TSV 17.02.2023
Tietosuojavaltutetun määräyksen noudattamatta jättäminen lainvoimaisiin tuomioihin perustuvien maksuhäiriömerkintöjen osalta
Luottotiedot - Maksuhäiriömerkinnät - Määräykset
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 17.02.2023 |
| Diaarinumero: | 310/161/23 |
Tietosuojavaltuutetun ja seuraamuskollegion päätös
Asia
Valvontaviranomaisen määräyksen noudattamatta jättäminen
Rekisterinpitäjä
Suomen Asiakastieto Oy
Asian tausta
1. Tietosuojavaltuutetun toimistossa on ollut käsiteltävänä henkilöluottotietorekistereihin kohdistuvaa virheen oikaisua koskeva kantelu, jonka seurauksena toimistossa käynnistettiin myös oma-aloitteinen valvonta-asia koskien lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen merkitsemistä maksuhäiriömerkinnäksi henkilöluottotietorekistereihin. Asiakokonaisuudessa suoritetun tutkinnan seurauksena tietosuojavaltuutettu ja apulaistietosuojavaltuutettu antoivat 9.11.2021 Oikeusrekisterikeskukselle sekä henkilöluottotietoyhtiöille Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) nojalla määräykset muuttaa toimintatapoja lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen käsittelyssä.
2. Asioissa 834/532/18 ja 8212/161/19 tietosuojavaltuutettu määräsi rekisterinpitäjän poistamaan luottotietorekisteristä sen menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät sekä muuttamaan menettelytapaa lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen merkitsemisessä maksuhäiriömerkinnäksi luottotietorekisteriin.
3. Määräyksen johdosta tietosuojavaltuutetun toimistolle toimittamassaan selvityksessään rekisterinpitäjä totesi, että poistettavaksi määrättyjen tapausten tunnistaminen ja poistaminen luottotietorekisteristä on mahdotonta, sillä Oikeusrekisterikeskus ei pystynyt toimittamaan rekisterinpitäjälle tietoa niistä päätöksistä, jotka se oli aikaisemman toimintatapansa mukaisesti sille toimittanut.
Tietosuojavaltuutetun määräys asioissa 834/532/18 ja 8212/161/19
4. Asioissa 834/532/18 ja 8212/161/19 tietosuojavaltuutettu arvioi rekisterinpitäjän toimintatapaa lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen merkitsemisessä maksuhäiriömerkinnäksi luottotietorekisteriin. Rekisterinpitäjän mukaan päätös Oikeusrekisterikeskuksen luovuttaman lainvoimaiseen tuomioon perustuvan maksuhäiriötiedon rekisteröimisestä maksuhäiriömerkinnäksi luottotietorekisteriin perustui rekisterinpitäjän henkilökunnan tekemään arvioon siitä, kuvaako tuomion tuomiolauselma henkilön maksukykyä tai maksuhaluttomuutta. Rekisterinpitäjän mukaan tämä arviointi oli aina jossain määrin inhimillistä tapauskohtaista harkintaa.
5. Määräyksessä tietosuojavaltuutettu totesi, että tuomioistuimen arvioidessa vastaajan esittämiä perusteita tämän haettua asiassa takaisinsaantia tai kiistettyä riidattomana vireille tulleen kanteen ei rekisterinpitäjän enää tule ryhtyä arvioimaan asian riitaisuutta asiassa annetun tuomion tuomiolauselman perusteella. Mikäli vastaaja on riitauttanut maksuvelvollisuutensa ja tuomioistuin on katsonut aiheelliseksi siirtää asian tavanomaiseen riita-asian menettelyyn, tulisi vastaajalla olla mahdollisuus saada asiansa käsitellyksi ilman maksuhäiriömerkinnän uhkaa. Tietosuojavaltuutettu katsoi, että tällaisessa asiassa annettu tuomio ei täytä maksuhäiriömerkinnän tekemisen perusteena olevaa edellytystä siitä, että merkinnän on osoitettava rekisteröidyn maksukyvyttömyyttä tai maksuhaluttomuutta eikä sitä tule merkitä maksuhäiriömerkinnäksi luottotietorekisteriin.
6. Määräyksessä tietosuojavaltuutettu katsoi, että rekisterinpitäjän valitsema toimintatapa oli johtanut siihen, että se on merkinnyt luottotietorekisteriin maksuhäiriömerkintöjä, joiden perusteena oleva lainvoimaisen tuomion ei voida katsoa kuvaavan rekisteröidyn maksukyvyttömyyttä tai maksuhaluttomuutta luottotietolain 6 §:n 1 momentin edellyttämällä tavalla. Tällaisten maksuhäiriömerkintöjen kohdalla rekisterinpitäjä oli käsitellyt henkilötietoja ilman yleisen tietosuoja-asetuksen 6 artiklan mukaista käsittelyn oikeusperustetta, koska luottotietolaissa säädetyt edellytykset maksuhäiriömerkinnälle eivät olleet täyttyneet.
7. Antamassaan määräyksessä tietosuojavaltuutettu katsoi, että rekisterinpitäjän toimintatapa lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen käsittelyn osalta ei täyttänyt yleisen tietosuoja-asetuksen 25 artiklan 1 kohdan mukaisen sisäänrakennettua tietosuojaa koskevan velvoitteen asettamia edellytyksiä, koska rekisterinpitäjä ei ollut onnistunut panemaan täytäntöön yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaista lainmukaisuuden periaatetta kyseisen velvoitteen edellyttämällä tavalla. Lisäksi tietosuojavaltuutettu katsoi, ettei rekisterinpitäjän toimintatapa ollut myöskään luottotietolain 5 §:n 1 momentin 3 alakohdan mukaisen hyvän luottotietotavan mukainen.
8. Kyseisten rikkomusten johdosta tietosuojavaltuutettu antoi rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen sekä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi. Tietosuojavaltuutettu määräsi rekisterinpitäjän poistamaan luottotietorekisteristä sen menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät sekä muuttamaan menettelytapaa lainvoimaisiin tuomioihin perustuvien maksuhäiriömerkintöjen rekisteröimisessä. Määräyksessä tietosuojavaltuutettu painotti kyseessä olevan henkilötietojen käsittelyn rekisteröidylle aiheuttamia riskejä.
9. Tietosuojavaltuutettu jätti rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen, mutta määräsi toimittamaan selvityksen tehdyistä toimenpiteistä, mukaan lukien luottotietorekisteristä poistettujen maksuhäiriömerkintöjen lukumäärästä, tietosuojavaltuutetun toimistolle 31.1.2022 mennessä, ellei rekisterinpitäjä hae muutosta kyseiseen päätökseen.
Rekisterinpitäjältä määräyksen johdosta saatu selvitys
10. Määräyksen johdosta toimittamassaan selvityksessä rekisterinpitäjä toteaa, Oikeusrekisterikeskuksen asiassa antamaan selvitykseen viitaten, että Oikeusrekisterikeskus on jo muuttanut menettelytapaansa niin, ettei se enää luovuta riitautettua saatavaa tarkoittavalla ratkaisukoodilla ”36” ratkaistuja asioita luottotietoyhtiölle. Oikeusrekisterikeskuksen antamaan selvitykseen vedoten rekisterinpitäjä katsoo, ettei kyseisiä asioita siis enää lainkaan luovutettaisi luottotietotoiminnan harjoittajille, minkä rekisterinpitäjä katsoo jo korjanneen tilannetta.
11. Antamassaan selvityksessä rekisterinpitäjä lisäksi toteaa, että tietosuojavaltuutetun määräyksen johdosta sen käyttöön ottaman menettelyn mukaisesti se rekisteröi maksuhäiriömerkinnäksi luottotietorekisteriin vain ne lainvoimaiset tuomiot, joissa vastaaja on myöntänyt kanteen oikeaksi tai on jättänyt vastaamatta kanteeseen.
12. Rekisterinpitäjän toimittaman selvityksen mukaan maksuhäiriötiedot poistetaan luottotietorekisteristä luottotietolain 18 §:n mukaisesti. Rekisterinpitäjän mukaan Oikeusrekisterikeskuksen aikaisemman toimintatavan johdosta aiheutuneet maksuhäiriömerkinnät ovat jo poistuneet luottotietorekisteristä luottotietolain mukaisten maksuhäiriömerkintöjen säilytysaikojen mukaisesti. Selvityksen mukaan rekisterinpitäjä ei pysty toimittamaan tietoa siitä, kuinka monta lainvoimaisen tuomion perusteella merkittyä maksuhäiriömerkintää se on poistanut manuaalisesti ennen lainmukaisen tallennusajan päättymistä, koska poistettujen maksuhäiriömerkintöjen lukumäärää ei ole seurattu. Selvityksessään rekisterinpitäjä toteaa, ettei laskentaa voida jälkikäteenkään tehdä, koska kyseessä olevat tiedot on poistettu.
