Hyppää sisältöön

Yritykselle seuraamusmaksu tietosuojarikkomuksista pysäköinninvalvontamaksujen yhteydessä

Julkaisuajankohta 30.4.2021 10.01
Tiedote

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi 21. huhtikuuta ParkkiPate Oy:lle hallinnollisen seuraamusmaksun tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä. Rikkomuksissa on ollut kysymys muun muassa rekisteröidyn oikeuksien toteuttamatta jättämisestä, puutteista tietojen säilytysajan rajoittamisessa sekä rekisteröidyn tunnistamiseen liittyvistä käytännöistä.

Tietosuojavaltuutetun toimisto on saanut useita kanteluja rekisterinpitäjän toiminnasta. Tietosuojavaltuutetun toimistolle kannelleet henkilöt ovat pyytäneet rekisterinpitäjältä muun muassa tietoa siitä, mistä heidän henkilötietonsa oli hankittu ja millä perusteella henkilötietoja käsitellään. Lisäksi hakijat ovat pyytäneet esimerkiksi pääsyä omiin tietoihinsa tai tietojen poistoa.

Rekisterinpitäjä on kieltäytynyt toimittamasta tietoja ennen kuin se on varmistunut pyynnön esittäjän henkilöllisyydestä. Tunnistamista varten rekisterinpitäjä on vaatinut pyyntöjen esittäjiä toimittamaan muun muassa henkilötunnuksensa ja osoitteensa. Rekisterinpitäjän näkemyksen mukaan se ei voinut tunnistaa riittävällä tavalla pelkän nimen ja valvontamaksulle annetun asianumeron perusteella, mistä pysäköinninvalvontamaksusta on kysymys.  

Rekisteröidyn tunnistamista varten ei tule kerätä tietoja laajemmin kuin on tarpeen

Jos rekisterinpitäjällä on perusteltua syytä epäillä pyynnön tehneen henkilöllisyyttä, se voi pyytää lisätietoja henkilöllisyyden vahvistamiseksi. Tietojen minimoinnin periaatteen mukaisesti tietoja ei kuitenkaan tule pyytää enempää kuin tunnistamista varten on tarpeen.

Rekisterinpitäjä on säännönmukaisesti vaatinut tietoa henkilötunnuksesta tunnistamista varten kaikilta, jotka ovat halunneet käyttää tietosuojaoikeuksiaan. Rekisterinpitäjällä ei kuitenkaan ole alun perin ollut tiedossaan henkilötunnuksia, joten se ei ole voinut verrata rekisteröidyn ilmoittamaa henkilötunnusta sillä jo hallussaan olevaan tietoon.

Tietosuojavaltuutettu katsoo, että rekisterinpitäjä on toiminut yleisen tietosuoja-asetuksen vastaisesti käsittelemällä säännönmukaisesti henkilötietoja laajemmin kuin olisi tarpeen tunnistamista varten. Asiassa ei myöskään esitetty mitään sellaista, joka osoittaisi, että rekisterinpitäjällä olisi ollut perusteltua syytä epäillä pyynnön tekijän henkilöllisyyttä. Rekisterinpitäjän olisi siis pitänyt toteuttaa rekisteröityjen pyynnöt tietoihin pääsystä.

Tietojen säilytysajan on oltava rajattu ja siitä on kerrottava rekisteröidylle

Rekisterinpitäjä on kertonut antamassaan selvityksessä valokuvaavansa ajoneuvot sekä säilyttävänsä valokuvat ja jäljennökset valvontamaksulomakkeista kirjanpitotarkoituksiin. Rekisterinpitäjä on katsonut, että esimerkiksi kirjanpitolain lakisääteiset velvoitteet ja mahdolliset tulevat oikeudelliset jatkotoimet ovat estäneet tietojen poistamisen.

Tietosuojavaltuutettu toteaa, että kuvat ajoneuvosta tai valvontamaksulomakkeet eivät ole sellaisia kirjanpitolain mukaisia tositteisiin liittyviä tietoja, joita pitäisi säilyttää kirjanpitolaissa säädetyn ajan perusteella.

Tietoja ei myöskään voida säilyttää määrittelemätöntä aikaa sen nojalla, että rekisterinpitäjä mahdollisesti tulevaisuudessa päättää saattaa asian tuomioistuimen ratkaistavaksi. Henkilötietojen säilytysaika tai sen määrittämiskriteerit on tietosuoja-asetuksen mukaan määriteltävä, ja säilyttämisajan on oltava mahdollisimman lyhyt.

Puutteita havaittiin myös tavoissa, joilla rekisterinpitäjä informoi rekisteröityjä henkilötietojen käsittelystä.

Yritykselle määrättiin seuraamusmaksu tietosuojalainsäädännön rikkomisesta

Tietosuojavaltuutettu katsoo, että yrityksen toiminnassa on ollut kysymys yleisen tietosuoja-asetuksen säännönmukaisesta rikkomisesta. Tietosuojavaltuutettu antoi rekisterinpitäjälle huomautuksen henkilötietojen käsittelystä yleisen tietosuoja-asetuksen vastaisesti ja määräsi rekisterinpitäjän muuttamaan käytäntönsä lainmukaisiksi.

Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi yritykselle 75 000 euron suuruisen seuraamusmaksun.

Tietosuojavaltuutetun ja seuraamuskollegion päätöksistä voi valittaa hallinto-oikeuteen, eivätkä ne ole vielä lainvoimaisia.

Seuraamuskollegion päätös (pdf)

Tietosuojavaltuutetun päätökset Finlexissä

Lisätietoja:

tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.

Sivun alkuun