24.6.2021

Henkilötietojen käsittelysopimus ja käsittelijän rekisterinpitäjän lukuun harjoittama henkilötietojen käsittely

Asia

Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukainen henkilötietojen käsittelysopimus

Henkilötietojen käsittelijä

Maksukyvyttömyysrekisteristä ja Pohjanmaan käräjäoikeudesta saadun tiedon mukaan Y Oy:tä koskeva konkurssihakemus on saatettu vireille Pohjanmaan käräjäoikeudessa 20.5.2021. Konkurssiasian käsittely on 18.6.2021 ollut tiedoksiantovaiheessa. Päätöstä konkurssiin asettamisesta ei siten ole tehty.

Asian tausta

Tietosuojavaltuutetun toimistoon on aikavälillä 4.9.2018-3.6.2019 saatettu vireille neljä kantelua, jotka ovat koskeneet ei-toivottuja automatisoiduilla soittojärjestelmillä (ns. roboteilla) toteutettuja lehden suoramarkkinointipuheluita. Lehden kustantajana toimii XX Oy, jonka lukuun Y Oy on toteuttanut lehden suoramarkkinointia.

XX Oy:tä koskevien kanteluiden käsittelyn yhteydessä on ilmennyt, ettei XX Oy ja sen lukuun suoramarkkinointia harjoittanut Y Oy ole laatinut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista sopimusta tai muuta oikeudellista asiakirjaa, jolla määritetään henkilötietojen käsittelijän rekisterinpitäjän lukuun harjoittamaa henkilötietojen käsittelyä.

Y Oy on toiminut rekisterinpitäjänä itse harjoittamansa henkilötietojen käsittelyn osalta. Kuitenkin tässä asiassa Y Oy:n toimintaa arvioidaan vain siltä osin, kuin kyse on ollut XX Oy:n lukuun suoritetusta henkilötietojen käsittelystä ja käsittelysopimuksesta. Niin ikään tämän asian yhteydessä Y Oy:n harjoittamaa henkilötietojen käsittelyä ei ole selvitetty muilta osin.

Tietosuojavaltuutettu käsittelee ja arvioi XX Oy:n (dnro 2890/161/2021) ja Y Oy:n (dnro 2889/161/21) toiminnan erillisissä päätöksissä.

Y Oy:ltä saatu selvitys

Tietosuojavaltuutetun toimisto on 10.9.2019 päivätyllä selvityspyynnöllä ja 26.2.2020 päivätyllä lisäselvityspyynnöllä pyytänyt Y Oy:ltä selvitystä sen roolista henkilötietojen käsittelijänä lehteä koskevan suoramarkkinoinnin osalta. Y Oy on antanut vastineet selvityksiin 1.12.2019 ja 22.4.2020.

Y Oy on kertonut selvityksissään muun muassa suorittavansa päämiestensä lukuun telemarkkinointipuheluita. Yksi päämiehistä on ollut XX Oy.

Y Oy on 22.4.2020 antamassa vastineessa myös kertonut henkilötietojen käsittelysopimuksesta muun muassa seuraavaa: ”XX Oy on irtisanonut Y Oy:n kanssa yhteistyösopimuksen kesäkuussa 2019. Y Oy:llä ei ole taltioituna tähän hetkeen nyt jo vanhentunutta myyntisopimuksen liitettä henkilötietojen käsittelystä, jos sellainen on tehty. Käsittelyohjeet ovat olleet allekirjoittaneen muistikuvan mukaan myös nähtävillä XX Oy:n nettisivuilla sähköisesti.”

XX Oy:ltä saatu selvitys

Ennen Y Oy:lle esittämäänsä selvityspyyntöä tietosuojavaltuutetun toimisto on pyytänyt XX Oy:ltä selvitystä 4.4.2019 päivätyllä selvityspyynnöllä ja 5.7.2019 päivätyllä lisäselvityspyynnöllä. XX Oy on antanut vastaukset selvityksiin 10.6.2019 ja 12.8.2019. Lisäksi tietosuojavaltuutetun toimisto on 26.1.2021 päivätyllä kuulemispyynnöllä varannut XX Oy:lle hallintolain (434/2003) 34 §:n nojalla tilaisuuden lausua tietosuojavaltuutetun toimiston kuulemispyynnössä esitetyistä tosiseikoista. XX Oy on antanut vastineensa kuulemispyyntöön 22.3.2021.

