Tarkastusoikeutta koskevan pyynnön esittämistä ja rekisteröidyn tunnistamista koskeva toimintatapa
- Keywords
- Tarkastusoikeus, Tunnistaminen
- Year of case
- 2024
- Date of Issue
- Register number
- TSV/88/2022
- Legal basis
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun päätös
Asia
Rekisteröidyn tarkastusoikeutta koskevan pyynnön esittäminen ja rekisteröidyn henkilöllisyyden vahvistaminen
Rekisterinpitäjä
Mediayhtiö
Rekisteröidyn vaatimus perusteluineen
Rekisteröity on pyytänyt tietosuojavaltuutetun toimistoa arvioimaan, toimiiko rekisterinpitäjä Euroopan parlamentin ja neuvoston yleisen tietosuoja-asetuksen ((EU) 2016/679) mukaisesti edellyttäessään rekisteröityä tulemaan paikan päälle rekisterinpitäjän toimipisteelle rekisteröidyn tarkastusoikeuden käyttämistä ja rekisteröidyn henkilöllisyyden vahvistamista varten.
Rekisteröity on esittänyt rekisterinpitäjälle pyynnön tutustua itseään koskeviin tietoihin. Rekisterinpitäjä ei ole toteuttanut rekisteröidyn pyyntöä, koska rekisterinpitäjän mukaan sähköposti ei ole riittävä vahvistus pyynnön esittäneen henkilön henkilöllisyydestä. Rekisterinpitäjä on pyytänyt rekisteröityä täyttämään ja allekirjoittamaan lomakkeen tarkastusoikeuden käyttämistä varten. Rekisterinpitäjä on lisäksi pyytänyt rekisteröityä noutamaan häntä koskevat tiedot rekisterinpitäjän toimipisteeltä, jolloin rekisteröidyn on edellytetty tunnistautuvan.
Rekisteröity on katsonut, että sähköpostitse esitetty pyyntö on riittävä, eikä erillistä henkilöllisyyden vahvistamista tarvita. Rekisteröity ei ole toimittanut rekisterinpitäjälle lisätietoja henkilöllisyytensä vahvistamiseksi.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjältä on pyydetty asiassa selvitystä 9.11.2023 ja lisäselvitystä 22.1.2024. Rekisterinpitäjä on toimittanut selvityksensä 22.1.2024 ja lisäselvityksensä 23.1.2024.
Rekisterinpitäjältä on tiedusteltu, mitä lisätietoja rekisterinpitäjä edellyttää rekisteröidyn toimittavan hänen henkilöllisyytensä vahvistamiseksi silloin, kun rekisterinpitäjä epäilee rekisteröidyn oikeuksia koskevan pyynnön esittäneen henkilön henkilöllisyyttä. Rekisterinpitäjää on lisäksi pyydetty täsmentämään, miten rekisterinpitäjä menettelee rekisteröidyn tarkastuspyyntöjen käsittelyssä.
Rekisterinpitäjä on todennut vastaanottaneensa rekisteröidyn pyynnön. Rekisterinpitäjä ei kuitenkaan ole kertomansa mukaan voinut toteuttaa rekisteröidyn pyyntöä, koska rekisteröity ei ole suostunut toimittamaan lisätietoja hänen henkilöllisyytensä vahvistamiseksi.
Rekisterinpitäjä on todennut selvityksessään, että rekisterinpitäjällä on yhtenäinen käytäntö kaikkien tarkastusoikeuspyyntöjen kohdalla. Rekisterinpitäjä on todennut, että tarkastusoikeutta koskevan pyynnön esittäneelle henkilölle lähetetään sähköpostitse tietopyyntölomake. Lomakkeessa pyydetään ilmoittamaan pyynnön esittäjän nimi, henkilötunnus, osoite, puhelinnumero ja sähköpostiosoite. Lisäksi lomake on allekirjoitettava. Rekisterinpitäjän mukaan lomake tulee toimittaa henkilökohtaisesti rekisterinpitäjän toimipisteelle. Pyynnön esittäjän tulee tällöin tunnistautua joko ajokortilla, passilla, henkilökortilla tai kuvallisella kela-kortilla. Rekisterinpitäjä katsoo, että yhden kuukauden määräaika pyynnön käsittelemiseksi alkaa siitä hetkestä, kun rekisteröity toimittaa allekirjoitetun tietopyyntölomakkeen henkilökohtaisesti rekisterinpitäjän toimipisteeseen.
