TSV 20.07.2022
Rekisteröidyn oikeus saada tietonsa poistetuksi pankin järjestelmästä
Oikeus tietojen poistamiseen - Säilytysaika
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 20.07.2022 |
| Diaarinumero: | 7587/163/20 |
Tietosuojavaltuutetun päätös
Asia
Asiassa on kyse rekisteröidyn oikeudesta saada tietonsa poistetuksi
Rekisterinpitäjä
Pankki
Hakijalta saatu selvitys
Hakija on 28.9.2020 saattanut tietosuojavaltuutetun toimistossa vireille asian, joka koskee rekisteröidyn oikeutta tietojen poistamiseen. Hakija oli kertomansa mukaan käynyt rekisterinpitäjän luona päättämässä asiakkuutensa ja pyytänyt tällöin myös tietojensa poistoa. Asiakaspalvelija oli todennut hakijalle, että tämän tiedot on poistettu kaikista asiakastietokannoista, joissa niitä ei lakisääteisesti tarvitse olla. Hakija oli tästä huolimatta saanut myöhemmin rekisterinpitäjältä asiakaskirjeen. Hakija oli tehnyt rekisterinpitäjälle ensin sähköpostitse 28.8.2020 ja myöhemmin puhelimitse 17.9.2020 uuden pyynnön poistaa tiedot. Hakijan mukaan hän ei ollut saanut rekisterinpitäjältä vahvistusta sille, onko hänen henkilötietonsa poistettu.
Rekisterinpitäjältä saatu selvitys
Tietosuojavaltuutetun toimisto on pyytänyt asiassa rekisterinpitäjältä selvitystä 2.7.2021. Tietosuojavaltuutetun toimisto on pyrkinyt selvittämään, 1) onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen (EU) 2016/679 (tietosuoja-asetus) 17 artiklan mukaisen oikeuden saada tietonsa poistetuksi 2) jos oikeutta ei ole toteutettu, voisiko rekisterinpitäjä nyt toteuttaa oikeuden, sekä 3) millä perusteella rekisterinpitäjä on käsitellyt hakijan tietoja asiakkuuden päättymisen jälkeen. Rekisterinpitäjä on vastannut selvityspyyntöön 13.8.2021.
Rekisterinpitäjän antaman selvityksen mukaan hakija on käynyt konttorissa vuonna 2017 lopettamassa palvelunsa. Siinä yhteydessä hän on oman kertomuksensa mukaan halunnut poistaa kaikki tiedot. Rekisterinpitäjän mukaan tätä pyyntöä ei kuitenkaan löydy rekisterinpitäjän järjestelmästä eikä rekisterinpitäjä ole toteuttanut sitä. Hakija on soittanut 17.9.2020 rekisterinpitäjälle ja todennut, että hänestä ei saa olla mitään tietoja ja että hän haluaa tietonsa poistettavaksi rekisterinpitäjän järjestelmästä.
Rekisterinpitäjän mukaan se ei ole toteuttanut hakijan oikeutta saada tietojansa poistetuksi. Rekisterinpitäjän mukaan se on säilyttänyt asiakastietoja lainsäädäntöön ja oikeutettuun etuun perustuen.
Rekisterinpitäjän mukaan se voi toteuttaa hakijan pyynnön siltä osin kuin lainsäädäntö tai pakottava oikeutettu etu ei sitä estä. Rekisterinpitäjän mukaan tietojen poistamatta jättäminen on johtunut inhimillisestä erehdyksestä asiakaspalvelussa.
Rekisterinpitäjän mukaan hakijalla on ollut sijoituspalvelusopimus ja sen poistaminen edellyttää manuaalisia toimenpiteitä asiakkuutta lopetettaessa. Rekisterinpitäjän sisäisessä ohjeistuksessa on määritelty, että sopimuksen poisto on osa asiakkuuden lopetusprosessia. Tässä tapauksessa kyseinen sopimus on kuitenkin jäänyt inhimillisestä virheestä poistamatta, ja siitä johtuen hakija on saanut kirjeen. Rekisterinpitäjän mukaan hakijan henkilötietoja on lisäksi käsitelty tammi- ja kesäkuun 2020 lainaneuvotteluihin liittyen. Selvyyden vuoksi rekisterinpitäjä toteaa, että hakijalle ei ole lähetetty markkinointikirjettä, vaan kyseessä on ollut asiakaskirje koskien Check-in-asiakkuuden päättymistä.
