23.7.2020

Sähköinen suoramarkkinointi, rekisteröidyn oikeus saada pääsy tietoihin ja vastustaa henkilötietojen käsittelyä

ASIA

Sähköinen suoramarkkinointi, rekisteröidyn oikeus saada pääsy tietoihin ja rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä suoramarkkinointiin

Hakijan vaatimukset perusteluineen

Hakija on 8.8.2019 ollut yhteydessä tietosuojavaltuutetun toimistoon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 15 artiklan mukaisen oikeuden saada pääsy tietoihin ja 21 artiklan 2 kohdan mukaisen vastustamisoikeuden toteuttamiseksi. Hakija ei ole saanut rekisterinpitäjältä vastausta pyyntöönsä. Hakija ei ole myöskään antanut suostumustaan sähköiseen suoramarkkinointiin.

Hakijalta saatu selvitys

Hakija kertoo saaneensa rekisterinpitäjältä ei-toivotun suoramarkkinointiviestin työsuhdepuhelimeensa helmikuussa 2019. Hakija on kertonut lähettäneensä saadun suoramarkkinointiviestin johdosta viestin ”Ei” viestissä annettuun numeroon 040 9306489 kieltääkseen suoramarkkinoinnin. Lisäksi hakija on 28.2.2019 ollut yhteydessä rekisterinpitäjään sähköpostitse ja pyytänyt saada tiedon rekisterinpitäjällä olevista hakijaa koskevista tiedoista sekä esittänyt suoramarkkinointia koskevan kiellon. Hakija on myös kertonut rekisterinpitäjälle, ettei viestin tarjoama kurssi liity millään tavoin hänen työtehtäviinsä.

Hakija ei kertomansa mukaan saanut vastausta 28.2.2019 esittämäänsä pyyntöön. Tämän jälkeen hakija kuitenkin sai työsuhdepuhelimeensa jälleen suoramarkkinointiviestin 11.3.2019 numerosta 045 3323604 ja 9.4.2019 numerosta 045 3324367. Suoramarkkinointiviestit ovat olleet sisällöltään seuraavanlaisia:

”JYVÄSKYLÄ: Työ 3.4. Ennakoiva-ajo 4.4. Tulityö 2.4. Asb.purku 26-27.3. Vastaa kyllä, soitamme tai SOITA 0409306489, ei jos et halua viestejä. Accconsulting/GDPR.”

Näiden suoramarkkinointiviestien johdosta hakija on kertonut olleensa 9.4.2019 yhteydessä rekisterinpitäjän yhteyshenkilöön ja toistanut 28.2.2019 esittämänsä pyynnön. Hakija on myös kertonut soittaneensa 9.4.2019 suoramarkkinointiviesteissä mainittuun numeroon 040 9306489 ja keskustelleensa rekisterinpitäjän alaisuudessa toimivan henkilön kanssa selvittääkseen, miksi suoramarkkinointikieltoa ei oltu toteutettu.

Rekisterinpitäjä on vastannut hakijan pyyntöön 10.4.2019 ja kertonut selvittävänsä hakijan asiaa suoramarkkinoinnin osalta. Rekisterinpitäjä ei ole kuitenkaan vastannut hakijan pyyntöön saada omat tietonsa.

Hakija on edelleen 8.8.2019 saanut rekisterinpitäjältä suoramarkkinointia numerosta 045 3324359, minkä johdosta hakija on ollut uudestaan yhteydessä rekisterinpitäjään, ja kertonut saaneensa suoramarkkinointia. Hakija on tällöin toistanut pyynnön saada rekisterinpitäjältä tiedon siitä, mitä tietoja sillä on hakijasta. Rekisterinpitäjä on vastannut hakijalle 11.8. ja kertonut jälleen selvittävänsä asiaa sekä pyytänyt hakijaa kertomaan mihin numeroon suoramarkkinointia on lähetetty. Hakija on 12.8. toimittanut tiedon puhelinnumerostaan rekisterinpitäjälle sekä kertonut edelleen odottavansa 15 artiklan mukaisia tietoja. Rekisterinpitäjä on vastannut hakijalle 20.8. ja kertonut poistaneensa hakijan numeron ja lisänneensä sen estolistalle. Rekisterinpitäjä on myös toimittanut hakijalle tietosuojaselosteensa. Hakija ei ole kuitenkaan edelleenkään saanut rekisterinpitäjältä 15 artiklan mukaisia tietoja.

Rekisterinpitäjältä saatu selvitys

Selvityspyyntö 19.8.2019

Tietosuojavaltuutetun toimisto on 19.8.2019 päivätyllä selvityspyynnöllä pyytänyt rekisterinpitäjältä selvitystä hakijan kantelun johdosta.

