3.3.2022

Tietojen käsittelyn lainmukaisuus tarkastusoikeuden käyttämistä tarjoavassa palvelussa

Asia

Käsittelyn lainmukaisuus, suostumus sähköiseen suoramarkkinointiin ym.

Rekisterinpitäjä

Oy Suomen Henkilötieto Ab

Tietosuojavaltuutetun toimistossa on ajalla 22.8.2018–14.11.2018 saatettu vireille seitsemän rekisterinpitäjän toimintaan liittyvää kanteluasiaa. Kantelut ovat pääasiallisesti koskeneet eri yritysten saamia yhteydenottoja Henkilötieto.fi-nimisestä palvelusta. Näissä yhteydenotoissa kullekin kantelun tehneelle yritykselle on ilmoitettu, että joku rekisteröity, jota näissä yhteydenotoissa ei kuitenkaan ole identifioitu, on tehnyt Henkilötieto.fi-palvelun välityksellä pyynnön saada pääsy tietoihin. Rekisteröidyn on kerrottu tunnistautuneen Henkilötieto.fi-palveluun vahvasti. Yhteydenotoissa on myös viitattu yleiseen tietosuoja-asetukseen ja todettu, että rekisterinpitäjänä toimivalla yrityksellä on kuukausi aikaa vastata tehtyyn pyyntöön. Tietosuojavaltuutetun toimistolle kannelleet yritykset eivät ole valtuuttaneet Oy Suomen Henkilötieto Ab:tä eli rekisterinpitäjää toimimaan puolestaan. Näillä yrityksillä ei ole ollut sopimussuhdetta Henkilötieto.fi-nimisen palveluntarjoajan kanssa. Kantelun tehneille yrityksille on tarjottu mahdollisuutta tutustua tehtyyn pyyntöön rekisteröitymällä Henkilötieto.fi-palvelun vuosimaksulliseksi asiakkaaksi noin 300 euron vuosihintaan. Ilman tämän vuosimaksun suorittamista yrityksille ei ole toimitettu tarkempaa tietoa rekisteröidyn pyynnöstä. Yhdessä kanteluista on esitetty, että pyynnön saada pääsy tietoihin olisi tehnyt Oy Suomen Henkilötieto Ab:n hallituksen jäsen. Kantelun tehneet yritykset ovat muun muassa esittäneet, että rekisteröityjä on johdettu harhaan. Vireillesaattamisasiakirjoissa on pyydetty, että tietosuojavaltuutetun toimisto ryhtyisi asiassa toimenpiteisiin.

Rekisterinpitäjän verkkosivuilla palvelustaan antamien tietojen perusteella muodostuu käsitys, että rekisterinpitäjä toimii palvelussaan lueteltujen yritysten puolesta.

Rekisterinpitäjä on 11.10.2018 ollut yhteydessä tietosuojavaltuutetun toimistoon. Henkilötieto.fi-palvelun on esitetty tarjoavan tietoturvallisen ja helpon tavan välittää rekisteröityjen rekisteritietojen tarkastuspyyntöjä eri rekisterinpitäjille. Tässä yhteydenotossa tietosuojavaltuutetun toimistolle on kerrottu, että kaikki rekisterinpitäjät eivät ole vastanneet Henkilötieto.fi-palvelun välittämiin rekisteröidyn pyyntöihin. Rekisteröityjen on kerrottu valittaneen asiasta Henkilötieto.fi-palvelulle. Rekisterinpitäjä on pyytänyt tietosuojavaltuutetun toimistolta toimintaohjeita asiaan liittyen.

Kantelun tehneitä yrityksiä ei ole pidettävä hallintolain (434/2003) 11 §:ssä tarkoitettuina asianosaisina.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjältä on pyydetty asiassa selvitystä 26.10.2018 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on vastannut tietosuojavaltuutetun toimiston selvityspyyntöön 22.11.2018.

Annetun selvityksen mukaan osa Henkilötieto.fi‐palvelusta löydettävissä olevista yritystiedoista on peräisin julkisista lähteistä. Palvelun tilaavat yritykset valtuuttavat rekisterinpitäjän toimimaan vastaanottamiensa tietopyyntöjen ja tietojen välittäjänä. Valtaosa rekisterinpitäjän sivuilleen listaamista yrityksistä ei kuitenkaan ole tilannut Henkilötieto.fi-palvelulta sen tarjoamaa palvelua.