13. Selvityksessään rekisterinpitäjä toteaa, ettei Oikeusrekisterikeskus pystynyt toimittamaan rekisterinpitäjälle tietoa niistä päätöksistä, jotka se oli aikaisemman toimintatapansa mukaisesti toimittanut ja tapausten tunnistaminen ja poistaminen luottotietorekisteristä on näin mahdotonta. Rekisterinpitäjän mukaan lainvoimaisiin tuomioihin perustuvia maksuhäiriömerkintöjä on poistettu rekisteröityjen esittämien pyyntöjen mukaisesti.
14. Lisäksi antamassaan selvityksessä rekisterinpitäjä toteaa, ettei se pysty kertomaan kuinka monta tuomiota se on vuoden 2017 jälkeen jättänyt rekisteröimättä sillä perusteella, että se on katsonut asian olleen ”riitainen”. Rekisterinpitäjän mukaan tällaisten asioiden lukumäärää ei ole seurattu. Rekisterinpitäjän mukaan asiaa ei voida jälkikäteen selvittää, sillä kopioita tuomioista ei luonnollisestikaan ole säästetty.
Oikeusrekisterikeskukselta asiassa saatu selvitys
15. Määräyksen johdosta rekisterinpitäjän toimittaman selvityksen tarkempaa arviointia varten tietosuojavaltuutetun toimisto pyysi 11.1.2023 oikeusrekisterikeskukselta selvitystä lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen luovuttamisesta rekisterinpitäjälle.
16. Oikeusrekisterikeskus toimitti tietosuojavaltuutetun toimistolle rekisterinpitäjän käyttölupahakemusta koskevan päätöksen 113/32/10, jonka mukaan Oikeusrekisterikeskus on myöntänyt rekisterinpitäjälle 31.5.2011 luvan saada oikeushallinnon valtakunnallisen tietojärjestelmän ratkaisu- ja päätösilmoitusjärjestelmästä luottotietoina tiedot sellaisista tuomioistuimen lainvoimaisista tuomioista ja yksipuolisista tuomioista, joilla on todettu maksun laiminlyönti. Päätöksen mukaan tiedot luovutetaan luvansaajan käyttöön siinä muodossa kuin ne ovat rekisterissä.
17. Oikeusrekisterikeskuksen antaman selvityksen mukaan Oikeusrekisterikeskus toimittaa rekisterinpitäjälle kerran vuorokaudessa sellaiset tuomiot, jotka se on oikeutettu saamaan. Oikeusrekisterikeskuksen mukaan rekisterinpitäjä voi poimia tästä aineistosta tarpeelliset tiedot käyttöönsä.
18. Oikeusrekisterikeskuksen mukaan käräjäoikeus lähettää yleensä ratkaisun Tuomiorekisteriin samana päivänä kuin on tehnyt asiassa ratkaisun, minkä jälkeen se on luottotietoyhtiöiden saatavilla seuraavana päivänä. Oikeusrekisterikeskuksen mukaan sen luovuttamat ratkaisut ovat rekisterinpitäjän haettavissa Tuomiorekisteristä 10 vuoden ajan ratkaisupäivästä.
Tietosuojavaltuutetun toimiston kuulemis- ja lisätietopyyntö
19. Asiassa saadun selvityksen johdosta rekisterinpitäjälle on 16.1.2023 päivätyllä kuulemispyynnöllä varattu hallintolain 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä esittää näkemys tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosisekoista.
Tapauksen tosiseikat
20. Tietosuojavaltuutetun toimiston kuulemispyynnössä esitettiin seuraavat tosiseikat.
21. Asioissa 834/532/18 ja 8212/161/19 antamassaan määräyksessä tietosuojavaltuutettu katsoi, että rekisterinpitäjän toimintatapa lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen merkitsemisessä maksuhäiriömerkinnäksi luottotietorekisteriin ei täyttänyt yleisen tietosuoja-asetuksen 25 artiklan 1 kohdan mukaisen sisäänrakennettua tietosuojaa koskevan velvoitteen asettamia edellytyksiä. Lisäksi tietosuojavaltuutettu katsoi, ettei rekisterinpitäjän toimintatapa ollut myöskään luottotietolain 5 §:n 1 momentin 3 alakohdan mukaisen hyvän luottotietotavan mukainen.
22. Rikkomusten johdosta tietosuojavaltuutettu antoi rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen sekä 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi. Tietosuojavaltuutettu määräsi rekisterinpitäjän poistamaan luottotietorekisteristä sen menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät.
23. Tietosuojavaltuutettu jätti rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen, mutta määräsi toimittamaan selvityksen tehdyistä toimenpiteistä, mukaan lukien luottotietorekisteristä poistettujen maksuhäiriömerkintöjen lukumäärästä, tietosuojavaltuutetun toimistolle 31.1.2022 mennessä, ellei rekisterinpitäjä hae päätökseen muutosta. Rekisterinpitäjä toimitti pyydetyn selvityksen eikä hakenut tietosuojavaltuutetun päätökseen muutosta.
24. Määräyksen johdosta toimittamassaan selvityksessään rekisterinpitäjä totesi, että tapausten tunnistaminen ja poistaminen luottotietorekisteristä on mahdotonta, koska Oikeusrekisterikeskus ei ollut pystynyt toimittamaan rekisterinpitäjälle tietoa niistä päätöksistä, jotka se oli aikaisemman toimintatapansa mukaisesti toimittanut rekisterinpitäjälle.
25. Lisäksi rekisterinpitäjä totesi, ettei se pysty kertomaan kuinka monta tuomiota se on vuoden 2017 jälkeen jättänyt rekisteröimättä sillä perusteella, että se on katsonut asian olleen ”riitainen”, sillä tällaisten asioiden lukumäärää ei ole seurattu. Rekisterinpitäjän mukaan asiaa ei voida jälkikäteen selvittää, sillä kopioita maksuhäiriömerkintöjen perusteena olevista tuomioista ei luonnollisestikaan ole säästetty.
26. Rekisterinpitäjän käyttölupahakemusta koskevan Oikeusrekisterikeskuksen päätöksen 31.5.2011, 113/32/10 mukaan lainvoimaisiin tuomioihin perustuvat maksuhäiriötiedot luovutetaan luvansaajan käyttöön siinä muodossa kuin ne ovat Tuomiorekisterissä. Oikeusrekisterikeskuksen mukaan sen luovuttamat ratkaisut ovat rekisterinpitäjän haettavissa Tuomiorekisteristä 10 vuoden ajan ratkaisupäivästä.
27. Kuulemispyynnössä rekisterinpitäjältä pyydettiin selvitystä vielä seuraavista seikoista:
1. Kuinka montaa rekisteröityä rikkomus on koskenut? Mikäli tarkkaa lukumäärää ei pystytä antamaan, pyydämme toimittamaan arvion lukumäärästä.
2. Kuinka monta lainvoimaiseen tuomioon perustuvaa maksuhäiriömerkintää rekisterinpitäjän henkilöluottotietorekisterissä on ollut 9.11.2021 ja 16.1.2023? Mikäli tarkkoja lukumääriä ei pystytä antamaan, pyydämme toimittamaan arvion lukumääristä.
Rekisterinpitäjän vastaus kuulemis- ja lisätietopyyntöön
28. Rekisterinpitäjälle on edellä kerrotusti varattu tilaisuus tulla kuulluksi sekä esittää näkemyksensä esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosiseikoista.
29. Rekisterinpitäjälle on varattu mahdollisuus antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.
30. Rekisterinpitäjä on antanut vastauksen kuulemispyyntöön 2.2.2023. Vastauksessaan rekisterinpitäjä kertoo muun muassa seuraavaa.
31. Vastauksessaan rekisterinpitäjä aluksi selventää, että asioissa 834/532/18 ja 8212/161/19 tarkoitetut merkinnät on ollut poistettu rekisteristä jo 9.11.2021, kun tietosuojavaltuutettu antoi asiaa koskevan määräyksen. Se, että tätä asiaa ei selvästi tuotu esiin rekisterinpitäjän toimittamassa selvityksessä johtui rekisterinpitäjän mukaan siitä, että määräystä on tulkittu sen tarkoittavan laajemmin kaikkia mahdollisesti rekisterissä olevia riitaisia asioita.
32. Antamassaan vastauksessa rekisterinpitäjä toteaa, että se on nyt poistanut rekisteristään kaikki lainvoimaiseen tuomioon perustuvat maksuhäiriömerkinnät (luottotietolain 13 § 1. mom. 4. kohta) eikä se toistaiseksi rekisteröi tällä perusteella uusia maksuhäiriömerkintöjä. Rekisterinpitäjä toteaa, että ennen kun se mahdollisesti ryhtyy rekisteröimään uudelleen kyseisiä maksuhäiriömerkintöjä, se tulee varmistamaan menettelyn oikeellisuuden yhdessä tietojen luovuttajan kanssa.
