Tietosuojavaltuutettu

Edilexissä on tietosuojavaltuutetun päätöksiä EU:n yleisen tietosuoja-asetuksen ja henkilötietolain tulkinnasta. EU:n yleisen tietosuoja-asetuksen mukaisia päätöksiä on Edilexissä vuodesta 2018 alkaen. Henkilötietolain mukaisia päätöksiä löytyy vuosilta 1999–2018.

Dokumenttien lukumäärä on 317, viimeisin päivitys 8.5.2024

Versiot ja toiminnot

Viittaukset

TSV 06.07.2023

Puhelutallenteiden toimittaminen ja aiemman määräyksen noudattamatta jättäminen

Tarkastusoikeus - Puhelutallenteet

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	06.07.2023
Diaarinumero:	8422/161/21

Tietosuojavaltuutetun päätös

Asia

Oikeus saada jäljennös puhelutallennetta koskevassa asiassa

Rekisterinpitäjä

Suomen Avainsanat Oy aputoiminimi Suomen Yritysrekisteri Oy:n haltijana (Y-tunnus: 2580946-3)

Asian tausta

1. Tietosuojavaltuutetun toimistoon on aikavälillä 8.3.2019–2.9.2022 saatettu vireille lukuisia Suomen Yritysrekisteriä koskevia asioita. Suomen Yritysrekisteri on Suomen Avainsanat Oy:n (myöhemmin ’rekisterinpitäjä’) tarjoama yrityshakupalvelu.

2. Asioissa on ollut kyse siitä, että rekisteröidyt ovat pyytäneet rekisterinpitäjältä puhelutallennetta. Rekisterinpitäjä on vastannut joidenkin rekisteröityjen pyyntöihin toimittamalla koosteet puheluista. Rekisteröityjen näkemyksen mukaan kooste ei ole vastannut puhelimessa käytyä keskustelua, minkä johdosta rekisteröidyt ovat toistaneet pyynnön saada puhelutallenne. Rekisterinpitäjä ei ole edelleenkään toimittanut rekisteröidyille puhelutallennetta, minkä johdosta rekisteröidyt ovat olleet yhteydessä tietosuojavaltuutetun toimistoon.

3. Tietosuojavaltuutetun toimisto on pyytänyt 8.3.2019–2.9.2022 välisenä aikana saatujen yhteydenottojen johdosta selvitystä rekisterinpitäjältä. Asioissa saadun selvityksen perusteella rekisterinpitäjä säilyttää tallenteita 2–4 kuukauden ajan, eikä rekisterinpitäjällä ole selvityksen antamisen ajankohtana ollut enää tallella rekisteröityjen kanssa käytyjen puheluiden tallenteita.

4. Koska tallenteita ei rekisterinpitäjän toimittamien selvitysten mukaan olisi enää ollut saatavilla, tietosuojavaltuutetun toimisto on ollut yhteydessä kyseisiin rekisteröityihin. Rekisteröidyt ovat hyväksyneet heitä koskevan asian päättämisen tietosuojavaltuutetun toimiston oma-aloitteisen tutkinnan johdosta. Rekisteröityjä ei ole pidettävä hallintolain (434/2003) 11 §:n mukaisina asianosaisina. Tietosuojavaltuutetun toimisto toimittaa tämän päätöksen kuitenkin tiedoksi näille rekisteröidyille.

5. Tietosuojavaltuutetun toimisto ei ole pyytänyt rekisterinpitäjältä selvitystä jokaisessa yksittäisessä 8.3.2019–2.9.2022 välisenä aikana sille vireille saatetussa asiassa, sillä rekisterinpitäjän aiemman selvityksen yhteydessä ilmoittama puhelutallenteiden säilytysajan johdosta puhelutallenteet eivät olisi enää olleet saatavilla.

6. Tietosuojavaltuutettu ei tässä päätöksessä arvioi yksittäisten rekisteröityjen asiaa, sillä rekisteröidyt ovat hyväksyneet heitä koskevan asian päättämisen koska tallenteita ei enää ole ollut saatavilla. Tietosuojavaltuutetun päätös koskee rekisterinpitäjää.

7. Tietosuojavaltuutetun toimisto on aloittanut oman tutkinnan ja ryhtynyt selvittämään rekisterinpitäjän toimintatapaa, sillä lukuisten yhteydenottojen voidaan katsoa ilmentävän rekisterinpitäjän vakiintunutta toimintatapaa. Tässä päätöksessä tietosuojavaltuutettu arvioi rekisterinpitäjän yleistä toimintatapaa seitsemän yhteydenoton ja näiden yhteydenottojen johdosta vuosien 2020–2022 välisenä aikana saatujen rekisterinpitäjän antamien selvitysten pohjalta. Lisäksi rekisterinpitäjän vakiintunutta toimintatapaa arvioidaan rekisterinpitäjän kuulemispyyntöön antaman vastineen pohjalta.

Yhteydenottojen sisältö lyhyesti

8. Tässä päätöksessä viitatuissa seitsemässä asiassa rekisteröidyt ovat kertoneet saaneensa rekisterinpitäjältä Suomen Yritysrekisteri -palvelun näkyvyyttä koskevan myyntipuhelun. Myyntipuhelun vastaanottajat ovat olleet yksityisiä elinkeinonharjoittajia. Kaikki rekisteröidyt ovat myyntipuhelun seurauksena saaneet laskun, minkä johdosta rekisteröidyt ovat pyytäneet rekisterinpitäjältä myyntipuhelun tallenteen.

9. Rekisteröidyistä suurin osa on kertonut puhelutallennetta koskevan pyynnön johdosta saaneensa myyntipuhelusta laaditun koosteen. Kooste on toimitettu rekisteröidyille muun muassa joulukuussa 2018, toukokuussa 2021 ja kesäkuussa 2022. Kyseisten rekisteröityjen mukaan kooste on ollut rekisterinpitäjän laatima yksipuolinen kuvaus puhelussa käydystä keskustelusta, eikä kooste ole heidän näkemyksensä mukaan vastannut täysin puhelussa sovittua. Alla esimerkki koosteesta:

”Myyntiryhmän esimies on tarkistanut myyntipuhelun tallenteen ja kommentoinut puhelua seuraavasti: Myyjä kertoo mistä soittaa. Myyjä tarkistaa, että puhelu tulee oikeaan yritykseen ja asiakas vastaa ”joo, kyllä”. Myyjä kertoo, että puhelu tallennetaan. Asiakas sanoo ”joo”. Myyjä tarkistaa yrityksen tiedot ja asiakas myöntelee ne oikeiksi sanomalla ”joo” ja ”kyllä”. Myyjä kysyy ”onko sähköisiä osoitteita, sähköpostia tai kotisivuja?” Asiakas sanoo ”ei oo vielä, kyllä tarkoitus olisi perustaa jossain vaiheessa”. Myyjä kysyy toimialasta ja asiakas vastaa ”sähköautomaatio asennuksia ja suunnittelua” Myyjä kertoo palvelusta. Asiakas sanoo väleihin ”joo”. Myyjä kertoo ”nyt jos täydelliset yritystietonne ajetaan tänne Suomen yritysrekisteriin, siitä menee kerta vuosipäivitysmaksu, mikä on 289€+alv ja se on mahdollista maksaa kahdessa erässä”. Myyjä varmistaa asiakkaan hyväksynnän tilaukselle kysymällä että ”näillä tiedoilla voidaan mennä määräaikaisesti 12 kk eteenpäin?”. Asiakas vastaa ”juu kyllä”. Myyjä pyytää asiakkaan nimen vahvisteena tilaukselle, asiakas antaa nimensä. Yhdessä sovitaan, että lasku ja tunnukset toimitetaan asiakkaalle kirjepostilla.”

10. Osassa asioista rekisteröidyt ovat myyntipuhelun koosteen saatuaan olleet yhteydessä rekisterinpitäjään, ja tuloksetta toistaneet pyynnön saada puhelutallenne.

11. Eräässä asiassa rekisteröity ei ole lainkaan saanut puhelun koostetta pyynnöstään huolimatta.

Rekisterinpitäjän antamat selvitykset

12. Tietosuojavaltuutetun toimisto on edellä 3 kohdassa tarkoitettujen asioiden yhteydessä pyytänyt selvitystä rekisterinpitäjältä. Rekisterinpitäjän 2020–2022 aikavälillä antamat selvitykset eivät ole kaikilta osin olleet yhdenmukaisia. Rekisterinpitäjä on kertonut antamissaan selvityksissä muun muassa seuraavaa:

13. Rekisterinpitäjä kertoo poistavansa puhelutallenteet 2–4 kuukauden kuluessa puhelusta. Selvitysten antamisen ajankohtana rekisterinpitäjällä ei ole ollut hallussaan yhdenkään rekisteröidyn kanssa käydyn puhelun tallennetta.

