Seuraamusmaksu - Rekisteröidyn oikeudet - Tunnistaminen

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	09.05.2022
Diaarinumero:	6097/161/21

Tietosuojavaltuutetun ja seuraamuskollegion päätös

Asia

Rekisteröidyn tunnistaminen ja rekisteröidyn oikeuksien toteuttaminen

Asian tausta

Tietosuojavaltuutetun toimistoon on saatettu vireille aikavälillä 27.11.2018-11.01.2021 11 kantelua, jotka ovat koskeneet Otavamedia Oy:n (myöhemmin rekisterinpitäjä) harjoittamaa henkilötietojen käsittelyä. Kantelut ovat koskeneet rekisteröidyn tunnistamista vaatimalla erillisen tarkastus- tai poistopyyntölomakkeen allekirjoittamista sekä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (myöhemmin yleinen tietosuoja-asetus) 15 artiklan mukaista rekisteröidyn oikeutta saada tutustua omiin tietoihinsa sekä 17 artiklan mukaista oikeutta saada tietonsa poistetuksi.

Tietosuojavaltuutettu käsittelee vireille saatetut asiat hallintolain (434/2003) 25 §:n nojalla yhdessä. Edellä mainitut asiat käsitellään tässä päätöksessä diaarinumerolla 6097/161/2021.

Vireillesaattajien vaatimukset perusteluineen

Viisi vireillesaattajaa on kyseenalaistanut rekisterinpitäjän rekisteröidyn tunnistamista koskevan käytännön. Rekisterinpitäjä edellyttää rekisteröidyn 15 artiklan mukaisen pääsyoikeuden ja 17 artiklan mukaisen poisto-oikeuden toteuttamiseksi erillisen poistopyyntölomakkeen tulostamista, täyttämistä ja allekirjoittamista ja toimittamista joko postitse tai sähköpostitse osoitteeseen tietosuoja-asiat(at)otavamedia.fi. Lomakkeeseen edellytetään täytettäväksi allekirjoituksen lisäksi tietojen poistoperuste asianmukainen kohta raksimalla, rekisteröidyn koko nimi sekä osoitetiedot.

Muissa vireillesaattajien kanteluissa on ollut kyse 15 artiklan mukaisesta rekisteröidyn oikeudesta saada tutustua omiin tietoihinsa sekä 17 artiklan mukaisesta oikeudesta saada tietonsa poistetuksi. Vireillesaattajat ovat kanteluissaan valittaneet, ettei rekisterinpitäjä ole vastannut heidän sähköpostitse tai postitse toimittamiinsa rekisteröidyn oikeuksia koskeviin pyyntöihinsä yleisen tietosuoja-asetuksen 12 artiklan edellyttämässä ajassa.

1. Vireillesaattaja kertoo lähettäneensä allekirjoitetun pyynnön postitse 26.9.2018 rekisterinpitäjän pyytämällä tavalla kirjallisesti ja allekirjoitettuna. Vireillesaattaja on 4.1.2019 ollut yhteydessä rekisterinpitäjään ja tiedustellut sähköpostilla selvitystä siihen, miksi hänen tietojaan ei ole poistettu. Vireillesaattaja ei ole saanut vastausta 6.2.2019 mennessä. Vireillesaattajan mukaan hänen henkilötietojaan käytetään edelleen muun muassa markkinointitarkoituksiin.

2. Vireillesaattaja kertoo lähettäneensä sähköpostilla 26.10.2018 rekisterinpitäjälle (tietosuoja-asiat(at)otavamedia.fi) pyynnön koskien rekisteröidyn oikeuksia ja informointia. Tietopyyntö on koskenut seuraavia asioita: oikeus saada tutustua omiin tietoihinsa, oikeus saada tietää onko vireillesaattaja joutunut automaattisen profiloinnin kohteeksi, oikeus saada tietää kenelle kaikille vireillesaattajan tietoja on luovutettu, oikeus saada tietää onko vireillesaattajan tietoja luovutettu EU:n ulkopuolelle ja oikeus saada tietää miten vireillesaattajan tietoja on käytetty. Lisäksi vireillesaattaja on tiedustellut miten ja missä vireillesaattaja on antanut suostumuksensa henkilötietojensa käsittelyyn, miksei vireillesaattajan tietoja ole poistettu kuten rekisterinpitäjä on tietosuojaselosteessaan ilmoittanut sekä miten rekisterinpitäjä toteuttaa tietoturvan vireillesaattajan henkilötietojen osalta. Vireillesaattaja ei ole saanut vastausta esittämäänsä pyyntöön 23.5.2019 mennessä.

3. Vireillesaattaja kertoo lähettäneensä allekirjoitetun pyynnön 13.11.2018 rekisterinpitäjälle. Vireillesaattaja ei ole saanut vastausta esittämäänsä pyyntöön 23.5.2019 mennessä.

4. Vireillesaattaja kertoo ottaneensa rekisterinpitäjään yhteyttä lähettämällä 22.11.2018 sähköpostitse pyynnön koskien omien tietojensa tarkastusta ja poistoa osoitteeseen tietosuoja-asiat(at)otavamedia.fi. Vireillesaattaja on myöhemmin 9.1.2019 lähettänyt pyyntönsä edelleen osoitteeseen tietosuoja-asiat(at)otavamedia.fi. Vireillesaattaja ei ole saanut vastausta esittämäänsä pyyntöön 27.5.2019 mennessä.

5. Vireillesaattaja kertoo lähettäneensä rekisterinpitäjälle 27.5.2019 ja uudelleen 29.5.2019 sähköpostitse pyynnön koskien suoramarkkinoinnin yhteydessä käsiteltyjen tietojensa alkuperää. Vireillesaattaja on saanut 3.6.2019 rekisterinpitäjältä vastauksen, jossa on vahvistettu asian olevan selvityksessä ja siihen palattavan mahdollisimman pian. Vireillesaattaja ei ole saanut kyseisen viestin jälkeen vastausta esittämäänsä pyyntöön 25.6.2019 mennessä.

6. Vireillesaattaja kertoo, että on toimittanut rekisterinpitäjälle pyynnön saada tietonsa poistetuksi rekisterinpitäjän antamien ohjeiden mukaisesti lähettämällä skannatun ja allekirjoitetun poistopyyntölomakkeen osoitteeseen tietosuoja-asiat(at)otavamedia.fi. 7.5.2020. Vireillesaattaja on ottanut rekisterinpitäjään uudelleen yhteyttä sähköpostitse 8.6.2020, mutta ei ole kertomansa mukaan saanut minkäänlaista vastausta rekisterinpitäjältä 23.6.2020 mennessä.

Rekisterinpitäjältä saatu selvitys

Rekisteröidyn tunnistaminen

Vireille saatettujen asioiden johdosta tietosuojavaltuutetun toimisto on 30.3.2021 esittänyt rekisterinpitäjälle selvityspyynnön koskien rekisterinpitäjän toimintatapaa edellyttää allekirjoitettavan lomakkeen täyttöä rekisteröidyn oikeuksien toteuttamiseksi. Rekisterinpitäjä on toimittanut vastauksensa selvityspyyntöön 23.4.2021.

Rekisterinpitäjä toteaa selvityksessään, ettei sillä ole tiedossa yksittäisten vireille saattajien henkilöllisyyksiä, joten se ei ole voinut suorittaa sisäisiä tarkastustoimenpiteitä henkilöiden kanssa mahdollisesti käydystä viestinnästä ja toimenpiteistä.

Rekisterinpitäjän mukaan rekisteröity voi käyttää oikeuksiaan seuraavilla eri tavoilla ja seuraavissa eri kanavissa:

1. sähköpostitse lähettämällä oikeuksia koskeva pyyntö tai kysymys sähköpostitseosoitteeseen tietosuoja-asiat(at)otavamedia.fi

2. soittamalla puhelimitse rekisterinpitäjän asiakaspalveluun (suoramarkkinointikiellot ja -luvat, osoite- ja puhelinnumerotietojen muutokset; muiden oikeuksien osalta puhelimitse neuvotaan toimintatapa kirjalliseen prosessiin)

3. lähettämällä kirjeen postitse

4. reaaliaikaisen chat-palvelun avulla yhtiön verkkosivujen kautta

5. asiakastilille kirjautumalla tarkastusoikeuden toteuttaminen (osoitteessa Otavamedia.fi/kirjaudu)

6. vierailemalla henkilökohtaisesti rekisterinpitäjän toimipaikan vastaanotossa

Rekisterinpitäjän mukaan yleinen tietosuoja-asetus edellyttää rekisterinpitäjiltä huolellisuutta sekä riittävää varmuutta siitä, että rekisterinpitäjä tarvittaessa tunnistaa rekisteröidyn mm. tämän oikeuksien käyttämisen yhteydessä. Rekisterinpitäjä edellyttää tätä tarkoitusta varten rekisteröidyiltä mm. etu- ja sukunimitiedon, kotiosoitteen ja maan, sekä henkilön allekirjoituksen (muissa kuin toimipaikassa asioinnissa ja henkilöllisyyden todentamisessa paikan päällä henkilöllisyystodistuksella). Oikeuksien käyttöä koskevia pyyntöjä koskevat vastaukset lähetetään postitse rekisterinpitäjän henkilörekistereistä löytyviä tiedustelijan henkilötietoja käyttäen. Tästä syystä rekisterinpitäjä kysyy tiedustelijalta tämän koko nimen sekä täydellisen kotiosoitteen, jotta voi verrata tietoja rekistereistään löytyviin tietoihin. Mikäli rekisteröity ilmoittaa, ettei tällä ole tulostusmahdollisuutta rekisterinpitäjän verkkosivuilla olevan lomakkeen tulostamiseen, rekisterinpitäjä kertoo postittavansa tälle lomakkeen täyttämistä ja postitse tai skannattuna palauttamista varten.

Rekisterinpitäjän mukaan missään ei suoraan vahvisteta, että rekisterinpitäjä voisi vaatia nimenomaisesti allekirjoitetun pyynnön rekisteröidyiltä, mutta toisaalta sellaisen vaatimista ei myöskään kielletä. Allekirjoituksen toimittaminen ei rekisterinpitäjän mukaan ole kohtuuton pyyntö oikeuden käyttämisen yhteydessä, silloin kun oikeutta käytetään muualla kuin kirjautumalla sähköiselle asiakastilille. Rekisterinpitäjä lisäksi korostaa, että rekisteröity voi toimittaa allekirjoittamansa pyynnön postitse, mutta myös sähköisesti, skannaamalla allekirjoittamansa lomakkeen sähköpostin liitteeksi.

Rekisterinpitäjä kertoo, että on yleisen tietosuoja-asetuksen suunnittelu-, privacy by default- ja turvallisuusvelvoitteiden kehyksessä suunnitellut ja linjannut, millä prosesseilla oikeuksien toteuttaminen yhtiössä toteutetaan, osapuolten oikeudet ja velvoitteet tasapainoisesti punniten, ja opastaa prosessit selkeästi eri kanavissaan.

Rekisterinpitäjä viittaa vastauksessaan yleisen tietosuoja-asetuksen 12 ja 15 artiklaan, sen johdantokappaleisiin 63 ja 64 sekä tietosuojavaltuutetun toimiston verkkosivuilla olevaan ohjeistukseen rekisteröidyn tunnistamisesta. Asetuksen artiklatekstit tai johdantokappaleet eivät rekisterinpitäjän mukaan nimenomaisesti ota kantaa siihen, miten pyyntö tulee toteuttaa, eli miten rekisterinpitäjällä on oikeus saada varmistus siitä, että henkilö on kuka hän väittää olevansa. Rekisterinpitäjän mukaan viitattu ohjeistus korostaa, että rekisterinpitäjä itse määrittää suunnittelu- ja privacy by default -velvoitteiden nojalla tavan, jolla tarkastuspyyntö tulee esittää.

Rekisterinpitäjän mukaan allekirjoituksella henkilön on perinteisesti katsottu osoittavan tahdonilmaisunsa luotettavalla tavalla. Henkilöllisyyteen liittyvien väärinkäytösriskien täydellinen poistaminen ei ole mahdollista millään menetelmällä, mutta pyydetyillä tiedoilla sekä niiden vahvistamisella allekirjoituksella riskitaso saadaan hyvin matalaksi, mikä on sekä rekisteröityjen että rekisterinpitäjien etu. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä todennut, että saadessaan jostain menettelytavastaan asiakkailta runsaasti palautteita, se on valmis kehittämään tietosuojaan liittyvää asiakaskokemusta ja harkitsemaan mallia, jossa asiakkaalta pyydetään kirjallinen poistopyyntö ilman allekirjoitusta, sillä edellytyksellä että rekisterinpitäjä voi kuitenkin luotettavasti tunnistaa asiakkaan ja minimoida identiteettiin liittyvien väärinkäytösten riskit.

Rekisteröidyn oikeuksien toteuttaminen

Tietosuojavaltuutetun toimisto on ennen rekisterinpitäjän rekisteröidyn tunnistamista koskevaa toimintatapaa koskevaa selvityspyyntöä pyytänyt tältä myös selvitystä 17.5.2019, 24.5.2019, 10.9.2019 ja 30.3.2021 päivätyillä erillisillä selvityspyynnöillä. Nämä selvityspyynnöt ovat koskeneet kussakin selvityspyynnössä identifioituja rekisteröidyn oikeuksien toteuttamista koskevia tapauksia. Rekisterinpitäjä on toimittanut vastaukset selvityksiin 17.6.2019, 24.6.2019, 7.10.2019 ja 23.4.2021.

Asia 1

Asiassa rekisteröity on toimittanut 26.9.2018 tietojen poistoa koskevan pyyntönsä postitse rekisterinpitäjän edellyttämällä vakiomuotoisella allekirjoitetulla lomakkeella. Kirje on avattu rekisterinpitäjän kirjaamossa 1.10.2018. Avatun kuoren päälle on rekisterinpitäjän mukaan inhimillisen virheen vuoksi tehty virheellinen sisäisen osoitteen ohjausmerkki, jolloin se ei ole ohjautunut selvityksessä tarkemmin kuvattuun tietojen poistopyyntökäsittelyyn. Rekisterinpitäjä kertoi tietosuojavaltuutetun toimiston yhteydenoton myötä käsitelleensä rekisteröidyn poistopyynnön ja lähettäneensä tälle selvityksen valitettavasta inhimillisestä virheestä. Rekisterinpitäjä kertoo vastauksessaan muuttaneensa toimintamalliaan seuraavasti: kirjeposti vastaanotetaan asiakaspalvelussa (aikaisemmin kirjaamossa), skannataan asiakaspalvelujärjestelmään ja lähetetään sille määriteltyyn työjonoon. Mikäli asiakkaan asia koskee rekisterinpitäjän GDPR-ohjeistuksessa määriteltyä asiaa, toimitetaan skannattu asiakkaan kirjeposti sähköpostina tietosuoja-asiat(at)otavamedia.fi -sähköpostiosoitteeseen, josta se käsitellään GDPR-ohjeistuksen mukaisesti. Tietosuoja-asiat(at)otavamedia.fi -sähköpostiosoitteeseen skannattujen GDPR-asioihin liittyvien sähköpostien määrä täsmäytetään kuukausittain, jotta varmistutaan siitä, että kaikki asiat tulevat käsitellyksi ajallaan ja ohjeistuksen mukaisesti.

Rekisterinpitäjä esitti tietosuojavaltuutetun toimistolle 17.6.2019 päivätyssä vastauksessaan, että on toteuttanut poistopyynnön ja toimittanut tapahtuneesta käsittelyvirheestä selvityksen myös rekisteröidylle.

Asia 2

Rekisteröity oli asiassa kysynyt 27.5.2019 sähköpostitse rekisterinpitäjältä muualta hankittujen yhteystietojensa lähdettä vastaanotettuaan tältä suoramarkkinointia. Rekisterinpitäjä on vahvistanut asian olevan sen käsittelyssä 3.6.2019. Rekisterinpitäjä tarkisti rekisteröidyn antamien tietojen nojalla tietovarantonsa eikä rekisteröityä löytynyt niistä tämän antamilla tiedoilla. Rekisterinpitäjä esitti tietosuojavaltuutetun toimistolle toimittamassaan vastauksessa, että tiedot olivat vaikeasti löydettävissä ainoastaan rekisteröidyn nimen ja sähköpostin perusteella. Manuaalisen, pitkäkestoisen tiedon etsinnän jälkeen rekisterinpitäjä kertoi löytäneensä rekisteröidyn lehtitilaustietoja ja todentaneensa, että rekisteröidylle on osoitettu lehtien tarjontaa perustuen rekisterinpitäjän omaan henkilörekisteriin rekisteröidyn ilmoittamana ajanjaksona. Kyse ei siis ollut tilanteesta, jossa tietoja olisi kerätty muualta kuin rekisteröidyltä. Lisäksi tietojen etsintää vaikeutti rekisterinpitäjän mukaan sen toiminnanohjausjärjestelmän vaihto vuonna 2019. Rekisterinpitäjä myöntää, että se olisi voinut pyyntöön liittyvässä asioinnissa kysyä rekisteröidyltä tarkentavia tietoja asian selvittämiseksi. Rekisterinpitäjä kertoi olevansa tarkentamassa tällaisiin tyyppitapauksiin liittyvää sisäistä ohjeistustaan.

Rekisterinpitäjä kertoi informoivansa kyseisessä asiassa rekisteröityä siitä, että tämän tietoja ei ole hankittu ulkopuolisesta osoitelähteestä ja tietosuojavaltuutetun toimistolle toimittamansa vastauksensa sisällöstä sekä poistavansa rekisteröidyn tiedot. Lisäksi rekisterinpitäjä kertoi informoivansa jatkossa hankalasta tai aikaa vievästä pyynnön käsittelystä ja käyttävänsä mahdollisuutta pidentää vastausaikaa kahdella kuukaudella ja ilmoittavansa tästä pyynnön tekijälle.