XX Oy on kertonut muun muassa seuraavaa.

Y Oy on toiminut henkilötietojen käsittelijänä XX Oy:n lukuun lehteä koskevan suoramarkkinoinnin osalta loppuvuodesta 2017 aina 25.6.2019 saakka.

XX Oy on toimittanut tietosuojavaltuutetun toimistolle Y Oy:n ja XX Oy:n välisen myyntisopimuksen, joka on ollut voimassa 23.4.2019-31.8.2019. Y Oy:n ja XX Oy:n yhteistyö on kuitenkin päättynyt 25.6.2019. Tietosuojavaltuutetun toimistolle toimitetun myyntisopimuksen mukaan ”XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä ja sitoutuu pitämään salassa henkilötiedot sekä muut rekisteriin kuuluvat tiedot ja tuhoamaan tiedot omalta osaltaan käsittelyn päätyttyä. Osapuolet sitoutuvat noudattamaan henkilötietojen käsittelyssä kulloinkin voimassa olevaa henkilötietojen käsittelyä ja yksityisyyden suojaa koskevaa EU:n kansallista lainsäädäntöä. Yritys voi käyttää myynnissä sähköistä suoramarkkinointia.” Myyntisopimuksessa yrityksellä viitataan Y Oy:ön.

XX Oy:lle on 26.1.2021 päivätyssä kuulemispyynnössä varattu mahdollisuus antaa vastine tietosuojavaltuutetun toimiston kuulemispyynnössä esitettyyn tosiseikkaan, jonka mukaan Y Oy:n ja XX Oy:n välillä ei ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta. XX Oy on myöntänyt kuulemispyynnössä esitetyn tapahtumienkulun pääosin oikeaksi eikä ole katsonut tarpeelliseksi toimittaa asiassa lisäselvitystä.

Y Oy:n kuuleminen ja kuulemispyynnössä esitetyt tosiseikat

Y Oy:lle on nimenomaisesti sen harjoittaman toiminnan osalta varattu 9.4.2021 päivätyllä kuulemispyynnöllä hallintolain 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä esittää näkemys tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosisekoista. Y Oy:lle on varattu mahdollisuus antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Y Oy:lle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka sen näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä. Y Oy:lle on pyynnöstä toimitettu myös XX Oy:lle lähetetty kuulemispyyntö.

Y Oy:lle toimitetussa kuulemispyynnössä tosiseikoiksi on esitetty seuraavaa.

Y Oy on loppuvuodesta 2017 alkaen aina 25.6.2019 asti harjoittanut lehteä koskevaa suoramarkkinointia XX Oy:n lukuun. Yleistä tietosuoja-asetusta on sovellettu 25.5.2018 alkaen. Y Oy ja XX Oy ovat laatineet suoramarkkinointia koskevan myyntisopimuksen vasta 22.4.2019 vaikka Y Oy on käsitellyt XX Oy:n lukuun henkilötietoja jo vuodesta 2017 alkaen. Lisäksi kuulemispyynnössä esittelijä on katsonut, ettei Y Oy:n ja XX Oy:n välillä ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta.

Y Oy on antanut vastineen kuulemispyyntöön 27.5.2021. Y Oy on kertonut vastineessaan seuraavaa.

Y Oy on esittänyt, ettei se ole tehnyt suoraa sopimusta XX Oy:n kanssa missään vaiheessa aikavälillä 2017 - huhtikuu 2019. Y Oy ei ole myöskään ollut suorassa sopimussuhteessa XX Oy:n kanssa kyseisenä aikavälinä. Y Oy on esittänyt, ettei se ole ennen myyntisopimuksen solmimista toiminut yhteistyössä suoraan XX Oy:n kanssa. Y Oy on kertonut toimittaneensa kyseisenä aikana alihankintana lehtitilauksia XX Oy:lle. Y Oy kertoo, ettei se kuitenkaan ole tehnyt XX Oy:n kanssa alihankintasopimusta. Alihankinnan toteuttamiseksi Y Oy:llä on kuitenkin ollut ”yleistä tietosuoja-asetusta koskeva” sopimus voimassa XX Oy:n kanssa.