14. Tietosuojavaltuutetun toimisto on kussakin selvityspyynnössä tiedustellut rekisterinpitäjältä, onko rekisterinpitäjä toteuttanut rekisteröidyn yleisen tietosuoja-asetuksen 15 artiklan mukaisen oikeuden. Rekisterinpitäjä on vastannut toimittaneensa rekisteröidyille myyntipuhelun koosteen.

15. Tietosuojavaltuutetun toimisto on yhdessä asiassa pyytänyt rekisterinpitäjää täsmentämään kohdassa 14 mainittua ja selventämään, katsooko rekisterinpitäjä tietosuojavaltuutetun toimistolle toimitetun koosteen vastaavan yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaista jäljennöstä.

16. Rekisterinpitäjä ei ole toimittanut vastausta lisätietopyyntöön.

17. Osassa asioista rekisterinpitäjä on kertonut puhelutallennetta koskevan pyynnön johdosta soittaneensa rekisteröidyille yrittääkseen kuunteluttaa puhelu puhelimessa. Tällainen tilanne on ollut muun muassa yhdessä asiassa, jossa rekisterinpitäjä on aikavälillä 22.7.-20.8.2021 yrittänyt tavoitella rekisteröityä kuunteluttaakseen tallenteen puhelimen välityksellä. Kyseiselle rekisteröidylle on lisäksi toimitettu puhelutallenteen kooste.

18. Rekisterinpitäjä on myös eräissä antamissaan selvityksissä kertonut, että se olisi toimittanut asianmukaisen litteroinnin tai antanut mahdollisuuden kuunnella tallenne erikseen sovittuna ajankohtana rekisterinpitäjän toimipisteessä. Tämä olisi edellyttänyt, että rekisteröity olisi tehnyt pyydetyn, allekirjoitetun tietojen luovutuspyynnön.

Rekisterinpitäjän kuuleminen

19. Yksittäisissä asioissa saatujen selvityksien johdosta tietosuojavaltuutetun toimisto on aloittanut oma-aloitteisen rekisterinpitäjän toimintatapaa koskevan tutkinnan. Rekisterinpitäjälle on 1.2.2023 päivätyllä kuulemispyynnöllä varattu hallintolain 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä esittää näkemys tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosisekoista liittyen mahdollisen hallinnollisen seuraamusmaksun määräämiseen.

20. Rekisterinpitäjä on 3.4.2023 toimittanut vastauksen kuulemis- ja lisätietopyyntöön. Vastauksessa rekisterinpitäjä kertoo muun muassa seuraavaa.

21. Rekisterinpitäjän nykyisten käytäntöjen mukaan rekisterinpitäjä säilyttää puhelutallenteita keskimäärin 2–4 kuukauden ajan. Tallenteita säilytetään rekisterinpitäjän mukaan asian aktiivisen käsittelyn ajan, joka on vähintään kaksi viikkoa puhelusta ja enintään edellä mainittu neljä kuukautta. Tallenteet poistetaan automaattisesti neljän kuukauden kuluttua.

22. Rekisterinpitäjä on esittänyt, että puhelutallenteita pyydetään, kuunnellaan ja käsitellään lähes yksinomaan silloin, kun kyseessä on tilanne, jossa asiakas i) kiistää, ettei hänelle ole soitettu rekisterinpitäjän toimesta, ii) kiistää sopimuksen syntymisen, tai iii) esittää eriävän mielipiteen esimerkiksi tuotteen hinnasta.

23. Rekisterinpitäjän mukaan sen asiakkaat voivat olla yhteydessä rekisterinpitäjän asiakaspalveluun puhelimitse tai sähköpostin välityksellä. Mikäli yhteydenotto tulee muusta kuin rekisterinpitäjän asiakastietoihin kirjatusta sähköpostista, asiakaspalvelija soittaa asiakkaalle varmistuakseen asiakkaan henkilöllisyydestä. Rekisterinpitäjä kertoo olevansa yhteydessä asiakkaisiinsa ensisijaisesti puhelimitse.

24. Rekisterinpitäjän mukaan, jos asiakkaan ja rekisterinpitäjän välillä on ristiriitatilanne, asiakaspalvelija tarjoaa asiakkaalle puhelun kuuntelumahdollisuuden tai lähettää asiakkaalle koosteen puhelusta. Mikäli asiakas hyväksyy tai pyytää koostetta, kooste käsitellään asiakkaan kanssa joko suullisesti tai kirjallisesti.

25. Rekisterinpitäjä on myös kertonut, että kooste tai sanatarkka litterointi tehdään vain niissä tilanteissa, joissa rekisterinpitäjän asiakaspalvelu ei tavoita asiakasta yrityksistä huolimatta puhelimitse siten, että tallenteen kuunteluttaminen olisi mahdollista puhelun välityksellä. Rekisterinpitäjä on lisäksi kertonut, että mikäli asiakasta ei tavoiteta puhelimitse keskimäärin kolmella soittoyrityksellä, lopettaa asiakaspalvelu asiakkaan tavoittelun, mikä tarkoittaa rekisterinpitäjän mukaan asian päättämistä ja tallenteen tuhoamista.

26. Rekisterinpitäjä on täsmentänyt vastauksessaan mitä puhelua koskeva kooste käsittää. Koosteesta pyritään rajaamaan pois sellaiset tiedot, joissa käsitellään suoria henkilötietoja. Rekisterinpitäjä on kertonut, ettei koosteen lähettäminen ole koskaan ensisijainen vaihtoehto.

27. Rekisterinpitäjä vielä lisää, että koosteen tekeminen vie vain murto-osan verrattuna tarkan litteroinnin tekemiseen, joka on yksi syy siihen miksi asiakaspalvelu usein ehdottaa koosteen lähettämistä. Litterointi sanasta sanaan tehdään vain, jos sitä on erikseen pyydetty.

28. Rekisterinpitäjä toteaa kuulemispyynnössä esitetyn mallin koosteesta olevan vanhan mallin mukainen kooste. Rekisterinpitäjän nykykäytännön mukainen kooste on sisällöltään tarkempi. Koosteessa mainitaan myyjän nimi, asiakkaan nimi ja yrityksen sijaintitiedot.

29. Rekisterinpitäjä on korostanut, ettei tallenteen kuunteluttaminen ole ollut rekisterinpitäjän ainoa tapa ratkaista ristiriitatilanne eikä ainoa tapa turvata pääsy tietoihin.

30. Rekisterinpitäjä kertoo lähettävänsä asiakkaalle sanatarkan litteroinnin asiakkaan sitä pyytäessä. Rekisterinpitäjän mukaan sanatarkkoja litterointeja pyydetään noin 10 kappaletta vuodessa, koosteita pyydetään rekisterinpitäjän mukaan enemmän.

31. Rekisterinpitäjän näkemyksen mukaan litteroinnilla tarkoitetaan tarkkaa, sanasta sanaan kirjattua tekstiä, jossa jokainen ääni on kirjoitettu auki. Kooste puolestaan on lyhennelmä, josta käy yleisellä tasolla ilmi ensisijaisesti se, mitä puhelussa on sovittu ja mihin asiakkaan kanssa on päädytty. Rekisterinpitäjän näkemyksen mukaan kyse on äärimmäisen harvoin siitä, että asiakas haluaa tarkastaa tietonsa.

32. Rekisterinpitäjä on kertonut vastauksessaan katsovansa, että puhelutallenteen kuuntelutus puhelimitse tai sanatarkka litterointi sitä pyydettäessä on tietosuojavaltuutetun aiemman ohjauksen mukainen toimintatapa. Rekisterinpitäjän kertoman mukaan se on muun muassa tämän takia muokannut kuulemispyynnössä mainitun ajankohdan jälkeen koostetta kattavammaksi ja tarkemmaksi.

33. Rekisterinpitäjä tuo esiin, että sillä tulisi olla tarkemmat tiedot kuulemispyynnön kohteena olevista asioista, jotta se voisi arvioida, onko kooste lähetetty tai onko rekisteröity noutanut sanatarkan litteroinnin postista.

34. Rekisterinpitäjän nykyisen käytännön mukaan se ei vaadi allekirjoitusta eikä kopiota henkilöllisyystodistuksesta tarkastusoikeuden toteuttamiseksi. Pyyntö on edellytetty esitettäväksi kirjallisesti allekirjoitettuna vain niissä tapauksissa, joissa rekisterinpitäjä ei ole pystynyt varmistumaan tietoja pyytäneen henkilön henkilöllisyydestä.

35. Rekisterinpitäjän mukaan se on saanut alle 10 kappaletta allekirjoitettuja pyyntöjä 8.3.2019 - 2.9.2022 välisenä aikana.

36. Rekisterinpitäjä ei ole kyennyt kertomaan kuinka monta yleisen tietosuoja-asetuksen 15 artiklan mukaista pyyntöä tämä on vastaanottanut 8.3.2019 - 2.9.2022 välisenä aikana. Rekisterinpitäjällä on kyseisellä aikavälillä ollut 9386 asiakasta.