33. Rekisterinpitäjä toteaa vastauksessaan täydentävänsä 28.1.2022 antamaansa selvitystä sillä, että se pystyy nyt kertomaan, että poistettuja riitaisia saatavia koskevia päätöksiä on vuosina 2019–2022 ollut rekisterissä 6 kpl. Näistä neljässä tapauksessa rekisterinpitäjä on itse todennut asian riitaisuuden ja kahdessa tapauksessa käräjäoikeus on ollut rekisterinpitäjään yhteydessä ja ilmoittanut merkinneensä asiaan väärän ratkaisukoodin.
34. Rekisterinpitäjä tulkitsee nyt syyn tähän seuraamusmaksuharkintaan olevan sen, että rekisterinpitäjä on lausunut ”että tapausten tunnistaminen ja poistaminen luottotietorekisteristä on mahdotonta” tarkoittaen, että ilman Oikeusrekisterikeskuksen myötävaikutusta rekisterissä vielä mahdollisesti olevien ”riitaisten” tapausten löytäminen ja poistaminen on mahdotonta. Rekisterinpitäjä ei tällöin ole vastannut tietosuojavaltuutetun määräykseen toimittaa tieto poistettujen maksuhäiriömerkintöjen lukumäärästä. Rekisterinpitäjä pystyy nyt kertomaan, että poistettuja riitaisia saatavia koskevia merkintöjä on vuosina 2019–2022 ollut rekisterissä 6 kpl.
35. Rekisterinpitäjän mukaan sille on ollut epäselvää, mikä kyseessä olevien määräysten sisältö on ollut. Rekisterinpitäjän mukaan, jos määräyksellä on tarkoitettu vain asioissa 834/532/18 ja 8212/161/19 käsiteltyjä yhtä henkilöä koskevia maksuhäiriömerkintöjä, olivat kyseiset maksuhäiriömerkinnät poistettu luottotietorekisteristä jo ennen 9.11.2021. Rekisterinpitäjä katsoo, että se ei näin ole jättänyt noudattamatta annettua määräystä.
36. Rekisterinpitäjän mukaan se oli ymmärtänyt kuitenkin määräyksellä tarkoitetun laajemmin sitä, onko rekisteristä poistettu varmasti kaikki mahdolliset riita-asioihin perustuvat maksuhäiriömerkinnät eli muutkin kuin kyseistä tiettyä rekisteröityä koskevat maksuhäiriömerkinnät. Koska tästä ei tuona aikana ollut varmuutta ja sen selvittäminen tuntui jälkikäteen mahdottomalta, rekisterinpitäjä ei vastannut selvästi, että kyseisissä päätöksissä tarkoitetut merkinnät oli jo poistettu.
37. Toisin kuin asian esittelijä, rekisterinpitäjä katsoo edellä esitetyin perustein, ettei rikkominen ole jatkunut päätöksen antamisen jälkeen kyseisissä päätöksissä tarkoitetuissa tapauksissa. Rekisterinpitäjä toteaa, että se on pitänyt käytännössä mahdottomana löytää rekisteristään jälkikäteen mahdollisesti riitaisia asioita koskevia päätöksiä. Rekisterinpitäjä ei ole pitänyt tarpeellisena valittamista, koska kyseisissä tapauksissa tarkoitetut merkinnät oli jo poistettu.
38. Rekisterinpitäjän mukaan se, että päätökset ovat 10 vuotta haettavissa Tuomiorekisteristä ei auta sen selvittämisessä, mitä luottotietorekisterissä olleista merkinnöistä ei olisi saanut rekisteröidä. Rekisterinpitäjä ei ole voinut tietää mitä tietoja ja päätöksiä se olisi Tuomiorekisteristä hakenut. Rekisterinpitäjän mukaan on mahdoton ajatus, että sen olisi pitänyt lukea uudelleen kaikki sille luovutetut päätökset, tehdä uudelleen arvio kunkin päätöksen rekisteröimiskelpoisuudesta, tarkistaa onko asia mahdollisesti rekisteröity maksuhäiriömerkinnäksi ja tarvittaessa poistaa merkintä tämän arvion jälkeen.
39. Rekisterinpitäjän mukaan sen seikan, että rekisteripitäjä ei 28.1.2022 antamassaan selvityksessä ole antanut luottotietorekisteristä riitaisena poistettujen maksuhäiriöiden lukumäärää, ei voi pitää sellaisenaan perusteena hallinnollisen seuraamusmaksun määräämiselle. Rekisteripitäjä toteaa, että se on nyt antanut tämän lukumäärän vastatessaan tietosuojavaltuutetun toimiston kuulemispyyntöön.
40. Vastauksessaan rekisterinpitäjä viittaa kuulemispyynnössä lausuttuun koskien sitä, että koodin 36 käyttöönoton jälkeenkin luottotietoyhtiöille on luovutettu tietoja, jotka eivät täytä luottotietolain maksuhäiriömerkinnän edellytyksiä. Rekisterinpitäjä toteaa, että tietosuojavaltuutettu ei ole osoittanut, että rekisteripitäjä olisi tällaisia kuitenkaan rekisteröinyt (kahta tapausta lukuun ottamatta, jotka johtuivat käräjäoikeuden virheellisesti merkitsemästä koodista) maksuhäiriöiksi tai ettei se olisi poistanut niitä 28.1.2022 mennessä. Rekisterinpitäjän mukaan se, että Oikeusrekisterikeskus on luovuttanut tietoja, jotka eivät täytä rekisteröinnin edellytyksiä, ei kerro siitä, että rekisterinpitäjä olisi ne rekisteröinyt, koska käytössä on myös manuaalisia tarkistuksia.
41. Vastauksessaan rekisterinpitäjä lausuu kuulemispyynnössä esiin nostetusta rekisterinpitäjän asioissa 834/532/18 ja 8212/161/19 antamissa selvityksissä ilmenneestä ristiriitaisuudesta. Kuulemispyynnön mukaan antamassaan selvityksessä ”rekisterinpitäjä kertoi, että Oikeusrekisterikeskuksen sille luovuttamat tiedot sisältävät pois seulottavia tietoja vain harvoin eikä tallaisia tietoja sisältynyt aikavälille, jonka osalta tietoja pyydettiin toimittamaan tietosuojavaltuutetun toimistoon” ja ”vastineessa rekisterinpitäjä kuitenkin ilmoitti, että se ei ollut merkinnyt maksuhäiriömerkintää luottotietorekisteriin kolmen vastinepyynnössä eritellyn ratkaisun kohdalla.”
42. Rekisterinpitäjä toteaa vastauksessaan, että nimenomaista rekisteriä siitä, kuinka monta päätöstä ei ole rekisteröity, ei ole pidetty. Rekisterinpitäjän mukaan asiaa on jälkikäteen eri tavoin selvitetty. Rekisterinpitäjän mukaan epähuomiossa annettu eri dokumentissa annettu erilainen vastaus ei osoita, että rekisterinpitäjän tietosuoja-asetuksen 83 artiklan 2 kohdan f alakohdassa tarkoitettu ”yhteistyön aste” valvontaviranomaisen kanssa olisi alentunut.
43. Edellä esitettyihin esiin nostamiinsa seikkoihin viitaten rekisterinpitäjä ei pidä seuraamusmaksun määräämistä asiassa oikeasuhtaisena. Tältä osin rekisterinpitäjä on tuonut vastauksessaan esiin yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a-k alakohtien soveltamiseen liittyviä seikkoja, jotka tietosuojavaltuutetun toimiston seuraamuskollegion tulisi rekisterinpitäjän näkemyksen mukaan ottaa huomioon seuraamusta koskevaa ratkaisua tehdessään. Kyseiset seikat tuodaan esiin seuraamuskollegion päätöksen osiossa Perustelut hallinnollisen seuraamusmaksun määräämiselle, jossa seuraamuskollegio arvioi kullekin 83 artiklan 2 kohdan alakohdan mukaiselle seikalle seuraamusharkinnassa annettavaa painoarvoa.
44. Rekisterinpitäjän mukaan sillä ei ole tässä asiassa tarkoitettua toimintaa eli vastaavaan sääntelyyn perustuvaa henkilötietojen käsittelyä Suomen ulkopuolella.
45. Rekisterinpitäjältä tiedusteltiin, kuinka montaa rekisteröityä rikkomus on koskenut. Rekisterinpitäjän mukaan vuosina 2019–2021 se on poistanut kuusi maksuhäiriömerkintää, jotka ovat perustuneet riita-asiaan. Rekisterinpitäjän mukaan näistä kahdessa tapauksessa on ollut väärä ratkaisukoodi käräjäoikeuden tekemänä. Vastauksessaan rekisterinpitäjä korostaa sitä, että rikkomus ei koske kaikkia ”Lainvoimainen tuomio” merkintöjä. Rekisterinpitäjän mukaan se on poistanut useampiakin merkintöjä. Näissä tapauksissa oikaisun syynä on kuitenkin ollut esimerkiksi se, että maksuhäiriön taustalla ollut velka on maksettu ennen tuomion antamista.
