23.7.2020

Sähköinen suoramarkkinointi, rekisteröidyn oikeus saada tiedot poistetuksi ja vastustaa henkilötietojen käsittelyä

ASIA

Hakijan vaatimukset perusteluineen

Hakija on 9.5.2019 ollut yhteydessä tietosuojavaltuutetun toimistoon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 17 artiklan tietojen poistoa koskevan pyynnön ja 21 artiklan 2 kohdan mukaisen vastustamisoikeuden toteuttamiseksi. Hakija on esittänyt suoramarkkinointia koskevan kiellon, josta huolimatta hakija on yhä saanut sähköistä suoramarkkinointia rekisterinpitäjältä. Lisäksi hakija on myös esittänyt tietojensa poistoa koskevan pyynnön, johon hakija ei ole saanut vastausta.

Hakija ei ole antanut suostumusta sähköiseen suoramarkkinointiin.

Hakijalta saatu selvitys

Hakija kertoo saaneensa rekisterinpitäjältä suoramarkkinointiviestin 14.3.2019 numerosta 045 3324215 sekä 21.3. ja 9.5.2019 numerosta 045 2024500. Suoramarkkinointiviesteissä on markkinoitu työtulikorttia sekä ennakoivaa ajoa koskevia kursseja. Hakija on kertonut vastanneensa viesteihin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin, mutta on kiellostaan huolimatta saanut suoramarkkinointia. Hakija on myös kertonut olleensa yhteydessä rekisterinpitäjään sähköpostitse ja esittänyt suoramarkkinointia koskevan kiellon ja pyytänyt saada tietonsa poistetuksi. Hakijalla ei ole ollut tallessa rekisterinpitäjälle esittämää pyyntöä. Hakija ei ole osannut sanoa, onko tietojen poistoa koskevan pyynnön jälkeen yhä saanut sähköistä suoramarkkinointia. Kuitenkin hakija on kertonut, ettei sen aiemmin esittämää suoramarkkinointikieltoa ole toteutettu.

Hakija on lisäksi kertonut, että se harjoittaa lapsille suunnattuja viihdepalveluita, eikä siten rekisterinpitäjän markkinoimat kurssit liity hakijan työtehtäviin.

Rekisterinpitäjältä saatu selvitys

Selvityspyyntö 19.8.2019

Tietosuojavaltuutetun toimisto on 19.8.2019 päivätyllä selvityspyynnöllä pyytänyt rekisterinpitäjältä selvitystä hakijan kantelun johdosta.

Rekisterinpitäjä on markkinoinut samannimisiä kursseja samansisältöisillä markkinointiviesteillä kuin Acc Consulting Oy, joka on asetettu konkurssiin 6.6.2018. Acc Consulting Oy:n kursseja koskevasta toiminnasta on vastannut sama henkilö, joka vastaa keskeisiltä osin rekisterinpitäjän kursseja koskevasta toiminnasta. Rekisterin-pitäjän toiminimi on yritys- ja yhteystietojärjestelmän mukaan rekisteröity 7.11.2012. Hakija on saanut rekisterinpitäjältä suoramarkkinointia keväällä 2019, jolloin rekisterinpitäjä on ollut toimintakykyinen. Hakijan saaman suoramarkkinointiviestin lähettäjä on näin ollen ollut rekisterinpitäjä, eikä 2018 konkurssiin asetettu Acc Consulting Oy.
Rekisterinpitäjä on antanut selvityksen 11.10.2019. Selvityksen mukaan, hakijan puhelinnumero, johon suoramarkkinointia on kohdistettu, on ollut yrityksen käytössä. Rekisterinpitäjä on todennut, että sen käsityksen mukaan yrityksille saa kohdistaa suoramarkkinointia ilman vastaanottajan suostumusta. Rekisterinpitäjä on myös selvityksessään kertonut epäilleensä jonkun toisen tahon tehneen ilkivaltaa ja lähettäneen rekisterinpitäjän nimissä suoramarkkinointiviestejä.

Rekisterinpitäjä on antanut selvityksen 11.10.2019. Selvityksen mukaan, hakijan puhelinnumero, johon suoramarkkinointia on kohdistettu, on ollut yrityksen käytössä. Rekisterinpitäjä on todennut, että sen käsityksen mukaan yrityksille saa kohdistaa suoramarkkinointia ilman vastaanottajan suostumusta. Rekisterinpitäjä on myös selvityksessään kertonut epäilleensä jonkun toisen tahon tehneen ilkivaltaa ja lähettäneen rekisterinpitäjän nimissä suoramarkkinointiviestejä.

