Finlex - Till startsidan
Dataombudsmannen

28.4.2025

Dataombudsmannen

Dataombudsmannens beslut om tolkningen av EU:s allmänna dataskyddsförordning, lagen om behandling av personuppgifter i brottmål och personuppgiftslagen

Verkkopalvelun salasanakäytäntö ja rekisteröidylle toimitettavat tiedot

Ämnesord
rekisteröidyn informointi, käsittelyn turvallisuus
År för fallet
2025
Meddelats
Diarienummer
TSV/34/2019
Författningsgrund
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Tietosuojavaltuutetun päätös

Asia

Yleisen tietosuoja-asetuksen 60 artiklan 8 kohdan mukainen päätös valituksen hylkäämisestä

Rekisterinpitäjä

Fitness24Seven AB

Asian käsittelyn tausta

Rekisteröity on 9.2.2019 ilmoittanut tietosuojavaltuutetun toimistoon havaitsemastaan epäkohdasta Fitness24Seven AB:n suorittamassa henkilötietojen käsittelyssä. Irtisanoessaan jäsenyyttään, rekisteröity huomasi, että rekisterinpitäjä tarjoaa verkkosivuillaan ”Omat sivut”-palvelua. Rekisteröidyn mukaan ensimmäistä kertaa Omat sivut-palveluun kirjaudutaan sähköpostiosoitteella, ja salasanana toimii käyttäjän syntymäaika. Kirjautumisen jälkeen sivulla on nähtävissä henkilön nimi, osoite, puhelinnumero ja henkilötunnus. Rekisteröity kertoo, että hän ei muista tulleensa informoiduksi palvelun olemassaolosta, kun hän on liittynyt rekisterinpitäjän asiakkaaksi. Rekisteröity katsoo, että salasanakäytäntö rekisterinpitäjän palveluun kirjautumisessa on heikko.

Asiaa on käsitelty tietosuojavaltuutetun toimistossa aikaisemmin diaarinumerolla 1221/182/2019. Teknisen järjestelmämuutoksen vuoksi asian käsittelyä on jatkettu asiatunnuksella TSV/34/2019.

Fitness24Seven AB:n päätoimipaikka on Ruotsissa. Siten tietosuojavaltuutetun toimisto on yleisen tietosuoja-asetuksen (EU) 2016/679 VII luvun rajatylittävien asioiden käsittelyä koskevien säännösten nojalla saattanut asian käsiteltäväksi Ruotsin valvontaviranomaiselle (Integritetsskyddsmyndigheten). Ruotsin valvontaviranomainen on yleisen tietosuoja-asetuksen 56 artiklan nojalla toimivaltainen johtava valvontaviranomainen käsittelemään asian.

Rekisterinpitäjältä saatu selvitys

Ruotsin valvontaviranomainen on 10.1.2023 ilmoittanut rekisteröidylle rekisterinpitäjän toimittamasta selvityksestä. Rekisterinpitäjä on vahvistanut, että rekisteröidyn valituksen tiedot rekisterinpitäjän kirjautumisjärjestelmästä valituksen tehohetkellä pitävät paikkansa. Rekisterinpitäjän antaman selvityksen mukaan rekisterinpitäjä on kuitenkin ilmoittanut henkilötietojen käsittelystä rekisteröidylle jäseneksi rekisteröitymisen yhteydessä. Lisäksi kyseinen kirjautumisjärjestelmä edellytti jäsenen kirjaamaa tietoa jäsenen syntymäajasta ja sähköpostiosoitteesta. Kyseisen kirjautumisjärjestelmän aikaan rekisterinpitäjä oli myös toteuttanut menettelyt, joilla varmistettiin, että jäsen pystyy palauttamaan tilinsä siinä epätodennäköisessä tapauksessa, että tili kaapataan. Rekisterinpitäjän mukaan kirjautumisjärjestelmässä on nyt erilainen menettely ensimmäisen kirjautumiskerran yhteydessä kuin aiemmin. Nykyisin jäsenelle lähetetään sähköpostiviesti hänen rekisteröityyn sähköpostiosoitteeseensa, joka vaatii salasanan vaihtamista linkin kautta.

Ruotsin valvontaviranomainen on samalla pyytänyt kantelijaa antamaan vastineen saadun selvityksen johdosta. Tietosuojavaltuutetun toimisto välitti Ruotsin valvontaviranomaisen pyynnön kantelijalle sähköpostitse.

Rekisteröidyn vastine

Rekisteröity ei ole toimittanut vastausta vastinepyyntöön ilmoitettuun määräaikaan 24.1.2024 mennessä.

Yhteistyömenettelyssä annetun päätösehdotuksen pääkohdat

Ruotsin valvontaviranomainen on antanut asiassa viranomaisten yleisen tietosuoja-asetuksen mukaisessa yhteistyömenettelyssä yleisen tietosuoja-asetuksen 60(3) artiklan mukaisen päätösehdotuksen 24.4.2024.