46. Rekisterinpitäjältä tiedusteltiin lisäksi, kuinka monta lainvoimaiseen tuomioon perustuvaa maksuhäiriömerkintää rekisterinpitäjän henkilöluottotietorekisterissä on ollut 9.11.2021 ja 16.1.2023. Rekisterinpitäjän 9.11.2021 merkintöjä on ollut 14285 ja puolestaan 16.1.2023 merkintöjä on ollut 8782. Rekisterinpitäjän mukaan nämä merkinnät on nyt poistettu. Rekisterinpitäjä toimitti lisäksi sen vuoden 2021 tilinpäätöksen sekä arvion vuoden 2022 liikevaihdosta.
Sovellettava lainsäädäntö
47. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaan valvontaviranomaisella on korjaava toimivaltuus määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet tämän asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.
48. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukaan valvontaviranomaisella on korjaava toimivaltuus määrätä 83 artiklan nojalla hallinnollinen seuraamusmaksu 58 artiklan 2 kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen.
49. Yleisen tietosuoja-asetuksen 83 artiklan 6 kohdan mukaan edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Oikeudellinen kysymys
50. Tietosuojavaltuutettu ratkaisee yleisen tietosuoja-asetuksen ja tietosuojalain nojalla seuraavan oikeudellisen kysymyksen:
i. Onko rekisterinpitäjä jättänyt noudattamatta tietosuojavaltuutetun 9.11.2021 asioissa 834/532/18 ja 8212/161/19 antamaa määräystä, jolla tietosuojavaltuutettu määräsi rekisterinpitäjän poistamaan luottotietorekisteristä sen menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät?
51. Mikäli rekisterinpitäjä ei ole noudattanut tietosuojavaltuutetun määräystä, seuraamuskollegion on ratkaistava lisäksi se, tuleeko rekisterinpitäjälle määrätä yleisen tietosuoja-asetuksen 83 artiklan 6 kohdan mukainen hallinnollinen seuraamusmaksu.
Tietosuojavaltuutetun päätös ja perustelut
Päätös
52. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut tietosuojavaltuutetun asioissa 834/532/18 ja 8212/161/19 antamaa määräystä poistaa luottotietorekisteristä rekisterinpitäjän menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät.
53. Tämän vuoksi tietosuojavaltuutettu katsoo, että sen arvioiminen, onko rekisterinpitäjälle määrättävä tietosuojavaltuutetun määräyksen noudattamatta jättämisestä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan nojalla 83 artiklan 6 kohdan mukainen seuraamusmaksu, tulee saattaa seuraamuskollegion arvioitavaksi.
54. Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.
Perustelut
55. Asioissa 834/532/18 ja 8212/161/19 todettujen rikkomusten johdosta tietosuojavaltuutettu antoi 9.11.2021 rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen sekä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi. Tietosuojavaltuutettu määräsi rekisterinpitäjän poistamaan luottotietorekisteristä sen menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät sekä muuttamaan menettelytapaa lainvoimaisiin tuomioihin perustuvien maksuhäiriömerkintöjen rekisteröimisessä.
56. Tietosuojavaltuutettu jätti rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen, mutta määräsi toimittamaan selvityksen tehdyistä toimenpiteistä, mukaan lukien luottotietorekisteristä poistettujen maksuhäiriömerkintöjen lukumäärästä, tietosuojavaltuutetun toimistolle 31.1.2022 mennessä, ellei rekisterinpitäjä hae muutosta kyseiseen päätökseen.
57. Tietosuojavaltuutetun määräyksen johdosta toimittamassaan selvityksessä rekisterinpitäjä totesi, että määräyksen kohteena olleiden maksuhäiriömerkintöjen tunnistaminen ja poistaminen luottotietorekisteristä on mahdotonta, koska Oikeusrekisterikeskus ei ollut pystynyt toimittamaan rekisterinpitäjälle tietoa niistä päätöksistä, jotka se oli aikaisemman toimintatapansa mukaisesti tälle toimittanut.
58. Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä kertoo tälle olleen epäselvää, mikä annetun määräysten sisältö on ollut. Rekisterinpitäjän mukaan maksuhäiriömerkinnät oli poistettu luottotietorekisteristä jo ennen 9.11.2021, jos määräyksellä on tarkoitettu vain asian vireille saattajan maksuhäiriömerkintöjä eikä se näin ole jättänyt noudattamatta annettua määräystä. Rekisterinpitäjä kertoo kuitenkin ymmärtäneensä määräyksen koskeneen kaikkia luottotietorekisteriin mahdollisesti rekisteröityjä riita-asioihin perustuvia maksuhäiriömerkintöjä eli muitakin kuin asian vireille saattajan maksuhäiriömerkintöjä. Koska asiasta ei tuolloin ollut varmuutta ja asian selvittäminen tuntui jälkikäteen mahdottomalta, rekisterinpitäjä ei vastannut selvästi, että kyseisissä päätöksissä tarkoitetut merkinnät oli jo poistettu.
59. Toisin kuin rekisterinpitäjä kuulemispyyntöön antamassaan lausumassa esittää, tietosuojavaltuutetun määräyksestä käy selkeästi ilmi, että asiassa on määrätty poistettavaksi asian vireille saattajan maksuhäiriömerkintöjen lisäksi myös rekisterinpitäjän yleisen menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät. Merkillepantavaa on, että kyseiset kaksi määräystä ovat perustuneet eri toimivaltasäännöksiin. Vireille saattajan maksuhäiriömerkintöjen poistamista koskeva määräys on annettu tuolloin voimassaolleen luottotietolain 35 §:n nojalla . Kaikkien rekisterinpitäjän menettelytavan seurauksena aiheutuneiden virheellisten maksuhäiriömerkintöjen poistamista koskeva määräys on puolestaan annettu yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla.
60. Asiassa on niin ikään huomioitava, että rekisterinpitäjällä olisi ollut mahdollisuus tarvittaessa pyytä tietosuojavaltuutetun määräyksestä lisätietoja lisätietojen antajaksi ilmoitetulta asian esittelijältä.
61. Rekisterinpitäjän mukaan se, että Oikeusrekisterikeskus on luovuttanut sille tietoja, jotka eivät täytä maksuhäiriömerkinnän rekisteröinnin edellytyksiä, ei tarkoita siitä, että rekisterinpitäjä olisi ne rekisteröinyt, koska käytössä on myös manuaalisia tarkistuksia. Rekisterinpitäjän mukaan tietosuojavaltuutettu ei ole osoittanut, että rekisteripitäjä olisi tällaisia kuitenkaan rekisteröinyt (kahta tapausta lukuun ottamatta, jotka johtuivat käräjäoikeuden virheellisesti merkitsemästä koodista) maksuhäiriöiksi tai ettei se olisi poistanut niitä 28.1.2022 mennessä.
62. Tietosuojavaltuutettu katsoo, että rekisterinpitäjällä käytössä olleet manuaaliset tarkistukset eivät ole taanneet sitä, että Oikeusrekisterikeskuksen virheellisesti rekisterinpitäjälle luovuttamia maksuhäiriötietoja ei olisi merkitty maksuhäiriömerkinnäksi luottotietorekisteriin.
63. Edellä mainitun osalta tietosuojavaltuutettu viittaa siihen, että rekisterinpitäjälle annetussa määräyksessä nimenomaisesti todettiin, että rekisterinpitäjän valitsema toimintatapa arvioida maksuhäiriömerkinnän edellytysten täyttymistä tapauskohtaisesti tuomioiden tuomiolauselmien perusteella oli johtanut siihen, että se on merkinnyt luottotietorekisteriin maksuhäiriömerkintöjä, jotka eivät täyttäneet maksuhäiriömerkinnän edellytyksiä. Asiassa virheellisten maksuhäiriömerkintöjen aiheutumisen katsottiin olleen seurausta rekisterinpitäjän systemaattisesta toimintatavasta, eikä asiassa siksi voitu katsoa olevan kyse vain yksittäistä rekisteröityä koskevista virheistä.
64. Tämän osalta tietosuojavaltuutettu kiinnittää huomiota myös siihen, että määräyksen seurauksena rekisterinpitäjä ilmoitti 28.1.2022 muuttaneensa toimintatapaansa lainvoimaisiin tuomioihin perustuvien maksuhäiriömerkintöjen rekisteröimisessä. Huomioiden viranomaisen toteamia maksuhäiriötietoja koskevan luottotietolain 18 §:n 1 momentin 6 kohdan mukaisen korkeintaan kolmen vuoden mittaisen säilytysajan, ennen tuota ajankohtaa luottotietorekisteriin merkittyjen lainvoimaisiin tuomioihin perustuvien maksuhäiriömerkintöjen säilyttämisaika on ollut vielä kesken rekisterinpitäjän poistettua kaikki ko. perusteeseen perustuvat maksuhäiriömerkinnät tietosuojavaltuutetun toimiston kuulemispyynnön seurauksena.
65. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä on yhtynyt tietosuojavaltuutetun näkemykseen asiassa, koska se ei ole hakenut tietosuojavaltuutetun päätökseen tai siihen sisältyvään määräykseen muutosta. Selvitys määräyksen johdosta toteutetuista toimenpiteistä määrättiin toimittamaan ainoastaan siinä tapauksessa, jos rekisterinpitäjä ei hae muutosta päätökseen, jolla määräys annettiin.
66. Edellä esitetyin perustein tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitettua tietosuojavaltuutetun määräystä poistaa luottotietorekisteristä sen virheellisen menettelytavan johdosta aiheutuneet virheelliset maksuhäiriömerkinnät.
Päätöksen on tehnyt tietosuojavaltuutettu Anu Talus ja sen on esitellyt ylitarkastaja Silja Kantonen.
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.
Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta
Rekisterinpitäjä
Suomen Asiakastieto Oy
Päätös
67. Rekisterinpitäjälle määrätään hallinnollinen seuraamusmaksu yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä yleisen tietosuoja-asetuksen 83 artiklan 6 kohdan mukaisesti. Asiassa määrättävä seuraamusmaksu on siten korkeamman seuraamusmaksuluokan mukainen.
68. Yleisen tietosuoja-asetuksen 83 artiklassa säädetään hallinnollisen seuraamusmaksun määräämisen yleisistä edellytyksistä. Artiklan 1 kohdan mukaan hallinnollisen seuraamusmaksun määräämisen on oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhtaista ja varoittavaa. Hallinnollisen seuraamusmaksun määräämisestä ja määrästä päätettäessä on jokaisessa yksittäistapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa luetellut seikat.
69. Rekisterinpitäjän vuoden 2021 liikevaihto on ollut 65 500 000 euroa. Nyt kyseessä olevassa tapauksessa rekisterinpitäjälle määrättävä hallinnollinen seuraamusmaksu saa olla enintään 20 000 000 euroa.
70. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio määrää rekisterinpitäjän maksamaan valtiolle 440 000 euron suuruisen hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan 6 kohdan nojalla.
Perustelut hallinnollisen seuraamusmaksun määräämiselle
Sovellettava lainsäädäntö
71. Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen yleisen tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.
72. Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:
a) rikkomuksen luonne, vakavuus ja kesto huomioon ottaen kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus, sekä niiden rekisteröityjen lukumäärä, joihin rikkomus vaikuttaa, ja heille aiheutuneen vahingon suuruus;
b) rikkomuksen tahallisuus tai tuottamuksellisuus;
c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi;
d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet;
e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomukset;
f) yhteistyön määrä valvontaviranomaisen kanssa rikkomuksen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;
g) henkilötietoryhmät, joihin rikkomus vaikuttaa;
h) tapa, jolla rikkomus tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomuksesta ja missä laajuudessa;
i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;
j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja
k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot.
73. Yleisen tietosuoja-asetuksen 83 artiklan 6 kohdan mukaan edellä 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Rikkomisen vakavuutta koskeva arviointi
74. Rikkomisen vakavuutta koskevassa arvioinnissa otetaan huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a, b ja g alakohdat.
Rikkomuksen luonne
75. Rekisterinpitäjän kuulemispyyntöön antaman vastauksen mukaan rekisterinpitäjä on todennut rikkomuksessa olevan kyse tahattomasta virheestä lain tulkinnassa. Tältä osin seuraamuskollegio katsoo rekisterinpitäjän viittaavan rikkomuksiin, jotka tietosuojavaltuutettu totesi asioissa 834/532/18 ja 8212/161/19. Asioissa antamaansa määräykseen liittyvässä seuraamusharkinnassa tietosuojavaltuutettu otti muun ohella huomioon tuolloin voimassa olleen luottotietolain 13 § 1 momentin 3 kohdan tulkinnanvaraisuuden ja katsoi, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus oli asiassa riittävä seuraamus.
76. Toisin kuin rekisterinpitäjä, seuraamuskollegio katsoo, että rikkomuksen luonteen osalta nyt käsillä olevassa asiassa on kyse valvontaviranomaisen antaman määräyksen noudattamatta jättämisestä. Tältä osin seuraamuskollegio kiinnittää huomiota siihen, että tietosuojaviranomaisille annettujen yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisten korjaavien toimivaltuuksien tehtävänä on varmistaa yleisen tietosuoja-asetuksen tehokas täytäntöönpano kaikkialla unionissa.
77. Jos rekisterinpitäjä voisi jättää noudattamatta valvontaviranomaisen antamaa määräystä ilman asianmukaista seuraamusta, vaarantuisi yleisen tietosuoja-asetuksen tehokas ja yhdenmukainen täytäntöönpano, mikä aiheuttaisi merkittävän riskin rekisteröityjen oikeuksille ja vapauksille. Tietosuojavaltuutetun antaman määräyksen tarkoituksena on ollut varmistaa, että rekisterinpitäjä käsittelee vain sellaisia henkilötietoja, joita sillä on lainsäädännön nojalla peruste käsitellä. Käytännössä tämä tarkoittaa sitä, että rekisteröityjä arvioitaisiin oikeiden tietojen perusteella. Tämä ei ole toteutunut, koska rekisterinpitäjä ei ole noudattanut tietosuojavaltuutetun määräystä. Seuraamuskollegio katsoo tämän seikan puoltavan hallinnollisen seuraamusmaksun määräämistä.
Rikkomuksen vakavuus
78. Rikkomuksen vakavuutta koskevan arvioin kohdalla on huomioitava kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus.
79. Henkilötietojen käsittelyn luonteen osalta seuraamuskollegio kiinnittää huomiota siihen, että luottotietorekisteriin rekisteröitävällä maksuhäiriömerkinnällä on tyypillisesti merkittäviä ja laaja-alaisia vaikutuksia rekisteröidyn oikeuksille ja vapauksille. Maksuhäiriömerkinnän johdosta esimerkiksi rekisteröidyn luottokorttia voidaan vaatia palautettavaksi sekä uuden luoton, vuokra-asunnon ja kotivakuutuksen saanti todennäköisesti vaikeutuu. Myös työpaikan saanti voi vaikeutua, mikäli työtehtävään liittyy taloudellista vastuuta.
80. Asioissa 834/532/18 ja 8212/161/19 antamassaan määräyksessä tietosuojavaltuutettu katsoi maksuhäiriömerkinnästä rekisteröidylle aiheutuvien vaikutusten olevan niin laajoja, että lainvoimaisesta tuomiosta asian vastaajalle mahdollisesti aiheutuva maksuhäiriömerkintä voi vähentää vastaajan mahdollisuuksia ja halua puolustaa asiaansa oikeudessa. Mahdollisuus saada riita-asiassa tuomioistuimen arvio maksuvelvollisuudesta voi vaarantua, mikäli mahdollinen langettava tuomio voi johtaa maksuhäiriömerkintään.
81. Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä toteaa tietosuojavaltuutetun päättelyn olevan sen näkemyksen mukaan virheellinen. Rekisterinpitäjän mukaan tuomion antamisen jälkeen tapahtuva rekisterinpitäjän toiminta ei vähennä vastaajan mahdollisuutta saada riita-asiassa tuomioistuimen arvio. Rekisterinpitäjän mukaan vastaaja on saanut mahdollisuuden, vaikka päätös olisikin yksittäistapauksissa merkitty virheellisesti maksuhäiriömerkinnäksi luottotietorekisteriin.
82. Mikäli rekisterinpitäjä edelleen merkitsisi tuomioistuimen lainvoimaiseen tuomioon perustuvan maksuhäiriömerkinnän luottotietorekisteriin rekisterinpitäjän henkilökunnan tekemän tuomion tuomiolauselman tapauskohtaisen arvion perusteella, aiheutuisi henkilötietojen käsittelystä rekisteröidyille edellä kuvattu riski.
83. Tämän seikan osalta seuraamuskollegio kiinnittää huomiota kuitenkin siihen, että tietosuojavaltuutetun antaman määräyksen johdosta antamassaan selvityksessä rekisterinpitäjä ilmoitti muuttaneensa toimintatapaansa lainvoimaisiin tuomioihin perustuvien maksuhäiriömerkintöjen rekisteröinnissä. Kyseisen toimintatavan muutoksen sekä luottotietolain 13 §:n 1 momentin 3 kohtaan tehdyn 1.6.2022 voimaantuleen muutoksen myötä, tämä riski ei ole enää käsillä olevan asian arvioinnin kannalta relevantti.
