23.7.2020

Sähköinen suoramarkkinointi, rekisteröidyn oikeus saada pääsy tietoihin ja vastustamisoikeus

ASIA

Sähköinen suoramarkkinointi, rekisteröidyn oikeus saada pääsy tietoihin ja rekisteröidyn vastustamisoikeus

Hakijan vaatimukset perusteluineen

Hakija on 16.9.2019 ollut yhteydessä tietosuojavaltuutetun toimistoon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 15 artiklan mukaisen oikeuden saada pääsy tietoihin ja 21 artiklan 2 kohdan mukaisen vastustamisoikeuden toteuttamiseksi. Hakija kertoo esittäneensä rekisterinpitäjälle pyynnön kahteen kertaan eikä ole saanut rekisterinpitäjältä vastausta kummankaan pyynnön johdosta.

Hakija ei ole antanut suostumusta sähköiseen suoramarkkinointiin.

Hakijalta saatu selvitys

Hakija kertoo saaneensa rekisterinpitäjältä suoramarkkinointiviestejä numeroista 045 3323985 ja 045 2023053. Hakija kertoo esittäneensä rekisterinpitäjälle suoramarkkinointia koskevan kiellon vastaamalla viestiin ”Ei” rekisterinpitäjän pyytämällä tavalla. Lisäksi hakija kertoo lähettäneensä rekisterinpitäjälle sähköpostitse pyynnön saada omat henkilötietonsa kahteen kertaan 24.5. ja 25.7.2019. Hakija ei ole saanut rekisterinpitäjältä vastausta pyyntöihinsä.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto on 18.12.2019 päivätyllä selvityspyynnöllä pyytänyt rekisterinpitäjältä selvitystä hakijan kantelun johdosta.

Rekisterinpitäjä on markkinoinut samannimisiä kursseja samansisältöisillä markkinointiviesteillä kuin Acc Consulting Oy, joka on asetettu konkurssiin 6.6.2018. Acc Consulting Oy:n kursseja koskevasta toiminnasta on vastannut sama henkilö, joka vastaa keskeisiltä osin rekisterinpitäjän kursseja koskevasta toiminnasta. Rekisterin-pitäjän toiminimi on yritys- ja yhteystietojärjestelmän mukaan rekisteröity 7.11.2012. Hakija on saanut rekisterinpitäjältä suoramarkkinointia keväällä 2019, jolloin rekisterinpitäjä on ollut toimintakykyinen. Hakijan saaman suoramarkkinointiviestin lähettäjä on näin ollen ollut rekisterinpitäjä, eikä 2018 konkurssiin asetettu Acc Consulting Oy.

Rekisterinpitäjä on antanut selvityksen 11.10.2019. Selvityksen mukaan, hakijan puhelinnumero, johon suoramarkkinointia on kohdistettu, on ollut yrityksen käytössä. Rekisterinpitäjä on todennut, että sen käsityksen mukaan yrityksille saa kohdistaa suoramarkkinointia ilman vastaanottajan suostumusta. Rekisterinpitäjä on myös selvityksessään kertonut epäilleensä jonkun toisen tahon tehneen ilkivaltaa ja lähettäneen rekisterinpitäjän nimissä suoramarkkinointiviestejä.

Rekisterinpitäjä on 9.2.2020 pyytänyt tietosuojavaltuutetun toimistoa toimittamaan alkuperäiset markkinointiviestit, joista näkisi mistä numerosta suoramarkkinointia on lähetetty. Tietosuojavaltuutetun toimisto on vastannut rekisterinpitäjälle 12.2.2020 ja kertonut, ettei hakija ole toimittanut saamaansa suoramarkkinointiviestiä. Hakija on kuitenkin toimittanut numeron, josta suoramarkkinointia on saatu ja tämä tieto on toimitettu rekisterinpitäjälle selvityspyynnön yhteydessä. Lisäksi rekisterinpitäjää on muistutettu siitä, että selvityspyynnössä on pyydetty saada selvitystä myös siihen, miksei hakijan sähköpostitse esittämää pyyntöä ole toteutettu. Rekisterinpitäjä ei ole antanut vastausta hakijan asiassa määräpäivään mennessä.

