Uutisia Saksasta liittyen yleisen tietosuoja-asetuksen soveltamiseen

Bonnin alueellinen tuomioistuin Landgericht Bonn on antanut Euroopan unionin yleiseen tietosuoja-asetukseen (2016/679) liittyvän päätöksen 10 O 171/18. Päätös on ensimmäisiä Euroopan unionissa liittyen yleisen tietosuoja-asetuksen soveltamiseen. Tapauksessa oli kyse henkilötietojen käsittelyn periaatteista, tarkemmin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan alakohdista b) käyttötarkoitussidonnaisuus ja c) tietojen minimointi.

Tapauksessa oli kyse ICANN ja EPAG välisen sopimuksen soveltamisesta. EPAG henkilötietojen käsittelijänä kerää henkilötietoja rekisterinpitäjänä toimivalle ICANN:ille verkkotunnusten rekisteröintien yhteydessä. Yritysten välisen sopimuksen mukaan EPAG:n kerää verkkotunnuksen omistajan yhteystietojen lisäksi muun muassa verkkotunnuksen teknisen ja hallinnollisen ylläpitäjän yhteystiedot. EPAG kieltäytyi yleisen tietosuoja-asetuksen voimaantultua keräämästä yhteystietoja tekniseltä ja hallinnolliselta ylläpitäjältä, vedoten yleisen tietosuoja-asetuksen henkilötietojen käyttötarkoitussidonnaisuuden ja tietojen minimointia koskeviin periaatteisiin. ICANN haki tuomioistuimelta kieltotuomiota, joka olisi velvoittanut EPAG:n jatkamaan teknisen ja hallinnollisen ylläpitäjän yhteystietojen keräämisen.

Tuomioistuin totesi ratkaisussaan, että verkkotunnuksen omistajan ollessa yksin vastuussa verkkotunnuksen sisällöstä on riittävää kerätä vain hänen henkilötietonsa. Henkilötietojen kerääminen tekniseltä ja hallinnolliselta ylläpitäjältä ei ollut tietosuoja-asetuksen periaatteiden mukaista, sillä perusteella, että se helpottaisi yhteydenottoa tai verkkotunnuksen taustalla toimivien henkilöiden tunnistamista. Tuomioistuimen mukaan myöskin rikollisen tai muuten lainvastaisen toiminnan ehkäisemiseksi verkkotunnuksen omistajan yhteystietojen kerääminen on riittävää. Tuomioistuin kiinnitti huomiota myös mahdollisuuteen, että omistaja, tekninen ja hallinnollinen ylläpitäjä voivat olla yksi ja sama henkilö ja siihen, että verkkotunnuksen rekisteröintiin ei tosiasiassa vaadittu kuin verkkotunnuksen omistajan yhteystiedot. Tuomioistuin hylkäsi ICANN:n hakemuksen, todeten, että ICANN voi vaatia EPAG:ia täyttämään sopimukseen perustuvat velvoitteensa vai niiltä osin, kuin ne ovat yhdenmukaisia yleisen tietosuoja-asetuksen periaatteiden kanssa.

Päätös vahvistaa yleisen tietosuoja-asetuksen periaatteita henkilötietojen keräämisestä vain nimenomaista ja laillista tarkoitusta varten ja käsittelyn rajoittamisesta palvelun tarkoituksen kannalta tarpeellisiin henkilötietoihin. Päätöksestä on tätä uutista kirjoitettaessa vireillä valitus Kölnin ylemmässä alueellisessa tuomioistuimessa, ja jäämme seuraamaan asiaa mielenkiinnolla.