84. Seuraamuskollegio kuitenkin kiinnittää huomiota siihen, että rekisterinpitäjällä aiemmin käytössä olleen menettelytavan seurauksena luottotietorekisteriin virheellisesti merkityt maksuhäiriömerkinnät ovat voineet vaikuttaa muun muassa rekisteröityjen mahdollisuuteen saada luottoa, vuokra-asunto tai työpaikka, kuten edellä on esitetty.
85. Henkilötietojen käsittelyn luonteen osalta rekisterinpitäjä katsoo luottotietotoiminnan olevan yleisen edun mukaista toimintaa, joka luonteensa puolesta voi olla laajaa. Seuraamuskollegio katsoo, että henkilötietojen käsittelyn luonteen osalta on myös huomioitava, että kyseessä oleva henkilötietojen käsittely tapahtuu osana rekisterinpitäjän yritystoimintaa, joka perustuu henkilötietojen laajamittaiseen käsittelyyn.
86. Henkilötietojen käsittelyn laajuuden osalta seuraamuskollegio kiinnittää huomiota siihen, että asioissa 834/532/18 ja 8212/161/19 antamassa määräyksessä tietosuojavaltuutettu katsoi oikeushallinnon valtakunnallisesta tietojärjestelmästä luovutettavien maksuhäiriötietojen merkitsemissä maksuhäiriömerkinnöiksi luottotietorekisteriin olevan kyse laajamittaisesta henkilötietojen käsittelystä. Maksuhäiriötiedot luovutetaan valtakunnallisesta tietojärjestelmästä teknisen rajapinnan kautta päivittäin kyseessä olevalle valtakunnallisesti luottotietotoimintaa harjoittavalle rekisterinpitäjälle luottotietorekisteriin merkittäväksi.
87. Seuraamuskollegio kiinnittää niin ikään käsittelyn laajuuden osalta huomiota siihen, että luottotietorekisteriin merkittyjä maksuhäiriömerkintöjä luovutetaan laajalti erilaisiin käyttötarkoituksiin. Luottotietolain 19 §:n nojalla kyseessä olevia maksuhäiriötietoja voidaan luovuttaa muun muassa luoton myöntämistä ja luoton valvontaa varten, huoneenvuokrasopimuksen tekemistä varten sekä työnhakijan ja työntekijän arvioimista varten.
88. Henkilötietojen käsittelyn tarkoituksen osalta seuraamuskollegio kiinnittää huomiota siihen, että maksuhäiriötietojen merkitsemisessä maksuhäiriömerkinnäksi sekä niiden luovuttamisessa luottotietoina käytettäväksi on kyse rekisterinpitäjän ydintoiminnasta. Seuraamuskollegio katsoo tämän seikan yhdessä edellä käsitellyn henkilötietojen käsittelyn luonteen ja laajuuden kanssa ilmentävän rikkomisen vakavuutta ja puoltavan hallinnollisen seuraamusmaksun määräämistä.
89. Rikkomuksen kohteena olleiden rekisteröityjen lukumäärän osalta rekisterinpitäjä on todennut, että virheellinen toiminta ei ole koskenut laajaa henkilöjoukkoa. Rekisterinpitäjän mukaan kyse on vain sellaisista tilanteista, joiden osalta rekisteripitäjä on (nyt todetulla tavalla virheellisesti) katsonut, merkinnän osoittavan maksukyvyttömyyttä tai maksuhaluttomuutta.
90. Rekisteröityjen lukumäärän osalta seuraamuskollegio kiinnittää huomiota siihen, että rekisterinpitäjä on poistanut kaikki lainvoimaisiin tuomioihin perustuvat maksuhäiriömerkinnät vastaanotettuaan tietosuojavaltuutetun toimiston kuulemispyynnön eikä se ole kertomansa mukaan pitänyt kirjaa siitä, kuinka monta riita-asiaan perustunutta maksuhäiriömerkintää se on poistanut luottotietorekisteristä rekisteröityjen pyyntöjen perusteella.
91. Seuraamuskollegio kiinnittää tältä osin lisäksi huomiota siihen, että rekisterinpitäjän antaman selvityksen mukaan sen henkilöluottotietorekisterissä on tietosuojavaltuutetun asioissa 834/532/18 ja 8212/161/19 antaman määräyksen antamisen ajankohtana 9.11.2022 ollut kaiken kaikkiaan 14285 tuomioistuimen lainvoimaiseen tuomioon perustuvaa maksuhäiriömerkintää.
92. Edellä esitettyjen seikkojen lisäksi seuraamuskollegio kiinnittää rekisteröityjen lukumäärän osalta lisäksi huomiota siihen, että antamassaan määräyksessä tietosuojavaltuutettu totesi, että asiassa saadun selvityksen perusteella virheellisten maksuhäiriömerkintöjen aiheutuminen on ollut seurausta rekisterinpitäjän systemaattisesta toimintatavasta, mistä johtuen asiassa ei voida katsoa olevan kyse vain yksittäistä rekisteröityä koskevista virheistä.
93. Rekisteröidyille aiheutuneen vahingon suuruuden osalta rekisterinpitäjä toteaa vastauksessaan kuulemispyyntöön, että asiassa ei ole näytetty aiheutuneen rekisteröidyille vahinkoa. Seuraamuskollegio katsoo, että näyttöä rekisteröidyille aiheutuneesta vahingosta ei voida pitää seuraamusmaksun määräämisen edellytyksenä. Vaikka konkreettista rekisteröidylle aiheutunutta vahinkoa ei ole tullut ilmi, kiinnittää seuraamuskollegio kuitenkin huomiota tältä osin edellä 79 kohdassa käsiteltyihin maksuhäiriömerkinnän rekisteröidylle aiheuttamiin vaikutuksiin.
94. Lisäksi seuraamuskollegio kiinnittää tämän seikan osalta huomiota tietosuojavaltuutetun määräyksessä ratkaistun oikeudellisen kysymyksen monimutkaisuuteen, jonka voidaan katsoa vaikuttaneen rekisteröityjen mahdollisuuksiin valvoa omien oikeuksien ja etujen toteutumista.
Rikkomisen kesto
95. Selvitys määräyksen johdosta toteutetuista toimenpiteistä määrättiin toimittamaan ainoastaan siinä tapauksessa, jos rekisterinpitäjä ei hae muutosta päätökseen, jolla määräys annettiin. Asiassa rekisterinpitäjä ei noudattanut tietosuojavaltuutetun määräystä eikä hakenut tietosuojavaltuutetun päätökseen tai siihen sisältyvään määräykseen muutosta. Rikkomisen on siksi katsottava kestäneen tietosuojavaltuutetun päätöksen lainvoimaiseksi tulosta 20.12.2021 lähtien siihen asti, kunnes rekisterinpitäjä on poistanut kaikki sen henkilöluottotietorekisteriin talletetut lainvoimaisiin tuomioihin perustuvat maksuhäiriömerkinnät tietosuojavaltuutetun kuulemispyynnön seurauksena.
96. Seuraamuskollegio katsoo, että asian käsittelyaika tietosuojavaltuutetun toimistossa on vaikuttanut rikkomisen kestoon. Tämän takia rikkomisen keston ei voida katsoa ilmentävän rikkomisen vakavuutta, eikä tätä oteta huomioon seuraamusmaksuarvioinnissa seuraamusmaksua puoltavana seikkana.
Rikkomisen tahallisuus tai tuottamuksellisuus
97. Rekisterinpitäjän kuulemispyyntöön antaman vastauksen mukaan kyseessä olevassa toiminnassa ei ole ollut tahallisuutta ja kyse on korkeintaan lievästä tuottamuksellisuudesta. Rekisterinpitäjän mukaan asian kannalta relevantin sittemmin kumotun luottotietolain 13 § 1 momentin 3 kohdan tulkinnanvaraisuudella sekä Oikeusrekisterikeskuksen toiminnalla on ollut vaikutusta asiaan. Rekisterinpitäjän mukaan se, että luottotietolain 13 § 1 mom. 3 kohtaan on 2022 lisätty lause ”edellyttäen ettei maksuvaatimusta ollut riitautettu perusteeltaan tai määrältään” osoittaa säännöksen alkuperäisen sanamuodon tulkinnanvaraisuuden.
98. Tältä osin seuraamuskollegio kiinnittää huomiota siihen, että asioissa 834/532/18 ja 8212/161/19 antamaansa määräykseen liittyvässä seuraamusharkinnassa tietosuojavaltuutettu nimenomaisesti otti huomioon rekisterinpitäjän nyt esiin nostamat seikat luottotietolain säännöksen tulkinnanvaraisuudesta sekä Oikeusrekisterikeskuksen toiminnan vaikutuksesta asiakokonaisuuteen. Kyseisiin seikkoihin vedoten tietosuojavaltuutettu katsoi, että yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus oli asiassa riittävä seuraamus.