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä muista tietosuojavaltuutetun toimistoon vireille saatetuista rekisterinpitäjää koskevista kanteluista selvitystä samaan aikaan kuin selvitystä on pyydetty hakijan osalta. Näiden asioiden yhteydessä rekisterinpitäjä on kertonut, ettei se pysty kertomaan, onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaisen oikeuden, tai vastaanottanut oikeutta koskevaa pyyntöä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi.

Hakijan vastine

Hakijalta ei ole pyydetty vastinetta. Kuulemista on pidetty hallintolain (434/2003) 34 §:n 2 momentin 5 kohdan mukaisesti ilmeisen tarpeettomana, sillä rekisterinpitäjä ei ole vastannut hakijaa koskevaan selvityspyyntöön.

Rekisterinpitäjän kuuleminen

Kevään 2019 aikana tietosuojavaltuutetun toimistossa on saatettu vireille rekisterinpitäjän toimintaa koskevia kanteluita yhteensä 11 kappaletta. Kantelut ovat koskeneet sähköistä suoramarkkinointia ja rekisteröidyn yleisen tietosuoja-asetuksen mukaisien oikeuksien toteuttamista. Nyt käsillä oleva asia on yksi näistä edellä mainitusta 11 kantelusta.

Rekisterinpitäjälle on 3.3.2020 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä tietosuojavaltuutetun toimistoon vireille saatetuista 11 kantelusta sekä antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asioiden ratkaisuun. Rekisterinpitäjälle on varattu myös mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.

Apulaistietosuojavaltuutettu on selvittänyt teleoperaattoreilta niiden puhelinnumeroiden liittymien haltija tietoja, joista hakijat ovat saaneet suoramarkkinointia. Teleoperaattorilta saatujen tietojen mukaan suoramarkkinointia on kohdistettu rekisteröityihin puhelinnumeroista, jotka ovat rekisterinpitäjän ja sen alaisuudessa työskentelevien henkilöiden käytössä. Apulaistietosuojavaltuutettu on varannut rekisterinpitäjälle tilaisuuden lausua myös näistä asiaa selvitettäessä ilmitulleista seikoista.

Rekisterinpitäjä on kuulemispyynnön johdosta ollut 9.3.2020 yhteydessä asian esittelijään ja pyytänyt asian esittelijää toimittamaan uudestaan kuulemispyyntöä koskevien hakijoiden rekisterinpitäjältä saamat suoramarkkinointiviestit ja hakijoiden rekisterinpitäjälle lähettämät ”kieltoviestit”. Rekisterinpitäjä on kertonut selvittävänsä, onko se itse lähettänyt suoramarkkinointiviestit vai onko joku muu taho lähettänyt suoramarkkinointiviestit rekisterinpitäjän nimissä. Rekisterinpitäjälle on 29.3.2020 lähetetty uudestaan 11.2.2020 toimitetut hakijoiden saamat suoramarkkinointiviestit tai vaihtoehtoisesti hakijalta saatu tieto numerosta, josta suoramarkkinointia on lähetetty, jos alkuperäinen suoramarkkinointiviesti ei ole ollut tallessa.

Rekisterinpitäjä on vastannut muissa kuulemispyynnön kohteena olleissa asioissa kuulemispyyntöön 15.5.2020. Rekisterinpitäjä ei kuitenkaan ole vastannut kuulemispyyntöön hakijan osalta. Rekisterinpitäjä on kuitenkin ollut tietoinen siitä, että kuulemispyyntö on koskenut myös hakijan asiaa, sillä rekisterinpitäjä on pyytänyt saada lisäaikaa vastauksen antamiselle.

