Berggren | Blogi

Suomessa määrättiin ensimmäiset yleisen tietosuoja-asetuksen mukaiset seuraamusmaksut

Kirjoittanut Atte Karineva | 28.5.2020

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi 18.5. ensimmäistä kertaa seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Suurin 100 000 euron maksu määrättiin Postille johtuen muuttoilmoitusta tehneiden puutteellisesta informoinnista heidän tietosuojaoikeuksistaan.

1. Posti Oy - Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot

Tietosuojavaltuutetulle kannelleet henkilöt olivat tehneet muuttoilmoituksen Posti Oy:lle, minkä jälkeen he olivat saaneet yhteydenottoja ja suoramarkkinointia eri yrityksiltä. Apulaistietosuojavaltuutetun päätöksen mukaan rekisterinpitäjän, Posti Oy:n, muuttoilmoitusten yhteydessä suorittama henkilötietojen käsittely ei ole ollut yleisen tietosuoja-asetuksen edellyttämällä tavalla läpinäkyvää, eikä tietoja kielto-oikeudesta, henkilötietojen vastaanottajista tai vastaanottajaryhmistä oltu toimitettu oikea-aikaisesti muuttoilmoituksen täytön yhteydessä.

Yleisessä tietosuoja-asetuksessa on erikseen säädetty tiedoista, jotka rekisteröidylle on toimitettava silloin, kun henkilötietoja kerätään rekisteröidyltä sekä lisätiedoista, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi. Päätöksessä ei pidetty riittävänä sitä, että tiedot olivat löydettävissä Postin verkkosivuilla, vaan niistä olisi pitänyt kertoa nimenomaisesti muuttoilmoituksen täyttämisen yhteydessä.

Seuraamuskollegio määräsi Postille 100 000 euron suuruisen hallinnollisen seuraamusmaksun. Posti ilmoitti tiedotteessaan pitävänsä päätöstä seuraamusmaksusta kohtuuttomana ja aikovansa valittaa määrätystä maksusta hallinto-oikeuteen.

2. Kymen Vesi Oy - Työntekijöiden sijaintitietojen käsittely ja vaikutustenarviointi

Toisessa asiassa tietosuojavaltuutetulle oli kanneltu siitä, että Kymen Vesi Oy käsitteli ajotietojärjestelmästä saatavia sijaintitietoja työntekijöidensä työajan seurantaa varten. Päätöksen mukaan rekisterinpitäjän, Kymen Vesi Oy:n, olisi tullut suorittaa tietosuojaa koskeva vaikutustenarviointi, eikä tällaista arviointia oltu tehty.

Yleisen tietosuoja-asetuksen mukaan, jos tietyntyyppinen henkilötietojen käsittely aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Tietosuojavaltuutetun mukaan, koska työntekijöitä on pidettävä työnantajaansa nähden heikossa asemassa ja sijaintitietoja on käsitelty järjestelmällisenä valvontana pidettävän työajan seurannan yhteydessä, aiheuttaa henkilötietojen käsittely todennäköisesti työntekijöiden oikeuksien ja vapauksien kannalta tällaisen korkean riskin.

Seuraamuskollegio määräsi Kymen Vesi Oy:lle 16 000 euron suuruisen seuraamusmaksun.

3. Työnhakijoiden henkilötietojen kerääminen tarpeettomasti

Kolmas päätös koski yrityksen työhönottotilanteessa käyttämää henkilötietolomaketta. Päätöksen mukaan yritys oli muun muassa kerännyt työnhakijoita ja työntekijöitä koskevia tarpeettomia tietoja. Tarpeettomina tapauksessa pidettiin muun muassa tietoja työntekijöiden uskonnollisesta vakaumuksesta, terveydentilasta, mahdollisesta raskaudesta ja perhesuhteista.

Työelämän tietosuojalain mukaan työnantaja saa käsitellä vain työntekijän työsuhteen kannalta tarpeellisia tietoja. Näin ollen tietojen käsittely ei ollut myöskään tietosuoja-asetuksen henkilötietojen käsittelyn lainmukaisuutta ja tiedon minimointia koskevien periaatteiden mukaista.

Seuraamuskollegio määräsi yritykselle 12 500 euron suuruisen seuraamusmaksun.

Avustamme asiakkaitamme tietosuoja-asioissa compliance auditeista käytännön sopimusehtoihin. Berggrenin kumppanina saat aina samasta tiimistä sekä tietoteknisen että juridisen osaamisen tietosuoja-asioissa. Ota yhteyttä!

Päätökset

Päätökset eivät ole vielä lainvoimaisia, vaan niistä voi valittaa hallinto-oikeuteen.

Henkilötietojen käsittelyn läpinäkyvyys ja rekisteröidylle toimitettavat tiedot (Dnro 3818/161/2020)

Työntekijöiden sijaintitietojen käsittely ja vaikutustenarviointi (Dnro 531/161/20)

Työnhakijoiden henkilötietojen kerääminen tarpeettomasti (Dnro 137/161/20)

 

Tervetuloa maksuttomaan webinaariimme 16.6.2020