Selvityksen lisäksi rekisterinpitäjä on toimittanut liitteenä hakijaa koskevia tietoja, joista ilmenee, että hakija toimii yksityisenä elinkeinonharjoittajana toimialanaan ”esittävät taiteet”.

Lisäselvityspyyntö 3.1.2020

Tietosuojavaltuutetun toimisto ei ole saanut rekisterinpitäjältä vastausta 19.8.2019 päivätyssä selvityspyynnössä esitettyyn kysymykseen siitä, miksi rekisterinpitäjä ei ole toteuttanut hakijan esittämää yleisen tietosuoja-asetuksen 21 artiklan mukaista oikeutta. Tämän vuoksi apulaistietosuojavaltuutettu on lähettänyt rekisterinpitäjälle 3.1.2020 päivätyn tiedustelun, jossa rekisterinpitäjälle on vielä varattu tilaisuus toimittaa selvitys siitä, miksei tätä oikeutta ole toteutettu.

Rekisterinpitäjä on ennen vastauksensa antamista 17.1.2020 pyytänyt lisäaikaa vastauksen antamiselle sekä pyytänyt ohjeistusta siihen, saako yritys tehdä toiselle yritykselle tekstiviestimarkkinointia. Lisäksi rekisterinpitäjä on kertonut, että se on nyt lopettanut tekstiviestimarkkinoinnin. Rekisterinpitäjälle on vastattu 11.2.2020 ja kerrottu sähköisestä suoramarkkinoinnista ja yhteisölle kohdistetun suoramarkkinoinnin edellytyksistä.

Rekisterinpitäjä on antanut tiedustelun johdosta vastauksen 14.2.2020. Rekisterinpitäjä on kertonut seuraavaa. Kaikki numerot, joihin se on kohdistanut suoramarkkinointia, ovat yrityksen käytössä. Rekisterinpitäjän mukaan tämä osoittaa sen, että markkinointia ei ole tehty yksityisille ihmisille. Ainoa suoramarkkinointiin liittyvä tietokanta, joka rekisterinpitäjällä on, on niin sanottu estolista. Rekisterinpitäjä ei ole pystynyt kertomaan, onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaiset oikeudet, tai vastaanottanut näitä oikeuksia koskevia pyyntöjä.

Hakijan vastine

Hakijalta ei ole pyydetty vastinetta. Kuulemista on pidetty hallintolain (434/2003) 34 §:n 2 momentin 5 kohdan mukaisesti ilmeisen tarpeettomana. Hakijan kanssa on keskusteltu puhelimessa asian selvittämiseksi ja lisätietojen saamiseksi. Hakijan laajempi kuuleminen ei olisi vaikuttanut asian ratkaisuun.

Rekisterinpitäjän kuuleminen

Kevään 2019 aikana tietosuojavaltuutetun toimistossa on saatettu vireille rekisterinpitäjän toimintaa koskevia kanteluita yhteensä 11 kappaletta. Kantelut ovat koskeneet sähköistä suoramarkkinointia ja rekisteröidyn yleisen tietosuoja-asetuksen mukaisien oikeuksien toteuttamista. Nyt käsillä oleva asia on yksi näistä edellä mainitusta 11 kantelusta.
Rekisterinpitäjälle on 3.3.2020 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä tietosuojavaltuutetun toimistoon vireille saatetuista 11 kantelusta sekä antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asioiden ratkaisuun. Rekisterinpitäjälle on varattu myös mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.

Apulaistietosuojavaltuutettu on selvittänyt teleoperaattoreilta niiden puhelinnumeroiden liittymien haltija tietoja, joista hakijat ovat saaneet suoramarkkinointia. Teleoperaattorilta saatujen tietojen mukaan suoramarkkinointia on kohdistettu rekisteröityihin puhelinnumeroista, jotka ovat rekisterinpitäjän ja sen alaisuudessa työskentelevien henkilöiden käytössä. Apulaistietosuojavaltuutettu on varannut rekisterinpitäjälle tilaisuuden lausua myös näistä asiaa selvitettäessä ilmitulleista seikoista.