Rekisterinpitäjän mukaan se tulee olemaan yhteydessä hakijaan ja poistamaan hakijan henkilötiedot siltä osin kuin henkilötietoja ei käsitellä lakisääteisen velvollisuuden tai pakottavan oikeutetun edun perusteella.
Rekisterinpitäjän mukaan se tulee lisäksi järjestämään kyseessä olevalle asiakaspalveluyksikölleen lisäkoulutuksen rekisteröiden oikeuksien toteuttamisesta ja siihen liittyvistä rekisterinpitäjän prosesseista.
Hakijan vastine
Tietosuojavaltuutetun toimisto on pyytänyt hakijalta vastinetta rekisterinpitäjän antaman selvityksen jälkeen 19.8.2021. Hakijan vastine on vastaanotettu 3.9.2021.
Antamassaan vastineessaan hakija haluaa täsmentää, että hän on koko ajan tarkoittanut, että rekisterinpitäjä poistaisi ne tiedot, joita lainsäädäntö ei vaadi säilyttämään. Jos hän on unohtanut puhelussa täsmentää tämän, hakijan mukaan se on johtunut rekisterinpitäjän vastahankaisuudesta asian suhteen. Hakijan mukaan hän on saanut toistaa pyyntöä jo niin monta kertaa. Hakija haluaisi rekisterinpitäjältä selvennyksen sille, mitä rekisterinpitäjä tarkoittaa "oikeutetulla edulla". Hakijan mukaan hän ei ymmärrä sanaa "oikeutettu etu" tai "pakottava oikeutettu etu" tarkoittavat tässä yhteydessä.
Hakija toteaa ymmärtävänsä inhimillisen virheen, mutta toivoo, että pankki vaivautuisi edes pahoittelemaan asiaa. Hakija toivoo pahoittelua etenkin siksi, että asia on hakijan mukaan aiheuttanut paljon työtä ja vaivaa.
Hakija toivoo vastineessaan lisäkoulutusta vuorovaikutustaitojen osalta myös rekisterinpitäjän lakiosastolle. Hakijan mukaan hänen on ollut tavattoman vaikeaa viestiä rekisterinpitäjän kanssa. Hakijan mukaan hänen ensimmäinen pyyntönsä ohjattiin henkilölle, jonka vastaukset (ja paikoin vastaamattomuus) jättivät kuvan, ettei henkilö ole lukenut pyyntöä tai ymmärtänyt tilannetta. Hakijan mukaan myös sen jälkeen esitetyt pyynnöt olisi voitu hoitaa läpinäkyvämmin. Hakijan mukaan hän kyllä sai tietoja postitettuna, mutta olisin toivonut lyhyttä vahvistusviestiä siitä, että tiedot tullaan toimittamaan paperilla.
Hakijan mukaan hänelle on edelleen epäselvää, mitä kaikkia mahdollisesti poistettavissa olevia tietoja rekisterinpitäjällä hänestä on ja mitä tietoja edelleen säilytetään lakiteknisistä syistä. Hakija toivoo, että jos hänen tai kenenkään muun ikinä tarvitsee pyytää tietojen tarkastusta tai poistoa rekisterinpitäjältä, asia hoituisi sujuvammin.
Tietosuojavaltuutetun toimiston kuulemispyyntö
Rekisterinpitäjälle on 25.2.2022 varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä esittää näkemys tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosisekoista. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä. Selvyyden vuoksi on todettava, että kuulemispyynnön kohteena oli 2 erillistä tietosuojavaltuutetun toimistolle tehtyä kantelua. Toinen kantelu on käsitelty diaarinumerolla 1601/452/18.
Rekisterinpitäjä on antanut vastauksensa 25.3.2022. Vastauksessaan rekisterinpitäjä kertoo muun muassa seuraavaa.
Tapauksen 7587/163/20 tosiseikoista
Rekisterinpitäjä katsoo toteuttaneensa kyseisessä asiassa rekisteröidyn tietosuoja-asetuksen artiklan 15 ja 17 mukaiset oikeudet.
Rekisterinpitäjän mukaan kuulemispyynnössä on todettu, että rekisteröity olisi päättänyt palvelunsa vuonna 2007. Rekisterinpitäjän mukaan rekisteröity on lopettanut palvelunsa 12.9.2017. Tämän jälkeen rekisteröity on ottanut yhteyttä rekisterinpitäjään asuntolainaasioissa 13.1.2020 ja hänelle on annettu lainalupaus 19.1.2020 ja lisäksi rekisteröityä on tavattu 26.6.2020 rekisterinpitäjän toimesta.
Rekisterinpitäjä toteaa, että rekisteröity on kertonut olleensa 28.8.2020 sähköpostitse yhteydessä rekisterinpitäjään. Rekisterinpitäjä huomauttaa, että se ei voi kertoa eikä käsitellä pankkisalaisuuden alaisia tietoja, mukaan lukien henkilötietoja, avoimessa sähköpostissa.
Rekisterinpitäjän mukaan se käyttää henkilöasiakkaiden kanssa viestimiseen pääosin verkkopankin viestipalvelua tai Omaposti-palvelua, jota voi käyttää ilman pankkitunnuksia vahvalla sähköisellä tunnistevälineellä. Näiden palvelujen käytön tarkoituksena on taata turvallinen viestintä asiakkaiden kanssa Finanssivalvonnan edellyttämällä tavalla. Tästä syystä rekisterinpitäjä toteaa ohjanneensa rekisteröityä turvalliseen viestintäkanavaan, jonka avulla rekisterinpitäjä voi todentaa oikeuksiaan käyttävän rekisteröidyn henkilöllisyyden ja varmentaa pyynnön oikeellisuuden.
Rekisterinpitäjä katsoo, että asiakaspalvelun yhteydessä rekisteröityä ei ole osattu opastaa oikealla tavalla tietopyynnön ja poistopyynnön tekemisessä. Tältä osin rekisterinpitäjä on ryhtynyt korjaaviin toimenpiteisiin kuten esimerkiksi ohjeistanut ja kouluttanut henkilöstöään vastaavissa asiakaspalvelutilanteissa.
Rekisterinpitäjä toteaa, että kuulemiskirjeessä on todettutosiseikaston osalta että ”rekisterinpitäjä on tietosuojavaltuutetun toimistolle annetussa selvityksessä todennut, että henkilötietoja ei ole poistettu.” Rekisterinpitäjä huomauttaa selvityksessään, että tämä koskee vain pientä osaa rekisteröidyn henkilötietoja. Rekisterinpitäjän mukaan suurin osa tiedoista on poistettu säilytysaikojen päätyttyä asiakassuhteen loputtua. Poistamatta jääneet tiedot ovat liittyneet sijoituspalvelusopimukseen, jonka rekisterinpitäjän työntekijän olisi pitänyt lopettaa manuaalisesti sopimuksen irtisanomisen yhteydessä. Näiden tietojen virheellinen säilytys on rekisterinpitäjän mukaan vaikuttanut rekisteröidyn oikeuksiin ja velvollisuuksiin hyvin vähän, koska suurinta osaa rekisteröidyn tietoja on koskenut vielä lakisääteinen tai muu säilytysperuste.
Rekisterinpitäjän mukaan rekisteröity on myös poistopyyntöjen jälkeen ollut yhteydessä Pankkiin ja hakenut luottoa rekisterinpitäjältä. Tältä osin rekisteröidyn tietoja säilytetään aiemmin mainittujen säilytysperusteiden mukaisesti eikä tietoja ole voitu vielä tuolloin poistaa.
Rekisterinpitäjä toteaa, että kuulemiskirjeessä ei ole käsitelty rekisterinpitäjän säilytysaikojen perusteita millään tavalla. Rekisterinpitäjän mukaan sillä on ollut selkeästi peruste säilyttää henkilötietoja, ja rekisterinpitäjä on antanut vastauksessaan selkeitä esimerkkejä tilanteista, jolloin henkilötietojen säilyttäminen on tarpeen myös muulla kuin lakisääteisellä perusteella. Rekisterinpitäjän mukaan se on lähettänyt rekisteröidylle vahvistuksen tietojen poistamisesta 21.3.2022.
