GDPR:n rikkomisesta ensimmäiset sakkopäätökset Suomessa

Tietosuojavaltuutetun toimiston alaisuudessa toimiva seuraamuskollegio on 18.5.2020 määrännyt kolmelle yritykselle seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. EU:n yleistä tietosuoja-asetusta 679/2016 (General Data Protection Regulation, GDPR) on sovellettu 25.5.2018 lähtien, ja ensimmäiset sakkopäätökset saatiin Suomessa nyt, kun asetusta on sovellettu melko tarkalleen kahden vuoden ajan. Tietosuojavaltuutetun toimisto on jo aiemmin antanut suomalaisille yrityksille huomautuksia ja määräyksiä lainvastaisen tietojenkäsittelytoiminnan muuttamisesta, mutta sakkopiiska viuhui nyt ensimmäistä kertaa Suomessa. Ratkaisut eivät ole tämän artikkelin kirjoitushetkellä vielä lainvoimaisia, eli yritysten on mahdollista valittaa tietosuojaviranomaisen ratkaisuista hallinto-oikeuteen.

Rekisterinpitäjän informointivelvoitteiden laiminlyönti

Ensimmäinen tapaus (Posti) koski rekisterinpitäjän informointivelvoitteiden laiminlyöntiä. GDPR:n 12 artiklan mukaan rekisteröidylle on toimitettava GDPR:ssä säädetyt käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Posti ei ollut kertonut rekisteröidyille heidän oikeuksistaan muuttoilmoituksen tekemisen yhteydessä. Henkilöillä olisi ollut esimerkiksi oikeus kieltää Postia luovuttamasta tietojaan eri tahoille, jotka harjoittivat suoramarkkinointia. Tietosuojavaltuutetun toimiston ratkaisun mukaan Postin olisi pitänyt kertoa selkeästi, että asiakkailla on oikeus vastustaa henkilötietojen käsittelyä, mutta tästä oikeudesta oli ilmoitettu ainoastaan muuttoilmoituksen tekemisen lisäksi lisäpalveluita ostaneille asiakkaille. Rikkomus koski pelkästään vuoden 2019 aikana 161 000 asiakasta.

Tietosuojavaltuutetun toimiston ratkaisuselosteen mukaan Posti oli jo vuonna 2017 ilmoittanut tietosuojavaltuutetulle selvittävänsä mahdollisuuksia parantaa henkilötietojen käsittelyn läpinäkyvyyttä, mutta asiakkaiden informointia parannettiin lopulta tammikuussa 2020, kun tietosuojavaltuutetun toimisto oli ollut uudestaan yhteydessä Postiin. Tästä herää kysymys, mitä tuolla välin on tehty asian korjaamiseksi – ja miten nopeampi reagointi ja yhteistyö viranomaisen kanssa olisi vaikuttanut seuraamusmaksun määrään, jota seuraamuskollegio nyt määräsi Postille 100 000 euroa.

Posti-tapaus korostaa informointivelvoitteesta huolehtimisen tärkeyttä. Käytännössä organisaatiot toteuttavat informointivelvoitettaan laatimalla ja asettamalla rekisteröityjen saataville tietosuojaselosteen. Kriittisen tärkeää on muun GDPR:ssä säädetyn ohella kertoa rekisteröidyille heidän oikeuksistaan henkilötietojensa käsittelyssä.

Vaikutustenarvioinnin tekemättä jättäminen

Toisessa tapauksessa (Kymen Vesi Oy) työntekijöidensä sijaintitietoja käsitellyt yritys oli jättänyt GDPR:n edellyttämän tietosuojaa koskevan vaikutustenarvioinnin tekemättä ennen sijaintitietojen käsittelyn aloittamista. Ajoneuvojen ajotietojärjestelmillä kerättyjä sijaintitietoja käytettiin muun ohella työajanseurantaan, eli GDPR:n systematiikassa rekisteröityjen järjestelmälliseen valvontaan. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelystä todennäköisesti seuraa korkea riski rekisteröidyn oikeuksille ja vapauksille. Seuraamuskollegio määräsi yritykselle 16 000 euron suuruisen seuraamusmaksun.

Myös esimerkiksi Ruotsissa tietosuojaviranomainen Datainspektionen on antanut kunnan koululautakunnalle hallinnollisen sakon tietosuojaa koskevan vaikutustenarvioinnin tekemisen laiminlyönnistä, kun lukion oppilaiden läsnäoloa oppitunneilla valvottiin kasvojentunnistusteknologialla. Tapaukset osoittavat, että uutta teknologiaa ja rekisteröityjen valvomista käyttöönotettaessa on tehtävä vaikutustenarviointi riskien tunnistamiseksi ja haittavaikutusten poistamiseksi tai vähentämiseksi.

Tarpeettomien henkilötietojen kerääminen työnhakijoista ja työntekijöistä

Kolmannessa tapauksessa (ratkaisussa nimeämätön) yritys oli yksityisyyden suojasta työelämässä annetun lain (759/2004) vastaisesti kysynyt ja kerännyt tarpeettomia henkilötietoja työnhakijoista ja työntekijöistä, kuten GDPR:n tarkoittamia arkaluontoisia tietoja uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. Tietosuojaviranomainen oli todennut puutteita myös GDPR:n noudattamiseen liittyvässä dokumentoinnissa, mistä se antoi yritykselle huomautuksia.

Tietosuojaviranomainen määräsi yrityksen käsittelemät tarpeettomat tiedot poistettaviksi. Seuraamusmaksua yritykselle kertyi 12 500 euroa tietosuojalainsäädännön rikkomisesta.

Nyt annetut sakkopäätökset ovat sikäli mielenkiintoisia, että sakkoihin johtaneet käsittelytapaukset ovat keskenään erilaisia. Kaikkien henkilötietoja käsittelevien organisaatioiden onkin oltava tarkkoja, että GDPR:n noudattaminen on kokonaisuudessaan varmistettu kaikissa tilanteissa, joissa henkilötietoja käsitellään. Viranomaisten antamien sakkojen lisäksi tulee muistaa, että rekisteröidyllä henkilöllä on mahdollisuus vaatia rekisterinpitäjältä korvauksia lainvastaisen tietojenkäsittelyn hänelle aiheuttamasta vahingosta. Tältä varalta organisaation henkilötietojen käsittelyä koskevien prosessien ja dokumentoinnin on oltava kunnossa GDPR:n edellyttämän osoitusvelvollisuuden mukaisesti – rekisteröidyn henkilön ei itse tarvitse näyttää toteen organisaation käsitelleen hänen henkilötietojaan lainvastaisesti, vaan organisaatiolla on velvollisuus osoittaa, että käsittely on ollut tietosuojalainsäädännön mukaista.

Asianajaja, Senior Associate Ville Vainio avustaa asiakkaitamme päivittäin tietosuojalainsäädäntöön liittyvissä toimeksiannoissa. Ville on suorittanut arvostetun kansainvälisen CIPP/E-tietosuojasertifikaatin. Hänellä on erittäin kattavaa kokemusta eri toimialojen yritysten avustamisessa tietosuojalainsäädännön noudattamiseksi, kuten erilaisten tietojenkäsittelysopimusten neuvottelemisesta useiden satojen tuntien edestä. Ota yhteyttä niin keskustellaan lisää siitä, miten organisaatiosi voi varmistaa noudattavansa tietosuojalainsäädäntöä.