Euroopan ensimmäinen GDPR-päätös annettiin Saksassa – yhdysvaltalaisjärjestö ei saanut tahtoaan läpi

VIDEO: Mikä ihmeen tietosuoja-asetus?

Tapauksessa, josta Saksan oikeusistuin antoi tuomionsa, olivat osallisina yhdysvaltalainen järjestö ICANN, joka valvoo rekisteröityjen domain-nimien tietokantaa, sekä saksalainen domain-rekisteri EPAG.

EPAG:in tarkoituksena oli kerätä ICANN:lle niiden ihmisten henkilötietoja, jotka ostivat domain-nimiä.

ICANN kuitenkin halusi myös, että EPAG keräisi domainin rekisteröinnin tehneen tahon teknisen ja hallinnollisen henkilön nimet ja yhteystiedot.

EPAG ei suostunut keräämään tietoja, koska sen mukaan keruu rikkoi GDPR:n 5. artiklaa, koska tiedoille ei ollut tarvetta liiketoiminnan kannalta.

ICANN:in mukaan tietojen kerääminen oli olennaista, jos ongelmia ilmenisi. Yhtiö veikin asian oikeuteen Saksassa.

Oikeuden mukaan rikkoi tietosuoja-asetusta

GDPR:n 5. artiklan mukaan henkilötietoja on "kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla" ja "henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään".

LUE MYÖS: Europol huolissaan – EU:n tietosuoja-asetus on vaikeuttanut nettirikosten tutkintaa

Bonnin oikeusistuin päätti, että teknisten ja hallinnollisten tahojen yhteystietojen kerääminen rikkoi GDPR-asetusta, jonka mukaan tietojen keruu pitäisi "minimoida".

Oikeuden mukaan ICANN ei ollut osoittanut tiedoille riittävää tarvetta eikä näitä tietoja oltu kerätty muutenkaan aiemmin.

ICANN on valittanut asiasta Kölnin korkeimpaan oikeuteen.

The National Review uskoo tämän olevan tärkeä ennakkotapaus ja muistutus niin kaupallisille kuin voittoa tavoittelemattomille järjestöille, että niiden täytyy perustella, miksi tietoja kerätään ja mihin tarkoituksiin.

Myös Facebookia, Googlea, WhatsAppia ja Instagramia vastaan on nostettu kanteita GDPR:n rikkomisesta. Näidenkin tahojen katsotaan rikkovan samoja lain artikloja, tosin hiukan eri tavalla.

Lähteet: The National Law Review, Tivi, Privacy regulation