99. Seuraamuskollegio katsoo, että nyt käsillä olevassa seuraamusharkinnassa ei kuitenkaan ole kyse rikkomuksista, jotka tietosuojavaltuutettu totesi antamassaan määräyksessä. Nyt suoritettava seuraamusharkinta tehdään sen johdosta, että rekisterinpitäjä ei ole noudattanut kyseistä tietosuojavaltuutetun määräystä, jossa tietosuojavaltuutettu on esittänyt näkemyksensä tuolloin voimassaolleen luottotietolain 13 § 1 momentin 3 kohdan tulkinnasta. Rekisterinpitäjän on katsottava yhtyneen tietosuojavaltuutetun näkemykseen asiassa, koska se ei hakenut päätökseen eikä siihen sisältyvään määräykseen muutosta.
100. Tietosuojavaltuutettu määräsi rekisterinpitäjän toimittamaan selvityksen määräyksen johdosta tehdyistä toimenpiteistä, ellei se hae muutosta määräykseen. Rekisterinpitäjän toimittaman selvityksen mukaan tapausten tunnistaminen ja poistaminen oli mahdotonta, koska Oikeusrekisterikeskus ei pystynyt toimittamaan tietoa niistä päätöksistä, jotka se oli virheellisesti luovuttanut rekisterinpitäjälle.
101. Toisin kuin rekisterinpitäjä, seuraamuskollegio katsoo, että virheellisten maksuhäiriömerkintöjen poistaminen olisi ollut mahdollista, koska lainvoimaisiin tuomioihin perustuvat maksuhäiriötiedot luovutetaan rekisterinpitäjän käyttöön siinä muodossa kuin ne ovat Tuomiorekisterissä ja ratkaisut ovat rekisterinpitäjän haettavissa Tuomiorekisteristä 10 vuoden ajan asian ratkaisupäivästä.
102. Seuraamuskollegio kiinnittää tämän seikan osalta huomiota myös siihen, että kuulemispyyntöön antamassaan lausumassa rekisterinpitäjä on kuvannut yhden tavan, jolla virheelliset tapaukset olisi ollut mahdollista tunnistaa. Antamassaan lausumassa rekisterinpitäjä toteaa, että on mahdoton ajatus, että sen olisi pitänyt lukea uudelleen kaikki sille luovutetut päätökset, tehdä uudelleen arvio kunkin siellä olevan päätöksen osalta voisiko sen viedä rekisteriin ja jos katsoo ettei voi, tarkistaa onko se mahdollisesti kuitenkin viety rekisteriin ja jos näin on, poistaa se. Niin ikään on huomioitava se seikka, että kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä on kertonut nyt poistaneensa kaikki lainvoimaisiin tuomioihin perustuvat maksuhäiriömerkinnät.
103. Rikkomuksen tahallisuutta tai tuottamuksellisuutta koskevan arvion osalta seuraamuskollegio viittaa lopuksi tietosuojavaltuutetun päätöksen kohdassa 59 todettuun, jonka mukaan tietosuojavaltuutetun määräyksestä asioissa 834/532/18 ja 8212/161/19 käy selkeästi ilmi, että asiassa on määrätty poistettavaksi asian vireille saattajan maksuhäiriömerkintöjen lisäksi myös rekisterinpitäjän yleisen menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät.
104. Edellä esitetyin perustein seuraamuskollegio katsoo, että rekisterinpitäjä on tehnyt tietoisen päätöksen olla noudattamatta tietosuojavaltuutetun määräystä, mistä johtuen menettelyn on katsottava olevan tahallista. Seuraamuskollegio katsoo tämän seikan puoltavan hallinnollisen seuraamusmaksun määräämistä.
Henkilötietoryhmät, joihin rikkominen vaikuttaa
105. Rikkomuksen kohteena olevien henkilötietoryhmien osalta seuraamuskollegio kiinnittää huomiota siihen, että henkilötietoja, jotka ovat arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Tällaisia henkilötietoryhmiä olisi painotettava myös seuraamusharkinnassa. Seuraamuskollegio katsoo, ettei tämä rajaudu ainoastaan yleisen tietosuoja-asetuksen 9 ja 10 artiklojen soveltamisalaan kuuluviin henkilötietoryhmiin, vaan kattaa myös henkilötietoryhmiä, jotka eivät kuulu kyseisten artiklojen soveltamisalaan, mutta joiden levittäminen aiheuttaisi välittömiä vahinkoja tai ahdistuneisuutta rekisteröidyille.
106. Tuomioistuimen lainvoimaisiin tuomioihin perustuvissa maksuhäiriömerkinnöissä on kyse luottotietolain 3 §:n 1 kohdan mukaisista luottotiedoista. Perustuslakivaliokunnan mukaan joihinkin luottotietoihin voi sisältyä arkaluonteisiin tietoihin rinnastuvia, salassa pidettäviä tietoja esimerkiksi henkilön toiminnasta yksityiselämässä ja taloudellisesta asemasta. Luottotietojen käsittelyyn voi siten liittyä erityisiä riskejä. Valiokunta katsoi luottotietojen käsittelyn laintasoisen yksityiskohtaisen sääntelyn olevan siten tietosuoja-asetuksen puitteissa välttämätöntä.
107. Seuraamuskollegio katsoo, että rikkomuksen kohteena olleissa maksuhäiriömerkinnöissä on kyse perustuslakivaliokunnan tarkoittamista arkaluonteisiin tietoihin rinnastuvista tiedoista, mikä osaltaan puoltaa hallinnollisen seuraamusmaksun määräämistä.
Raskauttavien ja lieventävien tekijöiden arviointi
108. Hallinnollisen seuraamusmaksun määräämisestä ja määrästä päätettäessä on nyt kyseessä olevassa asiassa otettu huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan c – f ja h- i, ja k alakohdat.
Rekisterinpitäjän toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi
109. Rekisteröidyille aiheutuneen vahingon lieventämiseksi toteutettujen toimien osalta rekisterinpitäjä toteaa kuulemispyyntöön antamassaan vastauksessa, että se on poistanut merkintöjä, kun maksuhäiriömerkinnän perusteena oleva riitaisuus on tuotu sen tietoisuuteen. Lisäksi rekisterinpitäjä toteaa, että tapauksessa ei ole osoitettu tai edes väitetty syntyneen vahinkoa rekisteröidyille.
110. Seuraamuskollegio katsoo, ettei rekisterinpitäjän kuvaavia toimenpiteitä voida huomioida seuraamusharkinnassa lieventävänä tekijänä, koska toiminnassa on kyse rekisterinpitäjää koskevien yleisen tietosuoja-asetuksen mukaisten velvoitteiden noudattamisesta. Erityisen huomionarvoista on, että tietosuojavaltuutetun määräys, jonka noudattamatta jättämisestä käsillä olevaa seuraamusharkintaa tehdään, on velvoittanut rekisterinpitäjää poistamaan kyseiset merkinnät ilman rekisteröityjen esittämää pyyntöä tai tuomioistuimesta taikka velkojalta tulevaa ilmoitusta merkinnän aiheettomuudesta.
111. Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä kertoi nyt poistaneensa henkilöluottotietorekisteristään kaikki lainvoimaisiin tuomioihin perustuvat maksuhäiriömerkinnät. Seuraamuskollegio katsoo, että kyseisen rekisterinpitäjän toteuttaman toimenpiteen voidaan katsoa lieventäneen rekisteröidyille rikkomuksen aiheuttamaa vahinkoa. Kyseistä seikkaa ei kuitenkaan voida huomioida seuraamusharkinnassa lieventävänä tekijänä, sillä rekisterinpitäjä on ilmoittanut toteuttaneensa kyseisen toimenpiteen vasta vastaanotettuaan tietosuojavaltuutetun toimiston seuraamusuhkaisen kuulemispyynnön.
Rekisterinpitäjän vastuun aste
112. Rekisterinpitäjän vastuun asteen arvioinnissa on otettava huomioon toimenpiteet, jotka rekisterinpitäjä on toteuttanut yleisen tietosuoja-asetuksen 25 ja 32 artiklan nojalla. Vastuun osalta on arvioitava, missä määrin rekisterinpitäjä on toteuttanut toimenpiteitä, joita sen on voitu odottaa toteuttavan, kun otetaan huomioon käsittelyn luonne, tarkoitus tai laajuus sekä kyseiselle käsittelylle yleisessä tietosuoja-asetuksessa asetetut velvoitteet.
113. Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä toteaa, että sillä on ollut käytössä menettely, jolla päätöksen rekisteröintikelpoisuus on pyritty todentamaan. Rekisterinpitäjän mukaan tässä on yksittäisissä tapauksissa epäonnistuttu. Kyse ei ole ollut nimenomaisesta tarkoituksesta toimia vastain luottotietolain säännöstä. Kun luottotietolaissa on ollut säännös, jonka mukaan lainvoimaisen tuomion voi merkitä rekisteriin, on näin ollut voitava myös tehdä. Kyse on ollut sääntelyn väärin soveltamisesta yksittäisissä tapauksissa.