Rekisterinpitäjä ei ole vastauksessaan toimittanut pyydettyä vuoden 2019 eikä vuoden 2018 tilinpäätöstä, vaan ainoastaan tiedon vuoden 2019 liikevaihdostaan. Asian esittelijä on 10.6.2020 pyytänyt rekisterinpitäjää toimittamaan tilinpäätöksen 15.6.2020 mennessä. Rekisterinpitäjä on annetun määräajan jälkeen 19.6.2020 ilmoittanut pyytävänsä tilinpäätöksen tilitoimistolta. Rekisterinpitäjä ei tästä huolimatta ole toimittanut tilinpäätöstä 10.7.2020 mennessä. Tämän johdosta apulaistietosuojavaltuutettu on pyytänyt tilinpäätöksen tietosuojalain (1050/2018) 18 §:n nojalla Verohallinnolta.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999). Tietosuojalain 8 §:n mukaan tietosuojavaltuutettu toimii yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena. Tietosuojalain 24 artiklan mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Sähköisestä suoramarkkinoinnista säädetään sähköisen viestinnän palveluista annetun lain (917/2014; myöhemmin myös viestintäpalvelulaki) 24 luvun 200 ja 202 §:ssä. Kyseisen lain 305 §:n 1 momentin 4 kohdan mukaan tietosuojavaltuutettu valvoo suoramarkkinointia koskevien 200 ja 202-204 §:n säännösten noudattamista.

Sähköinen suoramarkkinointi ja suostumus suoramarkkinointiin

Viestintäpalvelulain 200 §:n 1 momentin mukaan automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Viestintäpalvelulain 202 §:n 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Pykälän 2 momentin mukaan yhteisölle on annettava mahdollisuus helposti ja ilman erillistä maksua kieltää yhteystietojensa käyttö jokaisen suoramarkkinointitarkoituksessa lähetetyn sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Sähköisen viestinnän tietosuojadirektiivin 2002/57/EY (saatettu kansallisesti voimaan 1.1.2015 kumotulla sähköisen viestinnän tietosuojalailla 516/2004, nykyinen viestintäpalvelulaki) 2 artiklan 2 kohdan f alakohdassa määritellään käyttäjän tai tilaajan suostumus. Suostumuksella tarkoitetaan sähköisen viestinnän tietosuojadirektiivissä samaa kuin rekisteröidyn suostumuksella yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (henkilötietodirektiivi). Henkilötietodirektiivi on kumottu yleisellä tietosuoja-asetuksella, minkä vuoksi asetuksen 94 artiklan mukaan sitä sovelletaan henkilötietodirektiivin sijaan. Myös Euroopan unionin tuomioistuin on Planet49-asiassa antamansa tuomion kappaleessa 63 todennut, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä. Näin ollen asiassa tulee suostumuksen edellytysten osalta sovellettavaksi yleisen tietosuoja-asetuksen suostumusta koskeva sääntely.

Suostumuksella tarkoitetaan yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Suostumuksen edellytyksistä puolestaan säädetään yleisen tietosuoja-asetuksen 7 artiklassa. Kyseisen artiklan 1 kohdan mukaan tietojenkäsittelyn perustuessa suostumukseen, on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Saman 7 artiklan 2 kohdan mukaan, jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Artiklan kohdan 3 mukaan rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perus-teella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Artiklan 4 kohdan mukaan arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Sähköisen viestinnän tietosuojadirektiivin 15 artiklan 2 kohdassa viitataan henkilötietodirektiivin III jakson säännöksiin oikeuskeinoista, vastuista ja seuraamuksista. Niitä sovelletaan ottaen huomioon sähköisen viestinnän tietosuojadirektiivin mukaisesti annetut kansalliset säännökset ja tästä direktiivistä johtuvat henkilökohtaiset oikeudet. Tässäkin viittaus henkilötietodirektiiviin on luettava yleisen tietosuoja-asetuksen 94 artiklan mukaisesti viittauksena tietosuoja-asetukseen.

Käsillä olevassa tilanteessa suostumuksen vaatimus sinällään seuraa viestintäpalvelulaista, jota on edellä kuvatuin tavoin luettava yhdessä yleisen tietosuoja-asetuksen kanssa. Viestintäpalvelulaissa ei kuitenkaan säännellä suostumuksen edellytyksistä, eikä siinä voitaisikaan säätää, joten niihin sovelletaan yleistä tietosuoja-asetusta, jossa suostumuksen edellytyksistä on säädetty.

