Tag Archive for: GDPR rikkomus

GDPR-sakko kolmelle Suomessa

GDPR-sakko kolmelle Suomessa

Seuraamuskollegio määräsi 18. toukokuuta seuraamusmaksun kolmelle yritykselle tietosuojalainsäädännön rikkomisesta. Rikkomukset koskevat puutteellista informointia tietosuojaoikeuksista, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä. Tämä oli ensimmäinen kerta kun seuraamuskollegio määrää seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Tietosuojavaltuutetun toimiston julkaiseman tiedotteen voit lukea tästä.

Postille 100 000 € liittyen muuttoilmoituksiin

Kussakin asiassa on ollut kysymys siitä, että tehdyn osoitteenmuutosilmoituksen jälkeen rekisteröity on saanut yhteydenottoja ja suoramarkkinointia eri yrityksiltä.

Kantelun tehneet ihmiset olivat muuttoilmoituksen tehtyään saaneet suoramarkkinnoinnin yhteydenottoja. Osalla kantelun tehneillä ei ollut aiempaa asiakassuhdetta markkinointia tehneisiin yrityksiin. Posti oli ilmoittanut oikeudesta kieltää tietojen luovuttaminen vain niille, jotka olivat ostaneet Postilta lisäpalveluita muuttoilmoituksen tekemisen ohella. Tietosuojavaltuutetun toimisto oli ollut Postiin yhteydessä jo aiemmin. Asiakkaiden informointia parannettiin tammikuussa 2020 mutta se ei estänyt sanktion langettamista.

Työntekijöiden sijaintitietojen käsittely

Sakon määrää alentavina seikkoina on huomioitu rekisteröityjen suhteellisen vähäinen määrä sekä se, että rekisterinpitäjä on aloittanut tietosuojaa koskevan vaikutustenarvi-oinnin tekemisen asian edetessä.

Kymen Vesi Oy paikansi ajoneuvoja ja siten työntekijöitä ajotietojärjestelmän avulla. Sijaintitietoa käytettiin mm työajanseurantaan. Tietosuojaa koskevaa vaikutustenarviointia ei ollut tehty, vaikka työntekijöiden sijaintitiedon käsittely sitä edellyttää. Seuraamusmaksun suuruus tästä oli 16 000 €.

Työntekijöiden henkilötietojen tarpeeton kerääminen

… on kuitenkin voinut muodostaa rekisteröidyille riskin terveydentilan, uskonnon, perhesuhteiden tai raskauden perusteella tapahtuvaan syrjintään työhönottotilanteessa.

Kolmannen seuraamusmaksun yhteydessä tiedote ei mainitse seuraamusmaksun kohteena olevan yrityksen nimeä. Yritys oli kerännyt työhönottotilanteessa tietoja mm uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. Tiedot määrättiin poistettavaksi ja 12 500 €:n suuruinen seuraamusmaksu lankesi.

Tietosuojavaltuutetun tavoite: oikeasuhtaisia, tehokkaita ja varoittavia päätöksiä

Seuraamusmaksujen enimmäismäärä voi olla 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Suhteessa tehtyihin ilmoituksiin tietosuojarikkomuksista resurssien määrää voi pitää pienenä. Tässä kerrotut päätökset eivät vielä ole lainvoimaisia, valittaminen hallinto-oikeuteen on mahdollista ja oletettavaa on, että ainakin Postin tapaus sinne päätyy.

Lainaukset on otettu päätöksistä.

Päätökset

Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot

Työntekijöiden sijaintitietojen käsittely ja vaikutustenarviointi

Työnhakijoiden henkilötietojen kerääminen tarpeettomasti

 

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

50 miljoonan euron GDPR-sakko langetettu

Tekniikka&Talous uutisoi 22.1.2019, että Ranskan tietoturvaviranomaisten langettama GDPR-sakko on peräti 50 miljoonaa euroa ja sen saa Google. Jotain tämänsuuntaista osasimme odottaa – silti yllätyimme.

Arvasimme lähes oikein

Veikkailimme viime keväänä, että vielä vuoden 2018 puolella julkistetaan merkittävän suuruusluokan sanktio GDPR-asetuksen vastaisesta henkilötietojen käsittelystä. Aikataulu venähti mutta summa tosiaan on huomattava. Itse olin valmis laittamaan arvaukseni sen varaan, että missään tapauksessa sanktion kohteena ei ole kolmannen sektorin toimija. Ohessa linkki GDPR-aiheiseen blogiin, joka tosin keskittyy faktoihin eikä ennustamiseen.

Kolmannen sektorin sijaan oletin, että sanktion saa huomattavan uutisoinnin saattelemana jokin kiinalainen verkkokaupan toimija. Väärin meni: kohde on Google, joka ranskalaisten tietosuojaviranomaisten mukaan ei kerro meille riittävän tarkoin mihin meistä tallennettavaa tietoa käytetetään. Yksityiset ihmiset ovat viime vuoden aikana ainakin jonkin verran havahtuneet huomaamaan, että kaikkialle tietoja ei kannata luovuttaa ja kaikkia kyllä-rasteja ei ole syytä valita verkkopalveluissa asioidessaan.

Suunnitelmallinen sääntöjen rikkominen vs. huolimattomuus

Google ja moni muu suuryhtiö tekee rikkomuksensa suunnitelmallisesti mutta olemme nähneet huolimattomuudesta seuranneita asioita sellaisissa organisaatioissa, joissa moista tuskin osattiin odottaa – meille läheisestä esimerkistä käy Trafin tapaus. Vuonna 2017 nimenomaan Trafi vakuutteli, ettei Ruotsissa tapahtunut vuoto ole mahdollista Suomessa. Se mitä tapahtui on erilainen mutta lopputulos sama, tietoa karkasi ja ei tarvinnut olla kummoinen nörtti niin olisi voinut koneellisesti hakea kaikkien Trafin kontaktien henkilötiedot itselleen.

Mitä voimme oppia?

Tämä merkitsee, että meidän kaikkien tulee olla huolellisia henkilötietojen käsittelyssä olemmepa sitten aiheen äärellä yksityishenkilöinä tai järjestön edustajina tai kumppanina. Googlen tapaus tarkoittaa viimeistään nyt alleviivausta GDPR:lle: tämä asetus tosiaan on totta eikä paperin kahinaa. Kolmannelle sektorille annettaneen käytännössä lisäaikaa – näinköhän esimerkiksi pienen Ranskassa toimivan järjestön asiat ovat vielä asetusten vaatimusten tasalla. Mutta pian on syytä olla tai leka heiluu myös järjestöjen suuntaan. Työnkulkujen kuvaaminen ja vastuuttaminen ja tietorakenteiden eheyttäminen on vaan tehtävä, vaikka järjestöllä aivan varmuudella on kädet muutenkin täynnä. Mutta jos muuan hyvin tunnettu aines osuu tuulettimeen, seuraukset voivat olla sekä yksilöiden että järjestön kannalta dramaattisia.

Toivottavasti en synkistellyt liiaksi, me ainakin olemme valmiina auttamaan.

Autamme järjestöjä varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, niin kerron lisää

Ilkka Harjula, 0400 545 767 tai ilkka.harjula(at)tietopiiri.fi

 

Otsikkokuva: www.pixabay.com