37. Rekisterinpitäjän näkemyksen mukaan kanteluita on sen asiakkaiden kokonaisasiakasmäärä huomioon ottaen vähän.

38. Rekisterinpitäjä on kertonut, ettei se pysty vastaamaan kuulemispyynnössä esitettyihin seikkoihin ilman tarkkoja tietoja tapauksista. Rekisterinpitäjälle on 19.4.2023 puhelimitse kerrottu, että kuulemispyynnössä esitetyt tapaukset ovat tapauksia, joista tietosuojavaltuutetun toimisto on pyytänyt selvitystä rekisterinpitäjältä. Kunkin selvityksen antamiseksi rekisterinpitäjälle on toimitettu kussakin asiassa tarkemmat tiedot asiasta.

Sovellettava lainsäädäntö

39. Tässä asiassa sovelletaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus).

40. Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

41. Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.

42. Yleisen tietosuoja-asetuksen 12 artiklan 6 kohdan mukaan, jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.

43. Yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava jäljennös käsiteltävistä henkilötiedoista.

Rekisterinpitäjää koskevat aiemmat päätökset

44. Apulaistietosuojavaltuutettu on 5.3.2021 antanut rekisterinpitäjälle päätöksen , joka on koskenut yksittäisen rekisteröidyn oikeutta saada myyntipuhelun tallenne. Rekisterinpitäjä oli kyseisessä asiassa saadun selvityksen perusteella yrittänyt tavoittaa rekisteröityä tarjotakseen puhelun kuuntelumahdollisuutta. Asiassa on ollut kyse siitä, että rekisterinpitäjä ei ollut toimittanut puhelutallennetta lainkaan kyseiselle rekisteröidylle yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukaisesti.

45. Apulaistietosuojavaltuutettu on päätöksessä todennut, että puhelun kuuntelumahdollisuus ei ole yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukainen tapa toteuttaa oikeus saada tutustua tietoihin. Päätöksessä on todettu, että rekisterinpitäjän tulee toteuttaa oikeus saada pääsy tietoihin kirjallisesti tai tapauksen mukaan sähköisesti (yleinen tietosuoja-asetus 12 ja 15 artikla).

46. Apulaistietosuojavaltuutettu on päätöksessä määrännyt yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla rekisterinpitäjän saattamaan käsittelytoimet yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukaiseksi.

47. Apulaistietosuojavaltuutettu on lisäksi määrännyt rekisterinpitäjän toimittamaan selvityksensä tehdyistä toimenpiteistä 30.4.2021 mennessä. Rekisterinpitäjä ei ole toimittanut selvitystä 1.2.2023 mennessä, jonka jälkeen tietosuojavaltuutetun toimisto on lähettänyt rekisterinpitäjälle kuulemispyynnön.

48. Tietosuojavaltuutettu on 21.10.2021 antanut rekisterinpitäjälle päätöksen , joka on koskenut sitä, voiko rekisterinpitäjä toimittaa puhelutallenteen vain tekstimuodossa vai onko sen toimitettava tallenne äänitiedostona. Päätöksessä ei asetettu rekisterinpitäjälle velvollisuutta toimittaa tallennetta nimenomaisesti äänitiedostona. Päätöksessä todettiin, että oikeus saada tutustua tallenteeseen voidaan toteuttaa siten, että rekisterinpitäjä kirjoittaa auki puhelutallenteen sisällön.

49. Tässä päätöksessä on arvioitavana rekisterinpitäjän toimintatapa, jonka mukaan rekisterinpitäjä lähettää rekisteröidyille koosteen, ja erityisesti se, onko rekisterinpitäjän koostetta pidettävä yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaisena jäljennöksenä.

Oikeudelliset kysymykset

50. Tietosuojavaltuutettu ratkaisee asian edellä esitetysti yleisen tietosuoja-asetuksen ja tietosuojalain nojalla. Asiassa on ratkaistavana seuraavat oikeudelliset kysymykset:

i. Onko rekisterinpitäjän toimintatapa yleisen tietosuoja-asetuksen 15 artiklan mukaisen oikeuden toteuttamiseksi puhelutallenteiden osalta yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukainen; ja

ii. Onko rekisterinpitäjä toimintatapa, jonka mukaan se on edellyttänyt kirjallisen allekirjoitetun pyynnön tekemistä, ja henkilöllisyystodistuskopion toimittamista ollut yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan ja 6 kohdan mukainen?

51. Mikäli rekisterinpitäjän harjoittama henkilötietojen käsittely ei ole ollut yleisen tietosuoja-asetuksen säännösten mukaista, asiassa on ratkaistavana, mikä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukainen seuraamus toiminnasta on rekisterinpitäjälle määrättävä.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

52. Tietosuojavaltuutettu katsoo päätöksessään seuraavaa:

i. Rekisterinpitäjän rekisteröidyille toimittamaa koostetta puhelinnauhoitteista ei voida pitää 15 artiklan 3 kohdan tarkoittamana jäljennöksenä. Näin ollen rekisterinpitäjän toimintatapa yleisen tietosuoja-asetuksen 15 artiklan mukaisen oikeuden saada tutustua tietoihin toteuttamiseksi ei ole ollut yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukainen.

ii. Rekisterinpitäjän toimintatapa, jonka mukaan se on edellyttänyt rekisteröityä toimittamaan allekirjoitetun pyynnön ja kopion henkilöllisyystodistuksesta oikeuden saada tutustua tietoihin toteuttamiseksi, ei ole ollut yleisen tietosuoja-asetuksen 12 artiklan 2 ja 6 kohdan mukainen.

Huomautus

53. Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen edellä 52 kohdan i ja ii todetuista rikkomuksista.

Hallinnollinen seuraamusmaksu

54. Nyt kyseessä olevassa asiassa on kyse rekisterinpitäjän yleisestä toimintatavasta, joka rikkoo rekisteröityjen oikeutta saada tutustua omiin henkilötietoihinsa. Kyseinen oikeus mahdollistaa rekisteröityjen muiden oikeuksien käyttämisen, kuten yleisen tietosuoja-asetuksen 16 artiklan mukaisen oikeuden saada virheelliset tiedot oikaistuksi.

55. Tietosuojavaltuutettu katsoo, ottaen erityisesti huomioon rekisterinpitäjälle aiemmin annetut päätökset, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus ei ole riittävä seuraamus rekisteröityjen tarkastusoikeuden toteuttamisen laiminlyönnistä. Kyseessä ei ole vähäinen rikkomus.

56. Tietosuojavaltuutettu saattaa asian seuraamuskollegion käsiteltäväksi edellä kohdissa 54 ja 55 esitetyin perustein.

57. Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä tämän päätöksen 52 kohdan i alakohdan mukaisesta rikkomuksesta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu tietosuojavaltuutetun antaman huomautuksen lisäksi.

58. Lisäksi seuraamuskollegio käsittelee apulaistietosuojavaltuutetun 5.3.2021 antaman määräyksen noudattamatta jättämistä koskevan asian.

Perustelut

Oikeus saada tutustua tietoihin ja oikeus saada jäljennös

59. Tietosuojavaltuutettu on katsonut rekisterinpitäjälle 21.10.2021 antamassaan päätöksessä yksityisellä elinkeinonharjoittajalla olevan yleisen tietosuoja-asetuksen 15 artiklan mukainen oikeus saada tutustua tietoihin puhelutallenteen osalta.

60. Tietosuojavaltuutetun toimistoon vireille saatetuissa asioissa, ja rekisterinpitäjältä selvitystä pyydetyissä asioissa rekisteröidyt ovat olleet yksityisiä elinkeinonharjoittajia.

61. Nyt kyseessä olevassa asiassa ratkaistavana on kysymys siitä, onko rekisterinpitäjän toimintatapa oikeuden saada tutustua tietoihin (myöhemmin ’tarkastusoikeus’) toteuttamiseksi ollut yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukainen rekisterinpitäjän toimittaessa rekisteröidylle koosteen puhelusta.

62. Tietosuojavaltuutettu ei päätöksessään arvioi rekisterinpitäjän nykyistä toimintatapaa siltä osin kuin rekisterinpitäjän toimintatapa on rekisterinpitäjän kertoman mukaan muuttunut syyskuun 2022 jälkeen. Tietosuojavaltuutettu kuitenkin toteaa, että koosteen tarkentaminen myyjän ja asiakkaan nimellä sekä yrityksen sijaintitiedoilla , ei muuta tässä päätöksessä esitettyä arviointia siitä, voidaanko rekisterinpitäjän toimittama kooste katsoa yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan tarkoittamaksi jäljennökseksi.