Koska käsillä olevassa asiassa on edellä kuvatuin perustein kyse henkilötietojen käsittelyyn liittyvän suostumuksen yleisen tietosuoja-asetuksen mukaisista edellytyksistä, on tietosuojavaltuutettu toimivaltainen tältä osin myös käyttämään yleisen tietosuoja-asetuksen 58 artiklassa määriteltyjä toimivaltuuksia.

Rekisteröidyn yleisen tietosuoja-asetuksen 3 luvun mukaiset oikeudet

Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15-22 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan helpotettava 15-22 artiklan mukaisten oikeuksien käyttämistä.

Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15-22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.

Yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan mukaan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia.

Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin ja seuraavat tiedot: a) käsittelyn tarkoitus, b) kyseessä olevat henkilötietoryhmät, c) vastaanottajat tai vastaanottajaryhmät, d) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit, e) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä, f) oikeus tehdä valitus valvontaviranomaiselle, g) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot, ja h) automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan, jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten. Saman artiklan 3 kohdan mukaan, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

Yleisen tietosuoja-asetuksen 21 artiklan 4 kohdan mukaan viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 21 artiklan 2 kohdan oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.

OIKEUDELLINEN KYSYMYS

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679, tietosuojalain (1050/2018) ja sähköisen viestinnän palveluista annetun lain (917/2014) pohjalta. Asiassa on arvioitavana seuraavat oikeudelliset kysymykset:

1) onko rekisterinpitäjä kohdistanut hakijaan sähköistä suoramarkkinointia;

2) jos rekisterinpitäjä on kohdistanut hakijaan suoramarkkinointia, onko rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ollut yhteisölle kohdistettua suoramarkkinointia; ja

3) onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen 15 artiklan ja 21 artiklan 2 kohdan mukaiset oikeudet yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 15 artiklan ja 21 artiklan 2 ja 3 kohdan mukaisesti, ja onko rekisterinpitäjän rekisteröidyn oikeuksia koskevat toimintatavat olleet yleisen tietosuoja-asetuksen 5, 12, 15, 17 ja 21 artiklan mukaisia.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS PERUSTELUINEEN

Päätös

Rekisterinpitäjä on kohdistanut hakijaan sähköistä suoramarkkinointia.

Rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ei ole ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia, vaan luonnolliselle henkilölle kohdistettua viestintäpalvelulain 200 §:n 1 momentin mukaista suoramarkkinointia, johon vaaditaan ennalta annettu suostumus, jota hakija ei ole antanut.

Rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaista oikeutta saada pääsy tietoihin 12 artiklan 1 ja 3 kohdan ja 15 artiklan mukaisesti. Rekisterinpitäjä ei ole myöskään toteuttanut hakijan 21 artiklan mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin 12 artiklan 1 ja 3 kohdan ja 21 artiklan 2 ja 3 kohdan mukaisesti.

Rekisterinpitäjän toimintatapa rekisteröidyn oikeuksien toteuttamiseksi ei ole vastannut yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 15 artiklan eikä 21 artiklan 2 ja 3 kohdan säännöksiä.

Määräys

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen toimittaa rekisteröidylle 15 artiklan mukaiset tiedot.
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa toimintatapa 12, 15 ja 21 artiklan mukaisten oikeuksien toteuttamisessa yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 15 artiklan ja 21 artiklan 2 ja 3 kohdan mukaisiksi.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 18.9.2020 mennessä.

Apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän korjaamaan viestintäpalvelulain 202 §:n mukaisen toimintatapansa yhteisölle kohdistetun suoramarkkinoinnin osalta. Apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän ilmoittamaan tietosuojavaltuutetun toimistolle velvoitteen johdosta tehdyt muutokset 18.9.2020 mennessä.

Huomautus

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Rekisterinpitäjä on laiminlyönyt hakijan yleisen tietosuoja-asetuksen 12, 15 ja 21 artiklan mukaisten rekisteröidyn oikeuksien toteuttamisen, laiminlyönyt rekisterinpitäjälle kuuluvan 5 artiklan 2 kohdan mukaisen osoitusvelvollisuuden sekä käsitellyt henkilötietoja ilman yleisen tietosuoja-asetuksen mukaisen suostumuksen edellytysten täyttymistä.

