Tietosuojaviranomaisen ratkaisukäytäntöä
Tietosuojaviranomainen on antanut viime aikoina useita merkittäviä ratkaisuja tietosuojalainsäädännön soveltamisesta. Annetuissa ratkaisuissa on määrätty rekisterinpitäjälle hallinnollinen seuraamusmaksu. Seuraavassa selostetaan lyhyesti osaa viimeaikaisesta ratkaisukäytännöstä.
Tietosuojaviranomaisen viimeaikaiset ratkaisut koskevat rekisterinpitäjän toiminnan lainmukaisuutta rekisteröityjen oikeuksien käyttämisessä sekä erityisiin henkilötietoryhmiin kuuluvien terveystietojen käsittelyssä.
Rekisteröityjen oikeuksien toteuttamatta jättäminen
Tammikuussa 2023 annettu ratkaisu koskee tapausta, jossa rekisterinpitäjä ei ollut vastannut rekisteröityjen oikeuksia koskeviin pyyntöihin ja oli muutoinkin ollut haluton antamaan selvitystä toiminnastaan ja tekemään yhteistyötä tietosuojavaltuutetun toimiston kanssa.
Tietosuojaviranomainen määräsi rekisterinpitäjälle 750.000 euron seuraamusmaksun, koska rekisterinpitäjä oli säännönmukaisesti jättänyt vastaamatta rekisteröityjen tietosuojaoikeuksia koskeviin pyyntöihin ja viranomaisen selvityspyyntöihin.
Tietosuojaviranomainen totesi, ettei rekisterinpitäjä ollut perehtynyt riittävästi tietosuojalainsäädännön vaatimuksiin ja rekisterinpitäjän toiminta muutoinkin ilmensi piittaamattomuutta lainsäädännöstä.
Terveystietojen tietosuojalainsäädännön vastainen käsittely
Ensimmäinen joulukuussa 2022 annettu ratkaisu koski rekisterinpitäjän henkilöstöhallinnon järjestelmissä käsittelemien henkilötietojen käsittelyn lainmukaisuutta.
Rekisterinpitäjä oli käsitellyt työntekijöidensä terveystietoja henkilöstöhallinnon järjestelmissä 20 vuoden ajan. Järjestelmiin oli tallennettu rekisteröityjen muiden henkilötietojen yhteyteen rekisteröityjä koskevia diagnoositietoja. Osa rekisteröityjen diagnoositiedoista oli ollut virheellisiä.
Työnantajan on lain mukaan säilytettävä hallussaan olevat työntekijöiden terveydentilaa koskevat tiedot erillään muista henkilötiedoista ja poistettava henkilötiedot välittömästi, kun käsittelylle ei ole enää laissa tarkoitettua perustetta.
Rekisterinpitäjän henkilötietojen käsittely oli ollut tietosuojalainsäädännön vastaista, koska rekisterinpitäjä ei ollut erotellut diagnoositietoja muista henkilötiedoista eikä rekisterinpitäjä ollut poistanut henkilötietoja järjestelmistään käsittelyperusteen lakattua.
Tietosuojaviranomainen huomautti rekisterinpitäjää myös muista rekisterinpitäjän tietosuojakäytännöissä olevista virheistä, kuten puutteista henkilötietojen käsittelyn läpinäkyvässä informoinnissa. Rekisterinpitäjälle määrättiin 230.000 euron hallinnollinen seuraamusmaksu ja annettiin huomautus tietosuojalainsäädännön vastaisesta toiminnasta.
Puutteellinen suostumus terveydentilaa koskevien henkilötietojen käsittelyyn
Joulukuussa 2022 annettu toinen ratkaisu koski rekisterinpitäjän rekisteröidyistä keräämien erityisiin henkilötietoryhmiin kuuluvien terveystietojen käsittelyä. Rekisterinpitäjän valmistama urheilukello ja siihen liittyvä palvelu keräsivät sykemittaustietoa ja muita erityisiksi henkilötiedoiksi luokiteltavia terveystietoja.
Rekisterinpitäjä oli laatinut ja julkaissut tietosuojakäytännön, jossa rekisterinpitäjä oli pyytänyt rekisteröidyltä suostumusta erityisten henkilötietojen käsittelyyn, mutta yksilöinyt kerättäviksi henkilötiedoiksi ainoastaan sykkeen ja yleisellä tasolla muut arkaluonteiset henkilötiedot.
Rekisterinpitäjä keräsi ja käsitteli todellisuudessa rekisteröidystä myös maksimaalista hapenottokykyä ja painoindeksin käsittelyyn liittyviä henkilötietoja, jotka ovat erityisiä henkilötietoja. Tietosuojaviranomainen katsoi, ettei rekisteröityjä oltu asianmukaisesti informoitu jälkimmäisestä rekisteröityjen terveystietojen keräämisestä ja käsittelystä. Jälkimmäistä terveystietojen käsittelyä koskeva suostumus ei siten ollut tietosuojalainsäädännön mukainen nimenomainen suostumus. Rekisterinpitäjällä ei ole ollut tietosuojalainsäädännön mukaista käsittelyperustetta hapenottokykyä ja painoindeksin käsittelyyn liittyviin terveystietoihin.
Rekisterinpitäjälle määrättiin 122.000 euron seuraamusmaksu. Seuraamusmaksua perusteltiin henkilötietojen laajamittaisella käsittelyllä ja rekisterinpitäjän ydinliiketoiminnalla.
Yhteenveto
Ratkaisut osoittavat, että tietosuojalainsäädännön noudattamatta jättäminen voi johtaa merkittäviin hallinnollisiin seuraamusmaksuihin ja potentiaaliseen mainehaittaan. Ratkaisut ilmentävät myös rekisteröityjen yhä kasvavaa tietoisuutta heille kuuluvista oikeuksista ja rekisteröityjen oikeuksien aktiivista käyttämistä.