Edilex-palvelut

Kirjaudu sisään

TSV 19.3.2021

Henkilötietojen käsittely pysäköinninvalvontamaksujen yhteydessä: rekisteröidyn oikeuksien toteuttaminen ja tietojen säilytysaikojen rajoittaminen

Rekisteröidyn oikeudet - Säilytysaika - Oikeus poistaa tiedot - Tarkastusoikeus

Säädösperusta: EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä: 19.3.2021
Diaarinumero: 3361/182/2018

Asia

Hakija on 18.6.2018 saattanut tietosuojavaltuutetun toimistossa vireille asian, jossa on kysymys ParkkiPate Oy:n suorittamasta henkilötietojen käsittelystä. Hakija on tehnyt pyynnön saada pääsy tietoihin (”tarkastusoikeus”) sekä pyytänyt, että häntä koskevat henkilötiedot poistetaan. Hakija on kertonut, että hän oli sittemmin saanut paperijäljennökset hänen ja rekisterinpitäjän välisestä sähköpostikirjeenvaihdosta sekä kuvat tuolloin tuoreimmista tapauksista. Lopulta hakija oli kertomansa mukaan saanut nämä myös sähköisinä. Hakija ei kuitenkaan kertomansa mukaan ollut saanut vanhimpia tietojaan. Hakija ei kertomansa mukaan ole saanut vahvistusta tietojen poistamisesta. Hakija on lisäksi kyseenalaistanut sen, että rekisteröidyn on täytettävä tietty lomake oikeuksiensa käyttämiseksi. Lomakkeella pyydetään hakijan mukaan tietoja, joita rekisterinpitäjällä ei ennestään ole.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjältä on pyydetty selvitystä tietosuojavaltuutetun toimiston toimesta. Rekisterinpitäjä on antanut selvityksensä 19.5.2020.

Hakijan tarkastusoikeutta koskeva pyyntö

Annetussa selvityksessä on todettu, että rekisterinpitäjä on täysimääräisesti toteuttanut hakijan oikeuden päästä tietoihin (ns. tarkastusoikeutta koskevan pyynnön) 19.7.2018, jolloin hakijalle oli toimitettu kaikkien sillä hetkellä rekisteriin kirjattujen valvontamaksujen tiedot, pysäköinninvalvonnan yhteydessä otetut valokuvat ajoneuvosta ja reklamaatiokäsittelyn viestit.

Tietoihin pääsy

Annetussa selvityksessä on todettu, että rekisterinpitäjällä on käytössään vakiomuotoinen lomake, joka rekisteröityä pyydetään täyttämään tietoihinsa päästäkseen. Lomakkeella pyydetään seuraavia tietoja tarkastuspyynnön esittäjältä: valvontamaksun asianumero, etunimi, sukunimi, henkilötunnus, osoite (lähiosoite, postinumero ja postitoimipaikka) ja sähköpostiosoite.

Lomakkeella pyydetään ilmoittamaan kaikki ne tiedot, joiden rekisterinpitäjä on katsonut olevan tarpeen riittävän yksilöinnin kannalta. Rekisterinpitäjä on katsonut, että on erittäin tärkeää, että se voi varmistua pyynnön esittäjän henkilöllisyydestä ja näin välttää tietojen päätymisen ulkopuolisten osapuolten käsiin. Osoitetiedot (sähköpostiosoite sekä postiosoite) ovat tarpeen, jotta rekisterinpitäjä voi toimittaa vastauksensa rekisteröidyn pyyntöön. Tiedot voi tarvittaessa toimittaa myös postitse.

Mikäli valvontaviranomainen katsoo, että olisi tehokkaampi tapa todentaa yhteydenottajan henkilöllisyys, on rekisterinpitäjä antamassaan selvityksessä pyytänyt tätä asiaa koskevaa ohjeistusta, jotta se voi täsmentää nykyisiä käytäntöjään paremmin tietosuojasääntelyä vastaavaksi.

Tietojen säilyttäminen

Hakijan pyyntöä tietojen poistamisesta ei ole toteutettu sillä rekisterinpitäjä on katsonut, että rekisterinpitäjän lakisääteiset velvoitteet (kuten kirjanpitolaki) sekä mahdolliset oikeudelliset jatkotoimet ovat estäneet tietojen poistamisen. Hakijan tietoja säilytetään niin kauan kuin se suinkin on mahdollista ja oikeasuhtaista (ks. etenkin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohta).

Hakijan tiedot tullaan säilyttämään valvontamaksun osalta hakijan tietojen poistamista koskevasta pyynnöstä huolimatta kirjanpitolakiin perustuen (ks. yleisen tietosuoja-asetuksen 17 artikla 3 kohdan b alakohta). Kirjanpitolain 10 §:n 2 momentin mukaan kirjanpitoaineisto on säilytettävä vähintään kuusi vuotta sen vuoden lopusta, jonka aikana tilikausi on päättynyt. Saatavien luonne ns. reaalisopimukseen perustuvina yksityisinä valvontamaksuina johtaa siihen, että rekisterinpitäjä säilyttää itsellään kirjanpitotarkoituksiin vastaajan ajoneuvosta otetut valvontakuvat sekä jäljennöksen rekisteröidylle toimitetusta valvontamaksulomakkeesta.

Tämän lisäksi on mahdollista, että rekisterinpitäjä tulee saattamaan kysymyksessä olevan valvontamaksusaatavan alioikeuden käsittelyyn (tietosuoja-asetuksen 17 artiklan 3 kohdan e alakohta). Rekisterinpitäjä pitää hakijaa vakiintuneen oikeuskäytännön perusteella maksuvelvollisena kysymyksessä olevaan valvontamaksuun nähden, eikä hakijan reklamaatioillaan esiin tuomat seikat muuta rekisterinpitäjän käsitystä. Tuomioistuinkäsittelyyn rekisterinpitäjä tulee turvautumaan, kun se katsoo tällaisen käsittelyn ajankäytöllisesti ja kulukysymyksen näkökulmasta aiheelliseksi (huomaa ns. Access to Court -periaatteen negatiivinen puoli). Rekisterinpitäjä on lisäksi ilmoittanut, että saatavan vanhentuminen tullaan estämään.

Asiassa tehdyt ja mahdolliset tulevat toimenpiteet

Annetun selvityksen lopuksi on todettu, että tietoja ei poisteta kirjanpidollisista syistä ja, koska rekisterinpitäjä harkitsee asiassa oikeudellisen vaateen esittämistä (so. velkomusasian saattamista käräjäoikeuden käsiteltäväksi).

Hakijan vastine

Hakijalle on varattu mahdollisuus antaa vastineensa asiassa. Hakija ei ole antanut vastinetta.

Kuuleminen

Rekisterinpitäjälle on 26.6.2020 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä. Rekisterinpitäjä on antanut vastauksensa 28.7.2020. Seuraavassa esitetään rekisterinpitäjälle kuulemispyynnössä esitetyt kysymykset ja rekisterinpitäjän niihin antamat vastaukset. Selvyyden vuoksi on todettava, että kuulemispyynnön kohteena oli yhteensä 11 tietosuojavaltuutetun toimistolle tehtyä kantelua ajalla 27.3.2017–20.5.2020. Kaikissa kanteluissa ei ole ollut kysymys samoista oikeudellisista kysymyksistä. Asiat on kuitenkin hallintolain 5 luvun 25 §:ssä säädetysti valmisteltu yhdessä ja ratkaistu samalla kertaa.