Oikeudellisista seikoista
Rekisterinpitäjä kiinnittää selvityksessään huomiota siihen, että kuulemispyynnössä rekisterinpitäjän virheiden on katsottu olevan toistuvia. Rekisterinpitäjän mukaan se käsittelee miljoonia asiakastietoja päivittäin ja investoi jatkuvasti kehittääkseen järjestelmiään ja henkilöstöään. Rekisterinpitäjän mukaan on selvää, että useasta lainsäädännöstä johtuvien velvoitteiden vuoksi käsittelyä joudutaan välillä tekemään myös manuaalisesti ja että tästä johtuen virheitä voi myös sattua. Rekisterinpitäjän mukaan on siksi kohtuutonta, että tietosuojavaltuutettu katsoo rekisterinpitäjän toimineen toistuvasti tietosuoja-asetuksen vastaisesti muutaman tapauksen perusteella.
Rekisterinpitäjä katsoo, että hyvän hallinnon periaatteet ja tietosuoja-asetuksen 58 artiklan 4 kohta sekä Euroopan Unionin Perusoikeuskirjan 41 artikla edellyttävät, että viranomainen on hallintoasiassa velvollinen toimimaan puolueettomasti ja oikeudenmukaisesti. Todetessaan että pankki on toistuvasti toiminut 12 artiklan 3 ja 4 kohdissa säädetyn vastaisesti, tietosuojavaltuutettu on rekisterinpitäjän näkemyksen mukaan olettanut rekisterinpitäjän toimivan vastaavissa tällaisissa jatkuvasti virheellisesti kahden tapauksen perusteella. Rekisterinpitäjän mukaan tämä ei kuitenkaan perustu mihinkään muuhun kuin kahteen tapaukseen joissa molemmissa tapauksissa kysymys on pitkälti inhimillisestä virheestä, joiden korjaamiseen rekisterinpitäjä on ryhtynyt heti saatuaan tiedon virheestä.
Rekisterinpitäjän mukaan se toteutti vuonna 2020 lähes 500 rekisteröidyn oikeuksiin liittyvää pyyntöä Pohjoismaissa ja Suomessa yli 200 pyyntöä. Rekisterinpitäjän mukaan se toteuttaa keskimäärin pyynnön kymmenen päivän aikana. Tältä osin rekisterinpitäjän mukaan se ei siis ”toistuvasti” jätä rekisteröityjen oikeuksia toteuttamatta, vaan kyse on ollut tässä tapauksessa yksittäisestä virheestä.
Rekisterinpitäjä toteaa, että Eduskunnan hallintovaliokunta on todennut tietosuojalakia koskevassa mietinnössään, että tietosuojasääntely ei perustu ankaraan vastuuseen eikä käännettyyn todistustaakkaan. Tämän vuoksi rekisterinpitäjä katsoo, että tietosuojavaltuutettu ei voi pitää rekisterinpitäjän toimintaa toistuvasti virheellisenä ja rekisteröityjen oikeuksia loukkaavina. Kyseiset yksittäistapaukset ovat tulleet tietosuojavaltuutetun tietoon, mutta samaan aikaan rekisterinpitäjä on toteuttanut merkittävän määrän rekisteröityjen oikeuksia koskevia pyyntöjä tietosuoja-asetuksen mukaisesti.
Rekisterinpitäjä on selvityksessään viitannut kuulemispyyntöön, jossa on todettu, että ”vaikka tietojen poistaminen olisi ollut perusteltua, hakijan aikaisemmin esitetty pyyntö tutustua tietoihin olisi pitänyt toteuttaa ennen, kuin tiedot poistetaan.” Rekisterinpitäjän mukaan se on asiassa 1601/452/18 toimittanut rekisteröidyille otteen henkilötiedoistaan 4.6.2018 ja asiassa 7587/163/20 rekisterinpitäjä on toimittanut rekisteröidylle otteen henkilötiedoistaan 1.3.2021 postitse. Rekisterinpitäjän mukaan kuulemispyynnössä esitetty toteamus on tältä osin virheellinen.
Rekisterinpitäjän käsityksen mukaan rekisteröity on nimenomaan pyytänyt rekisterinpitäjää poistamaan tiedot ja että hän on pitänyt pääsyä tietoihin toissijaisena poistoon nähden. Rekisterinpitäjän mukaan se ryhtyi toteuttamaan rekisteröidyn pyyntöä rekisteröidyn edellyttämällä tavalla. Tämän vuoksi yllä mainittu kuulemispyynnössä esitetty toteamus on rekisterinpitäjän mukaan virheellinen.
