28.11.2019

Suoramarkkinointitarkoituksiin kerättävä suostumus ja rekisteröidyn vastustamisoikeuden toteuttaminen

ASIA

Hakija on ollut yhteydessä tietosuojavaltuutetun toimistoon epäiltyään rekisterinpitäjän rikkovan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) pakottamalla hakijan suostumaan suoramarkkinointiin elokuvalippujen hankkimiseksi. Hakija kertoo rekisterinpitäjän edellyttävän verkkopalvelussaan markkinointiviestinnän hyväksymistä, eikä rekisterinpitäjä tarjoa mahdollisuutta kieltäytyä viestinnästä.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS

Sovellettava lainsäädäntö

Yleisen tietosuoja-asetuksen 95 artiklan mukaan yleisellä tietosuoja-asetuksella ei aseteta lisävelvoitteita sellaisen käsittelyn osalta, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalveluiden tarjoamiseen yleisissä viestintäverkoissa unionissa, suhteessa sellaisiin seikkoihin, joiden osalta on noudatettava henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetussa Euroopan parlamentin ja neuvoston direktiivissä 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) säädettyjä erityisiä velvoitteita, joilla on sama tavoite. Yleisen tietosuoja-asetuksen johdanto-osan 173 kappaleessa puolestaan todetaan, että yleistä tietosuoja-asetusta olisi sovellettava kaikkiin sellaisiin perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskeviin seikkoihin, joihin ei sovelleta sähköisen viestinnän tietosuojadirektiivissä säädettyjä erityisiä velvoitteita, joilla on sama tavoite, rekisterinpitäjää koskevat velvoitteet ja luonnollisten henkilöiden oikeudet mukaan lukien. Yleinen tietosuoja-asetus tulee siten lähtökohtaisesti sovellettavaksi niiltä osin kuin sähköisen viestinnän tietosuojadirektiivissä ei ole asiasta tarkemmin säädetty.

Sähköisestä suoramarkkinoinnista luonnolliselle henkilölle säädetään sähköisen viestinnän palveluista annetun lain (917/2014) 200 §:ssä. Kyseisen lain 200 §:n 1 momentin mukaan automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Sähköisen viestinnän tietosuojadirektiivin 2 artiklan 2 kohdan f alakohdassa määritellään käyttäjän tai tilaajan suostumus. Suostumuksella tarkoitetaan sähköisen viestinnän tietosuojadirektiivissä samaa kuin rekisteröidyn suostumuksella yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (henkilötietodirektiivi). Henkilötietodirektiivi on kumottu yleisellä tietosuoja-asetuksella, minkä vuoksi asetuksen 94 artiklan mukaan sitä sovelletaan henkilötietodirektiivin sijasta. Myös Euroopan unionin tuomioistuin on 1.10.2019 antamansa tuomion Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucher-zentrale Bundesverband eV vastaan Planet49 GmbH, C-673/17 (Planet49) kappaleessa 63 todennut, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä. Näin ollen viestintäpalvelulaissa edellytettyyn suostumukseen sovelletaan yleisessä tietosuoja-asetuksessa määriteltyjä suostumuksen edellytyksiä. Säännöksiä sovelletaan tältä osin rinnakkain. Tietosuojavaltuutettu on siten toimivaltainen asiassa.

Koska käsillä olevassa asiassa on edellä kuvatuin perustein nimenomaisesti arvioitava henkilötietojen käsittelyyn liittyvän suostumuksen yleisen tietosuoja-asetuksen mukaisuutta, on tietosuojavaltuutettu toimivaltainen tältä osin myös käyttämään yleisen tietosuoja-asetuksen 58 artiklassa määriteltyjä toimivaltuuksia. Vaikka asia osaltaan liittyy viestintäpalvelulain tulkintaan, se ei rajoita tietosuojavaltuutetun toimivaltaa käyttää yleisen tietosuoja-asetuksen mukaisia oikeuskeinoja ja seuraamuksia.

Suostumuksen vapaaehtoisuus suoramarkkinointiin

Yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdassa on määritelty rekisteröidyn suostumus. Sillä tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen.

Yleisen tietosuoja-asetuksen 7 artiklassa määritellään suostumuksen edellytykset. Asetuksen 7 artiklan 1 kohdan mukaan tietojen käsittelyn perustuessa suostumukseen rekisterinpitäjän tulee pystyä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn.