Rekisterinpitäjä on kuulemispyynnön johdosta ollut 9.3.2020 yhteydessä asian esittelijään ja pyytänyt asian esittelijää toimittamaan uudestaan kuulemispyyntöä koskevien hakijoiden rekisterinpitäjältä saamat suoramarkkinointiviestit ja hakijoiden rekisterinpitäjälle lähettämät ”kieltoviestit”. Rekisterinpitäjä on kertonut selvittävänsä, onko se itse lähettänyt suoramarkkinointiviestit vai onko joku muu taho lähettänyt suoramarkkinointiviestit rekisterinpitäjän nimissä. Rekisterinpitäjälle on 29.3.2020 lähetetty uudestaan 11.2.2020 toimitetut hakijoiden saamat suoramarkkinointiviestit tai vaihtoehtoisesti hakijalta saatu tieto numerosta, josta suoramarkkinointia on lähetetty, jos alkuperäinen suoramarkkinointiviesti ei ole ollut tallessa.

Rekisterinpitäjä on vastannut kuulemispyyntöön 15.5.2020. Rekisterinpitäjä on kertonut vastaanottaneensa hakijan kieltopyynnön ja asian olevan käsitelty asianmukaisesti. Lisäksi rekisterinpitäjä kertoo hakijan kuuluvan sen asiakassegmenttiin sillä tapahtumajärjestäjät ostavat ja ovat ostaneet rekisterinpitäjän palveluita.

Rekisterinpitäjä ei ole vastauksessaan toimittanut pyydettyä vuoden 2019 eikä vuoden 2018 tilinpäätöstä, vaan ainoastaan tiedon rekisterinpitäjän vuoden 2019 liikevaihdosta. Asian esittelijä on 10.6.2020 pyytänyt rekisterinpitäjää toimittamaan tilinpäätöksen 15.6.2020 mennessä. Rekisterinpitäjä on annetun määräajan jälkeen 19.6.2020 ilmoittanut pyytävänsä tilinpäätöksen tilitoimistolta. Rekisterinpitäjä ei tästä huolimatta ole toimittanut tilinpäätöstä 10.7.2020 mennessä. Tämän johdosta apulaistietosuojavaltuutettu on pyytänyt tilinpäätöksen tietosuojalain (1050/2018) 18 §:n nojalla Verohallinnolta.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tieto-suojaasetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999). Tietosuojalain 8 §:n mukaan tietosuojavaltuutettu toimii yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena. Tietosuojalain 24 artiklan mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yh-dessä muodostama seuraamuskollegio.

Sähköisestä suoramarkkinoinnista säädetään sähköisen viestinnän palveluista annetun lain (917/2014; myöhemmin myös viestintäpalvelulaki) 24 luvun 200 ja 202 §:ssä. Kyseisen lain 305 §:n 1 momentin 4 kohdan mukaan tietosuojavaltuutettu valvoo suoramarkkinointia koskevien 200 ja 202-204 §:n säännösten noudattamista.

Sähköinen suoramarkkinointi ja suostumus suoramarkkinointiin

Viestintäpalvelulain 200 §:n 1 momentin mukaan automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Viestintäpalvelulain 202 §:n 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Pykälän 2 momentin mukaan yhteisölle on annettava mahdollisuus helposti ja ilman erillistä maksua kieltää yhteystietojensa käyttö jokaisen suoramarkkinointitarkoituksessa lähetetyn sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Sähköisen viestinnän tietosuojadirektiivin 2002/57/EY (saatettu kansallisesti voimaan 1.1.2015 kumotulla sähköisen viestinnän tietosuojalailla 516/2004, nykyinen viestintä-palvelulaki) 2 artiklan 2 kohdan f alakohdassa määritellään käyttäjän tai tilaajan suostumus. Suostumuksella tarkoitetaan sähköisen viestinnän tietosuojadirektiivissä samaa kuin rekisteröidyn suostumuksella yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (henkilötietodirektiivi). Henkilötietodirektiivi on kumottu yleisellä tietosuoja-asetuksella, minkä vuoksi asetuksen 94 artiklan mukaan sitä sovelletaan henkilötietodirektiivin sijaan. Myös Euroopan unionin tuomioistuin on Planet49-asiassa antamansa tuomion kappaleessa 63 todennut, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskeviaedellytyksiä on luettava yhdessä. Näin ollen asiassa tulee suostumuksen edellytysten osalta sovellettavaksi yleisen tietosuoja-asetuksen suostumusta koskeva sääntely.

