Rekisteröidyn oikeudet - Oikeus poistaa tiedot - Säilytysaika - Tietojen minimointi

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	19.3.2021
Diaarinumero:	4035/182/2020

Asia

Hakija on 20.5.2020 saattanut tietosuojavaltuutetun toimistossa vireille asian, jossa on kysymys rekisterinpitäjän suorittamasta henkilötietojen käsittelystä. Hakija on pyytänyt rekisterinpitäjältä tietoa siitä, mistä hänen henkilötietonsa oli hankittu. Hakija on lisäksi kertonut, että hänelle ei ollut kerrottu, miten asiassa olisi voinut tehdä tietosuojaan liittyvän reklamaation. Hakijan sähköpostitse tehtyä reklamaatiota ei hakijan kertoman mukaan ollut hyväksytty. Hakija on kiinnittänyt huomiota siihen, että lomakkeella oli pyydetty hänen osoitetietoaan. Hakija on myös pyytänyt, että hänen tietonsa poistetaan. Pyyntöön ei ollut suostuttu.

Rekisterinpitäjältä saatu selvitys

Hakijan pyynnöstä saada pääsy tietoihin

Hakija on esittänyt itse rekisterinpitäjälle edellä kuvatun sisältöisen pyynnön. Rekisterinpitäjältä on pyydetty selvitystä tietosuojavaltuutetun toimiston toimesta. Rekisterinpitäjä on antanut selvityksensä 9.6.2020.

Tietojen alkuperä ja käsittely

Annetussa selvityksessä on todettu, että tietojen käsittelyn taustalla on ollut suorittamaton niin sanottu yksityisoikeudellinen valvontamaksu. Henkilötietojen käsittelyn on kerrottu perustuvan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan alakohtaan b ja f.

Rekisterinpitäjä saa pysäköinninvalvontaa suorittaessaan tiedon virheellisesti pysäköidyn ajoneuvon rekisteritunnuksesta. Tietyllä yksityisellä alueella virheellisesti pysäköidyt ajoneuvot valokuvataan. Rekisterinpitäjän asiakkaiden henkilötietoja voi tulla rekisterinpitäjän tietoon myös mahdollisen reklamaatiokäsittelyn kautta, mikäli reklamaation tekevä taho tällaisia tietoja rekisterinpitäjälle luovuttaa. Rekisterinpitäjä tarvitsee tiedot edellä mainittujen laillisten (lähinnä KKO:2010:23) saataviensa kotiuttamiseksi ja reklamaatiokäsittelyn asianmukaisen toteuttamisen turvaamiseksi.

Rekisterinpitäjä ei hanki käyttöönsä ajoneuvon omistajatietoja, vaan omistajatietojen selvittäminen on ulkoistettu kolmannelle (perintätoimintaa harjoittavalle XX Oy:lle).

Rekisterinpitäjällä ei ole käytössään tällaisia tietoja. Rekisterinpitäjä luovuttaa virheellisesti pysäköityjen ajoneuvojen (so. ne ajoneuvot, joiden osalta valvontamaksua ei ole suoritettu) rekisteritunnustiedot XX Oy:lle. Muutoin rekisterinpitäjä luovuttaa asiakkaidensa henkilötietoja vain voimassa olevan oikeuden erikseen määrittelemissä tilanteissa.

Annetussa selvityksessä on edelleen todettu, että tietojen alkuperä on julkisesti saatavilla rekisteripitäjän tietosuojaselosteella, johon rekisteröidyillä on mahdollisuus tutustua rekisterinpitäjän verkkosivuilla. Tietosuojaselosteen kohdassa 5 (Säännönmukaiset tietolähteet) on todettu seuraavasti: ”Rekisteriin merkitään ParkkiPate Oy:n henkilökuntaan kuuluvilta pysäköinninvalvojilta saadut yksityisoikeudellista valvontamaksua koskevat tiedot (mukaan lukien digitaaliset ajoneuvoista otetut kuvat). Lisäksi tietoja saadaan rekisteröidyiksi ilmoittautuvilta reklamaatioiden tekijöiltä”.

Tietoihin pääseminen

Annetussa selvityksessä on todettu, että rekisterinpitäjällä on käytössään vakiomuotoinen lomake sekä reklamaatioita että rekisteritietojen tarkastuspyyntöä varten. Lomakkeella pyydetään ilmoittamaan kaikki ne tiedot, joiden rekisterinpitäjä on katsonut olevan tarpeen riittävän yksilöinnin kannalta. Osoitetiedot on katsottu riittävän yksilöinnin kannalta tarpeellisiksi. Rekisterinpitäjä on ilmoittanut katsovansa olevan erittäin tärkeää, että se voi varmistua pyynnön esittäjän henkilöllisyydestä ja näin välttää tietojen päätymisen ulkopuolisten osapuolten käsiin. Osoitetiedot (sähköpostiosoite sekä postiosoite) ovat rekisterinpitäjän esittämän mukaan tarpeen, jotta rekisterinpitäjä voi toimittaa vastauksensa rekisteröidyn pyyntöön.

Sekä rekisteritietojen tarkastuspyyntöä että reklamaatiota koskevat tiedot voi toimittaa tarvittaessa myös postitse. Rekisterinpitäjä on ilmoittanut katsovansa, että vaatimalla tietojen toimitusta lomakkeella, se voi varmistua siitä, että kaikki reklamaation tai rekisteritietojen tarkastuspyynnön käsittelyn kannalta tarvittavat tiedot toimitetaan sille.

Tietojen säilyttäminen

Hakijan pyyntöä tietojen poistamisesta ei ole toteutettu sillä rekisterinpitäjä on katsonut, että rekisterinpitäjän lakisääteiset velvoitteet (kuten kirjanpitolaki (1336/1997)) ovat estäneet tietojen poistamisen. Hakijan tietoja säilytetään niin kauan kuin se suinkin on mahdollista ja oikeasuhtaista (ks. etenkin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohta).

Hakijan tiedot tullaan säilyttämään valvontamaksun osalta hakijan tietojen poistamista koskevasta pyynnöstä huolimatta kirjanpitolakiin perustuen (ks. yleisen tietosuoja-asetuksen 17 artikla 3 kohdan b alakohta). Kirjanpitolain 10 §:n 2 momentin mukaan kirjanpitoaineisto on säilytettävä vähintään kuusi vuotta sen vuoden lopusta, jonka aikana tilikausi on päättynyt. Saatavien luonne ns. reaalisopimukseen perustuvina yksityisinä valvontamaksuina johtaa siihen, että rekisterinpitäjä säilyttää itsellään kirjanpitotarkoituksiin vastaajan ajoneuvosta otetut valvontakuvat sekä jäljennöksen rekisteröidylle toimitetusta valvontamaksulomakkeesta.

Hakijan vastine

Hakijalle on varattu mahdollisuus antaa vastineensa asiassa. Hakija on antanut vastineensa 18.6.2020.

Annetussa vastineessa on todettu, että hakija ei ollut alkuvaiheessa saanut rekisterinpitäjältä vastausta esittämiinsä kysymyksiin. Hakijalle ei ollut annettu pyydettyjä tietoja eikä vastattu kysymykseen tietojen alkuperästä. Hakijan kertoman mukaan hänelle ei myöskään ollut kerrottu mahdollisuudesta valittaa asiasta tietosuojavaltuutetun toimistolle. Hakija on vaatinut oikeutta tulla unohdetuksi.

Hakija on lisäksi kyseenalaistanut sen, että osoitetietoa on vaadittu reklamaation käsittelemiseksi. Hakija oli toimittanut rekisterinpitäjälle kysymyksessä olevaa yksityisoikeudellista pysäköinninvalvontamaksua koskevan asianumeron. Hakija on kieltänyt rekisterinpitäjää käsittelemästä hänen henkilötietojaan.

