Perintäyhtiö Alektum Oy:lle määrättiin vuoden alusta tietosuojavaltuutetun seuraamuskollegion toimesta 750 000€ suuruinen seuraamusmaksu vakavista tietosuojarikkomuksista. Tutkimus epäkohdista alkoi yksityishenkilöiden tekemistä kanteluista. Kantelut koskivat pyyntöjä saada tutustua omiin henkilötietoihinsa, joihin Alektum Oy ei joko ollut vastannut lainkaan tai ei ollut toimittanut pyydettyjä henkilötietoja rekisteröidylle.
Tutkinnassa kävi ilmi, että yritys oli jättänyt huomioimatta rekisteröidyn pyynnöt, vaikka organisaatioilla on velvollisuus vastata rekisteröidyn oikeuksia koskeviin pyyntöihin kuukauden aikana pyynnöstä, lisäaikaa hakiessa maksimissaan kaksi kuukautta.
Kanteluita oli tullut yhteensä kolme, joista yhteen Alektum selitti vastaamatta jättämisen syyksi, etteivät enää kertomansa mukaan käsitellyt rekisteröidyn henkilötietoja.
Yritys laiminlöi myös velvollisuutta tehdä yhteistyötä viranomaisen kanssa
Kanteluiden selvittelyjen aikana tietosuojavaltuutetun toimisto pyrki kuulemaan Alektum Oy:ta useaan otteeseen, nämä eivät kuitenkaan toteutuneet. Seuraamuskollegio katsoi, että Alektum Oy oli haluton antamaan selvitystä tapahtumista sekä toimimaan yhteistyössä viranomaisen kanssa.
Tietosuoja-asetuksessa todetaan, että rekisterinpitäjän on tehtävä yhteistyötä valvontaviranomaisen kanssa ja toimitettava viranomaisen pyytämät tiedot. Lopputulemana seuraamuskollegio katsoi, että perehtyminen tietosuojalainsäädäntöön ei ollut riittävää ja toiminta ilmensi piittaamattomuutta voimassa olevasta lainsäädännöstä.
Mitä yritykset voivat ottaa opikseen Alektum Oy:n tapauksesta?
”Oikeus tutustua omiin henkilötietoihin on keskeinen tietosuojaoikeus. Jos henkilöllä ei ole pääsyä omiin tietoihinsa, hänellä ei ole mahdollisuutta esimerkiksi oikaista virheellisiä tietoja tai valvoa henkilötietojen käsittelyn lainmukaisuutta”, sanoo apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa tiedotteessan.
Tietosuoja-asetuksen mukaisesti rekisteröidyllä on oikeus tutustua ja pyytää pääsyä rekisterinpitäjän hallussa oleviin omiin henkilötietoihinsa koska tahansa.
Rekisteröityjen tai viimeistään viranomaisten pyyntöihin kannattaa suhtautua vakavasti ja vastata määriteltyjen aikojen puitteissa. Vastaamatta jättäminen ja yhteistyönpuute viranomaiseen päin tulkitaan piittaamattomuutena ja haluttomuutena selvittää asiaa. Alektum Oy:n kohdalla tietosuojavaltuutettu sanoo organisaation vaikeuttaneen ja hidastaneen tutkintaa välttelemällä valvontaviranomaista.
Yhteen kanteluista Alektum selitti vastaamatta jättämisen syyksi, etteivät enää kertomansa mukaan käsitellyt rekisteröidyn henkilötietoja. Tässäkin tilanteessa organisaation olisi tullut vastata ja informoida rekisteröidylle etteivät enää käsittele hänen henkilötietojaan.