Yleisen tietosuoja-asetuksen 6 artiklassa on tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan laillista. Kyseisen artiklan 1 kohdan a alakohdan mukaan yksi näistä tilanteista on se, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.

Euroopan tietosuojaneuvostoa (EDPB) edeltänyt tietosuojaryhmä WP29 on Euroopan tietosuojaneuvoston hyväksymässä, suostumusta koskevassa ohjeessaan (Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat, WP259 rev. 01, jäljempänä WP259) katsonut vapaaehtoisen suostumuksen edellyttävän rekisteröidyn todellista vapaan valinnan ja valvonnan mahdollisuutta. WP259:ssa on lisäksi katsottu, että jos suostumus liitetään sellaiseksi ehtojen osaksi, josta ei voida neuvotella, olettamuksena on, että sitä ei ole annettu vapaaehtoisesti.

Yleisen tietosuoja-asetuksen johdanto-osan 32 kappaleen mukaan, jos käsittelyllä on useita tarkoituksia, suostumus olisi annettava kaikkia käyttötarkoituksia varten. WP259:ssa todetaan tätä täsmentäen, että vapautta ei ole, jos rekisterinpitäjä on yhdistänyt useita käyttötarkoituksia eikä ole pyytänyt erillistä suostumusta kuhunkin tarkoitukseen.

Yleisen tietosuoja-asetuksen johdanto-osan 43 kappaleessa on lisäksi todettu, että suostumusta ei katsota vapaaehtoisesti annetuksi, jos ei ole mahdollista antaa erillistä suostumusta eri henkilötietojen käsittelytoimille huolimatta siitä, että tämä on asianmukaista yksittäistapauksissa, tai jos sopimuksen täytäntöönpanon, mukaan lukien palvelun tarjoamisen, edellytyksenä on suostumuksen antaminen huolimatta siitä, että tällainen suostumus ei ole tarpeellista sopimuksen täytäntöön panemiseksi.

Suostumuksen edellytyksiä on arvioitu myös Euroopan unionin tuomioistuimen tuomiossa Planet49, jossa oli kyse siitä, että henkilö on arvontaan osallistumisen ehtona suostunut vastaanottamaan sähköistä suoramarkkinointia. Tuomioistuin on Planet49-tuomion kappaleessa 58 todennut, että henkilötietodirektiivin 2 artiklan h alakohdassa tarkoitetun suostumuksen on oltava muun muassa ”yksilöity” niin, että sen on koskettava tarkalleen kyseessä olevaa tietojenkäsittelyä eikä sitä voida johtaa tahdonilmaisusta, jolla on eri kohde. Myös yleisessä tietosuoja-asetuksessa on säädetty, että suostumuksen on oltava yksilöity. Näin ollen suostumusta ei voida katsoa annetun yksilöidysti, jos rekisteröity antaa samalla suostumuksella suostumuksen useampaan käyttötarkoitukseen.

Rekisterinpitäjän tarkoittama suostumus kerätään rastittamalla ruutu ”Minulle saa lähettää leffaetuja ja tarjouksia (Voit halutessasi perua viestinnän omassa profiilissasi kirjautumisen jälkeen)”. Vaihtoehtona on joko hyväksyä tai hylätä ehdot. Ohjelmaan ei pääse liittymään rastittamatta kyseistä ruutua. Käytännössä asiakasohjelmaan ei siten voi liittyä ilman, että hyväksyy samalla suoramarkkinoinnin vastaanottamisen. Toisaalta asiakasohjelmaan liittymättä ei voi varata lippuja tai ostaa e-sarjalippuja. Ilman ohjelmaan liittymistä voi kuitenkin muuten ostaa lippuja. Koska suostumus annetaan useampaa käyttötarkoitusta varten ilman rekisteröidylle varattua mahdollisuutta kohdentaa suostumuksensa toivottuun palveluun, apulaistietosuojavaltuutettu katsoo, että rekisteröidyltä saatu suostumus ei ole vapaaehtoinen eikä riittävän yksilöity yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan ja 7 artiklan edellyttämällä tavalla.