Kuulemispyynnössä on katsottu, että rekisterinpitäjä ei ole toteuttanut kummankaan hakijoiden pyyntöä saada henkilötietonsa poistetuksi tietosuoja-asetuksen 17 artiklan 1 kohdan a alakohdan edellyttämällä tavalla. Selvityspyynnössä todetaan, että rekisterinpitäjä toteutti poistopyynnöt vasta sen jälkeen, kun tietosuojavaltuutetun toimisto on ollut rekisterinpitäjään yhteydessä.
Rekisterinpitäjä katsoo, että se ei ole voinut toteuttaa rekisteröidyn pyynnön kuin osin, koska rekisterinpitäjällä on ollut selkeä peruste säilyttää henkilötiedot niiltä osin kuin se on ollut jonkin muun perusteen kuin alkuperäisen asiakassuhteen osalta tarpeellista. Rekisterinpitäjän mukaan asiassa 7587/163/20 on ollut kysymys siitä, että perustetta tietojen poistamiselle ei ole ollut. Asiassa 1601/452/18 rekisterinpitäjä on selvityksensä mukaan säilyttänyt tiedot yksittäisen virheen vuoksi, joka on korjattu.
Kuulemispyynnössä on katsottu, että molemmissa tapauksissa oikeus saada henkilötietonsa poistetuksi olisi voitu toteuttaa siltä osin, kun henkilötietoja ei enää tarvittu, mutta rekisterinpitäjä toteutti hakijoiden poistopyynnöt vasta sen jälkeen, kun tietosuojavaltuutetun toimisto oli ollut rekisterinpitäjään yhteydessä. Rekisterinpitäjä katsoo, että sillä ei ollut riittävästi tietoa tietojen poistamiselle ennen tietosuojavaltuutetun toimiston yhteydenottoa. Rekisterinpitäjä toteaa sillä olleen peruste säilyttää tiedot poistopyynnöstä huolimatta. Rekisterinpitäjän mukaan tietojen poistamiseen on ryhdytty tietosuojavaltuutetun toimiston yhteydenoton myötä, koska on pystytty varmentamaan, että osa tiedoista voidaan poistaa riskiperusteisen arvion mukaisesti. Rekisterinpitäjän mukaan se on ollut yhteydessä rekisteröityihin myös poistopyyntöjen toteuttamisen osalta.
Seuraamuksesta
Rekisterinpitäjä katsoo, että se on ryhtynyt toimiin huomatun virheen korjaamiseksi ja että se on ryhtynyt toimiin nopeasti, kuitenkin viimeistään tietosuojavaltuutetun otettua yhteyttä. Rekisterinpitäjä katsoo myös, että se ei ole ollut toistuvasti ja tarkoituksellisesti huolimaton henkilötietojen käsittelyssä rekisteröityjen poistopyynnön ja henkilötietoihin pääsypyynnön osalta. Rekisterinpitäjän mukaan sen toimintaa ei voida oikeuskäytännön valossa pitää tahallisena.
Rekisterinpitäjän mukaan virheen kesto, luonne ja vakavuus ei ole merkittävä. Rekisterinpitäjän mukaan rekisteröityjen oikeudet eivät ole merkittävästi vaarantuneet virheen seurauksena, eikä asiasta ei ole myöskään aiheutunut rekisteröidyille taloudellisia vaikutuksia.
Rekisterinpitäjän mukaan sen virheessä on kysymys inhimillisestä virheestä pankin palveluissa. Kuten edellä on todettu, tavanomaisesti rekisterinpitäjä toteuttaa rekisteröityjen pyynnöt kymmenen päivän aikana eli selvästi tietosuoja-asetuksen edellyttämässä aikataulussa ja laajuudessa. Kyseessä ei siis ole rekisterinpitäjän tietoisesta tai tuottamuksellisesta menettelystä rekisteröityjen oikeuksien toteuttamisessa.
Tämän lisäksi rekisterinpitäjä toteaa ryhtyneensä korjaaviin toimenpiteisiin virheen huomattuaan, joka on osittain rekisterinpitäjän mukaan johtunut siitä, että asia on tullut todellisuudessa pankin tietoon vasta asian tietosuojavaltuutetun kautta, koska rekisteröity ei ole tehnyt pyyntöä turvallisesti varmennettavalla tavalla.
