suoramarkkinointi - suostumus - rekisteröidyn oikeudet - rekisteröidyn oikeus vastustaa käsittelyä

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	23.07.2020
Diaarinumero:	3918/157/2019

ASIA

Sähköinen suoramarkkinointi ja rekisteröidyn oikeus saada tiedot poistetuksi ja vastustaa henkilötietojen käsittelyä suoramarkkinointiin

Hakijan vaatimukset perusteluineen

Hakija on 13.5.2019 ollut yhteydessä tietosuojavaltuutetun toimistoon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 17 artiklan tietojen poistoa koskevan oikeuden ja 21 artiklan 2 kohdan mukaisen suoramarkkinointia koskevan vastustamisoikeuden toteuttamiseksi. Hakija on esittänyt rekisterinpitäjälle tietojen poistoa koskevan pyynnön puhelimitse ja suoramarkkinointia koskevan kiellon rekisterinpitäjän pyytämällä tavalla. Hakija on kiellostaan huolimatta yhä saanut sähköistä suoramarkkinointia.

Hakija ei ole antanut suostumusta sähköiseen suoramarkkinointiin.

Hakijalta saatu selvitys

Hakija kertoo saaneensa rekisterinpitäjältä suoramarkkinointiviestejä 18.3., 21.3., 17.4. ja 10.5.2019. Suoramarkkinointia on lähetetty ainakin numerosta 045 2023053 (17.4.2019). Hakija kertoo vastanneensa viesteihin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Hakija kertoo myös soittaneensa rekisterinpitäjälle ja keskustelleensa kahteen kertaan rekisterinpitäjän edustajan kanssa puhelimessa, jolloin hakija on esittänyt tietojensa poistoa koskevan pyynnön. Hakija kertoo rekisterinpitäjän edustajan kertoneen kyseessä olleen tekninen virhe ja luvanneen poistaa hakijan numeron. Tästä huolimatta hakija on edelleen saanut sähköistä suoramarkkinointia.

Rekisterinpitäjältä saatu selvitys

Selvityspyyntö 19.8.2019

Tietosuojavaltuutetun toimisto on 19.8.2019 päivätyllä selvityspyynnöllä pyytänyt rekisterinpitäjältä selvitystä hakijan kantelun johdosta.

Rekisterinpitäjä on markkinoinut samannimisiä kursseja samansisältöisillä markkinointiviesteillä kuin Acc Consulting Oy, joka on asetettu konkurssiin 6.6.2018. Acc Consulting Oy:n kursseja koskevasta toiminnasta on vastannut sama henkilö, joka vastaa keskeisiltä osin rekisterinpitäjän kursseja koskevasta toiminnasta. Rekisterinpitäjän toiminimi on yritys- ja yhteystietojärjestelmän mukaan rekisteröity 7.11.2012.

Hakija on saanut rekisterinpitäjältä suoramarkkinointia keväällä 2019, jolloin rekisterinpitäjä on ollut toimintakykyinen. Hakijan saaman suoramarkkinointiviestin lähettäjä on näin ollen ollut rekisterinpitäjä, eikä 2018 konkurssiin asetettu Acc Consulting Oy.

Rekisterinpitäjä on antanut selvityksen 11.10.2019. Selvityksen mukaan, hakijan puhelinnumero, johon suoramarkkinointia on kohdistettu, on ollut yrityksen käytössä. Rekisterinpitäjä on todennut, että sen käsityksen mukaan yrityksille saa kohdistaa suoramarkkinointia ilman vastaanottajan suostumusta. Rekisterinpitäjä on myös selvityksessään kertonut epäilleensä jonkun toisen tahon tehneen ilkivaltaa ja lähettäneen rekisterinpitäjän nimissä suoramarkkinointiviestejä.

Selvityksen lisäksi rekisterinpitäjä on toimittanut liitteenä hakijaa koskevia tietoja, joista ilmenee yritys, jossa hakija on töissä ja yrityksen puhelinnumero.