Yleisen tietosuoja-asetuksen 7 artiklan 4 kohdan mukaan suostumuksen vapaaehtoisuutta arvioitaessa on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. WP259:n mukaan arvioitaessa suostumuksen vapaaehtoisuutta, huomioon tulisi ottaa suostumuksen kytkeminen sopimuksiin tai palvelun tarjoamiseen. Mikä tahansa rekisteröityyn kohdistuva epäasianmukainen painostus tai vaikuttaminen, joka estää häntä käyttämästä vapaata tahtoaan, tekee suostumuksesta epäpätevän. WP259:ssa on lisäksi tuotu esiin, ettei sellaisen toiminnon tule olla automaattinen osa palvelua, joka ei ole osa tarjottavaa ydinpalvelua. Jos käyttäjä ei voi käyttää palvelua antamatta suostumustaan sen käyttöön, suostumusta ei voida pitää vapaaehtoisesti annettuna. Apulaistietosuojavaltuutetun arvion mukaan suoramarkkinointi voi rekisterinpitäjän antaman selvityksen mukaisesti olla asiakasohjelman ydinpalvelu, jos sillä on nimenomaan tarkoitus antaa asiakasohjelmaan liittyville rekisteröidyille tietoa rekisterinpitäjän tarjouksista ja eduista. Elokuvalippujen varaaminen ja e-sarjalippujen ostaminen ei apulaistietosuojavaltuutetun arvion mukaan kuitenkaan ole sillä tavoin kiinteä ja erottamaton osa asiakasohjelmaa, että mahdollisuus varata lippuja ja ostaa sarjalippuja voitaisiin sitoa velvollisuuteen vastaanottaa suoramarkkinointia.

Apulaistietosuojavaltuutettu katsoo, ettei rekisterinpitäjän nykyinen toimintatapa suostumusta kerätessä täytä yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan, 6 artiklan 1 kohdan a alakohdan ja 7 artiklan 4 kohdan mukaista vapaaehtoisuuden edellytystä, sillä rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta olla suostumatta sähköiseen suoramarkkinointiin halutessaan liittyä asiakasohjelmaan ostaakseen e-sarjalippuja sekä varatakseen elokuvalippuja.

Edellä esitetyn perusteella apulaistietosuojavaltuutettu antaa rekisterinpitäjälle määräyksen muuttaa sen toimintatavat suostumuksen keräämisessä suoramarkkinointitarkoituksiin yleisen tietosuoja-asetuksen 4 artiklan 11 alakohdan, 6 artiklan 1 kohdan a alakohdan ja 7 artiklan 4 kohdan mukaiseksi.

Lisäksi apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjän tulee henkilötietoja käsitelleessään noudattaa yleisen tietosuoja-asetuksen 5 artiklan mukaisia henkilötietojen käsittelyä koskevia periaatteita. Rekisterinpitäjän tulee muun muassa varmistua siitä, että sen henkilötietojen käsittely on rekisteröidyn kannalta läpinäkyvää (5 artiklan 1 kohdan a alakohta). Rekisterinpitäjä kerää henkilötietoja rekisteröidyltä sähköisesti rekisteröidyn liittyessä asiakasohjelmaan. Rekisterinpitäjän tulee siten arvioida, miten se parhaiten toteuttaa läpinäkyvyyden periaatteen toteutumisesta omassa toiminnassaan.

Rekisterinpitäjän tulee huolehtia myös muiden periaatteiden toteutumisesta, kuten käyttötarkoitussidonnaisuuden periaatteen (5 artiklan 1 kohdan b alakohta) ja henkilötietojen minimointiperiaatteen (5 artiklan 1 kohdan f alakohta) noudattamisesta. Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu.

Rekisteröidyn oikeus vastustaa sähköistä suoramarkkinointia

Yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan rekisteröidyllä on milloin tahansa oikeus vastustaa häntä koskevien henkilötietojen käsittelyä suoramarkkinointitarkoituksia varten. Saman artiklan 3 kohdan mukaan, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 70 mukaan tämä oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään. Yleisen tietosuoja-asetuksen 13 artiklan 2 kohdan b alakohdan mukaan rekisterinpitäjän kerätessä henkilötietoja rekisteröidyltä, on rekisterinpitäjän toimitettava rekisteröidylle tieto siitä, että rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä. Apulaistietosuojavaltuutettu katsoo, että kyseisessä kohdassa mainitun oikeuden, luettuna yhdessä 21 artiklan 2 kohdan kanssa, jonka mukaan rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä suoramarkkinointitarkoituksiin milloin tahansa, täysimääräinen toteuttaminen edellyttää, että rekisteröidyllä on oltava mahdollisuus käyttää vastustamisoikeuttaan jo henkilötietoja kerättäessä.

