TSV 10.07.2023
Sähköisen suoramarkkinoinnin vastustaminen ja rekisteröityjen informointi tietosuojavastaavan yhteystiedoista
suoramarkkinointi - tietosuojavastaava
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 10.07.2023 |
| Diaarinumero: | 9885/157/19 |
Tietosuojavaltuutetun päätös suoramarkkinointia ja rekisteröityjen informointia koskevassa asiassa
Asia
Sähköisen suoramarkkinoinnin vastustaminen, rekisteröityjen informointi tietosuojavastaavan yhteystiedoista
Rekisterinpitäjä
Telealan yritys
Vireillesaattajalta saatu selvitys
Tietosuojavaltuutetun toimistossa on 20.12.2019 saatettu vireille asia, jossa vireillesaattaja on kertonut pyrkineensä kieltämään suoramarkkinoinnin, mutta hänen vastaanottamassaan suoramarkkinointiviestissä ei ole ollut suoraa tapaa tehdä tätä. Vireillesaattaja oli saanut muun muassa palvelun mainoksen, jonka alalaidassa on linkki tekstillä ”Hallinnoi viestintäasetuksiasi [verkkopalvelussa]”. Rekisterinpitäjän verkkosivuilta löytyi vireillesaattajan mukaan kaksi tapaa kieltää suoramarkkinointi: soittaminen maksulliseen puhelinnumeroon tai verkkopalvelun tunnusten luominen.
Vireillesaattaja on lisäksi kertonut, että hänellä oli vaikeuksia löytää tietosuojavastaavan yhteystiedot rekisterinpitäjän verkkosivustolta, eikä tietosuojavastaava ollut vireillesaattajan näkemyksen mukaan osannut kertoa ilmaista ja helppoa tapaa tehdä suoramarkkinointikielto.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjältä on pyydetty selvitystä 22.1.2021 päivätyllä selvityspyynnöllä ja 10.3.2021 päivätyllä lisäselvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 5.2.2021 ja lisäselvityksen 25.3.2021.
Rekisterinpitäjän 5.2.2021 antaman selvityksen mukaan kuluttaja-asiakkaat voivat hallinnoida sähköisiä viestintäasetuksiaan sähköisen palvelukanavan kautta. Asiakas voi lisäksi hallinnoida markkinointikieltojaan eri palveluiden käyttösivuilta. Asiakas voi myös kieltää sähköisen suoramarkkinoinnin olemalla yhteydessä muiden asiakaspalvelukanavien kautta (esimerkiksi puhelimitse, chat-palvelun kautta tai myymälässä).
Rekisterinpitäjältä on 10.3.2021 pyydetty lisäselvitystä vireillesaattajan saamasta markkinointisähköpostiviestistä, jonka alalaidassa on tekstilinkki ”Hallinnoi viestintäasetuksiasi [verkkopalvelussa]”. Rekisterinpitäjän lisäselvityksen mukaan vireillesaattajalla on ollut käytössä tunnukset, joiden avulla hän olisi voinut kirjautua verkkopalveluun. Rekisterinpitäjän mukaan sähköpostiviestin alalaidassa oleva linkki johtaa palvelun kirjautumissivulle, josta kirjautumisen jälkeen olisi avautunut suoraan kohta, josta vireillesaattaja olisi voinut hallita omia viestintäasetuksiaan. Kirjautumissivulla on rekisterinpitäjän mukaan ohjeistus, miten asiakas olisi voinut menetellä, jos hän ei muista omia tunnuksiaan, ja käytännössä kirjautuminen palveluun olisi onnistunut mobiilivarmenteen tai pankkitunnusten avulla, vahvalla sähköisellä tunnistautumisella. Ilman erillistä sähköistä tunnistautumista salasanan olisi pystynyt palauttamaan myös sähköpostiosoitteen avulla. Rekisterinpitäjän mukaan viesteihin sisältyvä linkkiteksti on nyt muutettu muotoon ”Hallinnoi markkinointilupiasi [verkkopalvelussa]”.
Rekisterinpitäjältä on pyydetty selvitystä myös siitä, miten tietosuojavastaavan yhteystiedot ovat rekisteröityjen löydettävissä rekisterinpitäjän verkkosivustolta. Rekisterinpitäjän selvityksen mukaan tietosuojavastaavan yhteystiedot ovat löydettävissä seuraavan polun kautta: Tietosuoja -> Tutustuthan [rekisterinpitäjän] tietosuojaperiaatteisiin -> Tietosuojavastaavan yhteystiedot.