Asiat 3, 4 ja 5

Rekisterinpitäjä kertoo luoneensa oman sähköpostilaatikon tietosuojatapausten käsittelyyn. Laatikko ohjautuu asiakaspalvelun kontaktijärjestelmään (Sap/Merlin), josta asiat käsitellään asiakasneuvojien ja myyntipalvelun toimesta. Rekisterinpitäjä kertoo, että laatikko otettiin käyttöön ja testattiin hyvissä ajoin ennen yleisen tietosuoja-asetuksen voimaantuloa. Tämän jälkeen rekisterinpitäjän tekninen sähköpostipalveluntarjoaja vaihtui ja sähköposti muuttui pilvipalveluksi.

Rekisterinpitäjän mukaan kyseisten ympäristömuutosten yhteydessä tekninen integraatio sähköpostijärjestelmän ja asiakaspalvelun kontaktijärjestelmän välillä on katkennut (ns. IMAP-määritys on pudonnut pois päältä), eikä teknisestä ongelmasta ole tullut minkäänlaista hälytystä tai virheilmoitusta. Näin ollen rekisteröityjen tänä aikana sähköpostilla tekemät tietosuojaan liittyvät kyselyt ja pyynnöt ovat jääneet asiakasneuvojien ulottumattomiin. Rekisterinpitäjän mukaan kuluttajilta tulevien yhteydenottojen määrä on yleensäkin niin vähäinen, ettei se ole tunnistanut teknistä häiriötä viestientulon tauon aikana. Tilannetta ei havaittu, koska myös muista kanavista ohjautuu tietosuojaviestejä Merliniin. Tämän seurauksena rekisterinpitäjä ei ole voinut käsitellä myöskään kantelijoiden asioissa 3, 4 ja 5 lähettämiä sähköposteja yleisen tietosuoja-asetuksen asettamassa määräajassa. Tietosuojavaltuutetun selvityspyynnön myötä rekisterinpitäjä kertoi 17.6.2019 päivätyssä vastauksessaan korjanneensa sähköpostiohjauksen teknisen asetuksen ja vastaanottaneensa kaikki virheen aikana tietosuojasähköpostilaatikkoon lähetetyt sähköpostit. Rekisterinpitäjä kertoi myös ottaneensa tämän myötä käyttöön sisäisen toistuvan prosessin, jolla se testaa tietosuojasähköpostilaatikon jatkuvan toimivuuden.

Yhtään tuolla ajanjaksolla rekisterinpitäjälle kyseistä sähköpostikanavaa käyttäen lähetettyä rekisteröidyn oikeuksia koskevaa pyyntöä ei ole rekisterinpitäjän mukaan jäänyt toteuttamatta. Rekisterinpitäjällä on varmuus siitä, että teknisestä poikkeustilanteesta huolimatta kaikki sen tietosuoja-asioita koskevaan sähköpostiosoitteeseen lähetetyt viestit ovat tulleet perille, ja niihin kaikkiin on reagoitu viivytyksettä sen jälkeen, kun poikkeustila havaittiin. Rekisterinpitäjä kertoo, että se on vuosien ajan vastaanottanut vain pieniä määriä henkilötietojen tarkastamiseen ja/tai poistamiseen liittyviä rekisteröityjen yhteydenottoja. Samaan aikaan teknisen poikkeustilan aikana rekisterinpitäjä vastaanotti muissa asiakaspalvelukanavissa jonkin verran rekisteröityjen pyyntöjä, joiden käsittely eteni normaalissa aikataulussa sen prosessissa.

Asia 6

Asiassa rekisterinpitäjä kertoo vastaanottaneensa henkilötietojen poistopyynnön vireillesaattajan antaman tiedon mukaisesti 5.5.2020 ja poistolomakkeen 7.5.2020. Rekisteröidyn pyyntö on otettu käsittelyyn 7.5.2020. Rekisterinpitäjä kertoo, että sille on tapahtunut kyseisessä yksittäisessä tapauksessa valitettava käsittelyvirhe, eli poisto on tehty vasta 9.6.2020 eikä rekisterinpitäjä ole antanut toteutetusta poistosta informaatiota rekisteröidylle säädetyssä ajassa. Rekisterinpitäjän mukaan yksittäinen käsittelyvirhe on johtunut tietokatkoksesta poistojen käsittelyjärjestelmän ja sähköpostijärjestelmän välillä. Rekisterinpitäjä kertoo muuttaneensa poistojen käsittelyprossia siten, että ne tapahtuvat saman käsittelyprosessin aikana.

Rekisterinpitäjä kertoo, että rekisteröidylle on toimitettu kirjallinen vastaus ensin postitse 9.6.2020 ja sen jälkeen lisäksi sähköpostilla 23.4.2021.

Asioissa saadut vastineet

Tietosuojavaltuutetun toimisto on varannut rekisteröidyn oikeuksien toteuttamista koskevissa asioissa vireillesaattajille mahdollisuuden antaa vastine rekisterinpitäjän antaman selvityksen johdosta. Rekisterinpitäjän rekisteröidyn tunnistamismenettelyä koskevissa asioissa tietosuojavaltuutetun toimisto on katsonut vastineen pyytämisen olevan hallintolain 34 §:n 1 momentin 5 kohdan mukaan ilmeisen tarpeetonta. Vireillesaattajat ovat antaneet vastineensa 1. asiassa 1.7.2019 ja 2. asiassa 22.11.2019.

Vireillesaattaja kertoo asiassa 1 antamassaan vastineessa, että on hyvä, että rekisterinpitäjä on löytänyt käsittelyprosessistaan virheen ja korjannut prosessia. Vireillesaattaja kuitenkin toteaa 1.7.2019 toimittamassaan vastineessa, että ei ole saanut mitään selvitystä tai edes kuittausta poistopyynnön käsittelystä, vaikka rekisterinpitäjä on näin selvityspyyntöön antamassaan vastauksessa todennut. Vireillesaattaja toteaa, että on vaikea yksityishenkilönä mitenkään luottaa siihen, että rekisterinpitäjä vieläkään noudattaisi yleistä tietosuoja-asetusta, koska yhtenä tärkeänä seikkana "oikeus tulla unohdetuksi" -oikeudessa on rekisterinpitäjän selvitys toimenpiteistä. Kun tämä "kuittaus" puuttuu, tuntuu, että asia on kesken. Vireillesaattaja viittaa myös rekisterinpitäjän osoitusvelvollisuuteen ja pyytää tietosuojavaltuutetun toimistoa selvittämään, onko rekisterinpitäjä dokumentoinut poistopyynnön käsittelyn ja varmistamaan, että rekisterinpitäjä toimittaa myös vireillesaattajalle tiedon asiasta.

Vireillesaattaja kertoo asiassa 2 antamassaan vastineessa, että rekisterinpitäjältä saadussa selvityksessä ei kerrota, mistä/miten he ovat vireillesaattajan tiedot hankkineet. Lisäksi vireillesaattajan mukaan on vähintäänkin outoa, että rekisterinpitäjä ei osaa tehdä hakuja rekisteröidyn nimellä, joka on heidän tiedossaan. Vireillesaattaja toteaa, että todellisuudessa osoitteen "puuttuminen" on vain yksi tekosyy muiden joukossa eikä ole tyytyväinen tähän selvitykseen siltä osin, joka koskee vireillesaattajan tietojen hankintaa. Lisäksi vireillesaattaja liitti vastineensa oheen kuvan yhdestä markkinointikirjeestä, jonka vastaanotti rekisterinpitäjältä kesällä 2019.

Asiassa 6 vireillesaattajaan on oltu puhelimitse yhteydessä 1.7.2021. Vireillesaattaja kertoo saaneensa ainoastaan rekisterinpitäjän sähköpostitse 23.4.2021 toimittaman vastauksen noin vuosi sen jälkeen, kun esitti alkuperäisen poistopyyntönsä.

Tapauksen tosiseikat

Asiassa saadun selvityksen johdosta rekisterinpitäjälle on 2.7.2021 päivätyllä kuulemispyynnöllä varattu hallintolain 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä esittää näkemyksensä tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosiseikoista. Tietosuojavaltuutetun toimiston kuulemispyynnössä on esitetty seuraavat tosiseikat.

Otavamedia Oy on suomalainen mediayhtiö, joka kustantaa Suomessa 22:ta yleisöaikakauslehteä ja julkaisee yli 15:tä verkkopalvelua. Otavamedia edustaa Otavan kaikkia verkkoyleisöjä. Otavamedian ja Otavan Markkinapaikkojen verkkopalvelut tavoittavat yhdessä kuukausittain yli 3,6 miljoonaa suomalaista. Aikakauslehdet tavoittavat kuukaudessa 1,6 miljoonaa lukijaa.

Rekisterinpitäjä edellyttää rekisteröidyn 17 artiklan mukaisen poisto-oikeuden toteuttamiseksi erillisen poistopyyntölomakkeen tulostamista, täyttämistä ja allekirjoittamista ja toimittamista joko postitse tai sähköpostitse osoitteeseen tietosuoja-asiat(at)otavamedia.fi. Lomakkeeseen edellytetään täytettäväksi allekirjoituksen lisäksi tietojen poistoperuste asianmukainen kohta raksimalla, rekisteröidyn koko nimi sekä osoitetiedot.

Käyttääkseen 15 artiklan mukaista oikeuttaan saada tutustua omiin tietoihinsa rekisteröity voi joko erillisen rekisteröitymisen jälkeen kirjautua asiakastililleen osoitteessa Otavamedia.fi/kirjaudu (näkyvillä rekisteröidyn yhteystiedot, tilaustiedot ja markkinointiluvat) tai tulostaa, täyttää ja allekirjoittaa erillisen tietojenpyyntölomakkeen, joka tulee toimittaa rekisterinpitäjälle joko postitse tai sähköpostitse osoitteeseen tietosuoja-asiat(at)otavamedia.fi. Lomakkeeseen tulee täyttää allekirjoituksen ohella rekisteröidyn koko nimi sekä osoitetiedot. Asiakastilille kirjautumisen yhteydessä edellytettävässä rekisteröitymisessä rekisteröidyn tulee myös täyttää tietoihin koko nimensä sekä osoitetietonsa.

Tietosuojavaltuutetun toimistoon vireille saatetuissa kanteluissa kantelijat eivät ole saaneet vastauksia 15 ja 17 artiklan mukaisia rekisteröidyn oikeuksia koskeviin pyyntöihinsä tai niitä koskeviin tiedusteluihinsa aikavälillä 26.10.2018-3.6.2019.

Rekisterinpitäjällä on oma sähköpostilaatikkonsa tietosuojatapausten käsittelyyn. Laatikko ohjautuu asiakaspalvelun kontaktijärjestelmään (Sap/Merlin), josta asiat käsitellään asiakasneuvojien ja myyntipalvelun toimesta. Laatikko on testattu ja otettu käyttöön ennen yleisen tietosuoja-asetuksen voimaantuloa toukokuussa 2018. Tämän jälkeen rekisterinpitäjän tekninen sähköpostipalveluntarjoaja on vaihtunut ja sähköposti on muuttunut pilvipalveluksi. Tässä yhteydessä tekninen integraatio sähköpostijärjestelmän ja asiakaspalvelun kontaktijärjestelmän välillä on katkennut. Rekisteröityjen tänä aikana sähköpostitse tekemät tietosuojaan liittyvät kyselyt ja pyynnöt eivät ole välittyneet rekisterinpitäjän asiakasneuvojille eikä niihin näin ollen ole vastattu.

Rekisteröidyn 26.9.2018 postitse toimittamaan poistopyyntölomakkeeseen ei ole myöskään vastattu. Toisen rekisteröidyn sähköpostitse 27.5.2019 ja uudelleen 29.5.2019 toimitetun pyynnön saada pääsy omiin tietoihinsa on rekisterinpitäjän puolelta kuitattu olevan käsittelyssä 3.6.2019, mutta pyyntöön ei ole tämän jälkeen vastattu. 7.5.2020 sähköpostitse toimitettuun toisen rekisteröidyn poistopyyntölomakkeeseen ei ole myöskään toimitettu vastausta.

Rekisterinpitäjän kuuleminen

Rekisterinpitäjälle on 2.7.2021 varattu hallintolain 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä rekisteröidyn tunnistamista ja rekisteröityjen oikeuksien toteuttamista koskevista toimintatavoistaan sekä antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asioiden ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.

Rekisterinpitäjä on antanut vastauksensa 20.8.2021. Seuraavassa esitetään rekisterinpitäjälle kuulemispyynnössä esitetyt kysymykset ja rekisterinpitäjän niihin antamat vastaukset. Selvyyden vuoksi on todettava, että kuulemispyynnön kohteena oli yhteensä 11 tietosuojavaltuutetun toimistolle tehtyä kantelua ajalla 27.11.2018-11.01.2021. Kaikissa kanteluissa ei ole ollut kysymys samoista oikeudellisista kysymyksistä. Asiat on kuitenkin hallintolain 5 luvun 25 §:ssä säädetysti valmisteltu yhdessä ja ratkaistu samalla kertaa.

Rekisteröidyn tunnistamisesta

Rekisterinpitäjän mukaan tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohta, 5 artiklan 2 kohta ja 12, 24, 25 ja 32 artiklat edellyttävät rekisterinpitäjältä toimenpiteitä oikeuksien käyttäjän henkilöllisyyden varmentamiseksi, sekä kaikkien rekisteröityjen yksityisyyden suojaamiseksi mm. väärinkäytösyrityksiltä.

Rekisteröity voi tarkastaa omia henkilötietojaan jatkuvasti itsenäisesti kirjautumalla rekisterinpitäjän verkkosivuilla asiakastililleen. Muiden vaihtoehtojen kohdalla rekisterinpitäjän tulee ensin tietosuojalainsäädännön mukaisesti varmistua pyytäjän henkilöllisyydestä ennen kuin tietosuoja-asetuksen 12 artiklan 3 kohdan mukainen kuukauden vastausmääräaika alkaa kulua. Mikäli rekisteröidyn ensimmäinen yhteydenotto ei vielä täytä hänen henkilöllisyytensä varmistamiseksi vaadittavia kriteerejä, ilmoitetaan rekisteröidylle samassa kanavassa kuin missä hän otti yhteyttä, miltä osin hänen pyyntöään tulee täydentää.

Mikäli rekisteröity haluaa käyttää oikeuttaan poistaa henkilötietonsa rekisterinpitäjän rekisteristä, rekisterinpitäjä opastaa rekisteröidyn tulostamaan poistolomakkeen, täyttämään pyydetyt henkilötiedot tunnistamista varten ja tämän jälkeen toimittamaan allekirjoitettu lomake kirjeitse tai skannattuna sähköpostitse annettuja yhteystietoja käyttäen.

Oikeuksien käyttöä koskevia pyyntöjä koskevat vastaukset rekisterinpitäjä lähettää postitse yhtiön henkilörekistereistä löytyviä pyytäjän henkilötietoja käyttäen. Siksi rekisterinpitäjä tarvitsee pyytäjältä koko nimen sekä täydellisen kotiosoitteen, verratakseen tietoja rekistereistä löytyviin tietoihin ja varmistuakseen, ettei se riko rekisteröityjen yksityisyyden suojaa luovuttamalla epähuomiossa tai pyytäjän petollisen toiminnan perusteella henkilötietoja väärälle ihmiselle.

Rekisteröidyn tarkastuspyyntö otetaan käsittelyyn asiakaspalvelun järjestelmän GDPR-työjonosta. Rekisteröidyn tiedot haetaan nk. master-numerolla Power BI -raportilta, joka tulostetaan ja postitetaan rekisteröidyn postiosoitteeseen, tai liitetään salattuna lähetettävän sähköpostin vastaukseen. Tämän jälkeen kyseinen tapaus merkitään työjonoon suoritetuksi. Lisäksi asian käsittelystä tehdään kirjaus rekisteröidyn Master-numerolla Teams-ohjelmiston tietosuojaosion tarkastuspyyntötiedostoon.

Rekisteröidyn poistopyyntö otetaan käsittelyyn asiakaspalvelun järjestelmän GDPR- työjonosta. Rekisteröidyn tiedot haetaan nk. master-numerolla asiakaspalvelun järjestelmästä, tarkistetaan henkilötietojen poistoon liittyvien yleisen tietosuoja-asetuksen kriteerien olemassaolo (mm. aktiiviset tilaukset, avoimet laskut). Tapaus merkitään GDPR-työjonossa poistetuksi, jolloin rekisteröidyn tiedot poistuvat välittömästi taustajärjestelmästä. Tämän jälkeen tarkistetaan, ettei rekisteröidyn tietoja enää löydy ja asia kirjataan master-numerolla Teams-ohjelmiston tietosuojaosion poistopyyntötiedostoon. Rekisteröidylle vahvistetaan pyynnön toteuttaminen samaa kanavaa pitkin, jolla hän on pyynnön rekisterinpitäjälle toimittanut. Mikäli poistoa ei voida tietosuojalainsäädännön säännösten perusteella tehdä, ilmoitetaan tästä rekisteröidylle samaa kanavaa pitkin, millä hän on tehnyt pyynnön.

Henkilötietojen poiston osalta rekisterinpitäjällä ei vielä ole täysin digitaalista, itsenäisesti toteutettavaa vaihtoehtoa olemassa. Henkilötietojen poiston osalta rekisterinpitäjällä on mm. tietosuoja- ja kirjanpitolainsäädännön mukaisia velvoitteita säilyttää tietoja eri perustein, jolloin ei ole yksinkertaista tapaa toteuttaa täysin automatisoitua, rekisteröidyn jatkuvassa käytössä olevaa digitaalista poistopyyntöprosessia.

Rekisterinpitäjän mukaan allekirjoitusvaatimus on myös rakenteellisesti tehokas tapa tarvittaessa estää automatisoituja oikeuksien väärinkäyttötilanteita tai massaluontoisia tietojen kalasteluyrityksiä. Rekisterinpitäjä toteaa lisäksi, että Suomen voimassa olevasta, ajantasaisesta lainsäädännöstä löytyy Finlex-hakupalvelun perusteella 376 säädöstä, jotka sisältävät luonnollisen henkilön allekirjoitukseen liittyviä pykäliä.

