Rekisteröidyn pyyntö tarkastaa tietonsa toteutettava ennen pyyntöä tietojen poistosta – pankille huomautus puutteellisista toimintatavoista
Tietosuojavaltuutettu on antanut pankille huomautuksen tietosuoja-asetuksen vastaisesta menettelystä rekisteröidyn oikeuksien toteutuksessa. Pankki ei ollut toteuttanut kahden entisten asiakkaansa pyyntöjä saada tarkastaa tai poistaa itseään koskevat tiedot tietosuojasäännösten mukaisesti. Erityisen moitittavana tietosuojavaltuutettu pitää sitä, että pankki oli poistanut henkilön tiedot ennen tarkastusoikeuden toteutusta.
Kaksi henkilöä ilmoitti tietosuojavaltuutetun toimistolle saaneensa pankilta asiakaskirjeen siitä huolimatta, että he olivat asiakkuuden päättyessä pyytäneet pankkia poistamaan asiakastietonsa.
Toisessa tapauksessa henkilö kertoi, että oli useaan otteeseen pyytänyt tietojensa poistamista, muttei ollut saanut vahvistusta siitä, onko tiedot poistettu.
Toinen kantelijoista oli kirjeen saatuaan pyytänyt saada tarkastaa kaikki pankin järjestelmissä olevat henkilötietonsa, mutta ei ollut saanut vastausta pyyntöönsä. Saatuaan myöhemmin pankilta jäljennöksen tiedoistaan henkilö oli pyytänyt tietojen poistamista. Hänen näkemyksensä mukaan pankin toimittama jäljennös asiakastiedoista sisälsi tietoja, jotka olisi pitänyt jo poistaa. Jäljennöksestä myös puuttui osa tiedoista.
Pankin mukaan molemmissa tapauksissa on ollut kyse inhimillisistä virheistä. Pankki kertoi tietosuojavaltuutetun toimistolle olevansa yhteydessä entiseen asiakkaaseensa puuttuvien tietojen toimittamiseksi. Myöhemmin pankki kuitenkin ilmoitti tehneensä riskiarvion tietojen säilyttämisestä ja poistaneensa jäljellä olleet tiedot. Tiedot poistettiin ennen kuin henkilön pyyntö tarkastaa tietonsa oli toteutettu kokonaisuudessaan.
Toisessa tapauksessa pankki ei ollut poistanut kaikkia tietoja, sillä se oli katsonut voivansa edelleen säilyttää niitä esimerkiksi lakisääteisistä syistä. Pankin sisäisten väärinymmärrysten vuoksi asiakas ei kuitenkaan saanut vahvistusta pyyntönsä käsittelystä.
Puutteita rekisteröidyn oikeuksien toteutuksessa
Tietosuojavaltuutettu katsoo, että pankin olisi pitänyt poistaa tiedot, joiden säilyttäminen ei enää ollut tarpeellista ja ilmoittaa asiakkaalle viipymättä syyt siihen, miksi osaa tiedoista ei voitu poistaa.
Tietosuojavaltuutettu toteaa, että jos rekisteröity esittää molemmat pyynnöt, tarkastusoikeus tulee pyrkiä toteuttamaan kokonaisuudessaan ennen tietojen poistamista. Tietojen poistamisen jälkeen tarkastusoikeutta ei voida enää toteuttaa. ”Vastaisuudessa tällaisissa tilanteissa harkitaan seuraamusmaksun määräämistä, vaikka kyse olisi yksittäistapauksesta”, tietosuojavaltuutettu Anu Talus sanoo.
Päätökset eivät vielä ole lainvoimaisia.
Tietosuojavaltuutetun päätökset:
- Tietosuojavaltuutetun päätös 7587/162/20 (pdf)
- Tietosuojavaltuutetun päätös 1601/452/18 ruotsiksi (pdf)
- Tietosuojavaltuutetun päätös 1601/452/18 suomeksi (pdf)
Lisätietoja:
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, puh. 029 566 6787