Lisäselvityspyyntö 3.1.2020

Tietosuojavaltuutetun toimisto ei ole saanut rekisterinpitäjältä vastausta 19.8.2019 päivätyssä selvityspyynnössä esitettyyn kysymykseen siitä, miksi rekisterinpitäjä ei ole toteuttanut hakijan esittämää yleisen tietosuoja-asetuksen 21 artiklan mukaista oikeutta. Tämän vuoksi apulaistietosuojavaltuutettu on lähettänyt rekisterinpitäjälle 3.1.2020 päivätyn tiedustelun, jossa rekisterinpitäjälle on vielä varattu tilaisuus toimittaa selvitys siitä, miksei tätä oikeutta ole toteutettu.

Rekisterinpitäjä on 17.1.2020 pyytänyt tietosuojavaltuutetun toimistolta ohjeistusta siihen, saako yritys tehdä toiselle yritykselle tekstiviestimarkkinointia. Lisäksi rekisterinpitäjä on kertonut, että se on nyt lopettanut tekstiviestimarkkinoinnin. Rekisterinpitäjälle on vastattu 11.2.2020 ja kerrottu sähköisestä suoramarkkinoinnista ja yhteisölle kohdistetun suoramarkkinoinnin edellytyksistä. Nämä samat tiedot ovat olleet saatavilla tietosuojavaltuutetun toimiston verkkosivuilla.

Rekisterinpitäjä ei ole antanut vastausta hakijan asiassa. Rekisterinpitäjä on sille muissa tietosuojavaltuutetun toimistoon vireille saatetuissa asioissa lähetettyjen selvityspyyntöjen vuoksi toimittanut tietosuojavaltuutetulle tiedon siitä, että kaikki numerot, joihin se on kohdistanut suoramarkkinointia, ovat yrityksen käytössä. Rekisterinpitäjän mukaan tämä osoittaa sen, että markkinointia ei ole tehty yksityisille ihmisille. Ainoa suoramarkkinointiin liittyvä tietokanta, joka rekisterinpitäjällä on, on niin sanottu estolista. Näissä muissa asioissa, joissa on myös pyydetty selvityspyyntö, rekisterinpitäjä ei ole pystynyt kertomaan, onko se toteuttanut rekisteröityjen yleisen tietosuoja-asetuksen mukaisen oikeuden, tai vastaanottanut oikeutta koskevaa pyyntöä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi.

Hakijan vastine

Hakijalle on varattu hallintolain (434/2003) 34 §:n mukainen mahdollisuus antaa vastine rekisterinpitäjän selvityspyynnön johdosta. Hakija on antanut vastineensa 24.12.2019. Vastineessa hakija kertoo, ettei rekisterinpitäjän edustajan antamalla lupauksella poistaa hakija tiedot ole ollut vaikutusta sillä hakija on edelleen saanut sähköistä suoramarkkinointia.

Rekisterinpitäjän kuuleminen

Kevään 2019 aikana tietosuojavaltuutetun toimistossa on saatettu vireille rekisterinpitäjän toimintaa koskevia kanteluita yhteensä 11 kappaletta. Kantelut ovat koskeneet sähköistä suoramarkkinointia ja rekisteröidyn yleisen tietosuoja-asetuksen mukaisien oikeuksien toteuttamista. Nyt käsillä oleva asia on yksi näistä edellä mainitusta 11 kantelusta.

Rekisterinpitäjälle on 3.3.2020 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä tietosuojavaltuutetun toimistoon vireille saatetuista 11 kantelusta sekä antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asioiden ratkaisuun. Rekisterinpitäjälle on varattu myös mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.

Apulaistietosuojavaltuutettu on selvittänyt teleoperaattoreilta niiden puhelinnumeroiden liittymien haltija tietoja, joista hakijat ovat saaneet suoramarkkinointia. Teleoperaattorilta saatujen tietojen mukaan suoramarkkinointia on kohdistettu rekisteröityihin puhelinnumeroista, jotka ovat rekisterinpitäjän ja sen alaisuudessa työskentelevien henkilöiden käytössä. Apulaistietosuojavaltuutettu on varannut rekisterinpitäjälle tilaisuuden lausua myös näistä asiaa selvitettäessä ilmitulleista seikoista.

