close
Share with your friends

Ensimmäiset seuraamusmaksut puutteellisesta tietosuojan toteuttamisesta Suomessa

Seuraamusmaksuja puutteellisesta tietosuojasta.

Henkilötietojen käsittelyn riskien arviointi ja läpinäkyvyys korostuvat.

Aiheeseen liittyvää sisältöä

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi 18.5.2020 kolme seuraamusmaksua tietosuojarikkomuksista. Rikkomukset koskivat puutteellista informointia tietosuojaoikeuksista, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä.

Keskeiset huomiot päätöksistä

Päätökset korostavat sisäänrakennetun ja oletusarvoisen tietosuojan merkitystä organisaatioissa ja tietosuojan huomioimista prosessi- ja tuotekehitysvaiheessa. Seuraamuksia aiheuttaneet puutteet ovat luonteeltaan sellaisia, että ne olisi tyypillisesti mahdollista huomioida ja ehkäistä käsittelytoimen, prosessien ja palveluiden suunnittelu- ja kehitysvaiheessa. Tällöin tietosuojakontrolleina toimivat tyypillisesti privacy by design -ohjeistukset ja tietosuojan vaikutustenarvioinnit.

Päätöksissä korostuu myös tietosuoja-asetuksen sisältämä käsittelyn läpinäkyvyyden periaate. Palveluiden digitalisoituessa organisaatioiden tulee kiinnittää entistä enemmän huomiota selkeään ja oikea-aikaiseen tietosuojainformaatioon, jotta käsittely on rekisteröidyn kannalta läpinäkyvää.

Muita huomionarvoisia seikkoja

Kahdessa päätöksessä käsiteltävät henkilötiedot koskivat työntekijöitä tai työnhakijoita, joita voidaan pitää työnantajana toimiviin rekisterinpitäjiin nähden heikommassa asemassa olevina. Etenkin tässä kontekstissa organisaatioiden on syytä arvioida henkilötietojen käsittelyn vapaaehtoisuutta ja kerättävien tietojen tarpeellisuutta huolellisesti.

Henkilötietojen käsittelyä koskevan informaation tosiasiallinen saatavuus ja selkeys rekisteröidyille on tärkeää huomioida myös digitaalisissa palveluissa. Tämä edellyttää käyttäjän näkökulmasta toteutettavaa palvelusuunnittelua. Henkilötietojen käsittelyn huolellinen harkinta ei korvaa nimenomaisen vaikutustenarvioinnin laatimista tilanteissa, joissa tällainen vaikutustenarviointi on lain mukaan tehtävä. Rekisterinpitäjän itsensä toteuttama ja dokumentoima riskien tunnistaminen muodostaa pohjan viranomaisen arviolle siitä, onko rekisterinpitäjä noudattanut tietosuojalainsäädännön vaatimuksia. 

Miten organisaatioiden tulisi reagoida tietosuojaviranomaisen päätöksiin?

Tietosuojalainsäädäntö edellyttää, että rekisterinpitäjien tulee tunnistaa käsittelytoimien riskit ja arvioida säännöllisesti lainsäädännön ja viranomaisten ohjeistuksen muutoksia. Tietosuojaviranomainen korosti yhdessä päätöksessään, että rekisterinpitäjän vastuulla on huolehtia siitä, että se noudattaa tietosuojalainsäädäntöä. Riskiarvioinnin ja muun käsittelyn lainmukaisuuden arvioinnin dokumentoinnista on tärkeää varmistua. Lisäksi organisaatioiden tulee varmistaa, että riittävät organisatoriset ja tekniset toimenpiteet on toteutettu, jotta sisäänrakennettu ja oletusarvoinen tietosuoja toteutuu.

Ensimmäinen päätös: puutteellinen rekisteröityjen informointi (seuraamusmaksu 100 000 euroa)

Ensimmäinen päätös koski rekisteröityjen informointia. Tapauksessa oli kyse siitä, että rekisterinpitäjän toimintaan kohdistuvan erityislainsäädännön perusteella rekisteröidyillä oli mahdollisuus kieltää tietojensa luovutus yrityksille rekisterinpitäjältä.

Tietosuojaviranomainen katsoi, että rekisterinpitäjän suorittama henkilötietojen käsittely ei täyttänyt tietosuoja-asetuksen läpinäkyvyyden periaatteen vaatimuksia.  Henkilötietojen luovutusta koskevasta kielto-oikeudesta ei ollut kerrottu riittävän läpinäkyvällä tavalla muun muassa siksi, että luovutuskiellosta kerrottiin tietosuojaselosteessa vain yhdellä sanalla ilman sen sisällön kuvaamista. Lisäksi maininta oli esitetty irrallaan varsinaisesta tietojen luovutusta koskevasta osiosta. Tietoa kielto-oikeudesta ei myöskään ollut muutoin saatettu riittävällä tavalla rekisteröityjen tietoon. Tietosuojaviranomainen korosti, että rekisteröityjen ei tulisi joutua etsimään henkilötietojen käsittelyä koskevia tietoja. Sen sijaan tiedot tulisi toimittaa oikea-aikaisesti juuri siinä tilanteessa, jossa niihin tutustuminen on rekisteröidyn kannalta olennaisinta.