Rekisteröidyn vastine
Asiassa ei ole pyydetty selvitystä rekisteröidyltä hallintolain (434/2003) 34 § 2 momentin 5 kohdan perusteella. Asianosaisten kuuleminen on hallintolain 34 § 2 momentin 5 kohdan mukaisesti ilmeisen tarpeetonta, sillä selvitysten hankkiminen ei muuttaisi asian ratkaisutapaa. Asia voidaan ratkaista sovellettavan lainsäädännön, vakiintuneen käytännön sekä tietosuojavaltuutetun toimiston tietoon saatetun rekisteröidyn vaatimuksen sekä rekisterinpitäjän vastauksen ja selvityksen perusteella.
Sovellettava lainsäädäntö
Henkilötietojen käsittelystä säädetään yleisessä tietosuoja-asetuksessa. Tietosuoja-asetusta täsmentää tietosuojalaki (1050/2018).
Henkilötietojen käsittelyä koskevista periaatteista säädetään yleisen tietosuoja-asetuksen 5 artiklassa. Sisäänrakennetusta ja oletusarvoisesta tietosuojasta säädetään 25 artiklassa. Oikeudesta tutustua tietoihin säädetään 15 artiklassa ja oikeuden toteuttamisessa noudatettavasta menettelystä 12 artiklassa.
Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdassa säädetään valvontaviranomaisen korjaavista toimivaltuuksista. Artiklan 2 kohdan d alakohdan mukaan valvontaviranomaisella on toimivalta määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa.
Oikeudellinen kysymys
Asiassa on ensinnäkin kysymys siitä, onko rekisterinpitäjän rekisteröidyn tarkastusoikeutta koskevan pyynnön esittämistä ja rekisteröidyn tunnistamista koskeva toimintatapa yleisen tietosuoja-asetuksen 12 artiklan 2 ja 6 kohdan sekä 5 artiklan 1 kohdan c alakohdan mukainen.
Asiassa on lisäksi kysymys siitä, onko rekisterinpitäjä noudattanut yleisen tietosuoja-asetuksen 12 artiklan 2 kohdassa asetettua velvollisuutta helpottaa rekisteröidyn yleisen tietosuoja-asetuksen 15-22 artiklan mukaisten oikeuksien käyttöä.
Apulaistietosuojavaltuutetun on ratkaistava, onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi. Lisäksi apulaistietosuojavaltuutetun on arvioitava, tuleeko asiassa käyttää tietosuojavaltuutetulle kuuluvia muita toimivaltuuksia.
Apulaistietosuojavaltuutetun päätös ja perustelut
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa rekisteröidyn tarkastusoikeutta koskevan pyynnön esittämistä ja rekisteröidyn henkilöllisyyden vahvistamista koskeva käytäntönsä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan sekä 12 artiklan 2 ja 6 kohdan mukaiseksi. Rekisterinpitäjän tulee lisäksi tämän määräyksen nojalla käsitellä rekisteröidyn esittämä pyyntö uudelleen yleisen tietosuoja-asetuksen mukaisella tavalla. (Apulaistietosuojavaltuutettu antaa päätöksen lopussa ohjausta rekisteröidylle lisätietojen toimittamisesta henkilöllisyyden vahvistamiseksi.)
Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistoon 28.8.2024 mennessä, ellei rekisterinpitäjä hae muutosta tähän päätökseen.
Perustelut
Yleisessä tietosuoja-asetuksessa ei ole säännöksiä siitä, miten rekisteröidyn henkilöllisyys on todennettava. Yleisessä tietosuoja-asetuksessa ei myöskään säädetä tavasta, jolla rekisteröidyn on esitettävä oikeuksiaan koskevat pyynnöt.
Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Jos rekisterinpitäjällä on perusteltua syytä epäillä pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi 12 artiklan 6 kohdan mukaan pyytää pyynnön esittäjää toimittamaan lisätiedot, jotka ovat tarpeen henkilöllisyyden vahvistamiseksi. Jos rekisteröity toimittaa lisätiedot, joiden avulla hänet voidaan tunnistaa, rekisterinpitäjä ei saa kieltäytyä suorittamasta pyydettyä toimea.
Yleisen tietosuoja-asetuksen johdanto-osan 57 perustelukappaleen mukaan tunnistautumiseen olisi sisällytettävä rekisteröidyn digitaalinen tunnistaminen esimerkiksi todentamismekanismin avulla, kuten käyttämällä samoja tunnisteita, joita rekisteröity käyttää kirjautuessaan rekisterinpitäjän tarjoamiin verkkopalveluihin.
Henkilötietoja, joita on käytetty kyseisen henkilön rekisteröintiin, voidaan käyttää myös hyödyksi rekisteröidyn henkilöllisyyden vahvistamiseksi rekisteröidyn käyttäessä oikeuksiaan. Rekisterinpitäjän mahdollisuus lisätietojen pyytämiseen henkilöllisyyden arvioimista varten ei voi johtaa kohtuuttomiin vaatimuksiin ja sellaisten henkilötietojen keräämiseen, jotka eivät ole olennaisia tai tarpeellisia henkilön ja pyydettyjen henkilötietojen välisen yhteyden todentamiseksi. Euroopan tietosuojaneuvosto on todennut yleisessä tietosuoja-asetuksessa säädettyä tarkastusoikeutta koskevassa ohjeessaan , että lisätietojen pyytäminen ei saa johtaa merkityksettömien tai tarpeettomien henkilötietojen keräämiseen. (European Data Protection Board, Guidelines 01/2022 on data subject rights – Right of access. Version 2.0, Adopted on 28 March 2023)
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”). Tietojen minimoinnin periaatetta on noudatettava myös silloin, kun rekisterinpitäjä edellyttää rekisteröidyn toimittavan lisätietoja hänen henkilöllisyytensä vahvistamiseksi.
Tässä tapauksessa rekisterinpitäjän käytäntönä on ollut, että tietojen tarkastusoikeuden toteuttamista varten rekisteröidyn on toimitettava tietopyyntölomake, jolle tulee täyttää nimi, henkilötunnus, osoite, puhelinnumero ja sähköpostiosoite. Tällainen lomake on myös allekirjoitettava. Rekisteröidyn tunnistamista varten rekisteröidyn tulee toimittaa kyseinen lomake henkilökohtaisesti rekisterinpitäjän toimipisteeseen, jolloin rekisteröidyn edellytetään lisäksi tunnistautuvan joko ajokortilla, passilla, henkilökortilla tai kuvallisella kela-kortilla. Tietopyyntölomakkeessa on ollut ohjeistus edellä mainitusta tunnistautumiskäytännöstä. Allekirjoitetun lomakkeen toimittaminen rekisterinpitäjän toimipisteeseen ja henkilöllisyyden vahvistaminen toimipisteessä on siten ollut rekisterinpitäjän tavanomainen toimintatapa rekisteröidyn tarkastusoikeuden toteuttamiseksi.
Kun otetaan huomioon 5 artiklan 1 kohdan c alakohta, rekisterinpitäjän ei tule pyytää rekisteröidyltä enempää tietoja kuin tämän tunnistamista varten on tarpeen. Jotta rekisterinpitäjä ei keräisi käsittelyn kannalta tarpeettomia tietoja, on sen tehtävä tarpeellisuusarviointi, jossa voidaan ottaa huomioon esimerkiksi käsiteltävien henkilötietojen tyyppi. Tässä tapauksessa rekisterinpitäjä harjoittaa toimintaa media-alalla. Toimialastaan johtuen rekisterinpitäjä ei pääsääntöisesti käsittele asiakkaita koskevia erityisiin henkilötietoryhmiin kuuluvia tietoja. Arvioitaessa kerättävien tietojen tarpeellisuutta rekisterinpitäjän tulisi välttää liiallinen henkilötietojen kerääminen.
Rekisterinpitäjän hallinnoimien sanomalehtien verkkosivuilta ilmenee, että silloin, kun henkilö liittyy rekisterinpitäjän hallinnoimien palveluiden asiakkaaksi, ei henkilöltä pyydetä tietoa hänen henkilötunnuksestaan. Henkilötunnus ja muut henkilöllisyystodistuksen tiedot ovat näin ollen laskettava 12 artiklan 6 kohdan mukaisiksi lisätiedoiksi, joita rekisterinpitäjän tulisi pyytää vain, jos sillä on perusteltua syytä epäillä pyynnön esittäneen rekisteröidyn henkilöllisyyttä. Apulaistietosuojavaltuutetun arvion mukaan rekisterinpitäjän toimintatapa rekisteröidyn tunnistamisessa ei ole tapahtunut tapauskohtaisen harkinnan perusteella, vaan henkilötunnuksen pyytäminen ja rekisteröidyn henkilöllisyyden vahvistaminen kuvallisella henkilöllisyystodistuksella on ollut säännönmukainen tunnistamiskeino. Edellä mainittuja tietoja on vaadittu kaikilta rekisteröidyiltä, jotka ovat halunneet käyttää yleisen tietosuoja-asetuksen mukaista oikeuttaan saada pääsy tietoihin.
Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on käsitellyt rekisteröidyn tunnistamiseksi laajempaa joukkoa henkilötietoja kuin rekisteröidyn tunnistamiseksi on tarpeen ottaen erityisesti huomioon sen, että rekisterinpitäjä ei ole toimittanut perusteluja sille, miksi se ei ole kyennyt tunnistamaan rekisteröityä, ja siten toiminut vastoin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimointiperiaatetta. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä on käsitellyt henkilötietoja yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan sekä 12 artiklan 6 alakohdan vastaisesti.
Rekisterinpitäjä on myös edellyttänyt allekirjoitetun lomakkeen toimittamista henkilökohtaisesti rekisterinpitäjän toimipisteeseen. Tarkastusoikeutta käyttävän henkilön on lisäksi edellytetty omaavan kuvallisen henkilöllisyystodistuksen. Apulaistietosuojavaltuutettu katsoo, että edellytys saapua rekisterinpitäjän toimipisteeseen tarkastusoikeuden piiriin kuuluvien tietojen saamiseksi on ollut tavanmukainen toimintatapa. Rekisterinpitäjällä ei myöskään ole tiettävästi ollut käytössään vaihtoehtoista toimintatapaa. Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän käytäntöä voidaan pitää rekisteröidyn kannalta kohtuuttoman hankalana ottaen huomioon, että rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan helpotettava yleisen tietosuoja-asetuksen 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Hankaloittaminen on ollut erityisen ilmeistä niiden rekisteröityjen kohdalla, jotka eivät asu rekisterinpitäjän toimipisteen läheisyydessä. Lisäksi huomiota on kiinnitettävä siihen, että käyttääkseen oikeuksiaan rekisteröidyn tulee vierailla rekisterinpitäjän toimipisteessä sen aukioloaikojen puitteissa.
Apulaistietosuojavaltuutettu näin ollen katsoo, että rekisterinpitäjän toimintatavasta on seurannut kohtuutonta vaivaa rekisteröidylle, kun rekisteröidyn on täytynyt toimittaa allekirjoitettu tietopyyntölomake henkilökohtaisesti rekisterinpitäjän toimipisteeseen sekä tunnistautua kuvallisella henkilöllisyystodistuksella. Apulaistietosuojavaltuutettu katsoo, että kyseinen toimintatapa ei ole ollut 12 artiklan 2 kohdan mukainen keino, jolla rekisterinpitäjän voitaisiin katsoa pyrkineen helpottaa rekisteröidyn oikeuksien käyttöä. Rekisterinpitäjän toimintatavan voidaan siten katsoa vaikeuttaneen kohtuuttomasti rekisteröidyn oikeuksien käyttämistä.
Edellä kuvatun perusteella apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen muuttaa rekisteröidyn tarkastusoikeutta koskevan pyynnön esittämistä ja rekisteröidyn tunnistamista koskevan käytäntönsä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c ala-kohdan sekä 12 artiklan 2 ja 6 kohdan mukaiseksi. Rekisterinpitäjän tulee lisäksi tämän määräyksen nojalla käsitellä rekisteröidyn esittämä pyyntö uudelleen yleisen tietosuoja-asetuksen mukaisella tavalla.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään valitusosoituksessa mainittuun hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös on lainvoimainen.
Apulaistietosuojavaltuutetun ohjaus rekisteröidylle
Rekisterinpitäjän on pystyttävä vahvistamaan tietosuojaoikeuksiaan käyttävän rekisteröidyn henkilöllisyys. Jos rekisterinpitäjällä on perusteltu syy epäillä pyynnön esittäjän henkilöllisyyttä, se voi pyytää tätä toimittamaan lisätietoja henkilöllisyyden vahvistamiseksi. Jos rekisterinpitäjä ei voi tunnistaa rekisteröityä, ei rekisteröity voi käyttää esimerkiksi oikeuttaan saada tutustua tietoihin. Silloin, kun rekisterinpitäjä kieltäytyy rekisteröidyn pyynnöstä sillä perusteella, ettei se pysty tunnistamaan rekisteröityä, täytyy rekisterinpitäjän osoittaa, ettei se pysty vahvistamaan rekisteröidyn henkilöllisyyttä.
Tässä tapauksessa rekisteröity ei ole toimittanut rekisterinpitäjälle lisätietoja henkilöllisyytensä vahvistamiseksi. Apulaistietosuojavaltuutettu ohjeistaa, että mikäli rekisterinpitäjä osoittaa, ettei se pysty vahvistamaan rekisteröidyn henkilöllisyyttä pelkästään sähköpostin perusteella, on rekisteröidyn toimitettava lisätietoja oikeutensa käyttämiseksi. Rekisteröity voi myös omatoimisesti toimittaa lisätietoja tunnistautumista varten. Jos rekisteröity toimittaa lisätiedot, joiden avulla hänet voidaan tunnistaa, ei rekisterinpitäjä saa kieltäytyä suorittamasta pyydettyä toimea.
Lisätietoja päätöksestä antaa asian esittelijä Lotta Nyman, lotta.nyman(at)om.fi