13.12.2022

Rekisteröidyn oikeuksia koskeviin pyyntöihin vastaaminen ja yhteistyö valvontaviranomaisen kanssa

Apulaistietosuojavaltuutetun päätös

Asia

Rekisteröidyn oikeus saada tutustua tietoihin ja oikeus tietojen poistamiseen ym.

Rekisterinpitäjä

Alektum Oy

Hakijoiden vaatimukset perusteluineen

1. Asian 6633/182/18 hakija on kertonut, että Alektum Oy ei lainkaan ole vastannut hänen 26.8.2018 esittämäänsä pyyntöön saada tutustua tietoihin.

2. Asian 6707/154/2018 hakija on kertonut esittäneensä Alektum Oy:lle pyynnön saada tutustua tietoihin. Vastauksena hakijan pyyntöön hakijalle oli hakijan kertoman mukaan toimitettu vain otsikkotasolla lista niistä tiedoista, joita rekisterinpitäjä hänen osaltaan tuolloin käsitteli. Hakijalle ei ollut hakijan kertoman mukaan toimitettu hänen omia tietojaan. Hakija oli lisäksi pyytänyt, että hänen tietonsa poistettaisiin.

3. Asian 7685/152/2020 hakija on kertonut, että Alektum Oy ei lainkaan ole vastannut hänen 25.6.2020 esittämäänsä pyyntöön saada tutustua tietoihin.

Asian selvittämisestä

4. Tietosuojavaltuutetun toimistossa on ajalla 27.9.2018–1.10.2020 saatettu vireille useampia Alektum Oy:n suorittamaan henkilötietojen käsittelyyn liittyviä asioita, joissa on ollut kysymys rekisteröidyn oikeudesta saada tutustua tietoihin (oikeus tunnetaan myös nimellä tarkastusoikeus) ja oikeudesta tietojen poistamiseen. Hakijat ovat kertoneet, että Alektum Oy ei ole vastannut heidän esittämiinsä pyyntöihin, antanut pyydettyjä tietoja taikka toteuttanut oikeutta tietojen poistamiseen.

5. Rekisterinpitäjältä on pyydetty selvitystä kysymyksessä olevista asioista. Ensimmäinen selvityspyyntö (6633/182/2018) on 30.3.2020 lähetetty rekisterinpitäjän omilla verkkosivuilla [alektum.fi] tuolloin ilmoitettuun sähköpostiosoitteeseen gdpr@annomen.fi. Tähän sähköpostiosoitteeseen on niin ikään 8.4.2020 lähetetty toisen asian (6707/154/2018) ensimmäinen selvityspyyntö. Koska rekisterinpitäjä ei vastannut 30.3.2020 lähetettyyn selvityspyyntöön annetussa määräajassa, on selvityspyyntö lähetetty rekisterinpitäjälle uudestaan 20.4.2020 (osoitteisiin gdpr@annomen.fi ja info@annomen.fi). Samassa yhteydessä tietosuojavaltuutetun toimisto on tuolloin vallinneista poikkeuksellisista olosuhteista johtuen oma-aloitteisesti pidentänyt selvityspyyntöön vastaamiselle asetettua määräaikaa. Edellä tarkoitettuun sähköpostiviestiin on vastattu 21.4.2020. Tässä vastauksessa on ilmoitettu, että 30.3.2020 lähetettyä selvityspyyntöä ei ollut ollut vastaanotettu. Samana päivänä 21.4.2020 rekisterinpitäjälle on lähetetty molemmat edellä mainitut selvityspyynnöt uudestaan ja ilmoitettu, että uusi määräaika selvityspyyntöihin vastaamiselle on 15.5.2020. Rekisterinpitäjä ei antanut pyydettyjä selvityksiä asetettuun määräaikaan mennessä, eikä myöskään sen jälkeen.

6. Tietosuojavaltuutettu on sittemmin 29.7.2020 antanut rekisterinpitäjälle määräykset antaa valvontaviranomaiselle sen tehtävien suorittamiseksi tarvittavat tiedot 12.8.2020 mennessä. Määräysten tehosteeksi on asetettu 4 000 euron suuruinen, uhkasakkolain (1113/1990) mukainen uhkasakko, mistä huolimatta rekisterinpitäjä ei ole antanut pyydettyjä tietoja. Alektum Group AB -konsernin edustaja (myöhemmin ”konsernin edustaja”) on kuitenkin sähköpostitse 28.9.2020 pahoitellut, että selvityspyyntöihin ei ollut vastattu määräajassa. Konsernin edustaja pyysi saada asiakirjat ruotsiksi. Tässä yhteydessä konsernin edustaja myös ilmoitti, että yhtiö antaa selvityksensä heti käännökset saatuaan.

7. Asiakirjojen ruotsinnokset on lähetetty konsernin edellä mainitulle edustajalle 15.1.2021 salattuna sähköpostiviestinä. Koska konsernin edustaja ei kuitenkaan viestiin vastannut, on hänelle 5.2.2021 lähetetty jälleen sähköpostia ja todettu se, että tietosuojavaltuutetun toimisto ei edelleenkään ollut vastaanottanut luvattuja selvityksiä. Samassa yhteydessä rekisterinpitäjää pyydettiin vastaamaan mahdollisimman pian.

8. Konsernin edustaja vastasi viestiin 9.2.2021, ja ilmoitti, että hän ei ollut saanut 15.1.2021 lähetettyä sähköpostiviestiä (Sähköpostiviesti on lähetetty osoitteeseen [etunimi].[sukunimi]@alektumgroup.com (joka on konsernin edustajan sähköpostiosoite). Konsernin edustaja totesi, että viesti oli lähetetty väärään sähköpostiosoitteeseen, minkä jälkeen käännökset on jälleen lähetetty konsernin edustajan osoitteeseen salattuna viestinä. Tämän jälkeen konsernin edustajan 9.2.2021 lähettämään sähköpostiviestiin on 10.2.2021 vastattu ja tiedusteltu, oliko salattuna lähetetty sähköpostiviesti nyt mennyt perille. Viestiin ei vastattu. Konsernin edustajalta on jälleen 16.2.2021 tiedusteltu samaa asiaa. Viesteihin ei enää vastattu.

9. Sittemmin tietosuojavaltuutettu on havainnut, että edellä mainittua uhkasakon uhalla annettua määräystä ei kuitenkaan ollut annettu uhkasakkolain 5 luvun 22 §:ssä säädetyssä järjestyksessä. Näin ollen uhkasakkoa ei voitu panna täytäntöön.

10. Tämän jälkeen asioiden 6633/182/2018 ja 6707/154/2018 selvityspyyntöjä on vielä yritetty toimittaa Alektum Oy:lle haastemiestiedoksiantona. Selvityspyyntöjä ei ole saatu annettua Alektum Oy:lle tiedoksi, vaan asia on 17.8.2021 palautunut tietosuojavaltuutetun toimistolle estetodistuksen muodossa. Haastemiehen yrittäessä antaa selvityspyyntöjä Alektum Oy:lle tiedoksi, oli Alektum Oy ilmoittanut, että Suomessa ei ole ketään sellaista henkilöä, joka voisi ottaa asiakirjat vastaan. Samassa yhteydessä ja kuultuaan asian laadun Alektum Oy:n edustaja oli kuitenkin ilmoittanut, että he voisivat mahdollisesti hankkia asiassa valtakirjan asiakirjan vastaanottamiseksi. Näin ei kuitenkaan tapahtunut.

11. Kolmannessa asiassa (7685/152/2020) Alektum Oy:lle on pyritty toimittamaan 7.7.2021 päivätty selvityspyyntö haastemiestiedoksiannolla. Niin ikään tämä selvityspyyntö on 17.8.2021 palautunut tietosuojavaltuutetun toimistolle estetodistuksen muodossa. Haastemiehen yrittäessä antaa selvityspyyntöä Alektum Oy:lle tiedoksi, oli Alektum Oy ilmoittanut, että Suomessa ei ole ketään sellaista henkilöä, joka voisi ottaa asiakirjan vastaan. Samassa yhteydessä ja kuultuaan asian laadun Alektum Oy:n edustaja oli kuitenkin ilmoittanut, että he voisivat mahdollisesti hankkia asiassa valtakirjan asiakirjan vastaanottamiseksi. Näin ei kuitenkaan tapahtunut.

12. Apulaistietosuojavaltuutettu käsittelee asiat 6633/182/2018, 6707/154/2018 ja 7685/152/2020 hallintolain (434/2003) 25 §:n nojalla yhdessä.

Asian rajatylittävyyden selvittäminen

13. Asiassa esille tulleiden seikkojen perusteella tietosuojavaltuutetun toimistossa on alun perin arvioitu, että asiassa saattaisi olla kysymys yleisen tietosuoja-asetuksen 4 artiklan 23 kohdan mukaisesta rajatylittävästä käsittelystä. Koska asiassa ei ollut edellä kuvatulla tavalla saatu hankittua selvitystä, tietosuojavaltuutetun toimisto ei ollut niin ikään saanut vahvistusta siitä, mikä taho on nyt päätöksen kohteena olevan asian osalta yleisen tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitettu rekisterinpitäjä .

14. Samanaikaisesti tietosuojavaltuutetun toimistossa on arvioitu, että vaikka asiassa olisi kysymys rajatylittävästä asiasta, olisi siihen ilmeisesti sovellettava yleisen tietosuoja-asetuksen 56 artiklan 2 kohdassa säädettyä poikkeusta. Tämän säännöksen nojalla kantelun vastaanottanut viranomainen on toimivaltainen käsittelemään sellaisen asian, jonka kohde liittyy ainoastaan sen jäsenvaltiossa olevaan toimipaikkaan tai vaikuttaa merkittävästi ainoastaan sen jäsenvaltioissa oleviin rekisteröityihin.

