Ratkaisuja Suomesta

Apulaistietosuojavaltuutettu antoi heinäkuussa yhteensä 14 ratkaisua, joissa käsiteltiin pääasiallisesti sähköistä suoramarkkinointia ja siihen liittyviä rekisteröidyn oikeuksia.

Sähköinen suoramarkkinointi ja rekisteröidyn suostumus

Ratkaisuissa tuotiin muun muassa esille, että suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen etukäteisen suostumuksensa. Suostumuksella tarkoitetaan yleisen tietosuoja-asetuksen (GDPR) mukaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Tietojen käsittelyn perustuessa suostumukseen, on rekisterinpitäjän pystyttävä osoittamaan, että rekisteröity on antanut suostumuksen henkilötietojensa käsittelyyn. Rekisteröidyllä on milloin tahansa oikeus peruuttaa antamansa suostumus. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava tästä oikeudesta. Suostumuksen peruuttamisen on oltava rekisteröidylle yhtä helppoa kuin sen antaminen.

Ratkaisuissa todettiin, että suostumuksen vaatimus sinällään seuraa sähköisen viestinnän palveluista annetussa laista (viestintäpalvelulaki), jota tulee kuitenkin lukea yhdessä GDPR:n kanssa. Viestintäpalvelulaissa ei säädetä suostumuksen edellytyksistä, vaan suostumuksen edellytyksistä säädetään GDPR:ssä. Koska tällöin on kyse henkilötietojen käsittelyyn liittyvän suostumuksen GDPR:n mukaisista edellytyksistä, oli tietosuojavaltuutettu sähköistä suoramarkkinointia koskevissa tapauksissa toimivaltainen käyttämään sille GDPR:ssä määriteltyjä toimivaltuuksia.

Ratkaisuissa tuotiin myös esille, että suoramarkkinointia yhteisölle saa harjoittaa, jollei tämä ole sitä nimenomaisesti kieltänyt. Lähtökohta on kuitenkin se, että mikäli työnantaja on osoittanut työntekijälleen henkilökohtaisen sähköpostiosoitteen muodossa etunimi.sukunimi@yritys.fi, on sähköpostiosoitetta pidettävä luonnollisen henkilön osoitteena, ja henkilöltä on tällöin saatava etukäteinen suostumus suoramarkkinointiin. Apulaistietosuojavaltuutettu katsoikin, että rekisterinpitäjän tulee ennen suoramarkkinoinnin kohdistamista yhteisössä toimivalle luonnolliselle henkilölle selvittää kyseisen henkilön asema yhteisössä ja arvioida, liittyvätkö suoramarkkinointiviestissä markkinoidut hyödykkeet ja palvelut olennaisesti henkilön työtehtäviin. Pelkästään se seikka, että henkilö työskentelee yrityksessä, joka kuuluu rekisterinpitäjän asiakassegmenttiin, ja että tämän yrityksen työntekijän työsuhdepuhelimen puhelinnumero on yrityksen käytössä, ei tarkoita luonnollisella henkilöllä työntekijänä olevan asemavaltuus vastaanottaa suoramarkkinointia.

Sakon määrääminen

Edellä mainituista 14 ratkaisusta 11 koski saman rekisterinpitäjän toimintaa liittyen sähköiseen suoramarkkinointiin ja rekisteröidyn oikeuksien toteuttamiseen. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio arvioi kyseistä rekisterinpitäjää koskevassa päätöksessään tehokkaaksi, oikeasuhteiseksi ja varoittavaksi seuraamukseksi 7.000 euron suuruisen sakon määräämisen.