Kuuleminen

Rekisterinpitäjälle on 26.6.2020 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä. Rekisterinpitäjä on antanut vastauksensa 28.7.2020. Seuraavassa esitetään rekisterinpitäjälle kuulemispyynnössä esitetyt kysymykset ja rekisterinpitäjän niihin antamat vastaukset. Selvyyden vuoksi on todettava, että kuulemispyynnön kohteena oli yhteensä 11 tietosuojavaltuutetun toimistolle tehtyä kantelua ajalla 27.3.2017–20.5.2020. Kaikissa kanteluissa ei ole ollut kysymys samoista oikeudellisista kysymyksistä. Asiat on kuitenkin hallintolain 5 luvun 25 §:ssä säädetysti valmisteltu yhdessä ja ratkaistu samalla kertaa.

Millä tavalla rekisterinpitäjä toimittaa rekisteröidyille yleisen tietosuoja-asetuksen 14 artiklassa tarkoitetut tiedot?

Kun virheellinen pysäköintitapahtuma havaitaan ja niin sanottu yksityisoikeudellinen valvontamaksu maksutietoineen jätetään virheellisesti pysäköidyn ajoneuvon tuulilasinpyyhkijän alle, rekisterinpitäjän edustaja valokuvaa virheellisesti pysäköidyn ajoneuvon, jolloin rekisterinpitäjä saa haltuunsa ainoana rekisteröityä koskevana henkilötietona rekisteröidyn ajoneuvon rekisteritunnuksen. Valokuvauksen hetkellä jokaiselle yksittäiselle virhepysäköintitapaukselle annetaan myös oma erillinen valvontamaksunumeronsa.

Laskutus- ja perintäpalvelua rekisterinpitäjän puolesta toteuttava XX Oy selvittää Liikenne- ja viestintävirasto Traficomilta kysymyksessä olevien rekisteritunnusten omaavien ajoneuvojen haltijat / ja tai omistajat, joihin suorittamattomien valvontamaksuasioiden perintätoimet kohdistetaan. Kuulemispyyntöön annetussa vastauksessa on todettu, että rekisterinpitäjä ei saa haltuunsa tällaisia haltijatietoja, jolloin sen hallussa on ainoastaan kutakin virheellisesti pysäköityä ajoneuvoa koskevat valvontavalokuvat (ml. ajoneuvon rekisteritunnus) sekä mahdollisesti myöhemmän reklamaatiokäsittelyn / tietosuojatiedusteluiden yhteydessä rekisterinpitäjälle toimitetut henkilötiedot.

Kuulemispyyntöön annetussa vastauksessa on todettu, että rekisterinpitäjä toimittaa yleisen tietosuoja-asetuksen 14 artiklassa edellytetyt tiedot seuraavasti: 1) ajoneuvon tuulilasinpyyhkijän alle jätettävällä valvontamaksulomakkeella (kuulemispyyntöön annetun vastauksen liite 1), 2) rekisterinpitäjän verkkosivuilla nähtävillä olevien tiedoin (muun muassa tietosuojasivusto, tietosuojaseloste ja yhteystiedot) ja 3) suorittamatta olevien valvontamaksujen kohdalla XX Oy:n toimittamin kirjein (kuulemispyyntöön annetun vastauksen liite 2).

Kuulemispyyntöön annetussa vastauksessa on edelleen todettu, että rekisteröidyksi ilmoittautuvan henkilön kääntyessä rekisterinpitäjän puoleen liittyen yleiseen tietosuoja-asetukseen perustuviin oikeuksiinsa taikka reklamoidakseen saamastaan valvontamaksusta, rekisterinpitäjä on keskittänyt käsittelyn verkkosivuiltaan löytyvään reklamaatiojärjestelmään sekä tietosuojatiedustelulomakkeeseen. Annetussa vastauksessa on esitetty reklamaatiojärjestelmän mahdollistavan sen, että reklamaatiota harkitseva henkilö saa reklamaatiojärjestelmän kautta pääsyn kaikkiin tiettyä valvontamaksua koskeviin tietoihin, mikäli hänellä on hallussaan valvontamaksunumero ja ajoneuvon rekisteritunnus.

Lopuksi tähän liittyen on todettu olevan yleistä, että henkilöt väittävät, että he eivät olisi pysäköineet tiettyä ajoneuvoa taikka vastaavasti joku toinen henkilö ilmoittaa olevansa vastuussa toisen henkilön ajoneuvon pysäköimisestä. Rekisterinpitäjä on esittänyt tämän tuovan tavanomaista suurempia haasteita tietosuoja-asioiden sekä reklamaatioiden asianmukaiseen hoitoon.

Mikäli edellä tarkoitetut tiedot toimitetaan rekisteröidyille verkkosivuiltanne löytyvän tietosuojaselosteen välityksellä, miten ja milloin rekisteröidyille annetaan tieto selosteesta?

Kuulemispyyntöön annetussa vastauksessa on kerrottu, että rekisteröidyksi itsensä esittävä henkilö saa tiedon rekisteriselosteesta, kun tämä henkilö vetoaa yleisellä tietosuoja-asetuksella säädettyihin oikeuksiinsa. Tällöin rekisterinpitäjä toimittaa tiedustelijalle niin sanotun tietosuojavastauksen, jossa annetaan tietoa rekisteröidyn oikeuksista sekä mainitaan muun muassa tietosuojaseloste (kuulemispyyntöön annetun vastauksen liite 3). Vastauksessa on lisäksi todettu, että maininta tietosuojaan liittyvistä oikeuksista voidaan sisällyttää valvontamaksulomakkeeseen ja / tai XX Oy:n perintäkirjeisiin, mikäli tietosuojavaltuutettu katsoo sen tarkoituksenmukaiseksi.

Kuinka moni rekisteröity on ilmaissut halukkuutensa saada pääsy omiin tietoihinsa henkilötunnustaan tai jotakin muuta vaadittua tietoa teille kuitenkaan luovuttamatta. Toisin sanoen, kuinka moni rekisteröity ei ole saanut pääsyä omiin tietoihinsa sen vuoksi, että ette ole suostunut käsittelemään tehtyä pyyntöä ilman vaadittuja tietoja (ajalla 25.5.2018→)?

Rekisterinpitäjä on vastauksenaan ilmoittanut tällaisia tapauksia olevan kaikkiaan 11 kappaletta.

Kuinka monta tarkastusoikeutta koskevaa pyyntöä olette suostuneet käsittelemään ajalla 25.5.2018 →?

Rekisterinpitäjä on vastauksenaan ilmoittanut tällaisia tapauksia olevan kaikkiaan 236 kappaletta.

Kuinka monta tietojen poistoa koskevaa pyyntöä olette jättäneet käsittelemättä sillä perusteella, että teille ei ole annettu vaatimianne tietoja?

Rekisterinpitäjä on vastauksenaan ilmoittanut tällaisia tapauksia olevan kaikkiaan 28 kappaletta.

Kuinka monta reklamaatiota olette jättäneet käsittelemättä sillä perusteella, että teille ei ole annettu vaatimianne tietoja (25.5.2018 →)?

Annetussa vastauksessa on todettu, että käytettävissä olevat keinot eivät mahdollista kysymykseen vastaamista.

Kuinka moni sellainen reklamoitu yksityisoikeudellinen pysäköinninvalvontamaksu on lopulta maksettu, jota koskevaa reklamaatiota ette ole suostuneet käsittelemään (25.5.2018 →)?

Annetussa vastauksessa on todettu, että käytettävissä olevat keinot eivät mahdollista kysymykseen vastaamista. Rekisterinpitäjä on lisäksi esittänyt näkemyksenään, että tietosuojaa koskeviin oikeuksiin vetoaminen ei vapauta sen mahdollisia velallistahoja ratkaisuun KKO:2010:23 perustuvasta velvollisuudesta suorittaa rekisterinpitäjän avoin saatava.

