Tag Archive for: tietosuojavaltuutettu

GDPR-sakko kolmelle Suomessa

/in /by

GDPR-sakko kolmelle Suomessa

Seuraamuskollegio määräsi 18. toukokuuta seuraamusmaksun kolmelle yritykselle tietosuojalainsäädännön rikkomisesta. Rikkomukset koskevat puutteellista informointia tietosuojaoikeuksista, vaikutustenarvioinnin tekemättä jättämistä ja tarpeettomien henkilötietojen keräämistä. Tämä oli ensimmäinen kerta kun seuraamuskollegio määrää seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Tietosuojavaltuutetun toimiston julkaiseman tiedotteen voit lukea tästä.

Postille 100 000 € liittyen muuttoilmoituksiin

Kussakin asiassa on ollut kysymys siitä, että tehdyn osoitteenmuutosilmoituksen jälkeen rekisteröity on saanut yhteydenottoja ja suoramarkkinointia eri yrityksiltä.

Kantelun tehneet ihmiset olivat muuttoilmoituksen tehtyään saaneet suoramarkkinnoinnin yhteydenottoja. Osalla kantelun tehneillä ei ollut aiempaa asiakassuhdetta markkinointia tehneisiin yrityksiin. Posti oli ilmoittanut oikeudesta kieltää tietojen luovuttaminen vain niille, jotka olivat ostaneet Postilta lisäpalveluita muuttoilmoituksen tekemisen ohella. Tietosuojavaltuutetun toimisto oli ollut Postiin yhteydessä jo aiemmin. Asiakkaiden informointia parannettiin tammikuussa 2020 mutta se ei estänyt sanktion langettamista.

Työntekijöiden sijaintitietojen käsittely

Sakon määrää alentavina seikkoina on huomioitu rekisteröityjen suhteellisen vähäinen määrä sekä se, että rekisterinpitäjä on aloittanut tietosuojaa koskevan vaikutustenarvi-oinnin tekemisen asian edetessä.

Kymen Vesi Oy paikansi ajoneuvoja ja siten työntekijöitä ajotietojärjestelmän avulla. Sijaintitietoa käytettiin mm työajanseurantaan. Tietosuojaa koskevaa vaikutustenarviointia ei ollut tehty, vaikka työntekijöiden sijaintitiedon käsittely sitä edellyttää. Seuraamusmaksun suuruus tästä oli 16 000 €.

Työntekijöiden henkilötietojen tarpeeton kerääminen

… on kuitenkin voinut muodostaa rekisteröidyille riskin terveydentilan, uskonnon, perhesuhteiden tai raskauden perusteella tapahtuvaan syrjintään työhönottotilanteessa.

Kolmannen seuraamusmaksun yhteydessä tiedote ei mainitse seuraamusmaksun kohteena olevan yrityksen nimeä. Yritys oli kerännyt työhönottotilanteessa tietoja mm uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista. Tiedot määrättiin poistettavaksi ja 12 500 €:n suuruinen seuraamusmaksu lankesi.

Tietosuojavaltuutetun tavoite: oikeasuhtaisia, tehokkaita ja varoittavia päätöksiä

Seuraamusmaksujen enimmäismäärä voi olla 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Suhteessa tehtyihin ilmoituksiin tietosuojarikkomuksista resurssien määrää voi pitää pienenä. Tässä kerrotut päätökset eivät vielä ole lainvoimaisia, valittaminen hallinto-oikeuteen on mahdollista ja oletettavaa on, että ainakin Postin tapaus sinne päätyy.

Lainaukset on otettu päätöksistä.

Päätökset

Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot

Työntekijöiden sijaintitietojen käsittely ja vaikutustenarviointi

Työnhakijoiden henkilötietojen kerääminen tarpeettomasti

 

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi

Ensimmäinen GDPR-sakko Suomeen keväällä?

/in /by

Yksikään GDPR-sakko ei ole osunut Suomeen. Vielä. Keväällä 2020 tilanne luultavasti muuttuu. Ketä heitetään ensimmäisellä kivellä, sitä jännitämme kaikki. Puolisen vuotta sitten blogasimme Euroopassa langetetuista GDPS-sakoista, joita oli ympäri Euroopan ja hyvin lavealla toimialajakaumalla. Blogin kirjoittamisen jälkeen British Airways on saanut tuta 200 miljoonan ja Marriott-hotelliketju 110 miljoonan euron sakon piiskaniskun.

Tietoviikon verkkolehti ennakoi artikkelissaan, asiaa hyvin perustellen, että keväällä 2020 voimme hyvinkin nähdä suomalaisiin toimijoihin osuvia sanktioita. Suomalaiset eivät ole sen puhtoisempia mutta kansallinen lainsäädäntö on tullut voimaan monia muita maita myöhemmin, sen vuoksi myöskin sanktiot tulevat viiveellä. Artikkelin mukaan käsittelyajat huomioiden ensi kevät on hyvinkin suomalaisten uutisten aikaa.

Aiemmassa blogissa pyydettiin kiinnittämään huomiota, että sakon saaneissa oli aivan muitakin kuin kansainvälisiä verkkokauppoja, joiden voisi  kuvitella olevan listan kärjessä niin summien kuin osumien määrässä. Nyt julkaistu uutinen kertoo samaa.

Saksalainen tietosuojaviranomainen langetti ruokalähetyspalvelu Delivery Herolle 195 000 €:n ojennuksen yrityksen lähetettyä mainosviestejä vastoin asiakkaiden tahtoa. Artikkeli ei kerro mutta mitä ilmeisimmin yritystä on huomautettu asiasta useammin kuin kerran ja heillä olisi ollut aikaa korjata toimintaansa ja selvitä huomautuksella.

Espanjalainen halpalentoyhtiö palkittiin 30 000 €:n tiketillä verkkosivuston evästeongelmien takia. Olipa ruotsalaislukiokin päässyt kyseenalaisen huomion kohteeksi ja joutuu maksamaan 19 000 € kokeiltuaan kasvojentunnistusohjelmaa muutaman viikon ajan. Luit oikein, muutaman viikon ajan. Lukion tapauksessa huomaamme miten paljon tarkempia ollaan, kun kyseessä on lapset tai nuoret, heikommassa asemassa olevaksi katsottava kohderyhmä.

Suomesssa GDPR-sakkoja voi antaa tietosuojavaltuutetun kolmihenkinen kollegio. Voiko siitä päätellä, että käsittelyajat ovat pitkiä? Vai keskittyykö ryhmä räikeimpiin tapauksiin, heikommat ryhmät erityisesti huomioiden? Jäävätkö pienemmän mittakaavan asiat aktiivisella päätöksellä tutkimatta kuten vähäiset omaisuusrikokset poliisilla nykyisin? Saamme lisätietoa kunhan valoisampi vuodenaika taas koittaa. Aineistosta suomalaisviranomaisella ei tule olemaan puutetta: ilmoituksia on otettu vastaan yli  9000 kpl!

Autamme Tietopiiri Oy:ssä järjestöjä jäsen- ja vapaaehtoishallinnan ohella varainhankinnan kehittämisessä ja ihmisten piilossa olevien lahjoitusresurssien hyödyntämisessä. TP FONS -järjestöjen toiminnanohjaus on suunniteltu palvelemaan järjestöjä ja erityisesti heidän pitkälle automatisoitua varainhankintaa – olkoon lahjoituksena sitten aika, sitoutuminen, osaaminen, suosittelu tai raha.

Ota yhteyttä, jutellaan

Ilkka Harjula
0400-545 767
ilkka.harjula@tietopiiri.fi