Ilmatieteen laitos ei ollut noudattanut henkilötietojen siirtoperustetta reCAPTCHA ja Google Analytics -palveluiden käytössä
Ks. oheisesta linkistä Tietosuojatyöryhmän ohje 17/FI WP 248 rev.01 (WP 248) ”Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu ”korkea riski”, annettu 4.4.2017.
- Rekisterinpitäjän tehtävänä on varmistaa, että tietosuojaa koskeva vaikutustenarviointi on tehty (35 artiklan 2 kohta). Tietosuojaa koskevan vaikutustenarvioinnin voi tehdä joku muu organisaation sisällä tai sen ulkopuolella, mutta viime kädessä siitä vastaa rekisterinpitäjä.
—
– – ”Apulaistietosuojavaltuutettu toteaa, että Ilmatieteen laitos ei ollut määritellyt tai soveltanut lainmukaista henkilötietojen siirtoperustetta reCAPTCHA ja Google Analytics -palveluiden käytössä. Se ei myöskään ollut keskeyttänyt tiedonsiirtoja viipymättä EU-tuomioistuimen Schrems II-ratkaisun (C-311/18) jälkeen, vaikka sillä ei ollut tietojen siirtämiselle enää pätevää siirtoperustetta. EU-tuomioistuimen ratkaisussa kumottiin EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely, jonka perusteella tietoja voitiin aiemmin siirtää.
Apulaistietosuojavaltuutettu muistuttaa, että EU- ja ETA-alueen ulkopuolelle tehtävien tiedonsiirtojen perusteena ei voida käyttää esimerkiksi rekisteröidyltä evästeiden käyttöön hankittavaa suostumusta.” – –
27.4.2023
”Apulaistietosuojavaltuutetun päätös henkilötietojen siirtoa kolmansiin maihin koskevassa asiassa”
– – ”Tiedonsiirtoja koskeva vaikutustenarviointi
Yleisen tietosuoja-asetuksen 35 artikla edellyttää, että rekisterinpitäjä tekee ennen käsittelytoimenpiteisiin ryhtymistä arvioinnin suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle silloin, kun käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin.
Tietosuojaa koskevan vaikutustenarvioinnin avulla on tarkoitus kuvata henkilötietojen käsittelyä, arvioida sen tarpeellisuutta ja oikeasuhteisuutta sekä tukea luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvien henkilötietojen käsittelystä aiheutuvien riskien hallintaa arvioimalla riskit ja määrittelemällä toimenpiteet, joilla niihin puututaan. Tietosuojaa koskeva vaikutustenarviointi on osoitusvelvollisuuden kannalta tärkeä työkalu, koska se auttaa rekisterinpitäjiä paitsi noudattamaan yleisen tietosuoja-asetuksen vaatimuksia, myös osoittamaan, että asetuksen noudattaminen on varmistettu asianmukaisin toimenpitein. Tietosuojaa koskeva vaikutustenarviointi on toisin sanoen menettely, jolla parannetaan vaatimusten noudattamista ja osoitetaan niiden noudattaminen.8
Nyt arvioitavassa asiassa rekisterinpitäjä on todennut tietosuojavaltuutetun toimistolle antamassaan selvityksessä, ettei se ole tehnyt vaikutustenarviointia henkilötietojen käsittelyyn liittyvien tiedonsiirtojen osalta. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjän olisi tullut noudattaa henkilötietojen käsittelyssä rekisterinpitäjältä edellytettyä riskiperusteista lähestymistapaa ja huomioida, että menettelyyn liittyy yleisen tietosuoja-asetuksen 35 artiklan 1 kohdassa tarkoitettu todennäköinen korkea riski ja että 7 Google Analytics Opt-out Browser Add-on. 8
Ks. tietosuojatyöryhmän ohje WP 248: Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu ”korkea riski”, annettu 4.4.2017, s. 4. erityisesti yhdysvaltalaisviranomaisen pääsymahdollisuus seurantateknologioiden kautta kerättyihin henkilötietoihin muodostaa korkean riskin luonnollisen henkilön oikeuksien ja vapauksien kannalta.
Täsmennettäköön edellä todettuun, että vaikutustenarviointi tulee laatia myös tilanteessa, jossa henkilötietojen käsittelyyn ei alun perin ole liittynyt todennäköistä korkeaa riskiä, mutta tällainen riski on sittemmin aktualisoitunut.