Kuinka monelle eri henkilölle olette antaneet yksityisoikeudellisen pysäköinninvalvontamaksun 25.5.2018 lukien?

Annetussa vastauksessa on todettu, että käytettävissä olevat keinot eivät mahdollista kysymykseen vastaamista. Rekisterinpitäjä ei ilmoittamansa mukaan tilastoi kulloinkin valvontamaksujen kohteena olevia henkilöitä, vaan valvontamaksujen kappalemääriä. Tietyille ajoneuvoille saatetaan määrätä useampia valvontamaksuja ja tietyt henkilöt saavat valvontamaksuja useammille eri ajoneuvoille. Rekisterinpitäjällä ei kertomansa mukaan ole hallussaan kuin ajoneuvojen rekisteritunnukset eikä pyydetyn kaltaista tilastointia ole tehty.

Rekisterinpitäjälle on varattu mahdollisuus kertoa kuulemispyynnössä arvioiduista yleisen tietosuoja-asetuksen rikkomisista suoraan tai välillisesti saaduista mahdollisista taloudellisista eduista tai rikkomisilla vältetyistä tappioista.

Rekisterinpitäjä ei näkemyksensä mukaan ole rikkonut yleistä tietosuoja-asetusta. Mikäli kuitenkin valvontaviranomainen katsoisi näin tehdyn, on rekisterinpitäjä ilmoittanut olevansa vakaasti sitä mieltä, että mahdollisesta rikkomuksesta ei ole saatu minkäänlaista taloudellista etua. Kuulemispyyntöön annetussa vastauksessa on edelleen todettu, että yleisen tietosuoja-asetuksen tarkka noudattaminen on pikemminkin sitonut resursseja ja aiheuttanut yhtiölle merkittäviä kustannuksia.

Rekisterinpitäjä on ilmoittanut katsovansa, että kaikki sen saatavat ovat perusteltuja ja perustuslailla taatun omaisuuden suojan turvaamia. Rekisterinpitäjä on edelleen esittänyt näkemyksenään, että niin sanotun tarkastusoikeuden käyttäminen taikka tietojen poistaminen ei tavalla eikä toisella mitätöi rekisterinpitäjän avoimia saatavia.

Tieto ParkkiPate Oy:n kanssa samaan konserniin kuuluvien yhtiöiden yhteenlasketusta vuotuisesta liikevaihdosta vuodelta 2019 (jos vuoden 2019 tietoa ei ole saatavilla, arvio tällaisesta tiedosta sekä tieto vuoden 2018 vastaavasta luvusta).

ParkkiPate Oy:n (2707938-8) kanssa samaan konserniin kuuluvat APV Alueellinen Pysäköintivalvonta Oy (2333789-6) ja Suomen Aluevalvonta Oy (2328319-7). Mainittujen yhtiöiden yhteen-laskettu vuotuinen liikevaihto vuodelta 2019 on kokonaisuudessaan 12.367.668,07 euroa.

Rekisterinpitäjän muu vastaus kuulemispyyntöön

Yleistä

Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä on ilmoittanut, että sillä ei ole minkäänlaista intressiä toimia vastoin tietosuojalainsäädäntöä. Mikäli valvontaviranomainen katsoo, että olisi olemassa rekisteröityjen tietosuojaa paremmin turvaava tapa todentaa kunkin rekisterinpitäjään yhteyttä ottaneen henkilön henkilöllisyys, on rekisterinpitäjä ilmoittanut pyytävänsä valvontaviranomaiselta asiaa koskevaa ohjeistusta täsmentääkseen nykyisiä käytäntöjään.

Selvyyden vuoksi rekisterinpitäjä on korostanut sillä olevan lähtökohtaisesti hallussaan vain ajoneuvonsa väärin pysäköineiden henkilöiden ajoneuvojen rekisteritunnukset. Rekisterinpitäjä on edelleen korostanut saavansa muita henkilötietoja haltuunsa reklamaatioiden ja tietosuojapyyntöjen kautta. Rekisterinpitäjä on lisäksi todennut, että tällaisten yhteydenottajien suhde rekisterinpitäjän ja sen asiakkaan väliseen sopimussuhteeseen on epävarma. Rekisterinpitäjä on viitannut korkeimman oikeuden ratkaisuun KKO:2010:23 ja todennut, että tämän ratkaisun mukaan rekisterinpitäjän sopimuskumppani on tietyn ajoneuvon virheellisesti pysäköinyt henkilö.

Rekisterinpitäjä on esittänyt näkemyksenään, että se on menetellyt nyt kysymyksessä olevissa asioissa asianmukaisesti ja voimassa olevan tietosuojalainsäädännön edellyttämällä tavalla. Rekisterinpitäjä on kertonut reagoineensa kaikkiin sille asianmukaisesti tehtyihin tietosuojapyyntöihin.

Oikeudesta saada pääsy tietoihin

Kuulemispyyntöön annetussa vastauksessa on viitattu yleisen tietosuoja-asetuksen 12 artiklan 2 kohtaan, jossa on säädetty, että rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Edelleen on säädetty, että 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15–22 artiklan mukaisten oikeuksien käyttämiseksi ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä. Saman artiklan 6 kohdan mukaan puolestaan, jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan taas henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”).

Rekisterinpitäjä on esittänyt näkemyksenään, että sillä on oikeus kieltäytyä toimittamasta tietoja, jos se ei pysty riittävällä tavalla tunnistamaan rekisteröityä. Rekisterinpitäjä on ilmoittanut, että tarkastusoikeutta koskevan pyynnön epäämisen perusteena on kussakin tapauksessa ollut pyynnön esittäjän riittämätön yksilöinti. Asioissa, joissa pääsyä tietoihin ei ole sallittu, rekisteröidyn esittämästä pyynnöstä on käynyt ilmi ainoastaan rekisteröidyn nimi sekä valvontamaksun asianumero. Rekisterinpitäjä ei ole pitänyt näitä tietoja riittävinä pyynnön esittäjän tunnistamiseksi. Tietosuojalomakkeella on pyydetty muun muassa henkilötunnusta ja osoitetietoa. Rekisterinpitäjän esittämän näkemyksen mukaan pyydetyt tiedot vastaavat aiemmin voimassa olleen henkilötietolain aikaista käytäntöä. Reklamaatiojärjestelmässä on pyydetty valvontamaksun numeroa sekä ajoneuvon rekisteritunnusta, eikä henkilötunnusta ole edellytetty. Tämä on johtunut siitä, että tietoturvan kannalta ei ole varsinaista merkitystä sillä, kuka rekisterinpitäjälle kulloinkin reklamoi, mutta ulkopuolisille ei voida tietosuojakyselyiden kautta antaa kolmansien henkilötietoja. Rekisterinpitäjä on esittänyt, että henkilötunnuksen pyytämisellä on pyritty varmistamaan se, että pyynnöt ovat aitoja, ja että niiden asianmukaisuus voidaan ainakin jälkikäteen selvittää ilmoitettua henkilötunnusta käyttäen, mikäli esimerkiksi valvontaviranomainen selvittäisi tietojen joutumista mahdollisesti vääriin käsiin.