15. Julkisesti saatavilla olevien tietojen perusteella Alektum Oy:n konsernin emoyhtiö Alektum Group AB:n toimipaikka on Ruotsissa. Tämän tiedon perusteella asia on 13.5.2022 saatettu käsiteltäväksi yleisen tietosuoja-asetuksen 56 artiklan mukaisessa menettelyssä, jossa vahvistetaan asian osalta yleisen tietosuoja-asetuksen 56 artiklan mukainen johtava valvontaviranomainen sekä yleisen tietosuoja-asetuksen 4 artiklan 22 kohdan mukaiset osallistuvat valvontaviranomaiset.

16. Yleisen tietosuoja-asetuksen 56 artiklan menettelyn perusteella tietosuojavaltuutetun toimisto on 12.8.2022 esittänyt Ruotsin tietosuojaviranomaiselle pyynnön käsitellä asia paikallisesti. Ruotsin tietosuojaviranomainen on yleisen tietosuoja-asetuksen 56 artiklan 3 kohdan mukaisesti katsonut, että tietosuojavaltuutetun toimisto on toimivaltainen käsittelemään asian paikallisesti.

17. Sittemmin on käynyt ilmi, että nyt kantelun kohteena olevien asioiden osalta rekisterinpitäjä on Alektum Oy, eikä Alektum Group AB. Näin ollen asiassa ei ole kyse rajatylittävästä käsittelystä ja tietosuojavaltuutetun toimisto on asiassa toimivaltainen yleisen tietosuoja-asetuksen 55 artiklan nojalla.

Kuuleminen

18. Rekisterinpitäjälle on 17.8.2022 varattu hallintolain 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä. Rekisterinpitäjä on antanut vastauksensa 8.9.2022.

19. Kuulemiseen annetussa vastauksessa on todettu, että Etelä-Suomen aluehallintovirasto on peruuttanut Alektum Oy:n perintäluvan 31.12.2018. Tämän jälkeen Alektum Oy annetun vastauksen mukaan luovutti liiketoimintaluovutuksena perintätoimintonsa Annomen Oy:lle. Tässä yhteydessä Annomen Oy:lle luovutettiin muun muassa Alektum Oy:n henkilöstö ja asiakassopimukset. Annetun vastauksen mukaan Annomen Oy:stä tuli täten luovutettujen henkilötietojen rekisterinpitäjä. Edelleen annetun vastauksen mukaan tässä yhteydessä kaikki Alektum Oy:n hallussa olleet henkilötiedot poistettiin. Alektum Oy ja Annomen Oy eivät annetun vastauksen mukaan ole samaa konsernia.

20. Annetussa vastauksessa on esitetty, että selvityspyynnöt olisi lähetetty osoitteisiin, jotka kuuluvat Annomen Oy:lle, eli Alektum Oy:stä erilliselle toimijalle. Sen jälkeen, kun Annomen Oy oli 5.2.2019 ottanut haltuunsa Alektum Oy:n perintätoiminnan, ei Alektum Oy:llä annetun vastauksen mukaan ole ollut mitään yhteyttä mainittuun perintätoimintaan tai siihen liittyviin henkilötietoihin. Edelleen annetussa vastauksessa on esitetty, että vasta elokuussa 2022 Alektum Oy:lle olisi varattu mahdollisuus tutustua hakijoiden asioissaan esittämiin pyyntöihin. Alektum Oy:n on esittänyt välittömästi tämän jälkeen ryhtyneensä selvittämään asiaa.

21. Annetun vastauksen mukaan Alektum Oy:llä on ajalla 25.5.2018–5.2.2019 ollut käytössään vakiintunut menettelytapa rekisteröityjen oikeuksia koskevien pyyntöjen käsittelemiseksi. Näiden pyyntöjen käsittelystä on vastannut yhtiön lakimies. Tämän menettelytavan mukaisesti kaikkiin pyyntöihin on tullut vastata ja asianmukaiset toimenpiteet suorittaa kuukauden kuluessa yleisen tietosuoja-asetuksen 12 artiklassa säädetyn mukaisesti.

22. Perintäluvan peruuttamisen jälkeen Alektum Oy:llä ei kuitenkaan annetun vastauksen mukaan ole ollut syytä käsitellä perintätoimintaan liittyviä henkilötietoja. Annetussa vastauksessa on viitattu yleisen tietosuoja-asetuksen 5 artiklassa säädettyyn tietojen minimoinnin periaatteeseen, mistä johtuen kaikki henkilötiedot ja perintätoimiin liittyvä kirjeenvaihto oli poistettu. Sanotusta johtuen rekisterinpitäjän ei enää ole mahdollista antaa yksityiskohtaisia vastauksia yksittäisten rekisteröityjen asioihin liittyen.

23. Alektum Oy ei annetun vastauksen mukaan ole saanut minkäänlaista suoraa tai epäsuoraa taloudellista etua nyt arvioitavana olevista yleisen tietosuoja-asetuksen rikkomisista.

24. Vuonna 2020 Alektum Group AB -konsernin liikevaihto oli 1 357 571 000 kruunua (~124 462 159,06 euroa), ja vuonna 2021 se oli 1 566 852 000 kruunua (~143 649 048,82 euroa).

Asia 7685/152/2020

25. Hakija on esittänyt pyyntönsä 25.6.2020. Annetun vastauksen mukaan Alektum Oy ei tällöin ole toiminut hakijan asiassa rekisterinpitäjänä, eikä Alektum Oy:n hallussa tällöin ollut ollut mitään hakijan henkilötietoja.

Asia 6633/182/2018

26. Annetun vastauksen mukaan Alektum Oy:llä ei ole mahdollisuutta varmuudella vahvistaa sitä, että hakijan pyyntöön olisi vastattu. Perintätoiminnan lopettamisen jälkeen Alektum Oy:llä ei annetun vastauksen mukaan ole ollut syytä käsitellä henkilötietoja. Kaikki henkilötiedot ja perintätoimiin liittyvä kirjeenvaihto on annetun vastauksen mukaan sittemmin poistettu.

Asia 6706/154/2018

27. Alektum Oy on annetun vastauksen mukaan pyrkinyt vastaamaan hakijan pyyntöön. Alektum Oy on vastannut hakijan 26.8.2018 esittämään tarkastusoikeutta koskevaan pyyntöön 18.9.2018, minkä jälkeen hakija oli jälleen 19.9.2018 tehnyt Alektum Oy:lle asiaa koskevan pyynnön. Hakijalle oli vastattu yksityiskohtaisemmin 15.10.2018.

28. Annetun vastauksen mukaan 15.10.2018 hakijalle lähetetyssä vastauksessa oli tarkemmin kuvattu se, mitä hakijan henkilötietoja Alektum Oy tuolloin käsitteli. Annetun vastauksen mukaan hakijalle annettu vastaus piti sisällään ne tiedot, joiden antamisesta on säädetty yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa.

29. Alektum Oy on korostanut, että hakija oli tehnyt pyyntönsä vain neljä kuukautta sen jälkeen, kun yleistä tietosuoja-asetusta oli alettu soveltaa. Tietosuojaviranomaiset ovat vasta tämän jälkeen antaneet tarkempaa ohjeistusta siitä, miten rekisteröityjen yleisen tietosuoja-asetuksen 15 artiklan mukaisiin pyyntöihin tulisi vastata. Annetussa vastauksessa on viitattu Euroopan tietosuojaneuvoston ohjeisiin 01/2022, jotka on julkaistu 18.1.2022. Annetussa vastauksessa on edelleen korostettu, että hakijalle oli vastattu tuolloin saatavilla olleen rajallisen tulkintaohjeistuksen valossa. Alektum Oy on esittänyt näkemyksenään, että hakijan pyyntöön oli edellä mainitut seikat huomioon ottaen vastattu asianmukaisesti.

30. Hakija on 19.9.2018 pyytänyt, että Alektum Oy poistaisi hänen tietonsa. Alektum Oy on kertonut vastanneensa hakijan pyyntöön 15.10.2018, eli noudattaen säädettyä kuukauden määräaikaa. Alektum Oy oli tällöin ilmoittanut yleisen tietosuoja-asetuksen 12 artiklan 4 kohdan mukaisesti perusteen sille, miksi hakijan tietoja ei tuolloin ollut voitu poistaa. Hakijan tietoja oli tarvittu edelleen niihin tarkoituksiin, joita varten ne oli kerätty. Hakijan tietoja ei ollut voitu poistaa ennen kuin tuolloin avoinna olleet saatavat olisi suoritettu. Edelleen annetun vastauksen mukaan Alektum Oy:n oli noudatettava kirjanpitolaista ja hyvästä perintätavasta seuraavia säilytysaikoja.

Rajatylittävyydestä

31. Kuulemiseen annetussa vastauksessa on todettu, että Alektum Oy on yleisen tietosuoja-asetuksen 4 artiklan 7 alakohdassa tarkoitettu rekisterinpitäjä nyt kysymyksessä olevan henkilötietojen käsittelyn osalta. Alektum Oy on sijoittautunut Suomeen. Alektum Oy ei kuulemiseen annetun vastauksen mukaan ole käsitellyt muiden EU/ETA maiden rekisteröityjen kuin suomalaisten henkilötietoja. Rekisterinpitäjän mukaan nyt käsillä olevan asian kohteena oleva henkilötietojen käsittely ei vaikuta muissa EU/ETA maissa oleviin rekisteröityihin.

Lopuksi

32. Apulaistietosuojavaltuutettu ei ole kuullut hakijoita rekisterinpitäjän kuulemispyyntöön antamasta vastauksesta. Hakijoiden kuulemista ei ole pidetty tarpeellisena hallintolain (434/2003) 34 §:n 2 momentin 5 kohdan nojalla.