Suostumuksella tarkoitetaan yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Suostumuksen edellytyksistä puolestaan säädetään yleisen tietosuoja-asetuksen 7 artiklassa. Kyseisen artiklan 1 kohdan mukaan tietojenkäsittelyn perustuessa suostumukseen, on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Saman 7 artiklan 2 kohdan mukaan, jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Artiklan kohdan 3 mukaan rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Artiklan 4 kohdan mukaan arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Sähköisen viestinnän tietosuojadirektiivin 15 artiklan 2 kohdassa viitataan henkilötietodirektiivin III jakson säännöksiin oikeuskeinoista, vastuista ja seuraamuksista. Niitä sovelletaan ottaen huomioon sähköisen viestinnän tietosuojadirektiivin mukaisesti annetut kansalliset säännökset ja tästä direktiivistä johtuvat henkilökohtaiset oikeudet. Tässäkin viittaus henkilötietodirektiiviin on luettava yleisen tietosuoja-asetuk-sen 94 artiklan mukaisesti viittauksena tietosuoja-asetukseen.

Käsillä olevassa tilanteessa suostumuksen vaatimus sinällään seuraa viestintäpalvelulaista, jota on edellä kuvatuin tavoin luettava yhdessä yleisen tietosuoja-asetuksen kanssa. Viestintäpalvelulaissa ei kuitenkaan säännellä suostumuksen edellytyksistä, eikä siinä voitaisikaan säätää, joten niihin sovelletaan yleistä tietosuoja-asetusta, jossa suostumuksen edellytyksistä on säädetty.

Koska käsillä olevassa asiassa on edellä kuvatuin perustein kyse henkilötietojen käsittelyyn liittyvän suostumuksen yleisen tietosuoja-asetuksen mukaisista edellytyksistä, on tietosuojavaltuutettu toimivaltainen tältä osin myös käyttämään yleisen tietosuoja-asetuksen 58 artiklassa määriteltyjä toimivaltuuksia.

Rekisteröidyn yleisen tietosuoja-asetuksen 3 luvun mukaiset oikeudet

Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15-22 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan helpotettava 15-22 artiklan mukaisten oikeuksien käyttämistä.

Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15-22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.

Yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan mukaan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia.
Yleisen tietosuoja-asetuksen 17 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, ellei henkilötietojen käsittely ole tarpeen 17 artiklan 3 kohdan mukaisesti.

Yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan, jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten. Saman artiklan 3 kohdan mukaan, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

Yleisen tietosuoja-asetuksen 21 artiklan 4 kohdan mukaan viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 21 artiklan 2 kohdan oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

OIKEUDELLINEN KYSYMYS

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679, tietosuojalain (1050/2018) ja sähköisen viestinnän palveluista annetun lain (917/2014) pohjalta. Asiassa on arvioitavana seuraavat oikeudelliset kysymykset:

1) onko rekisterinpitäjä kohdistanut hakijaan sähköistä suoramarkkinointia;

2) jos rekisterinpitäjä on kohdistanut hakijaan suoramarkkinointia, onko rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ollut yhteisölle kohdistettua suoramarkkinointia; ja

3) onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen 17 artiklan mukaisen oikeuden saada tiedot poistetuksi 12 artiklan ja 17 artiklan mukaisesti ja 21 artiklan mukaisen oikeuden vastustaa henkilötietojen käsittelyä suoramarkkinointitarkoituksiin, ja onko rekisterinpitäjän rekisteröidyn oikeuksia koskevat toimintatavat olleet yleisen tietosuoja-asetuksen 5, 12, 17 ja 21 artiklan mukaisia.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS PERUSTELUINEEN

Päätös

Rekisterinpitäjä on kohdistanut hakijaan sähköistä suoramarkkinointia.

Rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ei ole ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia, vaan luonnolliselle henkilölle kohdistettua viestintäpalvelulain 200 §:n 1 momentin mukaista suoramarkkinointia, johon vaaditaan ennalta annettu suostumus, jota hakija ei ole antanut.

Rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 17 artiklan mukaista oikeutta saada tiedot poistetuksi 12 artiklan 1 ja 3 kohdan ja 17 artiklan mukaisesti. Rekisterinpitäjä ei ole myöskään toteuttanut hakijan 21 artiklan mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin 12 artiklan 1 ja 3 kohdan ja 21 artiklan 2 ja 3 kohdan mukaisesti.

