T_PLACEHOLDER_IMAGE
05.11.2021

Tietosuoja-asetuksen rikkomisesta yhä kovempia seuraamuksia

Asianajaja Juha-Pekka Vatasen ajankohtaiskirjoitus tietosuoja-asetukseen liittyen

Vuonna 2018 voimaan tulleen EU:n tietosuoja-asetuksen mukaisesti asetusta rikkoville tahoille voidaan määrätä hallinnollisia seuraamusmaksuja. Tietosuoja-asetuksen voimaantulon ensimmäisinä vuosina Suomessa tietosuojavaltuutetun toimisto on ollut enemmän melko opastavalla linjalla eikä ole määrännyt ahkerasti seuraamusmaksuja tietosuoja-asetusta rikkoville tahoille. Nyt kuitenkin linjaus on muuttunut ankarampaan suuntaan johtuen muualla EU:ssa tapahtuneesta koventuneesta linjauksesta. 

Vuosina 2020 ja 2021 seuraamusmaksuja on määrätty Suomessa muun muassa seuraavanlaisissa tapauksissa:

  • Rekisterinpitäjä on ottanut X Oy:n toimittaman mobiilisovelluksen käyttöön toukokuussa 2019 noin 350 työntekijän osalta työajan seurantaan. Sovelluksen käyttäminen edellyttää mobiililaitteessa myös paikannuksen sallimisen. Koska työntekijöiden sijaintitieto on ollut työnantajalle tarpeeton, ei työntekijöiden sijaintia koskevan tiedon käsittely ole ollut rekisterinpitäjälle välittömästi tarpeellista siten kuin työelämän tietosuojalain 3 §:ssä säädetään. Tämän seuraamuksena rekisterinpitäjälle määrättiin 25 000 euron suuruinen seuraamusmaksu
  • 12 500 euron suuruinen seuraamusmaksu määrättiin yritykselle, joka keräsi työnhakijoiden henkilötietoja tarpeettoman laajasti. Yritys oli kysynyt työnhakijoilta työsuhteen kannalta tarpeettomia tietoja esimerkiksi terveydentilasta ja perhesuhteista.
  • 72 000 euron suuruinen seuraamusmaksu määrättiin yhtiölle useista puutteista henkilötietojen käsittelyssä. Yritys ei muun muassa ollut arvioinut kameravalvontajärjestelmäänsä liittyvän henkilötietojen käsittelyn lainmukaisuutta tai informoinut asiakkaita äänen tallennuksesta yleisen tietosuoja-asetuksen edellyttämällä tavalla
  • Yritykselle määrättiin 16 000 euron suuruinen seuraamusmaksu työntekijöiden sijaintitietojen käsittelyä koskevan vaikutustenarvioinnin tekemättä jättämisestä. Vaikutustenarviointi olisi tullut tehdä ennen kuin yritys alkoi käsitellä sijaintitietoja, joita se keräsi paikantamalla ajoneuvoja ajotietojärjestelmän avulla

Esimerkkitapauksista näkyy hyvin, että tietosuoja-asetuksen rikkomisesta voi seurata melko koviakin seuraamusmaksuja. Tämän takia kunkin yrityksen on syytä kiinnittää huomiota omiin käytöntöihinsä liittyen henkilötietojen käsittelyyn. Erityisesti työntekijöitä koskevien tietojärjestelmien suhteen on syytä tarkastaa, kerätäänkö niihin henkilötietoja tarpeettoman laajasti