Ruotsin valvontaviranomainen toteaa päätösehdotuksessaan, että se on vastaanottanut valituksen Suomen valvontaviranomaisen eli tietosuojavaltuutetun toimistolta yleisen tietosuoja-asetuksen 56 artiklan johtavan valvontaviranomaisen toimivaltaa koskevien säännösten mukaisesti. Samanaikaisesti Ruotsin valvontaviranomainen vastaanotti kolme muuta samaa rekisterinpitäjää koskevaa kantelua tietosuojavaltuutetun toimistolta. Ruotsin valvontaviranomainen toteaa, että kyseinen päätösehdotus koskee vain nyt käsillä olevaa valitusta.

Ruotsin valvontaviranomainen katsoo, että asiassa suoritetun tutkinnan perusteella ei voida katsoa, että rekisterinpitäjä olisi laiminlyönyt velvollisuutensa toimittaa rekisteröidylle tietoja henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 13 artiklan nojalla. Ruotsin valvontaviranomainen katsoo lisäksi, että sen toteuttama tutkinta ei ole osoittanut, että rekisterinpitäjä olisi laiminlyönyt 32 artiklassa säädettyä velvoitetta toteuttaa tekniset ja organisatoriset toimenpiteet rekisteröidyn henkilötietojen käsittelyssä.

Ruotsin valvontaviranomainen katsoo, että valitusta on tutkittu siinä määrin kuin se on asianmukaista. Näissä olosuhteissa Ruotsin valvontaviranomainen on katsonut, että asian selvittämistä ei tule jatkaa niiltä osin kuin se koskee nyt käsillä olevaa valitusta. Ruotsin valvontaviranomainen jatkaa rekisterinpitäjän toiminnan selvittämistä muiden vastaanottamiensa valitusten osalta.

Tietosuojavaltuutettu on yhtynyt johtavan valvontaviranomaisen kantaan asiassa.

Sovellettava lainsäädäntö

Yleisen tietosuoja-asetuksen 77 artiklan 1 kohdan perusteella jokaisella rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

Yleisen tietosuoja-asetuksen 78 artiklan 1 kohdan nojalla jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan.

Yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohdan mukaan jokaisen valvontaviranomaisen on tämän asetuksen mukaisesti vahvistettuja muita tehtäviä rajoittamatta alueellaan käsiteltävä rekisteröidyn tai 80 artiklan mukaisen elimen, järjestön tai yhdistyksen tekemiä valituksia ja tutkittava valituksen kohdetta siinä määrin kuin se on asianmukaista.

Hallintolain (434/2003) 31 §:n 1 momentin mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset.

Yleisen tietosuoja-asetuksen 60 artiklassa säädetään johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välisestä yhteistyöstä. Yleisen tietosuoja-asetuksen 60 artiklan 3 kohdan mukaan johtavan valvontaviranomaisen on viipymättä toimitettava päätösehdotus muille osallistuville valvontaviranomaisille lausuntoa varten ja otettava niiden näkemykset asianmukaisesti huomioon. Yleisen tietosuoja-asetuksen 60 artiklan 8 kohdan mukaan, jos valitus jätetään tutkimatta tai hylätään, valvontaviranomaisen, jolle valitus on tehty, on tehtävä päätös ja annettava se tiedoksi valituksen tekijälle ja ilmoitettava asiasta rekisterinpitäjälle.

Yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan mukaan kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki a-f alakohdissa luetellut tiedot.

Yleisen tietosuoja-asetuksen 32 artiklan mukaan ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi a-d alakohdissa luetellut asianmukaiset tekniset ja organisatoriset toimenpiteet.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee asian yleisen tietosuoja-asetuksen pohjalta.

Tietosuojavaltuutetun on yleisen tietosuoja-asetuksen 60 artiklan menettelyssä annetun päätösehdotuksen pohjalta hyväksyttävä onko rekisterinpitäjä noudattanut yleisen tietosuoja-asetuksen 13 ja 32 artiklassa säädettyä rekisteröidyn henkilötietojen käsittelyn yhteydessä.

Tietosuojavaltuutetun päätös ja perustelut

Rekisteröidyn valitus hylätään. Saadun selvityksen perusteella ei ole näyttöä siitä, että rekisterinpitäjä olisi rikkonut yleisen tietosuoja-asetuksen 13 ja 32 artiklassa säädettyä rekisteröidyn henkilötietojen käsittelyn yhteydessä.