Lisäksi kyseessä on rekisterinpitäjän työntekijän tekemä inhimillinen virhe niin poistossa kuin tavassa jolla rekisteröityjen oikeudet on toteutettu. Tältä osin kyse ei ole rekisterinpitäjän mukaan järjestelmällisestä virheestä vaan tilanteesta, joka on valitettavasti mahdollista johtuen rekisterinpitäjän korkeista asiakasmääristä.
Rekisterinpitäjän mukaan sen virheellisen menettelyn kohteena on ollut hyvin tavanomaisia henkilötietoja, kuten nimi, osoite ja puhelinnumero. Näitä osin tietojen luonne on ollut rekisterinpitäjän mukaan sellainen, mikä ei aiheuta merkittäviä oikeudenmenetyksiä rekisteröidylle. Lisäksi molemmissa tapauksissa on ollut rekisterinpitäjän mukaan kyse yhteensä kahden rekisteröidyn tiedoista, joten kyseessä on myös siltä osin vähäinen virhe.
Rekisterinpitäjä katsoo, että seuraamuskollegion ei tulisi määrätä sille hallinnollista seuraamusmaksua asiassa, vaan korkeintaan tietosuoja-asetuksen 58 artiklan mukainen huomautus.
Rekisterinpitäjä on ilmoittanut, että vuonna 2021 pankin kanssa samaan konserniin kuuluvien yhtiöiden yhteenlaskettu vuotuinen liikevaihto oli 11.502 miljoonaa euroa. Rekisterinpitäjän mukaan liikevaihto ei sisällä rahoitusvelkojen negatiivista korkokulua, koska se on luonteeltaan kustannuserä.
Asian rajat ylittävän luonteen arviointi
Rekisterinpitäjän päätoimipaikka sijaitsee Suomessa, mutta rekisterinpitäjällä on toimipaikkoja useammassa jäsenmaassa. Asiassa on siis ollut tarpeellista arvioida sitä, liittyykö selvityksen kohteena oleva henkilötietojen käsittely rekisterinpitäjän toimipaikkoihin muissa EU/ETA maissa ja vaikuttaako selvityksen kohteena oleva henkilötietojen käsittely mahdollisesti merkittävästi muissa EU/ETA maissa oleviin rekisteröityihin. Rekisterinpitäjä on 2.12.2021 antamassaan selvityksessä todennut, että arvioinnin kohteena olevat rekisteröidyn oikeuksien toteuttamiseen liittyvät rekisterinpitäjän toimintatavat ja ohjeet on määritelty Suomessa rekisterinpitäjän toimesta. Rekisterinpitäjän käsityksen mukaan arvioinnin kohteena oleva henkilötietojen käsittely ei vaikuta merkittävästi rekisteröityihin muissa EU/ETA maissa. Rekisterinpitäjän mukaan sillä on erilliset toimintaohjeet arvioinnin kohteena oleville rekisteröidyn oikeuksille muissa pohjoismaissa.
Rekisterinpitäjältä saadun selvityksen perusteella voidaan todeta, että vireille saatettu asia liittyy ainoastaan rekisterinpitäjän Suomessa sijaitsevaan toimipaikkaan, eikä rekisterinpitäjän toimintatavalla hakijan oikeuksien toteuttamisessa ole ollut merkittäviä vaikutuksia rekisteröityihin muissa jäsenmaissa. Näin ollen tietosuojavaltuutettu katsoo, että kysymyksessä oleva asia voidaan käsitellä 56 artiklan 2 kohdan mukaisesti paikallisesti.
Oikeudellinen kysymys
Hakijan asiaan liittyy seuraavat oikeudelliset kysymykset:
1) onko rekisterinpitäjän toiminta hakijan tietosuoja-asetuksen mukaisen poisto-oikeuden toteuttamiseksi täyttänyt tietosuoja-asetuksen 12 artiklan 3 ja 4 kohdissa säädetyt vaatimukset,
2) onko rekisterinpitäjä toteuttanut hakijan oikeuden saada henkilötietonsa poistetuksi tietosuoja-asetuksen 17 artiklan 1 kohdan a alakohdan mukaisesti.
Mikäli henkilötietojen käsittely ei ole ollut tietosuoja-asetuksen säännösten mukaista, asiassa on ratkaistavana se, mikä tietosuoja-asetuksen 58 artiklan 2 kohdan mukainen seuraamus toiminnasta on määrättävä.