Edelleen Y Oy esittää, ettei se ole ennen myyntisopimusta toiminut sopimussuhteessa XX Oy:n kanssa. Toisin kuin Y Oy on aiemmin esittänyt, Y Oy on 27.5.2021 antamassaan vastineessa esittänyt tietosuojavaltuutetun toimistolle, että sillä on ollut ”yleistä tietosuoja-asetusta koskeva sopimus” XX Oy:n kanssa. Y Oy esittää, ettei tietosuojavaltuutettu ole missään vaiheessa pyytänyt edellä mainitulta ajalta sopimusta, joten sitä ei ole osattu toimittaa. Y Oy katsoo tietosuojavaltuutetun tehneen kuulemispyynnössä esiintyvät johtopäätökset pyytämättä Y Oy:tä toimittamaan sopimusta. Y Oy on toimittanut vastineensa liitteenä 24.5.2018 päivätyn sopimuksen ”yleistä tietosuoja-asetusta koskeva sopimus”. Sopimuksessa todetaan seuraavaa: ”XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä ja sitoutuu pitämään salassa henkilötiedot sekä muut rekisteriin kuuluvat tiedot ja tuhoamaan tiedot omalta osaltaan käsittelyn päätyttyä. Molemmat osapuolet toteuttavat ja ylläpitävät asianmukaiset organisatoriset, operatiiviset, hallinnolliset, fyysiset ja tekniset toimenpiteet henkilötietojen ja mahdollisten muiden tietojen suojaamiseksi tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä.

Osapuolet sitoutuvat noudattamaan henkilötietojen käsittelyssä XX Oy:n ohjeita, joka on kokonaisuudessaan luettavissa xxxx-lehti.fi/rekisteriseloste.

Molemmat osapuolet ovat tutustuneet lainsäädäntöön sekä XX Oy:n ohjeistukseen ja sitoutuvat noudattamaan henkilötietojen käsittelyssä kulloinkin voimassa olevaa henkilötietojen käsittelyä ja yksityisyyden suojaa koskevaa EU:n kansallista lainsäädäntöä. Yritys voi käyttää myynnissä sähköistä suoramarkkinointia.

Lisäksi Y Oy on kertonut, että Y Oy on poistettu alv-, ennakonpidätys- sekä työnantajarekisteristä ja yhtiön toiminta on päivätty Kaupparekisterin yritystietojärjestelmään loppuneeksi 1.3.2021. Yhtiön liikevaihto on kuluvana tilikautena arviolta 0,00 euroa.

Y Oy liikevaihto aikavälillä 1.1.2020-31.12.2020 on ollut 839,33 euroa.

Tietosuojavaltuutetun toimisto on asian selkeyttämiseksi varannut 27.5.2021 päivätyllä lisäselvityspyynnöllä Y Oy:lle tilaisuuden toimittaa lisäselvitystä vielä seuraavaan seikkaan. Tietosuojavaltuutetun toimistoon vireille saatetuissa kanteluissa ja kilpailu- ja kuluttajaviraston koosteessa on ollut mainittuina puhelinnumeroita, joista lehden suoramarkkinointipuheluita on kantelijoiden mukaan soitettu aikavälillä heinäkuu 2018-syyskuu 2019. Nämä numerot ovat olleet 02 4334000, 02 4334001, 02 4334002 ja 02 4334007. Teleoperaattorilta saadun tiedon mukaan kaikki edellä mainitut numerot ovat olleet edellä mainittuna aikana yrityksen Y Oy:n nimissä.

Y Oy on antanut vastineen lisäselvitykseen 30.5.2021. Lisäselvityksessä Y Oy kertoo, ettei se ole missään vaiheessa kieltänyt, etteikö yhtiö olisi tehnyt alihankintana lehden soittoja. Y Oy on myös todennut, että tietosuojavaltuutetun esittämät numerot saattavat olla niitä, joista markkinointia on tehty. Tietosuojavaltuutetun väite suorasta myyntisopimuksesta ennen huhtikuuta 2019 ei Y Oy:n mukaan kuitenkaan pidä paikkaansa.