Rekisterinpitäjien tulee arvioida tapauskohtaisesti henkilötietojen käsittelyä koskevan informaation sisältö ja esittämistapa. Arviossa tulee huomioida esimerkiksi rekisteröidyn odotukset eli se, onko käsittelyllä odottamattomia seurauksia rekisteröidylle. Lisäksi informaation esittämistapaa on arvioitava tuotteen tai palvelun käyttäjän kokemuksen kautta. 

Toinen päätös: henkilötietojen käsittelyn vaikutustenarvioinnin tekemättä jättäminen (seuraamusmaksu 16 000 euroa)

Toisessa päätöksessä kyse oli siitä, että yritys ei ollut tehnyt henkilötietojen käsittelyn vaikutustenarviointia ennen työntekijöidensä sijaintitietojen käsittelyn aloittamista sähköisen ajopäiväkirjajärjestelmän kautta.

Tapauksessa olisi tietosuojaviranomaisen mukaan tullut laatia tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi. Sijaintitietojen käsittelyn katsottiin aiheuttavan todennäköisesti työntekijöiden oikeuksien ja vapauksien kannalta korkean riskin huomioiden työntekijöiden heikon aseman ja sijaintitietojen käytön järjestelmälliseen valvontaan. Tietosuojaviranomainen ei pitänyt rekisterinpitäjän tekemiä arviointeja sijaintitietojen keräämisestä riittävänä: vaikka vaikutustenarvioinnille ei ole asetettu tarkkoja muotovaatimuksia, siitä olisi kuitenkin voitava todentaa tietosuoja-asetuksen mukaiset elementit. Vaikutustenarvioinnin lisäksi asiassa arvioitiin tietosuoja-asetuksen 25 artiklan mukaisen sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia. Tietosuoja-asetuksen 24 artikla edellyttää rekisterinpitäjää toteuttamaan tekniset ja organisatoriset toimenpiteet, joiden avulla tietosuojalainsäädännön vaatimukset sisällytetään henkilötietojen käsittelyn osaksi. Käsittelytoimien lainmukaisuutta tulee arvioida säännöllisesti, jotta myös mahdolliset muutokset esimerkiksi oikeustilassa tai ohjeissa tulevat huomioiduiksi. Rekisterinpitäjä ei ollut täyttänyt näitä velvoitteita riittävällä tavalla. 

Kolmas päätös: tarpeettomien henkilötietojen kerääminen (seuraamusmaksu 12 500 euroa)

Kolmannessa päätöksessä kyse oli siitä, että yritys oli kerännyt työnhakijoiden henkilötietoja tarpeettomasti. Tapauksessa työnhakijoilta oli kysytty muun muassa seurakuntaa, perhesuhteita, terveydentilaan liittyviä tietoja ja tietoa siitä, onko henkilö raskaana.

Tapauksessa tuli sovellettavaksi tietosuoja-asetuksen lisäksi kansallinen yksityisyyden suojasta työelämässä annettu laki (759/2004) (työelämän tietosuojalaki), jonka perusteella työnantaja saa käsitellä vain tarpeellisia henkilötietoja työntekijästä. Tapauksessa kerättyjen tietojen ei katsottu täyttävän tarpeellisuusvaatimusta. Lisäksi terveydentilaa koskevien tietojen käsittelyn edellytykset eivät täyttyneet tapauksessa. Asian arviointiin ei vaikuttanut se, että kysyttyjen tietojen kertominen on rekisterinpitäjän mukaan ollut vapaaehtoista, sillä työelämän tietosuojalain mukaan tarpeellisuusvaatimuksesta ei ole mahdollista poiketa työntekijän suostumuksella. Tietosuojaviranomainen katsoi myös, että rekisterinpitäjä ei ollut täyttänyt tietosuoja-asetuksen mukaista osoitusvelvollisuuttaan, koska sen laatima materiaali oli puutteellista. Rekisterinpitäjä ei myöskään ollut toteuttanut riittäviä organisatorisia ja teknisiä toimenpiteitä. Seuraamusmaksujen ja huomautusten lisäksi tietosuojaviranomainen määräsi rekisterinpitäjän poistamaan työntekijöistä ja työnhakijoista kerätyt tarpeettomat henkilötiedot.

Miten KPMG voi auttaa?

KPMG:n lakipalveluiden asiantuntijat neuvovat henkilötietojen käsittelyyn liittyvissä juridisissa kysymyksissä ja avustavat henkilötietojen käsittelyn riskiarvioiden ja tietosuojalainsäädännön edellyttämän dokumentaation laatimisessa. 

Lisätietoja

Kira Ahveninen-Kuha
+358 50 330 3375

Jere Lehtioksa
+358 40 635 1136

etunimi.sukunimi@kpmg.fi

© 2020 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

KPMG International Cooperative (“KPMG International”) is a Swiss entity.  Member firms of the KPMG network of independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has any authority to obligate or bind KPMG International or any other member firm vis-à-vis third parties, nor does KPMG International have any such authority to obligate or bind any member firm.

Ota yhteyttä

 

Kuinka KPMG voi auttaa?

 

loading image Jätä tarjouspyyntö