Millä tavalla rekisterinpitäjä toimittaa rekisteröidyille yleisen tietosuoja-asetuksen 14 artiklassa tarkoitetut tiedot?

Kun virheellinen pysäköintitapahtuma havaitaan ja niin sanottu yksityisoikeudellinen valvontamaksu maksutietoineen jätetään virheellisesti pysäköidyn ajoneuvon tuulilasinpyyhkijän alle, rekisterinpitäjän edustaja valokuvaa virheellisesti pysäköidyn ajoneuvon, jolloin rekisterinpitäjä saa haltuunsa ainoana rekisteröityä koskevana henkilötietona rekisteröidyn ajoneuvon rekisteritunnuksen. Valokuvauksen hetkellä jokaiselle yksittäiselle virhepysäköintitapaukselle annetaan myös oma erillinen valvontamaksunumeronsa.

Laskutus- ja perintäpalvelua rekisterinpitäjän puolesta toteuttava XX Oy selvittää Liikenne- ja viestintävirasto Traficomilta kysymyksessä olevien rekisteritunnusten omaavien ajoneuvojen haltijat / ja tai omistajat, joihin suorittamattomien valvontamaksuasioiden perintätoimet kohdistetaan. Kuulemispyyntöön annetussa vastauksessa on todettu, että rekisterinpitäjä ei saa haltuunsa tällaisia haltijatietoja, jolloin sen hallussa on ainoastaan kutakin virheellisesti pysäköityä ajoneuvoa koskevat valvontavalokuvat (ml. ajoneuvon rekisteritunnus) sekä mahdollisesti myöhemmän reklamaatiokäsittelyn / tietosuojatiedusteluiden yhteydessä rekisterinpitäjälle toimitetut henkilötiedot.

Kuulemispyyntöön annetussa vastauksessa on todettu, että rekisterinpitäjä toimittaa yleisen tietosuoja-asetuksen 14 artiklassa edellytetyt tiedot seuraavasti: 1) ajoneuvon tuulilasinpyyhkijän alle jätettävällä valvontamaksulomakkeella (kuulemispyyntöön annetun vastauksen liite 1), 2) rekisterinpitäjän verkkosivuilla nähtävillä olevien tiedoin (muun muassa tietosuojasivusto, tietosuojaseloste ja yhteystiedot) ja 3) suorittamatta olevien valvontamaksujen kohdalla XX Oy:n toimittamin kirjein (kuulemispyyntöön annetun vastauksen liite 2).

Kuulemispyyntöön annetussa vastauksessa on edelleen todettu, että rekisteröidyksi ilmoittautuvan henkilön kääntyessä rekisterinpitäjän puoleen liittyen yleiseen tietosuoja-asetukseen perustuviin oikeuksiinsa taikka reklamoidakseen saamastaan valvontamaksusta, rekisterinpitäjä on keskittänyt käsittelyn verkkosivuiltaan löytyvään reklamaatiojärjestelmään sekä tietosuojatiedustelulomakkeeseen. Annetussa vastauksessa on esitetty reklamaatiojärjestelmän mahdollistavan sen, että reklamaatiota harkitseva henkilö saa reklamaatiojärjestelmän kautta pääsyn kaikkiin tiettyä valvontamaksua koskeviin tietoihin, mikäli hänellä on hallussaan valvontamaksunumero ja ajoneuvon rekisteritunnus.

Lopuksi tähän liittyen on todettu olevan yleistä, että henkilöt väittävät, että he eivät olisi pysäköineet tiettyä ajoneuvoa taikka vastaavasti joku toinen henkilö ilmoittaa olevansa vastuussa toisen henkilön ajoneuvon pysäköimisestä. Rekisterinpitäjä on esittänyt tämän tuovan tavanomaista suurempia haasteita tietosuoja-asioiden sekä reklamaatioiden asianmukaiseen hoitoon.

Mikäli edellä tarkoitetut tiedot toimitetaan rekisteröidyille verkkosivuiltanne löytyvän tietosuojaselosteen välityksellä, miten ja milloin rekisteröidyille annetaan tieto selosteesta?

Kuulemispyyntöön annetussa vastauksessa on kerrottu, että rekisteröidyksi itsensä esittävä henkilö saa tiedon rekisteriselosteesta, kun tämä henkilö vetoaa yleisellä tietosuoja-asetuksella säädettyihin oikeuksiinsa. Tällöin rekisterinpitäjä toimittaa tiedustelijalle niin sanotun tietosuojavastauksen, jossa annetaan tietoa rekisteröidyn oikeuksista sekä mainitaan muun muassa tietosuojaseloste (kuulemispyyntöön annetun vastauksen liite 3). Vastauksessa on lisäksi todettu, että maininta tietosuojaan liittyvistä oikeuksista voidaan sisällyttää valvontamaksulomakkeeseen ja / tai XX Oy:n perintäkirjeisiin, mikäli tietosuojavaltuutettu katsoo sen tarkoituksenmukaiseksi.

Kuinka moni rekisteröity on ilmaissut halukkuutensa saada pääsy omiin tietoihinsa henkilötunnustaan tai jotakin muuta vaadittua tietoa teille kuitenkaan luovuttamatta. Toisin sanoen, kuinka moni rekisteröity ei ole saanut pääsyä omiin tietoihinsa sen vuoksi, että ette ole suostunut käsittelemään tehtyä pyyntöä ilman vaadittuja tietoja (ajalla 25.5.2018→)?

Rekisterinpitäjä on vastauksenaan ilmoittanut tällaisia tapauksia olevan kaikkiaan 11 kappaletta.

Kuinka monta tarkastusoikeutta koskevaa pyyntöä olette suostuneet käsittelemään ajalla 25.5.2018 →?

Rekisterinpitäjä on vastauksenaan ilmoittanut tällaisia tapauksia olevan kaikkiaan 236 kappaletta.

Kuinka monta tietojen poistoa koskevaa pyyntöä olette jättäneet käsittelemättä sillä perusteella, että teille ei ole annettu vaatimianne tietoja?

Rekisterinpitäjä on vastauksenaan ilmoittanut tällaisia tapauksia olevan kaikkiaan 28 kappaletta.

Kuinka monta reklamaatiota olette jättäneet käsittelemättä sillä perusteella, että teille ei ole annettu vaatimianne tietoja (25.5.2018 →)?

Annetussa vastauksessa on todettu, että käytettävissä olevat keinot eivät mahdollista kysymykseen vastaamista.

Kuinka moni sellainen reklamoitu yksityisoikeudellinen pysäköinninvalvontamaksu on lopulta maksettu, jota koskevaa reklamaatiota ette ole suostuneet käsittelemään (25.5.2018 →)?

Annetussa vastauksessa on todettu, että käytettävissä olevat keinot eivät mahdollista kysymykseen vastaamista. Rekisterinpitäjä on lisäksi esittänyt näkemyksenään, että tietosuojaa koskeviin oikeuksiin vetoaminen ei vapauta sen mahdollisia velallistahoja ratkaisuun KKO:2010:23 perustuvasta velvollisuudesta suorittaa rekisterinpitäjän avoin saatava.