Ottaen huomioon kyseinen päätös ja päätöksestä ilmenevät yleisen tietosuoja-asetuksen säännösten laiminlyönnit sekä se, että rekisterinpitäjän toimintaa koskevia vastaavia kanteluita on saatettu tietosuojavaltuutetun toimistossa vireille kevään 2019 aikana yhteensä 11 kappaletta, tietosuojavaltuutetun toimiston seuraamuskollegion on arvioitava tuleeko rekisterinpitäjälle asettaa yleisen tietosuoja-asetuksen 58 artik-lan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu muiden edellä mainittujen seuraamusten lisäksi. Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut erillisen päätöksen seuraamusmaksun määräämisestä.

Perustelut

Hakijaan kohdistettu suoramarkkinointi

Hakija on saanut sähköistä suoramarkkinointia numeroista 045 3323602, 045 3324364 ja 045 2024500.

Teleoperaattorilta saadun tiedon mukaan puhelinnumeroiden 045 3323602, 045 3324364 iittymän haltija on rekisterinpitäjän alaisuudessa toimivan henkilö. Rekisterinpitäjä on toimittanut tietosuojavaltuutetulle erään sähköpostikirjeenvaihdon, josta ilmenee, että edellä mainittu rekisterinpitäjän alaisuudessa toimiva henkilö työskentelee rekisterinpitäjän alaisuudessa. Puhelinnumeron 045 2024500 haltija on teleoperaattorilta saadun tiedon mukaa rekisterinpitäjä ja sen edustaja.

Edellä kerrotun perusteella apulaistietosuojavaltuutettu katsoo selvitetyksi, että rekisterinpitäjän alaisuudessa työskentelevä henkilö on kohdistanut rekisterinpitäjän nimissä hakijaan rekisterinpitäjän tarjoamia kursseja koskevaa suoramarkkinointiviestintää.

Suoramarkkinoinnin arvioiminen

Suoramarkkinointi yhteisölle

Viestintäpalvelulain 202 §:n 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Pykälän 2 momentin mukaan suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Viestintäpalvelulain 202 § vastaa sähköisen viestinnän tietosuojalain 516/2004 (kumottu lailla sähköisen viestinnän palveluista, ”viestintäpalvelulaki”) 27 §:ää. Sähköisen viestinnän tietosuojalain hallituksen esityksessä (HE 125/2003 vp, s. 80) todetaan seuraavaa ”Luonnolliselta henkilöltä tulee aina pyytää etukäteinen suostumus. Epäselvissä tapauksissa tulee asetettua velvoitetta etukäteisestä suostumuksesta pitää pääsääntönä. Jos esimerkiksi työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@yritys.fi, on lähtökohtaisesti osoitetta pidettävä luonnollisen henkilön osoitteena ja etukäteinen suostumus suoramarkkinointiin on saatava. Henkilön asemavaltuuden perusteella voidaan katsoa, että hän toimii yhteisössä tietyissä tehtävissä, joihin suoramarkkinoinnilla tarjottavat hyödykkeet ja palvelut olennaisesti liittyvät, ja tällöin osoitteen voidaan katsoa kuuluvan ehdotetun pykälän mukaisesti yritykselle tai muulle yhteisölle. Tällöin etukäteissuostumusta ei tarvita, vaan kyseisellä henkilöllä on ehdotetun 27 §:n mukainen kielto-oikeus.”

Apulaistietosuojavaltuutettu on tiedustellut rekisterinpitäjältä, miksi se on kohdistanut hakijaan sähköistä suoramarkkinointia. Rekisterinpitäjä ei ole toimittanut hakijan osalta vastausta 18.12.2019 päivätyn selvityspyynnön eikä 3.3.2020 päivätyn kuulemispyynnön johdosta. Muiden tietosuojavaltuutetun toimiston rekisterinpitäjälle lähettämien selvityspyyntöjen osalta rekisterinpitäjä on kertonut kohdistaneensa sähköistä suoramarkkinointia yhteisöön, eikä luonnolliseen henkilöön, jolloin suostumusta ei vaadita.

