Hyppää sisältöön

Tietosuojavaltuutettu on antanut ensimmäisen päätöksen johtavana valvontaviranomaisena rajatylittävässä asiassa – oikeutta saada pääsy tietoihin ei ollut toteutettu tietosuojasäännösten mukaisesti

Julkaisuajankohta 12.7.2021 10.31
Tiedote

Tietosuojavaltuutettu on määrännyt Nissan Nordic Europe Oy:n korjaamaan käytäntönsä koskien rekisteröidyn oikeutta saada pääsy tietoihin. Rekisterinpitäjä ei toimittanut yleisessä tietosuoja-asetuksessa säädetyn määräajan sisällä tietoja asiakkaalle, joka oli pyytänyt pääsyä omiin henkilötietoihinsa. Kyseessä on ensimmäinen tietosuojavaltuutetun antama ratkaisu rajatylittävässä asiassa, jossa henkilötietojen käsittely koskee useassa EU-maassa asuvia rekisteröityjä.

Rekisterinpitäjä oli ilmoittanut toimittavansa autoliikkeessä asioineelle henkilölle tämän pyytämät tiedot yleisessä tietosuoja-asetuksessa säädetyn aikarajan puitteissa. Tietoja ei kuitenkaan ollut toimitettu, minkä vuoksi asiakas teki kantelun Tanskan valvontaviranomaiselle. Tanskan valvontaviranomaisen yhteydenoton jälkeen rekisterinpitäjä kertoi toimittavansa tiedot asiakkaalle. Asiakas kuitenkin ilmoitti kahden kuukauden kuluttua, ettei ollut edelleenkään saanut pyytämiään tietoja.

Nissan Automotive Europe S.A.S. -yhtiön keskushallinnon sijaintipaikka on Ranskassa, mutta kantelun kohteena ollutta henkilötietojen käsittelyä koskevat päätökset tehdään Nissan Nordic Europe Oy:ssä. Nissan Nordic Europe Oy:n päätoimipaikka sijaitsee Suomessa ja yhtiö toimii useassa Pohjoismaassa sekä Baltian maissa. Koska tapaukseen liittyvästä henkilötietojen käsittelystä vastaa Suomessa sijaitseva toimipaikka, toimi Suomen valvontaviranomainen eli tietosuojavaltuutetun toimisto asiassa johtavana valvontaviranomaisena.

Oikeus saada pääsy tietoihin koskee myös puhelutallenteita

Rekisterinpitäjän antaman selvityksen mukaan tietoja ei ollut toimitettu asiakkaalle määräajan puitteissa inhimillisen erehdyksen vuoksi. Asiakkaalle oli myöhemmin toimitettu pyydetyt tiedot puhelutallenteita lukuun ottamatta. Tiedot toimitettiin kuitenkin vasta lähes kaksi vuotta pyynnön jälkeen.

Rekisterinpitäjä ei kertomansa mukaan ollut luovuttanut puhelutallenteita, sillä kolmas osapuoli oli ollut niiltä tunnistettavissa. Rekisterinpitäjä oli kuitenkin varannut asiakkaalle mahdollisuuden käydä toimipisteessä kuuntelemassa ne puhelutallenteet, jotka vielä tuolloin olivat sen hallussa. Tietosuojavaltuutettu kuitenkin katsoo, että rekisterinpitäjän käytäntö tarkastusoikeuden toteuttamisessa puhelutallenteiden osalta ei ollut yleisen tietosuoja-asetuksen mukainen.

Rekisterinpitäjän on toimitettava rekisteröidylle jäljennös käsiteltävistä henkilötiedoista. Jäljennös puhelutallenteista voidaan toimittaa kirjallisessa muodossa esimerkiksi litteroituna tai tapauksen mukaan sähköisesti, kuten nauhoitteena. Rekisterinpitäjä voi halutessaan tarjota rekisteröidylle puhelutallenteen kuuntelumahdollisuuden, mutta se ei voi olla ainoa tapa toteuttaa oikeus tietoihin pääsyyn.

Lisäksi tietosuojavaltuutettu huomauttaa, että puhelunauhoitteisiin sisältyy käytännössä aina myös toista henkilöä koskevia henkilötietoja, eikä tämän voida katsoa olevan esteenä rekisteröidyn oikeuden toteuttamiselle.

Tietosuojavaltuutettu antoi rekisterinpitäjälle huomautuksen yleisen tietosuoja-asetuksen vastaisesta henkilötietojen käsittelystä sekä määräyksen muuttaa toimintatapansa rekisteröidyn oikeuden toteuttamiseksi tietosuojalainsäädännön mukaiseksi. Rekisterinpitäjä on kertonut selvittävänsä, mistä erehdys johtui sekä päivittäneensä menettelytapansa ja ohjeensa tietoihin pääsyä koskevan oikeuden toteuttamiseksi.

Päätös ei ole vielä lainvoimainen.

Tietosuojavaltuutetun päätös Finlexissä

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Sivun alkuun