Rekisterinpitäjä kuitenkin toteaa, että tietosuojavaltuutetun toimistolta tiedoksi saamiensa rekisteröityjen yhteydenottojen myötä se on ryhtynyt jo helmikuussa 2021 selvittämään, millä vaihtoehtoisilla toimintatavoilla se voisi korvata allekirjoitettavan lomakkeen.

Rekisteröidyn oikeuksien toteuttamisesta

Rekisterinpitäjä on tietosuojavaltuutetun kuulemispyyntöön 20.8.2021 toimittamassaan vastauksessa yleisesti todennut, että saa vuosittain marginaalisen pienen määrän rekisteröityjen oikeuksia koskevia pyyntöjä suhteutettuna yhtiön asiakas- ja markkinointirekisterien kokonaiskokoon. Rekisterinpitäjän mukaan noin 0,03 % yhtiön tilaajakannasta lähestyy yhtiötä pyynnöillä ja näin ollen sen mukaan tietosuojavaltuutetun toimistoon yhteyttä ottaneet rekisteröidyt edustavat erittäin pientä osaa yhtiön rekisterien sisältämästä henkilömäärästä, ollen poikkeuksellisia yksittäistapauksia. Rekisterinpitäjä on todennut tunnistaneensa prosesseihinsa liittyneitä yksittäisiä teknisiä ongelmia sekä inhimillisiä virheitä ja kertoo, että on välittömästi niistä tietoiseksi tultuaan ryhtynyt toimenpiteisiin niiden korjaamiseksi ja estämiseksi jatkossa.

Rekisterinpitäjän toimintatavan mukaisesti kaikissa kanavissa vastaanotetut rekisteröityjen pyynnöt toimitetaan keskitetysti tietosuoja-asioille varattuun sähköpostilaatikkoon, jonne tulevat viestit käsitellään siihen koulutettujen ammattilaisten toimesta. Koska pyyntöjen määrä on aina ollut erittäin pieni sekä absoluuttisesti että suhteessa rekisterinpitäjän tilaajakannan kokoon, ja koska pyyntöjä tuli muita kanavia pitkin poikkeustilan aikana, ei rekisterinpitäjä kertomansa mukaan valitettavasti osannut epäillä pyyntöjä olevan jossain kanavassa ns. piilossa.

Rekisterinpitäjän mukaan teknisen poikkeustilanteen aikana tietosuojasähköpostilaatikkoon oli tullut noin 150 yhteydenottoa ja näistä alle 50 koski erilaisia rekisteröityjen oikeuksien käyttämiseen liittyviä asioita.

Rekisterinpitäjä on toimittanut tietosuojavaltuutetun kuulemispyyntöön antamansa vastauksen liitteinä kuudelle vireillesaattajalle toimittamansa vastaukset (Selvityksen liite 1 ja Selvityksen liite 2). Rekisterinpitäjä kertoo, että on lähettänyt asiassa 5041/157/19 vireillesaattajalle vastauksen kirjeenä postitse. Rekisterinpitäjän mukaan tässä yksittäistapauksessa postitetusta kirjeestä ei valitettavasti ole jäänyt kopiota, ja se ei ole siitä syystä pystynyt sisällyttämään vastauksensa liitteeseen vastauskirjeen sisältöä.

Seuraavassa esitetään rekisterinpitäjälle kuulemispyynnössä esitetyt tarkemmat kysymykset ja rekisterinpitäjän niihin antamat vastaukset.

1. Kuinka kauan asioissa [3, 4 ja 5] kuvattu tekninen virhe oli olemassa sekä kuinka monta rekisteröidyn oikeutta koskevaa pyyntöä rekisterinpitäjä on vastaanottanut tällä aikavälillä, jotka ovat saattaneet jäädä toteuttamatta kyseisen teknisen virheen vuoksi? Mikäli tarkkaa vastausta ei pystytä antamaan, pyydämme vaihtoehtoisesti antamaan arvion teknisen virheen myötä vastaanottamatta jääneiden pyyntöjen määrästä.

Tekninen poikkeustilanne, joka hidasti kantelijoiden yhteydenottoihin vastaamista, kesti rekisterinpitäjän selvitysten mukaan 13.11.2018–28.5.2019. Yhtään tuolla ajanjaksolla rekisterinpitäjälle kyseistä sähköpostikanavaa käyttäen lähetettyä rekisteröidyn oikeuksia koskevaa pyyntöä ei ole jäänyt toteuttamatta. Rekisterinpitäjällä on varmuus siitä, että teknisestä poikkeustilanteesta huolimatta kaikki sen tietosuoja-asioita koskevaan sähköpostiosoitteeseen lähetetyt viestit ovat tulleet perille, ja niihin kaikkiin on reagoitu viivytyksettä sen jälkeen, kun poikkeustila havaittiin. Rekisterinpitäjä on vuosien ajan vastaanottanut vain pieniä määriä henkilötietojen tarkastamiseen ja/tai poistamiseen liittyviä rekisteröityjen yhteydenottoja. Samaan aikaan teknisen poikkeustilan aikana rekisterinpitäjä vastaanotti muissa asiakaspalvelukanavissa jonkin verran rekisteröityjen pyyntöjä, joiden käsittely eteni normaalissa aikataulussa rekisterinpitäjän prosessissa.

Rekisterinpitäjän toimintatavan mukaisesti kaikissa kanavissa vastaanotetut rekisteröityjen pyynnöt toimitetaan keskitetysti rekisterinpitäjän tietosuoja-asioille varattuun sähköpostilaatikkoon, jonne tulevat viestit käsitellään siihen koulutettujen ammattilaisten toimesta. Koska pyyntöjen määrä on aina ollut erittäin pieni sekä absoluuttisesti että suhteessa rekisterinpitäjän tilaajakannan kokoon, ja koska pyyntöjä tuli muita kanavia pitkin poikkeustilan aikana, ei rekisterinpitäjässä valitettavasti osattu epäillä pyyntöjä olevan jossain kanavassa ”piilossa”.

Teknisen poikkeustilanteen aikana tietosuojasähköpostilaatikkoon oli tullut noin 150 yhteydenottoa ja näistä alle 50 koski erilaisia tietosuoja-asetukseen liittyviä rekisteröityjen oikeuksien käyttämiseen liittyviä asioita.

2. Miten asiassa [6] annetussa vastauksessa kuvattu yksittäinen käsittelyvirhe johtuen tietokatkoksesta poistojen käsittelyjärjestelmän ja sähköpostijärjestelmän välillä eroaa asioissa [3, 4 ja 5] annetun selvityksen yhteydessä kuvatusta teknisestä ongelmasta, jonka rekisterinpitäjä on vahvistanut korjanneensa 17.6.2019 antamassaan vastauksessa?

Rekisterinpitäjän mukaan mainittujen tapausten välillä on olennainen ero. Asiat 3, 4 ja 5 liittyivät sähköpostijärjestelmän ja asiakaspalvelun kontaktointijärjestelmän väliseen IMAP-uudelleenohjauksen määritysvikatilanteeseen, eli täysin tekniseen ja tahattomaan virhetilanteeseen. Asiassa 6 oli rekisterinpitäjän mukaan puolestaan kyse työntekijän inhimillisestä virheestä, jonka seurauksena rekisteröidyn pyynnön käsittely ei edennyt sähköpostijärjestelmästä henkilötietojen poistoprosessiin prosessin mukaisella tavalla. Rekisterinpitäjän 23.4.2021 antamassa kyseistä tapausta koskevassa vastauksessa rekisterinpitäjän toteaa käyttäneensä hieman tulkinnanvaraista ilmaisua syystä, joka johti yhden vuorokauden viivästykseen rekisteröidyn pyynnön toteuttamisessa (31 vuorokautta eikä 30 vuorokautta), ja täsmensi tosiseikkoja vahvistaen, että asiassa 6 kuvatun tapauksen aikaan rekisterinpitäjän järjestelmissä ei ollut teknistä vikaa.

3. Rekisterinpitäjä on vastauksessaan asiassa [2] kertonut rekisteröidyn 15 artiklan mukaisen pyynnön saada pääsy tietoihinsa olleen vaikea toteuttaa mm. vuonna 2019 vaihtuneen toiminnanohjausjärjestelmänsä sekä rekisteröidyn antamien tietojen vähyyden (nimi ja sähköposti) takia. Mitkä tiedot rekisterinpitäjä näkee välttämättömiksi toteuttaakseen rekisteröidyn 15 artiklan mukaisen pyynnön 12 artiklan mukaisessa määräajassa?

Rekisterinpitäjä tarkensi tietosuojavaltuutetun kuulemispyyntöön antamassaan vastauksessa, että toimitti asiassa rekisteröidylle kirjallisen vastauksen 8.10.2019. Lisäksi rekisterinpitäjä kertoi, että sen näkemyksen mukaan välttämättömiä tietoja tarkastuspyynnön toteuttamiseksi rekisterinpitäjän huolellisuus- ja suojaamisvelvoitteita noudattaen ovat rekisteröidyn etu- ja sukunimi, postiosoite, sekä allekirjoitus. Rekisterinpitäjä myöntää, että allekirjoituksen välttämättömyysaste ei kuitenkaan ole yhtä suuri, ja sen osalta rekisterinpitäjä on valmis laventamaan tulkintaansa, mikäli valvontaviranomaisilta saadaan perusteluita sille, että rekisterinpitäjän katsotaan toimivan yleisen tietosuoja-asetuksen velvollisuuksia noudattaen eli huolellisesti ja yksityisyyttä riittävästi suojaten ilman allekirjoitusvahvistusta.

Rekisterinpitäjä kertoo myös vastauksessaan, että on helmikuusta 2021 alkaen analysoinut ja testannut vaihtoehtoista menettelyä, jossa allekirjoitusta ei ole edellytetty pakollisena kaikilta rekisteröidyiltä. Mikäli rekisteröity on esimerkiksi ottanut yhteyttä rekisterinpitäjän asiakaspalveluun ja kertonut, ettei hänellä ole tulostinta tai skannauslaitetta, on tarkastuspyyntö otettu vastaan sähköpostilla tai puhelimitse, mikäli henkilön identiteetti on saatu muutoin riittävästi tunnistettua. Rekisterinpitäjän käsityksen mukaan erityisesti henkilötietojen tarkastuspyyntö on toimenpide, joka asettaa rekisterinpitäjälle korkean velvoitteen varmistua rekisteröidyn henkilöllisyydestä, sillä siinä rekisterinpitäjä aktiivisesti luovuttaa rekisterissään olevia tietoja pyytäjälle.

Yhtiön vuoden 2020 tilikauden tilinpäätös ja tiedot yhtiön liikevaihdosta

Rekisterinpitäjä on toimittanut yhtiön vuoden 2020 tilikauden tilinpäätöksen. Rekisterinpitäjän vuoden 2020 liikevaihto on tilinpäätöksestä saadun tiedon mukaan ollut 85 882 379,48 euroa.

Korjaukset kuulemispyynnössä esitettyihin tosiseikkoihin

Rekisterinpitäjälle toimitetussa kuulemispyynnön tosiseikoissa oli esitetty, että alla eriteltyihin rekisteröityjen pyyntöihin ei ollut koskaan toimitettu vastausta. Rekisterinpitäjä esitti seuraavat korjaukset kyseisiin tosiseikkoihin.

”Rekisteröidyn 26.9.2018 postitse toimittamaan poistopyyntölomakkeeseen ei ole myöskään vastattu.” - vireillesaattajalle on toimitettu kirjallinen vastaus 2.7.2019.

”Toisen rekisteröidyn sähköpostitse 27.5.2019 ja uudelleen 29.5.2019 toimitetun pyynnön saada pääsy omiin tietoihinsa on rekisterinpitäjän puolelta vahvistettu olevan käsittelyssä 3.6.2019, mutta pyyntöön ei ole tämän jälkeen vastattu.” – vireillesaattajalle on toimitettu kirjallinen vastaus 8.10.2019.

”7.5.2020 sähköpostitse toimitettuun toisen rekisteröidyn poistopyyntölomakkeeseen ei ole myöskään toimitettu vastausta.” – vireillesaattajalle on toimitettu kirjallinen vastaus ensin postitse 9.6.2020 ja sen jälkeen lisäksi sähköpostilla 23.4.2021.

Seuraamuskannanotto

Rekisterinpitäjän näkemyksen mukaan esittelijän alustavan arvionsa mukaan ehdottamalle hallinnolliselle seuraamusmaksulle ei ole yleisessä tietosuoja-asetuksessa määriteltyjä perusteita. Rekisterinpitäjän mukaan sen prosessit ovat tietosuojalainsäädännön mukaiset. Edellä kuvatuista syistä näissä prosesseissa on tapahtunut yksittäisiä, valitettavia poikkeamia, jotka on saatu selvitettyä niiden tultua rekisterinpitäjän tietoon. Poikkeamat ovat rekisterinpitäjän mukaan vähäisiä, eivätkä ne ole vaarantaneet rekisteröityjen yksityisyyden suojaa tai aiheuttaneet vahinkoa. Poikkeamien tiedoksi tulon jälkeen rekisterinpitäjä on ryhtynyt viivytyksettä toimenpiteisiin, joilla vastaavat poikkeamat vältetään jatkossa. Jokaiselle poikkeama-aikana oikeuksiaan käyttäneelle on vastattu, ja oikeudet on toteutettu.

Rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen

Kaikki kantelun tehneet rekisteröidyt ovat rekisterinpitäjän mukaan saaneet oikeutensa toteutettua täysimääräisesti, mikä on vahvistettu sekä heille että tietosuojavaltuutetun toimistolle eikä väitetty rekisteröidyn oikeuksia koskevien säännösten rikkominen muodosta huomattavaa riskiä rekisteröityjen oikeuksille. Kyse on rekisterinpitäjän mukaan yksittäisistä poikkeustapauksista, jotka eivät ilmennä järjestelmällisempää rikkomista tai asiamukaisten käytäntöjen puutetta. Rekisterinpitäjällä ei ole ollut minkäänlaista intressiä hidastaa tai vaikeuttaa rekisteröityjen oikeuksien käyttämistä.

Kuulemispyynnön taustalla on yhteensä 11 henkilön yhteydenotto tietosuojavaltuutetun toimistolle. Lukumäärä on rekisterinpitäjän mukaan marginaalinen, suhteessa rekisterinpitäjän asiakas- ja markkinointirekistereissä olevien rekisteröityjen kokonaismäärään. Teknisen poikkeustilan aikana tulleita rekisteröityjen oikeuksia koskevia yhteydenottoja oli noin 50, ja niihin kaikkiin on viivytyksettä sittemmin vastattu ja oikeudet toteutettu.

Rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus

Vaikutuspiirissä olevien rekisteröityjen määrä on rekisterinpitäjän mukaan sekä absoluuttisesti että suhteellisesti erittäin pieni. Rekisterinpitäjän väitetty rikkominen on sen mukaan pikemminkin suojannut salassapitovelvollisuuden alaisten tietojen luottamuksellisuutta rekisterinpitäjän tarjotessa oikeuksien käyttöön vaihtoehtoa, jossa henkilö allekirjoittaa pyyntölomakkeen. Rekisterinpitäjä kertoo, ettei ole evännyt keneltäkään heidän oikeuksiaan eikä estänyt heitä valvomasta omia henkilötietojaan. Valitettavien yksittäisten prosessissa tapahtuneiden poikkeamien vuoksi oikeuksien toteuttaminen on hidastunut muutaman yksittäisen henkilön osalta, mutta ei estynyt.

Rekisterinpitäjän mukaan tietosuojavaltuutetun toimiston seuraamuskollegion 18.5.2020 antamassa Posti Oy:tä koskevassa päätöksessä (”Posti-tapaus”, dnro 3818/161/2020) hallinnollisen seuraamusmaksun määräämisen katsottiin olevan tarpeellista, koska ”huomautuksen lisäksi on arvioitava hallinnollisen seuraamusmaksun määräämistä rekisterinpitäjälle, sillä kysymyksessä olevat puutteet rekisterinpitäjän suorittamassa henkilötietojen käsittelyssä ovat vaikuttaneet satojentuhansien rekisteröityjen oikeuksiin”.

Rekisterinpitäjän tapauksessa muutamat, yksittäiset poikkeukset muutoin toimivista prosesseista ovat vaikuttaneet olennaisesti vähäisempään rekisteröityjen määrään. Rekisterinpitäjä toteaa osoittaneensa, millaisista määristä puhutaan rekisteröityjen oikeuksien käytössä sen liiketoiminnassa.

Rikkomisen tahallisuus tai tuottamuksellisuus

Rekisterinpitäjä kertoo, ettei ole millään lailla tahallisesti tai tuottamuksellisesti rikkonut tietosuojalainsäädäntöä, eikä kuulemispyynnön laatinut esittelijä ole tällaista myöskään väittänyt. Esittelijän alustavassa arvioissa ratkaistavista oikeudellisista kysymyksistä esitetään, että rekisterinpitäjällä tulisi olla riittävä sisäinen ohjeistus henkilökunnalle. Tällainen ohjeistus on olemassa ja henkilötietojen parissa työskentelevät ammattilaiset ovat tietoisia prosesseista, joilla rekisteröityjen pyyntöjä käsitellään. Edellä kuvatuilla tavoilla kantelijoiden yksittäistapauksissa prosesseissa on tapahtunut valitettavia poikkeamia, joihin on puututtu välittömästi niiden tultua ilmi. Tahallisia rikkomisia, jotka ilmentävät piittaamattomuutta lainsäädännöstä, pidetään yleisesti vakavampina kuin tahattomia rikkomisia, ja siksi tahallisista teoista olisi WP29-viranomaisryhmän 3.10.2017 antamien, hallinnollisia sakkoja koskevien suuntaviivojen mukaan todennäköisemmin määrättävä hallinnollinen sakko kuin tahattomista. Rekisterinpitäjän teknisissä järjestelmissä toteutettujen kehitys- ja muutoshankkeiden yhteydessä on tahattomasti katkennut prosessinmukainen toiminta, ja tähän on reagoitu välittömästi ilmitulon jälkeen.

