Tietosuojalautakunnan ratkaisut 2012

Lupa langattomien verkkojen kartoitukseen

Matkapuhelimia ja niiden käyttöjärjestelmiä valmistavat yritykset saivat tietosuojalautakunnalta luvan kerätä langattomien verkkojen tukiasemien ja liityntäpisteiden tietoja. Tietojen avulla muodostuvaa ”sähköistä karttapohjaa” käytetään mobiilien päätelaitteiden paikannuspalvelujen parantamiseen. Myös piilotetut, yksityiskäyttöön tarkoitetut liityntäpisteet kartoitetaan.

Mobiililaite tunnistaa ympäristönsä langattomien verkkojen tukiasemat ja liityntäpisteet ja hyödyntää niiden tietoja paikkatiedon muodostamisessa. Lisäksi laite lähettää liityntäpisteitä koskevat tiedot paikannustietokantaan. Langattomien verkkojen tukiasematietoja säilytetään paikannustietokannassa niin kauan kuin liityntäpiste pysyy samassa sijainnissa tai liityntäpisteestä tallennetaan tuoreempi tieto.

Nämä tiedot käsitellään siten, että laitteen sijaintia ei ole jälkikäteen mahdollista selvittää. Niin ikään esimerkiksi liityntäpisteiden kautta kulkevan viestinnän sisältöä ei kerätä, eikä tietoja kerätä esimerkiksi markkinoinnin kohdistamiseksi päätelaitteiden omistajiin.

Yritykset ilmoittivat keräävänsä liityntäpisteiden yksilöintitunnisteen (MAC-osoite), signaalin voimakkuuden ja radiotyypin sekä havaintopisteen paikkatiedot. Käyttäjille luvattiin tarjota helppo ja maksuton tapa poistaa laitteensa MAC-osoite tietokannasta ja estää sen palauttaminen jatkossa. Lautakunta katsoi, että liityntäpisteen MAC-osoite yhdistettynä sen laskettuun sijaintiin on henkilötieto, joten yritykset tarvitsivat tietojen keräämiseen lautakunnan luvan.

Lupa myönnettiin kolmeksi vuodeksi eli 24.5.2015 asti. Yhtiöiden on lautakunnan mukaan huolehdittava siitä, että käyttäjiltä pyydettävä suostumus on lainmukainen, tietoja säilytetään rajatun ajan ja niitä ei luovuteta kolmansille osapuolille.

päätös 3/24.5.2012
diaarinumero 3/932/2012

------

Nimi ja henkilötunnus eivät riitä tunnistamiseen

Yrityksen verkkopalvelussa asiakas saattoi varata ja perua aikoja optikolle tai silmälääkärille. Palveluun kirjauduttiin nimen ja henkilötunnuksen perusteella.

Tietosuojalautakunta määräsi yrityksen muuttamaan kirjautumistavan sellaiseksi, ettei sivullinen voi päästä tarkastelemaan asiakkaan varaustietoja. Kirjautuminen nimellä ja henkilötunnuksella ei suojannut yksityisyyttä riittävästi etenkin, kun kyse oli asiakkaiden terveydentilaan liittyvistä ja siten henkilötietolain mukaan arkaluonteisista tiedoista. Asiakkaan nimi ja henkilötunnus saattoivat olla monien muidenkin kuin asiakkaan itsensä tiedossa, ja sähköisessä järjestelmässä asiaton käyttö on helpompaa kuin perinteisillä ajanvaraustavoilla.

päätös 5/5.9.2012
diaarinumero 1/933/2012

-----

Markkinointikielto ei ole muotoon sidottu

Liiton kannattajajäsenet voivat ilmoittaa suoramarkkinointikieltoa laiminlyövistä yrityksistä. Liitto reklamoi laiminlyönnistä kyseiselle yritykselle ja tekee toimenpidepyynnön tietosuojavaltuutetulle kannattajajäsenen puolesta. Tapauksessa liitto oli pyytänyt teleoperaattoria noudattamaan suoramarkkinointikieltoa ja lopettamaan kannattajajäsenelle suunnatun markkinoinnin. Pyynnön liitteenä oli kannattajajäsenen allekirjoittama valtakirja. Siinä jäsen valtuutti liiton asiamiehen reklamoimaan teleoperaattorille ja tekemään toimenpidepyynnön tietosuojavaltuutetulle.

Tietosuojalautakunta katsoi, että valtakirjan sanamuodosta ilmeni riittävän yksilöidysti kielto-oikeuden toteuttamiseksi tarvittavat tiedot. Henkilön voitiin katsoa ainakin jälkeenpäin hyväksyneen liiton hänen puolestaan tekemän toimen.

Markkinointikielto perustuu henkilötietolain 30 §:ään. Sen mukaan rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä koskevia tietoja suoramarkkinointitarkoituksiin. Henkilötietolaissa tai sen esitöissä kielto-oikeuden käytölle ei aseteta muotovaatimuksia. Riittää, että rekisteröityä koskevat tiedot ovat riittävän yksilöityjä ja että rekisteröidyn tahto käy kiellosta ilmi riittävän selvästi.