Rekisterinpitäjä on markkinoinut samannimisiä kursseja samansisältöisillä markkinointiviesteillä kuin Acc Consulting Oy, joka on asetettu konkurssiin 6.6.2018. Acc Consulting Oy:n kursseja koskevasta toiminnasta on vastannut sama henkilö, joka vastaa keskeisiltä osin rekisterinpitäjän kursseja koskevasta toiminnasta. Rekisterinpitäjän toiminimi on yritys- ja yhteystietojärjestelmän mukaan rekisteröity 7.11.2012. Hakija on saanut rekisterinpitäjältä suoramarkkinointia keväällä 2019, jolloin rekisterinpitäjä on ollut toimintakykyinen. Hakijan saaman suoramarkkinointiviestin lähettäjä on näin ollen ollut rekisterinpitäjä, eikä 2018 konkurssiin asetettu Acc Consulting Oy.

Rekisterinpitäjä on antanut selvityksen 11.10.2019. Selvityksen mukaan, hakijan puhelinnumero, johon suoramarkkinointia on kohdistettu, on ollut yrityksen käytössä. Rekisterinpitäjä on todennut, että sen käsityksen mukaan yrityksille saa kohdistaa suoramarkkinointia ilman vastaanottajan suostumusta. Rekisterinpitäjä on myös selvityksessään kertonut epäilleensä jonkun toisen tahon tehneen ilkivaltaa ja lähettäneen rekisterinpitäjän nimissä suoramarkkinointiviestejä.

Selvityksen lisäksi rekisterinpitäjä on toimittanut liitteenä hakijaa koskevia tietoja, joista ilmenee yritys, jossa hakija on töissä ja kyseisen yrityksen muita tietoja, kuten yrityksen toimiala ”muiden orgaanisten peruskemikaalien valmistus” ja yrityksen vaihteen puhelinnumero.

Lisäselvityspyyntö 3.1.2020

Tietosuojavaltuutetun toimisto ei ole saanut rekisterinpitäjältä vastausta 19.8.2019 päivätyssä selvityspyynnössä esitettyihin kysymyksiin siitä, miksi rekisterinpitäjä ei ole toteuttanut hakijan esittämiä yleisen tietosuoja-asetuksen 15 artiklan ja 21 artiklan mukaisia oikeuksia. Tämän vuoksi apulaistietosuojavaltuutettu on lähettänyt rekisterinpitäjälle 3.1.2020 päivätyn tiedustelun, jossa rekisterinpitäjälle on vielä varattu tilaisuus toimittaa selvitys siitä, miksei näitä rekisteröidyn oikeuksia ole toteutettu. Tämän jälkeen rekisterinpitäjälle on vielä 11.2.2020 lähetetty hakijalta myöhemmin saadut kuvakaappaukset hakijan 11.3., 9.4. ja 8.8.2019 saamista suoramarkkinointiviesteistä, joista ilmenee puhelinnumero, josta suoramarkkinointia on lähetetty.

Rekisterinpitäjä on 17.1.2020 pyytänyt tietosuojavaltuutetun toimistolta ohjeistusta siihen, saako yritys tehdä toiselle yritykselle tekstiviestimarkkinointia. Lisäksi rekisterinpitäjä on kertonut, että se on nyt lopettanut tekstiviestimarkkinoinnin. Rekisterinpitäjälle on vastattu 11.2.2020 ja kerrottu sähköisestä suoramarkkinoinnista ja yhteisölle kohdistetun suoramarkkinoinnin edellytyksistä. Nämä samat tiedot ovat olleet saatavilla tietosuojavaltuutetun toimiston verkkosivuilla.

Rekisterinpitäjä on antanut tiedustelun johdosta vastauksen 14.2.2020. Rekisterinpitäjä on kertonut seuraavaa. Kaikki numerot, joihin se on kohdistanut suoramarkkinointia, ovat yrityksen käytössä. Rekisterinpitäjän mukaan tämä osoittaa sen, että markkinointia ei ole tehty yksityisille ihmisille. Ainoa suoramarkkinointiin liittyvä tietokanta, joka rekisterinpitäjällä on, on niin sanottu estolista. Rekisterinpitäjä ei ole pystynyt kertomaan, onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaiset oikeudet, tai vastaanottanut näitä oikeuksia koskevia pyyntöjä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi.

Hakijan vastine

Tietosuojavaltuutetun toimisto on 16.12.2019 varannut hakijalle hallintolain (434/2003) 34 §:n mukaisesti mahdollisuuden antaa vastine rekisterinpitäjän 11.10.2019 antaman selvityksen johdosta. Hakija on antanut vastineensa 17.12.2019.

Hakija kertoo vastineessaan puhelinnumeron, johon suoramarkkinointia on kohdistettu, olevan hakijan henkilökohtaisessa käytössä oleva työsuhdepuhelin, jonka omistaa hakijan työnantaja. Hakija kertoo olevansa tietoinen siitä, että markkinointiviestin lähettäminen yritysnumeroon ilman vastaanottajan suostumusta on sallittua, mikäli viestintä liittyy liittymän käyttäjän työtehtäviin. Hakija kertoo ilmoittaneensa rekisterinpitäjälle jo helmikuussa 2019, että tekstiviesteissä tarjotut kurssit eivät liity hakijan työtehtäviin.