Tahallista rikkomista ilmentäviä olosuhteita voivat olla WP29-ryhmän suuntaviivojen mukaan laiton tietojenkäsittely, johon rekisterinpitäjän ylin johto on nimenomaisesti antanut valtuudet tai joka toteutetaan tietosuojavastaavan ohjeista tai voimassa olevista toimintaperiaatteista välittämättä. WP29-ryhmän suuntaviivojen mukaan muut seikat, kuten inhimillinen erehdys tai se, että teknisiä päivityksiä ei ole tehty oikea-aikaisesti, voivat viitata tuottamuksellisuuteen. Rekisterinpitäjällä on riittävät resurssit tietosuojalainsäädännön mukaisten edellytysten täyttämiseksi. Rekisterinpitäjä ei väitä, että poikkeamat prosesseista olisivat johtuneet resurssien alimitoituksesta. Rekisterinpitäjässä toteutettiin lukuisten järjestelmien kehitys- ja uudistushankkeita vuonna 2018–2019, tavoitteena modernisoida ohjelmistoja ja toimintamalleja vastaamaan muuttuneisiin tarpeisiin sekä muuttuneeseen lainsäädäntöön. Ohjelmistohankkeiden parissa työskenteli useita kymmeniä asiantuntijoita, sekä rekisterinpitäjällä että valituilla toimittajakumppaneilla. Tekninen poikkeama IMAP-määrityksessä oli sen kaltainen, ettei sitä olisi voinut osana normaalia työntekoa käytännössä havaita.

Rekisterinpitäjän mukaan tässä selvityksessä annettavien lisätietojen avulla seuraamuskollegio pystyy tekemään vielä aiempaa aineistoa paremmin tutkimuksensa varmistuakseen tapauksen tosiseikoista ja taatakseen, että kunkin yksittäisen tapauksen erityiset olosuhteet on otettu huomioon. Tässä tapauksessa selvityksen sisältämät lisätiedot auttavat rekisterinpitäjän mukaan vahvistamaan, ettei kyseessä ole rekisterinpitäjän tahallinen tai tuottamuksellinen lainsäädännön rikkominen, ja että korjaavat toimenpiteet on jo tehty ja jokaiselle rekisteröidylle vastattu asianmukaisesti, ja heidän pyytämät oikeudet toteutettu. Posti-tapauksessa seuraamuskollegio totesi: ”Todettakoon lisäksi, että rekisterinpitäjän itsensä vastuulla on huolehtia, että se noudattaa toiminnassaan laissa säädettyä. Asiassa annettujen selvitysten ja vastausten perusteella voidaan katsoa, että rekisterinpitäjä ei ole riittävällä tavalla perehtynyt voimassa olevaan lainsäädäntöön ja sitä koskeviin tulkintaohjeisiin, mikä osaltaan osoittaa rikkomuksen tuottamuksellisuutta.”

Rekisterinpitäjän osalta tällaista väitettä perehtymättömyydestä ei ole sen mukaan väitetty, eikä sellaista tulisi väittää. Rekisterinpitäjä on kertomansa mukaan päinvastoin pyrkinyt nimenomaisesti perehtymään lainsäädäntöön ja tekemään perusteltuja tulkintoja, sekä yhtiön palkkalistoilla olevien tietosuoja-ammattilaisten että ulkopuolisten tietosuojalainsäädäntöön erikoistuneiden asiantuntijoiden avulla. Lisäksi tukea tulkinnalle on haettu toimialan järjestökentästä. Rekisterinpitäjä on ollut vakaassa käsityksessä lainsäädäntöä ja viranomaisohjeita tutkiessaan, että rekisteröidyn oikeuksien toteuttamisen yhteydessä sille rekisterinpitäjänä kuuluvat velvoitteet edellyttävät rekisteröidyn riittävän vahvaa tunnistamista, mukaan lukien allekirjoituksen antamista lomakkeeseen. Rekisterinpitäjä on käyttänyt yleisen tietosuoja-asetuksen ja viranomaisohjeistuksen nimenomaisesti sallimaa ja auki kirjoittamaa rekisterinpitäjän valinnanvaraa tietosuojavelvoitteitaan toteuttaessaan.

Rekisterinpitäjän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi

Rekisterinpitäjän mukaan rekisteröidyille ei ole aiheutunut vahinkoa rekisterinpitäjän prosesseissa tapahtuneista yksittäisistä poikkeamista. Jokainen kantelija on saanut pyyntönsä toteutettua, eli tietonsa tarkastettua ja/tai poistettua (ellei rekisterinpitäjällä ole ollut lakisääteinen velvoite jatkaa tietojen käsittelyä).

Rekisterinpitäjä on kertomansa mukaan vastannut jokaiselle kantelijalle näiden tekemiin yhteydenottoihin, toisin kuin esittelijän kuulemispyynnössä virheellisesti väitetään. Rekisterinpitäjän mukaan lienee mahdollista, että kantelijat eivät ole vahvistaneet tietosuojavaltuutetun toimistoon saamiaan rekisterinpitäjän vastineita, ja tästä syystä esittelijä on jäänyt käsitykseen, että rekisterinpitäjä ei olisi hoitanut sille tietosuojalainsäädännössä asetettuja vastausvelvoitteita. WP29-ryhmän suuntaviivojen mukaan tapauksissa, joissa muihin kriteereihin perustuva arviointi saa valvontaviranomaisen epäilemään hallinnollisen sakon asianmukaisuutta joko ainoana korjaavana toimenpiteenä tai yhdessä muiden 58 artiklan mukaisten toimenpiteiden kanssa, raskauttavat tai lieventävät olosuhteet voivat auttaa valitsemaan asianmukaiset toimenpiteet siirtämällä painopistettä sellaisiin toimenpiteisiin, jotka osoittautuvat tehokkaiksi, oikeasuhteisiksi ja varoittaviksi tietyssä tapauksessa. Tämän säännöksen pohjalta arvioidaan rekisterinpitäjän vastuun astetta rikkomisen jälkeen. Sitä voidaan soveltaa tapauksiin, joissa rekisterinpitäjä ei selvästikään ole toiminut piittaamattomasti tai tuottamuksellisesti ja joissa se on tehnyt kaiken voitavansa toimintansa korjaamiseksi saatuaan tietää rikkomisesta.

Valvontaviranomaisten direktiivin 95/46/EY soveltamisesta saama kokemus on aiemmin osoittanut, että jonkinasteisen joustavuuden salliminen saattaa olla järkevää, kun kyse on rekisteripitäjistä, jotka ovat myöntäneet rikkomisensa ja ottaneet vastuulleen toimintansa vaikutusten korjaamisen tai rajoittamisen. Esimerkki tällaisesta on WP29-ryhmän mukaan mm. tilanne, jossa rekisterinpitäjä toteuttaa oikea-aikaisia toimia siten, että rikkomista estetään jatkumasta tai sitä estetään laajentumasta sellaiselle tasolle tai sellaiseen vaiheeseen, jossa vaikutukset olisivat paljon vakavampia.

Rekisterinpitäjä kertoo, että on välittömästi prosessipoikkeamista tiedon saatuaan ryhtynyt toimenpiteisiin tilanteen päättämiseksi ja korjaamiseksi, mikä on vahvistettu sekä tietosuojavaltuutetun toimistolle että kanteluja tehneille rekisteröidyille. Toimenpiteillä on estetty poikkeaman jatkuminen ja laajentuminen. Poikkeamista ei ole ollut rekisterinpitäjälle sen mukaan mitään hyötyä, vaan sen intressissä on ollut poikkeamien viivytyksetön havaitseminen ja korjaaminen.

Rekisterinpitäjä viittaa vastauksessaan Postin tapaukseen, jossa seuraamuskollegio antoi painoarvoa sille, ettei sen käsityksen mukaan Posti ollut ryhtynyt aikomiinsa ja vahvistamiinsa muutostoimenpiteisiin kohtuullisessa ajassa, toisin kuin rekisterinpitäjä on tässä tapauksessa tehnyt: ”Huomionarvoista on kuitenkin se, että jo 29.9.2017 annetussa selvityksessä on todettu, että ’Posti tutkii mahdollisuuksia lisätä informaatiota osoitteenmuutospalvelun ominaisuuksista ja parantaa luovutuskiellon näkyvyyttä verkkopalvelussa’. Lisäselvityspyynnöllä 10.1.2020 Postilta on tiedusteltu, mihin toimenpiteisiin asiassa oli sittemmin ryhdytty. Lisäselvityspyyntöön annetussa vastauksessa on kerrottu niistä muutoksista, jotka Posti oli tehnyt. Merkitystä on sillä, että nämä muutokset oli tehty vasta lisäselvityspyynnön jälkeen alkuvuodesta 2020, vaikka jo syksyllä 2017 Posti oli edellä mainitusti ilmoittanut tutkivansa mahdollisuuksiaan parantaa läpinäkyvyyttä”.

Edelleen Posti-tapauksessa seuraamuskollegio lausui: ”Rekisterinpitäjä on ilmoittanut muuttavansa verkkopalvelunsa palveluprosessiaan 20.3.2020, eli vajaa kaksi vuotta yleisen tietosuoja-asetuksen soveltamisen aloittamisen jälkeen. Näin ollen rikkomusta ei voida pitää kestoltaan lyhytaikaisena. Rikkomuksen keston voidaan osaltaan todeta ilmentävän rekisterinpitäjän tarkoituksellista toimintaa.”

Rekisterinpitäjälle ilmeni poikkeustilanne sähköpostijärjestelmän IMAP-määritysten osalta alkuvuonna 2019, pian yleisen tietosuoja-asetuksen voimaantulon jälkeen, ja se ryhtyi välittömästi korjaaviin toimenpiteisiin. Loppuvuosi 2018 ja alkuvuosi 2019 olivat kaikkialla, myös rekisterinpitäjässä, hyvin työntäyteistä aikaa tietosuojaan liittyvissä asioissa, kun pitkällä ja laajalla suunnittelulla aikaansaadut uuden lainsäädännön mukaiset prosessit otettiin toden teolla käyttöön. Rekisterinpitäjän mukaan valitettavasti tässä hyvin laajassa muutosprosessissa IMAP-määrityksen virhe jäi rekisterinpitäjässä vaille riittävää huomiota, täysin tahattomasti. Rekisterinpitäjä viittaa siihen, miten Posti-tapauksessa seuraamuskollegio totesi myös: ”Todettakoon, että rekisteröidyille ei ole osoitettu aiheutuneen konkreettista taloudellista tai muuta aineellista vahinkoa kysymyksessä olevan rikkomuksen seurauksena, mikä voidaan ottaa huomioon arvioinnissa hallinnollisen seuraamusmaksun määrää alentavana tekijänä.”

Rekisterinpitäjän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet

Rekisterinpitäjä oli toteuttanut sekä teknisiä että organisatorisia toimenpiteitä, joilla taataan sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Rekisterinpitäjälle itselleen oli pettymys havaita, että näistä toimenpiteistä huolimatta teknisiä poikkeustilanteita pääsi syntymään.

Tekniset poikkeamat, jotka johtivat rekisteröidyn oikeuksien käyttöä koskeviin viiveisiin, kestivät rekisterinpitäjän mukaan noin puoli vuotta. Välittömästi, kun ongelmat ovat tulleet rekisterinpitäjän tietoon, on niihin reagoitu, ja samalla varmistettu, etteivät ongelmat olleet johtaneet rekisteröidyiltä tulleiden pyyntöjen estymiseen, vaan hetkelliseen hidastumiseen.

Yllä kuvattu kestoaika on rekisterinpitäjän mukaan ollut lyhyehkö. Se ei ole rekisterinpitäjän mukaan millään lailla ilmentänyt rekisterinpitäjän tarkoituksellista toimintaa, asianmukaisten ehkäisevien toimenpiteiden laiminlyöntiä tai kyvyttömyyttä toteuttaa tarvittavia teknisiä ja organisatorisia toimenpiteitä. Rekisteröidyn oikeuksien käyttöä koskevilla teknisillä ja organisatorisilla toimenpiteillään ja prosesseillaan rekisterinpitäjä kertomansa mukaan nimenomaisesti pyrki 32 artiklan mukaisen asianmukaisen turvallisuustason saavuttamiseen, sekä rekisteröityjen yksityisyyden suojaamiseen tavoilla, joita rekisterinpitäjä on tulkinnut yleisen tietosuoja-asetuksen mukaiseksi (mukaan lukien rekisterinpitäjän henkilöllisyyden varmistaminen allekirjoituksen edellyttämisellä yhdessä pyyntövaihtoehdossa).

Rekisterinpitäjän mahdolliset aiemmat vastaavat rikkomiset

Rekisterinpitäjällä nykyään tietosuoja-asioiden parissa työskentelevien työntekijöiden tiedossa ei ole, että rekisterinpitäjän olisi milloinkaan valvontaviranomaisten toimesta todettu rikkoneen yleistä tietosuoja-asetusta taikka esitetty väitteitä epäillystä rikkomisesta.

Yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi

Jos rekisterinpitäjän toimien ansiosta yksilöiden oikeuksiin ei kohdistunut kielteisiä seurauksia tai vaikutukset olivat vähäisemmät kuin ne muutoin olisivat saattaneet olla, tämä voidaan ottaa WP29-ryhmän suuntaviivojen mukaan huomioon, kun valitaan kussakin tapauksessa oikeasuhteista korjaavaa toimenpidettä. Lisäksi merkityksellisenä seikkana arvioitaessa yhteistyötä valvontaviranomaisen kanssa voidaan ottaa huomioon se, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin kyseisen tapauksen tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa vaikutusta.

Viranomaisyhteistyö kuulemispyynnön tarkoittamissa tapauksissa on ollut avointa, määräajassa tapahtuvaa sekä toimenpidehalukasta. Rekisterinpitäjä on vastannut jokaiseen sille viranomaisen esittämään tiedusteluun, antanut kaikki pyydetyt tiedot sekä kertonut jokaisessa vastauksessa, mihin toimenpiteisiin se jo on ryhtynyt tai ryhtyy. Lisäksi rekisterinpitäjä on perustellut, miksi se tulkitsee yleisen tietosuoja-asetuksen monin paikoin tulkinnalle tilaa jättäviä säännöksiä valitsemallaan tavalla. Posti-tapauksessa seuraamuskollegio lausui: ”Posti on 20.3.2020 antamassaan vastauksessa ilmoittanut halustaan korjata toimintaansa, mikäli valvontaviranomainen ei katsoisi sen joiltain osin täyttävän tietosuojasääntelyn vaatimuksia. Tämä on katsottava Postin eduksi.”

Rekisterinpitäjä on viranomaisyhteistyössä ja sen myötä ollut koko ajan avoin korjaaville toimenpiteille, ja valmis laajentamaan tulkintaansa rekisterinpitäjälle asetetun tunnistamisvaatimuksen toteuttamistavoista, erityisesti myös asiakkailta saatavan palautteen perusteella. Rekisterinpitäjä kouluttaa asiakaspalveluhenkilökuntaa toistuvasti rekisteröityjen oikeuksista ja niiden toteuttamisprosesseista. Prosesseihin on tuotu lisää varmistustoimenpiteitä ja niistä on alettu pitää selkeämpää kirjallista lokia.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

Kuulemispyynnön kattamissa tilanteissa on käsitelty vain ns. tavanomaisia henkilötietoja, ei mitään yleisen tietosuoja-asetuksen 9 ja 10 artiklojen mukaisia erityisiä henkilötietoryhmiä. Tarkastus- ja poistopyyntölomakkeissa käsitellään rekisteröidyn etu- ja sukunimeä, postiosoitetta sekä allekirjoitusta, ja lisäksi rekisteröidyn ruksittamia valintoja sen suhteen, mihin perusteeseen vedoten hän pyytää tietojaan poistettavaksi.

Käsiteltävä tietomäärä on siten rekisterinpitäjän mukaan äärimmäisen suppea. WP29-ryhmän suuntaviivojen mukaan merkitystä voidaan antaa myös sille, koskeeko käsittely tietoja, joiden levittäminen aiheuttaisi välitöntä vahinkoa/haittaa yksilölle. Rekisterinpitäjän tapauksessa ei ole edes väitetty, että yksityisyyden suojan piiriin kuuluvia henkilötietoja olisi levinnyt ulkopuolisten tietoon – juuri tätä rekisterinpitäjä on pyrkinyt estämään asianmukaisella oikeuksien käyttöön liittyvällä prosessillaan ja allekirjoitusedellytyksellään.

Rekisterinpitäjä toteaa, että kun huomioidaan pyyntölomakkeen sisältämä suppea tietomäärä, voidaan joka tapauksessa todeta, ettei kyseisten tietojen leviäminen aiheuttaisi välitöntä vahinkoa/haittaa yksilölle, sillä henkilön nimi ja kotiosoite on Suomessa valtaosaltaan helposti ja maksutta/hyvin edullisesti kenen tahansa saatavilla.

Tapa, jolla rikkominen tuli valvontaviranomaisen tietoon

Rekisterinpitäjän mukaan kuulemispyynnön kattamat kantelut, jotka ovat liittyneet yksittäisiin poikkeamiin rekisterinpitäjän prosesseissa, ovat auttaneet rekisterinpitäjää havaitsemaan nämä toimintatavoista poikenneet tilanteet. Rekisterinpitäjä on jokaisessa vastauksessaan avoimesti ja yhteistyökykyisesti todennut tämän, että poikkeamat ovat tulleet sen tietoon rekisteröityjen tekemien kanteluiden myötä, ja että se on ollut kiitollinen saatuaan niistä tiedon. Rekisterinpitäjä ei ole tekemänsä perustellun tulkinnan mukaan arvioinut, että sen olisi tullut kääntyä tietosuojaviranomaisen puoleen lomakkeensa allekirjoitusedellytyksen suhteen. Rekisterinpitäjä on ollut käsityksessä, että allekirjoituksen edellyttäminen on yhä sekä satojen eri lakien että arjen käytäntöjen perusteella täysin normaali toimintatapa Suomessa, ja yleinen että tietosuoja-asetus ei lausu tästä yksityiskohdasta nimenomaisesti mitään, eikä viranomaisohjeistuksesta ole myöskään löytynyt tästä nimenomaisesta asiasta mitään. Suomen tietosuojavaltuutetun toimiston internet-sivuilla olevissa ohjeissa valvontaviranomainen toteaa: ”Esitä tarkastuspyyntö suoraan rekisterinpitäjälle. Lisätietoa siitä, mikä on oikea kanava, saat esimerkiksi rekisterinpitäjän verkkosivuilta tai ottamalla yhteyttä rekisterinpitäjän asiakaspalveluun.” Rekisterinpitäjälle on jätetty valvontaviranomaisen nimenomaisen ohjeistuksen mukaan valinnat siitä, missä kanavassa ja miten tarkastuspyynnöt opastetaan tekemään.