114. Rekisterinpitäjän esiin nostaman seikan osalta seuraamuskollegio katsoo rekisterinpitäjän viittaavan rikkomuksiin, joita tietosuojavaltuutettu totesi asioissa 834/532/18 ja 8212/161/19 antamassaan määräyksessä. Tämän osalta seuraamuskollegio toistaa jo edellä päätöksen kohdassa 99 todetun koskien sitä, että nyt käsillä olevassa seuraamusharkinnassa ei ole kyse tietosuojavaltuutetun kyseisessä määräyksessä toteamista rikkomuksista. Nyt suoritettava seuraamusharkinta tehdään sen johdosta, että rekisterinpitäjä ei ole noudattanut kyseistä määräystä, jossa tietosuojavaltuutettu on esittänyt näkemyksensä luottotietolain 13 § 1 § momentin 3 kohdan tulkinnasta.
115. Rekisterinpitäjän vastuun astetta koskevassa arvioinnissa on huomioitava, minkä sisältöistä valvontaviranomaisen antamaa määräystä rekisterinpitäjä ei ole noudattanut Tietosuojavaltuutetun määräys koski rekisterinpitäjän vakiintuneen toimintatavan seurauksena aiheutuneita perusteettomia maksuhäiriömerkintöjä. Määräys ei siis ole koskenut esimerkiksi yhden rekisteröidyn oikeuden toteuttamista, vaan rekisterinpitäjän vakiintunutta toimintatapaa. Seuraamuskollegio pitää edellä mainittua seikkaa seuraamusmaksuharkinnassa raskauttavana tekijänä.
Aiemmat vastaavat rikkomiset
116. Rekisterinpitäjä ei ole syyllistynyt aiempiin vastaaviin yleisen tietosuoja-asetuksen säännösten rikkomisiin, joissa olisi ollut kyse valvontaviranomaisen määräyksen noudattamatta jättämisestä. Seuraamuskollegio ei pidä tätä seikkaa seuraamusmaksuarvioinnissa lieventävänä tai raskauttavana tekijänä.
Yhteistyön aste valvontaviranomaisen kanssa ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon
117. Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että rekisterinpitäjän yhteistyön aste voidaan ottaa ”asianmukaisesti huomioon”, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Ohjeen mukaan merkityksellisenä seikkana voidaan ottaa huomioon se, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin kyseisen tapauksen tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä.
118. Kuulemispyyntöön antamassaan vastauksessa rekisteripitäjä toteaa toimineensa yhteistyössä viranomaisen kanssa. Rekisterinpitäjän mukaan sitä, että viranomaiselle ei ole voitu antaa sen haluamia tietoja sen vuoksi, että tietoa ei yksinkertaisesti rekisteripitäjällä ole, ei voi olla sakon määräämisen peruste. Rekisterinpitäjä toteaa, ettei sillä ole tilastoa siitä, kuinka montaa päätöstä se ei ole rekisteröinyt sen vuoksi, että on pitänyt asiaa riitaisena.
119. Rekisterinpitäjän esiin nostaman seikan osalta seuraamuskollegio kiinnittää jälleen huomiota siihen, käsillä olevaa seuraamusharkintaa suoritetaan, koska rekisterinpitäjä ei ole ryhtynyt tietosuojavaltuutetun määräyksen edellyttämiin toimenpiteisiin. Yleisen tietosuoja-asetuksen säännöksiä rikkova rekisterinpitäjän toiminta on tullut tietosuojavaltuutetun toimiston tietoon tietosuojavaltuutetun määräyksen seurauksena toimitetusta selvityksestä. Tältä osin rekisterinpitäjä on ollut yhteistyökykyinen tietosuojavaltuutetun toimiston kanssa. Seuraamuskollegio ei pidä edellä mainittua seuraamusmaksuarvioinnissa lieventävänä tai raskauttavana tekijänä.
Rekisterinpitäjälle aikaisemmin samasta asiasta määrätyt toimenpiteet
120. Kyseisen edellytyksen osalta kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä tuo esiin olleensa perustellusti sinä käsityksessä, että se on toiminut 9.11.2021 annetun päätöksen mukaisesti ja noudattanut siinä annettuja määräyksiä. Rekisterinpitäjä katsoo kohtuuttomaksi sen, että hallinnollisen seuraamusmaksu määrättäisiin, koska rekisteripitäjä ei hakenut muutosta asioissa 834/532/18 ja 8212/161/19 annettuun määräykseen. Rekisterinpitäjä toistaa sen, että asioissa tarkoitetut merkinnät olivat poistuneet rekisteristä 9.11.2021.
121. Rekisterinpitäjän esiin nostamien seikkojen osalta seuraamuskollegio kiinnittää jälleen huomiota siihen, että tietosuojavaltuutetun määräys ei ole rajoittunut vain asian vireille saattajan maksuhäiriömerkintöjen poistamiseen, vaan se on kattanut myös muut rekisterinpitäjän yleisen menettelytavan seurauksena aiheutuneet virheelliset maksuhäiriömerkinnät.
122. Seuraamuskollegio ei kuitenkaan pidä kyseisiä seikkoja seuraamusarvioinnissa leventävinä tai raskauttavina tekijöinä. Aiemmin samasta asiasta annetun määräyksen noudattamatta jättäminen voidaan huomioida joko 83 artiklan 2 kohdan i alakohdan mukaisena raskauttavana seikkana tai erillisenä 83 artiklan 5 kohdan e alakohdan tai 83 artiklan 6 kohdan mukaisena rikkomuksena. Koska nyt käsillä olevassa tilanteessa on kyse jälkimmäisestä tilanteesta, ei määräyksen noudattamatta jättämistä huomioida enää seuraamusharkinnassa lieventävänä tai raskauttavana tekijänä, jotta määräyksen noudattamatta jättämisestä ei rangaistaisi kahdesti.
Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät
123. Muina mahdollisina tapaukseen sovellettavina raskauttavina tai lieventävinä tekijöinä voidaan ottaa huomioon rikkomuksesta suoraan tai epäsuorasti saadut mahdolliset taloudelliset edut tai rikkomuksella vältetyt tappiot. Tietosuojatyöryhmän hallinnollisten sakkojen soveltamisesta ja määräämisestä koskevan ohjeen mukaan rikkomisesta saatua taloudellista etua ei voida kompensoida toimenpiteillä, joihin ei liity maksuseuraamusta. Se, että rekisterinpitäjä on hyötynyt asetuksen rikkomisesta, voi olla selkeä merkki siitä, että sakko olisi määrättävä.
124. Rekisterinpitäjän kuulemispyyntöön antaman vastauksen mukaan rikkomuksella ei ole saatu taloudellista etua eikä rikkomisella ole vältetty tappiota. Seuraamuskollegio puolestaan katsoo, että rekisterinpitäjän kuulemispyyntöön antaman vastauksen perusteella päätökseen olla toteuttamatta määräyksen edellyttämiä toimenpiteitä on vaikuttanut määräyksen noudattamisen aiheuttama suuri työmäärä.
125. Tämän osalta seuraamuskollegio kiinnittää huomiota siihen, että tietosuojavaltuutetun määräyksen johdosta antamassaan selvityksessä rekisterinpitäjä totesi virheellisten tapausten tunnistamisen ja poistamisen luottotietorekisteristä olevan mahdotonta. Kuulemispyyntöön antamassaan vastauksessa rekisterinpitäjä on kuitenkin kuvannut yhden tavan, jolla tapaukset olisi ollut mahdollista tunnistaa. Erityisen huomionarvoista on, että rekisterinpitäjä on tämän osalta esittänyt, että sen kuvaamien toimien toteuttaminen olisi mahdoton ajatus .Seuraamuskollegio katsoo, että tämä voi lähinnä viitata toimenpiteiden aiheuttamaan suureen työmäärään.
126. Edellä esitetyin perustein seuraamuskollegio katsoo, että tietosuojavaltuutetun määräyksen noudattamatta jättämisellä rekisterinpitäjä on välttänyt määräyksen noudattamisen edellyttämän työmäärän aiheuttamat kustannukset sen liiketoiminnassa. Seuraamuskollegio pitää edellä mainittua seikkaa seuraamusmaksuharkinnassa raskauttavana tekijänä.
Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet.
Tietosuojavaltuutettu Anu Talus
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa
Apulaistietosuojavaltuutettu Annina Hautala
Asian esitellyt ylitarkastaja Silja Kantonen
Asiakirja on allekirjoitettu sähköisesti. Allekirjoituksen oikeellisuuden voi tarvittaessa tarkistaa tietosuojavaltuutetun toimiston kirjaamosta.
Sovelletut lainkohdat
Sovelletut lainkohdat
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan näihin päätöksiin voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätökset annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös ei ole lainvoimainen.