Valvontamaksuasioita on kerrottu olevan tuhansia, mistä johtuen pelkkä ilmoitettu nimi ja valvontamaksun asianumero eivät rekisterinpitäjän näkemyksen mukaan takaa sitä, että rekisteröidyn oikeuksia koskeva pyyntö voidaan kohdistaa oikeaan ja riittävästi yksilöityyn rekisterinpitäjän sopimusosapuoleen. Edelleen on esitetty, että rekisteröidyksi itseään väittävän nimi voi olla luonteeltaan hyvin yleinen (”Matti Virtanen”) ja asianumeron sisältämän valvontamaksulomakkeen on voinut saada tietyn ajoneuvon tuulilasinpyyhkijän alta ilkivaltatarkoituksissa. Rekisterinpitäjä on todennut olevansa sopimussuhteessa nimenomaan tietyn ajoneuvon pysäköineen henkilön kanssa (ks. KKO:2010:23), jolloin rekisterinpitäjän on asioitava juuri tämän henkilön kanssa. Mitään valmista sopimusdokumentaatiota tai muuta vastaavaa ei ole olemassa, jonka perusteella rekisterinpitäjä voisi yhdistää tietosuojapyynnön tehneen henkilön ajoneuvon pysäköinnistä vastaavaan (lähes aina tuntematon) henkilöön. Kun tämä osapuolten välisen sopimussuhteen erityisluonne otetaan huomioon, rekisterinpitäjän tietosuoja-asioiden käsittelyssä pyytämiä tietoja voidaan rekisterinpitäjän esittämän näkemyksen mukaan pitää oikeasuhteisina ja tarpeellisina, jotta yleisen tietosuoja-asetuksen tarkoitusperät eivät vaarannu, ja että tietoja ei luovuteta muille kuin niihin oikeutetuille.

Rekisterinpitäjä on pitänyt menettelyään ainoana mahdollisena, jolla se voi varmistaa myös oman oikeusturvansa. Rekisterinpitäjä on esittänyt näkemyksenään, että verkkolomakkeen tulee olla tietosisällöltään siinä määrin laaja, että vain ja ainoastaan todelliseen oikeussuhteeseen perustuvat tietosuojapyynnöt tulevat käsiteltäviksi, eikä rekisterinpitäjä anna valheellisiin pyyntöihin liittyen tai epähuomiossa ulos henkilötietoja muille kuin rekisteröidyille sopimusosapuolilleen. Rekisterinpitäjä on edelleen esittänyt pitävänsä osoitetietoja (sähköpostiosoite sekä postiosoite) tarpeellisina, jotta se voi tarvittaessa toimittaa vastauksensa postitse rekisteröidyn tietosuojaa koskevaan pyyntöön.

Reklamaation yhteydessä on ilmoitettava myös sen ajoneuvon rekisteritunnus, jota reklamaatio koskee. Rekisterinpitäjä on pitänyt tätä tarpeellisena kohdistaakseen reklamaation oikeaan valvontamaksuun. Rekisterinpitäjä on katsonut, että se ei voisi riittävällä tavalla tunnistaa, mistä valvontamaksusta on kysymys pelkän asianumeron perusteella. Tieto rekisteritunnuksesta on sellainen tieto, joka rekisterinpitäjällä on jo entuudestaan hallussaan. Rekisterinpitäjä on ilmoittanut myös reklamaatiokäsittelyssä vaativansa osoitetiedon ilmoittamista, jotta se voi riittävällä tavalla varmistua reklamaation tekijän henkilöllisyydestä. Reklamaatiovastaus voi rekisterinpitäjän mukaan olla tarpeen toimittaa asiakkaalle myös postitse.

Lopuksi rekisterinpitäjä on ilmoittanut, että reklamaatiokäsittelyssä se ei vaadi tietoa henkilötunnuksesta. Rekisterinpitäjä on ilmoittanut nyt luopuvansa edellyttämästä henkilötunnusta tietosuojalomakkeellaan. Rekisterinpitäjä on tässä yhteydessä ilmaissut huolensa siitä, saadaanko tiedot kussakin yksittäistapauksessa aina toimitettua vain ja ainoastaan niihin oikeutetuille.

Tietojen säilytyksen rajoittaminen ja tietojen poistaminen

Kuulemispyyntöön annetussa vastauksessa on edelleen todettu, että rekisteröityjen pyyntöä henkilötietojen rajoittamisesta tai poistamisesta ei ole toteutettu, sillä rekisterinpitäjän esittämän näkemyksen mukaan sen velvoitteet (kuten kirjanpitolaki) sekä mahdolliset oikeudelliset jatkotoimet ovat estäneet tietojen poiston. Rekisterinpitäjä on ilmoittanut säilyttävänsä rekisteröityjen henkilötietoja niin kauan kuin se suinkin on mahdollista ja oikeasuhtaista. Tässä yhteydessä rekisterinpitäjä on viitannut erityisesti yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohtaan.

Annetussa vastauksessa on lisäksi todettu, että rekisteröityjen tiedot tullaan säilyttämään valvontamaksun osalta rekisteröityjen esittämistä pyynnöistä huolimatta kirjanpitolakiin perustuen. Tässä yhteydessä rekisterinpitäjä on viitannut yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan b alakohtaan. Rekisterinpitäjä on viitannut myös kirjanpitolain 2 luvun 10 §:n 2 momenttiin. Saatavien luonne niin sanottuina reaalisopimukseen perustuvina yksityisinä valvontamaksuina johtaa siihen, että rekisterinpitäjä säilyttää kirjanpitotarkoituksiin rekisteröityjen ajoneuvoista otetut valvontakuvat sekä jäljennökset rekisteröidyille toimitetuista valvontamaksulomakkeista. Rekisterinpitäjä on ilmoittanut, että säilytetyt tiedot poistetaan, kun kirjanpidollisia perusteita tietojen säilyttämiseen ei ole.

Rekisterinpitäjä on niin ikään ilmoittanut olevan mahdollista, että se tulee saattamaan po. valvontamaksusaatavat alioikeuden käsiteltäväksi. Tässä yhteydessä on viitattu yleisen tietosuoja-asetuksen 17 artiklan 3 kohdan e alakohtaan. Edelleen on todettu, että vakiintuneen oikeuskäytännön perusteella rekisterinpitäjä pitää hakijoita maksuvelvollisina kysymyksessä oleviin valvontamaksusaataviin nähden. Hakijoiden reklamaatioillaan esiin tuomat seikat eivät rekisterinpitäjän mukaan muuta sen edellä mainittua käsitystä. Rekisterinpitäjä on ilmoittautunut turvautuvansa tuomioistuinmenettelyyn silloin, kun se katsoo tällaisen käsittelyn ajankäytöllisesti ja kulukysymyksen näkökulmasta aiheelliseksi. Rekisterinpitäjä on ilmoittanut viime vuosina saattaneensa tuhansia asioita alioikeuksien käsiteltäväksi. Edelleen on kerrottu, että käytännön realiteetit ja aiemmin vallinneen oikeustilan epäselvyys ovat johtaneet siihen, että kaikkia suorittamattomia saatavia ei vielä ole saatettu oikeudelliseen perintään, mutta rekisterinpitäjän mukaan niitä saatetaan kulloinkin käytettävissä olevien resurssien puitteissa jatkuvasti vireille.

Rekisterinpitäjä on esittänyt näkemyksenään, että Access to Court -periaate ja tehokkaiden oikeussuojakeinojen olemassaolon vaatimus takaavat sen, että rekisterinpitäjää ei voi sitoa minkäänlainen määräaika sen suhteen, missä ajassa sen on saatettava saatavaansa koskeva asia tuomioistuinkäsittelyyn (kunhan saatava ei ole vanhentunut). Rekisterinpitäjä on edelleen esittänyt näkemyksenään, että sillä on täysin perusteltu oikeus olla poistamatta tiettyyn valvontamaksuun liittyviä rekisteröityjen tietoja, mikäli tällaisia tietoja tullaan käyttämään osana riita-asian oikeudenkäyntiä, muun muassa tiettyä ajoneuvoa kuljettaneen henkilön identiteettiä selvitettäessä. Rekisterinpitäjä on edelleen esittänyt näkemyksenään, että tietojen käsittelyn rajoittaminen ei myöskään tule kysymykseen tällaisissa tapauksissa. Lopuksi on vielä todettu, että tietoja tarvitaan rekisterinpitäjän käyttämien oikeudenkäyntiasiamiesten toimintaan.

