Tietosuojavaltuutettu
- Uutiset
4.10.2023 10.19
Tietosuojavaltuutetun toimisto: Psykoterapiatoimijalle hallinnollinen seuraamusmaksu asiakkaan tarkastusoikeuden puutteellisesta toteutuksestaTietosuojavaltuutetun toimiston seuraamuskollegio on syyskuun alussa määrännyt 1.600 euron hallinnollisen seuraamusmaksun psykoterapiapalveluita tarjoavalle yritykselle. Yritys ei ollut ilmoittanut asiakkaalle syytä siihen, miksi potilasasiakirjamerkintöjä psykoterapiakäynneistä ei voitu toimittaa. (Vailla lainvoimaa 4.10.2023) - Uutiset
2.10.2023 13.31
Hallinto-oikeus kumosi tietosuojavaltuutetun ja tietosuojavaltuutetun toimiston seuraamuskollegion päätökset, jotka koskivat Liikennevakuutuskeskuksen tekemiä tietopyyntöjä potilastiedoistaHelsingin hallinto-oikeus kumosi 2.10.2023 antamallaan päätöksellään tietosuojavaltuutetun ja tietosuojavaltuutetun toimiston seuraamuskollegion päätökset, jotka koskivat Liikennevakuutuskeskuksen potilastietoihin kohdistuvia tietopyyntöjä. Tietosuojavaltuutettu oli katsonut, että Liikennevakuutuskeskus tekee järjestelmällisesti liian laajoja korvauksenhakijoiden potilastietoihin kohdistuvia tietopyyntöjä. Seuraamuskollegio oli määrännyt Liikennevakuutuskeskukselle 52.000 euron hallinnollisen seuraamusmaksun. - Uutiset
27.9.2023 6.55
Tietosuojavaltuutettu poisti väliaikaisen päätöksensä: Yango-taksipalvelu saa jatkaa toimintaansa Suomessa toistaiseksi – tiedonsiirtojen valvonta jatkuu Euroopan tietosuojaviranomaisten yhteistyössäTietosuojavaltuutetun toimisto sekä Alankomaiden ja Norjan tietosuojaviranomaiset ovat selvittäneet Yango-taksipalvelun toimintaa sekä sopineet käsittelyn seuraavista vaiheista. Koska Venäjän taksilainsäädäntöä ei uusien selvitysten perusteella sovelleta Yangon toimintaan Suomessa, tietosuojavaltuutettu on poistanut elokuussa antamansa määräaikaisen kiellon siirtää henkilötietoja Venäjälle. Yango-taksipalvelun tiedonsiirtojen valvonta jatkuu tietosuojaviranomaisten yhteistyössä. - Uutiset
31.8.2023 14.11
Hallinto-oikeus hylkäsi vaatimuksen täytäntöönpanon kieltämiseksi koskien tietosuojavaltuutetun päätöstä kieltää Yango-taksipalvelua siirtämästä henkilötietoja Suomesta Venäjälle – tietosuojaviranomaiset jatkavat tietojen siirron tutkintaaTietosuojavaltuutettu on 4.8.2023 antanut Ridetech International B.V.:lle ja Yandex LLC:lle määräyksen keskeyttää Yango-taksipalvelussa kerättyjen henkilötietojen siirtäminen Venäjälle ja lopettaa kerättyjen henkilötietojen käsittely. Tietosuojavaltuutetun antama väliaikainen määräys tulee voimaan 1.9.2023 ja on lähtökohtaisesti voimassa 30.11.2023 saakka. Tietosuojavaltuutetun toimiston mukaan Venäjällä 1.9.2023 alkaen voimaan tuleva lainsäädäntöuudistus heikentää merkittävästi Yango-taksipalvelua käyttävien henkilötietojen suojaa. - Uutiset
8.8.2023 11.41