Sovellettavasta lainsäädännöstä

33. Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

34. Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijoiden asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta. Asiassa on ratkaistava:

i. Onko Alektum Oy toteuttanut hakijoiden yleisen tietosuoja-asetuksen 15 artiklassa säädetyn oikeuden saada tutustua tietoihin;

ii. Onko Alektum Oy ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyyntöjen vastaanottamisesta yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaisesti toimittanut hakijoille tiedot toimenpiteistä, joihin on ryhdytty tehtyjen pyyntöjen johdosta;

iii. Onko Alektum Oy:llä ollut yleisen tietosuoja-asetuksen 17 artiklan 3 kohdassa säädetty peruste evätä asian 6707/154/2018 hakijan pyyntö oikeudesta tietojen poistamiseen; ja

iv. Onko Alektum Oy:lle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla määräys saattaa käsittelytoimensa yleisen tietosuoja-asetuksen säännösten mukaisiksi?

35. Apulaistietosuojavaltuutetun on niin ikään arvioitava, tuleeko asiassa käyttää muita yleisen tietosuoja-asetuksen 58 artiklassa säädettyjä korjaavia toimivaltuuksia.

Apulaistietosuojavaltuutetun päätös

Päätös

36. Alektum Oy ei asiassa 6633/182/2018 ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 eikä 3 kohdassa eikä yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä. Apulaistietosuojavaltuutettu ei tässä yhteydessä päätöksestä tarkemmin ilmenevin perustein anna Alektum Oy:lle määräystä toteuttaa hakijan pyyntöä saada tutustua tietoihin.

37. Alektum Oy ei asiassa 7685/152/2020 ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa eikä yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä. Apulaistietosuojavaltuutettu ei tässä yhteydessä päätöksestä tarkemmin ilmenevin perustein anna Alektum Oy:lle määräystä vastata hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaisen pyyntöön.

38. Alektum Oy ei asiassa 6707/154/2018 ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdassa eikä yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä. Apulaistietosuojavaltuutettu ei tässä yhteydessä päätöksestä tarkemmin ilmenevin perustein anna Alektum Oy:lle määräystä toteuttaa hakijan pyyntöä saada tutustua tietoihin.

39. Alektum Oy:llä on syksyllä 2018 ollut peruste olla toteuttamatta asian 6707/154/2018 hakijan yleisen tietosuoja-asetuksen 17 artiklan mukaista pyyntöä.

Huomautus

40. Apulaistietosuojavaltuutettu antaa Alektum Oy:lle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla huomautuksen. Apulaistietosuojavaltuutettu huomauttaa, että rekisterinpitäjän toiminta hakijoiden oikeuksien toteuttamiseksi ei ole täyttänyt yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä eikä rekisterinpitäjä ole toteuttanut hakijoiden pyyntöjä saada tutustua tietoihin yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdassa säädetyn mukaisesti. Lisäksi rekisterinpitäjä on jättänyt vastaamatta valvontaviranomaisen selvityspyyntöihin.

Perustelut

Rekisteröidyn oikeudesta saada tutustua tietoihin ja käsillä olevat asiat

41. Yleisen tietosuoja-asetuksen 15 artiklassa on säädetty rekisteröidyn oikeudesta saada tutustua tietoihin. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada tässä artiklankohdassa erikseen luetellut tiedot. Rekisterinpitäjän on yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaisesti myös toimitettava rekisteröidylle jäljennös käsiteltävistä henkilötiedoista.

42. Yleisen tietosuoja-asetuksen 12 artiklassa on lisäksi säädetty yksityiskohtaisista säännöistä rekisteröidyn oikeuksien käyttöä varten. Artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää. Edelleen artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

43. Yleisen tietosuoja-asetuksen 5 artiklassa puolestaan on säädetty henkilötietojen käsittelyä koskevista periaatteista. Artiklan 1 kohdassa on säädetty niistä vaatimuksista, joita rekisterinpitäjän on noudatettava. Artiklan 2 kohdan mukaisesti rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että artiklan 1 kohdassa säädettyjä vaatimuksia on noudatettu (”osoitusvelvollisuus”).

Asia 6633/182/2018

44. Asian 6633/182/2018 hakija ei kertomansa mukaan ollut saanut minkäänlaista vastausta 26.8.2018 tekemäänsä yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön. Vaikka rekisterinpitäjällä olisikin ajalla 25.5.2018–5.2.2019 ollut käytössään vakiintunut menettelytapa rekisteröityjen oikeuksia koskevien pyyntöjen käsittelemiseksi, ei tämä osoita sitä, että hakijan tekemään pyyntöön olisi vastattu. Asiassa ei ole ilmennyt mitään sellaista, mistä johtuen apulaistietosuojavaltuutetulla olisi syytä epäillä hakijan kertomaa. Koska rekisterinpitäjä ei ollut lainkaan vastannut hakijan pyyntöön, rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 eikä 3 kohdassa eikä yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä. Koska kuulemiseen annetun vastauksen mukaan Alektum Oy:n hallussa ei enää ole hakijan henkilötietoja, ei apulaistietosuojavaltuutettu tässä yhteydessä anna määräystä toteuttaa hakijan pyyntöä saada tutustua tietoihin.

Asia 7685/152/2020

45. Asian 7685/152/2020 hakija ei kertomansa mukaan ollut saanut minkäänlaista vastausta 25.6.2020 tekemäänsä yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön.

46. Kuulemiseen annetussa vastauksessa on esitetty, että Alektum Oy ei enää 25.6.2020 ollut toiminut hakijan asiassa rekisterinpitäjänä, eikä Alektum Oy:n hallussa tällöin ollut ollut mitään hakijan henkilötietoja.

47. Kuten edellä on todettu, rekisteröidyllä on yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädetysti oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja ei käsitellä. Vaikka Alektum Oy:n hallussa ei olisikaan ollut mitään hakijan henkilötietoja, olisi Alektum Oy:n tullut vastata hakijan pyyntöön laissa edellytetyllä tavalla. Alektum Oy ei ole kiistänyt sitä, että hakija ei ollut saanut pyyntöönsä minkäänlaista vastausta. Koska rekisterinpitäjä ei ollut lainkaan vastannut hakijan pyyntöön, rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa eikä yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä. Koska kuulemiseen annetun vastauksen mukaan Alektum Oy:n hallussa ei enää ole hakijan henkilötietoja, ei apulaistietosuojavaltuutettu tässä tilanteessa katso enää tarpeelliseksi antaa rekisterinpitäjälle määräystä vastata hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaisen pyyntöön.

Asia 6707/154/2018

48. Alektum Oy on vastannut hakijan 26.8.2018 tekemään yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön 18.9.2018. Tällä vastauksella hakijalle oli kerrottu yleisellä tasolla siitä, millä tavalla Alektum Oy oli tuolloin rekisteröityjen henkilötietoja käsitellyt. Tässä yhteydessä hakijalle ei ollut annettu pääsyä hänen omiin henkilötietoihinsa. Hakijalle ei tällä vastauksella liioin ollut annettu yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa erikseen lueteltuja tietoja. Tämän vastauksen jälkeen hakija oli jälleen 19.9.2018 ollut yhteydessä rekisterinpitäjään. Hakija oli tässä yhteydessä uudistanut pyyntönsä saada tutustua nimenomaan omiin henkilötietoihinsa. Alektum Oy oli vastannut hakijan 19.9.2018 lähettämään viestiin 15.10.2018 ja nimennyt ne velkojayhtiöt, joihin liittyen hakijalla kerrottiin edelleen olevan avoimia saatavia. Lisäksi hakijalle oli ilmoitettu se vuosihaarukka, jonka aikana edellä tarkoitettujen saatavien oli esitetty siirtyneen perintään. Hakijalle oli samassa yhteydessä kerrottu yleisellä tasolla Alektum Oy:n toiminnasta ja siitä, mitä velallisten henkilötietoja yhtiössä tavanomaisesti käsitellään. Vastauksessa oli erikseen todettu, että Alektum Oy käsittelee vain näitä hakijan tietoja. Todettakoon, että tässäkään yhteydessä hakijalle ei ollut toimitettu yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa tarkoitettua jäljennöstä, eikä yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa erikseen lueteltuja tietoja.

49. Kuulemiseen annetussa vastauksessa on korostettu, että hakijalle oli vastattu vastausaikana saatavilla olleen rajallisen tulkintaohjeistuksen valossa. Selvyyden vuoksi on ensinnäkin todettava, että rekisterinpitäjä on itse vastuussa oman toimintansa lainmukaisuudesta. Todettakoon edelleen, että yleisen tietosuoja-asetuksen 15 artikla on säännöksenä selkeä. Artiklan sanamuodoista on suoraan pääteltävissä muun muassa se, että rekisterinpitäjän on toimitettava rekisteröidylle 1) jäljennös käsiteltävistä henkilötiedoista sekä 2) 15 artiklan 1 kohdassa erikseen luetellut tiedot. Kysymys ei siis tältä osin ole tulkinnanvaraisesta säännöksestä. Rekisterinpitäjän olisikin tullut oma-aloitteisesti ymmärtää, miten sen olisi tullut hakijan pyyntöön vastata.

50. Selvyyden vuoksi on lisäksi korostettava, että oikeus saada tutustua tietoihin ei ole oikeutena uusi. Kumotun henkilötietolain (523/1999) 26 §:ssä säädettiin henkilörekisteriin talletetun tiedon tarkastamisesta. Lainkohdan mukaan jokaisella oli salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin oli talletettu tai, että rekisterissä ei ollut häntä koskevia tietoja. Kyseisen lain 28 §:ssä säädettiin tarkastusoikeuden toteuttamisesta. Viimeksi mainitun pykälän 2 momentin mukaan rekisterinpitäjän oli ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua 26 §:ssä tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. Edellä kuvatut tietojen tarkastamista koskevat henkilötietolain säännökset ja yleisen tietosuoja-asetuksen säännökset rekisteröidyn oikeudesta saada tutustua tietoihin ovat keskenään päällekkäisiä ja aineellisesti lähes saman sisältöisiä.

