GDPR2DSM-webinaarien antia: Tietosuojaviranomaisten antamat seuraamusmaksut
Digitaaliset prosessit

GDPR2DSM-webinaarien antia: Tietosuojaviranomaisten antamat seuraamusmaksut

Autamme pk-yrityksiä huolehtimaan tietosuojasta. Webinaareissa käsittelemme tietosuojaa pk-yritysten arjen, eri toimialojen sekä palveluiden kehittämisen näkökulmista.

GDPR2DSM-hanke järjesti joulukuun alussa toisen yhteistyöwebinaarin Ohjemisto- ja e-business ry:n kanssa. Webinaarin aiheena oli tietosuojaviranomaisten määräämät seuraamusmaksut Suomessa ja maailmalla. Seuraamusmaksuista olivat puhumassa tietosuojavaltuutetun toimiston ylitarkastajat Laura Varjokari ja Meeri Blomberg sekä HPP Asianajotoimiston osakas Terho Nevasalo.

Pysäköintivalvontayhtiö ei ollut toteuttanut rekisteröityjen oikeuksia  

Webinaarisarjan ensimmäisessä osuudessa Laura Varjokari kertoi tietosuojavaltuutetun toimiston huhtikuussa antamasta ParkkiPate Oy:tä koskevasta päätöksestä. Puheenvuorossa käytiin läpi seuraamusmaksun määräämiseen johtaneita rikkomuksia ja sakon arvioinnissa huomioon otettuja raskauttavia ja lieventäviä tekijöitä.  

Seuraamusmaksua koskeva ratkaisu perustui yhteentoista tietosuojavaltuutetun toimistossa vireille saatettuun asiaan. Pysäköinninvalvontayhtiö oli muun muassa kieltäytynyt rekisteröityjen oikeuksien toteuttamisesta ja kerännyt tunnistamista varten tarpeettomia tietoja. Joissakin tapauksissa rekisteröidyille oli aiheutunut rikkomuksista pysäköinninvalvontamaksun suuruinen taloudellinen vahinko.  

Seuraamuskollegio oli pitänyt yleisen tietosuoja-asetuksen tarkastusoikeuden rikkomista vakavana. Seuraamuskollegio oli katsonut, että rekisterinpitäjä oli estänyt tarkoituksellisesti pääsyn tietoihin, jotka saattoivat olla maksajaksi merkityn henkilön oikeusturvan kannalta olennaisia.   

Ammattikorkeakoulu oli kerännyt työsuhteen kannalta tarpeettomia tietoja 

Tietosuojavaltuutetun toimiston toisessa puheenvuorossa Meeri Blomberg käsitteli ammattikorkeakoululle määrättyä seuraamusmaksua. Ammattikorkeakoulu oli ottanut käyttöön työajanseurantaan varten mobiilisovelluksen, joka edellytti toimiakseen työntekijöiden sijaintitietojen keräämistä.  

Tietosuojavaltuutetun toimisto oli selvittänyt, oliko rekisterinpitäjällä laillinen peruste käsitellä työntekijöiden sijaintitietoja työaikaleimausten yhteydessä. Rekisterinpitäjän mukaan se ei hyödyntänyt sijaintia koskevaa tietoa millään tavalla ja työajan seuranta olisin voitu saadun selvityksen perusteella suorittaa tarvittaessa myös ilman sijaintitiedon käsittelyä.   

Päätöksessä todettiin, että sijaintitietojen kerääminen oli ollut työelämän tietosuojalain tarpeellisuusvaatimuksen vastaista. Pelkästään se seikka, että työaikaa koskevien leimausten tekeminen ei onnistunut sovelluksessa ilman sijaintitietojen käsittelyä, ei tehnyt niiden käsittelystä välittömästi tarpeellista siten kuin työelämän tietosuojalaissa säädetään. Koska käsittely ei ollut tarpeellista työelämän tietosuojalain nojalla, sitä ei voitu pitää tarpeellisena ja lainmukaisena myöskään yleisen tietosuoja-asetuksen nojalla.  

Ennakkotapauksia Euroopasta 

Terho Nevasalo kävi puheenvuorossaan läpi Irlannin tietosuojaviranomaisen luottotietoyhtiölle Irish Credit Bureaulle antamaa seuraamusmaksua. Asiassa oli kyse ohjelmointivirheen aiheuttamasta tietoturvaloukkauksesta.  

Irlannin tietosuojaviranomainen katsoi ratkaisussaan, että yritys ei ollut toteuttanut riittäviä toimenpiteitä tietojen täsmällisyyden varmistamiseksi.  

Toinen Nevasalon esittelemä tapaus koski ruokalähettiyhtiö Deliveroota. Italian tietosuojaviranomainen oli antanut yritykselle seuraamusmaksun muun muassa automaattista päätöksentekoa ja rekisteröityjen informointia koskevista rikkomuksista.  

Tietosuojavaltuuteun toimiston, TIEKEn ja EU:n logot

Tämän julkaisun sisältö edustaa vain kirjoittajan näkemyksiä ja tekijä on niistä yksin vastuussa. Euroopan komissio ei ole vastuussa tämän julkaisun sisältämän aineiston käytöstä.

Kirjoittaja

Lue seuraavaksi

Digikyvykkyys
Osaamismerkkien, kestävän digitalisaation ja nuorten digitaitojen kuuma peruna – TIEKEn tunnelmia ITK-konferenssista
Digikyvykkyys

Osaamismerkkien, kestävän digitalisaation ja nuorten digitaitojen kuuma peruna – TIEKEn tunnelmia ITK-konferenssista

TIEKE osallistui tänäkin vuonna Suomen suurimpaan digitaalisen koulutuksen ja oppimisen tapahtumaan, ITK-konferenssiin, nostaen esiin digitalisoituvan yhteiskunnan ajankohtaisimpia ilmiöitä – aina osaamisen tunnistamisesta digitalisaation ja digitaitojen edistämiseen. Vuoden 2025 tapahtuma oli monella tapaa erityinen: se järjestettiin ensi kertaa Tampereella ja konferenssin teemana oli osuvasti ”paljon uutta, vähän vanhaa, jotain lainattua”.

Marko Silventoinen
Digitaalinen taloushallinto
TIEKE käynnistää Suomen ensimmäisen Peppol-sanomien kouluttajakoulutuksen
Digitaalinen taloushallinto

TIEKE käynnistää Suomen ensimmäisen Peppol-sanomien kouluttajakoulutuksen

Datatalouden merkitys kasvaa. Tarvitaan uutta osaamista, jotta yrityksissä pystytään paremmin hyödyntämään dataa liiketoiminnan kasvun tueksi. EU:n ulkopuolisen verkkolaskutuksen odotetaan helpottuvan suomalaisyrityksille tänä vuonna, kun Peppolin kansainvälisen laskun malli otetaan käyttöön Euroopassa (PINT).

Nina From
Datatalous
Datavalmiuskartoitus avaa datan hyödyt liiketoiminnalle
Datatalous

Datavalmiuskartoitus avaa datan hyödyt liiketoiminnalle

Yrityksen keräämästä datasta voi saada merkittävää pontta liiketoimintaan. Ensimmäinen askel kehitystyöhön on nykytilanteen ymmärtäminen. TIEKE on julkaissut uuden datavalmiuskartoituksen, joka auttaa yrityksiä tunnistamaan kehityskohteensa ja löytämään seuraavat askeleet datan hyödyntämisessä.

Viestintätoimisto Aivela