Y Oy katsoo sen ja XX Oy:n asiassa antaman selvityksen osoittavan, että yhteistyö on päättynyt kesäkuussa 2019. Y Oy ei ole kertomansa mukaan tehnyt yhtään soittoja XX Oy:n nimissä kesäkuun 2019 jälkeen.

Sovellettava lainsäädäntö

Yleinen tietosuoja-asetus (2016/679)

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Tietosuojalain (1050/2018) 8 §:n mukaan tietosuojavaltuutettu toimii yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena.

Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan ’rekisterinpitäjällä’ tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

Yleisen tietosuoja-asetuksen 4 artiklan 8 kohdan mukaan ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä

a) käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi; b) varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvol­lisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus; c) toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet; d) noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä; e) ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä; f) auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot; g) rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot; h) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaan jokaisella valvontaviranomaisella on oikeus antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet asetuksen vastaisia.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan nojalla valvontaviranomainen voi määrätä 83 artiklan nojalla hallinnollisen sakon yleisessä tietosuoja-asetuksessa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen.

Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan yleisen tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisen seuraamusmaksun määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta.

Yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan a-c alakohtien mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Mainitun artiklan 4 kohdan a alakohdan mukaan 28 artiklan rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu.

Oikeudelliset kysymykset

Tietosuojavaltuutettu ratkaisee asian edellä esitetysti yleisen tietosuoja-asetuksen ja tietosuojalain nojalla. Asiassa on ratkaistavana seuraavat oikeudelliset kysymykset:

1. onko Y Oy ja rekisterinpitäjä (XX Oy) laatinut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaisen henkilötietojen käsittelysopimuksen; ja

2. mikäli Y Oy on henkilötietojen käsittelijänä laiminlyönyt yleisen tietosuoja-asetuksen mukaisen velvollisuuden laatia henkilötietojen käsittelysopimus, tulee tietosuojavaltuutetun arvioida, mikä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukainen seuraamus toiminnasta on Y Oy:lle määrättävä.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

Rekisterinpitäjänä toimineen XX Oy:n ja henkilötietojen käsittelijänä toimineen Y Oy:n välillä ei ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta tai muuta oikeudellisesti sitovaa asiakirjaa. Y Oy on laiminlyönyt sille henkilötietojen käsittelijänä kuuluvan velvollisuuden laatia edellä mainittu sopimus tai muu oikeudellinen asiakirja.

Koska Y Oy:n liiketoiminta on nimenomaisesti perustunut telemarkkinoinnin harjoittamiseen ja siten henkilötietojen käsittelyyn päämiestensä lukuun, on Y Oy laiminlyönyt yleisen tietosuoja-asetuksen säännöksiä siten, että seuraamuskollegion on arvioitava, onko Y Oy:lle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu. Ottaen erityisesti huomioon Y Oy:n harjoittaman liiketoiminnan luonne tietosuojavaltuutettu katsoo, ettei Y Oy:n rikkomus ole ollut vähäinen. Joka tapauksessa rikkomus edellyttää huomautuksen antamista.

Tietosuojavaltuutettu antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla Y Oy:lle huomautuksen yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaisen säännöksen laiminlyönnistä.

Perustelut

Yleisen tietosuoja-asetuksen 4 artiklan 8 kohdan mukaan henkilötietojen käsittelijällä tarkoitetaan muun muassa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Rekisterinpitäjällä tarkoitetaan 4 artiklan 7 kohdan mukaan muun muassa luonnollista henkilöä tai oikeushenkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan ensinäkin toimintaa, jossa rekisterinpitäjästä erillinen toimija käsittelee henkilötietoja rekisterinpitäjän eduksi. Henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan toisen etujen palvelemista. Niin ikään henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan käsittelyä, jossa henkilötietojen käsittelijä käsittelee henkilötietoja nimenomaisesti rekisterinpitäjän puolesta rekisterinpitäjän etujen palvelemiseksi.

Y Oy on kertonut suorittaneensa alihankintana telemarkkinointia XX Oy:n lukuun. Y Oy:n toiminnan on siten katsottava palvelleen nimenomaisesti XX Oy:n etuja tässä tarkoitetun käsittelyn osalta.