Edellä mainitun hallituksen esityksen HE 125/2003 vp. mukaan suoramarkkinoinnin osalta pääsääntönä on aina pidettävä suostumusta. Suostumuksen vaatimuksesta voidaan kyseisen hallituksen esityksen mukaan kuitenkin poiketa, jos suoramarkkinointia kohdistetaan sellaiseen yhteisössä toimivaan luonnolliseen henkilöön, joka toimii yhteisössä sellaisissa tehtävissä, että henkilön asemavaltuuden perusteella voidaan katsoa suoramarkkinointiviestissä markkinoitujen hyödykkeiden ja palveluiden olennaisesti liittyvän henkilön työtehtäviin. Olennaista on siten asemavaltuus, jonka perusteella luonnolliseen henkilöön voidaan kohdistaa yhteisölle tarkoitettua suoramarkkinointia. Viestintäpalvelulaissa eikä hallituksen esityksessä (125/2003 vp.) ole määritelty tarkemmin asemavaltuutusta. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän tulee ennen suoramarkkinoinnin kohdistamista yhteisössä toimivalle luonnolliselle henkilölle, selvittää kyseisen henkilön asema yhteisössä, jotta rekisterinpitäjä voi arvioida, liittyvätkö suoramarkkinointiviestissä markkinoidut hyödykkeet ja palvelut olennaisesti henkilön tehtäviin.

Koska rekisterinpitäjä ei ole toimittanut hakijan osalta selvitystä siihen, miksi se on katsonut kohdistaneensa suoramarkkinointia yhteisöön, apulaistietosuojavaltuutettu katsoo, että hakijan asiassa tulee sovellettavaksi etukäteissuostumuksen pääsääntö edellä mainitun hallituksen esityksen mukaisesti. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole arvioinut eikä selvittänyt hakijan asemavaltuutta ja etenkin sitä, liittyykö rekisterinpitäjän markkinoimat kurssit olennaisesti hakijan tehtäviin, joka kuitenkin olisi apulaistietosuojavaltuutetun mukaan hallituksen esityksen (125/2003 vp.) mukaisesti rekisterinpitäjän velvollisuus ennen kuin se voi ryhtyä kohdistamaan suoramarkkinointia luonnolliseen henkilöön yhteisönä. Apulaistietosuojavaltuutettu toteaa, ettei pelkästään se seikka, että henkilö työskentelee jossain yrityksessä, joka kuuluu rekisterinpitäjän asiakassegmenttiin ja että tämän yrityksen työntekijän työsuhdepuhelimen numero on yrityksen käytössä, tarkoita, että luonnollisella henkilöllä työntekijänä olisi asemavaltuus vastaanottaa viestintäpalvelulain 202 §:ssä tarkoitettua suoramarkkinointia. Olennaista on sen sijaan henkilön työtehtävien olennainen liittyminen niihin hyödykkeisiin ja palveluihin, joita suoramarkkinointiviestillä on markkinoitu.

Edellä kerrotun perusteella apulaistietosuojavaltuutettu toteaa, ettei rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ole ollut yhteisölle kohdistettua suoramarkkinointia.

Suoramarkkinointi luonnolliselle henkilölle

Viestintäpalvelulain 200 §:n 1 momentin mukaan sähköistä suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Kuten edellä apulaistietosuojavaltuutettu on todennut, rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ei ole ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia. Näin ollen rekisterinpitäjä on kohdistanut hakijaan luonnollisena henkilönä suoramarkkinointia. Viestintäpalvelulain 200 §:n 1 momentin mukaan luonnolliselle henkilölle saa kohdistaa suoramarkkinointia vain, jos henkilö on antanut siihen ennalta suostumuksen.