51. Käsillä olevassa asiassa hakija oli tehnyt alkuperäisen pyyntönsä 26.8.2018. Alektum Oy oli vastannut hakijan pyyntöön 18.9.2018, eli sinällään noudattaen yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä kuukauden määräaikaa. Alektum Oy ei kuitenkaan ollut tässä yhteydessä toimittanut hakijalle yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa erikseen lueteltuja tietoja eikä saman artiklan 3 kohdassa tarkoitettua jäljennöstä. Koska Alektum Oy ei edellä mainitusti ollut noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdassa säädettyä, oli hakija 19.9.2018 uudistanut pyyntönsä saada tutustua omiin henkilötietoihinsa. Vaikka Alektum Oy:n hakijalle 15.10.2018 lähettämä viesti sisälsikin jonkin verran enemmän tietoa juuri hakijaan liittyen kuin Alektum Oy:n hakijalle aiemmin lähettämä vastaus, ei tämänkään vastauksen yhteydessä hakijalle toimitettu yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa erikseen lueteltuja tietoja eikä saman artiklan 3 kohdassa tarkoitettua jäljennöstä.

52. Koska rekisterinpitäjä ei ollut ollut toimittanut hakijalle yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdassa toimitettavaksi säädettyjä tietoja kuukauden kuluessa hakijan edellä tarkoitetusta ensimmäisestä pyynnöstä laskettuna, rekisterinpitäjä ei hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaiseen pyyntöön vastatessaan ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä. Rekisterinpitäjä ei liioin ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdassa säädettyä. Koska kuulemiseen annetun vastauksen mukaan Alektum Oy:n hallussa ei enää ole hakijan henkilötietoja, ei apulaistietosuojavaltuutettu anna määräystä toteuttaa hakijan pyyntöä saada tutustua tietoihin.

Rekisteröidyn oikeudesta tietojen poistamiseen ja asia 6707/154/2018

53. Yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan a alakohdan nojalla rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin. Edellä olevaa 17 artiklan 1 kohtaa ei sovelleta 17 artiklan 3 kohdan b alakohdan mukaan, jos käsittely on tarpeen rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi eikä saman artiklankohdan e alakohdan mukaan, jos käsittely on tarpeen oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

54. Edellä todetusti rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.

55. Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 4 kohdassa säädetysti ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

56. Asian 6707/154/2018 hakija on toimittanut tietosuojavaltuutetun toimistolle jäljennöksen 19.9.2018 rekisterinpitäjälle lähettämästään sähköpostiviestistä, jossa hakija oli tehnyt rekisterinpitäjälle yleisen tietosuoja-asetuksen 17 artiklassa tarkoitetun pyynnön koskien rekisteröidyn oikeutta tietojen poistamiseen. Asian hakijalle oli vastattu 15.10.2018, eli ennen kuin kuukausi oli kulunut asian hakijan edellä tarkoitetusta pyynnöstä.

57. Asian hakijalle 15.10.2018 annetussa vastauksessa on todettu muun muassa seuraavasti:

Säilytämme tietojasi ainoastaan niin pitkään, kun se on tietojen käyttötarkoituksen kannalta tarpeellista tai niin kauan kuin laki sitä meiltä edellyttää, säilytysaika määräytyy täten käsittelyn tarpeellisuuden (lähtökohtaisesti asiakassuhteen keston) sekä lainsäädännön mukaan (esimerkiksi hyvän perintätavan tai kirjanpitolain vaatimusten noudattamiseksi) ja niin kauan, että vanhentumisaika on kulunut, jotta voimme puolustaa itseämme mahdollisia oikeudellisia vaatimuksia vastaan. Meillä on lisäksi lakisääteinen velvollisuus säilyttää henkilötietoja tietyn ajan petosten torjumista ja havaitsemista, rahanpesun havaitsemisesta ja toteen näyttämistä ja tilintarkastusta varten.

Siten emme voi poistaa henkilötietojasi rekisteristämme ennen kuin avoimet saatavat ovat täysimääräisesti suoritettu ja edellä mainitut lakisääteiset säilytysajat ovat kuluneet umpeen.

58. Todettakoon, että yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa on säädetty henkilötietojen säilytyksen rajoittamisesta. Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötiedon säilytysajan on siis oltava mahdollisimman lyhyt. Henkilötietoja ei näin ollen olisi säilytettävä pidempään kuin on tarpeen. Yleisen tietosuoja-asetuksen johdanto-osan 65 perustelukappaleen mukaan luonnollisella henkilöllä olisi puolestaan oltava oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta tai jäsenvaltion lainsäädäntöä. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen, kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista.

59. Todettakoon lisäksi, että yleisen tietosuoja-asetuksen 14 artiklan 2 kohdan a alakohdan mukaisesti silloin, kun tietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on toimitettava rekisteröidylle muun muassa tieto henkilötiedon säilytysajasta tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit.

60. Todettakoon niin ikään, että yleisen tietosuoja-asetuksen johdanto-osan 39 perustelukappaleessa on nimenomaisesti todettu, että henkilötietojen säilytysajan on oltava mahdollisimman lyhyt. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen.

61. Todettakoon lisäksi, että 29 artiklan mukainen tietosuojatyöryhmä on antanut käytännön ohjeita (”läpinäkyvyyttä koskevat ohjeet) läpinäkyvyyden periaatteesta. Näiden ohjeiden mukaan velvollisuus toimittaa henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit, linkittyy yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyyn tietojen minimoinnin vaatimukseen sekä 5 artiklan 1 kohdan e alakohdassa säädettyyn säilytyksen rajoittamisen vaatimukseen.

62. Säilytysaikaan (tai sen määrittämiskriteereihin) voivat vaikuttaa esimerkiksi lakisääteiset vaatimukset tai alakohtaiset ohjeet. Säilytysaika (tai sen määrittämiskriteerit) tulisi kuitenkin ilmaista niin, että rekisteröity pystyy oman tilanteensa perusteella arvioimaan, kuinka kauan tiettyjä henkilötietoja säilytetään tiettyä käsittelytarkoitusta varten. Ei riitä, että yleisesti ilmaistaan henkilötietoja säilytettävän niin kauan kuin on tarpeen käsittelyn laillista tarkoitusta varten. Tarvittaessa eri henkilötietoryhmille ja/tai käsittelytarkoituksille olisi määritettävä erilaiset säilytysajat.

63. Todettakoon, että käsillä olevassa asiassa hakijalle 15.10.2018 sähköpostitse ilmoitettujen säilytysaikaa koskevien tietojen perusteella hakija ei ole voinut ymmärtää, kuinka kauan tiettyjä henkilötietoja oli tarkoitus säilyttää. Sähköpostiviestissä ei esimerkiksi ole viitattu mihinkään lainkohtaan eikä ole ilmaistu minkäänlaista tarkentavaa ajallista määrettä.

64. Koska hakijan 19.9.2018 pyydettyä tietojensa poistoa hakijalla oli ollut avoimia suorittamattomia saatavia, katsoo apulaistietosuojavaltuutettu, että hakijan henkilötietoja edelleen kuitenkin tarvittiin niitä tarkoituksia varten, joita varten tiedot oli kerätty tai joita varten tietoja oli käsitelty. Näin ollen Alektum Oy:llä on syksyllä 2018 ollut peruste olla toteuttamatta hakijan yleisen tietosuoja-asetuksen 17 artiklan mukaista pyyntöä.

65. Koska kuulemiseen annetun vastauksen mukaan Alektum Oy:n hallussa ei enää ole hakijan henkilötietoja, ei tässä yhteydessä ole tarpeen arvioida sitä, tulisiko apulaistietosuojavaltuutetun nyt antaa Alektum Oy:lle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla määräys poistaa hakijan henkilötiedot.

66. Selvyyden vuoksi on todettava, että tässä päätöksessä ei ole otettu kantaa siihen, mikä olisi ollut nyt kysymyksessä olevien henkilötietojen asianmukainen säilytysaika taikka siihen, olisiko Alektum Oy:n tullut säilyttää rekisteröityjen henkilötietoja myös sen jälkeen, kun yhtiö oli luovuttanut perintälain alaisen perintäliiketoimintansa kolmannelle. Todettakoon lisäksi, että Alektum Oy edelleen toimii Suomessa, ja muun muassa nostaa velkomuskanteita käräjäoikeudessa. Esimerkiksi Helsingin käräjäoikeudesta puhelimitse 25.11.2022 saadun tiedon mukaan Alektum Oy on viimeksi heinäkuussa 2022 nostanut Helsingin käräjäoikeudessa velkomuskanteen yksityishenkilöä vastaan.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Laura Varjokari, puh. 029 566 6771.

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa

Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta

Rekisterinpitäjä: Alektum Oy

1. Apulaistietosuojavaltuutetun päätöksestä ilmenevin tavoin Alektum Oy ei asioissa 6633/182/2018 ja 6707/154/2018 ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 eikä 3 kohdassa eikä yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä. Alektum Oy ei liioin asiassa 7685/152/2020 ole noudattanut yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa eikä yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä.

2. Ottaen erityisesti huomioon rikkomisten vakavuuden, asiassa ei ole kysymys yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa tarkoitetusta vähäisestä rikkomisesta. Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että nyt käsiteltävänä olevassa asiassa apulaistietosuojavaltuutetun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla antama huomautus ei ottaen huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädetty ole riittävä seuraamus asiassa.

3. Asiassa on lisäksi määrättävä hallinnollinen seuraamusmaksu. Seuraamusmaksun määräämistä tukee osaltaan se, että kysymys ei yleisen tietosuoja-asetuksen 15 artiklan 1 eikä 3 kohdan eikä 12 artiklan 3 kohdan rikkomisten osalta ole yksittäisistä rikkomuksista vaan Alektum Oy:n säännönmukaisesta tavasta jättää asianmukaisesti vastaamatta sille esitettyihin rekisteröidyn oikeutta koskeviin pyyntöihin.

