25.5.2020 klo 14:52
Uutinen

Suomen ensimmäiset GDPR-sakot jaettu, Posti mukana listalla – Tarkista, ovatko nämä asiat kunnossa

Muuttoilmoituksen tekemisessä tehty virhe poiki Postille 100 000 euron seuraamusmaksun.

Suomen ensimmäiset GDPR-sakot on jaettu viime viikolla. Tietosuojavaltuutetun toimisto määräsi kolmelle yritykselle seuraamusmaksut 12 500 ja 100 000 euron väliltä.

Tietosuojavaltuutetun toimiston mukaan sakotettujen joukossa muun muassa Posti, joka ei ollut kertonut rekisteröidyille heidän oikeuksistaan, muun muassa oikeudesta kieltää tietojen luovuttaminen. Tapaus koski muuttoilmoituksen tekemistä.

Tietosuojavaltuutetun mukaan yrityksen olisi tässä tapauksessa pitänyt kertoa selkeästi, että asiakkailla on oikeus vastustaa henkilötietojen käsittelyä. Posti oli ilmoittanut oikeudesta ainoastaan niille asiakkaille, jotka ostivat lisäpalveluita muuttoilmoituksen tekemisen lisäksi.

Seuraamuskollegio määräsi Postille 100 000 euron suuruisen seuraamusmaksun. Päätös ei ole vielä lainvoimainen, eli siihen voi hakea muutosta valittamalla hallinto-oikeuteen.

Kaksi muuta seuraamusmaksua on määrätty Kymen Vesi Oy:lle ja yritykselle, jonka nimeä tietosuojavaltuutettu ei mainitse.

Seuraamuskollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja todetuista tietosuojarikkomuksista. Seuraamusmaksujen enimmäismäärä voi olla neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa. Kollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Puheenjohtajana toimii tietosuojavaltuutettu.

Neljä tärkeää toimenpidettä yrityksessä – Ovatko nämä kunnossa?

1. Varmista, että yrityksesi tietosuoja on kunnossa

Mieti, mikä voisi olla tietosuojan kannalta pahin mahdollinen skenaario, joka voisi tapahtua, ja valmistaudu tähän. Se voi tarkoittaa tietokoneen ja työkännykän tietoturvan kuntoon laittamista esimerkiksi salasanoilla ja virustorjunnalla tai arkaluonteista tietoja sisältävien materiaalien laittaminen lukkojen taakse.

2. Varmista, että sinulla on asetuksen mukainen käsittelyperuste, joka oikeuttaa käsittelemään henkilötietoja

Tietosuoja-asetuksessa määritellään käsittelyperusteet, joiden mukaan henkilötietojen käsittely on laillista. Vähintään yksi asetuksen antamista edellytyksistä tulee täyttyä. Henkilötietoja voidaan käsitellä rekisteröidyn suostumuksella, oikeutetun edun perusteella (jäsenyys tai asiakkuus), sopimuksen, lakisääteisen velvollisuuden, elintärkeän edun tai yleisen edun perusteella.

3. Laadi seloste käsittelytoimista

Tietosuoja-asetus velvoittaa yrityksen tekemään selosteen käsittelytoimista, jos henkilötietoja käsitellään useammin kuin satunnaisesti. Selosteen tarkoitus on palvella yrityksen omaa henkilötietojen dokumentointia. Tietosuojaviranomainen voi pyytää tätä dokumenttia nähtäväkseen.

Selosteen avulla yrittäjä voi rekisterinpitäjänä osoittaa toimineensa tietosuoja-asetuksen mukaisesti. Seloste käsittelytoimista löytyy Suomen Yrittäjien mallipohjista.

4. Informoi ja dokumentoi, kuinka rekisteröityjen informointi toteutetaan

Henkilötietojen käsittelyn tulee olla läpinäkyvää ja rekisteröityjä tulisi informoida siitä, miten heitä koskevia tietoja kerätään ja kuinka niitä käytetään. Tiedot tulisi antaa tiiviisti, yksinkertaisella ja selkeällä kielellä. Rekisteröityjen informoinnin tulisi olla maksutonta.

Tietosuoja-asetus velvoittaa, että yrityksen tulisi pitää kuvaus henkilötietojen käsittelystä rekisteröidyn saatavilla. Asetuksen mukaan tiedot tulisi toimittaa kirjallisesti, suullisesti tai sähköisesti. Esimerkiksi messuilla järjestettävästä arvontaan osallistumisesta ja henkilötietojen käsittelystä informointi voisi tapahtua antamalla rekisteröitävälle kirjallinen paperi, jossa kuvaillaan henkilötietojen käyttöä.

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, rekisterinpitäjän on ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava asiaankuuluvat lisätiedot.

Informointivelvoite tarkoittaa käytännössä sitä, että yrityksen tulee antaa tiedot henkilötietoja vastaanottaessaan. Tiedot voidaan antaa esimerkiksi tietosuojaselosteen muodossa tai muulla tavalla verkkosivuilla. Tietoja voidaan myös pitää saatavilla työpaikan intranetissä tai fyysisenä kappaleena esimerkiksi ilmoitustaululla.

Lataa Yrittäjän tietosuojaopas täältä!

Kuva: Getty Images

Pauli Reinikainen

pauli.reinikainen (at) yrittajat.fi