Tietojen minimoinnin periaate

Rekisterinpitäjä on korostanut käsittelevänsä vain ja ainoastaan toimintansa kannalta tarpeellisia ja olennaisia tietoja. Rekisterinpitäjä on lisäksi huomauttanut, että virheelliseksi arvioitu rekisterinpitäjän toimintamalli koskee rekisterinpitäjän esittämän näkemyksen mukaan hyvin rajallista rekisteröityjen joukkoa.

Seuraamuskannanotto

Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä on ilmoittanut ilman aiheetonta viivästystä saattavansa nykyiset menettelytapansa voimassa olevan tietosuojasääntelyn mukaisiksi, mikäli tällaisten menettelytapojen katsotaan tavalla tai toisella olevan tietosuojalainsäädännön vastaisia. Rekisterinpitäjä on todennut, että sillä ei ole minkäänlaista taloudellista tai muutakaan intressiä olla noudattamatta voimassa olevaa lainsäädäntöä. Rekisterinpitäjä on ollut siinä uskossa, että se noudattaa voimassa olevaa sääntelyä, ja se on kertomansa mukaan pyrkinyt olemaan huolellinen tietosuojaa koskevissa asioissa.

Rekisterinpitäjä on ilmoittanut vastustavansa siihen kohdistuvien korjaavien toimivaltuuksien käyttämistä, ja etenkin niin sanotun hallinnollisen sakon määräämistä. Annetussa vastauksessa on todettu rekisterinpitäjän olevan suomalainen pienyritys, jonka hallussa on lähinnä sen ydintoiminnassa tarvittavia väärin pysäköityjen ajoneuvojen rekisteritunnuksia. Rekisterinpitäjä on esittänyt näkemyksenään, että edellä mainittuihin mahdollisesti liittyviä oikeuksia ei voida pitää tietosuojalainsäädännön ydinalueelle kuuluvana asiana. Edelleen on esitetty, että reklamaatiokäsittelyn yhteydessä taikka tietosuojalainsäädännön tarjoamien oikeuksien muodossa kerättävät henkilötiedot eivät liity rekisterinpitäjän ydinliiketoimintaan. Rekisterinpitäjä on katsonut tällaisten tietojen nykyisessä muodossaan kuitenkin olevan tarpeellisia sekä rekisterinpitäjän oman, että siihen yhteydessä olevien yksityishenkilöiden ja kolmansien oikeusturvan kannalta.

Lopuksi rekisterinpitäjä on esittänyt näkemyksenään olevan yleisesti tunnettua, että valvontaviranomainen aluksi lähestyy rekisterinpitäjiä ohjaten ja mahdollisissa rikkomustilanteissakin lievemmästä päästä olevien sanktioiden muodossa. Rekisterinpitäjä on todennut nyt käsillä olevan asian olevan ensimmäinen yleisen tietosuoja-asetuksen aikainen sitä koskeva valvonta-asia, mistä johtuen rekisterinpitäjä pitää hallinnollisen seuraamusmaksun uhkaa kohtuuttomana ja ennalta arvaamattomana.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Hakijan asiassa ratkaistavana ovat seuraavat oikeudelliset kysymykset:

1) onko rekisterinpitäjä reklamaatioiden yhteydessä suorittamansa henkilötietojen käsittelyn yhteydessä noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimoinnin periaatetta ja 25 artiklan 2 kohdassa säädettyä;

2) onko rekisterinpitäjällä ollut yleisen tietosuoja-asetuksen 17 artiklan 3 kohdassa säädetty peruste evätä hakijan pyyntö oikeudesta tietojen poistamiseen; ja

3) onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimensa yleisen tietosuoja-asetuksen säännösten mukaisiksi. Tietosuojavaltuutetun on niin ikään arvioitava, tuleeko asiassa käyttää muita yleisen tietosuoja-asetuksen 58 artiklassa säädettyjä korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös

Rekisterinpitäjä ei ole noudattanut reklamaatioiden yhteydessä suorittamassaan henkilötietojen käsittelyssä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimoinnin vaatimusta eikä yleisen tietosuoja-asetuksen 25 artiklan 2 kohdassa säädettyä. Rekisterinpitäjä ei myöskään ole noudattanut seuraavia yleisen tietosuoja-asetuksen kohtia: 1) 5 artiklan 1 kohdan e alakohta ja 14 artiklan 2 kohta a kohta; ja 2) 14 artiklan 3 kohta.

Määräys

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa reklamaatioiden yhteydessä suorittamansa henkilötietojen käsittely yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa ja 25 artiklan 2 kohdassa säädetyn mukaiseksi.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen noudattaa hakijan pyyntöä saada sellaiset suoritettuihin yksityisoikeudellisiin pysäköinninvalvontamaksuihin liittyvät henkilötietonsa poistetuiksi, joiden perusteella ei ole tehty rekisterinpitäjän kirjanpitovelvoitteiden mukaisia kirjauksia. Mikäli tällaisia kirjauksia on tehty, tiedot on poistettava kuuden vuoden kuluttua sen vuoden lopusta, jonka aikana tilikausi on päättynyt.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa tietojen säilyttämistä koskevat käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaisiksi.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa tietojen toimittamista koskevat käytäntönsä yleisen tietosuoja-asetuksen 14 artiklan 1–3 kohdissa säädetyn mukaisiksi.

Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 30.6.2021 mennessä.

Huomautus

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Tietosuojavaltuutettu katsoo, että huomautuksen lisäksi on arvioitava hallinnollisen seuraamusmaksun määräämistä rekisterinpitäjälle. Seuraamusmaksun määräämistä osaltaan tukee myös valvontaviranomaiselle tehtyjen kanteluiden määrä ja laatu. Kysymys ei ole ollut yksittäisistä kanteluista ja niihin liittyvistä erimielisyyksistä, vaan vakiintuneesta toimintatavasta.

Hallinnollinen seuraamusmaksu

Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Perustelut

Aluksi on selvyyden vuoksi todettava, että asiassa ei ole kysymys rekisterinpitäjän mahdollisen saatavan oikeellisuudesta tai olemassaolosta. Tietosuojavaltuutettu ei ole toimivaltainen ratkaisemaan kysymystä siitä, onko hakijalla ollut velvollisuus suorittaa kysymyksessä ollut saatava vai ei. (Sopimuksen syntymisen osalta ks. esimerkiksi korkeimman oikeuden ratkaisu KKO:2011:43.)

Alkuun on syytä lisäksi todeta, että toisin kuin rekisterinpitäjä on katsonut, asiaan liittyvät yleisessä tietosuoja-asetuksessa säädetyt oikeudet nimenomaisesti kuuluvat tietosuojalainsäädännön ydinalueelle. Kysymys on muun muassa yleisen tietosuoja-asetuksen III luvussa säädetyistä rekisteröityjen oikeuksista, joiden lujittaminen on ollut yksi yleisen tietosuoja-asetuksen tavoitteista (HE 9/2018 vp, s. 29).

Tietojen minimoinnin periaatteesta

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa on säädetty tietojen minimoinnin periaatteesta. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Käsiteltävien henkilötietojen on edellä mainitusti oltava määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia. Todettakoon, että jo henkilötietolakia koskeneessa hallituksen esityksessä oli täsmennetty niin sanotun tarpeellisuusvaatimuksen sisältöä. Henkilötietoja voidaan pitää käsittelyn tarkoituksen kannalta tarpeellisina silloin, kun ne ovat asianmukaisia ja olennaisia, eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja mihin niitä myöhemmin käsitellään (HE 96/1998 vp, s.42). Yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 39 on niin ikään todettu, että henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Näin ollen voidaan todeta, että henkilötietoja saa käsitellä ainoastaan, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin.

Asiassa on edellä mainitusti kysymys tietojen minimoinnin periaatteesta, mistä periaatteesta Euroopan tietosuojaneuvosto on myös antanut käytännön ohjeita antamiensa suuntaviivojen yhteydessä (Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, annettu 13.11.2019).Näiden ohjeiden mukaan ensi alkuun olisi selvitettävä, onko henkilötietojen käsittely ylipäänsä tarpeellista. Henkilötietojen käsittelyä kehotetaan nimenomaisesti välttämään silloin, kun se vain on mahdollista. Lisäksi erikseen on korostettu, että käsiteltävien henkilötietojen on oltava oleellisia kysymyksessä ole-van käsittelyn tarkoituksen kannalta. Kaikkien käsiteltävien henkilötietojen olisi niin ikään oltava tarpeellisia erikseen määritellyn tarkoituksen saavuttamiseksi. Tietyn henkilötiedon käsittely olisi sallittua vain, jos käsittelyn tarkoitusta ei ole mahdollista saavuttaa muilla tavoin (Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (annettu 13.11.2019), s. 19). Käytännössä kussakin tilanteessa tulisi näin ollen kerätä mahdollisimman vähän henkilötietoja.

Merkitystä on lisäksi yleisen tietosuoja-asetuksen 25 artiklan 2 kohdassa säädetyllä. Rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötä-vaikutusta.

Käsillä olevasta tapauksesta

Asiassa on kysymys yksityisoikeudellista pysäköinninvalvontamaksua koskevan reklamaation tekemisestä ja sen käsiteltäväksi saattamisesta. Rekisterinpitäjä on ilmoittanut, että se ei käsittele tehtyjä reklamaatioita, jos reklamaation tehnyt henkilö ei ole ilmoittanut eikä ilmoita osoitettaan. Osoitetiedon vaatimisen perusteeksi on ilmoitettu reklamaation tekijän riittävä yksilöinti ja tunnistaminen.

Annetussa selvityksessä on edellä mainitusti todettu, että osoitetieto vaaditaan, jotta rekisterinpitäjä voi riittävästi yksilöidä ja tunnistaa reklamaation tekijän. Todettakoon, että käsillä olevassa tapauksessa hakija oli jo toimittanut rekisterinpitäjälle muun muassa tiedot nimestään, sähköpostiosoitteestaan sekä pysäköidyn ajoneuvon rekisteritunnuksesta. Hakija oli niin ikään ilmoittanut rekisterinpitäjälle kysymyksessä oleville yksityisoikeudellisille pysäköinninvalvontamaksuille annetut asianumerot. Todettakoon, että asiassa ei ole esitetty mitään sellaista seikkaa, jonka perusteella voitaisiin katsoa, että rekisterinpitäjällä olisi ollut perusteltua syytä epäillä rekisteröidyn henkilöllisyyttä.

Todettakoon, että rekisterinpitäjällä voidaan katsoa olevan perusteltu tarve kerätä reklamaation tekijän yhteystietoja. Rekisterinpitäjä tarvitsee yhteystiedot vastatakseen reklamaation tekijälle. Asiassa ei kuitenkaan ole esitetty mitään sellaista, jonka perusteella rekisterinpitäjällä olisi perusteltu syy edellyttää sähköpostisoitteen lisäksi muutakin yhteystietoa.

Todettakoon, että asiassa ei ole esitetty mitään sellaista, joka osoittaisi osoitetiedon olevan välttämätöntä sen selvittämiseksi, onko kysymyksessä oleva yksityisoikeudellinen pysäköinninvalvontamaksu annettu virheellisin perustein. Tietosuojavaltuutettu katsoo, että edellä mainitun seikan selvittäminen olisi kohtuullisesti toteutettavissa muilla keinoin. Kuten Euroopan tietosuojaneuvoston antamissa suuntaviivoissa on todettu, henkilötietojen käsittelyä on pyrittävä välttämään.

Edellä esitetyillä perusteilla tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdassa tarkoitetun määräyksen saattaa reklamaatioiden yhteydessä suorittamansa henkilötietojen käsittely yleisessä tietosuoja-asetuksessa säädetyn mukaiseksi.

Oikeudesta tietojen poistamiseen sekä tietojen säilyttämisestä ja säilytysajoista

Yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan a alakohdan nojalla rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin. Edellä olevaa 17 artiklan 1 kohtaa ei sovelleta 17 artiklan 3 kohdan e alakohdan mukaan, jos käsittely on tarpeen oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Annetussa selvityksessä on todettu, että tietoja ei poisteta, sillä rekisterinpitäjän lakisääteiset velvoitteet (kuten kirjanpitolaki) ovat estäneet tietojen poistamisen. Annetussa selvityksessä on lisäksi todettu, että tietoja säilytetään niin kauan kuin se suinkin on mahdollista ja oikeasuhtaista (ks. etenkin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohta).

Rekisterinpitäjä on ilmoittanut säilyttävänsä hakijan tiedot valvontamaksuun liittyen kirjanpitolakiin perustuen (ks. yleisen tietosuoja-asetuksen 17 artikla 3 kohdan b alakohta). Kirjanpitolain 2 luvun 10 §:n 2 momentin mukaan tilikauden tositteet, liiketapahtumia koskeva kirjeenvaihto sekä muu kuin kirjanpitolain 2 luvun 10 §:n 1 momentissa mainittu on säilytettävä vähintään kuusi vuotta sen vuoden lopusta, jonka aikana tilikausi on päättynyt. Annetussa selvityksessä on todettu, että saatavien luonne ns. reaalisopimukseen perustuvina yksityisinä valvontamaksuina johtaa siihen, että rekisterinpitäjä säilyttää itsellään kirjanpitotarkoituksiin ajoneuvosta otetut valvontakuvat sekä jäljennöksen rekisteröidylle toimitetusta valvontamaksulomakkeesta.

Todettakoon, että yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa on säädetty henkilötietojen säilytyksen rajoittamisesta. Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötiedon säilytysajan on siis oltava mahdollisimman lyhyt. Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleen 39 mukaan henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Henkilötietoja ei näin ollen olisi säilytettävä pidempään kuin on tarpeen. Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleen 65 mukaan luonnollisella henkilöllä olisi puolestaan oltava oikeus ”tulla unohdetuksi”, jos tietojen säilyttäminen rikkoo tätä asetusta tai rekisterinpitäjään sovellettavaa unionin oikeutta tai jäsenvaltion lainsäädäntöä. Rekisteröidyllä olisi erityisesti oltava oikeus siihen, että hänen henkilötietonsa poistetaan ja ettei niitä käsitellä sen jälkeen, kun henkilötietoja ei enää tarvita niitä tarkoituksia varten, joita varten ne kerättiin tai jota varten niitä muutoin käsiteltiin, tai kun hän on vastustanut henkilötietojensa käsittelyä tai kun hänen henkilötietojensa käsittely ei muutoin ole tämän asetuksen säännösten mukaista.

Kirjanpitolain 2 luvun 10 §:n 1 momentin mukaan tilinpäätös, toimintakertomus, kirjanpidot, tililuettelo sekä luettelo kirjanpidoista ja aineistoista on säilytettävä vähintään 10 vuotta tilikauden päättymisestä. Edelleen kirjanpitolain 2 luvun 10 §:n 2 momentin mukaan jollei muualla laissa ole säädetty pitempää määräaikaa säilyttämiselle, tilikauden tositteet, liiketapahtumia koskeva kirjeenvaihto sekä muu kuin 1 momentissa mainittu kirjanpitoaineisto on säilytettävä vähintään kuusi vuotta sen vuoden lopusta, jonka aikana tilikausi on päättynyt.