4. Alektum Oy ei siis ole noudattanut seuraavia yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaisia säännöksiä, joiden rikkomisesta määrätään hallinnollinen seuraamusmaksu: 1) 15 artiklan 1 kohta; 2) 15 artiklan 3 kohta; ja 3) 12 artiklan 3 kohta.

5. Alektum Group AB -konsernin liikevaihto vuonna 2021 on ollut 1 566 852 000 kruunua (~143 649 048,82 euroa). Nyt käsillä olevassa asiassa Alektum Oy:lle määrättävä hallinnollinen seuraamusmaksu saa olla enintään 20 000 000 euroa. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio (myöhemmin ”seuraamuskollegio”) määrää edellä mainitun apulaistietosuojavaltuutetun määräämän korjaavan toimivaltuuden ja toimenpiteiden lisäksi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla rekisterinpitäjän maksamaan valtiolle määrältään 750 000 (seitsemänsataaviisikymmentätuhatta) euron suuruisen hallinnollisen seuraamusmaksun. Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo 750 000 euron suuruisen hallinnollisen seuraamusmaksun olevan tehokas, oikeasuhtainen ja varoittava.

Perustelut hallinnollisen seuraamusmaksun määräämiselle

6. Yleisen tietosuoja-asetuksen 83 artiklassa on säädetty hallinnollisten seuraamusmaksujen määräämisen yleisistä edellytyksistä. Hallinnollisten seuraamusmaksujen määräämisen on ensinnäkin oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Toisekseen hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa säädettyjen korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Nyt käsillä olevassa pääasiassa apulaistietosuojavaltuutettu on antanut Alektum Oy:lle huomautuksen. Hallinnollinen seuraamusmaksu määrätään näin ollen 58 artiklan 2 kohdan b alakohdan lisäksi.

7. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa luetellut seikat.

8. Alektum Oy ei edellä mainitusti ole noudattanut seuraavia yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaisia säännöksiä, joiden rikkomisesta määrätään hallinnollinen seuraamusmaksu: 1) 15 artiklan 1 kohta; 2) 15 artiklan 3 kohta; ja 3) 12 artiklan 3 kohta.

9. Yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan mukaan, jos rekisterinpitäjä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä seuraamusmaksua.

10. Rikkomusten vakavuutta on arvioitava yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa lueteltujen seikkojen perusteella. Arvioinnissa on valittava menettely tai laiminlyönti, jota voidaan pitää kulloinkin arvioitavana olevan asian yksityiskohdat huomioon ottaen moitittavimpana.

11. Nyt käsillä olevassa asiassa yleisen tietosuoja-asetuksen 12 ja 15 artiklan rikkomukset kuuluvat vakavimpina rikkomuksina yleisen tietosuoja-asetuksen 83 artiklan 5 alakohdan mukaiseen korkeampaan seuraamusmaksuluokkaan. Näin ollen sovellettava hallinnollisen seuraamusmaksun enimmäismäärä määräytyy yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaisesti eikä saa ylittää sitä yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan perusteella.

12. Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan b alakohdan (12–22 artikla) mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Kuulemiseen annetun vastauksen mukaan Alektum Oy kuuluu konserniin, jonka emoyhtiö on Alektum Group AB. Seuraamusmaksun määräämisessä otetaan huomioon tällaisen taloudellisen yhteenliittymän (undertaking) taloudellinen arvo, jota määritellään yhteenliittymän vuotuisen maailmanlaajuisen liikevaihdon mukaan.

13. Asiaa arvioitaessa on otettu huomioon myös 29 artiklan mukaisen tietosuojatyöryhmän ohjeet hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä.

Rikkomisten vakavuutta koskeva arviointi

14. Rikkomisten vakavuutta koskevassa arvioinnissa huomioon on otettu yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a, b ja g alakohdat.

Rikkomisen luonne, vakavuus ja kesto sekä tietojenkäsittelyn luonne, laajuus tai tarkoitus

15. Nyt käsillä olevassa asiassa rikkomukset ovat apulaistietosuojavaltuutetun päätöksestä ilmenevällä tavalla kohdistuneet rekisteröidyn yleisen tietosuoja-asetuksen 12 ja 15 artiklan mukaisten oikeuksien toteuttamatta jättämisiin ja laiminlyönteihin. Rikkomuksia ja puutteita on todettu useampia.

16. Rekisteröityjen oikeuksien vahvistaminen on ollut yksi yleisen tietosuoja-asetuksen päätavoitteista. Seuraamuskollegio korostaa, että asiassa on kysymys muun muassa Euroopan perusoikeuskirjassa suojatun oikeuden (oikeus saada tutustua tietoihin) rikkomisesta.

17. Perinnässä on kysymys rahamääräisistä maksuvaatimuksista, jotka perintäkulut mukaan lukien voidaan viime kädessä panna täytäntöön viranomaisen pakkokeinoin. Kun perintätoiminta perustuu pitkälti hyvinkin automatisoituun henkilötietojen käsittelyyn, voidaan rekisteröidyn eli velallisen henkilötietojen suojaa koskevia oikeuksia tällaisessa käsittelyssä pitää olennaisena keinona perusteltujen oikeusturvaodotusten kannalta.

18. Nyt käsillä olevassa asiassa ei ole ainoastaan ollut kysymys oikeudesta saada tutustua tietoihin taikka siitä, käsitteleekö rekisterinpitäjä ylipäätään pyynnön esittäneen henkilön henkilötietoja, vaan myös mahdollisten oikeudellisten vaatimusten uhasta ja niihin varautumisesta. Tällainen käsittelyn luonne ja tarkoitus on otettava huomioon rikkomuksen vakavuutta korottavana tekijänä.

19. Nyt käsillä oleva asia ilmentää kokonaisuutena arvioiden laajempaa kuin yksittäistapauksia koskevaa yleisen tietosuoja-asetuksen rikkomista. Ensinnäkin tietosuojavaltuutetun toimistoon on tehty useampiakin kanteluita Alektum Oy:n suorittamasta henkilötietojen käsittelystä ja siitä, että Alektum Oy ei ole vastannut rekisteröityjen oikeuksia koskeviin pyyntöihin. Esimerkiksi asian 7039/152/2018 vireillesaattaja on kertonut, että Alektum Oy ei ollut lainkaan vastannut hänen tekemäänsä rekisteröidyn oikeutta koskevaan pyyntöön (saatettu vireille 10.10.2018). Tämän asian selvittämistä ei kuitenkaan vireillesaattajan passiivisuudesta johtuen enemmälti jatkettu.

20. Toiseksi Alektum Oy:ltä on kuulemisessa pyydetty tietoa siitä, että 1) kuinka moni rekisteröity oli ajalla 25.5.2018–10.2.2022 tehnyt rekisterinpitäjälle yleisen tietosuoja-asetuksen 15 artiklan mukaisen pyynnön saada tutustua tietoihin sekä siitä, että 2) kuinka moneen näistä pyynnöistä oli vastattu. Alektum Oy on kuulemiseen antamassaan vastauksessa esittänyt, että sen ei ole mahdollista näihin kysymyksiin vastata. Kuulemiseen annetun vastauksen mukaan kaikki perintätoimiin liittyvät henkilötiedot on sittemmin poistettu, eikä yhtiöllä ole hallussaan mitään tehtyihin pyyntöihin liittyvää dokumentaatiota.

21. Vaikka asiassa 6707/154/2018 hakija oli nimenomaisesti useampaan kertaan korostanut pyytäneensä juuri omia tietojaan (eli käytännössä jäljennöstä tuolloin rekisterinpitäjän hallussa olleista henkilötiedoistaan), ei hakijalle ollut annettu pääsyä näihin tietoihin. Seuraamuskollegio katsoo, että huolellisesti toimiva rekisterinpitäjä olisi tällaisessa tilanteessa paremmin tutustunut yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdassa säädettyyn.

22. Yleisen tietosuoja-asetuksen johdanto-osan 51 perustelukappaleen mukaan henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Seuraamuskollegio ottaa päätöksessään huomioon myös perustuslakivaliokunnan lausuntokäytännön. Perustuslakivaliokunta on katsonut, että joihinkin tietoihin voi sisältyä arkaluonteisiin tietoihin rinnastuvia, salassa pidettäviä tietoja, vaikka kyse ei olisi yleisen tietosuoja-asetuksen 9 artiklassa tarkoitetuista erityisiin henkilötietoryhmiin kuuluvista tiedoista. Esimerkiksi tiedot henkilön toiminnasta yksityiselämässä ja taloudellisesta asemasta voivat olla tällaisia tietoja. Perustuslakivaliokunta on todennut, että tällaisten tietojen käsittelyyn saattaa liittyä erityisiä riskejä. Seuraamuskollegio kiinnittää päätöksessään huomiota perintätoiminnassa käsiteltyihin tietoihin liittyviin erityisiin riskeihin ja toteaa, että henkilötietojen luonteelle on tässä yhteydessä annettava painoarvoa.

23. Yleisen tietosuoja-asetuksen 15 artiklassa säädetyn oikeuden tarkoituksena on muun muassa mahdollistaa rekisteröidyn muiden oikeuksien käyttäminen ja se, että rekisteröity voi myös itse valvoa omien henkilötietojensa käsittelyn lainmukaisuutta ja saattaa asia tarvittaessa tietosuojaviranomaisen käsiteltäväksi. Tästä näkökulmasta nyt käsillä olevassa asiassa merkitystä on sillä, että Alektum Oy:n toiminnassa oli ilmennyt vakavia puutteita ja yhtiön oli todettu osoittaneen ilmeistä piittaamattomuutta lakia, hyvää perintätapaa ja valvovan viranomaisen päätöksiä kohtaan. Näin ollen oikeus saada tutustua Alektum Oy:n hallussa olleisiin henkilötietoihin olisi saattanut liittyä esimerkiksi sen selvittämiseen, oliko henkilötietojen käsittelylle ylipäätään ollut olemassa lainmukaista käsittelyperustetta.