Apulaistietosuojavaltuutettu katsoo, että asiassa ei ole tarpeellista arvioida erikseen sitä, onko hakija antanut suostumuksensa sähköiseen suoramarkkinointiin, sillä rekisterinpitäjä on katsonut, ettei sen ole tarvinnut pyytää hakijalta suostumusta. Asiassa on siten riidatonta, ettei rekisterinpitäjä ole pyytänyt hakijalta suostumusta sähköiseen suoramarkkinointiin ja ettei hakija ole siten antanut suostumusta siihen. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on kohdistanut hakijaan sähköistä suoramarkkinointia ilman hakijan ennalta antamaa suostumusta.

Rekisterinpitäjä ei ole pyytänyt hakijalta yleisen tietosuoja-asetuksen mukaista suostumusta viestintäpalvelulain 200 §:n 1 momentin mukaiseen luonnolliselle henkilölle kohdistettuun sähköiseen suoramarkkinointiin. Näin ollen apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen 7 artiklan mukaista suostumusta käsitellessään hakijan henkilötietoja sähköiseen suoramarkkinointiin.

Hakijan yleisen tietosuoja-asetuksen 15 artiklan ja 21 artiklan mukaisten oikeuksien toteuttaminen

Hakija kertoo saaneensa rekisterinpitäjältä suoramarkkinointiviestejä, joiden johdosta hakija on esittänyt rekisterinpitäjälle 24.5. ja 25.7.2019 pyynnön saada omat tiedot. Lisäksi hakija on kertonut esittäneensä suoramarkkinointia koskevan kiellon lähettämällä viestin ”Ei” rekisterinpitäjän pyytämällä tavalla. Hakija ei ole saanut rekisterinpitäjältä vastausta pyyntöihinsä edelleenkään 24.2.2020 mennessä.

Apulaistietosuojavaltuutettu toteaa, ettei rekisterinpitäjä ole hakijan kahteen kertaan esittämän pyynnön johdosta toimittanut hakijalle ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta 12 artiklan 3 kohdan mukaisesti tietoja toimenpiteistä, joihin se on ryhtynyt 15 ja 21 artiklan nojalla tehtyjen pyyntöjen johdosta. Apulaistietosuojavaltuutettu toteaa myös, ettei rekisterinpitäjä ole toteuttanut ainakaan hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaista oikeutta koskevaa pyyntöä, sillä hakija ei ole saanut rekisterinpitäjältä pyytämiään tietoja.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen rekisterinpitäjän tulee yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan helpottaa rekisteröidyn oikeuksien käyttämistä. Saman artiklan 5 kohdan mukaan rekisteröidyn oikeuksia koskevat toimenpiteet ovat maksuttomia. Lisäksi rekisterinpitäjän on saatettava suoramarkkinointia koskeva vastustamioikeus nimenomaisesti rekisteröidyn tietoon selkeästi ja muusta tiedosta erillään.

Lopuksi apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole järjestänyt henkilötietojen käsittelyä koskevia toimintatapojaan niin, että se pystyisi kertomaan, onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaiset oikeudet, tai vastaanottanut näitä oikeuksia koskevia pyyntöjä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan rekisterinpitäjän on käsiteltävä henkilötietoja lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, että se pystyy osoittamaan sen, että 1 kohtaa on noudatettu (osoitusvelvollisuus). Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole pystynyt osoittaman käsitelleensä henkilötietoja lainmukaisesti, sillä se ei ole pystynyt osoittamaan ja samalla itse varmistumaan siitä, onko se vastaanottanut tai toteuttanut rekisteröidyn esittämän rekisteröidyn oikeuksia koskevan pyynnön.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artikla 11 kohta, 5 artikla 2 kohta, 7 artikla, 12 artikla 1, 2, 3 ja 5 kohta, 15 artikla 1 ja 3 kohta, 21 artikla 2, 3 ja 4 kohta, 58 artikla 2 kohta b, c, d ja i alakohta

Tietosuojalain (1050/2018) 8 §, 18 § ja 24 §

Hallintolain (434/2003) 34 §

Sähköisen viestinnän palveluista annetun lain (917/2014) 200 § 1 momentti, 202 §, 330 §

Päätös ei ole vielä lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.