Tietosuojavaltuutettu kieltää Yango-taksipalvelun henkilötietojen siirrot Suomesta Venäjälle väliaikaisestiTietosuojavaltuutettu on antanut Yandex LLC:lle ja Ridetech International B.V.:lle määräyksen keskeyttää Yango-taksipalvelussa kerättyjen asiakkaiden henkilötietojen siirtämisen Venäjälle ja lopettamaan kerättyjen henkilötietojen käsittelyn. Väliaikainen määräys tulee voimaan 1. syyskuuta ja on lähtökohtaisesti voimassa 30. marraskuuta saakka. Tietosuojavaltuutetun toimiston tietojen perusteella Venäjällä voimaan astuva lainsäädäntöuudistus heikentää merkittävästi Yangon taksipalvelua käyttävien henkilötietojen suojaa. - Uutiset
2.8.2023 11.40
Tietosuojavaltuutettu: verkkopalveluun ohjaaminen ei täyttänyt vaatimusta suoramarkkinoinnin vastustamisen vaivattomuudestaTietosuojavaltuutettu on määrännyt telealan yhtiön huolehtimaan siitä, että sähköisten suoramarkkinointiviestien vastaanottajille annetaan viestien yhteydessä mahdollisuus kieltää helposti yhteystietojensa käyttö suoramarkkinointitarkoituksiin. - Uutiset
31.7.2023 15.02
Tietosuojavaltuutetun toimisto julkaisi toimintakertomuksensa vuodelta 2022Kertomuksessa kuvataan vuoden tärkeimpiä tietosuojatapahtumia, keskeisimpiä ratkaisuja ja valvontatoimia eri toimialoilla sekä toiminnan tunnuslukuja. Vuotta leimasivat toimiston uudistettu strategia sekä tiivis eurooppalainen yhteistyö. - Uutiset
10.7.2023 10.10
Hallinto-oikeus: Tietosuoja-asiaa koskeva valitus (Google Workspace for Education -ohjelma)Hallinto-oikeus katsoi samoin kuin tietosuojavaltuutettu, että rekisterinpitäjän tapauksessa henkilötietojen käsittelyperusteeksi ei Googlen opetusohjelman osalta esitetyssä laajuudessa sovellu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, ja rekisterinpitäjän harjoittama henkilötietojen käsittely on tältä osin ollut päätöksessä kuvatulla tavalla yleisen tietosuoja-asetuksen vastaista. Tietosuojavaltuutettu oli voinut antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdassa tarkoitetun huomautuksen sekä d alakohdan mukaisen määräyksen saattaa henkilötietojen käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. (Vailla lainvoimaa 10.7.2023) - Uutiset
28.6.2023 13.25
Oikeusasiamies: Tietosuojavaltuutetun toimiston tiedoksiantoa koskevassa harkinnassa ei menetelty perustuslaissa turvatun hyvän hallinnon mukaisesti, eikä menettely täyttänyt hallintolain 54 §:n viranomaiselle asettamaa tiedoksiantovelvollisuuttaTapauksessa harkinnanvarainen saantitodistuksen käyttö tiedoksiannossa ja se, ettei muutakaan tiedoksiantotapaa ollut käytetty oli johtanut siihen, ettei päätöstä ollut annettu kantelijalle tiedoksi. Näin ollen kantelija ei myöskään ollut päässyt käyttämään perustuslaissa turvattua muutoksenhakuoikeuttaan. OA saattoi asiassa esittämänsä käsityksen tietosuojavaltuutetun toimiston menettelystä toimiston tietoon. - Uutiset
1.6.2023 13.26
Tietosuojavaltuutetun toimisto: Oikaisu Ilmatieteen laitokselle annettuun päätökseen – huomautus vaikutustenarvioinnin tekemättä jättämisestä poistettiinApulaistietosuojavaltuutettu on tehnyt oikaisun 27. huhtikuuta annettuun päätökseen, jossa Ilmatieteen laitoksen todettiin siirtäneen henkilötietoja lainvastaisesti Yhdysvaltoihin Googlen palveluiden kautta. Ilmatieteen laitokselle annettu huomautus yleisen tietosuoja-asetuksen 35 artiklan mukaista vaikutustenarviointia koskevasta rikkomuksesta on poistettu päätöksestä. Oikaistussa päätöksessä ei arvioida yleisen tietosuoja-asetuksen 35 artiklan noudattamista. - Uutiset