Rekisterinpitäjä on tietosuojavaltuutetun toimistolle toimittamassaan selvityksessä ilmoittanut käsittelevänsä rekisteröityjen henkilötietoja suostumuksen perusteella. Rekisteröityessään palveluun rekisteröidyn on annettava suostumuksensa siihen, että yritykset, joille Henkilötieto.fi-palvelu välittää rekisteröidyn pyynnön, luovuttavat rekisteröidyn henkilötietoja Henkilötieto.fi-palvelulle. Rekisteröitymislomake sisältää lisäksi oletusarvoisen suostumuksen sähköiseen viestintään, minkä lisäksi yksilöidystä suostumuksesta ja kiellosta tallentuu tietokantaan aikaleima. Rekisteröitymislomakkeella oletusarvoisesti annetun suostumuksen voi peruuttaa kirjautumalla palveluun. Annetun selvityksen mukaan tietoja ei ilman rekisteröidyn nimenomaista suostumusta luovuteta kolmansille osapuolille.

Annetussa selvityksessä on esitetty, että pyynnön tehneeltä rekisteröidyltä ei peritä maksua Henkilötieto.fi-palvelun kautta välitetyistä tiedoista. Rekisteröidyltä peritään kuitenkin nimellinen viiden euron maksu, jolla katetaan vahvasta tunnistamisesta aiheutuvia kustannuksia. Tietopyynnön tekevän rekisteröidyn on tunnistauduttava palveluun vahvasti. Järjestelmässä on käytössä SSL-salaus.

Annetun selvityksen liitteenä tietosuojavaltuutetun toimistolle on toimitettu prosessikaavio tietoturvapoikkeamista, tietoturvapoikkeamien kirjauslomake, asiakirja palvelun tietosuojakäytännöistä, seloste käsittelytoimista sekä asiakirja yleisen tietosuoja-asetuksen 5 artiklan mukaisesta osoitusvelvollisuudesta.

Lisäselvityspyyntö ja kuuleminen

Edellä kuvatun selvityspyynnön jälkeen rekisterinpitäjälle on 11.12.2020 ja 5.2.2021 päivätyllä lisäselvitys- ja kuulemispyynnöllä varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä. Rekisterinpitäjä on antanut vastauksensa 19.3.2021.

Annetun vastauksen mukaan Henkilötieto.fi-palvelu on tehty helpoksi ja turvalliseksi tavaksi tehdä yleiseen tietosuoja-asetukseen perustuvat pyynnöt. Vastauksessa on todettu kaikkien ihmisten tietävän, että yritykset ovat tehneet tällaisten pyyntöjen esittämisen vaikeaksi. Henkilötieto.fi-palvelu on kehitetty tästä syystä. Vastauksessa on esitetty, että pienet yritykset olisivat tehneet pyyntöjen esittämisen jopa mahdottomaksi. Annetussa vastauksessa on myös todettu, että Henkilötieto.fi-palvelun olemassaolo luo painetta tällaisten yritysten suuntaan. Kun rekisteröity voi tehdä pyynnön nopeasti ja luotettavasti Henkilötieto.fi-palvelussa, niin pyyntöjä myös tehdään helpommin.

Lisäksi vastauksessa on esitetty, että yritykset eivät voi enää tietojen poiston jälkeen kohdistaa rekisteröityihin markkinointia. Tämä on annetun vastauksen mukaan omiaan saamaan nämä yritykset suhtautumaan vihamielisesti Henkilötieto.fi-palveluun.

Annetussa vastauksessa on myös kerrottu, että tavanomaisessa tilanteessa rekisteröity joutuu ensin etsimään tiedon kulloinkin kysymyksessä olevan rekisterinpitäjän tietosuojavastaavasta ja lähettämään hänelle sähkö- tai kirjepostia. Tästä alkaa annetun vastauksen mukaan ongelmien vyyhti. Vastauksessa esitetysti edellä tarkoitettu tietosuojavastaava ei voi tunnistaa rekisteröityä. Edelleen on esitetty yleisenä tapana olevan kehottaa rekisteröityä asioimaan henkilökohtaisesti jossakin rekisterinpitäjän toimipisteessä. Annetun vastauksen mukaan tätä ei voida pitää voimassa olevan tietosuojalain mukaisena.