Rekisterinpitäjä on kuulemispyynnön johdosta ollut 9.3.2020 yhteydessä asian esittelijään ja pyytänyt asian esittelijää toimittamaan uudestaan kuulemispyyntöä koskevien hakijoiden rekisterinpitäjältä saamat suoramarkkinointiviestit ja hakijoiden rekisterinpitäjälle lähettämät ”kieltoviestit”. Rekisterinpitäjä on kertonut selvittävänsä, onko se itse lähettänyt suoramarkkinointiviestit vai onko joku muu taho lähettänyt suoramarkkinointiviestit rekisterinpitäjän nimissä. Rekisterinpitäjälle on 29.3.2020 lähetetty uudestaan 11.2.2020 toimitetut hakijoiden saamat suoramarkkinointiviestit tai vaihtoehtoisesti hakijalta saatu tieto numerosta, josta suoramarkkinointia on lähetetty, jos alkuperäinen suoramarkkinointiviesti ei ole ollut tallessa.

Rekisterinpitäjä on vastannut kuulemispyyntöön 15.5.2020. Rekisterinpitäjä on kertonut poistaneensa hakijan markkinointirekisteristä 11.5.2019. Lisäksi rekisterinpitäjä on kertonut sen yrityksen, jossa hakija työskentelee, kuuluvan rekisterinpitäjän asiakassegmenttiin.
Rekisterinpitäjä ei ole vastauksessaan toimittanut pyydettyä vuoden 2019 eikä vuoden 2018 tilinpäätöstä, vaan ainoastaan tiedon vuoden 2019 liikevaihdostaan. Asian esittelijä on 10.6.2020 pyytänyt rekisterinpitäjää toimittamaan tilinpäätöksen 15.6.2020 mennessä. Rekisterinpitäjä on annetun määräajan jälkeen 19.6.2020 ilmoittanut pyytävänsä tilinpäätöksen tilitoimistolta. Rekisterinpitäjä ei tästä huolimatta ole toimittanut tilinpäätöstä 10.7.2020 mennessä. Tämän johdosta apulaistietosuojavaltuutettu on pyytänyt tilinpäätöksen tietosuojalain (1050/2018) 18 §:n nojalla Verohallinnolta.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999). Tietosuojalain 8 §:n mukaan tietosuojavaltuutettu toimii yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena. Tietosuojalain 24 artiklan mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Sähköisestä suoramarkkinoinnista säädetään sähköisen viestinnän palveluista annetun lain (917/2014; myöhemmin myös viestintäpalvelulaki) 24 luvun 200 ja 202 §:ssä. Kyseisen lain 305 §:n 1 momentin 4 kohdan mukaan tietosuojavaltuutettu valvoo suoramarkkinointia koskevien 200 ja 202-204 §:n säännösten noudattamista.

Sähköinen suoramarkkinointi ja suostumus suoramarkkinointiin

Viestintäpalvelulain 200 §:n 1 momentin mukaan automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Viestintäpalvelulain 202 §:n 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Pykälän 2 momentin mukaan yhteisölle on annettava mahdollisuus helposti ja ilman erillistä maksua kieltää yhteystietojensa käyttö jokaisen suoramarkkinointitarkoituksessa lähetetyn sähköpostiviestin, tekstiviestin, puheviestin, ääniviestin ja kuvaviestin yhteydessä. Suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Sähköisen viestinnän tietosuojadirektiivin 2002/57/EY (saatettu kansallisesti voimaan 1.1.2015 kumotulla sähköisen viestinnän tietosuojalailla 516/2004, nykyinen viestintäpalvelulaki) 2 artiklan 2 kohdan f alakohdassa määritellään käyttäjän tai tilaajan suostumus. Suostumuksella tarkoitetaan sähköisen viestinnän tietosuojadirektiivissä samaa kuin rekisteröidyn suostumuksella yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (henkilötietodirektiivi). Henkilötietodirektiivi on kumottu yleisellä tietosuoja-asetuksella, minkä vuoksi asetuksen 94 artiklan mukaan sitä sovelletaan henkilötietodirektiivin sijaan. Myös Euroopan unionin tuomioistuin on Planet49-asiassa antamansa tuomion kappaleessa 63 todennut, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä. Näin ollen asiassa tulee suostumuksen edellytysten osalta sovellettavaksi yleisen tietosuoja-asetuksen suostumusta koskeva sääntely.