Rekisterinpitäjän kuuleminen

Kevään 2019 aikana tietosuojavaltuutetun toimistossa on saatettu vireille rekisterinpitäjän toimintaa koskevia kanteluita yhteensä 11 kappaletta. Kantelut ovat koskeneet sähköistä suoramarkkinointia ja rekisteröidyn yleisen tietosuoja-asetuksen mukaisien oikeuksien toteuttamista. Nyt käsillä oleva asia on yksi näistä edellä mainitusta 11 kantelusta.

Rekisterinpitäjälle on 3.3.2020 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä tietosuojavaltuutetun toimistoon vireille saatetuista 11 kantelusta sekä antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asioiden ratkaisuun. Rekisterinpitäjälle on varattu myös mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.

Apulaistietosuojavaltuutettu on selvittänyt teleoperaattoreilta niiden puhelinnumeroiden liittymien haltija tietoja, joista hakijat ovat saaneet suoramarkkinointia. Teleoperaattorilta saatujen tietojen mukaan suoramarkkinointia on kohdistettu rekisteröityihin puhelinnumeroista, jotka ovat rekisterinpitäjän ja sen alaisuudessa työskentelevien henkilöiden käytössä. Apulaistietosuojavaltuutettu on varannut rekisterinpitäjälle tilaisuuden lausua myös näistä asiaa selvitettäessä ilmitulleista seikoista.

Rekisterinpitäjä on kuulemispyynnön johdosta ollut 9.3.2020 yhteydessä asian esittelijään ja pyytänyt asian esittelijää toimittamaan uudestaan kuulemispyyntöä koskevien hakijoiden rekisterinpitäjältä saamat suoramarkkinointiviestit ja hakijoiden rekisterinpitäjälle lähettämät ”kieltoviestit”. Rekisterinpitäjä on kertonut selvittävänsä, onko se itse lähettänyt suoramarkkinointiviestit vai onko joku muu taho lähettänyt suoramarkkinointiviestit rekisterinpitäjän nimissä. Rekisterinpitäjälle on 29.3.2020 lähetetty uudestaan 11.2.2020 toimitetut hakijoiden saamat suoramarkkinointiviestit tai vaihtoehtoisesti hakijalta saatu tieto numerosta, josta suoramarkkinointia on lähetetty, jos alkuperäinen suoramarkkinointiviesti ei ole ollut tallessa.

Rekisterinpitäjä on vastannut kuulemispyyntöön 15.5.2020. Rekisterinpitäjän mukaan hakija on antanut virheellistä tietoa asian käsittelystä. Rekisterinpitäjä on kertonut vastanneensa hakijan pyyntöön ja selvittäneensä hakijan esittämiä rekisteröidyn oikeuksia koskevia pyyntöjä hakijan kanssa. Lisäksi rekisterinpitäjä on kertonut, että hakijalla on ollut useita matkapuhelinnumeroita, joissa on ollut kääntöpalvelu, jonka vuoksi hakija on edelleen saanut suoramarkkinointia. Rekisterinpitäjä on vielä todennut hakijan numeron, johon suoramarkkinointia on kohdistettu, olevan yrityskäytössä ja että tämän yrityksen y-tunnus kuuluu rekisterinpitäjän asiakassegmenttiin.

Rekisterinpitäjä ei ole vastauksessaan toimittanut pyydettyä vuoden 2019 eikä vuoden 2018 tilinpäätöstä, vaan ainoastaan tiedon vuoden 2019 liikevaihdostaan. Asian esittelijä on 10.6.2020 pyytänyt rekisterinpitäjää toimittamaan tilinpäätöksen 15.6.2020 mennessä. Rekisterinpitäjä on annetun määräajan jälkeen 19.6.2020 ilmoittanut pyytävänsä tilinpäätöksen tilitoimistolta. Rekisterinpitäjä ei tästä huolimatta ole toimittanut tilinpäätöstä 10.7.2020 mennessä. Tämän johdosta apulaistietosuojavaltuutettu on pyytänyt tilinpäätöksen tietosuojalain (1050/2018) 18 §:n nojalla Verohallinnolta.

Apulaistietosuojavaltuutettu on rekisterinpitäjän antaman vastauksen johdosta 1.6.2020 tiedustellut vielä hakijalta rekisterinpitäjän mainitsemasta puheluiden kääntöpalvelusta. Hakija on kertonut, että yrityksellä, jossa hän työskentelee, on käytössä matkapuhelimiin liitetyt yritysnumerot, mutta näihin 010-alkuisiin numeroihin ei kuitenkaan ole mahdollista lähettää tekstiviestejä, vaan tekstiviestit on aina lähetettävä suoraan matkapuhelinnumeroon.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen.

Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999). Tietosuojalain 8 §:n mukaan tietosuojavaltuutettu toimii yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena. Tietosuojalain 24 artiklan mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Sähköisestä suoramarkkinoinnista säädetään sähköisen viestinnän palveluista annetun lain (917/2014; myöhemmin myös viestintäpalvelulaki) 24 luvun 200 ja 202 §:ssä. Kyseisen lain 305 §:n 1 momentin 4 kohdan mukaan tietosuojavaltuutettu valvoo suoramarkkinointia koskevien 200 ja 202-204 §:n säännösten noudattamista.

Sähköinen suoramarkkinointi ja suostumus suoramarkkinointiin

Viestintäpalvelulain 200 §:n 1 momentin mukaan automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Viestintäpalvelulain 202 §:n 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Pykälän 2 momentin mukaan yhteisölle on annettava mahdollisuus helposti ja ilman erillistä maksua kieltää yhteystietojensa käyttö jokaisen suoramarkkinointitarkoituksessa lähetetyn sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Sähköisen viestinnän tietosuojadirektiivin 2002/57/EY (saatettu kansallisesti voimaan 1.1.2015 kumotulla sähköisen viestinnän tietosuojalailla 516/2004, nykyinen viestintäpalvelulaki) 2 artiklan 2 kohdan f alakohdassa määritellään käyttäjän tai tilaajan suostumus. Suostumuksella tarkoitetaan sähköisen viestinnän tietosuojadirektiivissä samaa kuin rekisteröidyn suostumuksella yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (henkilötietodirektiivi). Henkilötietodirektiivi on kumottu yleisellä tietosuoja-asetuksella, minkä vuoksi asetuksen 94 artiklan mukaan sitä sovelletaan henkilötietodirektiivin sijaan. Myös Euroopan unionin tuomioistuin on Planet49-asiassa antamansa tuomion kappaleessa 63 todennut, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä. Näin ollen asiassa tulee suostumuksen edellytysten osalta sovellettavaksi yleisen tietosuoja-asetuksen suostumusta koskeva sääntely.

Suostumuksella tarkoitetaan yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Suostumuksen edellytyksistä puolestaan säädetään yleisen tietosuoja-asetuksen 7 artiklassa. Kyseisen artiklan 1 kohdan mukaan tietojenkäsittelyn perustuessa suostumukseen, on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Saman 7 artiklan 2 kohdan mukaan, jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Artiklan kohdan 3 mukaan rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Artiklan 4 kohdan mukaan arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Sähköisen viestinnän tietosuojadirektiivin 15 artiklan 2 kohdassa viitataan henkilötietodirektiivin III jakson säännöksiin oikeuskeinoista, vastuista ja seuraamuksista. Niitä sovelletaan ottaen huomioon sähköisen viestinnän tietosuojadirektiivin mukaisesti annetut kansalliset säännökset ja tästä direktiivistä johtuvat henkilökohtaiset oikeudet. Tässäkin viittaus henkilötietodirektiiviin on luettava yleisen tietosuoja-asetuksen 94 artiklan mukaisesti viittauksena tietosuoja-asetukseen.

Käsillä olevassa tilanteessa suostumuksen vaatimus sinällään seuraa viestintäpalvelulaista, jota on edellä kuvatuin tavoin luettava yhdessä yleisen tietosuoja-asetuksen kanssa. Viestintäpalvelulaissa ei kuitenkaan säännellä suostumuksen edellytyksistä, eikä siinä voitaisikaan säätää, joten niihin sovelletaan yleistä tietosuoja-asetusta, jossa suostumuksen edellytyksistä on säädetty.

Koska käsillä olevassa asiassa on edellä kuvatuin perustein kyse henkilötietojen käsittelyyn liittyvän suostumuksen yleisen tietosuoja-asetuksen mukaisista edellytyksistä, on tietosuojavaltuutettu toimivaltainen tältä osin myös käyttämään yleisen tietosuoja-asetuksen 58 artiklassa määriteltyjä toimivaltuuksia.

Rekisteröidyn yleisen tietosuoja-asetuksen 3 luvun mukaiset oikeudet

Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15-22 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan helpotettava 15-22 artiklan mukaisten oikeuksien käyttämistä.

Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15-22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.

Yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan mukaan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia.

Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin ja seuraavat tiedot: a) käsittelyn tarkoitus, b) kyseessä olevat henkilötietoryhmät, c) vastaanottajat tai vastaanottajaryhmät, d) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit, e) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä, f) oikeus tehdä valitus valvontaviranomaiselle, g) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot, ja h) automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan, jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten. Saman artiklan 3 kohdan mukaan, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

Yleisen tietosuoja-asetuksen 21 artiklan 4 kohdan mukaan viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 21 artiklan 2 kohdan oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

OIKEUDELLINEN KYSYMYS

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679, tietosuojalain (1050/2018) ja sähköisen viestinnän palveluista annetun lain (917/2014) pohjalta. Asiassa on arvioitavana seuraavat oikeudelliset kysymykset:

1) onko rekisterinpitäjä kohdistanut hakijaan sähköistä suoramarkkinointia;

2) jos rekisterinpitäjä on kohdistanut hakijaan suoramarkkinointia, onko rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ollut yhteisölle kohdistettua suoramarkkinointia; ja

3) onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaisen oikeuden saada pääsy tietoihin 12 artiklan ja 15 artiklan mukaisesti, ja onko rekisterinpitäjän rekisteröidyn oikeuksia koskevat toimintatavat olleet yleisen tietosuoja-asetuksen 5, 12, 15 ja 21 artiklan mukaisia.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS JA PERUSTELUT

Päätös

Rekisterinpitäjä on kohdistanut hakijaan sähköistä suoramarkkinointia.

Rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ei ole ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia, vaan luonnolliselle henkilölle kohdistettua viestintäpalvelulain 200 §:n 1 momentin mukaista suoramarkkinointia, johon vaaditaan ennalta annettu suostumus, jota hakija ei ole antanut.

Rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaista oikeutta saada pääsy tietoihin 12 artiklan 1 ja 3 kohdan ja 15 artiklan mukaisesti. Rekisterinpitäjä ei ole myöskään toteuttanut hakijan 21 artiklan mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin 12 artiklan 1 ja 3 kohdan ja 21 artiklan 2 ja 3 kohdan mukaisesti.

Rekisterinpitäjän toimintatapa rekisteröidyn oikeuksien toteuttamiseksi ei ole vastannut yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 15 artiklan eikä 21 artiklan 2 ja 3 kohdan säännöksiä.

Määräys

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen toimittaa rekisteröidylle 15 artiklan mukaiset tiedot.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa toimintatapa 12, 15 ja 21 artiklan mukaisten oikeuksien toteuttamisessa yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 15 artiklan ja 21 artiklan 2 ja 3 kohdan mukaisiksi.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 18.9.2020 mennessä.

Apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän korjaamaan viestintäpalvelulain 202 §:n mukaisen toimintatapansa yhteisölle kohdistetun suoramarkkinoinnin osalta. Apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän ilmoittamaan tietosuojavaltuutetun toimistolle velvoitteen johdosta tehdyt muutokset 18.9.2020 mennessä.

Huomautus

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Rekisterinpitäjä on laiminlyönyt hakijan yleisen tietosuoja-asetuksen 12, 15 ja 21 artiklan mukaisten rekisteröidyn oikeuksien toteuttamisen, laiminlyönyt rekisterinpitäjälle kuuluvan 5 artiklan 2 kohdan mukaisen osoitusvelvollisuuden sekä käsitellyt henkilötietoja ilman yleisen tietosuoja-asetuksen mukaisen suostumuksen edellytysten täyttymistä.

Ottaen huomioon kyseinen päätös ja päätöksestä ilmenevät yleisen tietosuoja-asetuksen säännösten laiminlyönnit sekä se, että rekisterinpitäjän toimintaa koskevia vastaavia kanteluita on saatettu tietosuojavaltuutetun toimistossa vireille kevään 2019 aikana yhteensä 11 kappaletta, tietosuojavaltuutetun toimiston seuraamuskollegion on arvioitava tuleeko rekisterinpitäjälle asettaa yleisen tietosuoja-asetuksen 58 artik-lan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu muiden edellä mainittujen seuraamusten lisäksi. Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut erillisen päätöksen seuraamusmaksun määräämisestä.

Perustelut

Hakijaan kohdistettu suoramarkkinointi

Hakija on saanut sähköistä suoramarkkinointia numeroista 045 3323604, 045 3324367 ja 045 3324359. Teleoperaattorilta saadun tiedon mukaan numeroiden 045 3323604 ja 045 3324359 haltija on rekisterinpitäjän alaisuudessa toimiva henkilö. Liittymät on avattu 17.10.2018 ja haltijatieto on pysynyt samana siitä lähtien. Numero 045 3324367 on puolestaan julkisista lähteistä saadun tiedon mukaan saman rekisterinpitäjän alaisuudessa työskentelevän henkilön nimissä. Rekisterinpitäjä on toimittanut tietosuojavaltuutetulle erään sähköpostikirjeenvaihdon, josta ilmenee, että edellä mainittu rekisterinpitäjän alaisuudessa toimiva henkilö työskentelee rekisterinpitäjän alaisuudessa. Myös hakija on kertonut keskustelleensa 9.4.2019 samannimisen henkilön kanssa puhelimessa.

Edellä kerrotun perusteella apulaistietosuojavaltuutettu katsoo selvitetyksi, että rekisterinpitäjän alaisuudessa työskentelevä henkilö on kohdistanut rekisterinpitäjän nimissä hakijaan rekisterinpitäjän tarjoamia kursseja koskevaa suoramarkkinointiviestintää.

