23.7.2020

Sähköinen suoramarkkinointi ja rekisteröidyn yleisen tietosuoja-asetuksen mukaiset oikeudet

ASIA

Sähköinen suoramarkkinointi ja rekisteröidyn yleisen tietosuoja-asetuksen mukaiset oikeudet

Päätöstä koskevat asiat

Tietosuojavaltuutetun toimistossa on aikavälillä 24.4.-15.9.2019 saatettu vireille 11 kantelua, jotka ovat koskeneet rekisterinpitäjän harjoittamaa ei-toivottua sähköistä suoramarkkinointia ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 3 luvun mukaisten rekisteröidyn oikeuksien laiminlyöntiä. Asioissa on ollut kyse siitä, että hakijat ovat saaneet rekisterinpitäjältä sähköistä suoramarkkinoin-tia tekstiviestitse ilman, että hakijat olisivat antaneet sähköisen viestinnän palveluista annetun lain (917/2014) 200 § § momentissa edellytetyn ennalta annetun suostumuksen sähköiseen suoramarkkinointiin. Lisäksi kymmenessä näistä kanteluista on ollut kyse myös yhden tai useamman yleisen tietosuoja-asetuksen 3 luvun mukaisien rekisteröidyn oikeuksien toteuttamatta jättämisestä ja laiminlyömisestä. Apulaistietosuojavaltuutettu on antanut näiden kanteluiden johdosta kussakin asiassa päätöksen 23.7.2020.

3425/157/2019

Hakija on 24.4.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan rekisterinpitäjältä sähköistä suoramarkkinointia numerosta 045 3323604. Saadun suoramarkkinointiviestin johdosta hakija on kertonut yrittäneensä soittaa suoramarkkinointiviestissä mainittuun numeroon kieltääkseen suoramarkkinoinnin. Numerosta ei kuitenkaan ole vastattu.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

3578/157/2019

Hakija on 29.4.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan 16.4.2019 rekisterinpitäjältä sähköistä suoramarkkinointia. Saadun suoramarkkinointiviestin johdosta hakija on kertonut vastanneensa suoramarkkinointiviestiin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Tämän jälkeen hakija on 29.4.2019 saanut jälleen rekisterinpitäjältä suoramarkkinointia numerosta 045 2024500.

3846/157/2019

Hakija on 9.5.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan rekisterinpitäjältä useiden vuosien ajan sähköistä suoramarkkinointia. Hakija kertoo saaneensa suoramarkkinointia 14.3.2019 numerosta 045 3324215 sekä 21.3. ja 9.5.2019 numerosta 045 2024500. Hakija kertoo vastanneensa useamman kerran suoramarkkinointiviesteihin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Lisäksi hakija on kertonut olleensa yhteydessä rekisterinpitäjään myös sähköpostitse ja pyytänyt saada tietonsa poistetuksi.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

3871/157/2019

Hakija on 10.5.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan rekisterinpitäjältä sähköistä suoramarkkinointia 29.4.2019 puhelinnumerosta 045 2024500. Saadun suoramarkkinointiviestin johdosta hakija on ollut yhteydessä rekisterinpitäjään ja tiedustellut mistä hakijan tiedot on saatu ja millä perusteella suoramarkkinointia on lähetetty. Samalla hakija on esittänyt tietojensa poistoa koskevan pyynnön sekä vastustanut henkilötietojensa käyttöä sähköiseen suoramarkkinointiin. Rekisterinpitäjä on vastannut hakijalle 2.5.2019 ja kertonut henkilötietojen lähteen sekä ilmoittanut poistaneensa hakijan numeron. Hakija on kuitenkin 8.5.2019 saanut jälleen sähköistä suoramarkkinointia rekisterinpitäjältä.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

891/152/2019

Hakija on 10.5.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan rekisterinpitäjältä sähköistä suoramarkkinointia numerosta 040 9340220. Saadun suoramarkkinointiviestin johdosta hakija on 31.1.2019 ollut yhteydessä rekisterinpitäjään ja pyytänyt saada rekisterinpitäjältä itseään koskevat henkilötiedot. Hakijan mukaan rekisterinpitäjä ei ole vastannut sen pyyntöön edelleenkään 5.8.2019 mennessä.

3918/157/2019

Hakija on 13.5.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan toistuvasti sähköisiä suoramarkkinointiviestejä rekisterinpitäjältä 18.3., 21.3., 17.4. ja 10.5.2019. Hakija on kertonut saaneensa suoramarkkinointia ainakin numerosta 045 2023053 ja vastanneensa useamman kerran suoramarkkinointiviesteihin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Lisäksi hakija on kertonut soittaneensa suoramarkkinointiviestissä mainittuun numeroon ja keskustelleensa kaksi kertaa numerosta vastanneen henkilön kanssa, joka on luvannut rekisterinpitäjän poistavan hakijan tiedot suoramarkkinointilistalta.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

4338/157/2019

Hakija on 27.5.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan toistuvasti sähköisiä suoramarkkinointiviestejä rekisterinpitäjältä. Hakija kertoo saaneensa 19.3.2019 suoramarkkinointia numerosta 045 3323602 ja 30.4.2019 numerosta 045 3324364. Jälkimmäisen suoramarkkinointiviestin jälkeen hakija on vastannut viestiin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Tästä huolimatta hakija on edelleen 2.7.2019 saanut rekisterinpitäjältä sähköistä suoramarkkinointia numerosta 045 20254500.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

4666/154/2019

Hakija on 10.6.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan rekisterinpitäjältä sähköistä suoramarkkinointia. Hakija on kertonut saaneensa suoramarkkinointia numeroista 045 2024500 ja 045 2020353. Suoramarkkinointiviestien johdosta hakija on ollut yhteydessä rekisterinpitäjään useaan kertaan ja esittänyt pyynnön poistaa häntä koskevat tiedot. Hakija ei ole saanut rekisterinpitäjältä vastausta pyyntöön edelleenkään 5.8.2019 mennessä.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

5973/157/2019

Hakija on 8.8.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan rekisterinpitäjältä sähköistä suoramarkkinointia. Hakija on kertonut saaneensa rekisterinpitäjältä sähköisen suoramarkkinointiviestin helmikuussa 2019, minkä johdosta hakija on vastannut suoramarkkinointiviestiin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Hakija on myös 28.2.2019 ollut yhteydessä rekisterinpitäjään ja kertonut, ettei suoramarkkinointiviestissä markkinoidut kurssit liity millään tavalla hänen työtehtäviin. Samalla hakija on pyytänyt saada rekisterinpitäjältä itseään koskevat henkilötiedot ja esittänyt suoramarkkinointia koskevan kiellon. Hakija ei ole saanut rekisterinpitäjältä vastausta pyyntöönsä mutta on jälleen 11.3.2019 saanut rekisterinpitäjältä suoramarkkinointia numerosta 045 3323604 ja 9.4.2019 numerosta 045 3324367. Viestien johdosta hakija on toistanut pyyntönsä rekisterinpitäjälle. Hakija ei kuitenkaan ole saanut vastausta pyyntöönsä saada itseään koskevat henkilötiedot, eikä rekisterinpitäjä myöskään ole toteuttanut suoramarkkinointia koskevaa kieltopyyntöä, sillä hakija on jälleen 8.8.2019 saanut rekisterinpitäjältä sähköistä suoramarkkinointia numerosta 045 3324359. Rekisterinpitäjä on 20.8.2019 ilmoittanut hakijalle lisänneensä hakijan suoramarkkinointia koskevalle estolistalle ja poistaneensa hakijan tiedot. Hakija ei kuitenkaan ole edelleenkään saanut rekisterinpitäjältä itseään koskevia henkilötietoja.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

6773/157/2019

Hakija on 5.9.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan rekisterinpitäjältä sähköistä suoramarkkinointia numerosta 045 3324475. Saadun suoramarkkinointiviestin johdosta hakija on 4.4.2019 ollut yhteydessä rekisterinpitäjään ja tiedustellut millä perusteella rekisterinpitäjä kohdistaa hakijaan sähköistä suoramarkkinointia. Lisäksi hakija on esittänyt pyynnön saada omat henkilötiedot ja tämän jälkeen poistamaan tiedot rekisterinpitäjän järjestelmästä. Hakija ei ole saanut vastausta pyyntöihinsä 13.2.2020 mennessä.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

7022/157/2019

Hakija on 16.9.2019 saattanut vireille tietosuojavaltuutetun toimistoon kantelun saatuaan rekisterinpitäjältä sähköistä suoramarkkinointia numeroista 045 3323985 ja 045 2023053. Hakija on vastannut suoramarkkinointiviestiin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Hakija on 24.5.2019 esittänyt rekisterinpitäjälle kirjallisen pyynnön saada omat henkilötiedot. Hakija on toistanut pyynnön 25.7.2019. Hakija ei ole saanut vastausta pyyntöönsä 15.9.2019 mennessä.

Hakija ei ole kertomansa mukaan antanut rekisterinpitäjälle suostumusta sähköiseen suoramarkkinointiin.

Asioissa saatu ja hankittu selvitys

Apulaistietosuojavaltuutettu on aikavälillä 15.8 – 19.8.2019 pyytänyt rekisterinpitäjältä selvitystä vireille saatettujen 11 kantelun johdosta.

Tietosuojavaltuutetun toimistoon vireille saatetuissa asioissa rekisterinpitäjäksi on ilmoitettu Acc Consulting Oy. Acc Consulting Oy on saatettu konkurssiin 6.6.2018. Rekisterinpitäjä on markkinoinut samannimisiä kursseja samansisältöisillä markkinointiviesteillä kuin Acc Consulting Oy. Tietosuojavaltuutetun toimistoon saatetun tiedon mukaan Acc Consulting Oy:n kursseja koskevasta toiminnasta on vastannut samanniminen henkilö, joka myös vastaa keskeisiltä osin rekisterinpitäjän kursseja koskevasta toiminnasta. Rekisterinpitäjän toiminimi on yritys- ja yhteystietojärjestelmän mukaan rekisteröity 7.11.2012. Hakijat ovat saaneet rekisterinpitäjältä suoramarkkinointia keväällä ja kesällä 2019, jolloin rekisterinpitäjä on ollut toimintakykyinen. Hakijoiden saamien suoramarkkinointiviestin lähettäjä on näin ollen ollut rekisterinpitäjä A Consulting Varsinais-Suomi eikä 2018 konkurssiin asetettu Acc Consulting Oy.

Apulaistietosuojavaltuutettu on pyytänyt rekisterinpitäjältä selvitystä siihen, millä perusteella se on kohdistanut kuhunkin hakijaan sähköistä suoramarkkinointia sekä miten rekisterinpitäjä on toteuttanut hakijoiden yleisen tietosuoja-asetuksen mukaisia oikeuksia koskevat pyynnöt. Rekisterinpitäjä on 11.10.2019 antanut selvityksen sille lähetettyjen 11 selvityspyynnön johdosta. Selvityksessä rekisterinpitäjä kertoo seuraavaa. Kaikki selvityspyynnön kohteina olevat puhelinnumerot, joihin on lähetty suoramarkkinointia, ovat olleet yrityksen käytössä. Selvityksen liitteenä rekisterinpitäjä on toimittanut ”yritys yhteydet”, joista käy ilmi se, missä yrityksessä hakija työskentelee ja tämän yrityksen yhteystiedot ja toimiala. ”Yritys yhteyksiä” ei kuitenkaan ole toimitettu missään vaiheessa hakijoiden 4338/157/19, 6773/157/19 tai 7022/157/19 osalta. Rekisterinpitäjän käsityksen mukaan yrityksille saa kohdistaa suoramarkkinointia, yksityisnumeroihin puolestaan ei. Rekisterinpitäjä on esittänyt, että kantelut on todennäköisesti tehty vailla perustetta ja mahdollisesti niin, että joku on tehnyt ilkivaltaa ja lähettänyt rekisterinpitäjän nimissä viestintää.

Rekisterinpitäjä ei 11.10.2019 antamassa selvityksessään kuitenkaan ole vastannut selvityspyynnöissä esitettyihin kysymyksiin siitä, miksi rekisterinpitäjä ei ole toteuttanut hakijoiden (asiat 3846/157/19, 3891/152/19, 3918/157/19, 4666/157/19, 5973/157/19) yleisen tietosuoja-asetuksen 12, 15, 17 ja 21 artiklan mukaisia oikeuksia. Tämän vuoksi apulaistietosuojavaltuutettu on lähettänyt rekisterinpitäjälle 3.1.2020 päivätyn tiedustelun ja varannut rekisterinpitäjälle vielä tilaisuuden toimittaa selvitys siitä, miksei näitä rekisteröidyn oikeuksia ole toteutettu.

Rekisterinpitäjä on 17.1.2020 pyytänyt lisäaikaa vastauksen antamiselle sekä pyytänyt ohjeistusta siihen, saako yritys tehdä toiselle yritykselle tekstiviestimarkkinointia. Lisäksi rekisterinpitäjä on kertonut, että se on nyt lopettanut tekstiviestimarkkinoinnin. Rekisterinpitäjälle on vastattu 11.2.2020 ja kerrottu sähköisestä suoramarkkinoinnista ja yhteisölle kohdistetun suoramarkkinoinnin edellytyksistä. Suoramarkkinointia koskeva ohjeistus on ollut myös saatavilla tietosuojavaltuutetun toimiston verkkosivuilla.

Rekisterinpitäjä on antanut edellä mainituissa asioissa jälleen yhteisen vastauksen 14.2.2019. Rekisterinpitäjän mukaan numerot, jotka on kyetty toimittamaan rekisterinpitäjälle ovat olleet yrityksen käytössä, joka osoittaa selvästi sen, että rekisterinpitäjä ei ole kohdistanut suoramarkkinointia yksityisille ihmisille. Ainoa suoramarkkinointiin liittyvä tietokanta, joka rekisterinpitäjällä on, on niin sanottu estolista, joka pitää sisällään noin 300 000 puhelinnumeroa. Rekisterinpitäjä ei ole pystynyt kertomaan, onko se toteuttanut hakijoiden yleisen tietosuoja-asetuksen mukaiset oikeudet, tai vastaanottanut näitä oikeuksia koskevia pyyntöjä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi.

Rekisterinpitäjän kuuleminen

Rekisterinpitäjälle on 3.3.2020 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä tietosuojavaltuutetun toimistoon vireille saatetuista 11 kantelusta sekä antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asioiden ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.

Apulaistietosuojavaltuutettu on selvittänyt teleoperaattoreilta niiden puhelinnumeroiden liittymien haltija tietoja, joista hakijat ovat saaneet suoramarkkinointia. Teleoperaattorilta saatujen tietojen mukaan suoramarkkinointia on kohdistettu rekisteröityihin puhelinnumeroista, jotka ovat rekisterinpitäjän ja sen alaisuudessa työskentelevien henkilöiden käytössä.

Puhelinnumeroiden 045 3323604, 045 3324359, 045 3324367, 045 3324215 045 3323985 ja 045 3324475 haltijat ovat rekisterinpitäjältä saaduista selvityksistä ilmi käyneen tiedon mukaan henkilöitä, jotka työskentelevät rekisterinpitäjän alaisuudessa. Puhelinnumeron 045 2024500 haltija on, ennen liittymän irtisanomista 17.7.2019, ollut Independent Consulting Oy:n edustaja. Henkilö toimii rekisterinpitäjän edustajana ja on antanut päätöstä koskevissa asioissa rekisterinpitäjän edustajana selvityksiä rekisterinpitäjälle toimitettuihin selvityspyyntöihin. Myös puhelinnumeroiden 040 930 6489, 040 9340220 ja 0409353297 haltija on sama henkilö.

Liittymänumero 045 2020353 ei operaattorilta saaman tiedon mukaan ole ollut 2.1.2019 lähtien kenenkään käytössä. Suoramarkkinointia on kuitenkin kyseisestä numerosta lähetetty yhden hakijan toimittamien suoramarkkinointiviestien mukaan 17.4. ja 10.5.2019. Näiden viestien sisällön perusteella näyttäisi kuitenkin siltä, että rekisterinpitäjä Acc Consulting Varsinais-Suomi on ollut suoramarkkinoinnin lähettäjä.

Apulaistietosuojavaltuutettu on varannut rekisterinpitäjälle tilaisuuden lausua myös näistä asiaa selvitettäessä ilmi tulleista seikoista.

Rekisterinpitäjä on kuulemispyynnön johdosta, ennen vastauksen antamista, ollut 9.3.2020 yhteydessä asian esittelijään ja pyytänyt asian esittelijää toimittamaan uudestaan kuulemispyyntöä koskevien hakijoiden rekisterinpitäjältä saamat suoramarkkinointiviestit ja hakijoiden rekisterinpitäjälle lähettämät ”kieltoviestit” selvittääkseen onko rekisterinpitäjä lähettänyt suoramarkkinointiviestit vai onko joku muu taho lähettänyt suoramarkkinointiviestit rekisterinpitäjän nimissä. Rekisterinpitäjälle on kerrottu, että sille on jo 11.2.2020 toimitettu kaikki ne hakijoiden toimittamat viestit, jotka hakijoilla on ollut tallessa, ja jotka on näin ollen voitu toimittaa tietosuojavaltuutetun toimistolle. Rekisterinpitäjälle on kuitenkin 29.3.2020 toimitettu uudestaan hakijoiden saamat suoramarkkinointiviestit tai vaihtoehtoisesti hakijalta saatu tieto numerosta, josta suoramarkkinointia on lähetetty, jos alkuperäistä suoramarkkinointiviestiä ei ole ollut tallessa.

Rekisterinpitäjä on vastannut kuulemispyyntöön 15.5.2020. Rekisterinpitäjän vastineessa ei ole vastattu mitään asioiden 6773/157/19 eikä 7022/157/19 osalta. Apulaistietosuojavaltuutettu on ottanut rekisterinpitäjän vastineessa esiin tuomat seikat huomioon ratkaistessaan kutakin yksittäistä asiaa. Rekisterinpitäjä ei ole tuonut vastineessaan esiin seikkoja, joiden mukaan rekisterinpitäjä ei olisi kohdistanut hakijoihin suoramarkkinointia niistä puhelinnumeroista, jotka apulaistietosuojavaltuutettu on saattanut rekisterinpitäjän tietoon kuulemispyynnössä. Rekisterinpitäjä on yleisesti kommentoinut vastineessaan sitä, että se olisi pystynyt reagoimaan selvityspyyntöihin laadullista paremmin, jos valitukset olisi tuotu rekisterinpitäjän tietoon aiemmin. Vastineessa rekisterinpitäjä ei ole tuonut esiin muita yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaisia seikkoja, jotka tietosuojavaltuutetun toimiston seuraamuskollegion tulisi ottaa huomioon ratkaisua tehdessään.

Rekisterinpitäjä ei ole toimittanut siltä pyydettyä vuoden 2019 eikä vuoden 2018 tilinpäätöstä, vaan ainoastaan tiedon vuoden 2019 liikevaihdostaan. Asian esittelijä on 10.6.2020 pyytänyt rekisterinpitäjää toimittamaan tilinpäätöksen 15.6.2020 mennessä. Rekisterinpitäjä on annetun määräajan jälkeen 19.6.2020 ilmoittanut pyytävänsä tilinpäätöksen tilitoimistolta. Rekisterinpitäjä ei tästä huolimatta ole vieläkään toimittanut tilinpäätöstä 10.7.2020 mennessä. Edellä mainitun takia apulaistietosuojavaltuutettu on pyytänyt tilinpäätöksen tietosuojalain (1050/2018) 18 §:n nojalla Verohallinnolta.

Apulaistietosuojavaltuutetun päätöksissä sovellettu lainsäädäntö

Apulaistietosuojavaltuutetun päätöksissä on sovellettu seuraavia lakeja:
- luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus);
- tietosuojalaki (1050/2018);
- laki sähköisen viestinnän palveluista (917/2014; myöhemmin myös viestintäpalvelulaki); ja
- hallintolaki (434/2003)

Tiivistelmä apulaistietosuojavaltuutetun päätöksistä

Päätösten oikeudelliset kysymykset

Apulaistietosuojavaltuutetun päätöksissä oikeudellisena kysymyksenä ovat olleet seuraavat:

1) onko rekisterinpitäjä kohdistanut hakijaan sähköistä suoramarkkinointia;

2) jos rekisterinpitäjä on kohdistanut hakijaan suoramarkkinointia, onko rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ollut viestintäpalvelulaissa tarkoitettua yhteisölle kohdistettua suoramarkkinointia; ja

3) onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen 15-22 artiklan mukaisen oikeuden 15-22 artiklan ja 12 artiklan mukaisesti, sekä onko rekisterinpitäjän rekisteröidyn oikeuksia koskevat toimintatavat olleet yleisen tietosuoja-asetuksen 5 artiklan mukaisia.
Ainoastaan asiassa 3425/157/2019 ei ole ollut kyse rekisteröidyn oikeuksista, minkä vuoksi tässä asiassa oikeudellisena kysymyksenä ei ollut edellä mainittu kohta 3.

Apulaistietosuojavaltuutetun päätökset

1) Apulaistietosuojavaltuutettu on katsonut kaikissa asioissa, että rekisterinpitäjä on kohdistanut hakijoihin sähköistä suoramarkkinointia.

2) Apulaistietosuojavaltuutettu on katsonut kaikissa asioissa, että rekisterinpitäjän hakijoihin kohdistama suoramarkkinointi ei ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia. Näin ollen suoramarkkinointi on ollut viestintäpalvelulain 200 §:n 1 momentin mukaista luonnolliselle henkilölle kohdistettua sähköistä suoramarkkinointia, johon vaaditaan ennalta annettu suostumus. Rekisterinpitäjä ei ole pyytänyt hakijoilta suostumusta, joten rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen 4 ja 7 artiklan edellytykset täyttävää suostumusta kohdistaa hakijoihin sähköistä suoramarkkinointia.

Apulaistietosuojavaltuutettu on antanut rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen suostumuksen edellytysten laiminlyömisestä.
Lisäksi apulaistietosuojavaltuutettu on velvoittanut rekisterinpitäjän viestintäpalvelulain 330 §:n 1 momentin mukaisesti korjaamaan toimintatapansa yhteisölle kohdistetun suoramarkkinoinnin osalta. Apulaistietosuojavaltuutettu on velvoittanut rekisterinpitäjän ilmoittamaan tietosuojavaltuutetun toimistolle velvoitteen johdosta tehdyt muutokset 18.9.2020 mennessä.

3) Apulaistietosuojavaltuutettu on hakijoiden yleisen tietosuoja-asetuksen 12, 15, 17 ja 21 artiklan mukaisten oikeuksien toteuttamatta jättämisestä ja laiminlyömisestä johtuen antanut rekisterinpitäjälle
- yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen noudattaa hakijan esittämää oikeutta koskevaa pyyntöä;
- yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa sen toimintatavat yleisen tietosuoja-asetuksen mukaisiksi;
- yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen rekisteröidyn oikeuksien laiminlyömisestä ja 5 artiklan 2 kohdan mukaisen osoitusvelvollisuuden laiminlyömisestä.

Päätökset on ratkaissut apulaistietosuojavaltuutettu Anu Talus ja asian on esitellyt ylitarkastaja Mari-Ilona Korhonen.

SEURAAMUSKOLLEGION PÄÄTÖS

Ottaen huomioon apulaistietosuojavaltuutetun päätökset asioissa 3425/157/2019, 3578/157/2019, 3846/157/2019, 3871/157/2019, 3891/152/2019, 3918/157/2019, 4338/157/2019, 4666/157/2019, 5973/157/2019, 6773/157/2019 ja 7022/157/2019 kokonaisuudessaan seuraamuskollegio on arvioinut yleisen tietosuoja-asetuksen 83 artiklan perusteella tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi hallinnollisen seuraamusmaksun määräämisen.

Tietosuojavaltuutetun toimiston seuraamuskollegio määrää edellä mainittujen korjaavien toimivaltuuksien ja toimenpiteiden lisäksi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan 5 kohdan a ja b alakohtien nojalla rekisterinpitäjälle määrältään 7.000 (seitsemän tuhatta) euron suuruisen hallinnollisen seuraamusmaksun valtiolle maksettavaksi. Hallinnollisen seuraamusmaksun määrää arvioitaessa on otettu huomioon edellä mainitut apulaistietosuojavaltuutetun päätökset kokonaisuutena, ja yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaiset ankaroittavat ja lieventävät seikat.

Seuraamuskollegion päätöksen perustelut

Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan yleisen tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisen seuraamusmaksun määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta.

Apulaistietosuojavaltuutettu on antanut rekisterinpitäjälle edellä kerrotusti 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen yleisen tietosuoja-asetuksen 7 artiklan suostumuksen edellytysten, 5 artiklan osoitusvelvollisuuden ja rekisteröidyn 12, 15, 17 ja 21 artiklan mukaisten oikeuksien laiminlyömisestä.

Lisäksi apulaistietosuojavaltuutettu on antanut rekisterinpitäjälle 58 artiklan 2 kohdan c ja d alakohdan mukaiset määräykset noudattaa hakijoiden esittämää oikeutta koskevaa pyyntöä ja määrännyt rekisterinpitäjän muuttamaan sen toimintatavat asetuksen mukaiseksi. Hallinnollinen seuraamusmaksu annetaan siten 58 artiklan 2 kohdan b, c ja d alakohtien mukaisten korjaavien toimenpiteiden lisäksi.

Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan otettava asianmukaisesti huomioon seuraavat seikat:

a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus;

b) rikkomisen tahallisuus tai tuottamuksellisuus;

c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;

d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;

e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset;

f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

g) henkilötietoryhmät, joihin rikkominen vaikuttaa;

h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa;

i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja

k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.

Tietosuojalain (1050/2018) 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Asiaa arvioitaessa on otettu huomioon myös 29 artiklan mukaisen tietosuojaryhmän ohje hallinnollisten sakkojen soveltamisesta ja määräämisestä.

Rikkomisen luonne, vakavuus ja kesto

Arvioitaessa rikkomisen luonnetta, on huomioon otettava yleisen tietosuoja-asetuksen 83 artiklan 4 ja 5 kohdat. Yleisessä tietosuoja-asetuksessa on vahvistettu hallinnollisen seuraamusmaksun kaksi enimmäismäärää, mikä ilmentää sitä, että asetuk-sen joidenkin säännösten rikkominen voi olla vakavampaa kuin toisten.

Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan a-e alakohtien mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Kyseisen 83 artiklan 5 koh-dan mukaan hallinnollinen seuraamusmaksu määrätään muun muassa seuraavien säännösten rikkomisesta: 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna (a alakohta) ja rekisteröidyn 12-22 artiklan mukaiset oikeudet (b alakohta).

Rekisterinpitäjän rikkomus on edellä apulaistietosuojavaltuutetun päätöksistä ilmenevästi kohdistunut yleisen tietosuoja-asetuksen 5 artiklan perusperiaatteisiin, 7 artiklan suostumuksen edellytysten puuttumiseen sekä rekisteröidyn 12-22 artiklan mu-kaisten oikeuksien toteuttamatta jättämiseen ja laiminlyöntiin. Koska rekisterinpitäjän rikkominen on koskenut nimenomaisesti 83 artiklan 5 kohdan a ja b alakohdan mukaisia säännöksiä, on rekisterinpitäjän rikkomus katsottava olleen luonteeltaan vakavaa.

Apulaistietosuojavaltuutetun päätöksistä ilmenee, että rekisterinpitäjä on laiminlyönyt sähköiseen suoramarkkinointiin vaadittavan suostumuksen edellytykset tammi-elokuun 2019 aikana ainakin 11 henkilön osalta. Lisäksi rekisterinpitäjä on samalla aikavälillä laiminlyönyt ja jättänyt toteuttamatta kymmenen hakijan osalta yhden tai useamman yleisen tietosuoja-asetuksen mukaisen oikeuden.

Rekisterinpitäjän aiheuttama yleisen tietosuoja-asetuksen säännösten rikkominen ei ole ollut hetkellistä tai tapahtunut inhimillisen virheen johdosta sillä rikkomuksia on tapahtunut toistuvasti useamman kuukauden ajan. Hakijat ovat apulaistietosuojavaltuutetun päätöksistä ilmenevästi olleet yhteydessä rekisterinpitäjään ja tuoneet rekisterinpitäjän tietoon sen, ettei se ole toteuttanut heidän oikeuksiaan. Saatujen selvitysten perusteella rekisterinpitäjä on hakijoiden yhteydenotoista huolimatta jatkanut toimintaansa ennallaan useamman kuukauden ajan. Rekisterinpitäjä ei ole myöskään selvityksissään tuonut esiin toimenpiteitä, joilla se olisi yrittänyt korjata puutteellista toimintatapaansa rekisteröidyn oikeuksien toteuttamiseksi. Edellä mainitut seikat ilmentävät asianmukaisten ehkäisevien toimenpiteiden laiminlyöntiä sekä rekisterinpitäjän tarkoituksellista toimintaa.

Rekisteröityjen lukumäärä ja heille aiheutunut vahinko

Jotta asiassa voidaan määrittää, onko rekisterinpitäjän apulaistietosuojavaltuutetun edellä mainittujen 11 päätöksen mukaisissa rikkomuksissa ollut kyse yksittäisestä tapauksesta vai ilmentääkö tapaus järjestelmällisempää rikkomista tai asianmukaisten käytäntöjen puutetta, on otettava huomioon, kuinka suurta määrää rekisteröityjä rekisterinpitäjän rikkomus on koskenut. Rekisteröityjen määrää arvioitaessa tulee hakijoiden lisäksi ottaa huomioon myös esimerkiksi rekisterinpitäjän tietokantaan tallennettujenrekisteröityjen määrä.

Kuten edellä on jo mainittu, tietosuojavaltuutetun toimiston tietoon on saatettu, että rekisterinpitäjän rikkomus kohdistunut 11 hakijaan. Kyse ei siten ole yksittäisestä rikkomisesta vaan kyse vaikuttaisi olevan rekisterinpitäjän rekisteröidyn oikeuksien toteuttamisen asianmukaisten käytäntöjen puutteellisuudesta sekä suostumuksen edellytysten laiminlyömisestä. Todettakoon, että erilaisten kurssien tarjoaminen ja markkinoiminen, ja siten henkilötietojen käsittely suoramarkkinointiin, on kiinteä osa rekisterinpitäjän liiketoimintaa. Rekisterinpitäjä on kertonut, että sen suoramarkkinointiin liittyvässä tietokannassa (ns. estolista) on noin 300 000 puhelinnumeroa. Näin ollen rekisterinpitäjä käsittelee suuria määriä henkilötietoja ja rekisterinpitäjän rikkomus on omiaan vaikuttamaan myös suurempaan määrään rekisteröityjä kuin vain niihin 11 hakijaan, jotka ovat tehneet kantelun tietosuojavaltuutetun toimistolle.

Vahingon arvioinnissa on otettava huomioon edellä mainitun rekisteröityjen lukumäärän lisäksi myös hakijoille aiheutuneiden vahinkojen suuruus. Korkein oikeus on päätöksessään KKO:1998:85 katsonut, että yksityisyyden loukkaaminen merkitsee jo laissa edellytetyn vahingon tai haitan aiheuttamista.

Rekisterinpitäjä on rikkonut hakijoiden yleisen tietosuoja-asetuksen mukaisia oikeuksia, jolloin hakijoille on aiheutunut vahinkoa. Todettakoon kuitenkin, että apulaistietosuojavaltuutetun 11 päätöksen valmistelun yhteydessä ei ole käynyt ilmi, että hakijoille olisi aiheutunut taloudellista tai muuta aineellista vahinkoa. Tämä seikka voidaan ottaa huomioon arvioinnissa hallinnollisen seuraamusmaksun määrää lieventävänä tekijänä.

Rikkomuksen tahallisuus tai tuottamuksellisuus

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä (s. 12) on todettu, että tahallisuus edellyttää yleensä tietoista ja tarkoituksellista rikkomista, kun taas tahattomuudella tarkoitetaan sitä, että rikkominen ei ole ollut tahallista, vaikka rekisterinpitäjä rikkoisikin laissa edellytettyjä huolellisuusvelvoitteita. Tahallista rikkomista, joka ilmentää piittaamattomuutta lainsäädännöstä, pidetään edellä mainitun ohjeen mukaan yleisesti vakavampana kuin tahatonta rikkomista.

Tahallisuutta ja tuottamuksellisuutta koskevat päätelmät tehdään määrittämällä tapauksen tosiseikaistoihin perustuvat, toimintaan liittyvät objektiiviset seikat. Arvioitaessa onko rekisterinpitäjän rikkomus ollut tahallista vai tuottamuksellista, tulee ottaa huomioon kokonaisuutena apulaistietosuojavaltuutetun päätökset.

Asioissa 3578/157/2019, 3846/157/2019, 3918/157/2019, 4338/157/2019 ja 5973/157/2019 hakijat ovat esittäneet suoramarkkinointia koskevan kiellon rekisterinpitäjälle rekisterinpitäjän pyytämällä tavalla lähettämällä viestin ”Ei” rekisterinpitäjän pyytämään numeroon. Näiden hakijoiden osalta kieltoa ei kuitenkaan ole noudatettu vaan hakijat ovat saaneet esittämästään kiellosta huolimatta uudestaan suoramarkkinointia. Rekisterinpitäjä on ainakin kahden hakijan (3871/157/2019 ja 3918/157/2019) yhteydenoton johdosta ollut tietoinen siitä, ettei rekisterinpitäjän harjoittaman suoramarkkinoinnin vastustamista koskeva toimintapa (viestin ”Ei” lähettäminen) toimi tai ole riittävän tehokas, jotta rekisteröidyn esittämä kielto toteutuisi. Rekisterinpitäjä ei tästä hakijan rekisterinpitäjän tietoisuuteen saattamasta tiedosta huolimatta ole ryhtynyt muuttamaan toimintatapojaan, joka osoittaa sen, että rekisterinpitäjä on tahallisesti laiminlyönyt rekisteröidyn oikeuksien toteutumisen.

Asiassa 3871/157/2019 hakija on esittänyt rekisterinpitäjälle tiedustelun henkilötietojen lähteestä samalla kun on esittänyt suoramarkkinointia koskevan vastustamisoikeutta ja tietojen poistoa koskevan pyynnön. Rekisterinpitäjä on vastannut hakijalle tiedusteluun henkilötietojen lähteestä, mutta ei kuitenkaan ole toteuttanut yleisen tietosuoja-asetuksen 21 artiklan mukaista vastustamisoikeutta ja asetuksen 17 artiklaan perustuvaa tietojen poistoa koskevaa oikeutta. Myös asiassa 3918/157/2019 hakija on keskustellut kahteen kertaan rekisterinpitäjän edustajan kanssa suoramarkkinointikiellosta. Tästä huolimatta suoramarkkinointia ei ole lopetettu ja vastustamisoikeutta toteutettu.

Lisäksi rekisterinpitäjä on jättänyt asioissa 3578/157/2019, 3846/157/2019, 3871/157/2019, 3891/152/2019, 3918/157/2019, 4338/157/2019, 4666/157/2019, 5973/157/2019, 6773/157/2019 ja 7022/157/2019 toteuttamatta rekisteröidyn oikeuden saata tieto siitä, mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt rekisteröidyn pyynnön perusteella.

Kuten tietosuojaryhmän ohjeessa on todettu, tahallisuus edellyttää tietoista ja tarkoituksellista toimintaa. Edellä kerrotun perusteella rekisterinpitäjän toiminta, rekisteröidyn oikeuksien toteuttamatta jättäminen, vaikuttaa olevan tietoista ja tarkoituksellista, sillä rekisterinpitäjä on ollut tietoinen siitä, että se on jättänyt vastaamatta hakijoille sekä jättänyt toteuttamatta oikeuksia koskevia pyyntöjä.

Rekisterinpitäjän toimet vahingon lieventämiseksi

Rekisterinpitäjä ei ole 11.10.2019, 14.2.2020 eikä 15.5.2020 antamissaan vastauksissa tuonut esiin toimenpiteitä, joihin se olisi ryhtynyt rikkomusten ja laiminlyöntien korjaamiseksi. Rekisterinpitäjä on 17.1.2020 ilmoittanut lopettaneensa tekstiviestitse tapahtuvan suoramarkkinoinnin, koska ei ole saanut tietosuojavaltuutetun toimistolta selkeää kannanottoa siihen, saako yrityksille lähettää sähköistä suoramarkkinointia. Rekisterinpitäjälle on annettu vastaus ja yleistä neuvontaa, mutta rekisterinpitäjä ei kuitenkaan ole tuonut esiin toimenpiteitä, joihin se olisi ryhtynyt toimintatapojensa muuttamiseksi ja korjaamiseksi. Todettakoon, että rekisterinpitäjälle annettu yleinen ohjaus yhteisölle kohdistetusta suoramarkkinoinnista on ollut saatavilla esimerkiksi tietosuojavaltuutetun toimiston verkkosivuilla.

Tietosuojaryhmän ohjeessa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että rekisterinpitäjän olisi tehtävä kaikki voitavansa lieventääkseen rikkomuksesta asianomaisille aiheutuvia seurauksia. Valvontaviranomainen voi ohjeen mukaan ottaa seuraamusmaksua laskiessaan huomioon tällaisen rekisterinpitäjän vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.

Rekisterinpitäjä on 15.5.2020 antamassaan vastineessa todennut, että se olisi pystynyt reagoimaan sille esitettyihin selvityksiin laadullista paremmin, jos valitukset olisi tuotu rekisterinpitäjän tietoon aiemmin. Kuitenkin, kuten edellä on jo tuotu esiin, osa hakijoista on ollut rekisterinpitäjään itse yhteydessä heti kun rikkomus on havaittu. Näin ollen rekisterinpitäjä on ollut tietoinen rikkomuksista ja valituksista jo ennen kuin apulaistietosuojavaltuutettu on lähettänyt ensimmäiset selvityspyynnöt rekisterinpitäjälle. Rekisterinpitäjä ei kuitenkaan ole reagoinut hakijoiden pyyntöihin, vaikka on saanut tiedon niistä jo heti rikkomuksen tapahduttua.

Vastuun aste, ottaen huomioon rekisterinpitäjän 25 ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet

Rekisterinpitäjä ei ole vastauksissaan tuonut esiin seikkoja, jotka puoltaisivat sitä, että se olisi toteuttanut sellaisia teknisiä toimenpiteitä, jotka vastaavat sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita (25 artikla) eikä asianmukaista turvallisuustasoa (32 artikla).

Yleisen tietosuoja-asetuksen 25 ja 32 artikloissa edellytetään, että rekisterinpitäjä ottaa toiminnassaan huomioon ”uusimman tekniikan ja toteuttamiskustannukset sekä käsitellyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille”. Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä (s. 13) on todettu, että rekisterinpitäjän on huolehdittava tarpeellisista arvioinneista ja tehtävä asianmukaiset päätelmät. Saatuaan tiedon, ettei rekisterinpitäjän toimintatapa suoramarkkinoinnin vastustamiseksi (viestin ”Ei” lähettäminen) ole toteuttanut rekisteröidyn oikeutta, rekisterinpitäjä ei ole ryhtynyt muuttamaan sen toimintatapaa varmistaakseen, että sen henkilötietojen käsittely vastaisi tietosuojaperiaatteita ja oletusarvoista ja sisäänrakennettua tietosuojaa.

Aiemmat vastaavat rikkomiset

Konkurssiin vuonna 2016 menneen Acc Consulting Oy:n suoramarkkinointia ja henkilötietojen käsittelyä koskevia kanteluita on saatettu tietosuojavaltuutetun toimistoon vireille jo ennen yleisen tietosuoja-asetuksen soveltamisen alkamista. Kuten edellä on mainittu, Acc Consulting Oy:n kursseja koskevasta toiminnasta on vastannut samanniminen henkilö, joka myös vastaa keskeisiltä osin rekisterinpitäjän kursseja koskevasta toiminnasta. Rekisterinpitäjää ei kuitenkaan ole kuultu Acc Consulting Oy:n toiminnasta apulaistietosuojavaltuutetun 11 päätöksen valmistelun yhteydessä, jonka vuoksi seuraamuskollegio ei ota huomioon näitä aiempia mahdollisia rikkomuksia. Yhteistyö valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi.

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä (s. 15) todetaan, että yhteistyön aste voidaan ottaa ”asianmukaisesti huomioon”, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Ohjeen mukaan merkityksellisenä seikkana voidaan ottaa huomioon se, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin kyseisen tapauksen tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä.

Yleisen tietosuoja-asetuksen 31 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi.

Rekisterinpitäjä ei ole vastannut syksyllä 2019 rekisterinpitäjälle lähetettyihin 11 kanteluun kokonaisuudessaan. Rekisterinpitäjä on jättänyt antamatta selvitystä rekisteröidyn oikeuksien toteuttamisesta sekä kolmen kantelijan osalta rekisterinpitäjä on myös jättänyt antamatta selvitystä siihen, millä perusteella se on katsonut suoramarkkinointia kohdistetun nimenomaisesti näihin kantelijoihin. Rekisterinpitäjä on ainoastaan todennut, että ”kaikki numerot kuuluvat yrityksille ja nämä yritykset kuuluvat rekisterinpitäjän asiakas segmenttiin”. Rekisterinpitäjä ei siten ole reagoinut valvontaviranomaisen pyyntöihin siten, että rekisterinpitäjä olisi vaikuttanut halunneensa avustaa valvontaviranomaista asioiden selvittämisessä.

Rekisterinpitäjä ei ole myöskään toimittanut kuulemispyynnössä pyydettyjä tietoja rekisterinpitäjän liikevaihdosta. Tätä tietoa on jouduttu pyytämään uudestaan eikä tietoa tilinpäätöksestä ole annettu uuden määräajankaan puitteissa.

Rekisterinpitäjän yhteistyön puute valvontaviranomaisena toimivan tietosuojavaltuutetun toimiston kanssa voidaan ottaa huomioon arvioinnissa hallinnollisen seuraamusmaksun määrää ankaroittavana tekijänä.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

Rikkomisen kohteena on ollut yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan mukaiset henkilötiedot, joista luonnollinen henkilö on tunnistettavissa. Käsittelyn kohteena ei ole ollut 9 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvia henkilötietoja.

Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä (s. 17) todetaan, että tällaiset mahdolliset muut tekijät voivat olla esimerkiksi rikkomisella saatu hyöty tai taloudellinen etu. Rekisterinpitäjä harjoittaa sähköistä suoramarkkinointia markkinoimalla kursseja. Rekisterinpitäjän suoramarkkinoinnissa on kyse asiakashankinnasta, jonka tarkoituksena on tuottaa rekisterinpitäjälle taloudellista etua. Se, että rekisterinpitäjä on pyrkinyt hyötymään asetuksen ja viestintäpalvelulain rikkomisesta, puoltaa hallinnollisen seuraamusmaksun määräämistä.

Yhteenveto ja sakon määrän mittaaminen

Hallinnollisen seuraamusmaksun tulee olla yksittäistapauksessa tehokas, oikeasuhtainen ja varoittava.

Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, ettei nyt käsiteltävissä asioissa apulaistietosuojavaltuutetun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b, c ja d alakohtien mukaiset määräykset ole riittävä seuraus edellä mainitut 83 artiklan 2 kohdan a-j alakohdan mukaiset seikat huomioiden. Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo, että apulaistietosuojavaltuutetun toteamat rikkomukset ja laiminlyönnit ovat niiden luonne ja vakavuus huomioon ottaen sellaisia, että tehokas, oikeasuhteinen ja varoittava seuraamus on apulaistietosuojavaltuutetun antamien määräysten lisäksi hallinnollinen seuraamusmaksu.

Kuten edellä on todettu, 5 artiklan 2 kohdan, 7 artiklan, 12 artiklan 1, 2 ja 3 kohdan, 15 artiklan, 17 artiklan ja 21 artiklan mukaiset rikkomukset ovat luonteeltaan yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan a ja b alakohdan nojalla korkeamman vakavuusluokan rikkeitä. Kyseisen 83 artiklan 5 kohdan mukaan rekisterinpitäjälle tulee määrätä hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Arvioidessa hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun toimiston seuraamuskollegio on ottanut huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaiset ankaroittavat ja lieventävät seikat.

Ankaroittavina seikkoina on otettu huomioon erityisesti teon tahallisuus, samanlaisten rikkomisten määrä lyhyellä aikavälillä, rekisterinpitäjän välinpitämättömyys tehdä yhteistyötä valvontaviranomaisen kanssa ja se, ettei rekisterinpitäjä ole osoittanut ryhtyneensä asioiden selvittämisen aikana korjaaviin toimenpiteisiin suoramarkkinoinnin ja rekisteröidyn oikeuksien toteuttamisen osalta. Sakon määrää lieventävänä tekijänä on huomioitu se, että apulaistietosuojavaltuutetun 11 päätöksen valmistelun yhteydessä ei ole käynyt ilmi, että hakijoille olisi aiheutunut taloudellista tai muuta aineellista vahinkoa.

Seuraamuskollegio katsoo tehokkaaksi, oikeasuhteiseksi ja varoittavaksi määrältään 7.000 (seitsemän tuhatta) euron suuruisen hallinnollisen seuraamusmaksun.

Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artikla 11 kohta, 5 artikla 2 kohta, 7 artikla, 12 artikla 1, 2, 3 kohta, 15 artikla, 17 artikla, 21 artikla 2, 3 ja 4 kohta, 58 ar-tikla 2 kohta b, c, d ja i alakohta, 25 artikla, 31 artikla, 32 artikla, 83 artikla 1, 2, 4 ja 5 kohta a ja b alakohta

Tietosuojalain (1050/2018) 8 §, 18 § ja 24 §

Sähköisen viestinnän palveluista annetun lain (917/2014) 200 § 1 momentti, 202 §, 330 §

Hallintolain (434/2004) 34 §

Päätös ei ole vielä lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.