Suostumuksella tarkoitetaan yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Suostumuksen edellytyksistä puolestaan säädetään yleisen tietosuoja-asetuksen 7 artiklassa.

Kyseisen artiklan 1 kohdan mukaan tietojenkäsittelyn perustuessa suostumukseen, on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Saman 7 artiklan 2 kohdan mukaan, jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Artiklan kohdan 3 mukaan rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Artiklan 4 kohdan mukaan arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Sähköisen viestinnän tietosuojadirektiivin 15 artiklan 2 kohdassa viitataan henkilötietodirektiivin III jakson säännöksiin oikeuskeinoista, vastuista ja seuraamuksista. Niitä sovelletaan ottaen huomioon sähköisen viestinnän tietosuojadirektiivin mukaisesti annetut kansalliset säännökset ja tästä direktiivistä johtuvat henkilökohtaiset oikeudet. Tässäkin viittaus henkilötietodirektiiviin on luettava yleisen tietosuoja-asetuksen 94 artiklan mukaisesti viittauksena tietosuoja-asetukseen.

Käsillä olevassa tilanteessa suostumuksen vaatimus sinällään seuraa viestintäpalvelulaista, jota on edellä kuvatuin tavoin luettava yhdessä yleisen tietosuoja-asetuksen kanssa. Viestintäpalvelulaissa ei kuitenkaan säännellä suostumuksen edellytyksistä, eikä siinä voitaisikaan säätää, joten niihin sovelletaan yleistä tietosuoja-asetusta, jossa suostumuksen edellytyksistä on säädetty.

Koska käsillä olevassa asiassa on edellä kuvatuin perustein kyse henkilötietojen käsittelyyn liittyvän suostumuksen yleisen tietosuoja-asetuksen mukaisista edellytyksistä, on tietosuojavaltuutettu toimivaltainen tältä osin myös käyttämään yleisen tietosuoja-asetuksen 58 artiklassa määriteltyjä toimivaltuuksia.

Rekisteröidyn yleisen tietosuoja-asetuksen 3 luvun mukaiset oikeudet

Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15-22 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan helpotettava 15-22 artiklan mukaisten oikeuksien käyttämistä.

Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15-22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.

Yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan mukaan 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia.

Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, ellei henkilötietojen käsittely ole tarpeen 17 artiklan 3 kohdan mukaisesti.

Yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan, jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten. Saman artiklan 3 kohdan mukaan, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

Yleisen tietosuoja-asetuksen 21 artiklan 4 kohdan mukaan viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 21 artiklan 2 kohdan oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta.

OIKEUDELLINEN KYSYMYS

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679, tietosuojalain (1050/2018) ja sähköisen viestinnän palveluista annetun lain (917/2014) pohjalta. Asiassa on arvioitavana seuraavat oikeudelliset kysymykset:

1) onko rekisterinpitäjä kohdistanut hakijaan sähköistä suoramarkkinointia;

2) jos rekisterinpitäjä on kohdistanut hakijaan suoramarkkinointia, onko rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ollut yhteisölle kohdistettua suoramarkkinointia; ja

3) onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen 17 artiklan ja 21 artiklan 2 kohdan mukaiset oikeudet yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 17 artiklan ja 21 artiklan 2 ja 3 kohdan mukaisesti.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS PERUSTELUINEEN

Päätös

Rekisterinpitäjä on kohdistanut hakijaan sähköistä suoramarkkinointia.

Rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ei ole ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia, vaan luonnolliselle henkilölle kohdistettua viestintäpalvelulain 200 §:n 1 momentin mukaista suoramarkkinointia, johon vaaditaan ennalta annettu suostumus, jota hakija ei ole antanut.

Rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 17 artiklan mukaista oikeutta saada tiedot poistetuksi 12 artiklan 1 ja 3 kohdan ja 17 artiklan mukaisesti. Rekisterinpitäjä ei ole myöskään toteuttanut hakijan 21 artiklan mukaista oikeutta vastustaa henkilötietojen käsittelyä suoramarkkinointiin 12 artiklan 1 ja 3 kohdan ja 21 artiklan 2 ja 3 kohdan mukaisesti.