Rekisterinpitäjän olisi edellä todetusti tullut laatia tiedonsiirtoja koskeva vaikutustenarviointi, jossa rekisterinpitäjä olisi arvioinut esimerkiksi kansainvälisiin henkilötietojen siirtoihin liittyviä suojatoimiaan. Rekisterinpitäjä on nyt tarkasteltavassa asiassa laiminlyönyt tämän keskeisen velvollisuutensa, ja rekisterinpitäjälle annetaan tämän menettelyn osalta huomautus.
—
Ks. edellä viitattu Schrems II-ratkaisu (C-311/18):
UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
16 päivänä heinäkuuta 2020 (*)
Ennakkoratkaisupyyntö – Yksilöiden suojelu henkilötietojen käsittelyssä – Euroopan unionin perusoikeuskirja – 7, 8 ja 47 artikla – Asetus (EU) 2016/679 – 2 artiklan 2 kohta – Soveltamisala – Henkilötietojen siirto kolmanteen maahan kaupallisissa tarkoituksissa – 45 artikla – Tietosuojan riittävyyttä koskeva komission päätös – 46 artikla – Siirrot asianmukaisia suojatoimia soveltaen – 58 artikla – Valvontaviranomaisten toimivaltuudet – Kolmannen maan viranomaisten toteuttama siirrettyjen tietojen käsittely kansallista turvallisuutta varten – Kolmannen maan tietosuojan riittävyyden arviointi – Päätös 2010/87/EU – Tietosuojaa koskevat vakiolausekkeet henkilötietojen kolmanteen maahan siirtoa varten – Rekisterinpitäjän tarjoamat asianmukaiset suojatoimet – Pätevyys – Täytäntöönpanopäätös (EU) 2016/1250 – EU:n ja Yhdysvaltojen välisen Privacy Shield ‑järjestelyn tarjoaman tietosuojan tason riittävyys – Pätevyys – Luonnollisen henkilön, jonka tiedot on siirretty Euroopan unionista Yhdysvaltoihin, tekemä kantelu” – –
– – ”Asetuksen 2016/679 46 artiklan 1 kohtaa ja 2 kohdan c alakohtaa on tulkittava siten, että näissä säännöksissä vaadituilla asianmukaisilla suojatoimenpiteillä, täytäntöönpanokelpoisilla oikeuksilla ja tehokkailla oikeussuojakeinoilla on varmistettava, että henkilöiden, joiden henkilötietoja siirretään kolmanteen maahan tietosuojaa koskevien vakiolausekkeiden perusteella, saavat sellaisen suojan tason, joka pääosiltaan vastaa tasoa, joka taataan Euroopan unionissa tämän asetuksen, luettuna Euroopan unionin perusoikeuskirjan valossa, nojalla.
Tätä varten tällaisen siirron yhteydessä varmistetun suojan tason arvioinnissa on muun muassa otettava huomioon yhtäältä unioniin sijoittautuneen rekisterinpitäjän tai sen henkilötietojen käsittelijän ja asianomaiseen kolmanteen maahan sijoittautuneen siirron vastaanottajan välillä sovitut sopimusmääräykset ja toisaalta, siltä osin kuin kyse on tämän kolmannen maan viranomaisten mahdollisesta pääsystä näin siirrettyihin henkilötietoihin, tämän maan oikeusjärjestelmään liittyvät merkitykselliset tekijät, erityisesti mainitun asetuksen 45 artiklan 2 kohdassa mainitut tekijät.” – –
Ks. edellä viitattu
ASETUKSET
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679,
annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)
(ETA:n kannalta merkityksellinen teksti)
–
Ks. myös ”35 artikla GDPR. Tietosuojaa koskeva vaikutustenarviointi”
–
SFS-EN ISO/IEC 27701:2021
Turvallisuustekniikat. Standardien ISO/IEC 27001 ja ISO/IEC 27002 tietosuojalaajennus. Vaatimukset ja ohjeet
https://sales.sfs.fi/fi/index/tuotteet/SFS/CENISO/ID2/2/993530.html.stx#
Ilmoita asiaton viesti
—
UNIONIN TUOMIOISTUIMEN TUOMIO (toinen jaosto)
29 päivänä heinäkuuta 2019 (*)
Ennakkoratkaisupyyntö – Luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä – Direktiivi 95/46/EY – 2 artiklan d alakohta – Rekisterinpitäjän käsite – Verkkosivuston ylläpitäjä, joka on sisällyttänyt sivustolle yhteisöliitännäisen, jolla voidaan välittää kyseisellä sivustolla kävijän henkilötietoja mainitun liitännäisen tarjoajalle – 7 artiklan f alakohta – Tietojenkäsittelyn laillisuus – Verkkosivuston ylläpitäjän vai yhteisöliitännäisen tarjoajan intressin huomioon ottaminen – 2 artiklan h alakohta ja 7 artiklan a alakohta – Rekisteröidyn suostumus – 10 artikla – Rekisteröidyn informointi – Kansallinen säännöstö, jossa sallitaan kuluttajansuojayhdistysten nostaa kanne
