Hyppää sisältöön

Optikkoliike voi käsitellä asiakkaan henkilötietoja myös muulla perusteella kuin asiakkaan suostumuksella

16.2.2021 16.57
Tiedote

Tietosuojavaltuutettu on antanut päätöksen optikkoliikkeen henkilötietojen käsittelystä asiakkaan tietojen poistoa koskevassa asiassa. Tietosuojavaltuutettu katsoo, että rekisterinpitäjällä on ollut yleisen tietosuoja-asetuksen mukainen peruste käsitellä henkilötietoja, ja että sen käsittelemät henkilötiedot ovat olleet tarpeellisia asiakkaan tunnistamista varten. Rekisterinpitäjä ei kuitenkaan kertonut rekisteröidylle riittävällä tavalla millaisiin toimenpiteisiin se on ryhtynyt poistopyynnön myötä tai miksi tietoja ei voida poistaa. Rekisterinpitäjä myös määrättiin poistamaan sellaiset tiedot, joiden säilytys ei ole tarpeellista sen laissa säädetyn tehtävän vuoksi.

Tietosuojavaltuutetun toimisto on saanut kantelun asiakkaalta, joka on pyytänyt optikkoliikettä poistamaan tietonsa, mutta ei ole saanut pyyntöönsä vastausta.

Ostettuaan silmälasit optikkoliikkeestä asiakas oli huomannut, että yrityksen järjestelmään on tallennettu hänestä tietoja. Hakija otti yhteyttä optikkoliikkeeseen ja ilmoitti, ettei ole antanut suostumusta tietojensa tallentamiseen. Asiakas pyysi rekisterinpitäjää poistamaan kaikki häntä koskevat tiedot, mutta ei saanut vastausta tiedusteluunsa.

Rekisterinpitäjä voi käsitellä henkilötietoja varmistuakseen asiakkaan henkilöllisyydestä

Tietojen poistopyynnön yhteydessä rekisterinpitäjä on pyytänyt asiakkailta tietoja varmistuakseen heidän henkilöllisyydestään. Pyyntö tietojen poistamiseen on ollut mahdollista tehdä verkkolomakkeella. Rekisterinpitäjä on kertonut pyytävänsä verkkolomakkeella tunnistetietoja, joita se vertaa asiakasrekisterissään oleviin tietoihin. 

Koska rekisterinpitäjän verkkolomakkeella tunnistamistarkoitukseen keräämät tiedot ovat samoja tietoja, joita rekisterinpitäjä tavanomaisesti käsittelee rekisteröidyistä asiakasrekisterissään, tietosuojavaltuutettu katsoo, ettei henkilötietoja ole käsitelty yleisessä tietosuoja-asetuksessa säädetyn tietojen minimointiperiaatteen vastaisesti.

Käsittelyyn on ollut lainmukainen peruste, mutta rekisteröidyn informoinnissa on ollut puutteita

Rekisterinpitäjältä saadun selvityksen mukaan asiakkaan henkilötietojen käsittelyn perusteena on ollut sopimus sekä rekisterinpitäjän oikeutettu etu. Tietosuojavaltuutettu toteaa, että suostumus on vain yksi mahdollinen peruste henkilötietojen käsittelylle.

Mikäli hakija on käyttänyt optikon tai silmälääkärin palveluita, henkilötietojen käsittely on voinut perustua myös rekisterinpitäjän lakisääteiseen velvoitteeseen. Terveydenhuollon ammattihenkilölain mukaisesti optikko on terveydenhuollon ammattihenkilö. Tämän vuoksi optikon tulee potilaan asemasta ja oikeuksista annetun lain mukaan merkitä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot.

Tietosuojavaltuutettu on päätöksessään katsonut, että rekisterinpitäjällä on ollut henkilötietojen käsittelylle yleisen tietosuoja-asetuksen 6 artiklan edellyttämä peruste.

Tietosuojavaltuutettu on kuitenkin antanut rekisterinpitäjälle huomautuksen. Tietosuojavaltuutetun mukaan rekisterinpitäjä ei viestinyt asiakkaalle riittävän selkeästi siitä, millaisiin toimenpiteisiin se on ryhtynyt asiakkaan pyynnön jälkeen tai miksi tietoja ei voida poistaa. Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, tietosuoja-asetus edellyttää rekisterinpitäjää ilmoittamaan rekisteröidylle syyt siihen viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. 

Tietosuojavaltuutettu on myös antanut rekisterinpitäjälle määräyksen noudattaa asiakkaan pyyntöä saada tietonsa poistetuksi siltä osin, kun kyse ei ole potilaan asemasta ja oikeuksista annetun lain mukaisista potilasasiakirjoista.

Päätöksestä voi valittaa hallinto-oikeuteen, joten se ei ole vielä lainvoimainen.

Tietosuojavaltuutetun päätös Finlexissä

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Sivun alkuun