Seuraa meitä: Facebookissa LinkedIn:ssä Twitterissä Instagramissa EnglishSuomi

Suomen ensimmäiset seuraamusmaksut tietosuojarikkomuksista

28.05.2020


Tietosuojavaltuutetun seuraamuskollegio on 18.5.2020 määrännyt Suomen ensimmäiset seuraamusmaksut tietosuojalainsäädännön rikkomisesta.  Yhteensä seuraamusmaksuja määrättiin kolmelle yritykselle, joista suurin 100 000 euron seuraamusmaksu määrättiin Posti Oy:lle. Rikkomukset koskivat rekisteröityjen puutteellista informointia, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä.
 

Puutteet rekisteröityjen informoinnissa

Postin toiminnasta tietosuojavaltuutetulle kannelleet henkilöt olivat kertoneet, että muutosilmoituksen tekemisen jälkeen henkilöt olivat saaneet yhteydenottoja ja suoramarkkinointia eri yrityksiltä, vaikka heillä ei ollut olemassa olevaa asiakassuhdetta kyseisiin yrityksiin.  Tietosuojavaltuutetun toimiston selvityksen perusteella selvisi, ettei Posti ollut kertonut rekisteröidyille heidän oikeuksistaan, muun muassa oikeudesta kieltää tietojen luovuttaminen, muuttoilmoituksen tekemisen yhteydessä.

Päätöksessään seuraamuskollegio totesi, ettei Postin muuttoilmoitusten yhteydessä suorittama henkilötietojen käsittely ollut riittävän läpinäkyvää tietosuoja-asetuksen mukaisesti. Lisäksi päätöksessä todettiin, ettei Posti ollut toimittanut kaikkia tietoja muuttoilmoituksen tehneille henkilöille oikea-aikaisesti tietojen keräämisen yhteydessä.

Seuraamuskollegio määräsi Posti Oy:lle 100 000 euron suuruisen seuraamusmaksun. Tapauksen arvioinnissa seuraamusmaksua puoltavina seikkoina otettiin huomioon muun muassa rikkomuksen luonne, kesto ja niiden rekisteröityjen lukumäärää, joihin rikkominen on vaikuttanut. Pelkästään vuoden 2019 aikana rikkomus koski 161 000 asiakasta, jonka perusteella seuraamuskollegio katsoi, että kysymys on ollut järjestelmällisestä rikkomisesta. Lisäksi tapauksessa pidettiin merkittävänä sitä, ettei Posti ryhtynyt lupaamiinsa korjaaviin toimiin ennen valvontaviranomaisen lisäselvityspyyntöä.   Seuraamusmaksua alentavana tekijänä puolestaan pidettiin muun muassa sitä, ettei rekisteröidyille todettu aiheutuneen taloudellista tai muuta aineellista vahinkoa rikkomuksen seurauksena.

Sijaintitietojen käsittely edellyttää vaikutustenarvioinnin 

Toisessa tapauksessa tietosuojavaltuutettu oli saanut yhteydenoton, jonka mukaan Kymen Vesi Oy käsitteli työntekijöidensä sijaintitietoja paikantamalla ajoneuvoja ajotietojärjestelmän avulla. Sijaintitietojen käsittelyn tarkoituksena on ollut muun muassa työntekijöiden työajanseuranta.

Päätöksessään seuraamuskollegio totesi, että Kyme Vesi Oy:n olisi tullut suorittaa tietosuoja-asetuksen mukainen tietosuojaa koskeva vaikutustenarviointi työntekijöiden sijaintiin liittyvien käsittelytoimien osalta. Päätöksessään seuraamuskollegio katsoi, että työntekijöitä on pidettävä työnantajaansa nähden heikossa asemassa ja sijaintitietojen käsittely työajan seurannan yhteydessä todennäköisesti aiheuttaa työntekijöiden oikeuksien ja vapauksien kannalta korkean riskin. Sijaintitietojen käsittely on myös mainittu tietosuojavaltuutetun julkaisemassa luettelossa käsittelytoimien tyypeistä, joiden yhteydessä rekisterinpitäjän tulee tehdä tietosuojaa koskeva vaikutustenarviointi.

Seuraamuskollegio määräsi Kymen Vesi Oy:lle 16 000 euron suuruisen seuraamusmaksun. Päätöksessä on tuotu esille, ettei tietämättömyys lain sisällöstä poista tätä vastuuta, eikä johda sanktion määräämättä jättämiseen. Rekisterinpitäjällä on katsottu olleen kohtuullinen aika (n. 2 vuotta) saattaa henkilötietojen käsittely lainmukaiseksi.

Työntekijöiden tarpeettomien henkilötietojen kerääminen

Kolmannessa tapauksessa oli kysymys yrityksen työhönottotilanteessa käyttämän henkilötietolomakkeen kautta kerätyistä henkilötiedoista. Lomakkeella oli kysytty muun muassa työnhakijoiden uskonnollisesta vakaumusta, perhesuhteista, terveydentilaan liittyvistä tiedoista ja mahdollisesta raskaudesta.

Päätöksessään seuraamuskollegio katsoi yrityksen keränneen työntekijöistä ja työnhakijoista tarpeettomia henkilötietoja ja määräsi yritykselle 12 500 euron suuruisen seuraamusmaksun. Lisäksi tietosuojavaltuutettu määräsi yrityksen poistamaan tarpeettomat henkilötiedot. Yritys ei ollut huomioinut työelämän tietosuojalain vaatimusta siitä, että  työnantaja saa käsitellä vain työntekijän työsuhteen kannalta tarpeellisia tietoja.

Tietosuojavaltuutetun toimisto ei ole julkistanut kolmannen yrityksen nimeä. Tietosuojavaltuutetun toimiston mukaan seuraamusmaksun saaneen yrityksen nimi voidaan nimetä silloin, kun asia arvioidaan yleisesti merkittäväksi tai yritys voitaisiin sekoittaa toiseen toimijaan.

Päätökset eivät ole vielä lainvoimaisia ja niihin voidaan hakea muutosta valittamalla hallinto-oikeuteen.

 

Jari Piittinen
Associate Legal Counsel, Law
Ernst & Young Oy
+358 40 162 4687
jari.piittinen@fi.ey.com

 

Jaa: