22.1.2021

Riittävistä toimenpiteistä huolehtiminen rekisteröidyn oikeuksien toteuttamiseksi

Asia

Oikeus saada tiedot poistetuksi ja oikeus vastustaa henkilötietojen käsittelyä suoramarkkinointiin

Hakijan vaatimukset perusteluineen

Kilpailu- ja kuluttajavirasto on siirtänyt 27.11.2019 hallintolain (434/2003) 21 §:n nojalla hakijan asian osittain tietosuojavaltuutetun toimiston käsiteltäväksi.

Hakijan asiassa on kyse luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 17 artiklan ja 21 artiklan mukaisista rekisteröidyn oikeuksista. Rekisterinpitäjä ei ole toteuttanut hakijan pyynnöstä hakijan yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin, vaikka rekisterinpitäjä on kahdesti ilmoittanut merkitsevänsä hakijalle suoramarkkinointikiellon.

Lisäksi hakija on pyytänyt rekisterinpitäjää poistamaan hakijan kaikki henkilötiedot. Rekisterinpitäjä on kieltäytynyt poistamasta tietoja rekisterinpitäjälle kuuluvan henkilötietojen säilytysvelvollisuuden takia.

Hakijalta saatu selvitys

Hakija on vuonna 2014 ostanut silmä- ja aurinkolasit rekisterinpitäjän optikkoliikkeestä. Hakija on loppuvuonna 2017 - alkuvuonna 2018 alkanut saada rekisterinpitäjältä yhteydenottoja. Tämän johdosta hakija on 7.3.2018 pyytänyt rekisterinpitäjää poistamaan hakijan tiedot ja pyytänyt rekisterinpitäjää lopettamaan yhteydenpidon hakijaan. Rekisterinpitäjä on vastannut hakijalle ja kertonut rekisterinpitäjän yrittäneen puhelimitse tavoitella hakijaa näöntarkastuskutsun takia, ja samalla ilmoittanut merkinneensä hakijan tietoihin suoramarkkinointikiellon. Rekisterinpitäjän merkitsemästä suoramarkkinointikiellosta huolimatta hakija on 19.11.2018 saanut rekisterinpitäjältä postitse suoramarkkinointikirjeen, jonka jälkeen hakija on ollut uudestaan yhteydessä rekisterinpitäjään ja pyytänyt saada tietonsa poistetuksi. Rekisterinpitäjä on vastannut hakijalle ja kertonut suoramarkkinoinnin johtuneen tietoteknisestä syystä.

Tämän jälkeen hakija on 22.11.2018 ollut vielä yhteydessä rekisterinpitäjään palatakseen tietojen poistoa koskevaan pyyntöön. Hakija on kertonut rekisterinpitäjälle pyytäneensä tietojen poistoa kahdesti, mutta ei ole saanut lainkaan vastausta tähän pyyntöön. Hakija on siten esittänyt pyyntönsä vielä kolmannen kerran. Rekisterinpitäjä on vastannut hakijalle 23.11.2018 ja kertonut ettei rekisterinpitäjä saa lain mukaan poistaa hakijan tietoja, sillä tiedot pitävät sisällään terveystietoja, joita rekisterinpitäjän tulee lain mukaan säilyttää. Samalla rekisterinpitäjä on kertonut in-aktivoineensa hakijan tiedot, jotta hakijan tiedot eivät enää näkyisi liikkeessä eikä markkinointia näin ollen enää tapahtuisi.

Hakija on jälleen 21.11.2019 saanut tekstiviestitse suoramarkkinointiviestin rekisterinpitäjältä ja ollut tämän johdosta yhteydessä rekisterinpitäjään. Rekisterinpitäjä on vastannut ja kertonut, että hakijalle on ollut merkittynä markkinointikielto, mutta teknisestä virheestä johtuen hakija on edelleen saanut suoramarkkinointiviestin.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto on 20.3.2020 päivätyllä selvityspyynnöllä pyytänyt rekisterinpitäjältä selvitystä hakijan asian selvittämiseksi. Rekisterinpitäjä on antanut selvityksensä 30.6.2020.

Selvityksessään rekisterinpitäjä kertoo seuraavaa. Rekisterinpitäjän asiakkaille (optikon potilaat) lähetetään näöntarkastuskutsu seuraavaan tarkastukseen pääsääntöisesti kahden vuoden kuluttua viimeisestä käynnistä. Mikäli potilas (rekisteröity) kieltää näöntarkastuskutsun lähettämisen, kirjataan tästä tieto myymälän potilastietojärjestelmään. Rekisterinpitäjä kertoo nykyisin pyytävänsä potilailta suostumuksen tietojen tallentamiseen

Hakijan asian osalta rekisterinpitäjä pahoittelee tapahtunutta. Hakija on vaihtanut sukunimensä sen jälkeen, kun hakija on tullut rekisterinpitäjän asiakkaaksi vuonna 2014. Hakijan suoramarkkinointia koskevaa kieltoa ei ole osattu kohdistaa rekisterinpitäjän järjestelmässä oikein replikointitiedoston jumittumisen vuoksi. Kyseinen jumiutuminen on kuitenkin korjattu välittömästi kun se huomattiin.

Hakijan vastine

Tietosuojavaltuutetun toimisto on varannut hakijalle hallintolain (434/2003) 34 §:n mukaisesti mahdollisuuden antaa vastine rekisterinpitäjän selvityksen johdosta. Hakija ei ole antanut vastinetta määräpäivään 31.8.2020 mennessä.

Sovellettavan lain valinta

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999). Tietosuojalain 8 §:n mukaan tietosuojavaltuutettu toimii yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä.

Sähköisen viestinnän palveluista annetun lain (917/2014) 305 §:n 1 momentin 4 kohdan mukaan tietosuojavaltuutettu valvoo suoramarkkinointia koskevien 200 ja 202–204 §:n säännösten noudattamista.

Hakija on esittänyt rekisterinpitäjälle tietojen poistoa ja suoramarkkinointikieltoa koskevan pyynnön ensimmäisen kerran 7.3.2018 eli henkilötietolain soveltamisen aikana, ja toisen kerran 19.11.2018 eli yleisen tietosuoja-asetuksen soveltamisen aikana, kuitenkin ennen tietosuojalain soveltamisen alkamista. Kolmannen kerran hakija on esittänyt suoramarkkinointikieltoa koskevan pyynnön 21.11.2019 eli yleisen tietosuoja-asetuksen ja tietosuojalain soveltamisen aikana. Hakijan asia on saatettu vireille tietosuojavaltuutetun toimistossa 27.11.2019.

Tietosuojalain 38 §:n 3 momentin mukaan tietosuojalain voimaan tullessa vireillä olevassa tarkastusoikeuden toteuttamista tai tietojen korjaamista koskevassa asiassa ei sovelleta sellaisia yleisen tietosuoja-asetuksen 12 ja 15-18 artiklan säännöksiä, joissa asetetaan rekisterinpitäjälle laajempia velvollisuuksia kuin tietosuojalain voimaan tullessa voimassa olleet säännökset edellyttävät, jos mainittujen tietosuoja-asetuksen säännösten soveltaminen olisi rekisterinpitäjän kannalta kohtuutonta. Koska hakijan asia on saatettu vireille tietosuojalain soveltamisen alkamisen jälkeen, ei tietosuojalain 38 §:n 3 momentin mukainen siirtymäsäännös tule sovellettavaksi tietojen poistoa koskevan oikeuden osalta.

Kuitenkin asiassa on otettava huomioon muuttunut lainsäädäntö. EU-oikeudessa keskeinen periaate on oikeusvarmuuden periaate. Tästä periaatteesta on useissa EU-tuomioistuimen ratkaisuissa johdettu taannehtivan lainsäädännön soveltamisen kielto. Tämän kiellon mukaan unionioikeudellisilla säädöksillä ei pääsääntöisesti ole taannehtivaa vaikutusta.

Oikeuskäytännössä on tältä osin tunnistettu taannehtivuuden kaksi tyyppiä: tosiasiallinen taannehtivuus sekä materiaalinen taannehtivuus. Tosiasiallisella taannehtivuudella tarkoitetaan uuden lainsäädännön soveltamista sellaiseen tosiseikastoon, joka on täysin toteutunut vanhan lainsäädännön aikana. EU-tuomioistuimen oikeuskäytännössä tällainen tosiasiallinen taannehtivuus on lähtökohtaisesti kielletty.

Materiaalisella taannehtivuudella tarkoitetaan uuden lainsäädännön soveltamista tulevaisuuteen suuntautuvin vaikutuksin sellaisessa tilanteessa, joka on syntynyt aikaisemman lainsäädännön ollessa voimassa, ja oikeudellisesti relevantti toiminta jatkuu edelleen uuden lainsäädännön aikana. EU-tuomioistuin on hyväksynyt tällaisen materiaalisen taannehtivuuden. Tuomioistuin on todennut, että EU-oikeudellisen lainsäädännön täytyy katsoa saavuttavan oikeusvaikutuksia voimaan tullessaan myös silloin, kun uusi lainsäädäntö määrittelee vanhan lainsäädännön aikana alkaneiden asiantilojen seurauksia. Niin ikään tuomioistuin on kiinnittänyt taannehtivan lainsäädännön sallittavuutta arvioidessaan huomiota yksityisten oikeussubjektien oikeussuojan tarpeeseen.

Käsillä olevassa tapauksessa valituksenalainen toiminta eli se, että rekisterinpitäjä ei ole toteuttanut hakijalle kuuluvaa yleisen tietosuoja-asetuksen 12 artiklan 4 kohdan mukaista oikeutta 17 artiklan mukaisen tietojen poistoa koskevan pyynnön yhteydessä kieltäytyessään toteuttamasta hakijan pyyntöä, eikä lopettanut hakijan pyynnöstä suoramarkkinoinnin lähettämistä, on syntynyt aikaisemman lainsäädännön eli henkilötietolain aikana, ja toiminta on jatkunut edelleen yleisen tietosuoja-asetuksen soveltamisen aloittamisen jälkeen. Koska oikeudellisesti relevantti toiminta on jatkunut uuden lainsäädännön aikana, asiassa tulee sovellettavaksi yleinen tietosuoja-asetus.

Sovellettava lainsäädäntö

Yleinen tietosuoja-asetus

Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Yleisen tietosuoja-asetuksen 12 artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

Yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan b alakohdan mukaan rekisterinpitäjällä ei ole velvollisuutta poistaa henkilötietoja, jos niiden käsittely on tarpeen jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi.

Yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, jos henkilötietoja käsitellään suoramarkkinointia varten. Saman artiklan 3 kohdan mukaan, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Potilastietojen säilyttäminen

Terveydenhuollon ammattihenkilöstöstä annetun lain (559/1994) 2 §:n mukaisen terveydenhuollon ammattihenkilön on potilaan asemasta ja oikeuksista annetun lain (785/1992; myöhemmin potilaslaki) 12 §:n mukaan merkittävä potilasasiakirjoihin potilaan hoidon järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot. Terveydenhuollon toimintayksikön ja itsenäisesti ammattiaan harjoittavan terveydenhuollon ammattihenkilön tulee säilyttää potilasasiakirjat potilaan hoidon järjestämisen ja toteuttamisen, hoitoon liittyvien mahdollisten korvausvaatimusten ja tieteellisen tutkimuksen edellyttämä aika.

Potilasasiakirjojen laatimisesta, niihin kirjattavien tietojen tarkemmasta sisällöstä sekä tietojen säilytysajoista säädetään tarkemmin potilaslain 12 §:n nojalla annetulla sosiaali- ja terveysministeriön asetuksella potilasasiakirjoista (298/2009; myöhemmin potilasasiakirja-asetus). Asetuksen 10 §:ssä määritellään potilasasiakirjoihin määriteltävät perustiedot. Mainitun pykälän 1 momentin 1 kohdan mukaan säilytettäviä tietoja ovat potilaan nimi, syntymäaika, henkilötunnus, kotikunta ja yhteystiedot. Tietoja tulee säilyttää potilasasiakirja-asetuksen 23 §:n mukaisesti mainitun asetuksen liitteessä tarkoitettu aika.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen ja tietosuojalain nojalla. Asiassa on arvioitava seuraavat oikeudelliset kysymykset

1. onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaisen vastustamisoikeuden 21 artiklan 3 kohdan mukaisesti; ja

2. onko rekisterinpitäjälle annettava määräys toteuttaa hakijan yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan mukainen tietojen poistoa koskeva oikeus.

Jos rekisterinpitäjän toimintatapa ei ole ollut yleisen tietosuoja-asetuksen mukaista, tulee tietosuojavaltuutetun arvioida, onko asiassa käytettävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

Rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin saman artiklan 3 kohdan mukaisesti.

Hakijan vaatimus henkilötietojen poistamisesta hylätään. Hakijalla ei ole oikeutta saada henkilötietoja poistetuksi 17 artiklan 3 kohdan b alakohdan mukaan.

Huomautus

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen rekisterinpitäjän yleisen tietosuoja-asetuksen 12 artiklan 4 kohdan, 21 artiklan 2 kohdan ja 25 artiklan 2 kohdan mukaisten rekisterinpitäjän velvollisuuksien laiminlyömisestä.

Perustelut

Hakija on pyytänyt rekisterinpitäjää lopettamaan yhteydenpidon ensimmäisen kerran 7.3.2018 ja toisen kerran 19.11.2018. Rekisterinpitäjä on vastannut molempiin pyyntöihin ja kertonut suoramarkkinointikiellon merkityksi. Rekisterinpitäjä on lisäksi kertonut hakijalle molempien viestin yhteydessä suoramarkkinoinnin johtuneen virheestä. Hakija on kuitenkin jälleen vuoden kuluttua, 21.11.2019 saanut rekisterinpitäjältä suoramarkkinointia.

Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaista oikeutta saman artiklan 3 kohdan mukaisesti, sillä hakijan henkilötietoja on hakijan suoramarkkinointia koskevasta kiellosta huolimatta käsitelty suoramarkkinointitarkoituksiin.

Rekisterinpitäjä on kertonut hakijan kohdalla kyseessä olleen virhe, joka on korjattu heti kun kyseinen virhe on huomattu. Tietosuojavaltuutettu kuitenkin huomauttaa, että hakija on esittänyt tietojen poistoa koskevan pyynnön kolme kertaa. Rekisterinpitäjä on jokaisella kerralla vastannut hakijalle ja kertonut merkinneensä suoramarkkinointikiellon. Tästä huolimatta hakija on saanut suoramarkkinointia. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole varmistunut siitä, että hakijan oikeus toteutetaan ja, että hakijan henkilötietoja käsitellään yleisen tietosuoja-asetuksen mukaisesti. Siten tietosuojavaltuutettu katsoo, että rekisterinpitäjän harjoittamassa henkilötietojen käsittelyssä rekisterinpitäjä ei ole toteuttanut asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistuakseen siitä, että se käsittelee vain käsittelyn kannalta tarpeellisia henkilötietoja (25 artikla 2 kohta).

Tietosuojavaltuutettu ei katso tarpeelliseksi kohdistaa rekisterinpitäjään muita yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimenpiteitä suoramarkkinoinnin osalta. Vaikka hakija on saanut suoramarkkinointia, rekisterinpitäjä on nyt lopettanut hakijan henkilötietojen käsittelyn suoramarkkinointiin. Rekisterinpitäjä on myös kertonut muuttaneensa toimintatapansa niin, että potilaalla on oikeus kieltää näöntarkastuskutsujen lähettäminen.

Suoramarkkinointia koskevan kiellon esittämisen yhteydessä hakija on 7.3. ja 19.11.2018 esittänyt tietojen poistoa koskevan pyynnön. Rekisterinpitäjä ei ole vastannut tietojen poistoa koskevaan pyyntöön, vaan ainoastaan kertonut hakijan tietoihin merkitystä suoramarkkinointikiellosta. Hakija on kolmannen kerran 22.11.2018 pyytänyt saada tietonsa poistetuksi ja pyytänyt perusteluita siihen miksi hänen pyyntöönsä ei ole reagoitu.

Rekisterinpitäjä on kieltäytynyt toteuttamasta hakijan 17 artiklan mukaista tietojen poistoa koskevaa oikeutta rekisterinpitäjälle kuuluvan laista tulevan säilytysvelvollisuuden vuoksi. Rekisterinpitäjä on optikkoliike, jolla on velvollisuus laatia potilasasiakirjoja, ja säilyttää niitä potilasasiakirja-asetuksen 23 §:n mukaisesti vähintään mainitun asetuksen liitteessä tarkoitettu aika. Potilasasiakirjassa tulee olla muun muassa hakijan yhteystiedot (lain 10 § 1 momentti 1 kohta). Yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan b alakohdan mukaan rekisteröidyllä ei ole mainittua oikeutta tietojen poistamiseen, jos käsittely on tarpeen lainsäädäntöön perustuvan velvoitteen noudattamiseksi. Tietosuojavaltuutettu katsoo, että rekisteröidyllä ei ole oikeutta saada tietoja poistetuksi rekisterinpitäjälle kuuluvan lakisääteisen velvoitteen noudattamiseksi.

Vaikka rekisterinpitäjällä ei ole ollut velvollisuutta poistaa hakijan henkilötietoja, tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjä on vasta hakijan kolmannen pyynnön johdosta toimittanut hakijalle tiedon siitä, miksi hakijan henkilötietoja ei poisteta. Yleisen tietosuoja-asetuksen 12 artiklan 4 kohdan mukaan rekisterinpitäjän tulee toimittaa rekisteröidylle viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta syy siihen, miksi se ei toteuta hakijan pyyntöä. Rekisterinpitäjä ei ole hakijan kahden ensimmäisen pyynnön johdosta toimittanut hakijalle syitä siihen, miksi se ei ole toteuttanut oikeutta.

Sovelletut lainkohdat

EU:n yleinen tietosuoja-asetus (2016/679) 12 artikla 4 kohta, 17 artikla 3 kohta, 21 artikla 2 ja 3 kohta, 25 artikla 2 kohta, 58 artikla 2 kohta b alakohta

Terveydenhuollon ammattihenkilöstöstä annettu laki (559/1994) 2 §

Laki potilaan asemasta ja oikeuksista (785/1992) 12 §

Sosiaali- ja terveysministeriön potilasasiakirjoja koskeva asetus (298/2009) 9 §, 10 § ja 23 §

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.

Päätös ei ole vielä lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.