Tietosuojavaltuutettu: rekisterinpitäjän on huolehdittava riittävistä toimenpiteistä rekisteröidyn oikeuksien toteuttamiseksi
Tietosuojavaltuutettu on antanut huomautukset yleisen tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien ja rekisterinpitäjälle kuuluvien velvollisuuksien laiminlyönneistä kahdelle yritykselle, jotka ovat jatkaneet yhteydenpitoa asiakkaaseen tietojen poistoa tai vastustamisoikeutta koskevasta pyynnöstä huolimatta. Kummassakin tapauksessa rekisterinpitäjät perustelevat yhteydenottojen jatkumista niiden järjestelmässä olleella teknisellä virheellä.
Vastustamisoikeutta suoramarkkinointiin ei toteutettu potilastietojärjestelmän virheen vuoksi
Toisessa tapauksessa asiakas oli kahdesti pyytänyt optikkoyritystä lopettamaan yhteydenotot, joita tämä oli alkanut saada optikkoliikkeessä asiointinsa jälkeen. Yleisen tietosuoja-asetuksen 21 artiklan mukaan rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä suoramarkkinointiin, jolloin tietoja ei saa enää käsitellä tähän tarkoitukseen.
Yritys oli ilmoittanut merkitsevänsä asiakkaan tietoihin suoramarkkinointikiellon, mutta siitä huolimatta suoramarkkinointiviestien lähetys jatkui. Optikkoyrityksen mukaan syynä tähän oli tekninen virhe sen järjestelmässä. Rekisterinpitäjä on kertonut korjanneensa virheen heti, kun se on huomattu.
Asiakastiedot eivät poistuneet automaattisesti sähköpostijakelun järjestelmästä
Toisessa tapauksessa asiakas oli toistuvasti saanut verkkopalveluyritykseltä asiakasviestejä asiakkuutensa päättymisen jälkeen, vaikka oli pyytänyt useita kertoja yritystä poistamaan tietonsa sähköpostijakelusta. Yleisen tietosuoja-asetuksen 17 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot, jos tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin.
Rekisterinpitäjän mukaan viestien lähettäminen johtui teknisestä virheestä, jonka vuoksi asiakkaan passiiviseksi merkitty sähköpostiosoite ei ollut automaattisesti poistunut asiakastiedotelistalta. Rekisterinpitäjä kertoo tarkistavansa jatkossa poistopyyntöjen yhteydessä myös manuaalisesti, että henkilön tiedot poistetaan listalta.
Rekisterinpitäjät määrättiin muuttamaan toimintaansa yleisen tietosuoja-asetuksen mukaiseksi
Rekisterinpitäjien tulisi varmistua henkilötietojen käsittelyssä käytettävien teknisten ja organisatoristen toimenpiteiden toimivuudesta, jotta käsittely on yleisen tietosuoja-asetuksen mukaista. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Tietosuojavaltuutettu katsoo päätöksissä, että rekisterinpitäjät eivät ole toteuttaneet tällaisia toimenpiteitä varmistaakseen, että ne käsittelevät vain tarpeellisia henkilötietoja.
Tietosuojavaltuutettu antoi molemmille rekisterinpitäjille huomautuksen, sillä ne eivät olleet varmistaneet rekisteröidyn oikeuksien toteuttamista riittävällä tavalla.
Päätökset eivät ole vielä lainvoimaisia, sillä niistä voi valittaa hallinto-oikeuteen.
Tietosuojavaltuutetun päätös suoramarkkinoinnin vastustamista koskevassa asiassa Finlexissä
Tietosuojavaltuutetun päätös tietojen poistoa koskevassa asiassa Finlexissä
Lisätietoja:
Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766