Tietosuojalautakunnan ratkaisu ei ole lainvoimainen, sillä päätöksestä on valitettu hallinto-oikeuteen. 

päätös 6/6.10.2012
diaarinumero 2/933/2012

----

Uusia luottolaitosten asiakashäiriörekistereitä

Tietosuojalautakunta oli vuonna 2004 antanut (päätös 2/4.2.2004) antanut luvan luottolaitoksille ja eräille muille yrityksille luvan käsitellä henkilötietoja asiakashäiriörekisterin ylläpitoa varten. Nyt lautakunta laajensi luvan koskemaan kahta uutta yritystä. Samalla päivitettiin luvanhaltijoiden tietoja.

Luvan saaneilla yrityksillä on oikeus tallettaa asiakashäiriörekistereihinsä entisiä asiakkaitaan koskevia saamisen maksuviivästymistietoja sekä tietoja hakemuksessa mainittuihin toimintoihin välittömästi kohdistuneista väärinkäytöksistä. Lupa myönnettiin myös väärinkäytöstietojen luovuttamiseen muille hakijayrityksille.

Lupaan sisältyy useita lupamääräyksiä, joista Helsingin hallinto-oikeus on sittemmin poistanut (Helsingin hallinto-oikeuden päätös 15.12.2004 nro 04/1066/2) päätöksen kohdassa 2B annetun väärinkäytöstietojen käsittelyä koskevan lupamääräyksen 6.

päätös 18.12.2012
diaarinumero 6/932/2012

-----------

Tunnistusohjelman käyttö vaati luvan

Perintäyhtiö haki tietosuojalautakunnalta lupaa käsitellä väestötietojärjestelmässä myös sellaisten henkilöiden tietoja, jotka eivät ole perinnän kohteena.

Yhtiö pyysi lupaa käsitellä väestötietojärjestelmän tietoja THS-tunnistusohjelmalla, jota käyttämällä henkilön tietoja voi hakea järjestelmästä ilman henkilötunnusta. Esimerkiksi nimen perusteella haettaessa THS antaa vastaukseksi tiedot kaikista kyseisen nimisistä henkilöistä. Yhtiön mukaan perintään siirtyvistä laskuista puuttuvat usein tiedot velallisen henkilötunnuksesta ja ajantasaisesta osoitteesta, joten THS:n avulla voitaisiin varmistaa, että perintäkirje lähtee oikealle henkilölle.

Perintäyhtiöllä oli oikeus käsitellä väestötietojärjestelmän tietoja sekä oikeus hakea THS:n avulla tietoja perinnän kohteina olevista henkilöistä, koska heillä on asiallinen yhteys yrityksen toimintaan. THS-haku tuo kuitenkin näkyviin myös muiden kuin velallisten henkilötietoja, ja näiden tietojen käsittelyyn yritys tarvitsi tietosuojalautakunnan luvan.

Lautakunta antoi perintäyhtiölle luvan käsitellä muiden kuin velallisten tietoja THS-ohjelmalla, koska se auttaa perinnän kohdentamista oikeaan henkilöön sekä yksinkertaistaa ja nopeuttaa perintään kuuluvaa henkilötietojen käsittelyä.

Lupamääräyksen mukaan perintäyhtiö saa käsitellä tietoja vain velallisen tunnistamiseksi ja henkilötietolain huolellisuusvelvoitetta noudattaen, jotta rekisteröityjen yksityisyydensuojaa ja oikeuksia ei vaaranneta. Niin ikään tiedot on hävitettävä välittömästi, kun ne eivät ole enää tarpeen perinnän kohdistamiseksi oikeaan henkilöön.

päätös 7/18.12.2012
diaarinumero 7/932/2012

 

Toisessa tapauksessa perintäyhtiö haki tietosuojalautakunnalta lupaa saada ja käsitellä väestötietojärjestelmästä THS-tunnistusohjelmalla sellaisten henkilöiden tietoja, joilla ei ole henkilötietolain tarkoittamaa asiallista yhteyttä yrityksen harjoittamaan perintätoimintaan. Yritys perusteli hakemusta perinnän kohdistamisella oikeaan henkilöön.

Tietosuojalautakunta totesi, ettei se ole toimivaltainen päättämään tietojen luovuttamisesta väestötietojärjestelmästä THS-ohjelmaa käyttäen ja jätti siltä osin hakemuksen tutkimatta. Lautakunta antoi perintäyhtiölle luvan käsitellä muiden kuin velallisten tietoja THS-ohjelmalla.

Lupamääräyksen mukaan perintäyhtiö saa käsitellä tietoja vain velallisen tunnistamiseksi ja henkilötietolain huolellisuusvelvoitetta noudattaen, jotta rekisteröityjen yksityisyydensuojaa ja oikeuksia ei vaaranneta. Niin ikään tiedot on hävitettävä välittömästi, kun ne eivät ole enää tarpeen perinnän kohdistamiseksi oikeaan henkilöön.

päätös 8/18.12.2012
diaarinumero 8/932/2012

---------

 

Päivitetty 15.10.2014: lisätty ratkaisulyhennelmiä

 
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.