63. Rekisterinpitäjän on toimitettava käsittelemänsä tiedot rekisteröidylle jäljennöksenä. Yleinen tietosuoja-asetus ei määrittele termiä ’jäljennös ’. Termiä ’jäljennös’ on kuitenkin tulkittava laajasti, ja se voi kattaa erilasia tapoja, kunhan tiedot ovat täydelliset ja pitävät sisällä kaikki pyydetyt tiedot. Todettakoon lisäksi, että rekisteröidyn oikeutta saada jäljennös tiedoista ei ole katsottava erilliseksi oikeudeksi, vaan oikeus saada jäljennös on tapa, jolla tarkastusoikeus toteutetaan.

64. Myös Euroopan unionin tuomioistuin on katsonut, ettei 15 artiklan 3 kohdan mukainen oikeus ole 15 artiklan 1 kohdasta erillinen oikeus . Unionin tuomioistuin on päätöksessään katsonut yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan ensimmäisen virkkeen sanamuodon tarkastelusta seuraavan, että säännöksellä annetaan rekisteröidylle oikeus saada alkuperäistä vastaava toisinto laajassa merkityksessään ymmärretyistä henkilötiedoistaan.

65. Rekisterinpitäjä on kertonut olevansa ensisijaisesti yhteydessä asiakkaisiinsa eli rekisteröityihin puhelimitse. Rekisterinpitäjä kertoo varmistavansa näin rekisteröidyn henkilöllisyyden. Rekisterinpitäjän asiakaspalvelija pyytää rekisteröidyltä puhelimitse luvan kuunteluttaa tallenne tai vaihtoehtoisesti koosteen lähettämiseen.

66. Mikäli rekisterinpitäjä ei tavoita rekisteröityä puhelimitse, rekisterinpitäjä on kertomansa mukaan yhteydessä rekisteröityyn sähköpostilla toimittaakseen tälle koosteen tai sanatarkan litteroinnin. Toisaalta rekisterinpitäjä on myös kertonut, että mikäli se ei tavoita rekisteröityä puhelimitse keskimäärin kolmella soittoyrityksellä, lopettaa asiakaspalvelu asiakkaan tavoittelun, mikä tarkoittaa rekisterinpitäjän mukaan asian päättämistä ja tallenteen poistamista.

67. Kohdissa 65 ja 66 todetun johdosta tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjän antama selvitys sen toimintatavoista on osin ristiriitainen. Rekisterinpitäjä kertoo yhtäältä olevansa rekisteröityyn yhteydessä puhelimitse ja toisaalta kertoo lähettävänsä koosteen tai litteroinnin rekisteröidylle.

68. Kooste on rekisterinpitäjän mukaan kooste puhelusta ja siitä pyritään rajaamaan pois suorat henkilötiedot. Rekisterinpitäjä on antamassaan selvityksessä täsmentänyt, että kooste ei ole sanasta sanaan aukikirjoitettu litterointi.

69. Rekisterinpitäjän toimittama kooste on tietosuojavaltuutetun näkemyksen mukaan yleinen kuvaus puhelussa käydystä keskustelusta. Tietosuojavaltuutetun toimistolle toimitetuista koosteista ei käy ilmi, mitä kaikkia rekisteröityä koskevia henkilötietoja rekisterinpitäjä käsittelee. Koosteesta ei käy ilmi esimerkiksi rekisteröidyn nimi, koosteessa rekisteröityyn viitataan asiakkaana. Koosteesta ei myöskään käy ilmi rekisteröityä koskevat tiedot siltä osin kuin yritystä koskevia tietoja on pidettävä kyseistä rekisteröityä koskevina henkilötietoina.

70. Tässä yhteydessä on erityisesti huomattava, että tarkastusoikeuden tarkoitus on tarjota rekisteröidylle mahdollisuus varmistua siitä, mitä rekisteröityä koskevia tietoja rekisterinpitäjä käsittelee, ja onko tiedot oikeita. Oikeus saada tutustua tietoihin on eritysesti tarpeen, jotta rekisteröity voi tarvittaessa käyttää hänelle yleisen tietosuoja-asetuksen 16, 17 ja 18 artiklalla annettuja oikeuksia tietojen oikaisemiseen, tietojen poistamiseen (”oikeus tulla unohdetuksi”) ja käsittelyn rajoittamiseen samoin kuin yleisen tietosuoja-asetuksen 21 artiklassa säädettyä henkilötietojen käsittelyn vastustamista koskevaa oikeutta sekä kyseisen asetuksen 79 ja 82 artiklassa säädettyjä oikeussuojakeinoja, jos hänelle aiheutuu vahinkoa.

71. Ottaen huomioon, että rekisterinpitäjä on itsekin todennut pyrkineensä rajaamaan koosteesta pois henkilötiedot, ja koska rekisterinpitäjän toimittamasta koosteesta ei käy ilmi niitä nimenomaisia henkilötietoja, joita rekisterinpitäjä rekisteröidystä käsittelee, ei rekisterinpitäjän toimittamaa koostetta voida pitää yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaisena jäljennöksenä eli alkuperäistä vastaavana toisintona. Näin ollen rekisterinpitäjän vakiintunut toimintatapa toteuttaa tarkastusoikeus ei ole ollut yleisen tietosuoja-asetuksen mukainen.

72. Vaikka rekisterinpitäjä on kertonut toimittavansa sanasta sanaan aukikirjoitetun litteroinnin rekisteröidyn sitä pyytäessä, tai toimittavansa litteroinnin, mikäli ei tavoita rekisteröityä puhelimitse, tietosuojavaltuutetun tietoon tulleista asioista seitsemässä asiassa aukikirjoitettua litterointia ei ollut toimitettu rekisteröidylle. Tietosuojavaltuutetulla ei ole myöskään tiedossa tilannetta, jossa rekisterinpitäjä olisi toimittanut jäljennöksenä pidettävän litteroinnin rekisteröidylle.

73. On huomattava, että rekisteröidyn ei tarvitse osata pyynnössään vedota yleisen tietosuoja-asetuksen säännöksiin, jotta pyyntöä olisi pidettävä yleisen tietosuoja-asetuksen mukaisena rekisteröidyn oikeutta koskevana pyyntönä. Rekisterinpitäjä ei myöskään voi edellyttää, että rekisteröity erikseen pyytää sanasta sanaan aukikirjoitettua litterointia. On rekisterinpitäjän tehtävä varmistua siitä, että se toimittaa rekisteröidylle yleisen tietosuoja-asetuksen edellyttämät tiedot.

74. Rekisterinpitäjän näkemyksen mukaan kyse on äärimmäisen harvoin siitä, että asiakas haluaisi tarkastaa tietonsa . Tietosuojavaltuutettu myös korostaa, ettei rekisteröidyllä ole velvollisuutta perustella pyyntöään. Siten sillä seikalla, miksi rekisteröity esittää oikeuksiaan koskevan pyynnön, ei ole merkitystä.

75. Rekisterinpitäjä on tietosuojavaltuutetun toimiston rekisteröidyn oikeuden toteuttamista koskevaan selvityspyyntöön antamassaan selvityksessä kertonut toimittaneensa rekisteröidylle koosteen puhelusta. Rekisterinpitäjä ei ole antamissaan selvityksissä esittänyt, että tämä johtuisi siitä, ettei se olisi katsonut rekisteröityjen pyyntöjä yleisen tietosuoja-asetuksen mukaisiksi pyynnöiksi.

76. Kokonaisuutena arvioiden rekisterinpitäjä ei ole päätöksen kohteena olevana aikavälinä toteuttanut rekisteröidyn tarkastusoikeutta yleisen tietosuoja-asetuksen 12 artiklan 1 ja 15 artiklan 3 kohdan mukaisesti. Vaikka joissain tapauksissa 8.3.2019-2.9.2022 välisenä aikana rekisterinpitäjä olisikin toimittanut litteroinnin, ei tietosuojavaltuutetun toimiston tietoon tulleissa asioissa litterointia ole toimitettu, vaikka rekisteröidyt ovat esittäneet puhelutallennetta koskevan pyynnön.

77. Tietosuojavaltuutettu kiinnittää huomiota vielä siihen, että rekisterinpitäjä on kuulemispyyntöön antamassaan selvityksessä kertonut katsovansa, että puhelutallenteen kuuntelutus puhelimitse tai sanatarkka litterointi sitä pyydettäessä on tietosuojavaltuutetun aiemman ohjauksen mukainen toimintatapa. Tältä osin tietosuojavaltuutettu huomauttaa, että puhelun kuuntelumahdollisuuden tarjoaminen ei ole apulaistietosuojavaltuutetun 5.2.2021 antaman päätöksen mukaisesti ollut tapa, jolla yleisen tietosuoja-asetuksen tarkastusoikeus voidaan toteuttaa. Päätöksessä on tietosuojavaltuutetun toimiston vakiintuneen linjan mukaisesti todettu, että kuuntelumahdollisuutta voidaan tarjota, mutta rekisterinpitäjän on myös tarjottava yleisen tietosuoja-asetuksen mukaista tapaa toteuttaa oikeus.

