Henkilötietojen käsittelystä tiedottamisessa on kehitettävää

Julkaistu 11.6.2013

Noin 35 %:lla tietosuojavaltuutetun toimiston arvioimista verkkosivustojen tietosuojakäytännöistä ja -selosteista on huomattavia puutteita. Rekisteröidylle lain mukaan annettava informaatio ei ole aina riittävää, eikä verkkosivuilla julkaistuissa selosteissa tiedoteta läheskään aina esimerkiksi rekisteröidyn oikeuksista. Myös tietojen käsittelyn tarkoituksista annetut tiedot jäävät välillä epäselviksi. Tietosuojavaltuutettu muistuttaa rekisterinpitäjiä siitä, että informoinnin tulisi tapahtua selkeästi, rekisterikohtaisesti ja sen tulisi antaa riittävät tiedot henkilötietojen käsittelyn tarkoituksista.

Arviointi tehtiin maailmanlaajuisen Global Privacy Enforcement Networkin puitteissa järjestetyn Internet Sweep -projektin yhteydessä, jossa tietosuojavaltuutetun toimisto kävi läpi ja arvioi suomalaisten verkkosivujen tietosuojakäytäntöjen läpinäkyvyyttä. Projektista saadut tulokset olivat kaksijakoisia. Verkkosivut sisälsivät usein tietosuojaa koskevaa informaatiota kuten rekisteriselosteen, minkä lisäksi rekisterinpitäjille oli muodostunut yhdenmukaisia käytäntöjä selosteiden sijoittelun ja rakenteen osalta. Tämä helpottaa tiedon löytymistä. Siinä missä tiedotus oli usein muodollisesti pätevää, sen sisältö ei kuitenkaan aina vastannut lain vaatimuksia.

Tietosuojavaltuutetun toimisto pisteytti 185 läpi käymäänsä verkkosivua asteikolla 0-18. Vertailussa kattavimmin käyttäjiään informoineet sivustot luokiteltiin seuraavasti:

AAA (17-18 p.): 58 sivua
AA (15-16 p.): 46 sivua
A (13-14 p.): 29 sivua

Ensimmäistä kertaa järjestetty Internet Sweep on kansainvälinen projekti, jossa kansalliset viranomaiset valvovat yhdessä yksityisyyden suojaa koskevien lakien toteutumista. Sweepin teemana oli tietosuojakäytäntöjen läpinäkyvyys, ja siihen osallistui 19 kansallista tietosuojaviranomaista ympäri maailmaa. Tietosuojavaltuutetun toimisto kävi läpi n. 200 suosittua suomalaista verkkosivustoa, jotka koskivat erityisesti median ja kaupan alaa, verkon yhteisöpalveluita sekä arkaluontoisia henkilötietoja käsitteleviä verkkopalveluita. Sweepissa arvioitiin verkkosivuilla julkaistuja tietosuojakäytäntöjä ja rekisteriselosteita yleisellä tasolla ja ennalta määriteltyjen kriteereiden mukaisesti. Huomiota kiinnitettiin erityisesti rekisteröidyille annetun tiedon löydettävyyteen, selkeyteen ja riittävyyteen. Arviointi ei koskenut henkilötietojen käsittelyn lainmukaisuutta tai annetun tiedon olennaisuutta rekisterinpitäjän toiminnan kannalta.

Osalle Sweepin kohteista lähetetään yleinen ohjauskirje, joka koskee rekisterinpitäjän henkilötietolain mukaista informointivelvoitetta. Muissa valtioissa saaduista tuloksista ja kansainvälisistä trendeistä tiedotetaan myöhemmin.

Lisätietoja: Reijo Aarnio (029 56 66730), Iiro Loimaala (050 3800 211)