Vastauksessa on viitattu yleisen tietosuoja-asetuksen 15 artiklaan ja todettu, että rekisterinpitäjälle ei ole selvinnyt, miten pyydetyt tiedot voisi toimittaa rekisteröidylle ilman sähköistä tunnistautumista. Rekisterinpitäjä on esittänyt tiedossaan olevan useita esimerkkitapauksia edellä mainitun mahdottomuudesta. Vastauksessa esitetysti kysymykseen voisi tulla ainoastaan vain paikalla käynti tai kirjattu kirje. Rekisterinpitäjä on esittänyt selvitettäväksi, pitäisikö tietosuojavaltuutetun toimiston tarjota linkki rekisterinpitäjien ja rekisteröityjen väliin.

Henkilötieto.fi-palvelun käyttö

Rekisteröityessään palveluun rekisteröidyn on annettava rekisteröitymislomakkeella pyydetyt tiedot. Kun henkilö tekee palvelussa ensimmäisen tietopyyntönsä, tunnistautuu hän vahvasti. Mikäli henkilö ei halua tunnistautua vahvasti, voi hän esimerkiksi veloituksetta tulostaa tietopyyntölomakkeen ja lähettää sen valitsemalleen rekisterinpitäjälle haluamallaan tavalla.

Tunnistustapahtuman tietoja säilytetään niin kauan kuin tunnus on voimassa. Mikäli tunnuksella tehdään uusi poikkeava kirjautuminen, vaaditaan uusi vahva tunnistautuminen. Rekisteröidyltä ei veloiteta vahvasti tunnistautumisesta maksua. Rekisteröidyn tietojen ylläpidosta ja hänen tekemiensä kyselyiden tietojen tallentamisesta veloitetaan kuitenkin pieni maksu, jolla katetaan palvelun ylläpitokustannuksia.

Mikäli jokin rekisterinpitäjänä toimiva yritys kieltäytyy toimittamasta tietoja Henkilötieto.fi-palvelussa tehtyyn pyyntöön liittyen, ilmoitetaan asiasta pyynnön tehneelle rekisteröidylle.

Annetun vastauksen mukaan Henkilötieto.fi-palvelusta löydettävissä olevista yritystiedoista 99,9 % on ilmaistietoja, eli sellaisten yritysten tietoja, joilla ei ole sopimussuhdetta Oy Suomen Henkilötieto Ab:hen. Rekisteröidyille ei anneta tietoa siitä, onko jokin rekisterinpitäjänä toimiva yritys Oy Suomen Henkilötieto Ab:n sopimuskumppani vai ei. Muille kuin sopimuskumppaneille rekisteröidyn pyyntöä ei välitetä ilman 300 euron vuosimaksun suorittamista. Palvelusta löydettävissä olevien yritysten tiedot ovat peräisin yritysrekistereistä / yritystietokannoista taikka kysymyksessä olevien yritysten tietosuojaselosteista. Oy Suomen Henkilötieto Ab on aikavälillä 25.5.2018–19.3.2021 välittänyt yhteensä kuusi tarkastusoikeutta koskevaa pyyntöä.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säännös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 pohjalta. Asiaan liittyy seuraavat oikeudelliset kysymykset:

1. onko rekisterinpitäjällä ollut yleisen tietosuoja-asetuksen 6 artiklassa säädetty peruste kysymyksessä olevalle, rekisteröityjen pyyntöihin liittyvälle henkilötietojen käsittelylle;

2. onko rekisterinpitäjä vastoin yleisen tietosuoja-asetuksen 12 artiklan 5 kohdassa säädettyä perinyt rekisteröidyiltä maksun rekisteröityjen oikeuksien käyttämisestä;

3. onko asiassa kysymys tilanteesta, jossa Oy Suomen Henkilötieto Ab on toiminut myös henkilötietojen käsittelijänä;