29.5.2023 7.37
STT: Ilmatieteen laitoksen saama huomautus henkilötietojen siirrosta kertoo, miten oudossa tilassa organisaatiot ovat yhdysvaltalaisten verkkopalvelujen kanssa – Google Analyticsin käyttö yrityksissä on todennäköisesti aina EU-lainsäädännön vastaista?Ilmatieteen laitoksen apulaistietosuojavaltuutetulta saama huomautus Google Analyticsista on vain oire paljon laajemmasta ongelmasta eli EU-lainsäädännön epäselvästä tilasta, sanoo Elinkeinoelämän keskusliiton EK:n asiantuntija Juho Mäki-Lohiluoma STT:lle. - Uutiset
25.4.2023 12.12
Tietosuojavaltuutetun toimisto: Norjan tietosuojaviranomaiselta noin 900.000 euron seuraamusmaksu SATS-kuntokeskusketjulle useista tietosuojarikkomuksista – toimii Suomessa Elixia-nimelläNorjan valvontaviranomainen on määrännyt kuntokeskusketju SATSille 10 miljoonan Norjan kruunun (noin 900 000 euron) hallinnollisen seuraamusmaksun useista puutteista tietosuojalainsäädännön noudattamisessa. Rikkomukset koskivat erityisesti rekisteröidyn oikeuksien toteuttamista, asiakkaiden informointia henkilötietojen käsittelystä ja henkilötietojen käsittelyperusteen puuttumista. Kuntokeskusketju toimii Norjan lisäksi myös Suomessa, Ruotsissa ja Tanskassa. - Uutiset
16.3.2023 10.44
Tietomurron kohteeksi joutuneelle Forenomille huomautus puutteellisista suojatoimista ja määräys lyhentää tietojen säilytysaikaaHyökkääjä oli saanut pääsyn Forenomin asiakkaille tarkoitettuun itsepalveluportaaliin ja siihen liittyvään toiminnanohjausjärjestelmään rajapinnan haavoittuvuuden kautta. Tietomurto koski kymmeniätuhansia henkilötietoja. Tietosuojavaltuutetun toimiston selvityksen mukaan majoitusalalla toimivan yrityksen suojatoimenpiteet olivat olleet puutteellisia. Lisäksi yritys oli säilyttänyt asiakkaiden henkilötietoja liian pitkään. - Uutiset
15.3.2023 13.31
Tietosuojavaltuutetun toimisto selvittää tietosuojavastaavien asemaa Suomessa – selvitys on osa Euroopan tietosuojaneuvoston yhteistä toimenpidettäEuroopan tietosuojaneuvosto on käynnistänyt tietosuojavastaavia koskevan koordinoidun toimenpiteen 15. maaliskuuta. Tietosuojaviranomaiset selvittävät, miten tietosuojavastaavien nimittäminen ja asema ovat toteutuneet eri ETA-maissa. Tietosuojavastaavat ovat organisaatioiden sisäisiä tietosuoja-asiantuntijoita, jotka neuvovat tietosuojasäännösten noudattamisessa ja toimivat rekisteröityjen yhteyshenkilöinä henkilötietojen käsittelyyn liittyvissä asioissa. - Uutiset
27.1.2023 13.05
Kansainvälistä tietosuojapäivää vietetään 28. tammikuuta – tietosuojavaltuutetun toimiston tavoitteena on edistää vastuullista digitaalista toimintaympäristöä ja tietosuojaoikeuksien toteutumistaVuotuisen tietosuojapäivän tarkoituksena on lisätä tuntemusta tietosuojaoikeuksista ja henkilötietojen käsittelyyn liittyvistä velvollisuuksista. Tietosuojavaltuutetun toimiston painopisteitä ovat vuonna 2023 muun muassa tietosuojaoikeudet tekoälyä hyödyntävässä automaattisessa päätöksenteossa, lasten tietosuoja ja läpinäkyvä informointi henkilötietojen käsittelystä. - Uutiset