Kirjanpitolain 2 luvun 5 §:ssä on säädetty tositteesta. Tositteella tarkoitetaan päivättyä ja yksilöityä liiketapahtuman todentavaa kirjallista ilmaisua, kuten kuittia. Hallituksen esityksessä puolestaan on liiketapahtumia koskevan kirjeenvaihdon määrittelyn osalta viitattu kirjanpitolautakunnan yleisohjeeseen 1.2.2011 kirjanpidon menetelmistä ja aineistoista, jonka kohdassa 4.2 on todettu, että liiketapahtumia koskevaa kirjeenvaihtoa ovat muut kirjanpitoaineistoon kuuluvat asiakirjat kuin tositteet. Tällaista aineistoa ovat esimerkiksi kirjanpidon perusteella tehdyt viranomaisilmoitukset (esimerkiksi veroilmoitukset) sekä eläkevakuutusta hoitaville yhteisöille tai muille yhteisöille annetut ilmoitukset ja muut lainsäädännön nojalla annettavat ilmoitukset (HE 89/2015 vp, s. 49).

Edellä selostettuihin lainkohtiin perustuen tietosuojavaltuutettu katsoo, että kysymyksessä olevia hakijan henkilötietoja (ajoneuvosta otetut valokuvat ja kysymyksessä olevaa asiaa koskeva valvontamaksulomake) ei ole katsottava kirjanpitolain 2 luvun 10 §:ssä tarkoitetuiksi tiedoiksi. Tietosuojavaltuutettu katsoo, että vain sellaiset rekisteröityjen henkilötiedot, jotka sisältyvät tositteisiin, eli joiden perusteella on tehty rekisterinpitäjän kirjanpitovelvoitteiden mukaisia kirjauksia, voidaan säilyttää kirjanpitolain 2 luvun 10 §:n 2 momentissa säädetyn ajan. Muita kuin tällaisia tietoja ei tule säilyttää kysymyksessä olevan lainkohdan perusteella.

Todettakoon, että yleisen tietosuoja-asetuksen 14 artiklan 2 kohdan a alakohdan mukaisesti silloin, kun tietoja ei ole saatu rekisteröidyltä itseltään, rekisterinpitäjän on toimitettava rekisteröidylle muun muassa tieto henkilötiedon säilytysajasta tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit. Todettakoon, että rekisterinpitäjän verkkosivuilta löytyvässä tietosuojaselosteessa on aiemmin ainoastaan kerrottu, että mainittua aineistoa säilytetään kulloinkin voimassa olevan oikeuden edellyttämä aika. Säilytysajasta ei ole todettu mitään muuta. Tätä ei voida pitää riittävänä. Mikäli rekisterinpitäjän ei ole mahdollista ilmoittaa tiettyä säilytysaikaa, on rekisterinpitäjän vähintäänkin ilmoitettava tämän ajan määrittämiskriteerit. Rekisterinpitäjä ei ole näin toiminut.

Todettakoon, että edellä mainittua tietosuojaselostetta on sittemmin (15.2.2021) päivitetty. Päivitetyssä tietosuojaselosteessa on puolestaan kerrottu, että [h]enkilötietojasi säilytämme niin kauan kuin se on välttämätöntä. Säilyttämisajan pituus määräytyy henkilötietojen käsittelyperusteen pohjalta. Kun henkilötietojen käsittelyn peruste on päättynyt, tiedot poistetaan kokonaisuudessaan, eikä niitä ole saatavilla enää mistään tietokannoistamme. Tätäkään ei voida pitää riittävänä.

Todettakoon niin ikään, että yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleessa 39 on nimenomaisesti todettu, että henkilötietojen säilytysajan on oltava mahdollisimman lyhyt. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen.

Annetussa selvityksessä on lisäksi ylimalkaisesti todettu, että hakijan tietoja säilytetään niin kauan kuin se suinkin on mahdollista ja oikeasuhtaista. Todettakoon, että mahdollisimman pitkä säilytysaika on vastoin yleisessä tietosuoja-asetuksessa säädettyä. Henkilötietojen säilytysajan on edellä mainitusti oltava mahdollisimman lyhyt.

Todettakoon, että 29 artiklan mukainen tietosuojatyöryhmä on antanut käytännön ohjeita (”läpinäkyvyyttä koskevat ohjeet") jäljempänä tarkemmin kuvatusta läpinäkyvyyden periaatteesta (asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, WP260 rev.01, annettu 29.11.2017, viimeksi tarkistettu ja hyväksytty 11.4.2018). Näiden ohjeiden mukaan velvollisuus toimittaa henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit, linkittyy yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyyn tietojen minimoinnin vaatimukseen sekä 5 artiklan 1 kohdan e alakohdassa säädettyyn säilytyksen rajoittamisen vaatimukseen (asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, WP260 rev.01(annettu 29.11.2017, viimeksi tarkistettu ja hyväksytty 11.4.2018), s. 38).

Säilytysaikaan (tai sen määrittämiskriteereihin) voivat vaikuttaa esimerkiksi lakisääteiset vaatimukset tai alakohtaiset ohjeet. Säilytysaika (tai sen määrittämiskriteerit) tulisi kuitenkin ilmaista niin, että rekisteröity pystyy oman tilanteensa perusteella arvioimaan, kuinka kauan tiettyjä henkilötietoja säilytetään tiettyä käsittelytarkoitusta varten. Ei riitä, että yleisesti ilmaistaan henkilötietoja säilytettävän niin kauan kuin on tarpeen käsittelyn laillista tarkoitusta varten. Tarvittaessa eri henkilötietoryhmille ja/tai käsittelytarkoituksille olisi määritettävä erilaiset säilytysajat (asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, WP260 rev.01(annettu 29.11.2017, viimeksi tarkistettu ja hyväksytty 11.4.2018), s. 38–39).

Todettakoon, että käsillä olevassa asiassa tietosuojaselosteella ilmoitettujen säilytysaikaa koskevien tietojen perusteella rekisteröity ei voi ymmärtää, kuinka kauan tiettyjä henkilötietoja säilytetään. Selosteessa ei esimerkiksi ole viitattu mihinkään lainkohtaan eikä ole ilmaistu minkäänlaista tarkentavaa ajallista määrettä.

Selvyyden vuoksi todettakoon, että käsillä olevassa asiassa rekisterinpitäjä ei ole ilmoittanut harkitsevansa asiassa oikeudellisia jatkotoimia.

Edellä esitetyin perustein tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole tietojen säilyttämistä koskevissa käsittelytoimissaan noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa ja 14 artiklan 2 kohdan a alakohdassa säädettyä.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa tietojen säilyttämistä koskevat käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaisiksi.

Lisäksi edellä esitetyillä perusteilla tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen määräyksen noudattaa hakijan pyyntöä saada sellaiset suoritettuihin yksityisoikeudellisiin pysäköinninvalvontamaksuihin liittyvät henkilötietonsa poistetuiksi, joiden perusteella ei ole tehty rekisterinpitäjän kirjanpitovelvoitteiden mukaisia kirjauksia. Mikäli tällaisia kirjauksia on tehty, tiedot on poistettava kuuden vuoden kuluttua sen vuoden lopusta, jonka aikana tilikausi on päättynyt.

Tietojen käsittelyn läpinäkyvyydestä ja rekisteröidyille toimitettavista tiedoista

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä rekisteröidyn kannalta läpinäkyvästi. Yleisen tietosuoja-asetuksen 12 artiklassa puolestaan on säädetty läpinäkyvyydestä yksityiskohtaisemmin. Läpinäkyvyyden periaate linkittyy vahvasti yleisen tietosuoja-asetuksen 14 artiklaan, jossa on säädetty niistä tiedoista, jotka on toimitettava rekisteröidylle, kun tietoja ei ole saatu rekisteröidyltä itseltään. Todettakoon, että tällaiset tiedot sisältävää ilmoitusta kutsutaan usein tietosuojaselosteeksi.