78. Edellä kerrotun perusteella tietosuojavaltuutettu katsoo, että rekisterinpitäjän toiminta ja saatu selvitys eivät ole osoittaneet riittävää perehtyneisyyttä yleisen tietosuoja-asetuksen mukaisiin velvoitteisiin tai tietosuojavaltuutetun toimiston aiemmin antamiin päätöksiin.

79. Rekisterinpitäjä on tuonut esiin, että sillä tulisi olla tarkemmat tiedot kuulemispyynnön kohteena olevista asioista, jotta se voisi arvioida, onko kooste saatu lähetettyä tai onko rekisteröity noutanut sanatarkan litteroinnin postista . Todettakoon, että rekisterinpitäjältä on pyydetty selvitystä asioista, joihin tässä päätöksessä on viitattu. Tässä yhteydessä rekisterinpitäjän tietoon on saatettu muun muassa tieto kyseisistä rekisteröidyistä ja näiden identiteetistä.

80. Rekisterinpitäjä on myös todennut, ettei se kykene ilman tarkempia tietoja varmistumaan siitä, onko kyseisille rekisteröidyille lähetetty kooste . Tällä ei kuitenkaan ole asian ratkaisun kannalta merkitystä, sillä rekisterinpitäjän toimittamaa kooste ei ole yleisen tietosuoja-asetuksen tarkoittama jäljennös.

Rekisteröidyn oikeuden käytön helpottaminen ja rekisteröidyn henkilöllisyyden varmistaminen

81. Yleisessä tietosuoja-asetuksessa ei säädetä tavasta, jolla rekisteröidyn on esitettävä oikeuksiaan koskevat pyynnöt. Yleinen tietosuoja-asetus ei siten myöskään edellytä, että oikeutta koskeva pyyntö tulisi esittää kirjallisesti tai allekirjoitettuna.

82. Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava rekisteröidyn oikeuksin käyttämistä. Yleisen tietosuoja-asetuksen johdanto-osan 59 kappaleen mukaan rekisterinpitäjän olisi tarjottava keinot, joiden avulla pyynnöt voidaan esittää sähköisesti erityisesti silloin, kun henkilötietoja käsitellään sähköisesti.

83. Yleisen tietosuoja-asetuksen 12 artiklan 6 kohdan mukaan rekisterinpitäjä voi pyytää rekisteröidyltä lisätietoja rekisteröidyn tunnistamiseksi, jos rekisterinpitäjällä on perusteltua syytä epäillä pyynnön esittäneen henkilön henkilöllisyyttä. Yleisen tietosuoja-asetuksen johdanto-osan 57 kappaleen mukaan, jos rekisterinpitäjä ei pysty tunnistamaan luonnollista henkilöä käsittelemiensä henkilötietojen perusteella, rekisterinpitäjää ei saisi velvoittaa hankkimaan lisätietoja rekisteröidyn tunnistamista varten, jos tämä on tarpeen vain, jotta voitaisiin noudattaa jotakin tämän asetuksen säännöstä.

84. Rekisterinpitäjä on 9.3.2019 ja 15.4.2019 vireille saatetuissa asioissa edellyttänyt, että rekisteröity toimittaa kirjallisen, allekirjoitetun tarkastusoikeutta koskevan pyynnön sekä toimittaa kopion henkilöllisyystodistuksesta.

85. Rekisterinpitäjä on kertonut edellyttävänsä pyyntöä kirjallisesti allekirjoitettuna vain niissä tapauksissa, joissa rekisterinpitäjä ei ole pystynyt varmistumaan tietoja pyytäneen henkilön henkilöllisyydestä. Rekisterinpitäjän nykyisen käytännön mukaan se ei vaadi allekirjoitusta eikä kopiota henkilöllisyystodistuksesta oikeuden toteuttamiseksi.

86. Asiassa saadun selvityksen perusteella ja rekisterinpitäjän yritystoiminta huomioon ottaen rekisterinpitäjä ei entuudestaan käsittele tietoa rekisteröidyn allekirjoituksesta. Tästä syystä asiassa saadun selvityksen perusteella pyynnön esittäneen henkilön allekirjoitusta ei olisi pidettävä yleisen tietosuoja-asetuksen 12 artiklan 6 kohdan mukaisena lisätietona, jota rekisterinpitäjä voi pyytää henkilön tunnistamiseksi.

87. Rekisterinpitäjä ei ole antamissaan selvityksissä toimittanut perusteltua syytä siihen, miksi se ei ole voinut tunnistaa rekisteröityjä digitaalisen asiointitapahtuman yhteydessä ilman henkilöllisyystodistusta.

88. Lisäksi tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole helpottanut rekisteröidyn oikeuden käyttöä yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaisesti, sillä oikeutta koskeva pyyntö on tullut esittää kirjallisesti allekirjoitettuna. Tämä toimintatapa on johtanut käytännössä siihen, että rekisteröity joutuisi tulostamaan asiakirjan, allekirjoittamaan sen ja skannaamaan tai vaihtoehtoisesti postittamaan pyynnön. Tällainen toimintatapa päinvastoin hankaloittaa rekisteröityjen oikeuksien käyttämistä.

89. Rekisterinpitäjä on kertonut saaneensa allekirjoitettuja pyyntöjä 10 kappaletta. Tietosuojavaltuutetun toimiston tietoon ei ole saatettu tapauksia, joissa tässä päätöksessä huomioon otettavissa asioissa rekisteröity olisi toimittanut allekirjoitetun pyynnön. Niin ikään rekisterinpitäjä ei ole kyseisten rekisteröityjen osalta tosiasiallisesti käsitellyt tietoja vain rekisteröidyn tunnistamiseksi. Rekisterinpitäjä on myös kertonut muuttaneensa tämän toimintavan. Sittemmin rekisteröidyt ovat voineet esittää rekisteröidyn oikeuksia koskevat pyynnöt käyttäjätunnuksen avulla. Tietosuojavaltuutettu katsoo siten huomautuksen tältä osin riittäväksi.

Tietosuojavaltuutetun ohjaus

90. Rekisterinpitäjä on antamassaan selvityksessä kertonut, että mikäli se ei tavoita rekisteröityä puhelimitse keskimäärin kolmella soittoyrityksellä, lopettaa asiakaspalvelu asiakkaan tavoittelun, mikä tarkoittaa rekisterinpitäjän mukaan asian päättämistä ja tallenteen poistamista.

91. Rekisterinpitäjän edellä kohdassa 90 kuvattu toimintatapa voi johtaa siihen, että rekisterinpitäjä poistaa henkilötiedot ennen kuin rekisterinpitäjä on toteuttanut rekisteröidyn oikeuden. Rekisterinpitäjän on rekisteröidyltä saamansa yhteydenoton jälkeen ensin varmistuttava, että rekisteröidyn pyyntöön on vastattu asianmukaisesti. Vasta tämän jälkeen rekisterinpitäjä voi poistaa tiedot.

92. Koska tietosuojavaltuutetun toimistolle toimitetuissa kanteluissa ei ole tullut ilmi seikkoja, joiden mukaan nimenomaisesti vireillesaattajien kohdalla tallenne olisi poistettu sen vuoksi, ettei rekisterinpitäjä ole voinut tavoittaa rekisteröityä puhelimitse, katsoo tietosuojavaltuutettu tämän ohjauksen riittäväksi.

93. Rekisterinpitäjältä saadun selvityksen perusteella rekisterinpitäjä on poistanut puhelutallenteet lähetettyään koosteen. Tietosuojavaltuutettu on tässä päätöksessä arvioinut nimenomaisesti sitä, onko rekisterinpitäjän toimittama kooste yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa tarkoitettu jäljennös. Tässä asiassa ei ole siten ollut selvitettävänä kysymys, onko rekisterinpitäjä poistanut tiedot ennen tarkastusoikeuden toteuttamista.

94. Nyt kyseessä olevassa päätöksessä tietosuojavaltuutettu on katsonut, ettei rekisterinpitäjän toimittamaa koostetta voida pitää yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa tarkoitettuna jäljennöksenä. Rekisterinpitäjä ei näin ollen ole toteuttanut rekisteröidyn tarkastusoikeutta yleisen tietosuoja-asetuksen mukaisesti ennen puhelutallenteen poistamista.

95. Tietosuojavaltuutettu kiinnittää rekisteripitäjän huomiota asiassa 7587/163/20 annettuun päätökseen . Tämän päätöksen mukaan rekisterinpitäjän on poistettava rekisteröityä koskevat tiedot vasta sen jälkeen, kun rekisteröidyn oikeudet on toteutettu.

Tähän tietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla muutosta.

Asian on ratkaissut tietosuojavaltuutettu Anu Talus ja sen on esitellyt ylitarkastaja Mari-Ilona Korhonen.

Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta

Rekisterinpitäjä

Suomen Avainsanat Oy aputoiminimi Suomen Yritysrekisteri Oy:n haltijana (Y-tunnus: 2580946-3)

Päätös

96. Tietosuojavaltuutetun päätöksestä ilmenevästi rekisterinpitäjän vakiintunut toimintatapa on johtanut siihen, että rekisterinpitäjä ei toteuta rekisteröidyn oikeutta saada tutustua tietoihin puhelutallennetta koskevissa asioissa (myöhemmin ’tarkastusoikeus’) yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukaisesti, sillä rekisterinpitäjän toimittamaa koostetta ei ole pidettävä yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaisena jäljennöksenä.

97. Rekisterinpitäjälle on annettu 5.3.2021 päätös, jossa on todettu, ettei tallenteen kuuntelumahdollisuus täytä yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan edellytyksiä. Rekisterinpitäjälle on myös 5.3.2021 annetussa päätöksessä annettu yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys toimittaa selvitys niistä toimenpiteistä, joihin rekisterinpitäjä on ryhtynyt kyseisen määräyksen johdosta.

98. Rekisterinpitäjä on tietosuojavaltuutetun toimistolla 3.4.2023 antamassaan selvityksessä edelleen kertonut, että sen vakiintunut toimintatapa on vaihtoehtoisesti kuunteluttaa tallenne puhelimessa.

99. Tietosuojavaltuutetun päätöksestä ilmenevästi rekisterinpitäjä ei ole saattanut käsittelytoimia yleisen tietosuoja-asetuksen mukaiseksi, sillä rekisterinpitäjä tarjoaa edelleen tallenteen kuuntelumahdollisuuden, mutta ei kuuntelumahdollisuuden lisäksi tarjoa yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaista tapaa a tarkastusoikeuden toteuttamiselle.

100. Rekisterinpitäjä ei ole myöskään toimittanut tietosuojavaltuutetun toimistolle tietoa siitä, mihin toimenpiteisiin se on ryhtynyt apulaistietosuojavaltuutetun 5.3.2021 antaman määräyksen johdosta. Rekisterinpitäjä ei ole toimittanut selvitystä määräpäivään 30.4.2021 mennessä, eikä edelleenkään ennen 1.2.2023 kuulemispyynnön lähettämistä. Seuraamuskollegio katsoo, että rekisterinpitäjä ei ole noudattanut apulaistietosuojavaltuutetun antamaa määräystä.

101. Arvioitaessa edellytyksiä hallinnollisen seuraamusmaksun määräämiselle, seuraamuskollegio kiinnittää edellä kohtien 96–100 lisäksi huomiota siihen, että henkilötietojen käsittely on keskeinen osa rekisterinpitäjän ydinliiketoimintaa, sillä Suomen Yritysrekisteri on julkinen yrityshakemisto, jossa on nähtävillä muun muassa yksityisten elinkeinonharjoittajien henkilötietoja. Kyseessä on myös rekisteröidyille maksullinen rekisteri.

102. Niin ikään seuraamuskollegio katsoo, että kyse ei ole yleisen tietosuoja-asetuksen johdantokappaleessa 148 tarkoitetusta vähäisestä tietosuoja-asetuksen säännösten rikkomisesta. Seuraamuskollegio yhtyy tietosuojavaltuutetun tämän päätöksen kohdassa 55 toteamaan arvioon siitä, että kyseessä ei ole vähäinen rikkomus.

103. Rekisterinpitäjälle on määrättävä hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan b alakohdan (15 artiklaa koskeva rikkomus) ja 83 artiklan 6 kohdan (58 artiklan 2 kohdan nojalla annetun määräyksen noudattamatta jättäminen) nojalla.

104. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjää toimittamaan tiedon sen vuoden 2022 liikevaihdosta 30.3.2023 mennessä. Liikevaihdon toimittamiseen on myönnetty määräajanpidennys ensin 31.5.2023 asti ja tämän jälkeen määräaikaa on edelleen pidennetty 9.6.2023 asti. Rekisterinpitäjä ei ole toimittanut tietoa liikevaihdosta 9.6.2023 mennessä.

105. Rekisterinpitäjä ei ole edelleenkään toimittanut vuoden 2022 vahvistettua tilinpäätöstä tietosuojavaltuutetun toimiston seuraamuskollegion 13.6.2023 pitämään kokoukseen mennessä.

106. Tietosuojavaltuutetun toimisto on tästä syystä 12.6.2023 pyytänyt patentti- ja rekisterihallitukselta rekisterinpitäjän vuoden 2022 vahvistetun tilinpäätöksen. Patentti- ja rekisterihallitus on kertonut, ettei rekisterinpitäjä ole toimittanut sille 12.6.2023 mennessä vuoden 2022 vahvistettua tilinpäätöstä.

107. Tietosuojavaltuutetun toimisto on 13.6.2023 pyytänyt patentti- ja rekisterihallitusta toimittamaan rekisterinpitäjän vuoden 2021 vahvistetun tilinpäätöksen.

108. Koska rekisterinpitäjä ei ole toimittanut tietoa vuoden 2022 liikevaihdosta seuraamuskollegio arvioi seuraamusmaksun määrää vuoden 2021 vahvistetun liikevaihdon pohjalta. Rekisterinpitäjän vuoden 2021 liikevaihto on ollut 655 752 euroa. Nyt kyseessä olevassa tapauksessa rekisterinpitäjälle määrättävä hallinnollinen seuraamusmaksu saa olla enintään 20 000 000 euroa.

109. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio määrää rekisterinpitäjän maksamaan valtiolle kahdenkymmenenkolmen tuhannen (23.000) euron suuruisen hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla. Seuraamuskollegio katsoo 23.000 euron hallinnollisen seuraamusmaksun olevan tehokas, oikeasuhtainen ja varoittava.

Perustelut hallinnollisen seuraamusmaksun määräämiselle

Sovellettava lainsäädäntö

110. Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan yleisen tietosuoja-asetuksen rikkomisesta määrättävän hallinnollisen seuraamusmaksun määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

111. Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Nyt kyseessä olevassa pääasiassa tietosuojavaltuutettu on määrännyt rekisterinpitäjän saattamaan sen käsittelytoimet yleisen tietosuoja-asetuksen mukaiseksi, sekä antanut rekisterinpitäjälle huomautuksen. Hallinnollinen seuraamusmaksu määrätään siten 58 artiklan 2 kohdan b alakohdan lisäksi.

112. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan otettava asianmukaisesti huomioon seuraavat seikat:

a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus; b) rikkomisen tahallisuus tai tuottamuksellisuus; c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi; d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet; e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset; f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi; g) henkilötietoryhmät, joihin rikkominen vaikuttaa; h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa; i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen; j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.

113. Tietosuojavaltuutetun päätöksen mukaisesti rekisterinpitäjä on rikkonut yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukaisia säännöksiä. Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan b alakohdan (12–22 artiklat) mukaisten säännösten rikkomisesta määrätään 83 artiklan 5 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

114. Yleisen tietosuoja-asetuksen 83 artiklan 6 kohdan mukaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

115. Arvioitaessa hallinnollisen seuraamusmaksun määräämistä ja määrää, huomioon tulee ottaa edellä mainitut yleisen tietosuoja-asetuksen 83 artiklan kohdat. Asiaa arvioitaessa huomioon on otettava myös 29 artiklan mukaisen tietosuojaryhmän ohje hallinnollisten sakkojen soveltamisesta ja määräämisestä.

Rikkomisen vakavuutta koskeva arviointi

116. Rikkomisen vakavuutta koskevassa arvioinnissa huomioon on otettu yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a, b ja g alakohdat.

Rikkomuksen luonne

117. Nyt käsillä olevassa asiassa rikkomus on tietosuojavaltuutetun päätöksestä ilmenevällä tavalla kohdistunut rekisteröidyn yleisen tietosuoja-asetuksen 15 artiklan mukaisen tarkastusoikeuden toteuttamatta jättämiseen. Erityisesti kyse on ollut 15 artiklan 3 kohdan mukaisesta oikeudesta saada jäljennös puhelutallenteesta.

118. Nyt käsillä oleva asia ilmentää kokonaisuutena arvioiden laajempaa kuin yksittäistapauksia koskevaa yleisen tietosuoja-asetuksen rikkomista. Tietosuojavaltuutetun toimistoon on tullut lukuisia yhteydenottoja, jotka ilmentävät rekisterinpitäjän yleistä toimintatapaa.