Osasta tietosuojavaltuutetun toimistoon vireille saatetuista kanteluista ja osasta kilpailu- ja kuluttajaviraston toimittaman koonnin kanteluista käy ilmi puhelinnumeroita, joista lehden suoramarkkinointia on harjoitettu. Y Oy:n nimissä olleista puhelinnumeroista on soitettu muun muassa 23.7.2018, 8.8.2018 ja 3.9.2018. Niissä kanteluissa, joissa puhelinnumeroa ei ole mainittu, on kuitenkin kerrottu, että puhelussa on markkinoitu lehteä ja puhelu on kuulostanut robotin tai automaatin harjoittamalta. Tietosuojavaltuutetun toimistoon vireille saatetuissa neljässä kantelussa suoramarkkinointipuhelut ovat tapahtuneet ennen 25.6.2019. Y Oy on myös itse kertonut toteuttaneensa lehden suoramarkkinointipuheluita XX Oy:n lukuun.

Y Oy on esittänyt, ettei se ole tehnyt suoraa myyntisopimusta, eikä se myöskään ole ollut suorassa sopimussuhteessa XX Oy:n kanssa aikavälillä loppuvuosi 2017-huhtikuu 2019. Y Oy on esittänyt, ettei se ole ennen myyntisopimuksen solmimista toiminut yhteistyössä suoraan XX Oy:n kanssa. Niin ikään Y Oy katsoo, ettei se ole ollut suorassa sopimussuhteessa ennen myyntisopimuksen solmimista eli ennen 23.4.2019.

Arvioitaessa, onko Y Oy toiminut XX Oy:n lukuun henkilötietojen käsittelijänä yleisen tietosuoja-asetuksen soveltamisen alettua aina 25.6.2019 asti, huomioon on otettava myös Y Oy:n toimittama 24.5.2018 päivätty ”yleistä tietosuoja-asetusta koskeva sopimus”, jossa todetaan muun muassa seuraavaa ”XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä [--]”. Ottaen huomioon edellä esitetyt perusteet ja asiassa saatu selvitys kokonaisuudessaan, tietosuojavaltuutettu katsoo Y Oy:n toimineen yleisen tietosuoja-asetuksen 4 artiklan 8 kohdan mukaisena henkilötietojen käsittelijänä suoramarkkinointia koskevan käsittelyn osalta. Todettakoon, että XX Oy:n ja Y Oy:n (myöhemmin myös ”osapuolet”) välillä on voinut olla rekisterinpitäjän ja henkilötietojen käsittelijän välinen suhde, vaikka osapuolten välillä ei olisi ollut edellä mainittua myyntisopimusta tai muuta suoraa sopimusta. Siten sopimuksen olemassaolo ei ole ratkaiseva tekijä arvioitaessa onko osapuolten välillä todellisuudessa ollut rekisterinpitäjän ja henkilötietojen käsittelijän välinen suhde.

Tietosuojavaltuutettu katsoo edellä kerrotun perusteella Y Oy:n toimineen henkilötietojen käsittelijänä XX Oy:n lukuun. Asiassa tulee siten arvioida, onko osapuolten välillä ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta, joka osapuolten välillä olisi tullut olla yleisen tietosuoja-asetuksen soveltamisen alettua.

Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaan sopimuksessa tai muussa oikeudellisessa asiakirjassa on vahvistettava käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti 28 artiklan 3 kohdan a-h alakohtien mukaiset seikat. Velvoite laatia henkilötietojen käsittelysopimus tai muu oikeudellinen asiakirja koskee sekä rekisterinpitäjää että henkilötietojen käsittelijää. Yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan a alakohdan mukaan yleisen tietosuoja-asetuksen 28 artiklan rikkominen voi johtaa hallinnollisen seuraamusmaksun määräämisen. Valvontaviranomainen voi määrätä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan nojalla hallinnollisen seuraamusmaksun maksettavaksi molemmille sekä rekisterinpitäjälle, että henkilötietojen käsittelijälle tapauksen olosuhteet huomioon ottaen.

XX Oy on toimittanut Y Oy:n ja XX Oy:n välisen myyntisopimuksen, joka on ollut voimassa 23.4.2019 alkaen aina 25.6.2019 asti. XX Oy on kertonut myyntisopimuksen olevan ainoa sopimus, joka osapuolten välillä on ollut. Myyntisopimuksessa on todettu muun muassa seuraavaa.

” XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä ja sitoutuu pitämään salassa henkilötiedot sekä muut rekisteriin kuuluvat tiedot ja tuhoamaan tiedot omalta osaltaan käsittelyn päätyttyä. Osapuolet sitoutuvat noudattamaan henkilötietojen käsittelyssä kulloinkin voimassa olevaa henkilötietojen käsittelyä ja yksityisyyden suojaa koskevaa EU:n kansallista lainsäädäntöä. Yritys voi käyttää myynnissä sähköistä suoramarkkinointia.

Myyntisopimuksessa yrityksellä viitataan Y Oy:ön.

Y Oy on esittänyt, ettei sen ja Xx Oy:n välillä ole ollut suoraa sopimusta, eikä myyntisopimusta, loppuvuoden 2017-huhtikuu 2019 välisenä aikana. Y Oy on niin ikään esittänyt, ettei se ole ennen myyntisopimuksen solmimista toiminut yhteistyössä suoraan XX Oy:n kanssa. Y Oy on kuitenkin kertonut toimittaneensa alihankintana XX Oy:lle lehtitilauksia edellä mainittuna aikana, mutta alihankintasopimusta ei tästä ole tehty. Tietosuojavaltuutettu toteaa edellä tarkoitetusta järjestelystä seuraavan, että Y Oy on toiminut henkilötietojen käsittelijänä suhteessa XX Oy:ön. Y Oy on myöhemmin kertonut, että osapuolten välillä on ollut edellä mainittua alihankinnan toteuttamista varten 24.5.2018 päivätty ”yleistä tietosuoja-asetusta koskeva sopimus”. Mainitun sopimuksen on allekirjoittanut Y Oy:n hallituksen puheenjohtaja, joka on toiminut myös XX Oy:n hallituksen puheenjohtajana. (XX Oy:n toiminnasta on 25.6.2019 asti vastannut Y Oy:n hallituksen puheenjohtaja)

XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä ja sitoutuu pitämään salassa henkilötiedot sekä muut rekisteriin kuuluvat tiedot ja tuhoamaan tiedot omalta osaltaan käsittelyn päätyttyä. Molemmat osapuolet toteuttavat ja ylläpitävät asianmukaiset organisatoriset, operatiiviset, hallinnolliset, fyysiset ja tekniset toimenpiteet henkilötietojen ja mahdollisten muiden tietojen suojaamiseksi tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä.

Osapuolet sitoutuvat noudattamaan henkilötietojen käsittelyssä XX Oy:n ohjeita, joka on kokonaisuudessaan luettavissa xxxx-lehti.fi/rekisteriseloste.

Molemmat osapuolet ovat tutustuneet lainsäädäntöön sekä XX Oy:n ohjeistukseen ja sitoutuvat noudattamaan henkilötietojen käsittelyssä kulloinkin voimassa olevaa henkilötietojen käsittelyä ja yksityisyyden suojaa koskevaa EU:n kansallista lainsäädäntöä. Yritys voi käyttää myynnissä sähköistä suoramarkkinointia.

Y Oy on 27.5.2021 antamassa kuulemispyynnön vastineessa esittänyt, ettei se ole aiemmin toimittanut tietosuojavaltuutetun toimistolle ”yleistä tietosuoja-asetusta koskevaa sopimusta”, koska sitä ei ole suoraan pyydetty. Y Oy on kertomansa mukaan ymmärtänyt vasta toukokuussa 2021 toimittaa kyseisen sopimuksen tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto on 26.2.2020 päivätyssä lisäselvityspyynnössä pyytänyt Y Oy:tä toimittamaan XX Oy:n ja Y Oy:n välillä tehdyn henkilötietojen käsittelysopimuksen. Lisäselvityspyynnössä on nimenomaisesti todettu, että lisäselvitystä on henkilötietojen käsittelysopimusta koskevan seikan osalta pyydetty koko Y Oy:n toiminnan ajalta. Y Oy on 22.4.2020 antamassa lisäselvityspyynnön vastineessa kertonut irtisanoneensa yhteistyösopimuksen kesäkuussa 2019, eikä sillä ole ollut taltioituna lisäselvityksen antamisen ajankohtana jo vanhentunutta myyntisopimuksen liitettä henkilötietojen käsittelystä, jos sellainen on osapuolten välillä tehty. Y Oy on tämän jälkeen 27.5.2021 toimittanut tietosuojavaltuutetun toimistolle 24.5.2018 päivätyn sopimuksen. Y Oy on toimittanut sopimuksen vastauksena tietosuojavaltuutetun toimiston kuulemispyynnössä esittämään tosiseikkaan, jonka mukaan Y Oy:n ja XX Oy:n välillä ei ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta. Tietosuojavaltuutettu toteaa, että Y Oy:n 22.4.2020 ja 27.5.2021 antamat vastaukset henkilötietojen käsittelysopimuksesta eivät ole yhdenmukaiset.