Kuinka monelle eri henkilölle olette antaneet yksityisoikeudellisen pysäköinninvalvontamaksun 25.5.2018 lukien?

Annetussa vastauksessa on todettu, että käytettävissä olevat keinot eivät mahdollista kysymykseen vastaamista. Rekisterinpitäjä ei ilmoittamansa mukaan tilastoi kulloinkin valvontamaksujen kohteena olevia henkilöitä, vaan valvontamaksujen kappalemääriä. Tietyille ajoneuvoille saatetaan määrätä useampia valvontamaksuja ja tietyt henkilöt saavat valvontamaksuja useammille eri ajoneuvoille. Rekisterinpitäjällä ei kertomansa mukaan ole hallussaan kuin ajoneuvojen rekisteritunnukset eikä pyydetyn kaltaista tilastointia ole tehty.

Rekisterinpitäjälle on varattu mahdollisuus kertoa kuulemispyynnössä arvioiduista yleisen tietosuoja-asetuksen rikkomisista suoraan tai välillisesti saaduista mahdollisista taloudellisista eduista tai rikkomisilla vältetyistä tappioista.

Rekisterinpitäjä ei näkemyksensä mukaan ole rikkonut yleistä tietosuoja-asetusta. Mikäli kuitenkin valvontaviranomainen katsoisi näin tehdyn, on rekisterinpitäjä ilmoittanut olevansa vakaasti sitä mieltä, että mahdollisesta rikkomuksesta ei ole saatu minkäänlaista taloudellista etua. Kuulemispyyntöön annetussa vastauksessa on edelleen todettu, että yleisen tietosuoja-asetuksen tarkka noudattaminen on pikemminkin sitonut resursseja ja aiheuttanut yhtiölle merkittäviä kustannuksia.

Rekisterinpitäjä on ilmoittanut katsovansa, että kaikki sen saatavat ovat perusteltuja ja perustuslailla taatun omaisuuden suojan turvaamia. Rekisterinpitäjä on edelleen esittänyt näkemyksenään, että niin sanotun tarkastusoikeuden käyttäminen taikka tietojen poistaminen ei tavalla eikä toisella mitätöi rekisterinpitäjän avoimia saatavia.

Tieto ParkkiPate Oy:n kanssa samaan konserniin kuuluvien yhtiöiden yhteenlasketusta vuotuisesta liikevaihdosta vuodelta 2019 (jos vuoden 2019 tietoa ei ole saatavilla, arvio tällaisesta tiedosta sekä tieto vuoden 2018 vastaavasta luvusta).

ParkkiPate Oy:n (2707938-8) kanssa samaan konserniin kuuluvat APV Alueellinen Pysäköintivalvonta Oy (2333789-6) ja Suomen Aluevalvonta Oy (2328319-7). Mainittujen yhtiöiden yhteen-laskettu vuotuinen liikevaihto vuodelta 2019 on kokonaisuudessaan 12.367.668,07 euroa.

Rekisterinpitäjän muu vastaus kuulemispyyntöön

Yleistä

Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä on ilmoittanut, että sillä ei ole minkäänlaista intressiä toimia vastoin tietosuojalainsäädäntöä. Mikäli valvontaviranomainen katsoo, että olisi olemassa rekisteröityjen tietosuojaa paremmin turvaava tapa todentaa kunkin rekisterinpitäjään yhteyttä ottaneen henkilön henkilöllisyys, on rekisterinpitäjä ilmoittanut pyytävänsä valvontaviranomaiselta asiaa koskevaa ohjeistusta täsmentääkseen nykyisiä käytäntöjään.

Selvyyden vuoksi rekisterinpitäjä on korostanut sillä olevan lähtökohtaisesti hallussaan vain ajoneuvonsa väärin pysäköineiden henkilöiden ajoneuvojen rekisteritunnukset. Rekisterinpitäjä on edelleen korostanut saavansa muita henkilötietoja haltuunsa reklamaatioiden ja tietosuojapyyntöjen kautta. Rekisterinpitäjä on lisäksi todennut, että tällaisten yhteydenottajien suhde rekisterinpitäjän ja sen asiakkaan väliseen sopimussuhteeseen on epävarma. Rekisterinpitäjä on viitannut korkeimman oikeuden ratkaisuun KKO:2010:23 ja todennut, että tämän ratkaisun mukaan rekisterinpitäjän sopimuskumppani on tietyn ajoneuvon virheellisesti pysäköinyt henkilö.

Rekisterinpitäjä on esittänyt näkemyksenään, että se on menetellyt nyt kysymyksessä olevissa asioissa asianmukaisesti ja voimassa olevan tietosuojalainsäädännön edellyttämällä tavalla. Rekisterinpitäjä on kertonut reagoineensa kaikkiin sille asianmukaisesti tehtyihin tietosuojapyyntöihin.

Oikeudesta saada pääsy tietoihin

Kuulemispyyntöön annetussa vastauksessa on viitattu yleisen tietosuoja-asetuksen 12 artiklan 2 kohtaan, jossa on säädetty, että rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edelleen on säädetty, että 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15–22 artiklan mukaisten oikeuksien käyttämiseksi ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä. Saman artiklan 6 kohdan mukaan puolestaan, jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan taas henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”).

Rekisterinpitäjä on esittänyt näkemyksenään, että sillä on oikeus kieltäytyä toimittamasta tietoja, jos se ei pysty riittävällä tavalla tunnistamaan rekisteröityä. Rekisterinpitäjä on ilmoittanut, että tarkastusoikeutta koskevan pyynnön epäämisen perusteena on kussakin tapauksessa ollut pyynnön esittäjän riittämätön yksilöinti. Asioissa, joissa pääsyä tietoihin ei ole sallittu, rekisteröidyn esittämästä pyynnöstä on käynyt ilmi ainoastaan rekisteröidyn nimi sekä valvontamaksun asianumero. Rekisterinpitäjä ei ole pitänyt näitä tietoja riittävinä pyynnön esittäjän tunnistamiseksi. Tietosuojalomakkeella on pyydetty muun muassa henkilötunnusta ja osoitetietoa. Rekisterinpitäjän esittämän näkemyksen mukaan pyydetyt tiedot vastaavat aiemmin voimassa olleen henkilötietolain aikaista käytäntöä. Reklamaatiojärjestelmässä on pyydetty valvontamaksun numeroa sekä ajoneuvon rekisteritunnusta, eikä henkilötunnusta ole edellytetty. Tämä on johtunut siitä, että tietoturvan kannalta ei ole varsinaista merkitystä sillä, kuka rekisterinpitäjälle kulloinkin reklamoi, mutta ulkopuolisille ei voida tietosuojakyselyiden kautta antaa kolmansien henkilötietoja. Rekisterinpitäjä on esittänyt, että henkilötunnuksen pyytämisellä on pyritty varmistamaan se, että pyynnöt ovat aitoja, ja että niiden asianmukaisuus voidaan ainakin jälkikäteen selvittää ilmoitettua henkilötunnusta käyttäen, mikäli esimerkiksi valvontaviranomainen selvittäisi tietojen joutumista mahdollisesti vääriin käsiin.

Valvontamaksuasioita on kerrottu olevan tuhansia, mistä johtuen pelkkä ilmoitettu nimi ja valvontamaksun asianumero eivät rekisterinpitäjän näkemyksen mukaan takaa sitä, että rekisteröidyn oikeuksia koskeva pyyntö voidaan kohdistaa oikeaan ja riittävästi yksilöityyn rekisterinpitäjän sopimusosapuoleen. Edelleen on esitetty, että rekisteröidyksi itseään väittävän nimi voi olla luonteeltaan hyvin yleinen (”Matti Virtanen”) ja asianumeron sisältämän valvontamaksulomakkeen on voinut saada tietyn ajoneuvon tuulilasinpyyhkijän alta ilkivaltatarkoituksissa. Rekisterinpitäjä on todennut olevansa sopimussuhteessa nimenomaan tietyn ajoneuvon pysäköineen henkilön kanssa (ks. KKO:2010:23), jolloin rekisterinpitäjän on asioitava juuri tämän henkilön kanssa. Mitään valmista sopimusdokumentaatiota tai muuta vastaavaa ei ole olemassa, jonka perusteella rekisterinpitäjä voisi yhdistää tietosuojapyynnön tehneen henkilön ajoneuvon pysäköinnistä vastaavaan (lähes aina tuntematon) henkilöön. Kun tämä osapuolten välisen sopimussuhteen erityisluonne otetaan huomioon, rekisterinpitäjän tietosuoja-asioiden käsittelyssä pyytämiä tietoja voidaan rekisterinpitäjän esittämän näkemyksen mukaan pitää oikeasuhteisina ja tarpeellisina, jotta yleisen tietosuoja-asetuksen tarkoitusperät eivät vaarannu, ja että tietoja ei luovuteta muille kuin niihin oikeutetuille.

Rekisterinpitäjä on pitänyt menettelyään ainoana mahdollisena, jolla se voi varmistaa myös oman oikeusturvansa. Rekisterinpitäjä on esittänyt näkemyksenään, että verkkolomakkeen tulee olla tietosisällöltään siinä määrin laaja, että vain ja ainoastaan todelliseen oikeussuhteeseen perustuvat tietosuojapyynnöt tulevat käsiteltäviksi, eikä rekisterinpitäjä anna valheellisiin pyyntöihin liittyen tai epähuomiossa ulos henkilötietoja muille kuin rekisteröidyille sopimusosapuolilleen. Rekisterinpitäjä on edelleen esittänyt pitävänsä osoitetietoja (sähköpostiosoite sekä postiosoite) tarpeellisina, jotta se voi tarvittaessa toimittaa vastauksensa postitse rekisteröidyn tietosuojaa koskevaan pyyntöön.

Reklamaation yhteydessä on ilmoitettava myös sen ajoneuvon rekisteritunnus, jota reklamaatio koskee. Rekisterinpitäjä on pitänyt tätä tarpeellisena kohdistaakseen reklamaation oikeaan valvontamaksuun. Rekisterinpitäjä on katsonut, että se ei voisi riittävällä tavalla tunnistaa, mistä valvontamaksusta on kysymys pelkän asianumeron perusteella. Tieto rekisteritunnuksesta on sellainen tieto, joka rekisterinpitäjällä on jo entuudestaan hallussaan. Rekisterinpitäjä on ilmoittanut myös reklamaatiokäsittelyssä vaativansa osoitetiedon ilmoittamista, jotta se voi riittävällä tavalla varmistua reklamaation tekijän henkilöllisyydestä. Reklamaatiovastaus voi rekisterinpitäjän mukaan olla tarpeen toimittaa asiakkaalle myös postitse.

Lopuksi rekisterinpitäjä on ilmoittanut, että reklamaatiokäsittelyssä se ei vaadi tietoa henkilötunnuksesta. Rekisterinpitäjä on ilmoittanut nyt luopuvansa edellyttämästä henkilötunnusta tietosuojalomakkeellaan. Rekisterinpitäjä on tässä yhteydessä ilmaissut huolensa siitä, saadaanko tiedot kussakin yksittäistapauksessa aina toimitettua vain ja ainoastaan niihin oikeutetuille.

Tietojen säilytyksen rajoittaminen ja tietojen poistaminen

Kuulemispyyntöön annetussa vastauksessa on edelleen todettu, että rekisteröityjen pyyntöä henkilötietojen rajoittamisesta tai poistamisesta ei ole toteutettu, sillä rekisterinpitäjän esittämän näkemyksen mukaan sen velvoitteet (kuten kirjanpitolaki) sekä mahdolliset oikeudelliset jatkotoimet ovat estäneet tietojen poiston. Rekisterinpitäjä on ilmoittanut säilyttävänsä rekisteröityjen henkilötietoja niin kauan kuin se suinkin on mahdollista ja oikeasuhtaista. Tässä yhteydessä rekisterinpitäjä on viitannut erityisesti yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohtaan.

Annetussa vastauksessa on lisäksi todettu, että rekisteröityjen tiedot tullaan säilyttämään valvontamaksun osalta rekisteröityjen esittämistä pyynnöistä huolimatta kirjanpitolakiin perustuen. Tässä yhteydessä rekisterinpitäjä on viitannut yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan b alakohtaan. Rekisterinpitäjä on viitannut myös kirjanpitolain 2 luvun 10 §:n 2 momenttiin. Saatavien luonne niin sanottuina reaalisopimukseen perustuvina yksityisinä valvontamaksuina johtaa siihen, että rekisterinpitäjä säilyttää kirjanpitotarkoituksiin rekisteröityjen ajoneuvoista otetut valvontakuvat sekä jäljennökset rekisteröidyille toimitetuista valvontamaksulomakkeista. Rekisterinpitäjä on ilmoittanut, että säilytetyt tiedot poistetaan, kun kirjanpidollisia perusteita tietojen säilyttämiseen ei ole.

Rekisterinpitäjä on niin ikään ilmoittanut olevan mahdollista, että se tulee saattamaan po. valvontamaksusaatavat alioikeuden käsiteltäväksi. Tässä yhteydessä on viitattu yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan e alakohtaan. Edelleen on todettu, että vakiintuneen oikeuskäytännön perusteella rekisterinpitäjä pitää hakijoita maksuvelvollisina kysymyksessä oleviin valvontamaksusaataviin nähden. Hakijoiden reklamaatioillaan esiin tuomat seikat eivät rekisterinpitäjän mukaan muuta sen edellä mainittua käsitystä. Rekisterinpitäjä on ilmoittanut turvautuvansa tuomioistuinmenettelyyn silloin, kun se katsoo tällaisen käsittelyn ajankäytöllisesti ja kulukysymyksen näkökulmasta aiheelliseksi. Rekisterinpitäjä on ilmoittanut viime vuosina saattaneensa tuhansia asioita alioikeuksien käsiteltäväksi. Edelleen on kerrottu, että käytännön realiteetit ja aiemmin vallinneen oikeustilan epäselvyys ovat johtaneet siihen, että kaikkia suorittamattomia saatavia ei vielä ole saatettu oikeudelliseen perintään, mutta rekisterinpitäjän mukaan niitä saatetaan kulloinkin käytettävissä olevien resurssien puitteissa jatkuvasti vireille.

Rekisterinpitäjä on esittänyt näkemyksenään, että Access to Court -periaate ja tehokkaiden oikeussuojakeinojen olemassaolon vaatimus takaavat sen, että rekisterinpitäjää ei voi sitoa minkäänlainen määräaika sen suhteen, missä ajassa sen on saatettava saatavaansa koskeva asia tuomioistuinkäsittelyyn (kunhan saatava ei ole vanhentunut). Rekisterinpitäjä on edelleen esittänyt näkemyksenään, että sillä on täysin perusteltu oikeus olla poistamatta tiettyyn valvontamaksuun liittyviä rekisteröityjen tietoja, mikäli tällaisia tietoja tullaan käyttämään osana riita-asian oikeudenkäyntiä, muun muassa tiettyä ajoneuvoa kuljettaneen henkilön identiteettiä selvitettäessä. Rekisterinpitäjä on edelleen esittänyt näkemyksenään, että tietojen käsittelyn rajoittaminen ei myöskään tule kysymykseen tällaisissa tapauksissa. Lopuksi on vielä todettu, että tietoja tarvitaan rekisterinpitäjän käyttämien oikeudenkäyntiasiamiesten toimintaan.

Tietojen minimoinnin periaate

Rekisterinpitäjä on korostanut käsittelevänsä vain ja ainoastaan toimintansa kannalta tarpeellisia ja olennaisia tietoja. Rekisterinpitäjä on lisäksi huomauttanut, että virheelliseksi arvioitu rekisterinpitäjän toimintamalli koskee rekisterinpitäjän esittämän näkemyksen mukaan hyvin rajallista rekisteröityjen joukkoa.

Seuraamuskannanotto

Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä on ilmoittanut ilman aiheetonta viivästystä saattavansa nykyiset menettelytapansa voimassa olevan tietosuojasääntelyn mukaisiksi, mikäli tällaisten menettelytapojen katsotaan tavalla tai toisella olevan tietosuojalainsäädännön vastaisia. Rekisterinpitäjä on todennut, että sillä ei ole minkäänlaista taloudellista tai muutakaan intressiä olla noudattamatta voimassa olevaa lainsäädäntöä. Rekisterinpitäjä on ollut siinä uskossa, että se noudattaa voimassa olevaa sääntelyä, ja se on kertomansa mukaan pyrkinyt olemaan huolellinen tietosuojaa koskevissa asioissa.

Rekisterinpitäjä on ilmoittanut vastustavansa siihen kohdistuvien korjaavien toimivaltuuksien käyttämistä, ja etenkin niin sanotun hallinnollisen sakon määräämistä. Annetussa vastauksessa on todettu rekisterinpitäjän olevan suomalainen pienyritys, jonka hallussa on lähinnä sen ydintoiminnassa tarvittavia väärin pysäköityjen ajoneuvojen rekisteritunnuksia. Rekisterinpitäjä on esittänyt näkemyksenään, että edellä mainittuihin mahdollisesti liittyviä oikeuksia ei voida pitää tietosuojalainsäädännön ydinalueelle kuuluvana asiana. Edelleen on esitetty, että reklamaatiokäsittelyn yhteydessä taikka tietosuojalainsäädännön tarjoamien oikeuksien muodossa kerättävät henkilötiedot eivät liity rekisterinpitäjän ydinliiketoimintaan. Rekisterinpitäjä on katsonut tällaisten tietojen nykyisessä muodossaan kuitenkin olevan tarpeellisia sekä rekisterinpitäjän oman, että siihen yhteydessä olevien yksityishenkilöiden ja kolmansien oikeusturvan kannalta.

Lopuksi rekisterinpitäjä on esittänyt näkemyksenään olevan yleisesti tunnettua, että valvontaviranomainen aluksi lähestyy rekisterinpitäjiä ohjaten ja mahdollisissa rikkomustilanteissakin lievemmästä päästä olevien sanktioiden muodossa. Rekisterinpitäjä on todennut nyt käsillä olevan asian olevan ensimmäinen yleisen tietosuoja-asetuksen aikainen sitä koskeva valvonta-asia, mistä johtuen rekisterinpitäjä pitää hallinnollisen seuraamusmaksun uhkaa kohtuuttomana ja ennalta arvaamattomana.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Hakijan asiassa ratkaistavana ovat seuraavat oikeudelliset kysymykset:

1) onko rekisterinpitäjä toteuttanut hakijan oikeuden saada pääsy tietoihin yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa ja 15 artiklassa säädetyn mukaisesti;

2) ovatko rekisterinpitäjän rekisteröidyn tunnistamista koskevat toimintatavat rekisteröidyn oikeuksien toteuttamisessa yleisen tietosuoja-asetuksen 12 artiklan 2 ja 6 kohdassa, 5 artiklan 1 kohdan c alakohdassa sekä 25 artiklan 2 kohdassa säädetyn mukaisia ja onko rekisterinpitäjällä ollut yleisen tietosuoja-asetuksen 17 artiklan 3 kohdassa säädetty peruste evätä hakijan tekemä pyyntö oikeudesta tietojen poistamiseen; ja

3) onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimensa yleisen tietosuoja-asetuksen säännösten mukaisiksi. Tietosuojavaltuutetun on niin ikään arvioitava, tuleeko asiassa käyttää muita yleisen tietosuoja-asetuksen 58 artiklassa säädettyjä korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös

Rekisterinpitäjä ei ole noudattanut seuraavia yleisen tietosuoja-asetuksen kohtia: 1) 12 artiklan 6 kohta; 2) 5 artiklan 1 kohdan c alakohta sekä 25 artiklan 2 kohta; ja 3) 5 artiklan 1 kohdan e alakohta ja 14 artiklan 2 kohdan a alakohta.

Määräys

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa rekisteröidyn tunnistamista koskevan käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaiseksi.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa tietojen säilyttämistä koskevat käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaisiksi.

Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 30.6.2021 mennessä.

Huomautus

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Tietosuojavaltuutettu katsoo, että huomautuksen lisäksi on arvioitava hallinnollisen seuraamusmaksun määräämistä rekisterinpitäjälle. Seuraamusmaksun määräämistä osaltaan tukee myös valvontaviranomaiselle tehtyjen kanteluiden määrä ja laatu. Kysymys ei ole ollut yksittäisistä kanteluista ja niihin liittyvistä erimielisyyksistä, vaan vakiintuneesta toimintatavasta.

Hallinnollinen seuraamusmaksu

Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Perustelut

Aluksi on selvyyden vuoksi todettava, että asiassa ei ole kysymys rekisterinpitäjän mahdollisen saatavan oikeellisuudesta tai olemassaolosta. Tietosuojavaltuutettu ei ole toimivaltainen ratkaisemaan kysymystä siitä, onko hakijalla ollut velvollisuus suorittaa kysymyksessä ollut saatava vai ei (sopimuksen syntymisen osalta ks. esimerkiksi korkeimman oikeuden ratkaisu KKO:2011:43).