Jos kyseiselle rekisterinpitäjälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen

Rekisterinpitäjälle ei ole määrätty samasta asiasta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä. Mikäli sellaisia olisi määrätty lainvoimaisella päätöksellä, rekisterinpitäjä olisi luonnollisesti sellaisia noudattanut täysimääräisesti. Rekisterinpitäjä on tehnyt mittavia prosessi- ja henkilökunnan koulutushankkeita yleisen tietosuoja-asetuksen voimaantuloa ennen ja sen aikana, jotta rekisterinpitäjän prosessit ovat kaikilta osin lainsäädännön mukaisia. Yleinen tietosuoja-asetus sisältää erittäin monin kohdin tulkinnanvaraisia säännöksiä, ja monista säännöksistä – kuten rekisteröidyn allekirjoituksen edellyttämisestä osana rekisteröidyn henkilöllisyyden todentamista ja siten rekisteröityjen yksityisyyden suojaamista – ei ole annettu mitään nimenomaista viranomaisohjeistusta. Rekisterinpitäjille on siten jätetty paikoin laaja oikeus ja velvollisuus tehdä laintulkintaa käytännössä omassa toiminnassaan, ja näin rekisterinpitäjä on toiminut, ja ollut käsityksessä tulkintansa lainmukaisuudesta.

Mahdolliset muut tapaukseen sovellettavat raskauttavat ja lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

Rekisterinpitäjän käsityksen mukaan mitään raskauttavia tekijöitä ei kuulemispyynnön kohteena olevissa tapauksissa ole, eikä esittelijä ole rekisterinpitäjän käsityksen mukaan sellaisia esittänyt.

Väitetyllä rikkomisella saatua hyötyä koskevat tiedot voivat olla WP29-ryhmän suuntaviivojen mukaan valvontaviranomaisten kannalta erityisen merkityksellisiä, sillä rikkomisesta saatua taloudellista etua ei voida kompensoida toimenpiteillä, joihin ei liity maksuseuraamusta. Rekisterinpitäjä ei ole saanut prosesseissaan tapahtuneista yksittäisistä poikkeamista sen mukaan minkäänlaista taloudellista etua. Jokainen kantelun tehnyt (11 kpl) on saanut pyyntönsä täysimääräisesti toteutettua eli henkilötietonsa tarkastettua ja/tai poistettua. Rekisterinpitäjä toteaa, että henkilötietojen poistopyynnön rinnalla kaikilla rekisteröidyillä on mahdollisuus myös ilmoittaa rekisterinpitäjälle suoramarkkinointikielto. Rekisterinpitäjän tietosuojaselosteessa kuvataan: ”Kaikilla tämän tietosuojaselosteen kattamissa rekistereissä olevilla on oikeus vastustaa henkilötietojensa käsittelyä suoramarkkinointia varten. Kiellon voi toteuttaa ottamalla yhteyttä rekisterinpitäjän asiakaspalveluun.”

Suoramarkkinointikiellon voi sähköisten markkinointiviestien osalta antaa myös klikkaamalla sähköpostiviestissä olevaa ”unsubscribe” -linkkiä, ja asiakaspalvelukanavassa kiellot otetaan vastaan esim. puhelimitse, sähköpostitse ja kirjeitse.

Suoramarkkinointikiellon osalta rekisterinpitäjä ei ole edellyttänyt allekirjoitetun lomakkeen lähettämistä. Taloudellisen edun arvioinnin osalta voisi päinvastoin todeta, että havaitut yksittäiset poikkeamat ovat aiheuttaneet rekisterinpitäjälle haittaa sekä lisäkuluja teknisten prosessien korjaamiseen vaadittujen lisätöiden sekä viranomaisyhteydenottoihin laadittujen vastineiden aikaansaamien lisätöiden ja niistä maksettujen kustannusten muodossa. Rekisterinpitäjän etujen mukaista on, että kuvatunlaisia yksittäisiä poikkeamia ei olisi tapahtunut, sillä ei ole minkäänlaista intressiä pyrkiä estämään rekisteröityjä tarkastamasta tietojaan tai poistamasta niitä. Rekisteröidyillä on koko ajan mahdollisuus myös tehdä suoramarkkinointikieltoja, ja niiden osalta ei edellytyksenä ole ollut lomake ja sen vahvistaminen allekirjoituksella. Poistopyynnön tehneistä on voitu analysoida, että useimmiten he ovat nk. ”vanhoja passiiviasiakkaita” eli henkilöitä, joilla ei poistopyynnön tekohetkellä ole voimassa mitään rekisterinpitäjän tuotteen tai palvelun tilausta. Jokaisesta markkinointitoimenpiteestä aiheutuu rekisterinpitäjälle aina kuluja, ja analytiikan perusteella voidaan todeta, että poistopyyntöä tekeville ei edes kannattaisi kohdentaa suoramarkkinointia. He eivät ole todennäköisimpiä uudelleentilaajia. Poistopyyntöjen toteuttamisen hidastuminen hetkellisesti ei aiheuttanut rekisterinpitäjälle mitään taloudellista etua. Käytännössä nk. ”vanhoja passiiviasiakkaita” ei useimmiten edes poimita suoramarkkinoinnin kohderyhmiin, jolloin on todennäköistä, ettei kantelua tehneille olisi kohdennettu suoramarkkinointia teknisen vian aikana.

Posti-tapauksessa seuraamuskollegio lausui: ”Kysymys sen sijaan on rikkomuksella mahdollisesti saadusta taloudellisesta hyödystä, eli siitä onko Posti saanut taloudellista etua siitä, että sen suorittama informointi ei ole ollut läpinäkyvää. Kuten asiassa on jo tullut esille, esimerkiksi vuonna 2019 oli tehty 161 518 sellaista osoitteenmuutosilmoitusta, joiden osalta tuote-ehdot eivät olleet tulleet hyväksyttäväksi. Mikäli ehdot olisivat tulleet hyväksyttäväksi, on mahdollista, että osa ilmoituksen tehneistä olisi kieltänyt tietojensa luovuttamisen. Tällöin Postilta olisi jäänyt saamatta se rahamäärä, jonka oli saanut tällaisten henkilöiden tietojen luovuttamisesta.”

Rekisterinpitäjän tilanne poikkeaa sen mukaan olennaisesti yllä kuvatusta Postin tilanteesta, missä voitiin tulkita Postille olleen teoreettista taloudellista etua väitetystä lainsäädännön rikkomisesta. Esittelijä ei ole rekisterinpitäjän tapauksessa edes väittänyt, että rekisterinpitäjän tapauksessa olisi kyse minkäänlaisesta taloudellisesta hyödystä, eikä rekisterinpitäjä luonnollisesti ole sellaiseen pyrkinyt teknisillä virheillä tai rekisteröidyn riittävällä tunnistamisella.

Sovellettava lainsäädäntö

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”).

Yleisen tietosuoja-asetuksen 12 artiklan 1, 2, 3, 4 ja 6 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

Rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Yleisen tietosuoja-asetuksen 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15–22 artiklan mukaisten oikeuksien käyttämiseksi, ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää. Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

Jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.

Yleisen tietosuoja-asetuksen 15 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos niitä käsitellään, oikeus saada pääsy henkilötietoihin sekä 15 artiklan 1 kohdan a-h alakohdan mukaiset tiedot.

Yleisen tietosuoja-asetuksen 17 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin 17 artiklan 1 kohdan a-f alakohdan perusteista täyttyy.

Yleisen tietosuoja-asetuksen 25 artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan nojalla valvontaviranomainen voi määrätä hallinnollisen sakon 58 artiklan 2 kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteet huomioiden.

Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan yleisen tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisen seuraamusmaksun määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan otettava asianmukaisesti huomioon seuraavat seikat:

a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus; b) rikkomisen tahallisuus tai tuottamuksellisuus; c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi; d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet; e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset; f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi; g) henkilötietoryhmät, joihin rikkominen vaikuttaa; h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa; i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen; j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.

Yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan a-c alakohtien mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan a-e alakohtien mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Oikeudelliset kysymykset

Tietosuojavaltuutettu arvioi ja ratkaisee vireillesaattajien asiat edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 pohjalta. Asiassa on arvioitava:

1. onko rekisterinpitäjän vakiintunut toimintatapa rekisteröidyn tietoja koskevan pääsy- ja poisto-oikeutta koskevan pyynnön esittämiseksi allekirjoitettavalla lomakkeella tietosuoja-asetuksen 12 artiklan 2 ja 6 kohdan, 5 artiklan 1 kohdan c alakohdan sekä 25 artiklan 2 kohdan mukainen;

2.onko rekisterinpitäjä toteuttanut asioissa 3, 4 ja 5 kantelijoiden oikeuden saada pääsy omiin tietoihinsa yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan ja 15 artiklan 1 ja 3 kohdan mukaisesti;

3. onko rekisterinpitäjä toteuttanut asioissa 1, 6 ja 5 kantelijoiden oikeuden saada tietonsa poistetuksi yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan ja 17 artiklan mukaisesti;

4. onko rekisterinpitäjä toteuttanut asiassa 2 rekisteröidyn 15 artiklan mukaisen oikeuden saada pääsy omiin tietoihinsa 12 artiklan 2, 3 ja 4 kohtien mukaisesti; sekä

5. onko rekisterinpitäjän toiminta ollut yleisen tietosuoja-asetuksen 25 artiklan 1 kohdassa säädetyn sisäänrakennetun ja oletusarvoisen tietosuojan mukaista rekisteröityjen oikeuksien toteuttamisen ja niihin liittyvän menettelyn osalta.

Tietosuojavaltuutetun on lisäksi ratkaistava, onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi. Lisäksi tietosuojavaltuutettu arvioi, tuleeko asiassa käyttää tietosuojavaltuutetulle kuuluvia muita korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

1) Tietosuojavaltuutettu katsoo, että rekisterinpitäjän vakiintunut toimintatapa rekisteröidyn omia tietojaan koskevan pääsy- ja poisto-oikeutta koskevan pyynnön esittämiseksi allekirjoitettavalla lomakkeella ei ole yleisen tietosuoja-asetuksen 12 artiklan 2 ja 6 kohdan, 5 artiklan 1 kohdan c alakohdan ja 25 artiklan 2 kohdan mukainen.

Määräys

Tietosuojavaltuutettu velvoittaa rekisterinpitäjän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla korjaamaan toimintatapansa rekisteröidyn tunnistamista koskevan menettelyn osalta yleisen tietosuoja-asetuksen mukaiseksi ja luopumaan allekirjoitettavan lomakkeen edellyttämisestä päätöksen perusteluista tarkemmin ilmenevin perustein. Tietosuojavaltuutettu velvoittaa rekisterinpitäjän ilmoittamaan tietosuojavaltuutetun toimistolle velvoitteen johdosta tehdyt muutokset 1.8.2022 mennessä, ellei rekisterinpitäjä hae muutosta tähän päätökseen.

2) Tietosuojavaltuutettu katsoo kaikissa asioissa, että rekisterinpitäjä ei ole toteuttanut vireillesaattajien oikeutta saada pääsy tietoihin yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan ja 15 artiklan 1 ja 3 kohdan mukaisesti.

3) Tietosuojavaltuutettu katsoo kaikissa asioissa, että rekisterinpitäjä ei ole toteuttanut vireillesaattajien oikeutta saada tiedot poistetuksi yleisen tietosuoja-asetuksen 12 artiklan 1 ja 3 kohdan ja 17 artiklan mukaisesti.

4) Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toteuttanut asiassa vireillesaattajan 15 artiklan mukaista oikeutta saada pääsy omiin tietoihinsa 12 artiklan 2, 3 ja 4 kohtien mukaisesti.

5) Tietosuojavaltuutettu katsoo, että rekisterinpitäjän toiminta ei ole ollut yleisen tietosuoja-asetuksen 25 artiklan 1 kohdassa säädetyn sisäänrakennetun ja oletusarvoisen tietosuojan mukaista rekisteröityjen oikeuksien toteuttamisen ja niihin liittyvän menettelyn osalta.

Huomautus

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen rekisteröityjen oikeuksien toteuttamisen laiminlyömisestä.

Vireillesaattajien oikeudet kohdissa 2, 3 ja 4 on tietosuojavaltuutetun toimiston yhteydenottojen myötä lopulta toteutettu, vaikkakin viivästyneesti. Rekisterinpitäjä on ilmoittanut myös työstäneensä rekisteröityjen oikeuksien toteuttamista koskevia menettelytapoja. Näin ollen tietosuojavaltuutettu ei näe tarpeelliseksi antaa asioissa erillistä määräystä.

Perustelut

Rekisteröidyn tunnistaminen

Yleisessä tietosuoja-asetuksessa ei ole säännöksiä siitä, miten rekisteröidyn henkilöllisyys on todennettava. Asetuksen 12 artiklan 2 kohdassa kuitenkin todetaan, että rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä oikeuksien käyttämiseksi, ellei se käsittele henkilötietoja sellaiseen tarkoitukseen, joka ei edellytä rekisteröidyn tunnistamista, ja voi osoittaa, ettei se pysty tunnistamaan rekisteröityä. Asetuksen 11 artiklan 2 kohdan mukaan rekisteröity voi tällaisissa tilanteissa toimittaa lisätietoja, joiden avulla hänet voidaan tunnistaa. Lisäksi 12 artiklan 6 kohdassa säädetään, että jos rekisterinpitäjällä on perusteltua syytä epäillä rekisteröidyn henkilöllisyyttä, se voi pyytää lisätietoja rekisteröidyn henkilöllisyyden vahvistamiseksi. Jos rekisteröity toimittaa lisätiedot, joiden avulla hänet voidaan tunnistaa, rekisterinpitäjä ei saa kieltäytyä suorittamasta pyydettyä toimea. Euroopan tietosuojaneuvoston hyväksymän tietosuojatyöryhmän (WP29) laatiman ohjeistuksen (WP242 rev.01) mukaan rekisterinpitäjien on joka tapauksessa otettava käyttöön todentamismenettely voidakseen varmasti tunnistaa rekisteröidyn, joka pyytää henkilötietojaan tai käyttää yleisemmin yleisen tietosuoja-asetuksen mukaisia oikeuksiaan.

Rekisterinpitäjä on usein jo todentanut rekisteröidyn henkilöllisyyden ennen sopimuksen tekemistä tai käsittelyä koskevan suostumuksen saamista häneltä. Silloin henkilötietoja, joita on käytetty kyseisen henkilön rekisteröintiin, voidaan käyttää myös todisteena rekisteröidyn henkilöllisyyden tunnistamiseksi. Jos esimerkiksi tietojen käsittely on yhteydessä käyttäjätiliin, asiaankuuluvan käyttäjätunnuksen ja salasanan antaminen saattaisi riittää rekisteröidyn tunnistamiseen. Näissä tapauksissa rekisteröidyn ennakkotunnistus voi edellyttää pyyntöä hänen oikeushenkilöllisyytensä todistamiseksi, mutta tällainen varmistaminen ei välttämättä ole tietojen ja kyseisen henkilön välisen yhteyden arvioimisen kannalta olennaista, koska tällainen yhteys ei liity viralliseen henkilöllisyyteen tai oikeushenkilöllisyyteen. Rekisterinpitäjän mahdollisuus lisätietojen pyytämiseen henkilöllisyyden arvioimista varten ei voi johtaa kohtuuttomiin vaatimuksiin ja sellaisten henkilötietojen keräämiseen, jotka eivät ole olennaisia tai tarpeellisia henkilön ja pyydettyjen henkilötietojen välisen yhteyden vahvistamiseksi.

Kuten edellä on todettu, usein tällaisia tunnistamiseen soveltuvia menettelyjä on jo käytössä. Henkilöt voivat esimerkiksi käyttäjänimien ja salasanojen avulla usein saada käyttöönsä tietoja sähköpostitileistään, verkkoyhteisöpalvelujen tileistään ja erilaisiin muihin palveluihin käytettävistä tileistään, joita jotkut käyttävät paljastamatta koko nimeään ja henkilöllisyyttään. Yleisen tietosuoja-asetuksen johdanto-osan 57 perustelukappaleen mukaan tunnistamiseen olisi sisällytettävä rekisteröidyn digitaalinen tunnistaminen esimerkiksi todentamismekanismin avulla, kuten käyttämällä samoja tunnisteita, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamiin verkkopalveluihin.

Rekisterinpitäjä edellyttää rekisteröidyn 17 artiklan mukaisen poisto-oikeuden toteuttamiseksi erillisen poistopyyntölomakkeen tulostamista, täyttämistä ja allekirjoittamista ja toimittamista joko postitse tai sähköpostitse osoitteeseen tietosuoja-asiat(at)otavamedia.fi. Lomakkeeseen edellytetään täytettäväksi allekirjoituksen lisäksi tietojen poistoperuste asianmukainen kohta raksimalla, rekisteröidyn koko nimi sekä osoitetiedot. Käyttääkseen 15 artiklan mukaista oikeuttaan saada pääsy omiin tietoihinsa rekisteröity voi joko erillisen rekisteröitymisen jälkeen kirjautua asiakastililleen osoitteessa Otavamedia.fi/kirjaudu (näkyvillä rekisterinpitäjän verkkosivujen mukaan rekisteröidyn yhteystiedot, tilaustiedot ja markkinointiluvat) tai tulostaa, täyttää ja allekirjoittaa erillisen tietojenpyyntölomakkeen, joka tulee toimittaa rekisterinpitäjälle joko postitse tai sähköpostitse osoitteeseen tietosuoja-asiat(at)otavamedia.fi. Lomakkeeseen tulee täyttää allekirjoituksen ohella rekisteröidyn koko nimi sekä osoitetiedot. Asiakastilille kirjautumisen yhteydessä edellytettävässä rekisteröitymisessä rekisteröidyn tulee myös täyttää tietoihin koko nimensä sekä osoitetietonsa sähköpostinsa lisäksi. Rekisterinpitäjältä saadun selvityksen perusteella edellä kuvattu käytäntö voidaan katsoa vakiintuneeksi toimintatavaksi. Se on myös kuvattu rekisterinpitäjän tietosuojaselosteessa.