Rekisterinpitäjän toimintatapa rekisteröidyn oikeuksien toteuttamiseksi ei ole vastannut yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 17 artiklan eikä 21 artiklan 2 ja 3 kohdan säännöksiä.

Määräys

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen toteuttaa hakijan yleisen tietosuoja-asetuksen 17 artiklan mukainen oikeus saada tiedot poistetuksi.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa toimintatapa 12, 17 ja 21 artiklan mukaisten oikeuksien toteuttamisessa yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan, 17 artiklan ja 21 artiklan 2 ja 3 kohdan mukaisiksi.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 18.9.2020 mennessä.

Apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän korjaamaan viestintäpalvelulain 202 §:n mukaisen toimintatapansa yhteisölle kohdistetun suoramarkkinoinnin osalta. Apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän ilmoittamaan tietosuojavaltuutetun toimistolle velvoitteen johdosta tehdyt muutokset 18.9.2020 mennessä.

Huomautus

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Rekisterinpitäjä on laiminlyönyt hakijan yleisen tietosuoja-asetuksen 12, 17 ja 21 artiklan mukaisten rekisteröidyn oikeuksien toteuttamisen, laiminlyönyt rekisterinpitäjälle kuuluvan 5 artiklan 2 kohdan mukaisen osoitusvelvollisuuden sekä käsitellyt henkilötietoja ilman yleisen tietosuoja-asetuksen mukaisen suostumuksen edellytysten täyttymistä.

Ottaen huomioon kyseinen päätös ja päätöksestä ilmenevät yleisen tietosuoja-asetuksen säännösten laiminlyönnit sekä se, että rekisterinpitäjän toimintaa koskevia vastaavia kanteluita on saatettu tietosuojavaltuutetun toimistossa vireille kevään 2019 aikana yhteensä 11 kappaletta, tietosuojavaltuutetun toimiston seuraamuskollegion on arvioitava tuleeko rekisterinpitäjälle asettaa yleisen tietosuoja-asetuksen 58 artik-lan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu muiden edellä mainittujen seuraamusten lisäksi. Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut erillisen päätöksen seuraamusmaksun määräämisestä.

Perustelut

Hakijaan kohdistettu suoramarkkinointi

Hakija on saanut sähköistä suoramarkkinointia numerosta 045 2023053. Teleoperaattorilta saadun tiedon mukaan kyseinen numero ei ole 2.1.2019 lähtien ollut kenenkään asiakkaan käytössä. Suoramarkkinointia on kuitenkin lähetetty tietosuojavaltuutetun toimistoon vireille saatetussa asiassa hakijan toimittaman suoramarkkinointiviestin mukaan rekisterinpitäjän toimesta.

Edellä kerrotun perusteella apulaistietosuojavaltuutettu katsoo selvitetyksi, että rekisterinpitäjän alaisuudessa työskentelevä henkilö on kohdistanut rekisterinpitäjän nimissä hakijaan rekisterinpitäjän tarjoamia kursseja koskevaa suoramarkkinointiviestintää.

Suoramarkkinoinnin arvioiminen

Suoramarkkinointi yhteisölle

Viestintäpalvelulain 202 §:n 1 momentin mukaan suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Pykälän 2 momentin mukaan suoramarkkinointia harjoittavan on selkeästi tiedotettava kieltomahdollisuudesta.

Viestintäpalvelulain 202 § vastaa sähköisen viestinnän tietosuojalain 516/2004 (kumottu lailla sähköisen viestinnän palveluista, ”viestintäpalvelulaki”) 27 §:ää. Sähköisen viestinnän tietosuojalain hallituksen esityksessä (HE 125/2003 vp, s. 80) todetaan seuraavaa ”Luonnolliselta henkilöltä tulee aina pyytää etukäteinen suostumus. Epäselvissä tapauksissa tulee asetettua velvoitetta etukäteisestä suostumuksesta pitää pääsääntönä. Jos esimerkiksi työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@yritys.fi, on lähtökohtaisesti osoitetta pidettävä luonnollisen henkilön osoitteena ja etukäteinen suostumus suoramarkkinointiin on saatava. Henkilön asemavaltuuden perusteella voidaan katsoa, että hän toimii yhteisössä tietyissä tehtävissä, joihin suoramarkkinoinnilla tarjottavat hyödykkeet ja palvelut olennaisesti liittyvät, ja tällöin osoitteen voidaan katsoa kuuluvan ehdotetun pykälän mukaisesti yritykselle tai muulle yhteisölle. Tällöin etukäteissuostumusta ei tarvita, vaan kyseisellä henkilöllä on ehdotetun 27 §:n mukainen kielto-oikeus.”