24. Todettakoon, että edellä esitetyin perustein rikkomusten luonnetta on asiassa pidettävä hallinnollisen seuraamusmaksun määräämistä puoltavana seikkana.

Rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja vahingon suuruus

25. Kysymys ei ole ollut yksittäisestä tai yksittäisistä tapahtumista. Selvyyden vuoksi on todettava, että kaikki rikkomisten kohteeksi joutuvat rekisteröidyt eivät ole valvontaviranomaiseen yhteydessä. Sitä rekisteröityjen lukumäärää, johon rikkomiset ovat vaikuttaneet ei voida pitää pienenä. Edellä kohdassa 19 todettu tukee osaltaan tässä kohdassa 25 rekisteröityjen lukumäärästä lausuttua.

26. Alektum Oy:ltä on edellä mainitusti pyydetty tietoa siitä, että 1) kuinka moni rekisteröity oli ajalla 25.5.2018–10.2.2022 tehnyt rekisterinpitäjälle yleisen tietosuoja-asetuksen 15 artiklan mukaisen pyynnön saada tutustua tietoihin sekä siitä, että 2) kuinka moneen näistä pyynnöistä oli vastattu. Alektum Oy ei kertomansa mukaan ole voinut mainittuihin kysymyksiin vastata. Seuraamuskollegiolla ei näin ollen ole tarkkaa lukumäärää arviointinsa perusteeksi. Todettakoon kuitenkin, että esimerkiksi Kilpailu- ja kuluttajavirastosta on arvioitu, että jo pelkästään 10 000–12 000 suomalaista olisi saanut yhtiöltä velkomushaasteen käräjäoikeuteen. Näin ollen seuraamuskollegio katsoo, että Alektum Oy on rekisterinpitäjänä käsitellyt tuhansien Suomessa oleskelevien henkilötietoja. Asiaa arvioitaessa ei ole voitu poissulkea sitä, etteikö rekisteröityjen henkilötietojen suojaa koskevia oikeuksia olisi voinut jäädä laajemminkin toteuttamatta. Kysymys on näin ollen enemmänkin lainvastaisesta toimintatavasta kuin vain yksittäisistä, inhimillistä virhettä ilmentävistä, tapauksista.

27. Rekisteröidyille aiheutuneita vahinkoja voivat olla aineelliset ja/tai aineettomat vahingot. Tietosuojavaltuutetun toimistolle kantelun tehneet rekisteröidyt eivät ole esittäneet kärsineensä taloudellista vahinkoa rikkomusten johdosta.

28. Aineettomana vahinkona voidaan pitää esimerkiksi sitä haittaa tai vaivaa, joka asian selvittämisestä on seurannut. Aineettomana vahinkona voidaan pitää myös sitä psyykkistä taakkaa, joka on aiheutunut perintätoimenpiteisiin liittyvästä epätietoisuudesta, mahdollisesta perintätoimien epäasianmukaisuudesta sekä mahdollisesti myös oikeudettoman perinnän jatkamisesta. Yleisen elämänkokemuksen perusteella voidaan todeta, että perusteettomat, epäilyksenalaiset ja / tai ylimitoitetut vaateet ovat omiaan aiheuttamaan edellä mainittuja aineettomia vahinkoja.

Rikkomisen tahallisuus tai tuottamuksellisuus

29. Aiemmin mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista, kun taas tahattomuudella tarkoitetaan sitä, että rikkominen ei ole ollut tahallista, vaikka rekisterinpitäjä olisikin rikkonut laissa säädettyjä huolellisuusvelvoitteita. Tahallisia rikkomisia, jotka ilmentävät piittaamattomuutta lainsäädännöstä, pidetään yleisesti vakavampina kuin tahattomia rikkomisia.

30. Niiltä osin kuin rikkomukset ovat ajoittuneet aikaan ennen kuin perintätoimilupa peruttiin, kuten asiassa 6707/154/2018, jossa hakija oli nimenomaisesti useampaan kertaan korostanut pyytäneensä juuri omia tietojaan, ei hakijan ollut annettu tutustua näihin tietoihin. Huolimatta siitä, että yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdan sanamuodon perusteella on selvää, että Alektum Oy:n olisi tullut antaa hakijalle 15 artiklan 1 kohdassa erikseen luetellut tiedot sekä 15 artiklan 3 kohdassa tarkoitettu jäljennös, ei Alektum Oy ollut näin toiminut. Tästä huolimatta Alektum Oy on esittänyt näkemyksenään, että se on menetellyt asiassa asianmukaisesti ja voimassa olevan tietosuojalainsäädännön edellyttämällä tavalla. Tältä osin rekisterinpitäjän toiminta ilmentää sitä, että rekisterinpitäjän toiminnassa ei ole riittävästi perehdytty voimassa olevaan lainsäädäntöön ja siitä johtuviin vaatimuksiin. Tämä puolestaan ilmentää piittaamattomuutta lainsäädännöstä.

31. Alektum Oy:n perintätoimilupa on peruttu 31.12.2018, minkä jälkeen Annomen Oy oli 5.2.2019 ottanut haltuunsa Alektum Oy:n perintätoiminnan. Alektum Oy ei ole vastannut asian 7685/152/2020 hakijan pyyntöön vastauksensa mukaan siksi, että se ei enää käsityksensä mukaan ollut asiassa rekisterinpitäjä. Kuulemiseen annetusta vastauksesta saa perustellusti sen käsityksen, että Alektum Oy on katsonut, että sillä ei ole ollut velvollisuutta vastata helmikuun 2019 jälkeen rekisteröidyn oikeutta koskeviin pyyntöihin, mikä ilmentää piittaamattomuutta laissa säädetystä.

32. Selvyyden vuoksi on todettava, että rekisterinpitäjä ei rekisterinpitäjyyttä luovuttaessaan voi luovuttaa vastaanottajalle laajempaa oikeutta käsitellä henkilötietoja kuin sillä itsellään on ollut.

33. Viitattakoon tässä yhteydessä edelleen edellä mainittuihin 29 artiklan mukaisen tietosuojatyöryhmän ohjeisiin hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä. Näissä ohjeissa on todettu, että inhimillinen erehdys tai esimerkiksi se, että teknisiä päivityksiä ei ole tehty oikea-aikaisesti voivat viitata tuottamuksellisuuteen. Todettakoon lisäksi Suomessa vakiintuneesti katsotun, että tietämättömyys lain sisällöstä ei ylipäätään merkitse sellaista erehtymistä, joka poistaisi mahdollisen tahallisuuden tai tuottamuksellisuuden. Rekisterinpitäjän vastuulla on huolehtia siitä, että sen toiminnassa noudatetaan laissa säädettyä. Asiassa annetun vastauksen perusteella voidaan katsoa, että rekisterinpitäjä ei ole riittävällä tavalla perehtynyt voimassa olevaan lainsäädäntöön.

34. Selvyyden vuoksi on kuitenkin todettava, että hallinnollisen seuraamusmaksun määräämisen edellytyksenä ei ylipäätään ole se, että todettu rikkomus olisi tahallinen tai tuottamuksellinen. Rikkomisen tahallisuus tai tuottamuksellisuus on vain yksi niistä seikoista, jotka yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädetysti on otettava asianmukaisesti huomioon hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä.

35. Asioissa 6633/182/2018 ja 7685/152/2020 todettujen yleisen tietosuoja-asetuksen 15 artiklan 1 ja 3 kohdan sekä 12 artiklan 3 kohdan rikkomisten osalta korostettakoon, että asiassa ei ole kysymys siitä, että hakijoille toimitetut tiedot olisivat olleet riittämättömiä tai puutteellisia, vaan siitä, että toimitettavaksi säädettyjä tietoja ei ollut hakijoille lainkaan toimitettu. Edelleen on syytä korostaa sitä, että näissä asioissa Alektum Oy ei ylipäätään ollut millään tavalla reagoinut hakijoiden pyyntöihin. Tältä osin Alektum Oy:n toiminta ilmentää, että yhtiön toiminnassa ei ole riittävästi perehdytty voimassa olevaan lainsäädäntöön ja siitä johtuviin vaatimuksiin, mikä puolestaan ilmentää piittaamattomuutta laissa säädetystä. Seuraamuskollegio toteaa asiassa annetun vastauksen ja muiden asian käsittelyssä ilmenneiden seikkojen perusteella, että kyse ei ole inhimillisestä erehdyksestä johtuvasta yleisen tietosuoja-asetuksen rikkomisesta. Tässä yhteydessä on niin ikään korostettava, että perintätoiminnassa velallisten henkilötietojen käsittelyn voidaan katsoa kuuluvan perintätoimintaa harjoittavan tahon ydinliiketoimintaan, mikä puolestaan korostaa rekisterinpitäjän velvollisuutta toiminnassaan ottaa huomioon henkilötietojen suojaa koskevat säännökset.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

36. Kuten edellä on todettu, asiassa todetut rikkomiset ovat koskeneet rekisteröityjen taloudellista tilannetta kuvaavia tietoja. Seuraamuskollegio on jo edellä kohdassa ”Luonne, vakavuus ja kesto sekä tietojenkäsittelyn luonne, laajuus tai tarkoitus” avioinut tällaisiin tietoihin kohdistuvien rikkomusten merkitystä seuraamusharkinnassa.

Raskauttavien ja lieventävien tekijöiden arviointi
Rekisterinpitäjän toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi

37. Edellä mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että rekisterinpitäjän olisi tehtävä kaikki voitavansa lieventääkseen rikkomisesta asianomaisille aiheutuvia seurauksia. Valvontaviranomainen voi ohjeen mukaan ottaa seuraamusmaksua laskiessaan huomioon tällaisen rekisterinpitäjän vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.