Rekisterinpitäjän rikkomukset kohdistuivat GDPR:n perusperiaatteisiin, suostumuksen edellytysten puuttumiseen sekä rekisteröidyn mukaisten oikeuksien toteuttamatta jättämiseen ja laiminlyöntiin. Apulaistietosuojavaltuutetun kyseistä rekisterinpitäjää koskevista ratkaisuista ilmenee, että rekisterinpitäjä oli laiminlyönyt sähköiseen suoramarkkinointiin vaadittavan suostumuksen edellytykset ainakin 11 henkilön osalta. Lisäksi rekisterinpitäjä oli samalla laiminlyönyt ja jättänyt toteuttamatta 10 rekisteröidyn osalta yhden tai useamman GDPR:n mukaisen oikeuden. Rekisterinpitäjän aiheuttama GDPR:n säännösten rikkominen ei ollut hetkellistä tai tapahtunut inhimillisen virheen johdosta sillä rikkomuksia tapahtui toistuvasti useamman kuukauden ajan. Rekisteröidyt olivat olleet yhteydessä rekisterinpitäjään ja tuoneet tämän tietoon sen, ettei se ollut toteuttanut heidän oikeuksiaan. Rekisterinpitäjä oli kuitenkin rekisteröityjen yhteydenotoista huolimatta jatkanut toimintaansa ennallaan useamman kuukauden ajan, mikä osoitti sen, että rekisterinpitäjä oli tahallisesti laiminlyönyt rekisteröidyn oikeuksien toteutumisen.

Seuraamuskollegio katsoi, että rekisterinpitäjä oli pyrkinyt hyötymään GDPR:n ja viestintäpalvelulain rikkomisesta, mikä puolsi sakon määräämistä. Lisäksi otettiin huomioon sakon määrää ankaroittavana seikkana rekisterinpitäjän yhteistyöhaluttomuus tietosuojavaltuutetun toimiston kanssa. Sakon määrää lieventävänä tekijänä huomioitiin vuorostaan se, ettei rekisteröidyille ollut aiheutunut rikkomuksista taloudellista tai muuta aineellista vahinkoa.

Osakasluettelon tietojen luovuttaminen - henkilötietojen käsittelijä vai rekisterinpitäjä?

Yhdessä heinäkuussa annetussa ratkaisussa yritys oli vuorostaan katsonut osakasluetteloista saatujen henkilötietojen luovuttamisen suoramarkkinointiin olleen mahdollista. Suoramarkkinointiin luovutettavia tietoja olivat olleet nimi, osoite tai kotipaikka, syntymäaika, kansalaisuus, omistustiedot, odotusluettelomäärät, sekä odotusluettelolla olon syy ja tiedot mahdollisista yhteisomistajista. Kyseessä oleva yritys katsoi toimineensa henkilötietojen käsittelijänä yhtiön tai osuuskunnan lukuun, ja rekisteröidyn informointivelvollisuus suoramarkkinoinnista oli tällöin yhtiöllä tai osuuskunnalla. Apulaistietosuojavaltuutettu katsoi kuitenkin, että yritys oli toiminut rekisterinpitäjänä ja antoi tälle GDPR:n mukaisen huomautuksen sekä määräyksen saattaa käsittelytoimet GDPR:n mukaisiksi.

Apulaistietosuojavaltuutettu totesi, että henkilötietojen käsittelyn tarkoitukset voi määritellä vain rekisterinpitäjä, mutta keinojen osalta rajanveto ei ole yhtä selkeä, koska niiden osalta rekisterinpitäjän on mahdollista valtuuttaa henkilötietojen käsittelijä tekemään päätöksiä siitä, miten henkilötietoja käsitellään, kun kyse on teknisistä ja organisatorisista seikoista. Jos käsittelijä kuitenkin päättää oma-aloitteisesti laventaa käsittelyn keinoja, se ei silloin toimi rekisterinpitäjältä saadun valtuutuksen oikeuttamana. Yrityksen tapauksessa ei ollut kyse teknisten ja organisatoristen seikkojen alle menevistä toimenpiteistä, vaan yritys oli tehnyt sellaisia henkilötietojen käsittelyä koskevia päätöksiä, joiden tekeminen kuului rekisterinpitäjälle. Täten yritys oli muuttunut tuon käsittelyn osalta rekisterinpitäjäksi ja sen olisi pitänyt siitä hetkestä lähtien ryhtyä toteuttamaan GDPR:ssä rekisterinpitäjälle säädettyjä velvollisuuksia.