4. onko rekisterinpitäjän keräämä suostumus sähköiseen suoramarkkinointiin ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukainen; ja

5. onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimensa yleisen tietosuoja-asetuksen säännösten mukaisiksi. Tietosuojavaltuutetun on niin ikään arvioitava, tuleeko asiassa käyttää muita yleisen tietosuoja-asetuksen 58 artiklassa säädettyjä korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös

Päätös

Kysymyksessä olevien pyyntöjen tehneiden henkilöiden (eli rekisteröityjen) henkilötietojen käsittely ei täytä yleisen tietosuoja-asetuksen 4 artiklan 11 kohdassa säädettyjä edellytyksiä tietoisesta suostumuksesta. Näin ollen rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa säädettyä perustetta edellä tarkoitetulle henkilötietojen käsittelylle. Sähköisen suoramarkkinoinnin osalta kysymys ei ole ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdassa ja 7 artiklan 2 kohdassa säädetyt edellytykset täyttävästä suostumuksesta.

Määräys

Sikäli kuin rekisterinpitäjä jatkaa tässä asiassa tarkoitetun kaltaista henkilötietojen käsittelyä, määrää tietosuojavaltuutettu yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla rekisterinpitäjän saattamaan käsittelytoimensa yleisen tietosuoja-asetuksen säännösten mukaisiksi. Rekisterinpitäjällä tulee olla henkilötietojen käsitellylle yleisen tietosuoja-asetuksen 6 artiklassa säädetty käsittelyperuste. Mikäli rekisterinpitäjä käsittelee tietoja yritysten lukuun henkilötietojen käsittelijänä, tulee sillä olla yleisen tietosuoja-asetuksen 28 artiklan mukainen sopimus käsittelystä.

Jos rekisterinpitäjä jatkaa henkilötietojen käsittelyä ilman yleisen tietosuoja-asetuksen 6 artiklassa edellytettyä käsittelyn oikeusperustetta ja mikäli rekisterinpitäjä edelleen käsittelee henkilötietoja muiden yritysten lukuun henkilötietojen käsittelijänä, ilman yleisen tietosuoja-asetuksen 28 artiklan mukaista sopimusta, ottaa tietosuojavaltuutetun toimiston seuraamuskollegio huomioon myös tämän päätöksen arvioidessaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun yleisiä edellytyksiä.

Huomautus

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Rekisterinpitäjä on toiminut erityisen moitittavalla tavalla rakentaessaan liiketoimintansa tietosuojaa koskevaa perusoikeutta hyödyntäen. Kysymys ei ole ollut yksittäisistä kanteluista ja niihin liittyvistä erimielisyyksistä, vaan rekisterinpitäjän liiketoiminnan ytimestä.

Perustelut

Käsittelyn lainmukaisuudesta ja suostumuksesta

Yleisen tietosuoja-asetuksen 6 artiklassa on säädetty henkilötietojen käsittelyn lainmukaisuudesta. Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi artiklassa tarkoitetuista edellytyksistä täyttyy.

Annetussa selvityksessä on todettu, että rekisterinpitäjä käsittelee rekisteröityjen henkilötietoja suostumuksen perusteella. Henkilötietojen käsittely on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdan mukaan lainmukaista silloin, kun rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.

Yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.

Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleen 32 mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen. Suostumusta ei sen vuoksi pitäisi voida antaa vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jokin toimi toteuttamatta. Suostumuksen olisi katettava kaikki käsittelytoimet, jotka toteutetaan samaa tarkoitusta tai samoja tarkoituksia varten. Jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käsittelytarkoituksia varten.

Todettakoon, että yleisessä tietosuoja-asetuksessa lujitetaan suostumuksen tietoisuutta koskevaa vaatimusta. Rekisteröidyille on annettava tietoa, jotta he voivat tehdä aidosti tietoisia päätöksiä ja ymmärtää, mihin he ovat suostumassa. Mikäli riittävästi tietoa ei ole annettu, suostumusta ei voida pitää pätevänä käsittelyperusteena. Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleen 42 mukaan tietoisen suostumuksen antamiseksi rekisteröidyn olisi tiedettävä vähintään rekisterinpitäjän henkilöllisyys ja tarkoitukset, joita varten henkilötietoja on määrä käsitellä.