Perustelut

Yleisen tietosuoja-asetuksen 60 artiklassa säädetään johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välisestä yhteistyöstä. Ruotsin valvontaviranomainen on toimivaltainen tutkimaan rekisteröidyn valituksen johtavana valvontaviranomaisena. Tietosuojavaltuutetun toimisto on asiassa osallistuva valvontaviranomainen ja rekisteröidyn valitus on tehty tietosuojavaltuutetun toimistolle, joka on saattanut asian käsiteltäväksi Ruotsin valvontaviranomaiselle.

Yleisen tietosuoja-asetuksen 60 artiklan 8 kohdan mukaan, jos valitus jätetään tutkimatta tai hylätään, valvontaviranomaisen, jolle valitus on tehty, on tehtävä päätös ja annettava se tiedoksi valituksen tekijälle ja ilmoitettava asiasta rekisterinpitäjälle. Tietosuojavaltuutetun on siten annettava asiassa valituskelpoinen päätös yleisen tietosuoja-asetuksen 60 artiklan ja 78 artiklan nojalla.

Yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohdan perusteella jokaisen valvontaviranomaisen on käsiteltävä alueellaan valitukset, joita rekisteröidyillä on yleisen tietosuoja-asetuksen 77 artiklan 1 kohdan mukaan oikeus tehdä, jos hän katsoo, että häntä koskien henkilötietojen käsittelyssä rikotaan yleistä tietosuoja-asetusta, ja tutkittava siinä määrin kuin se on asianmukaista valituksen kohdetta. Euroopan unionin tuomioistuin tässä yhteydessä Schrems II -tuomiossaan todennut, että tällainen valitus on tutkittava asianmukaista huolellisuutta noudattaen (loppuviite 1).

Rekisterinpitäjän mukaan rekisteröidylle on toimitettu tieto järjestelmän yhteydessä tapahtuvasta henkilötietojen käsittelystä asiakkaaksi liittymisen yhteydessä. Rekisterinpitäjä on lisäksi todennut, että järjestelmään kirjautumiseksi edellytetyt tiedot perustuivat käyttäjän itse antamiin tietoihin. Kirjautumisjärjestelmä oli rekisterinpitäjän mukaan suojattu sen varmistamiseksi, että mahdollisesti kaapatut käyttäjätilit voidaan palauttaa takaisin jäsenen käyttöön. Rekisterinpitäjä on lisäksi kertonut muuttaneensa kirjautumismenettelyä niin, että nykyisin ensimmäisen kirjautumiskerran yhteydessä jäsenelle lähetetään sähköpostiviesti, joka edellyttää salasanan vaihtamista linkin kautta.

Rekisteröidylle on varattu mahdollisuus täydentää valitusta tai antaa vastine rekisterinpitäjän selvityksen johdosta. Rekisteröity ei ole antanut vastinetta tai muutoin täydentänyt valitustaan.

Tietosuojavaltuutettu katsoo, että asiassa ei ole tullut ilmi seikkoja, joiden perusteella olisi syytä epäillä rekisterinpitäjän antamaa selvitystä siitä, että rekisteröityä on informoitu kirjautumisjärjestelmän yhteydessä tapahtuvasta henkilötietojen käsittelystä. Asiassa saatujen selvitysten perusteella ei voida myöskään katsoa, että rekisterinpitäjä olisi laiminlyönyt velvollisuutensa toimittaa tietoja tavalla, jonka rekisteröity on esittänyt näkemyksenään.

Tietosuojavaltuutettu katsoo, että asiassa suoritetun tutkinnan yhteydessä ei ole käynyt ilmi, että rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet olisivat olleet riittämättömiä huomioiden käsiteltävien tietojen laatu ja havaitut riskit. Tietosuojavaltuutettu toteaa myös, että rekisterinpitäjä on lisäksi parantanut kirjautumisjärjestelmän turvallisuutta valituksen tekemisen jälkeen.

Tietosuojavaltuutettu katsoo edellä esitetyn perusteella, että valituksen kohdetta on tutkittu siinä määrin kuin se on asianmukaista. Asiassa suoritettu tutkinta ei ole osoittanut rekisterinpitäjän rikkoneen yleisen tietosuoja-asetuksen 13 ja 32 artiklassa säädettyä.

Tietosuojavaltuutetulla ei ole syytä epäillä Ruotsin valvontaviranomaisen tekemää selvitystä. Tietosuojavaltuutettu yhtyy Ruotsin valvontaviranomaisen 24.4.2024 antaman päätösehdotukseen ja ratkaisee asian sen mukaisesti.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Asian on esitellyt tarkastaja Essi Holden, puh. 029 566 6712

Asian on ratkaissut tietosuojavaltuutettu Anu Talus.

Päätös ei ole lainvoimainen.

Loppuviitteet:

1: Euroopan unionin tuomioistuimen ratkaisu Data Protection Commissioner vastaan Facebook Ireland Ltd ja Maximillian Schrems (annettu 16.2.2020, C-311/18), kohta 109.

Till början av sidan