Suoramarkkinoinnin arvioiminen

Suoramarkkinointi yhteisölle

Viestintäpalvelulain 202 §:n 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Pykälän 2 momentin mukaan suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Viestintäpalvelulain 202 § vastaa sähköisen viestinnän tietosuojalain 516/2004 (kumottu lailla sähköisen viestinnän palveluista, ”viestintäpalvelulaki”) 27 §:ää. Sähköisen viestinnän tietosuojalain hallituksen esityksessä (HE 125/2003 vp, s. 80) todetaan seuraavaa ”Luonnolliselta henkilöltä tulee aina pyytää etukäteinen suostumus. Epäselvissä tapauksissa tulee asetettua velvoitetta etukäteisestä suostumuksesta pitää pääsääntönä. Jos esimerkiksi työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@yritys.fi, on lähtökohtaisesti osoitetta pidettävä luonnollisen henkilön osoitteena ja etukäteinen suostumus suoramarkkinointiin on saatava. Henkilön asemavaltuuden perusteella voidaan katsoa, että hän toimii yhteisössä tietyissä tehtävissä, joihin suoramarkkinoinnilla tarjottavat hyödykkeet ja palvelut olennaisesti liittyvät, ja tällöin osoitteen voidaan katsoa kuuluvan ehdotetun pykälän mukaisesti yritykselle tai muulle yhteisölle. Tällöin etukäteissuostumusta ei tarvita, vaan kyseisellä henkilöllä on ehdotetun 27 §:n mukainen kielto-oikeus.”

Rekisterinpitäjä on kohdistanut hakijan työsuhdepuhelimeen sähköistä suoramarkkinointia. Suoramarkkinointiviesteissä on markkinoitu erilaisia kursseja nimikkeillä ”ennakoiva-ajo”, ”tulityö”, ”työturva” ja ”asbestinpurku”. Hakija on kertonut, että suoramarkkinointiviestissä mainitut kurssit eivät liity hakijan työtehtäviin.

Apulaistietosuojavaltuutettu on tiedustellut rekisterinpitäjältä, miksi se on kohdistanut hakijaan sähköistä suoramarkkinointia. Rekisterinpitäjä on kertonut kohdistaneensa sähköistä suoramarkkinointia yhteisöön, eikä luonnolliseen henkilöön, jolloin suostumusta ei vaadita. Rekisterinpitäjä on vielä todennut hakijan numeron, johon suoramarkkinointia on kohdistettu, olevan yrityskäytössä ja että tämän yrityksen y-tunnus kuuluu rekisterinpitäjän asiakassegmenttiin. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle antamansa selvityksen liitteenä hakijaa koskevia tietoja, joista ilmene muun muassa yritys, jossa hakija työskentelee ja tämän yrityksen yhteystiedot. Tiedoista ei kuitenkaan käy ilmi hakijan asema kyseisessä yrityksessä. Myöskään puhelinnumero, johon suoramarkkinointia on kohdistettu, ei ole näiden tietojen joukossa, tiedoissa on ainoastaan yrityksen vaihteen puhelinnumero.

Edellä mainitun hallituksen esityksen HE 125/2003 vp. mukaan suoramarkkinoinnin osalta pääsääntönä on aina pidettävä suostumusta. Suostumuksen vaatimuksesta voidaan kyseisen hallituksen esityksen mukaan kuitenkin poiketa, jos suoramarkkinointia kohdistetaan sellaiseen yhteisössä toimivaan luonnolliseen henkilöön, joka toimii yhteisössä sellaisissa tehtävissä, että henkilön asemavaltuuden perusteella voidaan katsoa suoramarkkinointiviestissä markkinoitujen hyödykkeiden ja palveluiden olennaisesti liittyvän henkilön työtehtäviin. Olennaista on siten asemavaltuus, jonka perusteella luonnolliseen henkilöön voidaan kohdistaa yhteisölle tarkoitettua suoramarkkinointia. Viestintäpalvelulaissa eikä hallituksen esityksessä (125/2003 vp.) ole määritelty tarkemmin asemavaltuutusta. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän tulee ennen suoramarkkinoinnin kohdistamista yhteisössä toimivalle luonnolliselle henkilölle, selvittää kyseisen henkilön asema yhteisössä, jotta rekisterinpitäjä voi arvioida, liittyvätkö suoramarkkinointiviestissä markkinoidut hyödykkeet ja palvelut olennaisesti henkilön tehtäviin.

Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ole arvioinut eikä selvittänyt hakijan asemavaltuutta ja etenkin sitä, liittyykö rekisterinpitäjän markkinoimat kurssit olennaisesti hakijan tehtäviin, joka kuitenkin olisi apulaistietosuojavaltuutetun mukaan hallituksen esityksen (125/2003 vp.) mukaisesti rekisterinpitäjän velvollisuus ennen kuin se voi ryhtyä kohdistamaan suoramarkkinointia luonnolliseen henkilöön yhteisönä. Apulaistietosuojavaltuutettu toteaa, ettei pelkästään se seikka, että henkilö työskentelee jossain yrityksessä, joka kuuluu rekisterinpitäjän asiakassegmenttiin ja että tämän yrityksen työntekijän työsuhdepuhelimen numero on yrityksen käytössä, tarkoita, että luonnollisella henkilöllä työntekijänä olisi asemavaltuus vastaanottaa viestintäpalvelulain 202 §:ssä tarkoitettua suoramarkkinointia. Olennaista on sen sijaan henkilön työtehtävien olennainen liittyminen niihin hyödykkeisiin ja palveluihin, joita suoramarkkinointiviestillä on markkinoitu.