Rekisterinpitäjän toimintatapa rekisteröidyn oikeuksien toteuttamiseksi ei ole vastannut yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 15 artiklan eikä 21 artiklan 2 ja 3 kohdan säännöksiä.

Määräys

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen toteuttaa hakijan 17 artiklan mukainen oikeus.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa toimintatapa 12, 17 ja 21 artiklan mukaisten oikeuksien toteuttamisessa yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 17 artiklan ja 21 artiklan 2 ja 3 kohdan mukaisiksi.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 18.9.2020 mennessä.

Apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän korjaamaan viestintäpalvelulain 202 §:n mukaisen toimintatapansa yhteisölle kohdistetun suoramarkkinoinnin osalta. Apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän ilmoittamaan tietosuojavaltuutetun toimistolle velvoitteen johdosta tehdyt muutokset 18.9.2020 mennessä

Huomautus

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Rekisterinpitäjä on laiminlyönyt hakijan yleisen tietosuoja-asetuksen 12, 17 ja 21 artiklan mukaisten rekisteröidyn oikeuksien toteuttamisen, laiminlyönyt rekisterinpitäjälle kuuluvan 5 artiklan 2 kohdan mukaisen osoitusvelvollisuuden sekä käsitellyt henkilötietoja ilman yleisen tietosuoja-asetuksen mukaisen suostumuksen edellytysten täyttymistä.

Ottaen huomioon kyseinen päätös ja päätöksestä ilmenevät yleisen tietosuoja-asetuksen säännösten laiminlyönnit sekä se, että rekisterinpitäjän toimintaa koskevia vastaavia kanteluita on saatettu tietosuojavaltuutetun toimistossa vireille kevään 2019 aikana yhteensä 11 kappaletta, tietosuojavaltuutetun toimiston seuraamuskollegion on arvioitava tuleeko rekisterinpitäjälle asettaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu muiden edellä mainittujen seuraamusten lisäksi. Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut erillisen päätöksen seuraamusmaksun määräämisestä.

Perustelut

Hakija on saanut sähköistä suoramarkkinointia numeroista 045 3324215 ja 045 2024500. Teleoperaattorilta saadun tiedon mukaan numeron 045 3324215 haltija on rekisterinpitäjän alaisuudessa toimiva henkilö. Liittymä on avattu 17.10.2018 ja haltijatieto on pysynyt samana siitä lähtien. Rekisterinpitäjä on toimittanut tietosuojavaltuutetulle erään sähköpostikirjeenvaihdon, josta ilmenee, että edellä mainittu rekisterinpitäjän alaisuudessa toimiva henkilö työskentelee rekisterinpitäjän alaisuudessa. Numero 045 2024500 on puolestaan rekisterinpitäjän ja tämän edustajan nimissä.

Edellä kerrotun perusteella apulaistietosuojavaltuutettu katsoo selvitetyksi, että rekisterinpitäjän alaisuudessa ja edustajana työskentelevät henkilöt ovat kohdistaneet rekisterinpitäjän nimissä hakijaan rekisterinpitäjän tarjoamia kursseja koskevaa suoramarkkinointiviestintää.

Suoramarkkinoinnin arvioiminen

Suoramarkkinointi yhteisölle

Viestintäpalvelulain 202 §:n 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Pykälän 2 momentin mukaan suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Viestintäpalvelulain 202 § vastaa sähköisen viestinnän tietosuojalain 516/2004 (kumottu lailla sähköisen viestinnän palveluista, ”viestintäpalvelulaki”) 27 §:ää. Sähköisen viestinnän tietosuojalain hallituksen esityksessä (HE 125/2003 vp, s. 80) todetaan seuraavaa ”Luonnolliselta henkilöltä tulee aina pyytää etukäteinen suostumus. Epäselvissä tapauksissa tulee asetettua velvoitetta etukäteisestä suostumuksesta pitää pääsääntönä. Jos esimerkiksi työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@yritys.fi, on lähtökohtaisesti osoitetta pidettävä luonnollisen henkilön osoitteena ja etukäteinen suostumus suoramarkkinointiin on saatava. Henkilön asemavaltuuden perusteella voidaan katsoa, että hän toimii yhteisössä tietyissä tehtävissä, joihin suoramarkkinoinnilla tarjottavat hyödykkeet ja palvelut olennaisesti liittyvät, ja tällöin osoitteen voidaan katsoa kuuluvan ehdotetun pykälän mukaisesti yritykselle tai muulle yhteisölle. Tällöin etukäteissuostumusta ei tarvita, vaan kyseisellä henkilöllä on ehdotetun 27 §:n mukainen kielto-oikeus.”