Asiassa C‑40/17, – –
https://curia.europa.eu/juris/document/document.jsf;jsessionid=8430910DF3F049DBDFDF6EBA5E57C9AC?text=&docid=216555&pageIndex=0&doclang=FI&mode=lst&dir=&occ=first&part=1&cid=2646678
Ilmoita asiaton viesti
Privacy Notice
PRIVACY NOTICE FOR GDPR-TEXT.COM WEBSITE
https://gdpr-text.com/privacy-notice/
Ilmoita asiaton viesti
—
Edellisestä poiminta:
Your rights
Access, correct or delete
You have the right to access, correct, or delete your personal data and the right to restrict their processing, as well as the right to data portability.
Withdraw consent
If we process your data based on your consent, you have the right to withdraw your consent at any time. If you would like to exercise your right to withdraw your consent, please contact us.
Complaint
In accordance with Art. 77 GDPR, you, as a data subject, have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work, or where an alleged infringement of the GDPR has taken place.
If you have any questions about the protection of your personal data, you can contact us by using our contact details on the Contact page.
Powered by DP CHECK
—
Konekäännös edellisestä:
Sinun oikeutesi
Käytä, korjaa tai poista
Sinulla on oikeus saada pääsy henkilötietoihisi, korjata tai poistaa niitä ja oikeus rajoittaa niiden käsittelyä sekä oikeus tietojen siirrettävyyteen.
Peruuta suostumus
Jos käsittelemme tietojasi suostumuksesi perusteella, sinulla on oikeus peruuttaa suostumuksesi milloin tahansa. Jos haluat käyttää oikeuttasi peruuttaa suostumuksesi, ota meihin yhteyttä.
Valitukset
GDPR:n artiklan 77 mukaisesti sinulla rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa asut tai työskentelet tai jos GDPR:n väitetään rikkovan. on tapahtunut.
Jos sinulla on kysyttävää henkilötietojesi suojaamisesta, voit ottaa meihin yhteyttä käyttämällä Yhteystiedot-sivulla olevia yhteystietojamme.
Powered by DP CHECK
Lähde:
https://gdpr-text.com/privacy-notice/
Ilmoita asiaton viesti
Ks.
artikla 77
EU yleinen tietosuoja-asetus
”Oikeus tehdä valitus valvontaviranomaiselle”
=> Perus: 141
”Jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.
=> artikla: 5
NEW: The practical guide PrivazyPlan® explains all dataprotection obligations and helps you to be compliant. Click here!
2. Valvontaviranomaisen, jolle valitus on jätetty, on ilmoitettava valituksen tekijälle valituksen etenemisestä ja ratkaisusta, mukaan lukien artikla 78 mukaisten oikeussuojakeinojen mahdollisuudesta.”
https://www.privacy-regulation.eu/fi/77.htm
—
artikla 78
EU yleinen tietosuoja-asetus
”Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan”
=> Perus: 143
1. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.
NEW: The practical guide PrivazyPlan® explains all dataprotection obligations and helps you to be compliant. Click here!
2. Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja artikla 56 nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa artikla 77 nojalla tehdyn valituksen etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.
3. Kanne valvontaviranomaista vastaan on nostettava sen jäsenvaltion tuomioistuimissa, johon valvontaviranomainen on sijoittautunut.
4. Jos kanne on nostettu sellaista valvontaviranomaisen päätöstä vastaan, jota edelsi tietosuojaneuvoston yhdenmukaisuusmekanismin puitteissa antama lausunto tai päätös, valvontaviranomaisen on toimitettava kyseinen lausunto tai päätös tuomioistuimelle.”
https://www.privacy-regulation.eu/fi/78.htm
Ilmoita asiaton viesti