119. Rikkomuksen luonteen osalta nyt käsillä olevassa asiassa on kyse myös valvontaviranomaisen antaman määräyksen noudattamatta jättämisestä. Rekisterinpitäjälle on annettu 5.3.2021 päätös , joissa on todettu, ettei kuuntelumahdollisuuden tarjoaminen ole yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukaista. Rekisterinpitäjälle on annettu määräys saattaa käsittelytoimet asetuksen mukaiseksi. Rekisterinpitäjä ei ole muuttanut käsittelytoimia määräyksen mukaisesti eikä tämä myöskään ole toimittanut apulaistietosuojavaltuutetun antaman määräyksen mukaisesti tietosuojavaltuutetun toimistolle tietoa siitä, mihin toimenpiteisiin se on ryhtynyt määräyksen johdosta.

120. Jos rekisterinpitäjä voisi jättää noudattamatta valvontaviranomaisen antaman määräyksen ilman asianmukaista seuraamusta, vaarantuisi yleisen tietosuoja-asetuksen tehokas ja yhdenmukainen täytäntöönpano, mikä aiheuttaisi merkittävän riskin rekisteröityjen oikeuksille ja vapauksille. Apulaistietosuojavaltuutetun antaman määräyksen tarkoituksena on ollut varmistaa, että rekisterinpitäjä muuttaa toimintatapansa yleisen tietosuoja-asetuksen mukaiseksi siten, että rekisteröidyllä on oikeus saada tiedot tarkastusoikeuden nojalla kirjallisesti ja tapauksen mukaan sähköisesti.

Seuraamuskollegio katsoo kokonaisuudessaan rikkomuksen luonteen puoltavan hallinnollisen seuraamusmaksun määräämistä.

Rikkomuksen vakavuus

121. Rikkomuksen vakavuutta koskevan arvioinnin kohdalla on huomioitava kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus.

122. Henkilötietojen käsittelyn luonteen ja tarkoituksen osalta seuraamuskollegio kiinnittää huomiota siihen, että rekisterinpitäjän ydinliiketoiminta pohjautuu henkilötietojen käsittelyyn. Kyseessä on yrityspalvelu, josta rekisteröidyt myös maksavat.

123. Henkilötietojen käsittelyn laajuuden osalta seuraamuskollegio toteaa, että kyse on kansallisesta toiminnasta. Käsittelyllä ei lähtökohtaisesti ole vaikutusta muissa EU:n jäsenvaltioissa sijaitseviin rekisteröityihin. Tätä seikkaa ei ole pidettävä rikkomuksen vakavuutta puoltavana tai rikkomuksen vakavuutta vähentävänä seikkana.

124. Rekisteröityjen lukumäärän osalta seuraamuskollegio kiinnittää huomiota siihen, että kyseessä ei ole vain yksittäistapaus. Tietosuojavaltuutettu on tutkinut oma-aloitteisesti rekisterinpitäjän yleistä ja vakiintunutta toimintatapaa sillä tietosuojavaltuutetun toimisto on saanut lukuisia yhteydenottoja, joissa on ollut kyse siitä, että rekisterinpitäjä ei ole toimittanut rekisteröidylle tallennetta puhelusta.

125. Rekisterinpitäjä ei ole osannut antaa tarkkaa lukumäärää siitä, kuinka monta yleisen tietosuoja-asetuksen 15 artiklan mukaista tarkastusoikeutta koskevaa pyyntöä se on vastaanottanut 8.3.2019 – 2.9.2022 välisenä aikana. Rekisterinpitäjä on kuitenkin kertonut sillä olleen kyseisenä aikavälinä 9386 asiakasta.

126. Rekisterinpitäjä on antamassaan selvityksessä katsonut tietosuojavaltuutetun toimistossa vireille saatetuiden asioiden lukumäärän olevan rekisterinpitäjän kokonaisasiakasmäärään nähden vähäinen. Vaikka vireille saatetuiden, tietosuojavaltuutetun päätöksessä huomioon otettujen seitsemän asian ei sinällään voi vielä katsoa ilmentävän sitä, että rikkomuksen kohteena olisi suuri määrä rekisteröityjä, kiinnittää seuraamuskollegio huomiota siihen, että tapaus ilmentää kokonaisuudessaan laajempaa kuin yksittäistapauksia koskevaa yleisen tietosuoja-asetuksen rikkomista. Kyse on edellä kerrotusti rekisterinpitäjän yleisestä toimintatavasta.

127. Painoarvoa ei siten voida antaa ainoastaan sille, kuinka moni rekisteröity on konkreettisesti pyrkinyt käyttämään oikeuksiaan kyseisenä ajanjaksona. Rekisteröityjen passiivisuutta ei voida lukea rekisterinpitäjän eduksi. Kyse ei edellä kerrotusti ole yksittäisestä rikkomisesta, vaan rekisterinpitäjän rekisteröidyn oikeuksien toteuttamisen edellyttämien asianmukaisten käytäntöjen puutteellisuudesta. Seuraamuskollegio ei voi sulkea pois sitä vaihtoehtoa, että rekisterinpitäjän rikkomus voisi vaikuttaa myös suurempaan määrään rekisteröityjä kuin vain tässä päätöksessä viitattuihin seitsemään rekisteröityyn, jotka ovat tehneet kantelun tietosuojavaltuutetun toimistolle.

128. Rekisteröidyille aiheutuneen vahingon suuruuden osalta seuraamuskollegio katsoo, että näyttöä rekisteröidyille aiheutuneesta vahingosta ei voida pitää seuraamusmaksun määräämisen edellytyksenä. Vaikka konkreettista vahinkoa ei ole tietosuojavaltuutetun suorittaman selvityksen aikana tullut ilmi, ei ole poissuljettua, että vahinkoa olisi voinut syntyä. Seuraamuskollegio kiinnittää huomiota tältä osin siihen, että suurilta osin rekisteröidyt ovat esittäneet tarkastusoikeutta koskevan pyynnön sen johdosta, että nämä ovat saaneet rekisterinpitäjältä sen syntyneeksi katsoman sopimuksen perusteella laskun.

129. Vaikka seuraamuskollegion tai tietosuojavaltuutetun toimiston toimivaltaan ei kuulu arvioida sitä, onko sopimus syntynyt, on kuitenkin sillä seikalla, että rekisteröity ei ole saanut rekisterinpitäjän kanssa käydyn puhelun tallennetta, vaikutusta siihen, että rekisteröidyt eivät ole pystyneet varmistumaan siitä, mitä tietoja rekisterinpitäjä on antanut puhelimessa ja muodostamaan tämän pohjalta arviota sopimuksen syntymisestä. Tästä rekisteröidyille mahdollisesti aiheutunutta vahinkoa on pidettävä rikkomuksen vakavuutta puoltavana seikkana.

Rikkomuksen kesto

130. Rikkomuksen keston osalta seuraamuskollegio kiinnittää huomiota siihen, että rekisterinpitäjän toimintatapana on ollut puhelutallenteen koosteen toimittaminen tai kuuntelumahdollisuuden antaminen 8.3.2019 – 2.9.2022 välisenä aikana. Kyse on siten ajallisesti suhteellisen pitkäkestoisesta rikkomuksesta.

131. Seuraamuskollegio kiinnittää keston osalta huomiota siihen, että rekisterinpitäjä on saanut tietosuojavaltuutetun toimistolta ensimmäisen päätöksen jo 5.3.2021. Kyseisessä päätöksessä on todettu, ettei kuuntelumahdollisuus täytä yleisen tietosuoja-asetuksen vaatimuksia. Kyseisessä päätöksessä on myös todettu, että puhelutallenne tulee toimittaa kirjallisena. Päätöksestä huolimatta rekisterinpitäjä on edelleen 3.4.2023 antamassa selvityksessä kertonut tarjoavansa tallenteen kuuntelumahdollisuutta.

132. Seuraamuskollegio katsoo edellä kerrotun perusteella, että rikkomuksen kesto puoltaa seuraamusmaksun määräämistä.

Rikkomisen tahallisuus tai tuottamuksellisuus

133. Tietosuojaryhmän ohjeessa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista, kun taas tahattomuudella tarkoitetaan sitä, että rikkominen ei ole ollut tahallista, vaikka rekisterinpitäjä rikkoisikin laissa edellytettyjä huolellisuusvelvoitteita. Tahallista rikkomista, joka ilmentää piittaamattomuutta lainsäädännöstä, pidetään edellä mainitun ohjeen mukaan yleisesti vakavampana kuin tahatonta rikkomista.

134. Rekisterinpitäjälle on 5.3.2022 annettu päätös, jossa on todettu, ettei tallenteen kuuntelumahdollisuus täytä yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan ja 15 artiklan 3 kohdan mukaisia edellytyksiä. Tästä huolimatta rekisterinpitäjä on edelleen 3.4.2023 antamassa selvityksessä kertonut, että se tarjoaa tallenteen kuuntelumahdollisuuden. Rekisterinpitäjä on antamassaan selvityksessä todennut, ettei tallenteen kuuntelumahdollisuus ole ainoa tapa toteuttaa oikeus, sillä rekisterinpitäjä on kuuntelumahdollisuuden ohella tarjonnut koostetta, ja joissain tapauksessa toimittanut litteroinnin. Tietosuojavaltuutetun päätöksen 76 kohdassa todetusti missään tietosuojavaltuutetun toimistolle vireille saatetussa asiassa litterointia ei oltu toimitettu.