Apulaistietosuojavaltuutettu on tiedustellut rekisterinpitäjältä, miksi se on kohdistanut hakijaan sähköistä suoramarkkinointia. Rekisterinpitäjä on kertonut sen yrityksen, jossa hakija työskentelee, kuuluvan rekisterinpitäjän asiakassegmenttiin. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle antamansa selvityksen liitteenä hakijaa koskevia tietoja, joista ilmene muun muassa yritys, jossa hakija työskentelee ja puhelinnumero. Tiedoista ei kuitenkaan käy ilmi hakijan asema kyseisessä yrityksessä.

Edellä mainitun hallituksen esityksen HE 125/2003 vp. mukaan suoramarkkinoinnin osalta pääsääntönä on aina pidettävä suostumusta. Suostumuksen vaatimuksesta voidaan kyseisen hallituksen esityksen mukaan kuitenkin poiketa, jos suoramarkkinointia kohdistetaan sellaiseen yhteisössä toimivaan luonnolliseen henkilöön, joka toimii yhteisössä sellaisissa tehtävissä, että henkilön asemavaltuuden perusteella voidaan katsoa suoramarkkinointiviestissä markkinoitujen hyödykkeiden ja palveluiden olennaisesti liittyvän henkilön työtehtäviin. Olennaista on siten asemavaltuus, jonka perusteella luonnolliseen henkilöön voidaan kohdistaa yhteisölle tarkoitettua suoramarkkinointia. Viestintäpalvelulaissa eikä hallituksen esityksessä (125/2003 vp.) ole määritelty tarkemmin asemavaltuutusta. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän tulee ennen suoramarkkinoinnin kohdistamista yhteisössä toimivalle luonnolliselle henkilölle, selvittää kyseisen henkilön asema yhteisössä, jotta rekisterinpitäjä voi arvioida, liittyvätkö suoramarkkinointiviestissä markkinoidut hyödykkeet ja palvelut olennaisesti henkilön tehtäviin.

Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ole arvioinut eikä selvittänyt hakijan asemavaltuutta ja etenkin sitä, liittyykö rekisterinpitäjän markkinoimat kurssit olennaisesti hakijan tehtäviin, joka kuitenkin olisi apulaistietosuojavaltuutetun mukaan hallituksen esityksen (125/2003 vp.) mukaisesti rekisterinpitäjän velvollisuus ennen kuin se voi ryhtyä kohdistamaan suoramarkkinointia luonnolliseen henkilöön yhteisönä. Apulaistietosuojavaltuutettu toteaa, ettei pelkästään se seikka, että henkilö työskentelee jossain yrityksessä, joka kuuluu rekisterinpitäjän asiakassegmenttiin ja että tämän yrityksen työntekijän työsuhdepuhelimen numero on yrityksen käytössä, tarkoita, että luonnollisella henkilöllä työntekijänä olisi asemavaltuus vastaanottaa viestintäpalvelulain 202 §:ssä tarkoitettua suoramarkkinointia. Olennaista on sen sijaan henkilön työtehtävien olennainen liittyminen niihin hyödykkeisiin ja palveluihin, joita suoramarkkinointiviestillä on markkinoitu.

Edellä kerrotun perusteella apulaistietosuojavaltuutettu toteaa, ettei rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ole ollut yhteisölle kohdistettua suoramarkkinointia.

Suoramarkkinointi luonnolliselle henkilölle

Viestintäpalvelulain 200 §:n 1 momentin mukaan sähköistä suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Kuten edellä apulaistietosuojavaltuutettu on todennut, rekisterinpitäjän hakijaan kohdistama suoramarkkinointi ei ole ollut viestintäpalvelulain 202 §:n mukaista yhteisölle kohdistettua suoramarkkinointia. Näin ollen rekisterinpitäjä on kohdistanut hakijaan luonnollisena henkilönä suoramarkkinointia. Viestintäpalvelulain 200 §:n 1 momentin mukaan luonnolliselle henkilölle saa kohdistaa suoramarkkinointia vain, jos henkilö on antanut siihen ennalta suostumuksen.