38. Alektum Oy ei ole ryhtynyt asiassa minkäänlaisiin toimenpiteisiin rikkomusten korjaamiseksi tai estämiseksi tulevaisuudessa. Seuraamuskollegio ottaa tämän huomioon arviossaan raskauttavana seikkana.

Vastuun aste, ottaen huomioon rekisterinpitäjän 25 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet

39. Yleisen tietosuoja-asetuksen 25 artiklassa säädetysti rekisterinpitäjän on otettava toiminnassaan huomioon ”uusin tekniikka ja toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille”.

40. Kuulemiseen annetussa vastauksessa on esitetty, että Alektum Oy:llä on ajalla 25.5.2018–5.2.2019 ollut käytössään vakiintunut menettelytapa rekisteröityjen oikeuksia koskevien pyyntöjen käsittelemiseksi. Näiden pyyntöjen käsittelystä on vastannut yhtiön lakimies. Tämän menettelytavan mukaisesti kaikkiin pyyntöihin on tullut vastata ja asianmukaiset toimenpiteet suorittaa kuukauden kuluessa yleisen tietosuoja-asetuksen 12 artiklassa säädetyn mukaisesti.

41. Apulaistietosuojavaltuutetun päätöksessä todetusti edellä mainittu ei kuitenkaan osoita, että rekisteröidyn oikeuksia koskeviin pyyntöihin olisi aina asianmukaisesti vastattu. Asiassa ei ole ilmennyt mitään sellaista, mistä johtuen apulaistietosuojavaltuutetulla olisi syytä epäillä asian 6633/182/2018 hakijan kertomaa.

42. Apulaistietosuojavaltuutetun päätöksestä ilmenevästi rekisterinpitäjä ei puolestaan ole edes väittänyt vastanneensa asian 7685/152/2020 hakijan pyyntöön. Vaikka rekisterinpitäjä ei olisi enää asian 7685/152/2020 hakijan pyynnön esittämisajankohtana käsitellyt perintätoimintaan liittyviä henkilötietoja, ei tämä ole vapauttanut rekisterinpitäjää noudattamasta yleisen tietosuoja-asetuksen 15 artiklan 1 kohdassa säädettyä. Rekisterinpitäjän olisi tullut huolehtia siitä, että rekisterinpitäjän vaihtuessa rekisteröidyt saavat tiedon etukäteen tällaisesta muutoksesta ja ohjata henkilötietojen suojaa koskevien oikeuksien käyttäjät ottamaan yhteyttä rekisterinpitäjään, jolle henkilötietojen käsittelyvastuu ja -oikeudet on luovutettu. Kuulemiseen annetun vastauksen perusteella voidaan katsoa, että Alektum Oy on ollut siinä käsityksessä, että sen ei ole tullut enää helmikuun 2019 jälkeen vastata rekisteröidyn oikeutta koskeviin pyyntöihin. Seuraamuskollegio ottaa tämän huomioon arviossaan raskauttavana seikkana.

Aiemmat vastaavat rikkomiset ja aikaisemmin määrätyt samaa asiaa koskevat toimenpiteet

43. Edelleen edellä mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että valvontaviranomaisen olisi arvioitava rikkomiseen syyllistyneen yksikön historiatietoja. Valvontaviranomaisen olisi otettava huomioon, että tältä osin arviointi voi olla hyvin laajaa, sillä minkä tahansa tyyppinen rikkominen, vaikka se poikkeaisi luonteeltaan valvontaviranomaisen nyt tutkimasta rikkomisesta, voi olla merkityksellinen arvioinnin kannalta, sillä se saattaa antaa yleisellä tasolla viitteitä riittämättömistä tiedoista tai tietosuojasäännösten noudattamatta jättämisestä.

44. Tietosuojavaltuutetun toimistossa ei ole tiedossa Alektum Oy:n aiempia tietosuojasääntelyn rikkomisia. Alektum Oy:lle ei liioin ainakaan Suomessa ole aiemmin määrätty nyt käsillä olevista rikkomuksista yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä. Seuraamuskollegio ei pidä edellä mainittua seuraamusmaksuarviossa lieventävänä tai raskauttavana tekijänä.

Yhteistyön aste valvontaviranomaisen kanssa, ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon

45. Niin ikään edelleen edellä mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että yhteistyön aste voidaan ottaa ”asianmukaisesti huomioon”, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Arvioitaessa yhteistyötä valvontaviranomaisen kanssa merkitystä voitaisiin antaa sille, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin asian tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä. Edelleen näissä ohjeissa todetusti ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.

46. Yleisen tietosuoja-asetuksen 31 artiklassa säädetysti rekisterinpitäjän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Rekisterinpitäjällä on niin ikään yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan ja tietosuojalain 18 §:n nojalla velvollisuus toimittaa pyydetyt tiedot valvontaviranomaiselle.

47. Kuulemiseen annetussa vastauksessa on edellä mainitusti esitetty, että selvityspyynnöt olisi lähetetty osoitteisiin, jotka kuuluvat Annomen Oy:lle, eli Alektum Oy:stä erilliselle toimijalle. Sen jälkeen, kun Annomen Oy oli 5.2.2019 ottanut haltuunsa Alektum Oy:n perintätoiminnan, ei Alektum Oy:llä annetun vastauksen mukaan ole ollut mitään yhteyttä mainittuun perintätoimintaan tai siihen liittyviin henkilötietoihin. Edelleen annetussa vastauksessa on esitetty, että vasta elokuussa 2022 Alektum Oy:lle olisi varattu mahdollisuus tutustua hakijoiden asioissaan esittämiin pyyntöihin. Alektum Oy on esittänyt välittömästi tämän jälkeen ryhtyneensä selvittämään asiaa. Jäljempänä tarkemmin ilmenevistä perusteluista käy ilmi, että väite siitä, että selvityspyynnöt olisi toimitettu Alektum Oy:lle vasta elokuussa 2022 ei pidä paikkaansa. Seuraamuskollegio katsoo, että Alektum Oy on omalla toiminnallaan merkittävästi vaikeuttanut ja hidastanut asian selvittämistä.

48. Alektum Oy:n rikkomukset ovat tulleet valvontaviranomaisen tietoon kanteluiden kautta. Alektum Oy ei ole vastannut sille lähetettyihin selvityspyyntöihin. Kuten apulaistietosuojavaltuutetun päätöksessä on todettu, selvityspyynnöt on lähetetty lähettämisajankohtana Alektum Oy:n omilla verkkosivuilla [alektum.fi] ilmoitettuihin sähköpostiosoitteisiin. Koska lähetettyihin selvityspyyntöihin ei ollut vastattu, lähetettiin selvityspyynnöt Alektum Oy:lle uudestaan käyttäen samoja sähköpostiosoitteita kuin aiemmin. Tämän jälkeen tietosuojavaltuutetun toimisto on 21.4.2020 vastaanottanut vastausviestin, jossa on esitetty, että aiemmin lähetettyjä sähköpostiviestejä ei ollut vastaanotettu. Samassa yhteydessä tietosuojavaltuutetun toimistolta pyydettiin jäljennöksiä aiemmin lähetetyistä selvityspyynnöistä. Selvityspyynnöt lähetettiinkin välittömästi tämän jälkeen niitä pyytäneelle henkilölle. Selvityspyynnöistä kävi selvästi ilmi, että selvityspyynnöt oli osoitettu Alektum Oy:lle. Tästä huolimatta edellä mainittu henkilö ei enää palannut asiaan esimerkiksi mainitakseen, että selvityspyynnöt olisi lähetetty väärälle vastaanottajalle. Selvyyden vuoksi on korostettava, että selvityspyyntöihin ei koskaan vastattu.

49. Tietosuojavaltuutettu on sittemmin 29.7.2020 tehnyt asioissa 6633/182/18 ja 6707/154/18 osapäätöksen, joka on sisältänyt Alektum Oy:lle annetun määräyksen antaa valvontaviranomaiselle sen tehtävien suorittamiseksi tarvittavat tiedot 12.8.2020 mennessä. Määräysten tehosteeksi on asetettu 4 000 euron suuruinen, uhkasakkolain (1113/1990) mukainen uhkasakko. Osapäätökset oli yritetty toimittaa Alektum Oy:lle saantitodistuksin. Alektum Oy ei kuitenkaan koskaan noutanut päätöksiä.

50. Edellä mainitusta huolimatta konsernin edustaja Ruotsista on 28.9.2020 yllättäen sähköpostitse lähestynyt tietosuojavaltuutetun toimistoa. Tässä viestissään tämä konsernin edustaja on pahoitellut, että heillä on ollut yhtiön sisäisiä ongelmia postin uudelleen lähettämisessä. Hän on pyytänyt anteeksi, että yhtiö ei edellä mainituista yhtiön sisäisistä postin jakeluun liittyvistä ongelmista johtuen ole voinut antaa selvityksiä asetetuissa määräajoissa. Samassa yhteydessä hän on pyytänyt asiakirjoista ruotsinnoksia ja luvannut, että Alektum Oy antaa selvityksensä heti käännökset saatuaan.

51. Tässä yhteydessä on korostettava, että tämän konsernin edustajan sähköpostivastauksen liitteenä on ollut yhtiölle aiemmin sähköpostitse apulaistietosuojavaltuutetun päätöksestä ilmeneviin sähköpostiosoitteisiin (gdpr@annomen.fi ja info@annomen.fi) ja sittemmin vielä osoitteeseen etunimi.sukunimi@annomen.fi lähetetyt selvityspyynnöt.

52. Edelleen on korostettava, että tietosuojavaltuutetun toimistosta ei tätä ennen ollut oltu yhteydessä Alektum Oy:n Ruotsissa sijaitsevaan emoyhtiöön. Tästä ja edellä mainituista Alektum Oy:n väitteistä huolimatta tämä Alektum Oy:n ruotsalaisen emoyhtiön lakimiehenä työskentelevä henkilö (eli edellä mainittu konsernin edustaja) oli saanut aiemmin lähetetyt selvityspyynnöt haltuunsa.