Rekisterinpitäjä on suostumusta kerätessään kertonut mahdollisuudesta myöhemmin kieltää suoramarkkinointi omassa profiilissaan. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä toteuttaa tällöin yleisen tietosuoja-asetuksen mukaista informointivelvoitettaan, mutta ei toteuta täysimääräisesti rekisteröidyn oikeutta vastustaa henkilötietojen käsittelyä.

Rekisterinpitäjän nykyinen toimintatapa edellyttää, että rekisteröity ensin hyväksyy henkilötietojensa käsittelyn suoramarkkinointiin asiakasohjelmaan liittymisen yhteydessä. Vasta tämän jälkeen rekisteröity voi käyttää yleisen tietosuoja-asetuksen 21 artiklan mukaista oikeuttaan vastustaa tietojensa käsittelyä. Rekisteröidyllä ei siten ole valittavana muuta vaihtoehtoa kuin hyväksyä suoramarkkinointi, mikäli hän haluaa varata elokuvalippuja. Apulaistietosuojavaltuutettu katsoo, että rekisteröidyn oikeus vastustaa henkilötietojensa käsittelyä ei toteudu tässä toimintamallissa 21 artiklan edellyttämällä tavalla, sillä rekisteröidyllä on oltava oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä suoramarkkinointiin.

Edellä esitetyn perusteella apulaistietosuojavaltuutettu antaa rekisterinpitäjälle määräyksen muuttaa toimintatapaa asiakasohjelman luomisessa niin, että rekisteröity voi henkilötietoja kerätessään käyttää yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaista vastustamisoikeutta.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaan valvontaviranomainen on toimivaltainen antamaan rekisterinpitäjälle huomautuksen, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia.

Apulaistietosuojavaltuutettu katsoo, että vaikka rekisterinpitäjän yleisen tietosuoja-asetuksen säännösten vastainen menettely on sinänsä moitittava, ei rikkomus kuitenkaan kokonaisuutena arvioiden ole edellytä huomautusta raskaampaa seuraamusta, sillä oikeustila ei ole ollut yleisen tietosuoja-asetuksen soveltamisen alettua selvä.

Edellä selostetun perusteella rekisterinpitäjän käsittelytoimien ollessa asetuksen säännösten vastaisia apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Apulaistietosuojavaltuutettu on korjaavien toimivaltuuksien käyttöä harkitessaan ottanut huomioon, että edellä kuvatut puutteet ovat vaikuttaneet useiden rekisteröityjen oikeuksiin. Tietosuojavaltuutetun toimistossa on vireillä 32 vastaavaa kantelua ja yksi nimetön ilmianto.

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa sen käsittelytoimet suostumuksen keräämisessä ja vastustamisoikeuden toteuttamisessa yleisen tietosuoja-asetuksen säännösten mukaisiksi.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 14.2.2020 mennessä.

Apulaistietosuojavaltuutettu antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukaisen huomautuksen rekisterinpitäjälle. Rekisterinpitäjän rekisteröidyltä pyytämä suostumus ei täytä yleisen tietosuoja-asetuksen 4 artiklan, 6 artiklan 1 kohdan a alakohdan ja 7 artiklan 4 kohdan mukaisia edellytyksiä. Rekisterinpitäjä ei myöskään ole toiminnassaan mahdollistanut sitä, että rekisteröity voi käyttää vastustamisoikeuttaan yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaisesti.

SOVELLETUT LAINKOHDAT

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artiklan 11 alakohta, 5 artikla, 6 artiklan 1 kohta, 7 artikla, 13 artiklan 2 kohdan b alakohta, 21 artiklan 2 ja 3 kohta, 58 artiklan 2 kohdan b ja d alakohta, 94 artikla ja 95 artikla, sähköisen viestinnän palveluista annetun lain (917/2014) 200 §, hallintolain (434/2003) 34 §:n 2 momentin 5 kohta

Päätöksellä ei ole vielä lainvoimaa.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.