädännön muutoksiin olisi hyvä reagoida mieluummin ennakollisesti kuin jälkikäteisesti – se on kaikkein kustannustehokkainta, ja lisäksi se itsessään luo mielenrauhaa toimijalle. Todettakoon myös, että etenkin tietosuojan osalta apuna olisi hyvä käyttää osaavaa asiantuntijaa, jonka haravoinnissa voi käyttää esim. IAPP:n tarjoamaa CIPP/E-tietosuojasertifikaattia, joka ilmentää sen haltijan korkealaatuista tietosuojaosaamista.

Toimiessamme säännöllisesti tietosuojakentällä, avustaisimme sinua mielellämme kaikissa tietosuojaan liittyvissä kysymyksissä. Ennakollisissa reagoinnessa luomme sinulle puitteet menestyksekkäälle riskienhallinnalle, ja jälkikäteisessä pyrimme minimoimaan toimintaasi uhkaavat riskit.

10.07.2020 MAX