Tietosuojavaltuutettu havaitsi puutteita Otavamedia Oy:n rekisteröityjen tietojen tarkastus- ja poistopyyntöjen toteutuksessa. Lisäksi allekirjoitettavan lomakkeen vaatiminen asiakkaan tunnistamista varten oli tietosuojasäännösten vastaista.
Tietosuojavaltuutetun toimistolle saatettiin vuosina 2018–2021 vireille yksitoista Otavamediaa koskevaa asiaa. Kantelijat eivät olleet muun muassa saaneet vastausta tietosuojaoikeuksia koskeviin pyyntöihinsä tai tiedusteluihinsa.
Rekisteröityjen yhteydenottokanavat testattava säännöllisesti
Otavamedian antaman selvityksen mukaan osa tietosuojapyynnöistä oli jäänyt toteuttamatta sähköpostiohjauksen teknisen ongelman vuoksi palveluntarjoajan vaihdon yhteydessä. Virhetilanteen aikana tietosuoja-asioille varattuun sähköpostilaatikkoon saapuneet viestit eivät olleet ohjautuneet asiakaspalvelijoille. Tilanne havaittiin vasta tietosuojavaltuutetun toimiston selvityspyynnön myötä. Sähköpostiohjauksen katkos oli kestänyt tuolloin seitsemän kuukautta.
Tietosuojavaltuutettu toteaa, että Otavamedian olisi tullut huolehtia sähköpostilaatikon testaamisesta, sillä kyseessä on ollut rekisteröityjen pääasiallinen sähköinen yhteydenottokanava tietosuoja-asioissa.
Yhtiö on myöhemmin toteuttanut kaikki kanteluiden kohteena olleet tietosuojapyynnöt ja kertonut ottaneensa käyttöön prosessin sähköpostin säännölliseen testaamiseen.
Tunnistamista varten ei tule pyytää tarpeettomia tietoja
Rekisteröidyillä on ollut mahdollisuus tehdä Otavamedialle omia tietojaan koskevia pyyntöjä tulostettavalla lomakkeella. Lomakkeelle vaadittiin henkilön allekirjoitus tunnistamistarkoituksiin.
Tietosuojavaltuutettu katsoo, että tällä toimintatavalla Otavamedia on kerännyt tunnistamista varten tietoja tarpeettoman laajasti. Otavamedia ei käsittele allekirjoitustietoja muissa yhteyksissä, minkä vuoksi allekirjoitusta ei ole esimerkiksi voitu verrata aiemmin hallussa olleeseen tietoon.
Tietosuojavaltuutettu muistuttaa, ettei rekisterinpitäjä saa hankaloittaa rekisteröidyn oikeuksien käyttämistä. Tietosuojapyynnöille ei esimerkiksi voi edellyttää tiettyjä muotovaatimuksia ilman perusteltua syytä. Yleisessä tietosuoja-asetuksessa ei ole vaatimusta allekirjoituksen edellyttämisestä henkilöllisyyden todentamiseksi toisin kuin vanhassa henkilötietolaissa.
Seuraamusmaksu ja huomautus tietosuojarikkomuksista
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Otavamedialle 85 000 euron hallinnollisen seuraamusmaksun puutteista rekisteröidyn oikeuksien toteuttamisessa sähköpostikanavan kautta. Tietosuojavaltuutettu määräsi Otavamedian korjaamaan menettelynsä tietosuojasäännösten mukaiseksi ja luopumaan allekirjoitettavasta lomakkeesta. Yhtiölle annettiin lisäksi huomautus rekisteröidyn oikeuksien laiminlyönnistä.
Seuraamuskollegion mukaan puutteet tietosuojaoikeuksien toteutusta koskevassa menettelyssä ovat vaikuttaneet suureen määrään rekisteröityjä. Otavamedian verkkopalvelut tavoittavat kuukausittain yli 2 miljoonaa suomalaista.