Tietosuoja tutuksi, osa 3: Katsaus tietosuojavaltuutetun ratkaisukäytäntöön

Tietosuoja tutuksi, osa 3: Katsaus tietosuojavaltuutetun ratkaisukäytäntöön

Rekisterinpitäjän velvollisuus huolehtia rekisteröidyn oikeuksien toteutumisesta

Tässä kirjoituksessa nostamme esiin kansallisen tietosuojaviranomaisen eli tietosuojavaltuutetun 22.1.2021 antaman huomautuksen rekisterinpitäjän velvollisuudesta huolehtia riittävistä toimenpiteistä rekisteröidyn oikeuksien toteuttamiseksi. Tietosuojavaltuutettu on antanut vastaavanlaisen huomautuksen myös aiemmin, 30.12.2020. Molemmissa tapauksissa kyse on ollut asiakkaana olleen rekisteröidyn oikeudesta saada itseään koskevat tiedot poistetuksi sekä oikeudesta vastustaa henkilötietojen käsittelyä suoramarkkinointia varten.

Tietosuojavaltuutettu on antanut rekisterinpitäjinä toimineille yrityksille huomautuksen sen johdosta, että nämä eivät olleet riittävällä tavalla varmistaneet asiakkaidensa tietosuoja-asetusten mukaisten oikeuksien toteutumista yritysten suorittamassa henkilötietojen käsittelyssä. Rekisterinpitäjien katsottiin laiminlyöneen heille kuuluvia velvollisuuksiaan jatkamalla suoramarkkinointia ja asiakasviestien lähettämistä rekisteröityjen esittämistä tietojen poistamista tai vastustamisoikeutta koskevista pyynnöistä huolimatta.

Kummassakin tapauksessa rekisterinpitäjät ovat perustelleet yhteydenottojen jatkumista heidän käyttämissään järjestelmissä olleilla teknisillä virheillä. Tietosuojavaltuutettu on kuitenkin nyt antamissaan huomautuksissa todennut, että on rekisterinpitäjän vastuulla huolehtia henkilötietojen käsittelyyn liittyvien teknisten ja organisatoristen toimenpiteiden toimivuudesta ja siitä, että ne vastaavat yleisessä tietosuoja-asetuksessa asetettuja vaatimuksia. Tämä velvollisuus on otettava huomioon kaikissa tiedon elinkaaren vaiheissa, ja se koskee kaikkia käsittelyn osa-alueita.

Yleisen tietosuoja-asetuksen 21 artiklan mukaisesti rekisteröidyllä on milloin tahansa oikeus vastustaa häntä koskevien tietojen käsittelyä suoramarkkinointitarkoituksessa. Suoramarkkinointi tulisi lopettaa siten heti, kun rekisteröity tätä koskevan pyynnön esittää. Rekisterinpitäjän on huolehdittava siitä, että käytetty tietojenkäsittelyjärjestelmä mahdollistaa tämän. Samoin rekisterinpitäjän tulee huolehtia siitä, että henkilötiedot kyetään tosiasiallisesti poistamaan käytöstä joko rekisteröidyn tietosuoja-asetuksen 17 artiklan nojalla esittämän tietojen poistamista koskevan pyynnön johdosta taikka rekisterinpitäjän omasta aloitteesta tietojen minimoinnin ja säilytyksen rajoittamisen periaatteiden mukaisesti.

Käytettyjen tietojenkäsittelyjärjestelmien toimivuus on siis rekisterinpitäjän vastuulla. Tietosuojavaltuutetun antamat huomautukset toimivat muistutuksena kaikille rekisterinpitäjille siitä, että järjestelmien toimivuus on aika ajoin hyvä tarkistaa myös manuaalisesti. Ilmenevät virheellisyydet tai puutteellisuudet on luonnollisesti korjattava viipymättä.

Anni Halinen

Lakimies | OTM | CIPP/E

Jaa sosiaalisessa mediassa:

Facebook
Twitter
LinkedIn