53. Tämä osoittaa ensinnäkin sen, että Alektum Oy:llä oli ollut tieto lähetetyistä selvityspyynnöistä jo ennen elokuuta 2022. Tämä osoittaa myös joko sen, että ensimmäisenä mainittu henkilö tai muu aiemmin Alektum Oy:n palveluksessa ollut on välittänyt selvityspyynnöt Annomen Oy:ltä Alektum Oy:lle taikka vaihtoehtoisesti sen, että Alektum Oy:n ja Annomen Oy:n välillä on Alektum Oy:n väitteistä huolimatta ollut muu yhteys. Se, että tässä mainitussa sähköpostiviestissä on pahoiteltu sitä, että pyydettyjä selvityksiä ei ollut annettu ajoissa, osoittaa puolestaan sen, että Alektum Oy:ssä oli ymmärretty selvityspyyntöjen sisältö jo tässä vaiheessa.

54. Viitattakoon tässä yhteydessä kielilain (423/2003) 12 §:ssä säädettyyn. Hallintoasian käsittelykielenä on kaksikielisessä viranomaisessa asianosaisen kieli. Jos asianosaiset ovat erikielisiä tai jos kaikki asianosaiset eivät asian vireille tullessa ole viranomaisen tiedossa, viranomainen päättää käytettävästä kielestä asianosaisten oikeutta ja etua silmällä pitäen. Jos kielivalintaa ei voida tehdä tällä perusteella, käytetään viranomaisen virka-alueen väestön enemmistön kieltä. Nyt käsillä olevan asian käsittelykieli on suomi.

55. Välittömästi konsernin edustajan sähköpostivastauksen vastaanottamisen jälkeen tietosuojavaltuutetun toimistossa on ryhdytty toimiin asiakirjojen kääntämiseksi. Tämän jälkeen käännetyt osapäätökset on 15.1.2021 lähetetty tälle konsernin edustajalle salattuna sähköpostiviestinä . Todettakoon, että osapäätöksissä on kerrottu asioiden selvittämisessä havaituista haasteista ja kuvattu aiemmin lähetettyjen selvityspyyntöjen sisältö.

56. Tässä yhteydessä Alektum Oy:lle on jälleen asetettu uusi määräaika osapäätöksissäkin esitettyihin kysymyksiin vastaamiseksi. Alektum Oy ei tämän konsernin edustajansa lupauksesta huolimatta vastannut yhtiölle esitettyihin kysymyksiin. Selvyyden vuoksi todettakoon, että selvityspyyntöjen kysymykset on esitetty osapäätöksissä, ja niihin on tässä yhteydessä pyydetty vastauksia.

57. Koska vastauksia ei edellä kuvatusta lupauksesta huolimatta saatu, on tälle konsernin edustajalle 5.2.2021 lähetetty jälleen sähköpostia ja todettu se, että tietosuojavaltuutetun toimisto ei edelleenkään ollut vastaanottanut luvattuja selvityksiä. Tämä konsernin edustaja vastasi viestiin 9.2.2021, ja ilmoitti, että hän ei ollut saanut 15.1.2021 lähetettyä sähköpostiviestiä. Hänen mukaansa 15.1.2021 lähetetty sähköpostiviesti oli lähetetty väärään sähköpostiosoitteeseen. Tässä yhteydessä hän uudisti aiemman lupauksensa välittömästä vastaamisesta. Tämän jälkeen käännökset oli jälleen lähetetty hänelle salattuna viestinä.

58. Tämän jälkeen hänen 9.2.2021 lähettämään sähköpostiviestiin on 10.2.2021 vastattu ja tiedusteltu, oliko salattuna lähetetty sähköpostiviesti nyt mennyt perille. Viestiin ei vastattu. Häneltä on jälleen 16.2.2021 tiedusteltu samaa asiaa. Viesteihin ei enää vastattu. Selvyyden vuoksi on korostettava, että tietosuojavaltuutetun toimisto ei ole vastaanottanut ainoatakaan virheilmoitusta siitä, että joku tai jotkut nyt käsillä olevaan asiaan liittyen lähetetyistä sähköpostiviesteistä ei olisi tavoittanut vastaanottajaansa.

59. Edellä kuvattu tapahtumainkulku huomioon ottaen on selvää, että Alektum Oy:llä on ollut tieto siltä pyydetyistä selvityksistä ruotsin kielellä viimeistään 15.1.2021. Suomenkielisinä selvityspyynnöt ovat olleet Alektum Oy:n hallussa viimeistään 28.9.2020.

60. Tässä yhteydessä on erikseen todettava, että edellä mainittuja osapäätöksiä ei ollut saatu annettua Alektum Oy:lle tiedoksi, sillä Alektum Oy jätti päätökset noutamatta. Alektum Oy:n voitaneen kuitenkin olettaa saaneen tiedon siitä, että yhtiölle osoitettuja saantitodistuksin toimitettavia kirjeitä olisi ollut yhtiön noudettavissa. Sen sijaan, että Alektum Oy:ssä olisi tässä tilanteessa huolehdittu siitä, että yhtiölle osoitetut kirjeet olisivat tulleet asianmukaisesti noudetuiksi, on konsernin emoyhtiöstä yllättäen lähestytty tietosuojavaltuutetun toimistoa ja pyydetty saada asiakirjat ruotsiksi käännettyinä.

61. Tämänkin jälkeen selvityspyyntöjä on vielä yritetty toimittaa Alektum Oy:lle haastemiestiedoksiantoina. Selvityspyyntöjä ei ole saatu annettua Alektum Oy:lle tiedoksi, vaan asiakirjat ovat 17.8.2021 palautuneet tietosuojavaltuutetun toimistolle estetodistuksen muodossa. Haastemiehen yrittäessä antaa asiakirjoja Alektum Oy:lle tiedoksi, oli Alektum Oy ilmoittanut, että Suomessa ei ole ketään sellaista henkilöä, joka voisi ottaa asiakirjan vastaan. Samassa yhteydessä ja kuultuaan asian laadun Alektum Oy:n edustaja oli kuitenkin ilmoittanut, että he voisivat mahdollisesti hankkia asiassa valtakirjan asiakirjan vastaanottamiseksi. Näin ei kuitenkaan tapahtunut. Kiinnitettäköön tässä yhteydessä huomiota siihen, että Alektum Oy on kuitenkin samanaikaisesti aktiivisesti toiminut Suomessa ja nostanut velkomuskanteita käräjäoikeudessa.

62. Selvää on, että valvontaviranomainen on pyrkinyt monin eri keinoin kuulemaan Alektum Oy:tä ja varaamaan sille mahdollisuuden antaa asiassa selvitystä. Seuraamuskollegio katsoo, että Alektum Oy:n edellä kuvattu toiminta ilmentää asiassa selkeää yhteistyöhaluttomuutta valvontaviranomaisen kanssa.

63. Lopulta Alektum Oy:lle on 17.8.2022 lähetetty hallinnollisen seuraamusmaksun uhan sisältävä kuulemispyyntö. Kuulemispyynnössä on erikseen todettu, että asia tullaan vastaamiselle asetetun määräajan jälkeen ratkaisemaan siitäkin huolimatta, että Alektum Oy ei antaisi asiassa vastaustaan. Tapahtumainkulun perusteella seuraamuskollegiolla on aihetta epäillä, että edellä kuvatun toiminnan tarkoituksena lienee ollut päätösten asianmukaisen vastaanottamisen välttäminen.

64. Seuraamuskollegio korostaa, että Alektum Oy on vasta hallinnollisen seuraamusmaksun uhan sisältävän kuulemispyynnön saatuaan vastannut selvityspyynnöissäkin esitettyihin kysymyksiin. Seuraamuskollegio pitää Alektum Oy:n toimintaa tältä osin erittäin moitittavana.

65. Korostettakoon edelleen, että asiassa ei ole kysymys siitä, että selvityspyyntöihin annetut vastaukset olisivat esimerkiksi olleet sisällöltään puutteellisia, vaan siitä, että Alektum Oy on jättänyt kokonaan niihin vastaamatta. Seuraamuskollegio pitää Alektum Oy:n toimintaa tältäkin osin erittäin moitittavana. Seuraamuskollegio on kohtuullista seuraamusta punnitessaan ottanut huomioon sen, että Alektum Oy on suorastaan vältellyt valvontaviranomaista. Seuraamuskollegio pitää edellä mainittua seikkaa seuraamusmaksuarviossa raskauttavana tekijänä.

66. Erikseen on todettava, että asiassa 7685/152/2020 selvityspyyntöä ei ollut saatu toimitettua Alektum Oy:lle ennen kuulemispyyntöä. Selvityspyyntöä oli yritetty toimittaa Alektum Oy:lle haastemiehen välityksellä, ja edellä kuvatusti Alektum Oy oli kieltäytynyt asiakirjaa vastaanottamasta. Koska Alektum Oy ei ollut tosiasiallisesti vastaanottanut asian 7685/152/2020 selvityspyyntöä ennen elokuuta 2022, ei seuraamuskollegio katso Alektum Oy:n laiminlyöneen velvollisuuttaan vastata asian 7685/152/2020 selvityspyyntöön asetetussa määräajassa.

Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät

67. Edellä mainituissa 29 artiklan mukaisen tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät voivat esimerkiksi olla rikkomisella saatu hyöty tai taloudellinen etu. Alektum Oy ei kuulemiseen antamansa vastauksen mukaan ole saanut minkäänlaista suoraa tai epäsuoraa taloudellista etua nyt arvioitavana olevista yleisen tietosuoja-asetuksen rikkomisista. Raskauttavia tai lieventäviä tekijöitä ei tältä osin ole osoitettavissa.

Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun toimiston seuraamuskollegion jäsenet.

Tietosuojavaltuutettu Anu Talus

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa

Apulaistietosuojavaltuutettu Annina Hautala

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Laura Varjokari, puhelin 029 56 66771

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.