GDPR-sakko kolmelle Suomessa
GDPR-sakko kolmelle Suomessa
Seuraamuskollegio määräsi 18. toukokuuta seuraamusmaksun kolmelle yritykselle tietosuojalainsäädännön rikkomisesta. Rikkomukset koskevat puutteellista informointia tietosuojaoikeuksista, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä. Tämä oli ensimmäinen kerta kun seuraamuskollegio määrää seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Tietosuojavaltuutetun toimiston julkaiseman tiedotteen voit lukea tästä.
Postille 100 000 € liittyen muuttoilmoituksiin
Kussakin asiassa on ollut kysymys siitä, että tehdyn osoitteenmuutosilmoituksen jälkeen rekisteröity on saanut yhteydenottoja ja suoramarkkinointia eri yrityksiltä.
Kantelun tehneet ihmiset olivat muuttoilmoituksen tehtyään saaneet suoramarkkinnoinnin yhteydenottoja. Osalla kantelun tehneillä ei ollut aiempaa asiakassuhdetta markkinointia tehneisiin yrityksiin. Posti oli ilmoittanut oikeudesta kieltää tietojen luovuttaminen vain niille, jotka olivat ostaneet Postilta lisäpalveluita muuttoilmoituksen tekemisen ohella. Tietosuojavaltuutetun toimisto oli ollut Postiin yhteydessä jo aiemmin. Asiakkaiden informointia parannettiin tammikuussa 2020 mutta se ei estänyt sanktion langettamista.
Työntekijöiden sijaintitietojen käsittely
Sakon määrää alentavina seikkoina on huomioitu rekisteröityjen suhteellisen vähäinen määrä sekä se, että rekisterinpitäjä on aloittanut tietosuojaa koskevan vaikutustenarvi-oinnin tekemisen asian edetessä.
Kymen Vesi Oy paikansi ajoneuvoja ja siten työntekijöitä ajotietojärjestelmän avulla. Sijaintitietoa käytettiin mm työajanseurantaan. Tietosuojaa koskevaa vaikutustenarviointia ei ollut tehty, vaikka työntekijöiden sijaintitiedon käsittely sitä edellyttää. Seuraamusmaksun suuruus tästä oli 16 000 €.
Työntekijöiden henkilötietojen tarpeeton kerääminen
… on kuitenkin voinut muodostaa rekisteröidyille riskin terveydentilan, uskonnon, perhesuhteiden tai raskauden perusteella tapahtuvaan syrjintään työhönottotilanteessa.
Kolmannen seuraamusmaksun yhteydessä tiedote ei mainitse seuraamusmaksun kohteena olevan yrityksen nimeä. Yritys oli kerännyt työhönottotilanteessa tietoja mm uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. Tiedot määrättiin poistettavaksi ja 12 500 €:n suuruinen seuraamusmaksu lankesi.
Tietosuojavaltuutetun tavoite: oikeasuhtaisia, tehokkaita ja varoittavia päätöksiä
Seuraamusmaksujen enimmäismäärä voi olla 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Suhteessa tehtyihin ilmoituksiin tietosuojarikkomuksista resurssien määrää voi pitää pienenä. Tässä kerrotut päätökset eivät vielä ole lainvoimaisia, valittaminen hallinto-oikeuteen on mahdollista ja oletettavaa on, että ainakin Postin tapaus sinne päätyy.
Lainaukset on otettu päätöksistä.
Päätökset
Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot
Työntekijöiden sijaintitietojen käsittely ja vaikutustenarviointi
Työnhakijoiden henkilötietojen kerääminen tarpeettomasti
Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.
Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi