11.4.2013

ASIA

Tietosuojavaltuutetun toimisto on antanut X Oy:n tiedoksi tietosuojavaltuutetun kannanoton 5.7.2013, jossa on käsitelty sähköistä suoramarkkinointia ulkoistavan yrityksen vastuuta suoramarkkinoinnin yhteydessä tapahtuvasta henkilötietojen käsittelystä. Kannanotto on koskenut erityisesti henkilötietojen käsittelyä nk. affiliate-markkinoinnissa julkaisijoiden mainostajan puolesta toteuttaman sähköpostimarkkinoinnin yhteydessä. X:ää on pyydetty täsmentämään, missä roolissa se katsoo tällaisessa tilanteessa ja konseptissa toimivansa, ja mihin toimenpiteisiin se on mahdollisesti ryhtynyt.

X Oy:n vastauksen mukaan kyse ei ole henkilötietojen käsittelyn ulkoistamisesta vaan pikemminkin siitä, että X ostaa affiliate-verkostolta mediatilaa eli useimmiten tulospohjaisen ratkaisun. Tällöin se ei voisi siis hallinnoida toteutettavaa mainontaa. Affiliate-verkosto itsessään ei ole julkaisija, eikä esim. X ole ostanut mainostilaa nimenomaisesti julkaisijalta eikä julkaisija X:n vastauksen mukaan ole päätynyt käsittelemään henkilötietoja juuri X pyynnöstä, sillä näiden tahojen välillä ei ole sopimussuhdetta. X:n mielestä tilanne eroaa sellaisesta järjestelystä, jossa alihankkija käsittelee tietoja suoramarkkinointiin X:n ylläpitämän henkilörekisterin avulla.

Vastauksenne mukaan X on kuitenkin pyrkinyt sopimusjärjestelyin (kuten omalla sopimuspohjallaan) takaamaan sen, että affiliate-verkosto ja sen sopijakumppanit noudattavat kaikilta osin soveltuvaa lainsäädäntöä kuten henkilötietolakia. Se edellyttää sopijakumppaneiltaan mm. sitä, että ne yksilöivät julkaisijat ja käytetyt markkinointikeinot. Jos X saa tietää esim. reklamaatioista, se ottaa yhteyttä sopijakumppaniinsa sekä edellyttää soveltuvan lainsäädännön noudattamista sillä uhalla, että se päättää sopimuksen tai ryhtyy muihin toimenpiteisiin. X myös ohjaa sille ohjautuneet suoramarkkinointikiellot affiliate-verkostolle. Näin se on ilmeisesti myös toiminut nyt käsitellyssä tapauksessa.

TIETOSUOJAVALTUUTETUN VASTAUS

Tietosuojavaltuutettu katsoi, että X on affiliate-verkoston välityksellä ja julkaisijan toimesta toteutetussa sähköisessä suoramarkkinoinnissa osaltaan rekisterinpitäjänä vastuussa tietojenkäsittelyn lainmukaisuudesta. Vastuu perustuu rekisterinpitäjän määritelmään (vrt. henkilötietolain 3 §). Määritelmää tulee arvioida tosiasiallisten olosuhteiden perusteella ja toiminnallisena käsitteenä, jonka avulla vastuu tietojen käsittelystä osoitetaan sille, joka tosiasiassa vaikuttaa siihen. Rekisterinpitäjän ja rekisteröidyn välinen suhde on arvioitava tapauskohtaisesti ja se muodostuu affiliate-verkoston toiminnassa yksittäisissä mainostajan puolesta toteutetuissa mainoskampanjoissa kulloisenkin mainostajan ja rekisteröidyn välille. Julkaisija on samalla itse rekisterinpitäjän roolissa sikäli, kun se kerää henkilötietoja omaa toimintaansa varten.

Mainostajalla kuten X:llä vaikuttaa käytännössä olevan viime kädessä mahdollisuus määrittää keinot, joilla markkinointi toteutetaan sen tarkoitusperien toteuttamiseksi. Vaikka se ei näin haluaisi tehdä, se on kuitenkin viime kädessä taho, jota tietty markkinointikampanja hyödyttää. Asiassa tulee ottaa huomioon, että rekisterinpitäjälle voi syntyä vastuu tietojenkäsittelystä, vaikka se ei olisi koskaan nähnytkään tietoja. Vastuuta toiminnan lainmukaisuudesta ei voida sivuuttaa pelkästään järjestelyllä, jonka yhteydessä käsittely kuten suoramarkkinointi toteutetaan toisen toimesta ja osana isompaa verkostoa.

Ottaen huomioon affiliate-verkoston luonteen mainostajan tulisi pyrkiä sopimusjärjestelyin varmistumaan verkoston ja siihen kuuluvien julkaisijoiden toiminnan lainmukaisuudesta. Näin X vaikuttaa tehneen.

Tietosuojavaltuutettu halusi korostaa, että mm. rekisterinpitäjän huolellisuusvelvoitteesta (vrt. henkilötietolain 5 §) johtuu, että rekisterinpitäjän tulisi aktiivisin toimenpitein vaikuttaa siihen, että se on tietoinen verkoston toiminnasta ja toimijoista ml. julkaisijat, ja että se tarvittaessa ryhtyy tarpeellisiin toimenpiteisiin henkilötietojen käsittelyn lainmukaisuuden varmistamiseksi.

Tietosuojavaltuutettu kiinnitti huomiota erityisesti henkilötietolain 5, 8, 28, 29, 30, 32 ja 36 §:ien mukaisiin myös toimeksisaajan toimintaan kohdistuviin velvollisuuksiin. Henkilötietolain 36 §:n mukaan henkilörekisterin käsittelyn ulkoistava rekisterinpitäjä on velvollinen tekemään ulkoistuksesta ilmoituksen tietosuojavaltuutetulle. Myös tietojenkäsittelytehtäviä toisen lukuun hoitavilla tahoilla on velvollisuus tehdä 36 §:n 2 momentin mukainen toimintailmoitus tietosuojavaltuutetulle. Lisätietoa ulkoistamisesta ja henkilötietolain 36 §:n mukaisesta ilmoitusvelvollisuudesta on saatavilla Henkilötietojen käsittelyn ulkoistaminen, yhteiset tietojärjestelmät, verkottuminen ja niihin liittyvät sopimukset -oppaasta sekä Henkilötietolain mukainen ilmoitusvelvollisuus -oppaasta.

Lisäksi tietosuojavaltuutettu ohjasi huomioimaan sähköisen viestinnän tietosuojalain 7 luvusta johtuvat suoramarkkinointia koskevat velvoitteet. Kuluttajiin kohdistettavassa sähköisessä suoramarkkinoinnissa tulee pääsääntöisesti huolehtia siitä, että suoramarkkinointi perustuu kuluttajan ennakkosuostumukseen.

Koska X kertoo jo huolehtivansa affiliate-verkoston ja sen julkaisijoiden toiminnan lainmukaisuudesta yllä kuvatun mukaisesti, tietosuojavaltuutettu ei katsonut tarpeelliseksi ryhtyä asiassa enempiin toimenpiteisiin. Hän kehotti huomioimaan asiassa antamansa ohjauksen ja ohjasi myös huomioimaan, että verkoston osapuolten roolit ja toimintatavat tulisi tehdä läpinäkyviksi kaikille asianosaisille. Kuluttajan tulisi tietää, kenen puoleen se voi tarvittaessa kääntyä esim. oikeuksiensa toteuttamiseksi. Mainostajan pitäisi vastaavasti tietää, kuka sen puolesta toimii ja miten henkilötietojen käsittelyn lainmukaisuudesta on varmistuttu.

Tietosuojavaltuutetun toimenpiteistä säädetään mm. henkilötietolain 40 §: ssä. Lisäksi tietosuojavaltuutettu voi sähköisen viestinnän tietosuojalain 41 §:n mukaisesti lain 32 §:ssä tarkoitettuja tehtäviä hoitaessaan velvoittaa rikkojan korjaamaan virheensä tai laiminlyöntinsä.