Rekisterinpitäjän tietosuojaselosteessa todetaan pääsyoikeuden osalta seuraavaa: ”Saat pääsyn omiin tietoihisi rekisteröitymisen jälkeen osoitteessa Otavamedia.fi/kirjaudu. Muutoin voit käyttää oikeuttasi olemalla yhteydessä rekisterinpitäjän asiakaspalveluun ja asianmukaisen ja tunnistetun pyyntösi perusteella toimitamme sinulle raportin henkilötiedoista, joita sinusta on henkilörekisteriin kerätty.” Tekstin alle on linkitetty edellä kuvattu allekirjoitettava erillinen tarkistuspyyntölomake, jossa vaadittu tietosisältö (nimi, katuosoite, postinumero, toimipaikka, maa) vastaa rekisterinpitäjän poistopyynnöissä edellyttämää lomaketta. Poistopyyntöjen osalta ainoaksi tavaksi esittää pyyntö rekisterinpitäjälle tarjotaan kyseistä allekirjoitettavaa poistopyyntölomaketta.

Rekisterinpitäjä on selvityksessään kertonut, että sen näkemyksen mukaan välttämättömiä tietoja tarkastuspyynnön toteuttamiseksi rekisterinpitäjän huolellisuus- ja suojaamisvelvoitteita noudattaen ovat rekisteröidyn etu- ja sukunimi, postiosoite, sekä allekirjoitus. Rekisterinpitäjä myöntää, että allekirjoituksen välttämättömyysaste ei kuitenkaan ole yhtä suuri, ja sen osalta rekisterinpitäjä on valmis laventamaan tulkintaansa, mikäli valvontaviranomaisilta saadaan perusteluita sille, että rekisterinpitäjän katsotaan toimivan tietosuoja-asetuksen velvollisuuksia noudattaen eli huolellisesti ja yksityisyyttä riittävästi suojaten ilman allekirjoitusvahvistusta.

Rekisterinpitäjä kertoo myös vastauksessaan, että on helmikuusta 2021 alkaen analysoinut ja testannut vaihtoehtoista menettelyä, jossa allekirjoitusta ei ole edellytetty pakollisena kaikilta rekisteröidyiltä. Mikäli rekisteröity on esimerkiksi ottanut yhteyttä rekisterinpitäjän asiakaspalveluun ja kertonut, ettei hänellä ole tulostinta tai skannauslaitetta, on tarkastuspyyntö otettu vastaan sähköpostilla tai puhelimitse, mikäli henkilön identiteetti on saatu muutoin riittävästi tunnistettua. Rekisterinpitäjän käsityksen mukaan erityisesti henkilötietojen tarkastuspyyntö on toimenpide, joka asettaa rekisterinpitäjälle korkean velvoitteen varmistua rekisteröidyn henkilöllisyydestä, sillä siinä rekisterinpitäjä aktiivisesti luovuttaa rekisterissään olevia tietoja pyytäjälle.

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Periaatteeseen läheisesti linkittyvässä yleisen tietosuoja-asetuksen 25 artiklan 2 kohdassa luetellaan oletusarvoisen käsittelyn tietojen minimointia koskevan velvollisuuden näkökohdat. Siinä todetaan, että velvollisuus koskee kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan rekisterinpitäjän ei tulisi pyytää rekisteröidyltä enempää tietoja kuin tämän tunnistamista varten on tarpeen.

Rekisterinpitäjä on suomalainen mediayhtiö, joka kustantaa Suomessa 22:ta yleisöaikakauslehteä ja julkaisee yli 15:tä verkkopalvelua. Rekisterinpitäjä edustaa Otavan kaikkia verkkoyleisöjä - Otavamedian ja Otavan Markkinapaikkojen verkkopalvelut tavoittavat yhdessä kuukausittain yli 3,6 miljoonaa suomalaista. Aikakauslehdet tavoittavat kuukaudessa 1,6 miljoonaa lukijaa. Toimialastaan johtuen rekisterinpitäjä ei pääsääntöisesti käsittele asiakkaita koskevia 9 artiklan mukaisia erityisiin henkilötietoryhmiin kuuluvia tietoja, josta voisi perustellusti seurata vahvempi menettely rekisteröidyn tunnistamista koskien. Rekisterinpitäjä ei myöskään toiminnassaan käsittele eikä sen ole tarpeen käsitellä rekisteröidyn allekirjoitustietoja. Rekisterinpitäjä kerää siis kyseessä olevat tiedot nimenomaisesti rekisteröidyn tunnistamista varten. Tietosuojavaltuutettu katsoo saadun selvityksen perusteella, että rekisterinpitäjä kerää siten tunnistamista varten enemmän tietoa kuin sillä on alun perin ollut.

Tunnistamisen yhteydessä käytetyn lomakkeen allekirjoitustiedot on näin ollen käsillä olevassa tapauksessa tulkittava 12 artiklan 6 kohdan mukaisiksi lisätiedoiksi, joita rekisterinpitäjän tulisi pyytää vain, jos sillä on perusteltua syytä epäillä rekisteröidyn henkilöllisyyttä. Rekisterinpitäjän mukaan kyseessä on 15 artiklan mukaisen pääsyoikeuden osalta nimenomaan vaihtoehtoinen tapa tunnistautua. Tapa on kuitenkin ollut mainittuna rinnakkaisena tunnistautumiskeinona rekisterinpitäjän tietosuojaselosteessa. On myös huomioitava, että asiakastilille kirjautumisen myötä rekisteröidyllä on rekisterinpitäjän verkkosivujen tietojen mukaan pääsy vain markkinointilupiin sekä yhteys- ja tilaustietoihinsa (vrt. yleisen tietosuoja-asetuksen 15 artiklassa luetellut tiedot).

Rekisterinpitäjä on todennut selvityspyyntöön toimittamassaan vastauksessa, että allekirjoituksen toimittaminen ei rekisterinpitäjän mukaan ole kohtuuton pyyntö oikeuden käyttämisen yhteydessä, silloin kun oikeutta käytetään muualla kuin kirjautumalla sähköiselle asiakastilille. Rekisterinpitäjän vetoaminen yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohtaan ja 2 kohtaan sekä 12, 24, 25 ja 32 artikloihin liittyen toimenpiteisiin oikeuksien käyttäjän henkilöllisyyden varmentamiseen sekä rekisteröityjen yksityisyyden suojaamiseen mm. väärinkäytösyrityksiltä ei voi johtaa kohtuuttomiin vaatimuksiin ja sellaisten henkilötietojen keräämiseen, jotka eivät ole olennaisia tai tarpeellisia henkilön ja pyydettyjen henkilötietojen välisen yhteyden vahvistamiseksi. Rekisterinpitäjän mukaan henkilöllisyyteen liittyvien väärinkäytösriskien täydellinen poistaminen ei ole mahdollista millään menetelmällä, mutta pyydetyillä tiedoilla sekä niiden vahvistamisella allekirjoituksella riskitaso saadaan sen mukaan hyvin matalaksi, mikä on sekä rekisteröityjen että rekisterinpitäjien etu.

On todettava, että vaikka asianmukainen kanava rekisteröidyn oikeuksien toteuttamiselle on jätetty rekisterinpitäjän päätettäväksi tästä ei kuitenkaan seuraa se, että rekisterinpitäjä voisi oletusarvoisesti jättää täysin tutkimatta sellaiset rekisteröityjen pyynnöt, jotka toimitetaan sille muuta kanavaa pitkin. Tämä ei myöskään tarkoita sitä, että rekisterinpitäjä voisi luoda uusia, tietojen minimointiperiaatteen vastaisia edellytyksiä rekisteröidyn oikeuksien toteuttamiseksi. Rekisterinpitäjän mukaan tietosuoja-asetus sisältää erittäin monin kohdin tulkinnanvaraisia säännöksiä, ja monista säännöksistä – kuten rekisteröidyn allekirjoituksen edellyttämisestä osana rekisteröidyn henkilöllisyyden todentamista ja siten rekisteröityjen yksityisyyden suojaamista – ei ole annettu mitään nimenomaista viranomaisohjeistusta. Tietosuojavaltuutettu korostaa, että yleinen tietosuoja-asetus ei itsessään sisällä säännöksiä koskien rekisteröidyn allekirjoituksen edellyttämistä osana rekisteröidyn henkilöllisyyden todentamista. (Kumotun henkilötietolain (523/1999) 28 §:n mukaan sen, joka haluaa tarkastaa itseään koskevat tiedot 26 §:ssä tarkoitetulla tavalla, on esitettävä tätä tarkoittava pyyntö rekisterinpitäjälle omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa tai henkilökohtaisesti rekisterinpitäjän luona. Vastaavaa sääntelyä ei kuitenkaan löydy yleisestä tietosuoja-asetuksesta tai sitä täydentävästä tietosuojalaista (1050/2018)). Euroopan tietosuojaneuvostoa edeltänyt Tietosuojatyöryhmä (WP29) on kuitenkin antanut rekisteröidyn tunnistamiseen liittyvää viranomaisohjeistusta oikeutta tietojen siirtämiseen järjestelmästä toiseen koskevissa ohjeissa (WP242 rev.01) jo ennen yleisen tietosuoja-asetuksen soveltamisen aloittamista toukokuussa 2018.

Väärinkäytösriskien ehkäisyn lisäksi rekisteröidyn tunnistamisessa tulee ottaa huomioon tietosuoja-asetuksen 12 artiklan 2 ja 6 kohtien mukainen rekisterinpitäjän velvollisuus helpottaa rekisteröidyn oikeuksien toteuttamista. Ottaen huomioon sen, että rekisterinpitäjän käsittelemät henkilötiedot eivät lukeudu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin, joiden osalta voidaan lähtökohtaisesti edellyttää tiukempia teknisiä ja organisatorisia suojatoimia sekä se, että rekisterinpitäjällä on jo käytössään mm. sähköinen rekisteröitymismahdollisuus sekä mahdollisuus ottaa rekisterinpitäjään yhteyttä sähköpostitse, ei ole perusteltua edellyttää säännönmukaisesti allekirjoitettavan lomakkeen käyttöä. Mahdollisten väärinkäytösriskien lisäksi rekisteröidyn tunnistamistavan arvioinnissa tulisikin kyseessä olevien henkilötietojen luonteen ohella ottaa huomioon myös pyynnön luonne sekä se konteksti, missä pyyntö esitetään. Vaikka on perusteltua ottaa rekisteröityjen eriävät tilanteet huomioon ja tarjota erilaisia vaihtoehtoja rekisteröidyn oikeuksien toteuttamiseen (esim. postitse tai paikan päällä vierailemalla), tulisi rekisterinpitäjän yleisen tietosuoja-asetuksen johdanto-osan 57 perustelukappaleen mukaisesti sisällyttää tunnistamiseen rekisteröidyn digitaalinen tunnistaminen esimerkiksi todentamismekanismin avulla, kuten käyttämällä samoja tunnisteita, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamiin verkkopalveluihin.

Vaikka rekisterinpitäjällä on kertomansa mukaan henkilötietojen poiston osalta velvoitteita säilyttää tietoja eri perustein, eikä sillä näin ollen ole yksinkertaista tapaa toteuttaa täysin automatisoitua, rekisteröidyn jatkuvassa käytössä olevaa digitaalista poistopyyntöprosessia, tietosuojavaltuutettu toteaa, että itse pyyntö tulisi kuitenkin olla mahdollista esittää ilman erillisen allekirjoitetun lomakkeen toimittamista rekisteröidyn tunnistamista varten. Lisäksi tarpeeton ja tiedon minimointiperiaatteen vastainen rekisteröityjen allekirjoitustietojen kerääminen saattaa tavoitteestaan huolimatta jopa kasvattaa mahdollisia väärinkäytösriskejä vaikeuttaessaan samalla rekisteröityjen oikeuksien toteuttamista niiden käytön helpottamisen sijaan.

Näin ollen tietosuojavaltuutettu toteaa, että erillisen lomakkeen tulostamisen, täyttämisen ja allekirjoittamisen edellyttäminen rekisteröidyn tunnistamiseksi ei ole yleisen tietosuoja-asetuksen 12 artiklan 2 ja 6 kohdan, 5 artiklan 1 kohdan c alakohdan ja 25 artiklan 2 kohdan mukaista, vaan vaikeuttaa tarpeettomasti rekisteröityjen oikeuksien käyttämistä. Rekisterinpitäjä on käsitellyt rekisteröidyn tunnistamiseksi laajempaa joukkoa henkilötietoja kuin olisi tarpeen ja toiminut näin ollen vastoin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa ja 25 artiklan 2 kohdassa säädettyä tietojen minimointiperiaatetta.

Rekisteröityjen oikeuksien toteuttaminen

Yleisen tietosuoja-asetuksen 5 artiklassa säädetään tietosuojaperiaatteista. Rekisteröityjen oikeudet ja vapaudet ovat luonnollisten henkilöiden perusoikeuksia ja -vapauksia, ja erityisesti heidän oikeutensa henkilötietojen suojaan, joka nimetään 1 artiklan 2 kohdassa yleisen tietosuoja-asetuksen tavoitteeksi. Oikeudet esitetään yksityiskohtaisesti Euroopan unionin perusoikeuskirjassa. Rekisterinpitäjän on olennaisen tärkeää ymmärtää periaatteiden ja oikeuksien merkitys yleisen tietosuoja-asetuksen ja erityisesti 25 artiklan mukaisen sisäänrakennettua ja oletusarvoista tietosuojaa koskevan velvoitteen tarjoaman suojan perustana.

Kun käsittely on alkanut, rekisterinpitäjän on pidettävä jatkuvasti yllä sisäänrakennettua ja oletusarvoista tietosuojaa eli pantava periaatteita täytäntöön koko ajan tehokkaasti oikeuksien suojaamiseksi. Tämä tehdään muun muassa pysymällä ajan tasalla uusimmasta tekniikasta ja uudelleen arvioimalla riskitasoa. Käsittelytoimien luonne, laajuus ja asiayhteys sekä riskit voivat muuttua käsittelyn aikana. Siksi rekisterinpitäjän on arvioitava käsittelytoimiaan uudelleen tarkastamalla ja arvioimalla säännöllisesti valitsemiensa toimenpiteiden ja suojatoimien tehokkuutta. Käsittelytoimien ylläpitoa, tarkastamista ja päivittämistä koskevaa velvollisuutta sovelletaan myös jo käytössä oleviin järjestelmiin. Tämä tarkoittaa, että ennen yleisen tietosuoja-asetuksen voimaantuloa suunnitellut käytössä olleet järjestelmät on arvioitava ja niitä on ylläpidettävä siten, että varmistetaan sellaisten toimenpiteiden ja suojatoimien toteuttaminen, joilla pannaan periaatteet ja rekisteröityjen oikeudet täytäntöön tehokkaasti Euroopan tietosuojaneuvoston sisäänrakennettua ja oletusarvoista tietosuojaa koskevien ohjeiden mukaisesti. Tämä velvollisuus koskee myös kaikkea henkilötietojen käsittelijöiden tekemää käsittelyä. Rekisterinpitäjien on tarkastettava ja arvioitava käsittelijöiden toimia säännöllisesti, jotta varmistetaan, että ne ovat jatkuvasti periaatteiden mukaisia ja että ne omalta osaltaan auttavat rekisterinpitäjiä täyttämään velvollisuutensa.

Kaikissa kuudessa rekisteröityjen oikeuksia koskevassa asiassa rekisterinpitäjä on päätynyt lopulta toteuttamaan vireillesaattajien oikeudet. Tämä on kuitenkin tapahtunut vasta tietosuojavaltuutetun toimiston selvityspyyntöjen myötä, joissa asiat saatettiin rekisterinpitäjän tietoon. Ensimmäiset selvityspyynnöt koskien rekisteröityjen toteuttamatta jääneitä oikeuksia ajoittuvat vuoden 2019 toukokuulle. Toiset rekisteröidyn oikeuksien toteuttamatta jättämistä koskevat selvityspyynnöt on toimitettu lokakuussa 2019 ja maaliskuussa 2021. On katsottava, että asiassa saadun selvityksen perusteella kaikkien vireillesaattajien pyynnöt koskien heidän oikeuttaan saada tutustua omiin tietoihinsa tai saada tietonsa poistettua on laiminlyöty toteuttaa yleisen tietosuoja-asetuksen 12 artiklan edellyttämässä ajassa.

Vaikka asioissa 1 ja 6 ei voidakaan poissulkea inhimillisen virheen mahdollisuutta asiakaspalvelijoiden toimintaa ja rekisteröidyn oikeuksia koskeviin pyyntöihin vastaamatta jättämistä koskien, ilmentävät asiat 2 sekä tekniseen virhetilanteeseen linkitetyt 3, 4 ja 5 vähintäänkin rekisterinpitäjän tuottamuksellista toimintaa. Lisäksi tietosuojavaltuutettu toteaa, että asiassa 6 on ristiriita rekisterinpitäjän ja rekisteröidyn kertoman välillä – rekisteröidyn mukaan vastaus oikeuspyyntöön tuli sähköpostitse vasta noin vuosi pyynnön esittämisen jälkeen, kun taas rekisterinpitäjän mukaan se toimitti vastauksen omasta aloitteestaan jo merkittävästi aiemmin postitse ennen kuin sai asiasta tietosuojavaltuutetun toimiston selvityspyynnön. Rekisterinpitäjä on selvityspyyntöön antamansa vastauksen liitteenä toimittanut ainoastaan jäljennöksen ko. myöhemmin rekisteröidylle lähetetystä sähköpostivastauksesta.