Apulaistietosuojavaltuutettu on tiedustellut rekisterinpitäjältä, miksi se on kohdistanut hakijaan sähköistä suoramarkkinointia. Rekisterinpitäjä on kertonut kohdistaneensa sähköistä suoramarkkinointia yhteisöön, eikä luonnolliseen henkilöön, jolloin suostumusta ei vaadita. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle antamansa selvityksen liitteenä hakijaa koskevia tietoja, joista ilmene muun muassa se, että hakija toimii yksityisenä elinkeinonharjoittajana. Hakijan päätoimialatietona on ilmoitettu ”esittävät taiteet”. Rekisterinpitäjä on kertonut hakijan kuuluvan sen asiakassegmenttiin sillä tapahtumajärjestäjät ostavat ja ovat ostaneet rekisterinpitäjän palveluita.

Edellä mainitun hallituksen esityksen HE 125/2003 vp. mukaan suoramarkkinoinnin osalta pääsääntönä on aina pidettävä suostumusta. Suostumuksen vaatimuksesta voidaan kyseisen hallituksen esityksen mukaan kuitenkin poiketa, jos suoramarkkinointia kohdistetaan sellaiseen yhteisössä toimivaan luonnolliseen henkilöön, joka toimii yhteisössä sellaisissa tehtävissä, että henkilön asemavaltuuden perusteella voidaan katsoa suoramarkkinointiviestissä markkinoitujen hyödykkeiden ja palveluiden olennaisesti liittyvän henkilön työtehtäviin. Olennaista on siten asemavaltuus, jonka perusteella luonnolliseen henkilöön voidaan kohdistaa yhteisölle tarkoitettua suoramarkkinointia. Viestintäpalvelulaissa eikä hallituksen esityksessä (125/2003 vp.) ole määritelty tarkemmin asemavaltuutusta. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän tulee ennen suoramarkkinoinnin kohdistamista yhteisössä toimivalle luonnolliselle henkilölle, selvittää kyseisen henkilön asema yhteisössä, jotta rekisterinpitäjä voi arvioida, liittyvätkö suoramarkkinointiviestissä markkinoidut hyödykkeet ja palvelut olennaisesti henkilön tehtäviin.

Hakijalta saadun tiedon mukaan hakija harjoittaa lapsille suunnattuja viihdepalveluita. Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ole arvioinut eikä selvittänyt hakijan asemavaltuutta ja etenkin sitä, liittyykö rekisterinpitäjän markkinoimat kurssit olennaisesti hakijan tehtäviin, joka kuitenkin olisi apulaistietosuojavaltuutetun mukaan hallituksen esityksen (125/2003 vp.) mukaisesti rekisterinpitäjän velvollisuus ennen kuin se voi ryhtyä kohdistamaan suoramarkkinointia luonnolliseen henkilöön yhteisönä. Apulaistietosuojavaltuutettu toteaa, ettei pelkästään se seikka, että henkilö toimii elinkeinonharjoittajana, tarkoita, että luonnollisella henkilöllä olisi asemavaltuus vastaanottaa viestintäpalvelulain 202 §:ssä tarkoitettua suoramarkkinointia. Olennaista on sen sijaan henkilön työtehtävien olennainen liittyminen niihin hyödykkeisiin ja palveluihin, joita suoramarkkinointiviestillä on markkinoitu.

Edellä kerrotun perusteella apulaistietosuojavaltuutettu toteaa, ettei rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ole ollut yhteisölle kohdistettua suoramarkkinointia.

Suoramarkkinointi luonnolliselle henkilölle

Viestintäpalvelulain 200 §:n 1 momentin mukaan sähköistä suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Kuten edellä apulaistietosuojavaltuutettu on todennut, rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ei ole ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia. Näin ollen rekisterinpitäjä on kohdistanut hakijaan luonnollisena henkilönä suoramarkkinointia. Viestintäpalvelulain 200 §:n 1 momentin mukaan luonnolliselle henkilölle saa kohdistaa suoramarkkinointia vain, jos henkilö on antanut siihen ennalta suostumuksen.