135. Siltä osin kuin rekisterinpitäjä on selvityksessään vedonnut siihen, että kuuntelumahdollisuuden lisäksi rekisterinpitäjä on tarjonnut koosteen, seuraamuskollegio kiinnittää huomiota siihen, että rekisterinpitäjän on pitänyt viimeistään 21.10.2022 annetun päätöksen jälkeen olla tietoinen siitä, miten tarkastusoikeus puhelutallenteen osalta tulee toimittaa. Tietosuojavaltuutetun 21.10.2022 antamassa päätöksessä rekisterinpitäjää on ohjeistettu siitä, että tarkastusoikeuden nojalla toimitettavan jäljennöksen on vastattava puhelutallenteen sisältöä, jotta rekisteröity pystyy varmistumaan siitä, että käsiteltävät henkilötiedot ovat lainmukaisia. Päätöksessä on myös todettu, että mahdollisuus toimittaa tiedot muussa kuin alkuperäisessä muodossa (äänitiedostona) ei kuitenkaan tarkoita, että rekisterinpitäjä voisi muokata toimittamiaan henkilötietoja sellaiseksi, ettei rekisteröidylle toimitettavat tiedot vastaisi tietoja, joita rekisterinpitäjä käsittelee.

136. Edellä kerrotun perusteella seuraamuskollegio katsoo, että rekisterinpitäjän on siten tullut ymmärtää, ettei kooste täytä yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaista edellytystä.

137. Näin ollen seuraamuskollegio katsoo rekisterinpitäjän toiminnan olleen tahallista. Rekisterinpitäjä on tehnyt tietoisen valinnan olla noudattamatta yleisen tietosuoja-asetuksen säännöksiä päättäessään toteuttaa tarkastusoikeus tarjoamalla kuuntelumahdollisuutta tai toimittamalla koosteen.

138. Tahallisena voidaan pitää myös rekisterinpitäjän rikkomista, joka on koskenut sitä, ettei rekisterinpitäjä ole toimittanut tietosuojavaltuutetun toimistolle tietoa siitä, mihin toimenpiteisiin se on ryhtynyt apulaistietosuojavaltuutetun päätöksen johdosta. Mikäli rekisterinpitäjälle olisi ollut epäselvää, mitä päätöksen mukaisilla toimenpiteillä tai apulaistietosuojavaltuutetun päätöksellä tarkoitetaan, olisi rekisterinpitäjä voinut olla yhteydessä tietosuojavaltuutetun toimistoon tai asian ratkaisseeseen esittelijään.

139. Seuraamuskollegio katsoo edellä kerrotun perusteella, että rikkomuksen tahallisuuden puoltavan seuraamusmaksun määräämistä.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

140. Asiassa ei ole tullut ilmi seikkoja, joiden perusteella rekisterinpitäjä käsittelisi yleisen tietosuoja-asetuksen 9 artiklan mukaisia erityisiin henkilötietoryhmiin kuuluvia henkilötietoja.

Raskauttavien ja lieventävien tekijöiden arviointi

141. Hallinnollisen seuraamusmaksun määräämisestä ja määrästä päätettäessä on nyt kyseessä olevassa asiassa otettu huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan c – f ja h- i, ja k alakohdat.

Rekisterinpitäjän toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi

142. Tietosuojaryhmän ohjeessa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että rekisterinpitäjän olisi tehtävä kaikki voitavansa lieventääkseen rikkomisesta asianomaisille aiheutuvia seurauksia. Valvontaviranomainen voi ohjeen mukaan ottaa seuraamusmaksua laskettaessa huomioon tällaisen rekisterinpitäjän vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.

143. Kuten edellä on kerrottu, rekisterinpitäjää on ohjeistettu yleisen tietosuoja-asetuksen 15 artiklan mukaisen tarkastusoikeuden toteuttamisessa. Rekisterinpitäjä ei ole muuttanut toimintatapaansa päätösten johdosta. Rekisterinpitäjä ei siten ole tehnyt tarvittavia muutoksia rikkomuksen lieventämiseksi. Seuraamuskollegio ottaa tämän huomioon arviossaan raskauttavana seikkana.

Vastuun aste, ottaen huomioon rekisterinpitäjän 25 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet

144. Yleisen tietosuoja-asetuksen 25 artiklassa edellytetään, että rekisterinpitäjä ottaa toiminnassaan huomioon ”uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille. Rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöön-panoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.”

145. Seuraamuskollegio katsoo, ettei rekisterinpitäjä ole riittävällä tavalla ryhtynyt asianmukaisiin toimiin täyttääkseen yleisen tietosuoja-asetuksen mukaiset velvollisuudet ja varmistunut siitä, että sen toiminnassa otetaan käyttöön asianmukaiset organisatoriset toimenpiteet rekisteröidyn oikeuksien toteuttamiseksi. Tällaisia toimenpiteitä on esimerkiksi toimenpide, jolla varmistetaan, että rekisteröidyt voivat valvoa tietojenkäsittelyä.

146. Rekisterinpitäjä ei ole tietosuojavaltuutetun toimiston päätösten jälkeenkään muuttanut toimintatapaansa yleisen tietosuoja-asetuksen mukaiseksi. Seuraamuskollegio ottaa tämän huomioon arviossaan raskauttavana seikkana.

Aiemmat vastaavat rikkomiset ja aikaisemmin määrätyt samaa asiaa koskevat toimenpiteet

147. Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että valvontaviranomaisen olisi arvioitava rikkomiseen syyllistyneen yksikön suorittaman henkilötietojen käsittelyn historiatietoja. Valvontaviranomaisten olisi otettava huomioon, että tältä osin arviointi voi olla hyvin laaja, sillä minkä tahansa tyyppinen yleisen tietosuoja-asetuksen säännösten rikkominen, vaikka se poikkeaisi luonteeltaan valvontaviranomaisen nyt tutkimasta rikkomisesta, voi olla merkityksellinen arvioinnin kannalta, sillä se saattaa antaa yleisellä tasolla viitteitä riittämättömistä tiedoista tai tietosuojasäännösten noudattamatta jättämisestä.

148. Rekisterinpitäjälle on annettu rekisterinpitäjää koskevat kaksi päätöstä, joissa on ollut kyse tarkastusoikeutta koskevasta asiasta puhelutallenteen osalta. Aiemmat päätökset on otettu huomioon vastuun astetta koskevassa arviossa.

Yhteistyön aste valvontaviranomaisen kanssa ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon

149. Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että rekisterinpitäjän yhteistyön aste voidaan ottaa ”asianmukaisesti huomioon”, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Ohjeen mukaan merkityksellisenä seikkana voidaan ottaa huomioon se, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin kyseisen tapauksen tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä.

150. Yleisen tietosuoja-asetuksen 31 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Tietosuojaryhmän hallinnollisten sakkojen soveltamisesta ja määräämisestä antaman ohjeen mukaan ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.

151. Yleisen tietosuoja-asetuksen säännöksiä rikkova rekisterinpitäjän toiminta on tullut tietosuojavaltuutetun toimiston tietoon lukuisten yhteydenottojen kautta.

152. Rekisterinpitäjä ei ole päätöksen kohdassa 16 todetun mukaisesti vastannut tietosuojavaltuutetun toimiston lisätietopyyntöön, joka on koskenut sitä, onko rekisterinpitäjä katsonut koosteen olevan yleisen tietosuoja-asetuksen mukainen jäljennös. Rekisterinpitäjä ei edelleenkään 3.4.2023 antamassa selvityksessä ole toimittanut selkeätä vastausta tähän. Rekisterinpitäjän kuulemispyyntöön antama selvitys on myös ollut ristiriitainen . Seuraamuskollegio katsoo, että rekisterinpitäjä ei tältä osin ole liioin pyrkinyt toimimaan yhteistyössä tietosuojavaltuutetun toimiston kanssa.

153. Kokonaisuutena arvioiden seuraamuskollegio ottaa tämän huomioon arviossaan raskauttavana seikkana.

Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet.

Tietosuojavaltuutettu Anu Talus

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa

Apulaistietosuojavaltuutettu Annina Hautala

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Mari-Ilona Korhonen, p. 029 56 66725

Sovelletut lainkohdat

Euroopan parlamentin ja neuvoston asetus ((EU) 2016/679) 12 artikla 1, 2 ja 6 kohta, 15 artikla 3 kohta, 58 artikla 2 kohta b ja i alakohta, 83 artikla 1, 2, 5 ja 6 kohta.

Tietosuojalaki (1050/2018) 24 §

Hallintolaki (434/2003) 11 §, 34 §

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Päätös ei ole lainvoimainen.