GDPR2DSM-hanke järjesti joulukuun alussa toisen yhteistyöwebinaarin Ohjemisto- ja e-business ry:n kanssa. Webinaarin aiheena oli tietosuojaviranomaisten määräämät seuraamusmaksut Suomessa ja maailmalla. Seuraamusmaksuista olivat puhumassa tietosuojavaltuutetun toimiston ylitarkastajat Laura Varjokari ja Meeri Blomberg sekä HPP Asianajotoimiston osakas Terho Nevasalo.
Pysäköintivalvontayhtiö ei ollut toteuttanut rekisteröityjen oikeuksia
Webinaarisarjan ensimmäisessä osuudessa Laura Varjokari kertoi tietosuojavaltuutetun toimiston huhtikuussa antamasta ParkkiPate Oy:tä koskevasta päätöksestä. Puheenvuorossa käytiin läpi seuraamusmaksun määräämiseen johtaneita rikkomuksia ja sakon arvioinnissa huomioon otettuja raskauttavia ja lieventäviä tekijöitä.
Seuraamusmaksua koskeva ratkaisu perustui yhteentoista tietosuojavaltuutetun toimistossa vireille saatettuun asiaan. Pysäköinninvalvontayhtiö oli muun muassa kieltäytynyt rekisteröityjen oikeuksien toteuttamisesta ja kerännyt tunnistamista varten tarpeettomia tietoja. Joissakin tapauksissa rekisteröidyille oli aiheutunut rikkomuksista pysäköinninvalvontamaksun suuruinen taloudellinen vahinko.
Seuraamuskollegio oli pitänyt yleisen tietosuoja-asetuksen tarkastusoikeuden rikkomista vakavana. Seuraamuskollegio oli katsonut, että rekisterinpitäjä oli estänyt tarkoituksellisesti pääsyn tietoihin, jotka saattoivat olla maksajaksi merkityn henkilön oikeusturvan kannalta olennaisia.
Ammattikorkeakoulu oli kerännyt työsuhteen kannalta tarpeettomia tietoja
Tietosuojavaltuutetun toimiston toisessa puheenvuorossa Meeri Blomberg käsitteli ammattikorkeakoululle määrättyä seuraamusmaksua. Ammattikorkeakoulu oli ottanut käyttöön työajanseurantaan varten mobiilisovelluksen, joka edellytti toimiakseen työntekijöiden sijaintitietojen keräämistä.
Tietosuojavaltuutetun toimisto oli selvittänyt, oliko rekisterinpitäjällä laillinen peruste käsitellä työntekijöiden sijaintitietoja työaikaleimausten yhteydessä. Rekisterinpitäjän mukaan se ei hyödyntänyt sijaintia koskevaa tietoa millään tavalla ja työajan seuranta olisin voitu saadun selvityksen perusteella suorittaa tarvittaessa myös ilman sijaintitiedon käsittelyä.
Päätöksessä todettiin, että sijaintitietojen kerääminen oli ollut työelämän tietosuojalain tarpeellisuusvaatimuksen vastaista. Pelkästään se seikka, että työaikaa koskevien leimausten tekeminen ei onnistunut sovelluksessa ilman sijaintitietojen käsittelyä, ei tehnyt niiden käsittelystä välittömästi tarpeellista siten kuin työelämän tietosuojalaissa säädetään. Koska käsittely ei ollut tarpeellista työelämän tietosuojalain nojalla, sitä ei voitu pitää tarpeellisena ja lainmukaisena myöskään yleisen tietosuoja-asetuksen nojalla.
Ennakkotapauksia Euroopasta
Terho Nevasalo kävi puheenvuorossaan läpi Irlannin tietosuojaviranomaisen luottotietoyhtiölle Irish Credit Bureaulle antamaa seuraamusmaksua. Asiassa oli kyse ohjelmointivirheen aiheuttamasta tietoturvaloukkauksesta.
Irlannin tietosuojaviranomainen katsoi ratkaisussaan, että yritys ei ollut toteuttanut riittäviä toimenpiteitä tietojen täsmällisyyden varmistamiseksi.
Toinen Nevasalon esittelemä tapaus koski ruokalähettiyhtiö Deliveroota. Italian tietosuojaviranomainen oli antanut yritykselle seuraamusmaksun muun muassa automaattista päätöksentekoa ja rekisteröityjen informointia koskevista rikkomuksista.
Webinaarisarja auttaa pk-yrityksiä huolehtimaan tietosuojasta
GDPR2DSM-hankkeessa tarjoamme mikro- ja pk-yrityksille tietosuoja-asetuksen noudattamiseen liittyvää tietoa ja työkaluja. Webinaareissa käsittelemme tietosuojaa pk-yritysten arjen, eri toimialojen sekä palveluiden kehittämisen näkökulmasta.
- GDPR2DSM on kaksivuotinen, 2022 lopussa päättyvä hanke. Hankkeen täydellinen nimi on GDPR avaa ovia digitaalisille sisämarkkinoille: pk-yritysten keskeiset verkkotyökalut ja tukimahdollisuuksien hyödyntämiseen (GDPR opening doors to the digital single market: SME centric online tools and support for leveraging the opportunity)
- Hanketta rahoittaa Euroopan unionin Perusoikeudet, tasa-arvo ja kansalaisuus -ohjelma (Rights, Equality and Citizenship Programme)
- Koordinaattorina toimii tietosuojavaltuutetun toimisto, hankekumppaninaan TIEKE Tietoyhteiskunnan kehittämiskeskus ry
- Hankkeen verkkosivu
Tämän julkaisun sisältö edustaa vain kirjoittajan näkemyksiä ja tekijä on niistä yksin vastuussa. Euroopan komissio ei ole vastuussa tämän julkaisun sisältämän aineiston käytöstä.