Edellä kerrotun perusteella apulaistietosuojavaltuutettu toteaa, ettei rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ole ollut yhteisölle kohdistettua suoramarkkinointia.

Suoramarkkinointi luonnolliselle henkilölle

Viestintäpalvelulain 200 §:n 1 momentin mukaan sähköistä suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Kuten edellä apulaistietosuojavaltuutettu on todennut, rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ei ole ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia. Näin ollen rekisterinpitäjä on kohdistanut hakijaan luonnollisena henkilönä suoramarkkinointia. Viestintäpalvelulain 200 §:n 1 momentin mukaan luonnolliselle henkilölle saa kohdistaa suoramarkkinointia vain, jos henkilö on antanut siihen ennalta suostumuksen.

Apulaistietosuojavaltuutettu katsoo, että asiassa ei ole tarpeellista arvioida erikseen sitä, onko hakija antanut suostumuksensa sähköiseen suoramarkkinointiin, sillä rekisterinpitäjä on katsonut, ettei sen ole tarvinnut pyytää hakijalta suostumusta. Asiassa on siten riidatonta, ettei rekisterinpitäjä ole pyytänyt hakijalta suostumusta sähköiseen suoramarkkinointiin ja ettei hakija ole siten antanut suostumusta siihen. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on kohdistanut hakijaan sähköistä suoramarkkinointia ilman hakijan ennalta antamaa suostumusta.

Rekisterinpitäjä ei ole pyytänyt hakijalta yleisen tietosuoja-asetuksen mukaista suostumusta viestintäpalvelulain 200 §:n 1 momentin mukaiseen luonnolliselle henkilölle kohdistettuun sähköiseen suoramarkkinointiin. Näin ollen apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen 7 artiklan mukaista suostumusta käsitellessään hakijan henkilötietoja sähköiseen suoramarkkinointiin.

Hakijan yleisen tietosuoja-asetuksen 12, 15 ja 21 artiklan mukaiset oikeudet

Hakija on 28.2.2019 ollut ensimmäisen kerran yhteydessä rekisterinpitäjään ja esittänyt yleisen tietosuoja-asetuksen 15 artiklan mukaisen pyynnön saada tietää mitä tietoja rekisterinpitäjällä on hakijasta ja 21 artiklan 2 kohdan mukaisen pyynnön vastustaa henkilötietojensa käsittelyä suoramarkkinointiin. Hakija on kirjallisen pyynnön lisäksi esittänyt suoramarkkinointia koskevan kiellon lähettämällä viestin ”Ei” rekisterinpitäjän pyytämällä tavalla rekisterinpitäjän ilmoittamaan numeroon. Hakija ei ole saanut rekisterinpitäjältä vastausta pyyntöönsä. Hakija on 11.3. ja 9.4.2019 saanut jälleen sähköistä suoramarkkinointia rekisterinpitäjältä. Tästä johtuen hakija on 9.4.2019 toistanut 15 ja 21 artiklan mukaisia oikeuksia koskevat pyynnöt. Rekisterinpitäjä on 10.4.2019 vastannut hakijalle ja kertonut ryhtyvänsä selvittämään syytä siihen, miksi hakija on edelleen esittämästään kiellosta huolimatta saanut sähköistä suoramarkkinointia. Rekisterinpitäjä ei tässä yhteydessä ole kuitenkaan kertonut ryhtyvänsä toimenpiteisiin hakijan 15 artiklan mukaisen oikeuden toteuttamiseksi eikä siten ole toimittanut 12 artiklan 3 kohdan mukaisesti tietoja toimenpiteistä, joihin se on ryhtynyt rekisteröidyn pyynnön johdosta.

Rekisterinpitäjän 10.4.2019 antamasta vastauksesta huolimatta, rekisterinpitäjä ei ole toteuttanut hakijan vastustamisoikeutta, sillä hakija on edelleen 8.8.2019 saanut rekisterinpitäjältä sähköistä suoramarkkinointia. Hakija on 8.8.2019 ollut yhteydessä rekisterinpitäjään kolmannen kerran ja kertonut edelleen saavansa suoramarkkinointia ja odottavansa rekisterinpitäjältä 15 artiklan mukaisia tietoja. Rekisterinpitäjä on vastannut hakijalle 11.8.2019 ja kertonut jälleen selvittävänsä asiaa sekä pyytänyt hakijalta tässä yhteydessä tietoa siitä, mihin numeroon suoramarkkinointia on lähetetty. Hakija on 12.8.2019 toimittanut rekisterinpitäjälle tiedon puhelinnumerosta sekä neljännen kerran toistanut 15 artiklan mukaisen pyyntönsä. Rekisterinpitäjä on 20.8.2019 vastannut hakijalle ja kertonut poistaneensa hakijan tiedot sekä lisänneensä hakijan numeron estolistalle, jotta viestejä ei enää tulisi. Samalla rekisterinpitäjä on toimittanut hakijalle tietosuojaselosteensa. Rekisterinpitäjä ei tässä yhteydessä ole kuitenkaan toimittanut hakijalle 15 artiklan mukaisia tietoja.

Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole hakijan neljään kertaan esittämän 15 artiklan mukaisen pyynnön johdosta toimittanut hakijalle ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta 12 artiklan 3 kohdan mukaisesti tietoja toimenpiteistä, joihin se on ryhtynyt 15 artiklan nojalla tehdyn pyynnön johdosta. Rekisterinpitäjä ei myöskään ole toimittanut 15 artiklan mukaisia tietoja hakijalle vaikka hakija on esittänyt pyynnön neljään eri kertaan. Rekisterinpitäjä on kuitenkin kertonut poistaneensa tiedot, vaikka hakija ei ole esittänyt tietojensa poistoa koskevaa pyyntöä.

Apulaistietosuojavaltuutettu katsoo myös, että rekisterinpitäjä ei ole toimittanut hakijalle yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaisesti ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa tietoa siitä, mihin toimenpiteisiin se on ryhtynyt hakijan 28.2.2019 esittämän yleisen tietosuoja-asetuksen 21 artiklan mukaisen pyynnön johdosta. Rekisterinpitäjä on vasta hakijan 9.4.2019 esittämän pyynnön johdosta vastannut hakijalle ja kertonut ryhtyvänsä selvittämään asiaa. Re-kisterinpitäjä ei kuitenkaan ole toteuttanut hakijan pyyntöä, sillä hakija on tämän jälkeen saanut yhä sähköistä suoramarkkinointia.

Todettakoon vielä, että rekisterinpitäjän ja hakijan välisestä kirjeenvaihdosta ilmenee, että rekisterinpitäjä on vasta hakijan 8.8.2019 esittämän pyynnön johdosta tiedustellut hakijalta puhelinnumeroa, johon suoramarkkinointia on lähetetty selvittääkseen asiaa. Rekisterinpitäjä on jo aiemmin 10.4.2019 kertonut ryhtyvänsä selvittämään asiaa, mutta ei kuitenkaan ole tässä yhteydessä pyytänyt hakijalta tietoa puhelinnumerosta, joka on kuitenkin hakijan 8.8.2019 esittämän pyynnön jälkeen ollut tarpeen asian selvittämiseksi. Lisäksi kirjeenvaihdosta ilmenee, että hakija on keskustellut saman rekisterinpitäjän edustajan kanssa sähköpostitse sekä huhtikuussa että elokuussa 2019. Kyseinen rekisterinpitäjän edustaja on siten saanut hakijan 15 artiklan mukaiset pyynnöt, mutta jättänyt tietoisesti vastaamatta niihin. Apulaistietosuojavaltuutettu katsoo siten, että rekisterinpitäjä on tahallaan laiminlyönyt hakijan 15 ja 21 artiklan mukaisten oikeuksien toteuttamisen.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen rekisterinpitäjän tulee yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan helpottaa rekisteröidyn oikeuksien käyttämistä. Saman artiklan 5 kohdan mukaan rekisteröidyn oikeuksia koskevat toimenpiteet ovat maksuttomia. Lisäksi rekisterinpitäjän on saatettava suoramarkkinointia koskeva vastustamioikeus nimenomaisesti rekisteröidyn tietoon selkeästi ja muusta tiedosta erillään.

Lopuksi apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole järjestänyt henkilötietojen käsittelyä koskevia toimintatapojaan niin, että se pystyisi kertomaan, onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaiset oikeudet, tai vastaanottanut näitä oikeuksia koskevia pyyntöjä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan rekisterinpitäjän on käsiteltävä henkilötietoja lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, että se pystyy osoittamaan sen, että 1 kohtaa on noudatettu (osoi-tusvelvollisuus). Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole pystynyt osoittaman käsitelleensä henkilötietoja lainmukaisesti, sillä se ei ole pystynyt osoittamaan ja samalla itse varmistumaan siitä, onko se vastaanottanut tai toteuttanut rekisteröidyn esittämän rekisteröidyn oikeuksia koskevan pyynnön.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artikla 11 kohta, 5 artikla 2 kohta, 7 artikla, 12 artikla 1, 2, 3 ja 5 kohta, 15 artikla 1 ja 3 kohta, 21 artikla 2, 3 ja 4 kohta, 58 artikla 2 kohta b, c, d ja i alakohta

Tietosuojalain (1050/2018) 8 §, 18 § ja 24 §

Hallintolain (434/2003) 34 §

Sähköisen viestinnän palveluista annetun lain (917/2014) 200 § 1 momentti, 202 §, 330 §

Päätös ei ole vielä lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.