Y Oy:n antamasta selvityksestä ei käy ilmi, onko Y Oy:n 24.5.2018 päivätyn ”yleistä tietosuoja-asetusta koskevan sopimuksen” ollut tarkoitus vastata yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta. Sanotun asetuksen kohdan mukaan sopimuksessa tai muussa oikeudellisessa asiakirjassa on vahvistettava käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti 28 artiklan 3 kohdan a-h alakohtien mukaiset seikat. Joka tapauksessa Y Oy:n toimittama ”yleistä tietosuoja-asetusta koskeva sopimus” ei täytä yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaisen sopimuksen elementtejä, joten sopimusta ei voida pitää yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaisena sopimuksena, eikä sillä siten ole vaikutusta ratkaistavana olevaan asiaan.

Lopuksi tietosuojavaltuutettu toteaa, että XX Oy:n ja Y Oy:n antamat selvitykset henkilötietojen käsittelysopimuksen olemassaolosta poikkeavat toisistaan.

Ottaen huomioon asiassa saatu selvitys kokonaisuudessaan tietosuojavaltuutettu katsoo, ettei XX Oy:n ja Y Oy:n välillä ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta sinä aikana kun Y Oy on käsitellyt XX Oy:n lukuun henkilötietoja.

Päätöksen on tehnyt tietosuojavaltuutettu Anu Talus ja sen on esitellyt ylitarkastaja Mari-Ilona Korhonen.

Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.

Seuraamuskollegion päätös

Y Oy on henkilötietojen käsittelijänä laiminlyönyt yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan a alakohdan mukaisen yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaisen velvollisuuden laatia henkilötietojen käsittelysopimus. Mainitun artiklan rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu sekä rekisterinpitäjälle että henkilötietojen käsittelijälle. Nyt käsillä olevassa asiassa Y Oy on toiminut henkilötietojen käsittelijänä.

Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan hallinnollisten seuraamusmaksujen määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa. Saman artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta.

Yleisen tietosuoja-asetuksen 83 artiklassa rikkomukset on jaettu vakavuusluokiltaan kahteen kategoriaan. Rekisterinpitäjän rikkomus on kohdistunut 83 artiklan 4 kohdan a alakohdan mukaiseen rikkomukseen, joka on alemman vakavuusluokan rike.

Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että Y Oy:n liiketoiminta on perustunut nimenomaisesti siihen, että Y Oy on käsitellyt henkilötietoja eri päämiestensä lukuun. Todettakoon, että henkilötietojen käsittelijällä ei tule olla yleisen tietosuoja-asetuksen 6 artiklan mukaista käsittelyperustetta henkilötietojen käsittelyyn siltä osin kuin henkilötietoja käsitellään rekisterinpitäjän lukuun. Niin ikään henkilötietojen käsittelijän oikeusperuste käsitellä henkilötietoja perustuu siihen, että henkilötietojen käsittely tapahtuu rekisterinpitäjän kanssa sovitun mukaisesti ja rekisterinpitäjän ohjeiden mukaisesti. Henkilötietojen käsittelyä tulee siten määrittää sopimuksella. Todettakoon vielä, että yleisen tietosuoja-asetuksen 28 artiklan 10 kohdassa todetaan, että mikäli henkilötietojen käsittelijä käsittelee henkilötietoja vastoin rekisterinpitäjän kanssa sovittua määrittämällä itse käsittelyn tarkoituksia ja keinoja, on henkilötietojen käsittelijää pidettävä tämän käsittelyn osalta rekisterinpitäjänä. Edellä kerrotun perusteella seuraamuskollegio katsoo, että Y Oy:n rikkomus ei ole ollut vähäinen ja, että Y Oy olisi määrättävä maksamaan hallinnollinen seuraamusmaksu.