Asiassa 2 todennetusti vastaanotetun rekisteröidyn tietopyynnön käsittely on jätetty kesken eikä siihen ole palattu ennen tietosuojavaltuutetun asiassa toimittamaa selvityspyyntöä. Rekisterinpitäjä on myöntänyt selvityksessään, että sen olisi tullut kysyä mahdollisuuksien mukaan vireillesaattajalta tarkentavia lisätietoja asian selvittämisen nopeuttamiseksi ja informoida tätä vastausajan pidentämisestä yleisen tietosuoja-asetuksen mahdollistamaan kahteen kuukauteen. Rekisterinpitäjä ei myöskään osoitusvelvollisuuden edellyttämällä tavalla ole pystynyt toimittamassaan selvityksessä osoittamaan, että se on asianmukaisesti vastannut vireillesaattajan pyyntöön, sillä rekisteröidylle postitse toimitetusta kirjeestä ei ole jäänyt rekisterinpitäjän kertoman mukaan kopiota. Vireillesaattaja ei asiassa antamansa vastineen pohjalta ole tyytyväinen rekisterinpitäjän antaman vastauksen tietosisältöön.

Asiat 4 ja 5 sijoittuvat rekisterinpitäjän kertomaan teknisen poikkeustilanteen ajanjaksoon 13.11.2018-28.5.2019. Rekisterinpitäjä kertoo kuitenkin vastanottaneensa asiassa 3 vireillesaattajan kirjallisen yhteydenoton 1.3.2019, mikä poikkeaa vireillesaattajan tietosuojavaltuutetun toimistolle toimittamasta kuvakaappauksesta, jonka mukaan rekisteröity on lähettänyt kyselyn osoitteeseen tietosuoja-asiat(at)otavamedia.fi jo 26.10.2018, eli ennen rekisterinpitäjän toteaman teknisen poikkeustilanteen (13.11.2018-28.5.2019) alkua. Joka tapauksessa rekisterinpitäjä on vastannut rekisteröidyn pyyntöön vasta tietosuojavaltuutetun toimiston toukokuussa 2019 esittämän selvityspyynnön jälkeen ja esittänyt tässäkin asiassa vastauksen viivästymisen syyksi teknisen virhetilanteen.

Rekisterinpitäjä on kyseisissä asioissa 3, 4 ja 5 selvityspyyntöihin antamissaan vastauksissa todennut testanneensa tietosuoja-asioihin tarkoitetun sähköpostilaatikon toiminnan ennen yleisen tietosuoja-asetuksen soveltamisen aloittamista toukokuussa 2018. Lisäksi rekisterinpitäjä on kertonut ottaneensa käyttöön sähköpostilaatikon säännöllisen testaamisen saatuaan tiedon vallinneesta virhetilanteesta ja IMAP-määrityksen ns. putoamisesta pois päältä tietosuojavaltuutetun toukokuussa 2019 toimittamien selvityspyyntöjen myötä. Rekisterinpitäjän vastauksien mukaan on selvää, että sähköpostilaatikon ja integraation toiminnan testaaminen on rekisterinpitäjälle mahdollinen ja mitä ilmeisimmin jo aiemmin käytössä ollut käytäntö. Palveluntarjoajaa vaihtaessaan ja siirtäessään sähköpostipalvelunsa pilvipalveluksi toiminnallisuuden toimivuutta ei ole kuitenkaan yli puoleen vuoteen testattu tietosuoja-asiat(at)otavamedia.fi – osoitteeseen toimitettujen sähköpostien jäädessä asiakaspalvelujärjestelmän ja näin ollen asiakaspalvelijoiden ulottumattomiin. Toiminnallisuuksien huolellisen testaamisen laiminlyönti palveluntarjoajan vaihdon yhteydessä on johtanut rekisteröityjen oikeuksien toteuttamisen epäämiseen tähän tarkoitukseen osoitetun pääasiallisen sähköpostikanavan kautta. Huolellinen testaaminen edellyttää testaussuunnitelman tekemistä sekä testitapauksien luomista. Jos virhettä ei ole havaittu, IMAP-toiminnallisuuden kytkeytymättömyyttä ei ole todennäköisesti määritetty tarkistettavaksi. Rekisteröidyille kohdistetun yhteydenottokanavan perustaminen ei yksinään riitä täyttämään rekisterinpitäjälle asetettuja velvoitteita, vaan sen on lisäksi huolehdittava kyseisen yhteydenottokanavan käytännön toimivuudesta. Voidaan katsoa, että huolellisella toiminnalla virhetilanteeseen olisi havahduttu aiemmin eikä kyseinen katkos olisi venynyt pituudeltaan seitsemän kuukauden mittaiseksi. Asiassa ei ole myöskään viitteitä siitä, että tekninen poikkeustilanne olisi lähiaikoina tullut havaituksi rekisterinpitäjän itsensä toimesta, Näin ollen on todennäköistä, että tekninen poikkeustilanne olisi jatkunut edelleen seitsemää kuukautta pidempään, ellei asia olisi tietosuojavaltuutetun toimiston selvityspyynnön myötä tuotu rekisterinpitäjän tietoon toukokuussa 2019.

Myös muut yllä kuvatut kantelut osoittavat rekisterinpitäjän rekisteröityjen oikeuksia koskevan menettelyn olevan paikoin puutteellinen. Vaikka kyseisissä asioissa rekisteröidyn postitse tai sähköpostitse toimittama pyyntö on saapunut perille, on sen käsittely jätetty jollain tapaa kesken eikä rekisteröidyn oikeutta ole toteutettu 12 artiklan edellyttämässä ajassa. Kyseiset kuusi kantelua kaiken kaikkiaan osoittavat, että rekisterinpitäjä ei ole huolehtinut rekisteröityjen oikeuksien tehokkaasta täytäntöönpanosta säännöllisesti arvioimalla rekisteröidyn oikeuksien toteuttamista koskevia menettelyjään ja huolehtimalla niiden toimivuudesta.

Tietosuojavaltuutettu katsoo, että rekisterinpitäjä on laiminlyönyt rekisteröityjen 15 ja 17 artiklojen mukaisten oikeuksien toteuttamisen yleisen tietosuoja-asetuksen 12, 15 ja 17 artiklojen edellyttämällä tavalla kaikissa edellä mainituissa vireillesaattajien vireille saattamissa asioissa. Lisäksi tietosuojavaltuutettu katsoo, että yli puoli vuotta kestäneen tietosuoja-asiat(at)otavamedia.fi -sähköpostiosoitteeseen kohdistuneen havaitsematta jääneen teknisen virhetilanteen myötä rekisterinpitäjän toiminnassa on laiminlyöty yleisen tietosuoja-asetuksen 25 artiklan 1 kohdan mukaista sisäänrakennettua tietosuojaa rekisteröityjen oikeuksien toteuttamiseen liittyvän menettelyn osalta.

Päätöksen on tehnyt tietosuojavaltuutettu Anu Talus ja sen on esitellyt tietosuojavaltuutetun toimiston ylitarkastaja. Tietosuojalain (1050/2018) 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu katsoo, että tietosuojavaltuutetun toimiston seuraamuskollegion tulee arvioida, onko rekisterinpitäjälle määrättävä asiassa hallinnollinen seuraamusmaksu.

Seuraamuskollegion päätös

Tietosuojasuojavaltuutettu on edellä antanut Otavamedia Oy:lle yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan, 12 artiklan 1, 2, 3, 4 ja 6 kohtien, 15, 17 sekä 25 artiklan rikkomisesta 58 artiklan 2 kohdan b alakohdassa tarkoitetun huomautuksen sekä d alakohdassa tarkoitetun määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi.

Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo, että tehokkuus, varoittavuus ja oikeasuhtaisuus huomioiden yleisen tietosuoja-asetuksen 25 artiklan 1 kohdan, 12 artiklan 1, 2, 3 ja 4 kohtien sekä 15 ja 17 artikloiden rikkomisesta on huomautuksen ja määräyksen lisäksi määrättävä asetuksen 58 artiklan 2 kohdan i alakohdan perusteella 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu. Seuraamuskollegio määrää Otavamedia Oy:n maksamaan valtiolle hallinnollisen seuraamusmaksun, jonka suuruus on 85.000 (kahdeksankymmentäviisi tuhatta) euroa.

Tietosuojavaltuutetun päätöksessä annettu määräys luopua rekisteröityjen oikeuksien käytön yhteydessä omakätisen allekirjoituksen vaatimisesta jää sen sijaan tietosuojavaltuutetun määräyksen varaan. Näiltä osin seuraamuskollegio katsoo, että kyseessä on ollut kumotun henkilötietolain (523/1999) mukainen käytäntö, joka on sittemmin korvaantunut asetuksen 12 artiklan 2 ja 6 kohdissa säädetyllä. Vaikkakin allekirjoitettavan lomakkeen edellyttämisen katsotaan kyseisessä tapauksessa rikkoneen yleistä tietosuoja-asetusta, on allekirjoituksen edellyttäminen ollut vakiintunut käytäntö yleistä tietosuoja-asetusta edeltäneen henkilötietolain (523/1999) aikaan vielä ennen yleisen tietosuoja-asetuksen soveltamisen aloittamista 25.5.2018.

Perustelut hallinnollisen seuraamusmaksun määräämiselle

Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan yleisen tietosuoja-asetuksen rikkomisesta määrättävän hallinnollisen seuraamusmaksun määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta.

Yleisen tietosuoja-asetuksen 83 artiklan 3 kohdan mukaan, jos rekisterinpitäjä tai henkilötietojen käsittelijä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen sakon kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä sakkoa. Rikkomusten vakavuutta on arvioitava asetuksen 83 artiklan 2 kohdassa mainittujen kriteerien perusteella ja valittava menettely tai laiminlyönti, jota voidaan pitää tapauksen yksityiskohdat huomioon ottaen moitittavimpana. Kollegio katsoo, että tietosuoja-asetuksen 83 artiklan 3 kohta tulee tässä tapauksessa sovellettavaksi, sillä rekisteröidyn oikeuksia ja niiden tehokasta toteuttamista koskevat velvoitteet liittyvät samaan käsittelytoimien kokonaisuuteen.

Tässä tapauksessa seuraamuskollegio katsoo, että vaikka rekisterinpitäjä on yleisen tietosuoja-asetuksen mukaisesti pyrkinyt helpottamaan rekisteröityjen oikeuksien toteuttamista perustamalla erillisen sähköpostiosoitteen tällaisia yhteydenottoja varten, ei rekisterinpitäjä ole huolehtinut järjestelyn jatkuvasta toimivuudesta palveluntarjoajan muuttuessa siten kuin 25 artiklan 1 kohdan tehokas toteuttaminen erityisesti rekisteröidyn oikeuksien osalta olisi edellyttänyt.

Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että kyseessä oleva henkilötietojen käsittelyyn ja rekisteröityjen oikeuksien toteuttamiseen liittyvä toimintatapa on ollut keskeinen kaikkien niiden rekisteröityjen osalta, joiden tietoja rekisterinpitäjä harjoittamansa liiketoiminnan yhteydessä käsittelee. Kyse ei ole ainoastaan yksittäisistä kanteluista ja niihin liittyvistä erimielisyyksistä vaan rekisterinpitäjän suunnitellun toimintatavan toimimattomuudesta rekisteröidyn oikeuksien toteuttamisessa, eivätkä tätä koskevat rikkomukset ole olleet luonteeltaan vähäisiä. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan otettava asianmukaisesti huomioon seuraavat seikat:

a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus; b) rikkomisen tahallisuus tai tuottamuksellisuus; c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi; d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet; e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset; f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi; g) henkilötietoryhmät, joihin rikkominen vaikuttaa; h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa; i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen; j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.

Asiaa arvioitaessa on otettu huomioon myös 29 artiklan mukaisen tietosuojaryhmän ohje hallinnollisten sakkojen soveltamisesta ja määräämisestä.

Rikkomisen luonne, vakavuus ja kesto ja rekisteröityjen lukumäärä ja heille aiheutunut vahinko

Rekisterinpitäjän rikkomukset ovat edellä tietosuojavaltuutetun päätöksestä ilmenevästi kohdistuneet sisäänrakennettua ja oletusarvoista tietosuojaa koskevan 25 artiklan 1 kohdan ohella yleisen tietosuoja-asetuksen 15 ja 17 artiklojen mukaisten rekisteröidyn oikeuksien toteuttamatta jättämiseen 12 artiklan edellyttämällä tavalla.

Rekisteröityjen oikeuksien vahvistaminen on ollut yksi yleisen tietosuoja-asetuksen päätavoitteista. Ottaen huomioon, että asiassa kyseessä on rekisteröityjen pääasiallinen sähköinen yhteydenottokanava tietosuoja-asioissa, olisi rekisterinpitäjän tullut huolehtia sähköpostin toiminnan huolellisesta testaamisesta vaihtaessaan sähköpostipalveluntarjoajaa. Huolellisella toiminnallisuuksien testaamisella tekninen virhetilanne olisi ollut mitä todennäköisimmin vältettävissä ja vähintäänkin havaittu nykyistä aiemmin. Moitittavin menettely koskee näin ollen oikeuksien käyttämistä koskevan järjestelyn, eli sähköpostin toiminnan testaamisen laiminlyöntiä, joka on johtanut rekisteröidyille osoitetun sähköpostiosoitteen toimimattomuuteen. Kaikilta osin rekisteröityjen oikeuksien toteuttamatta jättäminen ei ole kuitenkaan seurannut toimimattomasta sähköpostiosoitteesta, vaan ongelmia on ilmennyt myös muissa kohdin rekisteröityjen oikeuksien toteuttamista koskevaa menettelyä.

Tapaus ilmentää kokonaisuudessaan laajempaa kuin yksittäistapauksia koskevaa yleisen tietosuoja-asetuksen rikkomista. Kyse on ollut asianmukaisten käytäntöjen puutteesta, sillä rekisteröityjen pääasiallinen sähköinen yhteydenottokanava on ollut poissa toiminnasta noin seitsemän kuukauden ajan. Asiassa esitetystä selvityksestä ilmenee, että rekisterinpitäjä on laiminlyönyt rekisteröityjen oikeuksien toteuttamisen 13.11.2018–28.5.2019 vallinneen virhetilanteen myötä ainakin kahden vireillesaattajan osalta. Kolmannen vireillesaattajan osalta tämän ja rekisterinpitäjän selvitykset tilanteen kulusta eroavat toisistaan ja rekisteröidyn toimittaman tiedon mukaan tämän oikeuspyyntö on toimitettu rekisterinpitäjälle jo ennen teknisen virhetilanteen alkamista 26.10.2018. Rekisterinpitäjän selvityksen mukaan rekisteröityjen tiedusteluja on toimitettu kyseisen teknisen virhetilanteen aikana tietosuoja-asiat(at)otavamedia.fiosoitteeseen yhteensä noin 150 kappaletta. Rekisterinpitäjä on selvityksensä mukaan samalla aikavälillä laiminlyönyt ja jättänyt toteuttamatta 12 artiklan edellyttämässä ajassa kaiken kaikkiaan noin 50 rekisteröidyn osalta yhden tai useamman yleisen tietosuoja-asetuksen mukaisen oikeuden. On myös huomattava, että kyseinen virhetilanne havaittiin vasta tietosuojavaltuutetun toimiston toimittaman selvityspyynnön myötä. Virhetilanteen päättymisajankohta oli näin ollen riippuvainen tietosuojavaltuutetun toiminnasta ja olisi mahdollisesti voinut jatkua merkittävästi seitsemää kuukautta pidemmän ajan. Rekisterinpitäjä on lisäksi selvityspyyntöihin antamissaan vastauksissa kertonut testanneensa sähköpostilaatikon toimivuuden ennen yleisen tietosuoja-asetuksen soveltamisen aloittamista. Virhetilanteen tullessa tietosuojavaltuutetun toimiston yhteydenoton myötä rekisterinpitäjän tietoon, rekisterinpitäjä on kertonut ottaneensa sähköpostilaatikon säännöllisen testaamisen toistuvaksi toimintatavakseen. Rekisterinpitäjän aiheuttama yleisen tietosuoja-asetuksen säännösten rikkominen ei ole ollut hetkellistä tai tapahtunut puhtaasti inhimillisen virheen johdosta sillä rikkomuksia on tapahtunut toistuvasti useamman kuukauden ajan. Rekisterinpitäjä on tuonut selvityksissään esiin toimenpiteitä, joilla se on yrittänyt korjata puutteellista toimintatapaansa rekisteröidyn oikeuksien toteuttamiseksi. Rekisteröidyn oikeudet on kuitenkin toteutettu ja menettelyjä päädytty muuttamaan vasta tietosuojavaltuutetun toimiston selvityspyyntöjen myötä.

Jotta asiassa voidaan määrittää, onko rekisterinpitäjän tietosuojavaltuutetun edellä mainittuja kanteluita koskevan päätöksen mukaisissa rikkomuksissa ollut kyse yksittäisestä tapauksesta vai ilmentääkö tapaus järjestelmällisempää rikkomista tai asianmukaisten käytäntöjen puutetta, on myös otettava huomioon, kuinka suurta määrää rekisteröityjä rekisterinpitäjän rikkomus on koskenut.