Tietosuojavaltuutetun päätös
Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut seuraavia yleisen tietosuoja-asetuksen kohtia: 1) 12 artiklan 3 ja 4 kohdat 2) 17 artiklan 1 kohdan a alakohta.
Huomautus
Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Tietosuojavaltuutettu huomauttaa, että rekisterinpitäjän toiminta hakijan oikeuksien toteuttamiseksi ei täyttänyt tietosuoja-asetuksen 12 artiklan 2–4 kohdissa säädettyjä velvoitteita. Tietosuojavaltuutettu huomauttaa lisäksi, että rekisterinpitäjä ei ole toteuttanut hakijan pyyntöä saada henkilötietonsa poistetuksi tietosuoja-asetuksen 17 artiklan mukaisesti.
Tietosuojavaltuutettu katsoo, että asiassa on ollut kyse yksittäistapauksesta, jonka vuoksi huomautus on riittävä seuraamus. Päätös voidaan kuitenkin ottaa huomioon jatkossa mahdollisten muiden rekisterinpitäjää koskevien valvontatoimenpiteiden yhteydessä.
Perustelut
Oikeuksien toteuttamista koskevat velvoitteet
Tietosuoja-asetuksen 12 artiklassa säädetään rekisteröidyn oikeuksien käyttöä koskevista säännöistä. Artiklan 3 kohdan mukaisesti rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty artiklojen 15–22 nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.
Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on tietosuoja-asetuksen 12 artiklan 4 kohdan mukaan ilmoitettava rekisteröidylle syyt siihen viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Rekisterinpitäjän on myös kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.
Hakija on kertomansa mukaan pyytänyt tietojensa poistoa useaan otteeseen sekä paikan päällä konttorissa, sähköpostitse, että puhelimitse. Rekisterinpitäjältä ja hakijalta saadun selvityksen perusteella tietojen poistaminen ei kuitenkaan onnistunut näiden kanavien kautta. Rekisterinpitäjän mukaan asiakaspalvelun yhteydessä rekisteröityä ei ole osattu opastaa oikealla tavalla tietopyynnön ja poistopyynnön tekemisessä. Rekisterinpitäjä on kuulemispyyntöön antamassaan vastauksessa todennut, että hakijan tiedot on nyt poistettu siltä osin, kun ne voidaan poistaa. Rekisterinpitäjän mukaan se on lähettänyt rekisteröidylle vahvistuksen tietojen poistamisesta maaliskuussa 2022.
Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toteuttanut hakijan oikeutta 12 artiklan 3 ja 4 kohtien ja 27 artiklan mukaisesti ilman aiheetonta viivytystä. Rekisterinpitäjän olisi pitänyt toimittaa hakijalle tiedot toimenpiteistä, joihin on ryhdytty 17 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Siltä osin, kun pyyntöä ei voitu toteuttaa, rekisterinpitäjän olisi tietosuoja-asetuksen 12 artiklan 4 kohdan mukaisesti pitänyt ilmoittaa hakijalle syyt siihen viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta.
Rekisterinpitäjän menettelystä hakijan tietojen poistamiseksi
Tietosuoja-asetuksen 17 artiklassa säädetään rekisteröidyn oikeudesta saada häntä itseään koskevat tietonsa poistetuksi. Säännöksen mukaan rekisteröidyllä on tietyin edellytyksin oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä. Rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä muun muassa silloin, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin (17 artiklan 1 kohdan a alakohta).
Hakija oli päättänyt asiakkuutensa pankissa vuonna 2017 ja pyytänyt tietojensa poistoa. Rekisterinpitäjän mukaan tietojen poistamatta jättäminen on johtunut inhimillisestä erehdyksestä asiakaspalvelussa. Rekisterinpitäjän mukaan hakijalla olleen sijoituspalvelusopimuksen poistaminen edellyttää manuaalisia toimenpiteitä asiakkuutta lopetettaessa. Tässä tapauksessa kyseinen sopimus on kuitenkin jäänyt inhimillisestä virheestä poistamatta.
Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ollut toteuttanut hakijan oikeutta saada tiedot poistetuksi 17 artiklan 1 kohdan a alakohdan edellyttämällä tavalla. Rekisterinpitäjän olisi tullut toteuttaa poistopyyntö siltä osin, kun tietojen säilyttäminen ei enää ollut tarpeellista.
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös ei ole lainvoimainen.