Arvioitaessa, mikä on kussakin tapauksessa tehokasta, oikeasuhteista ja varoittavaa, on myös otettava huomioon valitun korjaavan toimenpiteen tavoite eli joko sääntöjen mukaisuuden palauttaminen tai sääntöjen vastaisesta toiminnasta rankaiseminen (tai molemmat). Y Oy on jo lopettanut henkilötietojen käsittelyn XX Oy:n lukuun. Siten määräys saattaa henkilötietojen käsittely yleisen tietosuoja-asetuksen mukaiseksi ei olisi nyt käsillä olevassa asiassa tehokasta, oikeasuhtaista ja varoittavaa. Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, ettei pelkästään tietosuojavaltuutetun antama yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus olisi nyt käsillä olevassa asiassa lähtökohtaisesti riittävän tehokas ja varoittava, sillä Y Oy:n rikkomus ei ole edellä kerrotun perusteella ollut vähäinen Y Oy:n harjoittama liiketoiminta ja henkilötietojen käsittelyn luonne huomioiden. Niin ikään hallinnollinen seuraamusmaksu olisi nyt käsillä olevassa tapauksessa tehokas ja varoittava.

Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden kannalta nyt käsiteltävänä olevassa asiakokonaisuudessa on otettava huomioon myös se, että Y Oy on ilmoittanut lopettaneensa toimintansa 1.3.2021. Maksukyvyttömyysrekisteristä ja Pohjanmaan käräjäoikeudesta 18.6.2021 saadun tiedon mukaan velkojan konkurssihakemus on saatettu vireille käräjäoikeuteen 20.5.2021. Y Oy:tä koskeva konkurssiasia on 18.6.2021 ollut tiedoksiantovaiheessa eikä konkurssimenettelyä ole siten vielä aloitettu. Y Oy:n liikevaihto aikavälillä 1.1.2020-31.12.2020 on ollut 839,33 euroa.

Seuraamuskollegio katsoo, että Y Oy:lle tulisi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan 4 kohdan a alakohdan nojalla määrätä hallinnollinen seuraamusmaksu. Seuraamuskollegio katsoo Y Oy:n rikkomuksen olleen luonteeltaan vakavaa, ja että Y Oy on tietoisesti laiminlyönyt velvollisuuden laatia yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukainen henkilötietojen käsittelysopimus. Nämä seikat puoltaisivat hallinnollisen seuraamusmaksun määräämistä. Seuraamuskollegio katsoo kuitenkin, ettei hallinnollisen seuraamusmaksun määrääminen nyt käsillä olevassa asiassa ole oikeasuhtaista. Seuraamuskollegio katsoo, että päävastuu henkilötietojen käsittelysopimuksen laatimisesta on kuitenkin rekisterinpitäjällä, sillä kyse on rekisterinpitäjän puolesta tapahtuvasta henkilötietojen käsittelystä. Lisäksi arvioinnissa on otettava huomioon Y Oy:n liikevaihto ja käräjäoikeuteen vireille saatettu konkurssihakemus.

Seuraamuskollegio ei anna Y Oy:lle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan nojalla määräystä maksaa hallinnollinen seuraamusmaksu. Näin ollen korjaavien toimivaltuuksien käyttö jää tietosuojavaltuutetun päätöksen varaan.

Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet tietosuojavaltuutettu Anu Talus, ­apulaistietosuojavaltuutettu Jari Råman ja apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa. Asian esitellyt ylitarkastaja Mari-Ilona Korhonen

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artikla 7 ja 8 kohta, 28 artikla 3 kohta, 58 artikla 2 kohta b ja i alakohta, 83 artikla 1, 2, 4 kohta a alakohta

Tietosuojalain (1050/2018) 8 § ja 24 §

Hallintolain (434/2003) 34 §

Päätös on lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.