Otavamedialle seuraamusmaksu puutteista tietosuojaoikeuksien toteutuksessa

Tietosuojavaltuutettu havaitsi puutteita Otavamedia Oy:n rekisteröityjen tietojen tarkastus- ja poistopyyntöjen toteutuksessa. Lisäksi allekirjoitettavan lomakkeen vaatiminen asiakkaan tunnistamista varten oli tietosuojasäännösten vastaista.

Tietosuojavaltuutetun toimistolle saatettiin vuosina 2018–2021 vireille yksitoista Otavamediaa koskevaa asiaa. Kantelijat eivät olleet muun muassa saaneet vastausta tietosuojaoikeuksia koskeviin pyyntöihinsä tai tiedusteluihinsa.

Rekisteröityjen yhteydenottokanavat testattava säännöllisesti

Otavamedian antaman selvityksen mukaan osa tietosuojapyynnöistä oli jäänyt toteuttamatta sähköpostiohjauksen teknisen ongelman vuoksi palveluntarjoajan vaihdon yhteydessä. Virhetilanteen aikana tietosuoja-asioille varattuun sähköpostilaatikkoon saapuneet viestit eivät olleet ohjautuneet asiakaspalvelijoille. Tilanne havaittiin vasta tietosuojavaltuutetun toimiston selvityspyynnön myötä. Sähköpostiohjauksen katkos oli kestänyt tuolloin seitsemän kuukautta.

Tietosuojavaltuutettu toteaa, että Otavamedian olisi tullut huolehtia sähköpostilaatikon testaamisesta, sillä kyseessä on ollut rekisteröityjen pääasiallinen sähköinen yhteydenottokanava tietosuoja-asioissa.

Yhtiö on toteuttanut kaikki kanteluiden kohteena olleet tietosuojapyynnöt ja kertonut ottaneensa käyttöön prosessin sähköpostin säännölliseen testaamiseen.

Tunnistamista varten ei tule pyytää tarpeettomia tietoja

Rekisteröidyillä on ollut mahdollisuus tehdä Otavamedialle omia tietojaan koskevia pyyntöjä tulostettavalla lomakkeella. Lomakkeelle vaadittiin henkilön allekirjoitus tunnistamistarkoituksiin.

Tietosuojavaltuutettu katsoo, että tällä toimintatavalla Otavamedia on kerännyt tunnistamista varten tietoja tarpeettoman laajasti. Otavamedia ei käsittele allekirjoitustietoja muissa yhteyksissä, minkä vuoksi allekirjoitusta ei ole esimerkiksi voitu verrata aiemmin hallussa olleeseen tietoon.

Tietosuojavaltuutettu muistuttaa, ettei rekisterinpitäjä saa hankaloittaa rekisteröidyn oikeuksien käyttämistä. Tietosuojapyynnöille ei esimerkiksi voi edellyttää tiettyjä muotovaatimuksia ilman perusteltua syytä. Yleisessä tietosuoja-asetuksessa ei ole vaatimusta allekirjoituksen edellyttämisestä henkilöllisyyden todentamiseksi toisin kuin vanhassa henkilötietolaissa.

Seuraamusmaksu ja huomautus tietosuojarikkomuksista

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Otavamedialle 85 000 euron hallinnollisen seuraamusmaksun puutteista rekisteröidyn oikeuksien toteuttamisessa sähköpostikanavan kautta. Tietosuojavaltuutettu määräsi Otavamedian korjaamaan menettelynsä tietosuojasäännösten mukaiseksi ja luopumaan allekirjoitettavasta lomakkeesta. Yhtiölle annettiin lisäksi huomautus rekisteröidyn oikeuksien laiminlyönnistä.

Seuraamuskollegion mukaan puutteet tietosuojaoikeuksien toteutusta koskevassa menettelyssä ovat vaikuttaneet suureen määrään rekisteröityjä. Otavamedian verkkopalvelut tavoittavat kuukausittain yli 2 miljoonaa suomalaista.

Päätökset ovat lainvoimaisia.

Tietosuojavaltuutetun ja seuraamuskollegion päätös Finlexissä

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.