suoramarkkinointi - suostumus - rekisteröidyn oikeudet - rekisteröidyn oikeus saada pääsy tietoihin

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	23.07.2020
Diaarinumero:	3891/152/2019

ASIA

Rekisteröidyn oikeus saada pääsy tietoihin

Hakijan vaatimukset perusteluineen

Hakija on 10.5.2019 ollut yhteydessä tietosuojavaltuutetun toimistoon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 15 artiklan mukaisen oikeuden saada pääsy tietoihin toteuttamiseksi. Hakija on saanut rekisterinpitäjältä vastausta pyyntöönsä.

Hakijalta saatu selvitys

Hakija kertoo saaneensa rekisterinpitäjältä suoramarkkinointiviestin, jonka johdosta hakija on 31.1.2019 ollut yhteydessä rekisterinpitäjään sähköpostitse ja pyytänyt saada 15 artiklan 1 kohdan mukaisia tietoja. Hakija ei ole saanut rekisterinpitäjältä vastausta 5.8.2019 mennessä.

Rekisterinpitäjältä saatu selvitys

Selvityspyyntö 15.8.2019

Tietosuojavaltuutetun toimisto on 15.8.2019 päivätyllä selvityspyynnöllä pyytänyt rekisterinpitäjältä selvitystä hakijan kantelun johdosta.

Rekisterinpitäjä on markkinoinut samannimisiä kursseja samansisältöisillä markkinointiviesteillä kuin Acc Consulting Oy, joka on asetettu konkurssiin 6.6.2018. Acc Consulting Oy:n kursseja koskevasta toiminnasta on vastannut sama henkilö, joka vastaa keskeisiltä osin rekisterinpitäjän kursseja koskevasta toiminnasta. Rekisterinpitäjän toiminimi on yritys- ja yhteystietojärjestelmän mukaan rekisteröity 7.11.2012. Hakija on saanut rekisterinpitäjältä suoramarkkinointia keväällä 2019, jolloin rekisterinpitäjä on ollut toimintakykyinen. Hakijan saaman suoramarkkinointiviestin lähettäjä on näin ollen ollut rekisterinpitäjä, eikä 2018 konkurssiin asetettu Acc Consulting Oy.

Rekisterinpitäjä on antanut selvityksen 11.10.2019. Selvityksen mukaan, hakijan puhelinnumero, johon suoramarkkinointia on kohdistettu, on ollut yrityksen käytössä. Rekisterinpitäjä on todennut, että sen käsityksen mukaan yrityksille saa kohdistaa suoramarkkinointia ilman vastaanottajan suostumusta. Rekisterinpitäjä on myös selvityksessään kertonut epäilleensä jonkun toisen tahon tehneen ilkivaltaa ja lähettäneen rekisterinpitäjän nimissä suoramarkkinointiviestejä.

Rekisterinpitäjä on antanut selvityksen 11.10.2019. Rekisterinpitäjä ei ole vastannut sille selvityspyynnössä esitettyihin kysymyksiin.

Lisäselvityspyyntö 3.1.2020

Tietosuojavaltuutetun toimisto ei ole saanut rekisterinpitäjältä vastausta 15.8.2019 päivätyssä selvityspyynnössä esitettyyn kysymykseen siitä, miksi rekisterinpitäjä ei ole toteuttanut hakijan esittämää yleisen tietosuoja-asetuksen 15 artiklan mukaista oikeutta. Tämän vuoksi apulaistietosuojavaltuutettu on lähettänyt rekisterinpitäjälle 3.1.2020 päivätyn tiedustelun, jossa rekisterinpitäjälle on vielä varattu tilaisuus toimittaa selvitys siitä, miksei tätä oikeutta ole toteutettu.

Rekisterinpitäjä ei kuitenkaan ole toimittanut vastausta tähän tiedusteluun. Rekisterinpitäjä on ainoastaan kertonut, ettei se pysty kertomaan onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaisen oikeuden, tai vastaanottanut oikeutta koskevaa pyyntöä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi.