Ratkaisussa tuotiin myös esille, että tietojen luovutuksesta ei voi päättää henkilötietojen käsittelijä, vaan sen tulee käsitellä henkilötietoja rekisterinpitäjän antaman ohjeistuksen mukaisesti. Rekisterinpitäjän ohjeistuksen ulkopuolella toimiminen johtaa roolin muuttumiseen henkilötietojen käsittelijästä rekisterinpitäjäksi ja samalla useiden GDPR:n artiklojen rikkomiseen.

Ratkaisuja muualta Euroopasta

Italian tietosuojaviranomainen määräsi rekisterinpitäjälle 16,7 miljoonan euron suuruisen sakon satoihin rekisteröityihin tekstiviestien, sähköpostin, puhelinsoittojen ja automaattisten puheluiden avulla kohdistetusta laittomasta suoramarkkinoinnista ilman rekisteröityjen antamaa suostumusta. Rekisteröity ei myöskään pystynyt käyttämään oikeuttaan peruuttaa antamansa suostumus ja vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksissa, koska rekisterinpitäjän tietosuojaselosteessa olleet yhteystiedot olivat olleet puutteellisia. Rekisteröityjen tiedot julkaistiin myös julkisissa puhelinluetteloissa heidän vastustuksestaan huolimatta. Lisäksi useat rekisterinpitäjän jakamat sovellukset oli toteutettu siten, että joka kerta, kun rekisteröity käytti sovellusta, hänen tuli antaa antaa suostumuksensa eri käsittelytoimiin, ja annettu suostumus oli mahdollista peruuttaa vasta 24 tunnin kuluttua sen antamisesta.

Alankomaiden tietosuojaviranomainen määräsi rekisterinpitäjälle 830.000 euron suuruisen sakon, koska se oli vaatinut maksua rekisteröidyltä, kun tämä pyysi sähköistä pääsyä henkilötietoihinsa. Rekisterinpitäjä tarjosi rekisteröidylle postitse ilmaisen pääsyn tietoihin vain kerran vuodessa. GDPR:n mukaan rekisterinpitäjän on tarjottava rekisteröidylle mahdollisuus käyttää henkilötietojaan sähköisessä muodossa, kun hänen tietojaan käsitellään sähköisesti. Lähtökohtaisesti pääsy henkilötietoihin tulisi toteuttaa ilmaiseksi. Mikäli pyyntöjen katsottaisiin kuitenkin olevan toistuvia, voisi maksun vaatiminen olla perusteltua. Tällaiset tilanteet tulisi arvioida tapauskohtaisesti. Tietosuojaviranomainen katsoi tässä tapauksessa, että maksun vaatiminen rekisteröidyltä ei ollut perusteltua.

Belgian tietosuojaviranomainen määräsi Googlen belgialaiselle tytäryhtiölle 600.000 euron suuruisen sakon rekisteröidyn hakemuksen hylkäämisestä. Rekisteröity oli pyytänyt häntä koskevien vanhentuneiden artikkeleiden poistamista, koska hän katsoi niiden vahingoittavan hänen mainettaan. Belgian tietosuojaviranomainen totesi, että perusteettomiin häirintää koskeviin valituksiin liittyvillä artikkeleilla voi olla vakavia seurauksia rekisteröidylle ja hänellä oli täten oikeus saada artikkelit poistetuksi. Tämä oikeus on myös poliittisissa viroissa toimivilla henkilöillä, vaikka he eivät yleensä julkisen asemansa takia nauti vastaavaa yksityisyyden suojaa kuin muut yksityiset henkilöt. Sakosta 500.000 euroa määrättiin rekisteröidyn hakemuksen hylkäämisestä ja 100.000 euroa avoimuusperiaatteen rikkomisesta, koska Google ei ollut riittävästi perustellut hakemuksen hylkäämistä.

Annamme mielellämme lisätietoja edellä selostetuista ratkaisusta ja niiden perusteella mahdollisesti tarvittavista toimenpiteistä. Ota yhteyttä Annaan (anna.paimela@legalfolks.fi tai + 358 40 164 8626).

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.