Apulaistietosuojavaltuutettu katsoo, että asiassa ei ole tarpeellista arvioida erikseen sitä, onko hakija antanut suostumuksensa sähköiseen suoramarkkinointiin, sillä rekisterinpitäjä on katsonut, ettei sen ole tarvinnut pyytää hakijalta suostumusta. Asiassa on siten riidatonta, ettei rekisterinpitäjä ole pyytänyt hakijalta suostumusta sähköiseen suoramarkkinointiin ja ettei hakija ole siten antanut suostumusta siihen. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on kohdistanut hakijaan sähköistä suoramarkkinointia ilman hakijan ennalta antamaa suostumusta.

Rekisterinpitäjä ei ole pyytänyt hakijalta yleisen tietosuoja-asetuksen mukaista suostumusta viestintäpalvelulain 200 §:n 1 momentin mukaiseen luonnolliselle henkilölle kohdistettuun sähköiseen suoramarkkinointiin. Näin ollen apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen 7 artiklan mukaista suostumusta käsitellessään hakijan henkilötietoja sähköiseen suoramarkki-nointiin.

Hakijan yleisen tietosuoja-asetuksen 17 artiklan ja 21 artiklan mukaisten oikeuksien toteuttaminen

Hakija kertoo saaneensa rekisterinpitäjältä suoramarkkinointiviestin 14.3.2019 numerosta 045 3324215 sekä 21.3. ja 9.5.2019 numerosta 045 2024500. Hakija on kertonut vastanneensa viesteihin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin, mutta on kiellostaan huolimatta saanut suoramarkkinointia. Hakija on myös kertonut olleensa yhteydessä rekisterinpitäjään sähköpostitse ja esittänyt suoramarkkinointia koskevan kiellon ja pyytänyt saada tietonsa poistetuksi. Hakijalla ei ole ollut tallessa rekisterinpitäjälle esittämää pyyntöä. Hakija ei ole osannut sanoa, onko hän tietojen poistoa koskevan pyynnön jälkeen yhä saanut sähköistä suoramarkkinointia. Kuitenkin hakija on kertonut, ettei sen aiemmin esittämää suoramarkkinointikieltoa ole toteutettu.

Rekisterinpitäjä on 15.5.2020 antamassaan vastineessa kertonut vastaanottaneensa hakijan kieltopyynnön ja asian olevan käsitelty asianmukaisesti.

Hakijan mukaan rekisterinpitäjä ei ole vastannut hakijan sähköpostitse esittämään tietojen poistoa ja vastustamisoikeutta koskevaan pyyntöön. Näin ollen apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole toimittanut hakijalle yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaisesti ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa tietoa siitä, mihin toimenpiteisiin se on ryhtynyt hakijan tietojen poistoa ja vastustamisoikeutta koskevan pyynnön johdosta.

Apulaistietosuojavaltuutettu katsoo myös, että rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 21 artiklan mukaista oikeutta koskevaa pyyntöä yleisen tietosuoja-asetuksen 21 artiklan 2 ja 3 kohdan mukaisesti, sillä rekisterinpitäjä on hakijan esittämästä kiellosta huolimatta kohdistanut hakijaan sähköistä suoramarkkinointia.

Lopuksi apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole järjestänyt henkilötietojen käsittelyä koskevia toimintatapojaan niin, että se pystyisi kertomaan, onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaiset oikeudet, tai vastaanottanut näitä oikeuksia koskevia pyyntöjä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan rekisterinpitäjän on käsiteltävä henkilötietoja lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, että se pystyy osoittamaan sen, että 1 kohtaa on noudatettu (osoitusvelvollisuus). Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole pystynyt osoittaman käsitelleensä henkilötietoja lainmukaisesti, sillä se ei ole pystynyt osoittamaan ja samalla itse varmistumaan siitä, onko se vastaanottanut tai toteuttanut rekisteröidyn esittämän rekisteröidyn oikeuksia koskevan pyynnön.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artikla 11 kohta, 5 artikla 2 kohta, 7 artikla, 12 artikla 1, 2, 3 ja 5 kohta, 17 artikla, 21 artikla 2, 3 ja 4 kohta, 58 artikla 2 kohta b, c, d ja i alakohta

Tietosuojalain (1050/2018) 8 §, 18 § ja 24 §

Hallintolain (434/2003) 34 §

Sähköisen viestinnän palveluista annetun lain (917/2014) 200 § 1 momentti, 202 §, 330 §

Päätös ei ole vielä lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.