Hakijan vastine

Hakijalta ei ole pyydetty vastinetta. Kuulemista on pidetty hallintolain (434/2003) 34 §:n 2 momentin 5 kohdan mukaisesti ilmeisen tarpeettomana. Hakijan kanssa on keskusteltu puhelimessa asian selvittämiseksi ja lisätietojen saamiseksi. Hakijan laajempi kuuleminen ei olisi vaikuttanut asian ratkaisuun.

Rekisterinpitäjän kuuleminen

Kevään 2019 aikana tietosuojavaltuutetun toimistossa on saatettu vireille rekisterinpitäjän toimintaa koskevia kanteluita yhteensä 11 kappaletta. Kantelut ovat koskeneet sähköistä suoramarkkinointia ja rekisteröidyn yleisen tietosuoja-asetuksen mukaisien oikeuksien toteuttamista. Nyt käsillä oleva asia on yksi näistä edellä mainitusta 11 kantelusta.

Rekisterinpitäjälle on 3.3.2020 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä tietosuojavaltuutetun toimistoon vireille saatetuista 11 kantelusta sekä antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asioiden ratkaisuun. Rekisterinpitäjälle on varattu myös mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.

Apulaistietosuojavaltuutettu on selvittänyt teleoperaattoreilta niiden puhelinnumeroiden liittymien haltija tietoja, joista hakijat ovat saaneet suoramarkkinointia. Teleoperaattorilta saatujen tietojen mukaan suoramarkkinointia on kohdistettu rekisteröityihin puhelinnumeroista, jotka ovat rekisterinpitäjän ja sen alaisuudessa työskentelevien henkilöiden käytössä. Apulaistietosuojavaltuutettu on varannut rekisterinpitäjälle tilaisuuden lausua myös näistä asiaa selvitettäessä ilmitulleista seikoista.

Rekisterinpitäjä on kuulemispyynnön johdosta ollut 9.3.2020 yhteydessä asian esittelijään ja pyytänyt asian esittelijää toimittamaan uudestaan kuulemispyyntöä koskevien hakijoiden rekisterinpitäjältä saamat suoramarkkinointiviestit ja hakijoiden rekisterinpitäjälle lähettämät ”kieltoviestit”. Rekisterinpitäjä on kertonut selvittävänsä, onko se itse lähettänyt suoramarkkinointiviestit vai onko joku muu taho lähettänyt suoramarkkinointiviestit rekisterinpitäjän nimissä. Rekisterinpitäjälle on 29.3.2020 lähetetty uudestaan 11.2.2020 toimitetut hakijoiden saamat suoramarkkinointiviestit tai vaihtoehtoisesti hakijalta saatu tieto numerosta, josta suoramarkkinointia on lähetetty, jos alkuperäinen suoramarkkinointiviesti ei ole ollut tallessa.

Rekisterinpitäjä on vastannut kuulemispyyntöön 15.5.2020. Rekisterinpitäjä on kertonut poistaneensa hakijan markkinointirekisteristä 11.5.2019.

Rekisterinpitäjä ei ole vastauksessaan toimittanut pyydettyä vuoden 2019 eikä vuoden 2018 tilinpäätöstä, vaan ainoastaan tiedon vuoden 2019 liikevaihdostaan. Asian esittelijä on 10.6.2020 pyytänyt rekisterinpitäjää toimittamaan tilinpäätöksen 15.6.2020 mennessä. Rekisterinpitäjä on annetun määräajan jälkeen 19.6.2020 ilmoittanut pyytävänsä tilinpäätöksen tilitoimistolta. Rekisterinpitäjä ei tästä huolimatta ole toimittanut tilinpäätöstä 10.7.2020 mennessä. Tämän johdosta apulaistietosuojavaltuutettu on pyytänyt tilinpäätöksen tietosuojalain (1050/2018) 18 §:n nojalla Verohallinnolta.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999). Tietosuojalain 8 §:n mukaan tietosuojavaltuutettu toimii yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena. Tietosuojalain 24 artiklan mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15-22 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan helpotettava 15-22 artiklan mukaisten oikeuksien käyttämistä.

Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15-22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.

Yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan mukaan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia.

Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin ja seuraavat tiedot: a) käsittelyn tarkoitus, b) kyseessä olevat henkilötietoryhmät, c) vastaanottajat tai vastaanottajaryhmät, d) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit, e) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä, f) oikeus tehdä valitus valvontaviranomaiselle, g) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot, ja h) automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

OIKEUDELLINEN KYSYMYS

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679, tietosuojalain (1050/2018) ja sähköisen viestinnän palveluista annetun lain (917/2014) pohjalta. Asiassa on arvioitavana seuraavat oikeudelliset kysymykset:

1) onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaisen oikeuden saada pääsy tietoihin yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan ja 15 artiklan mukaisesti.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS PERUSTELUINEEN

Päätös

Rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 15 artiklan mukaista oikeutta saada pääsy tietoihin yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan ja 15 artiklan mukaisesti.

Määräys

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen toteuttaa hakijan 15 artiklan mukainen oikeus.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa toimintatapa 15 artiklan mukaisen oikeuden toteuttamisessa yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan ja 15 artiklan mukaisiksi.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 18.9.2020 mennessä.

Huomautus

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Rekisterinpitäjä on laiminlyönyt hakijan yleisen tietosuoja-asetuksen 12 ja 15 artiklan mukaisten rekisteröidyn oikeuksien toteuttamisen.

Ottaen huomioon kyseinen päätös ja päätöksestä ilmenevät yleisen tietosuoja-asetuksen säännösten laiminlyönnit sekä se, että rekisterinpitäjän toimintaa koskevia vastaavia kanteluita on saatettu tietosuojavaltuutetun toimistossa vireille kevään 2019 aikana yhteensä 11 kappaletta, tietosuojavaltuutetun toimiston seuraamuskollegion on arvioitava tuleeko rekisterinpitäjälle asettaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu muiden edellä mainittujen seuraamusten lisäksi. Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut erillisen päätöksen seuraamusmaksun määräämisestä.

Perustelut

Hakija kertoo saaneensa rekisterinpitäjältä suoramarkkinointiviestin, jonka johdosta hakija on 31.1.2019 ollut yhteydessä rekisterinpitäjään sähköpostitse ja pyytänyt saada 15 artiklan 1 kohdan mukaisia tietoja. Hakija ei ole saanut rekisterinpitäjältä vastausta 5.8.2019 mennessä.

Rekisterinpitäjä on 15.5.2020 toimittamassaan vastauksessa kertonut poistaneensa hakijan markkinointirekisteristä 11.5.2019.

Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole toimittanut hakijalle yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaisesti ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa tietoa siitä, mihin toimenpiteisiin se on ryhtynyt hakijan pyynnön johdosta. Apulaistietosuojavaltuutettu toteaa myös, ettei rekisterinpitäjä ole toteuttanut hakija oikeutta, sillä hakija ei ole saanut rekisterinpitäjältä vastausta 31.1.2019 esittämäänsä pyyntöönsä 5.8.2019 mennessä.

Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjä on kertonut lisänneensä hakijan markkinointilistalle, vaikka hakija ei ole esittänyt suoramarkkinointia koskevaa kieltoa.

Lopuksi apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole järjestänyt henkilötietojen käsittelyä koskevia toimintatapojaan niin, että se pystyisi kertomaan, onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaisen oikeuden, tai vastaanottanut oikeutta koskevaa pyyntöä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan rekisterinpitäjän on käsiteltävä henkilötietoja lainmukaisesti, asianmukaisesti ja rekis-teröidyn kannalta läpinäkyvästi. Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, että se pystyy osoittamaan sen, että 1 kohtaa on noudatettu (osoitusvelvollisuus). Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole pystynyt osoittaman käsitelleensä henkilötietoja lainmukaisesti, sillä se ei ole pystynyt osoittamaan ja samalla itse varmistumaan siitä, onko se vastaanottanut tai toteuttanut rekisteröidyn esittämän rekisteröidyn oikeuksia koskevan pyynnön.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 5 artikla 2 kohta, 12 artikla 1, 2, 3 ja 5 kohta, 58 artikla 2 kohta b, c, d ja i alakohta

Tietosuojalain (1050/2018) 8 §, 18 § ja 24 §

Hallintolain (434/2003) 34 §

Päätös on lainvoimainen.