Euroopan tietosuojaneuvostoa edeltänyt 29 artiklan mukainen tietosuojatyöryhmä on antanut suostumusta koskevan ohjeen, josta ohjeesta Euroopan tietosuojaneuvosto on julkaissut päivitetyn version. Näissä ohjeissa todetusti suostumusta voidaan pitää tietoisena silloin, kun rekisteröidyille on etukäteisesti annettu kaikki sellaiset tiedot, joilla on ratkaiseva merkitys suostumusta koskevaa päätöstä tehtäessä. Tässä ohjeessa on viitattu Euroopan tietosuojaneuvostoa edeltävän 29 artiklan mukaisen tietosuojatyöryhmän lausuntoon 15/2011 suostumuksen määritelmästä, jossa puolestaan on todettu, että rekisteröidyn suostumuksen on perustuttava kysymyksessä olevan henkilötietojen käsittelyn tosiseikkojen ja seurauksien ymmärtämiselle. Rekisteröidyn on tosiasiallisesti ymmärrettävä se, mihin hän on suostumustaan antamassa.

Asiassa annetun vastauksen mukaan Henkilötieto.fi-palvelusta löydettävissä olevista yritystiedoista 99,9 % on ilmaistietoja. Toisin sanoen kysymys on muista kuin sellaisista yritystiedoista, joita Oy Suomen Henkilötieto Ab:lla on hallussaan esimerkiksi sopimus- tai asiakkuussuhteen perusteella. Tämän osalta merkitystä on erityisesti sillä, että rekisteröidylle ei anneta tietoa siitä, onko jokin rekisterinpitäjänä toimiva yritys Oy Suomen Henkilötieto Ab:n sopimuskumppani vai ei. Rekisteröity on täten voinut perustellusti olla siinä käsityksessä, että Oy Suomen Henkilötieto Ab olisi asianmukaisesti sopinut pyynnön kohteena olevan rekisterinpitäjän kanssa siitä, että rekisteröity voisi käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksiaan myös kolmannen osapuolen tarjoamassa Henkilötieto.fi-palvelussa. Näin ei kuitenkaan tosiasiassa ole ollut.

Merkitystä on myös sillä, että rekisterinpitäjänä toimiville yrityksille on tarjottu mahdollisuutta tutustua tehtyyn pyyntöön vasta rekisteröitymällä Henkilötieto.fi-palvelun vuosimaksulliseksi asiakkaaksi. Rekisterinpitäjänä toimivalle yritykselle ei siis ole annettu tietoa pyynnön tehneestä rekisteröidystä, mikäli rekisterinpitäjänä toimiva yritys ei ole rekisteröitynyt palvelun asiakkaaksi noin 300 euron vuosihintaan. Sopimuskumppaneiden lukumäärän suhteellinen vähyys osoittanee sen, että rekisterinpitäjinä toimivat yritykset eivät ole olleet halukkaita maksamaan palvelun vuosimaksua ja rekisteröitymään palvelun asiakkaaksi. Pyynnön tekevän rekisteröidyn osalta tämä puolestaan tarkoittaa sitä, että todennäköisyys saada asianmukainen vastaus tehtyyn pyyntöön on varsin pieni.

Edellä esitettyihin seikkoihin perustuen tietosuojavaltuutettu katsoo, että kysymys ei ole ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdassa säädetyt edellytykset täyttävästä suostumuksesta. Rekisteröidylle ei ole tietosuojavaltuutetun toimiston saaman selvityksen perusteella toimitettu olennaisia tietoja sen arvioimiseksi, mihin hänen henkilötietojaan käytetään, eikä kyse ole siten ollut yleisen tietosuoja-asetuksen edellyttämästä tietoisesta suostumuksesta. Näin ollen rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen 6 artiklassa 1 kohdan a alakohdassa säädettyä perustetta nyt kysymyksessä olevalle henkilötietojen käsittelylle.