Asiaa arvioitaessa on otettava huomioon tietosuojavaltuutetulle tehdyn kuuden kantelun lisäksi rekisterinpitäjän tietokantaan tallennettujen rekisteröityjen määrä. Rekisterinpitäjä on suuri suomalainen mediayhtiö, joka edustaa Otavan kaikkia verkkoyleisöjä: rekisterinpitäjän verkkopalvelut tavoittavat kuukausittain yli 2,3 miljoonaa suomalaista, ja aikakauslehdet tavoittavat kuukaudessa noin 1,5 miljoonaa lukijaa. Ongelmatilanteen myötä voidaan katsoa, että rekisteröityjen oikeuksien toteuttaminen on käytännössä vaarantunut erittäin merkittävältä määrältä rekisteröityjä. Painoarvoa ei voida rekisterinpitäjän esittämän mukaisesti antaa ainoastaan sille, kuinka moni rekisteröity on konkreettisesti pyrkinyt käyttämään oikeuksiaan kyseisenä ajanjaksona. Rekisteröityjen passiivisuutta ei voida lukea rekisterinpitäjän eduksi. Kyse voi yksinkertaisesti olla myös esimerkiksi siitä, että rekisteröity ei tiedä miten toimia. Kyse ei siten ole yksittäisestä rikkomisesta, vaan rekisterinpitäjän rekisteröidyn oikeuksien toteuttamisen edellyttämien asianmukaisten käytäntöjen puutteellisuudesta. Rekisterinpitäjä käsittelee yllä kuvatusti suuria määriä henkilötietoja ja sen rikkomukset ovat omiaan vaikuttamaan myös suurempaan määrään rekisteröityjä kuin vain niihin kuuteen vireillesaattajaan, jotka ovat tehneet kantelun tietosuojavaltuutetun toimistolle rekisteröidyn oikeuksia koskien.

Rekisterinpitäjä on rikkonut vireillesaattajien yleisen tietosuoja-asetuksen mukaisia oikeuksia, minkä seurauksena vireillesaattajille on aiheutunut vahinkoa. Kaiken kaikkiaanseuraamuskollegio katsoo rekisterinpitäjän rikkomusten olleen luonteeltaan vakavia ja pitkäkestoisia sekä vaikuttaneen suureen määrään rekisteröityjä, jotka ovat kärsineet vahinkoa. Edellä mainitut seikat tukevat hallinnollisen seuraamusmaksun määräämistä. Todettakoon kuitenkin, että tietosuojavaltuutetun päätöksen valmistelun yhteydessä ei ole käynyt ilmi, että vireillesaattajille olisi aiheutunut taloudellista tai muuta aineellista vahinkoa.

Rikkomuksen tahallisuus tai tuottamuksellisuus

Tahallisuutta ja tuottamuksellisuutta koskevat päätelmät tehdään määrittämällä tapauksen tosiseikastoihin perustuvat, toimintaan liittyvät objektiiviset seikat. Rikkomuksen tahallisuutta tai tuottamuksellisuutta arvioidaan sen perusteella, missä määrin rekisterinpitäjän toiminta vastaa sitä, mitä huolelliselta menettelyltä voitaisiin edellyttää. Muut seikat, kuten inhimillinen erehdys tai se, että voimassa oleviin toimintaperiaatteisiin ei ole perehdytty eikä niitä ole noudatettu, julkaistuista tiedoista ei ole tarkistettu henkilötietoja, teknisiä päivityksiä ei ole tehty oikea-aikaisesti tai toimintaperiaatteita ei ole hyväksytty (sen sijaan, että niitä on yksinkertaisesti jätetty soveltamatta), voivat taas viitata tuottamuksellisuuteen.

Asioissa 3, 4 ja 5 rekisterinpitäjä on vedonnut tekniseen tahattomaan virhetilanteeseen, jossa vaihdettaessa sähköpostipalveluntarjoaja pilvipalveluksi on IMAP-määritys pudonnut pois päältä ja lähetetyt sähköpostit jääneet rekisterinpitäjän asiakaspalvelijoiden ulottumattomiin. Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä kertoo virhetilanteen kestäneen selvityksensä mukaan 13.11.2018-28.5.2019. Asiassa 3 rekisteröity on kuitenkin toimittanut vastauksensa sähköpostitse 26.10.2018, eli ennen virhetilanteen alkamista. Näin ollen sähköpostin olisi tullut saapua normaalisti perille. Rekisteröidyn oikeuspyyntöön ei kuitenkaan ole vastattu vasta kuin virhetilanteen päättyessä.

Asiassa 1 rekisteröidyn postitse toimittama pyyntö on ohjattu rekisterinpitäjän mukaan erehdyksessä väärään paikkaan, eikä siihen ole näin ollen vastattu ajallaan. Asiassa 2 rekisteröidyn sähköpostitse esittämä oikeuspyyntö on todennetusti otettu käsittelyyn, mutta sen käsittely on jätetty kesken ja asiaan on palattu vasta tietosuojavaltuutetun selvityspyynnön myötä. Asiassa 6 rekisteröidyn poistopyyntöön on rekisterinpitäjän mukaan reagoitu ajallaan, mutta asiasta on rekisterinpitäjän mukaan jätetty erehdyksessä informoimatta rekisteröityä yleisen tietosuoja-asetuksen edellyttämässä ajassa.

Vaikka osassa rekisteröidyn oikeuksien toteuttamatta jättämisistä ei voida poissulkea inhimillisen virheen mahdollisuutta, voidaan vähintäänkin teknisen virhetilanteen katsoa olleen mahdollista välttää huolellisella toiminnallisuuksien testaamisella eli johtuneen rekisterinpitäjän tuottamuksellista toiminnasta. Rekisterinpitäjän vastauksien mukaan on selvää, että sähköpostilaatikon toiminnan testaaminen on rekisterinpitäjälle mahdollinen ja mitä ilmeisimmin jo aiemmin käytössä ollut käytäntö.

Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679, WP 253, annettu 3.10.2017, s. 12. Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista, kun taas tahattomuudella tarkoitetaan sitä, että rikkominen ei ole ollut tahallista, vaikka rekisterinpitäjä rikkoisikin laissa edellytettyjä huolellisuusvelvoitteita. Tahallista rikkomista, joka ilmentää piittaamattomuutta lainsäädännöstä, pidetään edellä mainitun ohjeen mukaan yleisesti vakavampana kuin tahatonta rikkomista.

Rekisterinpitäjän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi, yhteistyön aste valvontaviranomaisen kanssa ja tapa, jolla rikkomus tuli valvontaviranomaisen tietoon

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että yhteistyön aste voidaan ottaa ”asianmukaisesti huomioon”, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Ohjeen mukaan merkityksellisenä seikkana voidaan ottaa huomioon se, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin kyseisen tapauksen tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä.

Yleisen tietosuoja-asetuksen 31 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Tietosuojaryhmän ohjeen hallinnollisten sakkojen soveltamisesta ja määräämisestä mukaan ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä. Jos rekisterinpitäjän toimien ansiosta yksilöiden oikeuksiin ei kohdistunut kielteisiä seurauksia tai vaikutukset olivat vähäisemmät kuin ne muutoin olisivat saattaneet olla, myös tämä voidaan ottaa huomioon, kun valitaan kussakin tapauksessa oikeasuhteista korjaavaa toimenpidettä.

Rekisterinpitäjä on vastannut tietosuojavaltuutetun toimiston selvityspyyntöihin ja kuulemispyyntöön määräajassa. Rekisterinpitäjä on ryhtynyt toimiin tietosuojavaltuutetun toimiston selvityspyyntöjen myötä, vastannut rekisteröityjen 15 ja 17 artiklojen mukaisiin tietojen tarkastus- ja poistopyyntöihin ja parantanut menettelyjään. Samalla teknisen virhetilanteen pituus on saatu rajoitettua seitsemään kuukauteen. Tämä ei kuitenkaan ole ollut puhtaasti rekisterinpitäjän toimien ansiota, vaan rekisterinpitäjä on havahtunut asiaan vasta tietosuojavaltuutetun toimiston sen tietoon tuomien rekisteröityjen kanteluiden myötä.

Seuraamuskollegio toteaa, että yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan f alakohdan mukaan hallinnollisen sakon määräämistä ja sen määrää arvioitaessa voidaan ottaa huomioon myös yhteistyön aste. Tähän liittyen valvontaviranomainen on kohtuullista seuraamusta punnitessaan ottanut huomioon sen, että rekisterinpitäjä on vastannut viranomaisen selvityspyyntöihin määräajassa. Sanotusta huolimatta ei kuitenkaan ole tarkoituksenmukaista korostaa jo lainsäädännössä edellytettyä yhteistyötä. Rekisterinpitäjällä on ollut yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan ja tietosuojalain 18 §:n nojalla velvollisuus toimittaa pyydetyt tiedot valvontaviranomaiselle, eikä tällaisen laissa säädetyn velvollisuuden täyttämistä edellä mainitusti ole tarkoituksenmukaista korostaa.

Asiaa on alun perin ryhdytty tutkimaan yhdentoista eri vireillesaattajan yhteydenoton pohjalta. Ottaen lisäksi huomioon rikkomusten vakavuuden yleisellä tasolla sekä sen, että rekisterinpitäjä on vasta asiaa tietosuojavaltuutetun toimiston toimesta selvitettäessä ilmoittanut olevansa yhteistyölle avoin, ei seuraamuskollegio voi kuitenkaan antaa merkittävää painoarvoa kyseisille seikoille.

Vastuun aste, ottaen huomioon rekisterinpitäjän 25 ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet

Tietosuojaryhmän ohjeessa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että rekisterinpitäjän olisi tehtävä kaikki voitavansa lieventääkseen rikkomuksesta asianomaisille aiheutuvia seurauksia. Valvontaviranomainen voi ohjeen mukaan ottaa seuraamusmaksua laskiessaan huomioon tällaisen rekisterinpitäjän vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen. Yleisen tietosuoja-asetuksen 25 artiklassa edellytetään, että rekisterinpitäjä ottaa toiminnassaan huomioon ”uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille”.

Rekisteröityjen oikeuksien toteuttamista koskevien menettelyjen osalta rekisterinpitäjä on vastauksissaan tuonut esiin seikkoja, jotka puoltavat sitä, että se on selvityspyyntöjen myötä toteuttanut sellaisia teknisiä toimenpiteitä, joilla se on pyrkinyt vastaamaan paremmin sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksiin (25 artikla). Rekisterinpitäjän tietosuoja-asetuksen 25 artiklan nojalla toteuttamia teknisiä ja organisatorisia toimenpiteitä ja toimenpiteiden toteuttamista koskevia puutteita on arvioitu tietosuojavaltuutetun päätöksessä tietosuoja-asetuksen 12, 15 ja 17 artiklan rikkomisen ohella. Toteutettuja toimenpiteitä tai toimenpiteiden toteuttamista koskevia puutteita ei oteta tietosuoja-asetuksen 83 artiklan 2 kohdan d alakohdan osalta erikseen lisäksi huomioon raskauttavina tai lieventävinä tekijöinä.

Aiemmat vastaavat rikkomiset

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että valvontaviranomaisen olisi arvioitava rikkomiseen syyllistyneen yksikön historiatietoja. Valvontaviranomaisten olisi otettava huomioon, että tältä osin arviointi voi olla hyvin laaja, sillä minkä tahansa tyyppinen rikkominen, vaikka se poikkeaisi luonteeltaan valvontaviranomaisen nyt tutkimasta rikkomisesta, voi olla merkityksellinen arvioinnin kannalta, sillä se saattaa antaa yleisellä tasolla viitteitä riittämättömistä tiedoista tai tietosuojasäännösten noudattamatta jättämisestä.

Tietosuojavaltuutetun toimiston tietoon ei ole saatettu rekisterinpitäjän aiempia vastaavia rikkomuksia, jotka voitaisiin lukea raskauttavaksi seikaksi. On kuitenkin huomioitava, että nyt käsillä olevassa asiassa on kyse useista yleisen tietosuoja-asetuksen mukaisten säännösten rikkomisista, joita on tapahtunut pitkällä aikavälillä, ja jotka ovat vaikuttaneet koko tämän ajan rekisteröidyn henkilötietojen suojaa koskeviin oikeuksiin.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

Rikkomisen kohteena on ollut yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan mukaiset henkilötiedot, joista luonnollinen henkilö on tunnistettavissa. Käsittelyn kohteena ei ole ollut 9 tai 10 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Raskauttavia perusteita ei näiltä osin ole.

Käytännesääntöjen tai sertifiointimekanismien noudattaminen

Rekisterinpitäjä ei ole tuonut tietosuojavaltuutetun toimiston tietoon, että se olisi sitoutunut noudattamaan käsittelyssään tietosuoja-asetuksen 40 artiklan mukaisia hyväksyttyjä käytännesääntöjä tai 42 artiklan mukaisia hyväksyttyjä sertifiointimekanismeja. Raskauttavia tai lieventäviä perusteita ei näiltä osin ole.

Mahdolliset muut arviointiin vaikuttavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että tällaiset mahdolliset muut tekijät voivat olla esimerkiksi rikkomisella saatu hyöty tai taloudellinen etu. Rekisterinpitäjä on ilmoittanut olevansa sitä mieltä, että mahdollisesta rikkomuksesta ei ole saatu minkäänlaista taloudellista etua. Rekisterinpitäjä on selvityksessään todennut, että henkilötietojen poistopyynnön rinnalla kaikilla rekisteröidyillä on mahdollisuus myös ilmoittaa rekisterinpitäjälle suoramarkkinointikielto sähköisten markkinointiviestien osalta klikkaamalla sähköpostiviestissä olevaa ”unsubscribe” -linkkiä tai asiakaspalvelun kautta esim. puhelimitse, sähköpostitse tai kirjeitse. Raskauttavia perusteita ei näiltä osin ole.

Yhteenveto ja hallinnollisen seuraamusmaksun mittaaminen

Hallinnollisen seuraamusmaksun tulee olla yksittäistapauksessa tehokas, oikeasuhtainen ja varoittava.

Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, etteivät nyt käsiteltävissä asioissa tietosuojavaltuutetun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b ja d alakohtien mukaiset määräykset ole riittävä seuraus edellä mainitut 83 artiklan 2 kohdan a-j alakohtien mukaiset seikat huomioiden. Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo, että tietosuojavaltuutetun toteamat rikkomukset ja laiminlyönnit ovat niiden luonne ja vakavuus huomioon ottaen sellaisia, että tehokas, oikeasuhtainen ja varoittava seuraamus on tietosuojavaltuutetun antaman määräyksen ja huomautuksen lisäksi hallinnollinen seuraamusmaksu.

Kysymys ei ole ollut yksittäisestä tai yksittäisistä tapahtumista, vaan sellaisesta yleisen tietosuoja-asetuksen rikkomisesta, joka on johtanut rekisteröityjen oikeuksien toistuvaan laiminlyöntiin pidemmällä aikavälillä. Näin ollen kyseessä olevassa asiassa erityisesti rikkomisten luonne, niiden kesto sekä rekisteröityjen määrä, joihin rikkominen on vaikuttanut, ilmentävät rikkomisen sellaista vakavuutta, että asiassa on määrättävä hallinnollinen seuraamusmaksu.

Raskauttavina seikkoina on otettu huomioon rikkomisen luonne, vakavuus ja kesto ja rekisteröityjen lukumäärä. Sakon määrää lieventävänä tekijänä on huomioitu se, että kanteluita koskevan tietosuojavaltuutetun päätöksen valmistelun yhteydessä ei ole käynyt ilmi, että vireillesaattajille olisi aiheutunut taloudellista tai muuta aineellista vahinkoa.

Seuraamuskollegio katsoo tehokkaaksi, oikeasuhteiseksi ja varoittavaksi määrältään 85.000 (kahdeksankymmentäviisi tuhatta) euron suuruisen hallinnollisen seuraamusmaksun.

Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun toimiston seuraamuskollegion jäsenet.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 12 artiklan 1, 2, 3, 4 ja 6 kohdat, 5 artiklan 1 kohdan c alakohta, 15 artikla, 17 artikla, 25 artikla, 58 artiklan 2 kohdan b ja d alakohdat, 83 artikla 1, 2, 3, 4 ja 5 kohdan a ja b alakohta

Tietosuojalain (1050/2018) 8 § ja 24 §

Hallintolain (434/2004) 25 § ja 34 §

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tietosuojavaltuutetun ja seuraamuskollegion päätöksiin voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätökset ovat lainvoimaisia.

Liite tietosuojavaltuutetun toimiston seuraamuskollegion päätökseen 9.5.2022 dnro 6097/161/21

Esittelijän eriävä mielipide

Hallinnollisen seuraamusmaksun määrä olisi tullut määrittää korkeammaksi (125.000 €, 0,15 % yrityksen liikevaihdosta).

Määrätyn hallinnollisen seuraamusmaksun tulee olla kussakin yksittäistapauksessa tehokas, oikeasuhtainen ja varoittava ottaen huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa mainitut mahdolliset raskauttavat ja lieventävät seikat liittyen itse rikkomukseen sekä rikkomuksen tekijään ja tämän toimintaan. Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan a-e alakohtien mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 miljoonaa euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Itse 12, 15, 17 ja 25 artikloihin kohdistuneet rikkomukset sekä niiden luonne, vakavuus ja kesto on kuvattu viitatussa päätöksessä. Yrityksen liikevaihto ja maksukyky tulee osaltaan ottaa huomioon arvioitaessa rikkomuksesta määrättävän seuraamusmaksun tehokkuutta, oikeasuhtaisuutta ja varoittavuutta. Seuraamuskollegion päätöksestä poiketen nähdäkseni määrätty 85.000 euron hallinnollinen seuraamusmaksu ei ole riittävän tehokas, oikeasuhtainen ja varoittava suhteessa kyseessä olevan yrityksen liikevaihtoon kattaen siitä ainoastaan n. 0,1 %. Tietosuojavaltuutetun toimiston seuraamuskollegion aiempaan mikro- ja pk-yrityksiä koskevaan seuraamusmaksukäytäntöön viitaten seuraamusmaksun tulisi olla korkeampi suhteessa yrityksen liikevaihtoon (85 882 379,48 €) täyttääkseen seuraamusmaksun määrältä edellytetyt tehokkuuden, oikeasuhtaisuuden ja varoittavuuden kriteerit ja ollakseen asianmukaisesti linjassa tietosuojavaltuutetun toimiston seuraamuskollegion aiemman pienempiä organisaatioita koskevan seuraamusmaksukäytännön kanssa.