Alkuun on syytä lisäksi todeta, että toisin kuin rekisterinpitäjä on katsonut, asiaan liittyvät yleisessä tietosuoja-asetuksessa säädetyt oikeudet nimenomaisesti kuuluvat tietosuojalainsäädännön ydinalueelle. Oikeus saada pääsy tietoihin on Euroopan perusoikeuskirjalla suojattu oikeus. Euroopan unionin perusoikeuskirjan 8 artiklan 2 kohdassa on säädetty, että jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty. Oikeus saada pääsy omiin henkilötietoihinsa onkin eurooppalaisen tietosuojalainsäädännön keskeisiä elementtejä (ks. esimerkiksi Euroopan unionin tuomioistuimen yhdistetyt ratkaisut C-141/12 ja C-372/12 (Minister voor Immigratie, Integratie en Asiel). Asiassa on muutoinkin kysymys yleisen tietosuoja-asetuksen III luvussa säädetyistä rekisteröityjen oikeuksista, joiden lujittaminen on ollut yksi yleisen tietosuoja-asetuksen tavoitteista (HE 9/2018 vp, s. 29).

Oikeudesta saada pääsy tietoihin

Yleisen tietosuoja-asetuksen 15 artiklassa on säädetty rekisteröidyn oikeudesta saada pääsy tietoihin. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä artiklassa erikseen luetellut tiedot.

Yleisen tietosuoja-asetuksen 12 artiklassa on lisäksi säädetty yksityiskohtaisista säännöistä rekisteröidyn oikeuksien käyttöä varten. Artiklan 3 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää. Edelleen artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

Käsillä olevassa asiassa hakija ei kertomansa mukaan ollut saanut vanhimpia tietojaan. Rekisterinpitäjä on kuitenkin ilmoittanut toimittaneensa hakijalle kaikki tätä koskevat tiedot. Hakija ei ole antanut vastinetta, eikä täten ottanut kantaa edellä esitettyyn väitteeseen. Todettakoon, että asiassa ei ole esitetty mitään sellaista, josta johtuen olisi tähän liittyen syytä epäillä rekisterinpitäjän selvityksessään toteamaa.

Tässä yhteydessä on vielä todettava, että yleisessä tietosuoja-asetuksessa ei ole säädetty rekisteröidyn oikeutta koskevan pyynnön muodosta. Vaikka lomakkeiden voidaankin katsoa helpottavan rekisteröidyn oikeuksien käyttämistä ja näin toteuttavan yleisen tietosuoja-asetuksen 12 artiklan 2 kohdassa ja myös 25 artiklassa säädettyä, ei lomakkeen täyttämistä voida kuitenkaan edellyttää rekisteröidyn oikeuksiin pääsemisen ehtona.

Rekisteröidyn tunnistamisesta ja tietojen minimoinnista

Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Jos rekisterinpitäjällä on perusteltua syytä epäillä pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi 12 artiklan 6 kohdan mukaan pyytää toimittamaan lisätiedot, jotka ovat tarpeen henkilöllisyyden vahvistamiseksi.

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”).

Todettakoon alkuun, että yleistä tietosuoja-asetusta on sovellettu 25.5.2018 alkaen. Asiassa on edellä mainitusti kysymys rekisteröidyn tunnistamisesta, mitä kysymystä 29 artiklan mukainen tietosuojatyöryhmä on sivunnut antamiensa suuntaviivojen yhteydessä. Nämä ohjeet on viimeksi tarkistettu ja hyväksytty 5.12.2017. Kysymystä on sivuttu näin ollen jo ennen yleisen tietosuoja-asetuksen soveltamisen aloittamista.

Mainituissa suuntaviivoissa on todettu, että yleisessä tietosuoja-asetuksessa ei ole säännöksiä siitä, miten rekisteröidyn henkilöllisyys on todennettava. Suuntaviivoissa on kuitenkin korostettu, että yleisen tietosuoja-asetuksen 12 artiklan 2 kohdassa säädetyn mukaisesti rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä oikeuksien käyttämiseksi, ellei se käsittele henkilötietoja sellaiseen tarkoitukseen, joka ei edellytä rekisteröidyn tunnistamista, ja voi osoittaa, että se ei pysty tunnistamaan rekisteröityä. Edelleen annetuissa suuntaviivoissa on korostettu, että yleisen tietosuoja-asetuksen 11 artiklan 2 kohdan mukaisesti rekisteröity voi tällaisissa tilanteissa toimittaa lisätietoja, joiden avulla hänet voidaan tunnistaa. Lisäksi kuten edellä on jo todettu, annetuissa suuntaviivoissa on todettu, että yleisen tietosuoja-asetuksen 12 artiklan 6 kohdassa on säädetty, että jos rekisterinpitäjällä on perusteltua syytä epäillä rekisteröidyn henkilöllisyyttä, se voi pyytää lisätietoja rekisteröidyn henkilöllisyyden vahvistamiseksi. Jos rekisteröity toimittaa lisätiedot, joiden avulla hänet voidaan tunnistaa, rekisterinpitäjä ei saa kieltäytyä suorittamasta pyydettyä toimea (oikeutta tietojen siirtämiseen järjestelmästä toiseen koskevat ohjeet, WP 242 rev.01 (hyväksytty 13.12.2016, viimeksi tarkistettu ja hyväksytty 5.12.2017).

Rekisterinpitäjä on ilmoittanut käsittelevänsä vain sellaiset rekisteröityjen oikeuksia koskevat pyynnöt, jotka on tehty joko rekisterinpitäjän tarjoaman vakiomuotoisen verkkolomakkeen välityksellä tai postitse. Rekisterinpitäjälle on ilmoitettava tiedot rekisteröidyn nimestä, osoitteesta, valvontamaksun asianumerosta, sähköpostiosoitteesta ja henkilötunnuksesta.

Asiaa arvioitaessa on edellä mainitusti otettava huomioon yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädetty tietojen minimoinnin periaate ja yleisen tietosuoja-asetuksen 25 artiklan 2 kohdassa säädetty. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Käsiteltävien henkilötietojen on edellä mainitusti oltava määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia. Todettakoon, että jo henkilötietolakia koskeneessa hallituksen esityksessä oli täsmennetty niin sanotun tarpeellisuusvaatimuksen sisältöä. Henkilötietoja voidaan pitää käsittelyn tarkoituksen kannalta tarpeellisina silloin, kun ne ovat asianmukaisia ja olennaisia, eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja mihin niitä myöhemmin käsitellään (HE 96/1998 vp, s.42). Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleessa 39 on niin ikään todettu, että henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Näin ollen voidaan todeta, että henkilötietoja on käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin.

Asiassa on edellä mainitusti kysymys myös tietojen minimoinnin periaatteesta, mistä periaatteesta Euroopan tietosuojaneuvosto on antanut käytännön ohjeita antamiensa suuntaviivojen yhteydessä (Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (annettu 13.11.2019). Näiden ohjeiden mukaan ensi alkuun olisi selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Henkilötietojen käsittelyä kehotetaan nimenomaisesti välttämään silloin, kun se vain on mahdollista. Lisäksi erikseen on korostettu, että käsiteltävien henkilötietojen on oltava oleellisia kysymyksessä olevan käsittelyn tarkoituksen kannalta. Kaikkien käsiteltävien henkilötietojen olisi niin ikään oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi. Tietyn henkilötiedon käsittely olisi sallittua vain, jos käsittelyn tarkoitusta ei ole mahdollista saavuttaa muilla tavoin (Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (annettu 13.11.2019), s. 19). Käytännössä kussakin tilanteessa tulisi näin ollen kerätä mahdollisimman vähän henkilötietoja.

Edellä esitetyn perusteella voidaan todeta, että rekisterinpitäjän ei tulisi pyytää rekisteröidyltä enempää tietoja kuin tämän tunnistamiseksi on tarpeen. Rekisterinpitäjä on yksityistä pysäköinninvalvontaa harjoittava yhtiö. Rekisterinpitäjä ei annetun selvityksen mukaan käsittele ajoneuvojen omistajatietoja. Näin ollen rekisterinpitäjällä ei myöskään ole tietoa esimerkiksi tietyn rekisteröidyn henkilötunnuksesta. Voidaan siis todeta, että rekisterinpitäjä vaatii tiedon henkilötunnuksesta ainoastaan rekisteröidyn tunnistamista varten, mikä puolestaan tarkoittaa, että rekisterinpitäjä kerää rekisteröidyn tunnistamiseksi enemmän tietoa kuin sillä on alun perin ollut.

Todettakoon, että kuten yleisen tietosuoja-asetuksen 12 artiklan 6 kohdassa on säädetty, rekisterinpitäjä voi pyytää toimittamaan lisätietoja vain silloin, kun rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä. Rekisterinpitäjä on kuitenkin säännönmukaisesti vaatinut tietoa henkilötunnuksesta rekisteröidyn tunnistamiseksi. Kysymys ei siis ole ollut siitä, että rekisterinpitäjä olisi vaatinut tietoa henkilötunnuksesta tapauskohtaisen harkinnan perusteella. Tieto on vaadittu kaikilta rekisteröidyiltä, jotka ovat halunneet käyttää edellä tarkoitettuja oikeuksiaan. Merkitystä on lisäksi sillä, että rekisterinpitäjä on ilmoittanut, että se ei käsittele ajoneuvojen omistajatietoja. Rekisterinpitäjällä ei siis ennestään ole ollut hallussaan tietoa rekisteröidyn henkilötunnuksesta. Näin ollen rekisterinpitäjä ei esimerkiksi voi verrata rekisteröidyn ilmoittamaa henkilötunnusta sillä jo hallussaan olevaan henkilötunnustietoon.

Yleisen tietosuoja-asetuksen 87 artiklassa on säädetty, että jäsenvaltiot voivat määritellä tarkemmin erityiset kansallisen henkilönumeron tai muun yleisen tunnisteen käsittelyn edellytykset. Todettakoon, että tietosuojalakia koskevassa hallituksen esityksessä on nimenomaisesti todettu, että henkilötunnus on tarkoitettu erottamaan henkilö muista henkilöistä, mutta henkilötunnuksen ilmoittaminen tai esittäminen ei välttämättä ole tae siitä, että kysymyksessä on henkilötunnuksen tarkoittama henkilö (HE 9/2018 vp, s. 113). Henkilötunnusta ei näin ollen ole tarkoitettu henkilöiden tunnistamiseen.

Edellä esitetyin perustein tietosuojavaltuutettu katsoo, että rekisterinpitäjä on säännönmukaisesti käsitellyt tietoja yleisen tietosuoja-asetuksen 12 artiklan 6 kohdassa säädetyn vastaisesti. Rekisterinpitäjä on lisäksi käsitellyt rekisteröidyn tunnistamiseksi laajempaa joukkoa henkilötietoja kuin rekisteröidyn tunnistamiseksi on tai olisi tarpeen ja on näin toiminut vastoin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimoinnin vaatimusta sekä yleisen tietosuoja-asetuksen 25 artiklan 2 kohdassa säädettyä.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa rekisteröidyn tunnistamista koskevan käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaiseksi.

Oikeudesta tietojen poistamiseen sekä tietojen säilyttämisestä ja säilytysajoista

Yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan a alakohdan nojalla rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin. Edellä olevaa 17 artiklan 1 kohtaa ei sovelleta 17 artiklan 3 kohdan e alakohdan mukaan, jos käsittely on tarpeen oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Annetussa selvityksessä on todettu, että pyyntöä tietojen poistamisesta ei ole toteutettu sillä rekisterinpitäjä on katsonut, että rekisterinpitäjän lakisääteiset velvoitteet (kuten kirjanpitolaki) sekä mahdolliset oikeudelliset jatkotoimet ovat estäneet tietojen poistamisen. Annetussa selvityksessä on lisäksi todettu, että tietoja säilytetään niin kauan kuin se suinkin on mahdollista ja oikeasuhtaista (ks. etenkin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohta).

Rekisterinpitäjä on ilmoittanut säilyttävänsä hakijan tiedot valvontamaksuun liittyen kirjanpitolakiin perustuen (ks. yleisen tietosuoja-asetuksen 17 artikla 3 kohdan b alakohta). Kirjanpitolain 10 §:n 2 momentin mukaan kirjanpitoaineisto on säilytettävä vähintään kuusi vuotta sen vuoden lopusta, jonka aikana tilikausi on päättynyt. Annetussa selvityksessä on todettu, että saatavien luonne ns. reaalisopimukseen perustuvina yksityisinä valvontamaksuina johtaa siihen, että rekisterinpitäjä säilyttää itsellään kirjanpitotarkoituksiin ajoneuvosta otetut valvontakuvat sekä jäljennöksen rekisteröidylle toimitetusta valvontamaksulomakkeesta.

Todettakoon, että yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa on säädetty henkilötietojen säilytyksen rajoittamisesta. Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötiedon säilytysajan on siis oltava mahdollisimman lyhyt. Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleen 39 mukaan henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Henkilötietoja ei näin ollen olisi säilytettävä pidempään kuin on tarpeen. Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleen 65 mukaan luonnollisella henkilöllä olisi puolestaan oltava oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta tai jäsenvaltion lainsäädäntöä. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen, kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista.

Kirjanpitolain 2 luvun 10 §:n 1 momentin mukaan tilinpäätös, toimintakertomus, kirjanpidot, tililuettelo sekä luettelo kirjanpidoista ja aineistoista on säilytettävä vähintään 10 vuotta tilikauden päättymisestä. Edelleen kirjanpitolain 2 luvun 10 §:n 2 momentin mukaan jollei muualla laissa ole säädetty pitempää määräaikaa säilyttämiselle, tilikauden tositteet, liiketapahtumia koskeva kirjeenvaihto sekä muu kuin 1 momentissa mainittu kirjanpitoaineisto on säilytettävä vähintään kuusi vuotta sen vuoden lopusta, jonka aikana tilikausi on päättynyt.

Kirjanpitolain 2 luvun 5 §:ssä on säädetty tositteesta. Tositteella tarkoitetaan päivättyä ja yksilöityä liiketapahtuman todentavaa kirjallista ilmaisua, kuten kuittia. Hallituksen esityksessä puolestaan on liiketapahtumia koskevan kirjeenvaihdon määrittelyn osalta viitattu kirjanpitolautakunnan yleisohjeeseen 1.2.2011 kirjanpidon menetelmistä ja aineistoista, jonka kohdassa 4.2 on todettu, että liiketapahtumia koskevaa kirjeenvaihtoa ovat muut kirjanpitoaineistoon kuuluvat asiakirjat kuin tositteet. Tällaista aineistoa ovat esimerkiksi kirjanpidon perusteella tehdyt viranomaisilmoitukset (esimerkiksi veroilmoitukset) sekä eläkevakuutusta hoitaville yhteisöille tai muille yhteisöille annetut ilmoitukset ja muut lainsäädännön nojalla annettavat ilmoitukset (HE 89/2015 vp, s. 49).

Edellä selostettuihin lainkohtiin perustuen tietosuojavaltuutettu katsoo, että kysymyksessä olevia hakijan henkilötietoja (ajoneuvosta otetut valokuvat ja kysymyksessä olevaa asiaa koskeva valvontamaksulomake) ei ole katsottava kirjanpitolain 2 luvun 10 §:ssä tarkoitetuiksi tiedoiksi. Tietosuojavaltuutettu katsoo, että vain sellaiset rekisteröityjen henkilötiedot, jotka sisältyvät tositteisiin, eli joiden perusteella on tehty rekisterinpitäjän kirjanpitovelvoitteiden mukaisia kirjauksia, voidaan säilyttää kirjanpitolain 2 luvun 10 §:n 2 momentissa säädetyn ajan. Muita kuin tällaisia tietoja ei tule säilyttää kysymyksessä olevan lainkohdan perusteella.

Annetussa selvityksessä on niin ikään edellä mainitusti todettu, että myös mahdolliset oikeudelliset jatkotoimet ovat estäneet tietojen poistamisen. Rekisterinpitäjä ei kuitenkaan ole ilmoittanut minkäänlaista tähän liittyvää tietojen säilyttämistä koskevaa aikaikkunaa.

Todettakoon, että yleisen tietosuoja-asetuksen 14 artiklan 2 kohdan a alakohdan mukaisesti silloin, kun tietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on toimitettava rekisteröidylle muun muassa tieto henkilötiedon säilytysajasta tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit. Todettakoon, että rekisterinpitäjän verkkosivuilta löytyvässä tietosuojaselosteessa on ainoastaan kerrottu, että mainittua aineistoa säilytetään kulloinkin voimassa olevan oikeuden edellyttämä aika. Säilytysajasta ei ole todettu mitään muuta. Tätä ei voida pitää riittävänä. Mikäli rekisterinpitäjän ei ole mahdollista ilmoittaa tiettyä säilytysaikaa, on rekisterinpitäjän vähintäänkin ilmoitettava tämän ajan määrittämiskriteerit. Rekisterinpitäjä ei ole näin toiminut.

Todettakoon, että edellä mainittua tietosuojaselostetta on sittemmin (15.2.2021) päivitetty. Päivitetyssä tietosuojaselosteessa on puolestaan kerrottu, että [h]enkilötietojasi säilytämme niin kauan kuin se on välttämätöntä. Säilyttämisajan pituus määräytyy henkilötietojen käsittelyperusteen pohjalta. Kun henkilötietojen käsittelyn peruste on päättynyt, tiedot poistetaan kokonaisuudessaan, eikä niitä ole saatavilla enää mistään tietokannoistamme. Tätäkään ei voida pitää riittävänä.

Todettakoon niin ikään, että yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleessa 39 on nimenomaisesti todettu, että henkilötietojen säilytysajan on oltava mahdollisimman lyhyt. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen.

Annetussa selvityksessä on lisäksi ylimalkaisesti todettu, että hakijan tietoja säilytetään niin kauan kuin se suinkin on mahdollista ja oikeasuhtaista. Todettakoon, että mahdollisimman pitkä säilytysaika on vastoin yleisessä tietosuoja-asetuksessa säädettyä. Henkilötietojen säilytysajan on edellä mainitusti oltava mahdollisimman lyhyt.

Todettakoon, että 29 artiklan mukainen tietosuojatyöryhmä on antanut käytännön ohjeita (”läpinäkyvyyttä koskevat ohjeet) läpinäkyvyyden periaatteesta (asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, WP260 rev.01, annettu 29.11.2017, viimeksi tarkistettu ja hyväksytty 11.4.2018). Näiden ohjeiden mukaan velvollisuus toimittaa henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit, linkittyy yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyyn tietojen minimoinnin vaatimukseen sekä 5 artiklan 1 kohdan e alakohdassa säädettyyn säilytyksen rajoittamisen vaatimukseen (asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, WP260 rev.01 (annettu 29.11.2017, viimeksi tarkistettu ja hyväksytty 11.4.2018), s. 38).

Säilytysaikaan (tai sen määrittämiskriteereihin) voivat vaikuttaa esimerkiksi lakisääteiset vaatimukset tai alakohtaiset ohjeet. Säilytysaika (tai sen määrittämiskriteerit) tulisi kuitenkin ilmaista niin, että rekisteröity pystyy oman tilanteensa perusteella arvioimaan, kuinka kauan tiettyjä henkilötietoja säilytetään tiettyä käsittelytarkoitusta varten. Ei riitä, että yleisesti ilmaistaan henkilötietoja säilytettävän niin kauan kuin on tarpeen käsittelyn laillista tarkoitusta varten. Tarvittaessa eri henkilötietoryhmille ja/tai käsittelytarkoituksille olisi määritettävä erilaiset säilytysajat (asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, WP260 rev.01(annettu 29.11.2017, viimeksi tarkistettu ja hyväksytty 11.4.2018), s. 38–39).

Todettakoon, että käsillä olevassa asiassa tietosuojaselosteella ilmoitettujen säilytysaikaa koskevien tietojen perusteella rekisteröity ei voi ymmärtää, kuinka kauan tiettyjä henkilötietoja säilytetään. Selosteessa ei esimerkiksi ole viitattu mihinkään lainkohtaan eikä ole ilmaistu minkäänlaista tarkentavaa ajallista määrettä.

Tietojen säilyttämisen osalta voidaan todeta, että tietoja ei voida loputtomiin ja määrittelemättömästi säilyttää sen nojalla, että rekisterinpitäjä mahdollisesti joskus tulevaisuudessa päättää saattaa asian tuomioistuimen ratkaistavaksi. Rekisterinpitäjän on määriteltävä säilytysaika tarkkarajaisemmin. (Tähän liittyen ks. esimerkiksi Vaasan hovioikeuden (S 13/1041, annettu 13.11.2014) että Helsingin hovioikeuden ratkaisut (S 13/2135, annettu 7.3.2014). Perintää oli katsottu pitkitetyn turhaan, kun vapaaehtoinen perintä oli kestänyt yli kolme ja puoli vuotta.)

Edellä esitetyin perustein tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole tietojen säilyttämistä koskevissa käsittelytoimissaan noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa ja 14 artiklan 2 kohdan a alakohdassa säädettyä.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa tietojen säilyttämistä koskevat käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaisiksi.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Laura Varjokari, puh. 029 566 6771

Päätös ei ole vielä lainvoimainen.

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Lisää uusi kansio.

Lisää uusi väliotsikko.