Rekisterinpitäjän mukaan tietosuojavastaavaa voi tarvittaessa tavoitella myös puhelimitse olemalla yhteydessä esimerkiksi rekisterinpitäjän puhelinvaihteeseen ja pyytämään yhdistämään tietosuojavastaavalle.
Sovellettavasta lainsäädännöstä
Henkilötietojen käsittelystä säädetään Euroopan parlamentin ja neuvoston yleisessä tietosuoja-asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus). Tietosuoja-asetusta täsmentää tietosuojalaki (1050/2018).
Sähköisen viestinnän palveluista annetun lain (917/2014) 24 luvussa säädetään sähköisestä suoramarkkinoinnista. Sähköisen viestinnän palveluista annetun lain 305 §:n mukaan tietosuojavaltuutettu valvoo suoramarkkinointia koskevien 200 ja 202–204 §:n säännösten noudattamista.
Oikeudesta vastustaa suoramarkkinointia
Sähköisen viestinnän palveluista annetun lain 200.3 §:n mukaan palvelun tarjoajan tai tuotteen myyjän on annettava asiakkaana olevalle luonnolliselle henkilölle mahdollisuus ilman erillistä maksua ja helposti kieltää yhteystiedon käyttö tiedon keräämisen ja jokaisen sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Palvelun tarjoajan tai tuotteen myyjän on selkeästi tiedotettava kieltomahdollisuudesta.
Yleisen tietosuoja-asetuksen 21 artiklassa säädetään rekisteröidyn vastustamisoikeudesta. Artiklan 2 kohdan mukaan silloin, jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten. Artiklan 3 kohdan mukaan silloin, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen. Artiklan 4 kohdan mukaan viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, artiklan 2 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.
Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.
Tietosuojavastaavan yhteystiedoista informoinnista
Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.
Yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan b-alakohdan sekä 14 artiklan 1 kohdan b-alakohdan mukaan rekisteröidylle on toimitettava tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot.
Velvollisuus informoida rekisteröityä on kytköksissä henkilötietojen käsittelyn läpinäkyvyyden vaatimukseen (yleisen tietosuoja-asetuksen 5(1)(a) artikla), ja informointivelvollisuuden noudattaminen toteuttaa läpinäkyvyyden periaatetta. Henkilötietojen käsittelyn läpinäkyvyyttä edellyttää myös yleisen tietosuoja-asetuksen 25(1) artikla (sisäänrakennettu tietosuoja), jonka mukaan tietosuojaperiaatteet, kuten läpinäkyvyyden periaate, on toteutettava tehokkaasti.
Oikeudellinen kysymys
Tietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.
Tietosuojavaltuutetun tulee ratkaista:
1) onko rekisterinpitäjä antanut sähköisen suoramarkkinointiviestin yhteydessä mahdollisuuden helposti kieltää yhteystiedon käyttö, ja onko rekisterinpitäjän menettely ollut näiltä osin sähköisen viestinnän palveluista annetun lain 200.3 §:n mukainen
2) onko rekisterinpitäjä informoinut verkkosivustollaan rekisteröityjä tietosuojavastaavan yhteystiedoista läpinäkyvällä tavalla (yleisen tietosuoja-asetuksen 5(1)(a) artikla, 12(1) artikla ja 25(1) artikla)
Tietosuojavaltuutetun päätös ja perustelut
Päätös
Rekisterinpitäjän suoramarkkinointiviesteissä antama sähköisen suoramarkkinoinnin kieltomahdollisuus on edellyttänyt rekisteröidyltä kirjautumista verkkopalveluun, eikä rekisterinpitäjä ole antanut sähköisen suoramarkkinointiviestin yhteydessä mahdollisuutta kieltää helposti yhteystiedon käyttö. Rekisterinpitäjän menettely ei ole ollut näiltä osin sähköisen viestinnän palveluista annetun lain 200.3 §:n mukainen.
Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet tietosuojasääntelyn mukaisiksi. Rekisterinpitäjän tulee tämän määräyksen nojalla huolehtia siitä, että rekisteröidyille annetaan sähköisten suoramarkkinointiviestien yhteydessä mahdollisuus helposti kieltää yhteystietojensa käyttö suoramarkkinointitarkoituksiin. Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää sen toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistolle 31.8.2023 mennessä, ellei se hae muutosta tähän päätökseen.
Tietosuojavastaavan yhteystietoja koskevan rekisteröityjen informoinnin osalta tietosuojavaltuutettu antaa rekisterinpitäjälle ohjausta.