Edellä mainituissa läpinäkyvyyttä koskevissa ohjeissa on todettu, että läpinäkyvyyttä koskeva velvollisuus käsittää kolme keskeistä osa-aluetta: 1) tietojen asianmukaista käsittelyä koskevan tiedon antaminen rekisteröidyille, 2) rekisterinpitäjien tapa tiedottaa rekisteröidyille näiden tietosuoja-asetukseen perustuvista oikeuksista ja 3) rekisterinpitäjien keinot auttaa rekisteröityjä käyttämään oikeuksiaan (asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, WP260 rev.01(annettu 29.11.2017, viimeksi tarkistettu ja hyväksytty 11.4.2018), s. 4).

Todettakoon lisäksi, että yleisessä tietosuoja-asetuksessa ei säädetä tietojen toimittamisen muodosta ja muista yksityiskohdista. Asetuksessa on kuitenkin säädetty, että rekisterinpitäjällä on velvollisuus toteuttaa ”asianmukaiset toimenpiteet” läpinäkyvyyden vuoksi edellytettyjen tietojen toimittamiseksi rekisteröidylle (ks. yleisen tietosuoja-asetuksen 12 artiklan 1 kohta). Tämä tarkoittaa, että rekisterinpitäjän on otettava huomioon kaikki henkilötietojen keräämisen ja käsittelyn olosuhteet valitessaan tietojen toimittamisen asiamukaista tapaa ja muotoa. Asianmukaisia toimenpiteitä on arvioitava erityisesti tuotteen tai palvelun käyttäjän kokemuksen kannalta (asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, WP260 rev.01, annettu 29.11.2017, viimeksi tarkistettu ja hyväksytty 11.4.2018), s. 14).

Yleisen tietosuoja-asetuksen 14 artiklassa tarkoitettujen epäsuorasti saatujen henkilötietojen tapauksessa vaadittujen tietojen toimittamisajasta on säädetty 14 artiklan 3 kohdan a–c alakohdissa. Yleissääntönä on, että tiedot on toimitettava ”kohtuullisen ajan kuluttua” mutta viimeistään kuukauden kuluttua henkilötietojen saamisesta ”ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet” (14 artiklan 3 kohdan a alakohta). Mainittua toimittamisaikaa voidaan kuitenkin lyhentää esimerkiksi 14 artiklan 3 kohdan c alakohdan nojalla, jos henkilötietoja on tarkoitus luovuttaa toiselle vastaanottajalle. Tällöin tiedot on toimitettava viimeistään silloin kun näitä tietoja luovutetaan ensimmäisen kerran.

Tietojen toimittamisen muodosta voidaan todeta, että yleisen tietosuoja-asetuksen 14 artiklan mukaisesti rekisterinpitäjän on ”toimitettava rekisteröidylle kaikki seuraavat tiedot […]”. Merkitystä on käytetyllä sanamuodolla ”toimitettava”. Tämä tarkoittaa, että rekisterinpitäjän on toteutettava aktiivisia toimia antaakseen kysymyksessä olevat tiedot rekisteröidylle tai aktiivisesti ohjattava rekisteröity tietojen sijaintipaikkaan.

Todettakoon, että rekisterinpitäjän verkkosivuilta on löydettävissä tietosuojaselosteeksi nimetty asiakirja. Mainitussa selosteessa säännönmukaisina tietolähteinä on ilmoitettu rekisterinpitäjän henkilökuntaan kuuluvilta pysäköinninvalvojilta saadut yksityisoikeudellista valvontamaksua koskevat tiedot (mukaan lukien digitaaliset ajoneuvoista otetut valokuvat) sekä rekisteröidyiksi ilmoittautuneet reklamaatioiden tekijät.

Kun virheellinen pysäköintitapahtuma havaitaan, on rekisterinpitäjä esittänyt saavansa tällöin haltuunsa ainoana rekisteröityä koskevana henkilötietona rekisteröidyn ajoneuvon rekisteritunnuksen. Valokuvauksen yhteydessä jokaiselle yksittäiselle virhepysäköintitapaukselle annetaan myös oma erillinen valvontamaksunumeronsa.

Kuulemispyyntöön annetussa vastauksessa on niin ikään todettu, että rekisterinpitäjä toimittaa yleisen tietosuoja-asetuksen 14 artiklassa edellytetyt tiedot seuraavasti: 1) ajoneuvon tuulilasinpyyhkijän alle jätettävällä valvontamaksulomakkeella (kuulemis-pyyntöön annetun vastauksen liite 1), 2) rekisterinpitäjän verkkosivuilla nähtävillä ole-vien tiedoin (muun muassa tietosuojasivusto, tietosuojaseloste ja yhteystiedot) ja 3) suorittamatta olevien valvontamaksujen kohdalla XX Oy:n toimittamin kirjein (kuulemispyyntöön annetun vastauksen liite 2).

Todettakoon, että rekisterinpitäjän identiteettiä ja yhteystietoja lukuun ottamatta yleisen tietosuoja-asetuksen 14 artiklassa tarkoitettuja tietoja ei ole ilmoitettu edellä mainitussa ajoneuvon tuulilasinpyyhkijän alle jätettävässä valvontamaksulomakkeessa (kuulemispyyntöön annetun vastauksen liite 1). Lomakkeessa ei liioin ole viitattu rekisterinpitäjän tietosuojaselosteeseen. Selvyyden vuoksi on lisäksi todettava, että XX Oy:n toimittamassa kirjeessä ei liioin anneta tietoa ParkkiPate Oy:n suorittamasta henkilötietojen käsittelystä.

On siis niin, että mikäli rekisteröity suorittaa annetun yksityisoikeudellisen pysäköinninvalvontamaksun, ei hänelle rekisterinpitäjän identiteettiä ja yhteystietoja lukuun ottamatta toimiteta yleisen tietosuoja-asetuksen 14 artiklassa tarkoitettuja tietoja. Mikäli rekisteröity kuitenkin itse oma-aloitteisesti vetoaa yleisessä tietosuoja-asetuksessa säädettyihin oikeuksiinsa, toimitetaan rekisteröidylle niin sanottu tietosuojavastaus (kuulemispyyntöön annetun vastauksen liite 3).

Rekisterinpitäjä ei esittämänsä mukaan lähtökohtaisesti saa haltuunsa ajoneuvojen haltijatietoja. Tästä johtunee, että rekisterinpitäjän tietosuojaselosteessa ei myöskään ilmoiteta, mistä haltijatiedot hankitaan. Käsillä olevassa asiassa hakija oli 16.10.2019 reklamoinut rekisterinpitäjää muun muassa 31.8.2019 ja 7.9.2019 annetuista yksityisoikeudellisista pysäköinninvalvontamaksuista. Samassa yhteydessä hakija oli nimenomaisesti tiedustellut, mistä rekisterinpitäjä oli saanut tiedon hänen osoitteestaan. Tässä yhteydessä on todettava, että tietosuojavaltuutetun toimistolle toimitetut jäljennökset hakijan ja rekisterinpitäjän välisestä kirjeenvaihdosta vaikuttavat jokseenkin puutteellisilta. Tietosuojavaltuutetun toimistolle on toimitettu jäljennös hakijan rekisterinpitäjälle 28.4.2020 lähettämästä sähköpostiviestistä, jossa on viitattu rekisterinpitäjän hakijalle 16.10.2029 lähettämään sähköpostiviestiin. Tässä 28.4.2020 sähköpostiviestissä on todettu rekisterinpitäjän vastanneen hakijalle, että tiedot oli saatu Trafilta. Tietosuojavaltuutetun toimistolle ei kuitenkaan ole toimitettu jäljennöstä tästä sähköpostiviestistä. Kuitenkin viitaten edellä mainittuun, rekisterinpitäjän voidaan todeta toimittaneen hakijalle tiedon osoitetiedon alkuperästä 16.10.2019.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Laura Varjokari, puh. 029 566 6771

Päätös ei ole vielä lainvoimainen.