Mikäli henkilötietojen käsittely ilman yleisen tietosuoja-asetuksen 6 artiklassa säädettyä perustetta jatkuu, otetaan nyt käsillä oleva asia huomioon hallinnollista seuraamusmaksua määrättäessä.

Oikeus saada pääsy tietoihin ja maksuttomuus

Yleisen tietosuoja-asetuksen 12 artiklan 5 kohdassa säädetysti yleisen tietosuoja-asetuksen 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset tai kieltäytyä suorittamasta pyydettyä toimea. Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

Oy Suomen Henkilötieto Ab on veloittanut rekisteröidyn oikeuksia koskevan pyynnön tehneiltä henkilöiltä viiden euron suuruisen, hallinnollisia kuluja kattavan maksun. Kuten edellä on todettu, pyydetyn toimenpiteen toteuttamisesta aiheutuvia kustannuksia voidaan periä vain silloin, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia. Nyt käsillä olevassa asiassa tehdyt pyynnöt eivät kuitenkaan ole kohdistuneet Oy Suomen Henkilötieto Ab:hen, vaan pyyntöjen kohteena ovat olleet muut rekisterinpitäjinä toimivat yhtiöt. Merkitystä on kuitenkin sillä, että valtaosassa tapauksia Oy Suomen Henkilötieto Ab ja rekisterinpitäjänä toimivan yrityksen välillä ei ole ollut sopimussuhdetta Henkilötieto.fi-nimiseen palveluun liittyen. Oy Suomen Henkilötieto Ab:llä ei ole ollut muutakaan toimivaltuutta, jonka perusteella se olisi voinut esiintyä tässä tapauksessa tarkoitettujen muiden rekisterinpitäjien lukuun. Näin ollen rekisteröidyn oikeutta koskevia pyyntöjä tehneet henkilöt ovat perustellusti voineet ymmärtää asian niin, että maksu perittäisiin nimenomaisesti rekisteröidyn oikeuden, eikä Oy Suomen Henkilötieto Ab:n palvelujen käyttämisestä. Oy Suomen Henkilötieto Ab:n tarjoaman alustan käyttäjille ei välttämättä ole olut selvää, että he olisivat voineet esittää pyynnön suoraan myös kulloinkin rekisterinpitäjänä toimineelle yhtiölle.

Vaikka rekisteröidyiltä on peritty viiden euron suuruinen maksu, ei Oy Suomen Henkilötieto Ab:n voida kuitenkaan edellä selostetusta johtuen katsoa vastoin yleisen tietosuoja-asetuksen 12 artiklan 5 kohdassa säädettyä perineen rekisteröidyiltä maksua rekisteröityjen oikeuksien käyttämisestä.

Rekisterinpitäjän ja henkilötietojen käsittelijän käsitteestä

Yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan ”rekisterinpitäjällä” tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Yleisen tietosuoja-asetuksen 4 artiklan 8 kohdan mukaan ”henkilötietojen käsittelijällä” puolestaan tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet.

Euroopan tietosuojaneuvosto on antanut ohjeita rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä. Tässä ohjeessa todetusti Henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan ensinäkin toimintaa, jossa rekisterinpitäjästä erillinen toimija käsittelee henkilötietoja rekisterinpitäjän eduksi. Edelleen tässä ohjeessa todetusti henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan toisen etujen palvelemista. Henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan siis käsittelyä, jossa henkilötietojen käsittelijä käsittelee henkilötietoja nimenomaisesti rekisterinpitäjän puolesta rekisterinpitäjän etujen palvelemiseksi.