Perustelut
Sähköisissä suoramarkkinointiviesteissä annettava kieltomahdollisuus
Nyt arvioitavassa asiassa rekisterinpitäjä on tarjonnut suoramarkkinointiviesteissään rekisteröidylle mahdollisuuden kirjautua linkin kautta omilla tunnuksillaan asiakastilille, jolla asiakas voi hallinnoida markkinointisuostumuksiaan.
Rekisterinpitäjän sähköisten suoramarkkinointiviestien lopussa on ollut tekstilinkki ”Hallinnoi viestintäasetuksiasi [verkkopalvelussa]”. Rekisterinpitäjän mukaan linkin teksti on tietosuojavaltuutetun toimiston selvitystyön yhteydessä muutettu muotoon ”Hallinnoi markkinointilupiasi [verkkopalvelussa]”. Viesteihin ei ole sisällytetty muuta kieltomahdollisuutta.
Rekisterinpitäjän selvityksen mukaan asiakas voi lisäksi hallinnoida markkinointikieltojaan eri palveluiden käyttösivuilta, sekä kieltää sähköisen suoramarkkinoinnin olemalla yhteydessä muiden asiakaspalvelukanavien kautta (esimerkiksi puhelimitse, chat-palvelun kautta tai myymälässä). Myös chat-palvelu toimii rekisterinpitäjän verkkosivustolta löytyvän ohjeen mukaan verkkopalvelussa ja edellyttää kirjautumista. Rekisterinpitäjän asiakaspalvelusivun chat-palvelusta kertovan osion mukaan ”Löydät chat-asiakaspalvelumme [verkkopalvelusta] ma-pe 8-21 ja la-su 9-17”.
Sähköisen viestinnän palveluista annetun lain (jäljempänä myös: SVPL) 200.3 §:n mukaan palvelun tarjoajan tai tuotteen myyjän on annettava asiakkaana olevalle luonnolliselle henkilölle mahdollisuus ilman erillistä maksua ja helposti kieltää yhteystiedon käyttö tiedon keräämisen ja jokaisen sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Palvelun tarjoajan tai tuotteen myyjän on selkeästi tiedotettava kieltomahdollisuudesta
Tietosuojavaltuutettu toteaa, että rekisterinpitäjän on SVPL 200.3 §:n mukaisesti annettava jokaisen sähköisen suoramarkkinointiviestin yhteydessä helposti ja ilman erillistä maksua rekisteröidylle mahdollisuus vastustaa yhteystietojensa käyttöä. Kirjautumisedellytys asiakassivuille ainoana sähköiseen suoramarkkinointiviestiin sisällytettynä vastustamismahdollisuutena ei täytä vastustamisen vaivattomuudelle sähköisen viestinnän palveluista annetussa laissa asetettua edellytystä. Esimerkiksi tilanteessa, jossa rekisteröity ei muista kirjautumistunnuksiaan, hänen on ryhdyttävä toimenpiteisiin tunnusten palauttamiseksi tai etsittävä vaihtoehtoinen vastustamiskeino.
Tietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota siihen, että sähköisen viestinnän palveluista annetun lain 200.3 § edellyttää, että suoramarkkinointiviestin yhteydessä rekisteröidylle annetaan mahdollisuus vastustaa helposti suoramarkkinointia, eikä tätä vaatimusta ole mahdollista täyttää siten, että rekisterinpitäjä muutoin tarjoaa myös muita keinoja kiellon esittämiseksi, jotka ovat rekisteröidyn löydettävissä esimerkiksi rekisterinpitäjän verkkosivuilta.
Rekisterinpitäjien on rekisteröidylle tarjottavien vastustamiskeinojen kohdalla huomioitava myös yleisen tietosuoja-asetuksen 12(2) artiklan vaatimus helpottaa rekisteröidyn oikeuksien, kuten yleisen tietosuoja-asetuksen 21 artiklan mukaisen vastustamisoikeuden, käyttämistä. Rekisterinpitäjien tulee rekisteröidyille tarjottavien vastustamistapojen kohdalla huolehtia niin ikään siitä, että kaikilla rekisteröidyillä on yhdenvertainen pääsy rekisteröidyn oikeuksiin, eikä tiettyjä ryhmiä, kuten tuotteen tai palvelun hankkineita rekisteröityjä tai kirjautumistunnukset omaavia rekisteröityjä, priorisoida.