Apulaistietosuojavaltuutettu katsoo, että asiassa ei ole tarpeellista arvioida erikseen sitä, onko hakija antanut suostumuksensa sähköiseen suoramarkkinointiin, sillä rekisterinpitäjä on katsonut, ettei sen ole tarvinnut pyytää hakijalta suostumusta. Asiassa on siten riidatonta, ettei rekisterinpitäjä ole pyytänyt hakijalta suostumusta sähköiseen suoramarkkinointiin ja ettei hakija ole siten antanut suostumusta siihen. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on kohdistanut hakijaan sähköistä suoramarkkinointia ilman hakijan ennalta antamaa suostumusta.

Rekisterinpitäjä ei ole pyytänyt hakijalta yleisen tietosuoja-asetuksen mukaista suostumusta viestintäpalvelulain 200 §:n 1 momentin mukaiseen luonnolliselle henkilölle kohdistettuun sähköiseen suoramarkkinointiin. Näin ollen apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjällä ei ole ollut yleisen tietosuoja-asetuksen 7 artiklan mukaista suostumusta käsitellessään hakijan henkilötietoja sähköiseen suoramarkkinointiin.

Hakijan yleisen tietosuoja-asetuksen 17 ja 21 artiklan mukaiset oikeudet

Hakija kertoo saaneensa rekisterinpitäjältä suoramarkkinointiviestejä 18.3., 21.3., 17.4. ja 10.5.2019. Hakija kertoo vastanneensa viesteihin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Hakija kertoo myös soittaneensa rekisterinpitäjälle ja keskustelleensa kahteen kertaan rekisterinpitäjän edustajan kanssa puhelimessa, jolloin hakija on esittänyt tietojensa poistoa koskevan pyynnön. Hakija kertoo rekisterinpitäjän edustajan kertoneen kyseessä olleen tekninen virhe ja luvanneen poistaa hakijan numeron. Tästä huolimatta hakija on edelleen saanut sähköistä suoramarkkinointia.

Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toimittanut hakijalle yleisen tietosuoja-asetuksen 12 artiklan 3 kohdan mukaisesti ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa tietoa siitä, mihin toimenpiteisiin se on ryhtynyt hakijan yleisen tietosuoja-asetuksen 17 ja 21 artiklan mukaisen pyynnön johdosta. Apulaistietosuojavaltuutettu toteaa myös, että rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 17 eikä 21 artiklan mukaisia oikeuksia, sillä hakija on pyynnöstään huolimatta edelleen saanut sähköistä suoramarkkinointia.

Lopuksi apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole järjestänyt henkilötietojen käsittelyä koskevia toimintatapojaan niin, että se pystyisi kertomaan, onko se toteuttanut hakijan yleisen tietosuoja-asetuksen mukaiset oikeudet, tai vastaanottanut näitä oikeuksia koskevia pyyntöjä, sillä se tyhjentää sähköpostin säännöllisesti tietoturvan vuoksi. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan rekisterinpitäjän on käsiteltävä henkilötietoja lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, että se pystyy osoittamaan sen, että 1 kohtaa on noudatettu (osoitusvelvollisuus). Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole pystynyt osoittaman käsitelleensä henkilötietoja lainmukaisesti, sillä se ei ole pystynyt osoittamaan ja samalla itse varmistumaan siitä, onko se vastaanottanut tai toteuttanut rekisteröidyn esittämän rekisteröidyn oikeuksia koskevan pyynnön.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artikla 11 kohta, 5 artikla 2 kohta, 7 artikla, 12 artikla 1, 2, 3 ja 5 kohta, 21 artikla 2, 3 ja 4 kohta, 58 artikla 2 kohta b, c, d ja i alakohta

Tietosuojalain (1050/2018) 8 §, 18 § ja 24 §

Hallintolain (434/2003) 34 §

Sähköisen viestinnän palveluista annetun lain (917/2014) 200 § 1 momentti, 202 §, 330 §

Päätös on lainvoimainen.