Todettakoon, että Henkilötieto.fi-palvelun verkkosivuilla on 25.10.2018 annetun informaation perusteella muodostuu helposti käsitys, että palvelun on ottanut käyttöönsä 283 805 yritystä. Asiaa selvitettäessä on kuitenkin käynyt ilmi, että Henkilötieto.fi-palvelusta löydettävissä olevista yritystiedoista 99,9 % koskee yrityksiä, joilla ei ole sopimussuhdetta Oy Suomen Henkilötieto Ab:hen. Rekisteröidyille ei anneta tietoa siitä, onko jokin rekisterinpitäjänä toimiva yritys Oy Suomen Henkilötieto Ab:n sopimuskumppani vai ei. Selvää siis on, että suhteessa niihin yritystietoihin, joita Henkilötieto.fi-sivulla on ollut löydettävissä, valtaosaan ei ole liittynyt sellaista rekisterinpitäjän ja henkilötietojen käsittelijän välistä suhdetta, josta on säädetty yleisessä tietosuoja-asetuksessa. Ottaen huomioon kanteluissa esitetty, on selvää, että nyt käsillä olevassa asiassa ei ole kysymys tilanteesta, jossa Oy Suomen Henkilötieto Ab:n toiminnasta kannelleilla yrityksillä olisi edes ollut tarkoituksena ulkoistaa rekisteröidyn oikeutta koskeviin pyyntöihin vastaaminen tai niiden muu käsittely Oy Suomen Henkilötieto Ab:lle. Tietosuojavaltuutettu toteaa Oy Suomen Henkilötieto Ab:n toimineen tavalla, josta on voinut perustellusti muodostua sellainen käsitys, että se on henkilötietojen käsittelijä.

Oy Suomen henkilötieto Ab on kuitenkin tästä päätöksestä tarkemmin ilmenevin perustein katsottava rekisterinpitäjäksi. Näin ollen asiassa ei arvioida, täyttäisikö Oy Suomen Henkilötieto Ab:n luoma menettely yleisen tietosuoja-asetuksen edellytykset henkilötietojen käsittelylle, jos se myös tosiasiassa toimisi yritysten lukuun henkilötietojen käsittelijänä.

Sähköinen suoramarkkinointi ja käsillä oleva asia

Sähköisen viestinnän palveluista annetun lain (917/2014) 200 §:n 1 momentin mukaan automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Sähköisen viestinnän tietosuojadirektiivin 2002/57/EY (saatettu kansallisesti voimaan 1.1.2015 kumotulla sähköisen viestinnän tietosuojalailla 516/2004, nykyinen sähköisen viestinnän palveluista annettu laki) 2 artiklan 2 kohdan f alakohdassa on määritelty käyttäjän tai tilaajan suostumus. Suostumuksella tarkoitetaan sähköisen viestinnän tietosuojadirektiivissä samaa kuin rekisteröidyn suostumuksella yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (henkilötietodirektiivi). Henkilötietodirektiivi on kumottu yleisellä tietosuoja-asetuksella. Yleisen tietosuoja-asetuksen 94 artiklassa säädetysti viittauksia kumottuun direktiiviin pidetään viittauksina yleiseen tietosuoja-asetukseen. Myös Euroopan unionin tuomioistuin on asiassa Planet49 antamassaan ratkaisussa todennut, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä. Näin ollen asiassa tulee suostumuksen edellytysten osalta sovellettavaksi yleisen tietosuoja-asetuksen suostumusta koskeva sääntely.

Kuten edellä on todettu, rekisteröidyn suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Yleisen tietosuoja-asetuksen 7 artiklassa on säädetty suostumuksen edellytyksistä. Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on yleisen tietosuoja-asetuksen 7 artiklan 2 kohdassa säädetysti esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Arvioitaessa suostumuksen vapaaehtoisuutta on saman artiklan 4 kohdan mukaan otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Mikäli rekisterinpitäjä siis käsittelee henkilötietoja yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdan perusteella, rekisteröidyn on annettava suostumuksensa kutakin eri käyttötarkoitusta varten. Annettu suostumus voi kattaa eri toimintoja silloin kun nämä toiminnot palvelevat samaa käyttötarkoitusta. Käsillä olevassa asiassa kysymys on ollut kahdesta eri käyttötarkoituksesta (rekisteröidyn pyynnöstä saada pääsy tietoihin ja suostumisesta sähköiseen suoramarkkinointiin).

Koska nyt käsillä olevassa asiassa rekisteröitymislomake on sisältänyt oletusarvoisen suostumuksen sähköiseen suoramarkkinointiin, ei kysymys ole ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdassa ja 7 artiklan 2 kohdassa säädetyt edellytykset täyttävästä suostumuksesta.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Laura Varjokari, puh. 029 566 6771.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.