17.1.2023 10.38
Apulaistietosuojavaltuutettu antoi huomautuksen kirjastojen aineistohakutietojen välittymisestä yhdysvaltalaisyritys GooglelleApulaistietosuojavaltuutettu on antanut Helsingin, Espoon, Vantaan ja Kauniaisten kaupungeille huomautuksen tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä. Pääkaupunkiseudun Helmet-kirjastojen verkkosivustolla on ollut käytössä seurantateknologioita, joiden kautta tietoja esimerkiksi käyttäjän hakemista kirjoista ja muusta aineistosta on voinut välittyä sivullisille. Henkilötietoja on myös siirretty lainvastaisesti Yhdysvaltoihin. - Uutiset
11.1.2023 11.08
Tietosuojavaltuutetun toimisto määräsi seuraamusmaksut perintäyhtiölle vakavista tietosuojarikkomuksista ja toiselle yhtiölle terveystietojen käsittelystäTietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt perintäyritys Alektum Oy:lle 750.000 euron suuruisen seuraamusmaksun. Perintäyhtiö ei ollut vastannut rekisteröidyn oikeuksia koskeviin pyyntöihin. Yritys myös vaikeutti ja hidasti asian tutkintaa välttelemällä valvontaviranomaista.
Toisessa tapauksessa tietosuojavaltuutetun toimisto määräsi yritykselle [Polar] 122.000 euron seuraamusmaksun tietosuoja-asetuksen rikkomisesta, sillä terveystietojen käsittely kuuluu yrityksen ydinliiketoimintaan. Lisäksi tietosuojavaltuutettu määräsi yrityksen korjaamaan käytäntönsä suostumuksen pyytämisessä. - Uutiset
21.12.2022 15.00
Apulaistietosuojavaltuutetulta huomautus terveydenhuollon toimijalle: Ulkopuoliselle päätyneiden laitteiden tietoja ei ollut salattuTietosuojavaltuutetun toimisto sai terveydenhuollon toimijalta ilmoituksen tietoturvaloukkauksesta, jonka mukaan kannettava tietokone, paperiasiakirjoja ja kaksi ulkoista kiintolevyä olivat päätyneet sivulliselle varastetussa tietokonelaukussa. Apulaistietosuojavaltuutetun mukaan yritys ei ollut suojannut laitteilla olleita henkilötietoja riittävällä tavalla. - Uutiset
16.12.2022 15.40
Apulaistietosuojavaltuutettu on tehnyt aloitteen koskien oppilas- ja opiskelijarekisterien tietojen luovutusta opiskeluhuollolleApulaistietosuojavaltuutettu on tehnyt opetus- ja kulttuuriministeriölle, sosiaali- ja terveysministeriölle, THL:lle ja Opetushallitukselle aloitteen, joka koskee oppilaiden ja opiskelijoiden tietojen luovuttamista opiskeluhuollon psykologi- ja kuraattoripalveluille. Aloitteen tavoitteena on, että tietojen luovutuksen edellytyksiä selvennettäisiin ja huomioitaisiin valtakunnallisessa ohjeistuksessa. - Uutiset
14.12.2022 10.36
Tietosuojavaltuutetun toimisto: Viking Linelle seuraamusmaksu ja huomautus työntekijöiden terveystietojen lainvastaisesta käsittelystäTietosuojavaltuutetun toimiston seuraamuskollegio määräsi Viking Line Oy Abp:lle 230.000 euron hallinnollisen seuraamusmaksun ja antoi huomautuksen työntekijöiden terveystietojen käsittelyyn liittyvistä tietosuojarikkomuksista. Yhtiö muun muassa tallensi työntekijöiden terveystietoja lainvastaisesti henkilöstöhallinnon järjestelmään. Puutteita havaittiin myös tavoissa, joilla yhtiö kertoi työntekijöilleen henkilötietojen käsittelystä.