Nyt arvioitavassa asiassa rekisterinpitäjän sähköisiin suoramarkkinointiviesteihinsä sisällyttämä mahdollisuus kieltää yhteystietojen käyttö ei ole sähköisen viestinnän palveluista annetun lain 200.3 §:ssä tarkoitetulla tavalla helposti rekisteröidyn käytettävissä. Tietosuojavaltuutettu antaa rekisterinpitäjälle määräyksen saattaa menettely tietosuojasääntelyn mukaiseksi.
Rekisteröityjen informointi tietosuojavastaavan yhteystiedoista
Nyt tarkasteltavassa asiassa rekisterinpitäjän tietosuojavastaavan yhteystiedot löytyvät rekisterinpitäjän verkkosivustolta seuraavan polun takaa: Tietosuoja -> Tutustuthan [rekisterinpitäjän] tietosuojaperiaatteisiin -> Tietosuojavastaavan yhteystiedot.
Läpinäkyvyyden periaate ja siihen kytkeytyvä sisäänrakennetun tietosuojan vaatimus edellyttävät, että rekisteröidylle annettava informaatio henkilötietojen käsittelystä on rekisteröidyn helposti saatavissa. Läpinäkyvyyden vaatimuksella pyritään turvaamaan se, että rekisteröity saa asianmukaisesti tietoa henkilötietojensa käsittelystä ja esimerkiksi ymmärtää yleisen tietosuoja-asetuksen III-luvun mukaiset oikeutensa. Rekisteröidylle annettavan informaation tulee yleisen tietosuoja-asetuksen 13(1)(b) artiklan mukaisesti sisältää tietosuojavastaavan yhteystiedot. Tietosuojavastaava on tärkeä yhteyspiste, johon rekisteröidyt voivat ottaa yhteyttä kaikissa asioissa, jotka liittyvät heidän henkilötietojensa käsittelyyn ja yleiseen tietosuoja-asetukseen perustuvien oikeuksiensa käyttöön. Tietosuojavastaavan yhteystietojen tulee olla helposti rekisteröidyn saatavilla.
Silloin, kun rekisteröidyille verkkosivustolla annettava informaatio kerrostetaan esimerkiksi eri sivuille, eri sivujen yhteisvaikutus on ensiarvoisen tärkeää, jotta voidaan varmistaa, että kerroksellinen toimintamalli ei lisää hämmennystä vaan vähentää sitä.
Nyt arvioitavassa asiassa tietosuojavastaavan yhteystietoja etsivän rekisteröidyn tulee rekisterinpitäjän tietosuojasivulla ymmärtää klikata linkkiä ”Tutustuthan [rekisterinpitäjän] tietosuojaperiaatteisiin”, jonka takaa löytyy linkki ”Tietosuojavastaavan yhteystiedot”. Tietosuojavastaavan yhteystiedot avautuvat viimeiseksi mainittua linkkiä painamalla.
”Tutustuthan [rekisterinpitäjän] tietosuojaperiaatteisiin” -linkki ei esimerkiksi viittaa henkilötietojen käsittelyä koskevissa asioissa tarpeellisiin yhteystietoihin, eikä siitä voi päätellä, että sen takaa on löydettävissä kyseiset yhteystiedot. Tietosuojavastaavan yhteystietojen ei sinänsä ole välttämätöntä olla esitettynä tietosuojainformaation ensimmäisellä sivulla. Yhteystietojen on kuitenkin oltava rekisteröidyn helposti löydettävissä. Tietosuojavastaavan yhteystietoja koskevan rekisteröityjen informoinnin osalta tietosuojavaltuutettu antaa rekisterinpitäjälle ohjausta.
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Lisätietoja tästä päätöksestä antaa asian esittelijä
Ylitarkastaja Niina Miettinen, puh. 029 566 6774, niina.miettinen@om.fi
Tämän päätöksen on tehnyt tietosuojavaltuutettu Anu Talus.
Päätös on lainvoimainen.
Tietosuojavaltuutetun ohjaus
Tietosuojavaltuutettu ohjaa rekisterinpitäjää huolehtimaan, että tietosuojavastaavan yhteystiedot ovat rekisterinpitäjän verkkosivuilla rekisteröityjen helposti löydettävissä. Tietosuoja-asioissa tietosuojavastaava toimii rekisteröidyille ensimmäisenä yhteyspisteenä, ja rekisteröidyn oikeuksien toteutumisen kannalta on tärkeää, että tietosuojavastaavan yhteystiedot löytyvät helposti.
Tähän tietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla muutosta.