Go to front page
Data Protection Ombudsman

9.6.2025

Data Protection Ombudsman

Decisions of the Data Protection Ombudsman on the interpretation of the EU General Data Protection Regulation, the Act on the Processing of Personal Data in Criminal Matters and the Personal Data Act

Informointi henkilötietojen käsittelystä puhelinmarkkinoinnissa

Keywords
informointi, rekisteröidyn oikeudet, tunnistaminen, suoramarkkinointi, puhelinmarkkinointi
Year of case
2025
Date of Issue
Register number
TSV/301/2022
Legal basis
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Apulaistietosuojavaltuutetun päätös

Asia

Rekisteröidyn informointi henkilötietojen käsittelystä, kun henkilötiedot on hankittu muualta kuin rekisteröidyltä itseltään

Rekisterinpitäjän velvollisuus helpottaa rekisteröidyn oikeuksien käyttämistä

Rekisteröidyn tunnistaminen

Rekisterinpitäjä

Luontaistuotteita myyvä yritys

Tietosuojavaltuutetun toimistolle tehty ilmoitus

Tietosuojavaltuutetun toimistoon 13.12.2022 yhteyttä ottanut henkilö on kertonut ilmoituksessaan, että hän oli esittänyt rekisterinpitäjän asiakaspalveluun henkilötietojen poistopyynnön markkinointipuheluiden lopettamiseksi. Pyyntö on esitetty rekisterinpitäjän verkkosivustolla olevan sähköisen yhteydenottolomakkeen kautta. Pyynnön käsittelemiseksi rekisterinpitäjä oli edellyttänyt henkilöllisyystodistusjäljennöksen toimittamista sekä pyynnön uudelleen esittämistä tietosuojavastaavan sähköpostiosoitteeseen.

Vireillesaattaja ei kertomansa mukaan tiennyt, että rekisterinpitäjä käsittelee hänen yhteystietojaan, eikä hänellä ole ollut asiakassuhdetta rekisterinpitäjään. Vireillesaattaja katsoo, että rekisteriin päätyminen on tapahtunut helposti ja hänen tietämättään, mutta henkilötietojen poistaminen on tehty hankalaksi.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 15.3.2024 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on 28.3.2024 antanut asiassa kirjallisen selvityksen. Asiaa on selvitetty diaarinumerolla 10604/163/22.

Rekisterinpitäjää on pyydetty selvittämään tietosuojavaltuutetun toimistolle, miten se informoi rekisteröityjä siitä, että se on hankkinut heidän yhteystietojaan muualta kuin rekisteröidyltä itseltään. Rekisterinpitäjä kertoo vastauksessaan, että se yleisesti informoi rekisteröityjä eri asiointitilanteissa rekisteriselosteensa avulla. Lisäksi rekisteröidyille kerrotaan asiasta, mikäli rekisteröidyt esittävät tätä koskevia kysymyksiä.

Rekisterinpitäjältä on pyydetty selvitystä myös siitä, miten se pyrkii tunnistamaan rekisteröidyn oikeuksia koskevan pyynnön esittäneen henkilön. Rekisterinpitäjä esittää selvityksessään, että se pyytää rekisteröityä tarkastusoikeustilanteissa tunnistautumaan toimittamalla henkilöllisyystodistusjäljennöksen, mikäli yhteydenottokanava on sellainen, että rekisterinpitäjä ei voi tunnistaa rekisteröityä luotettavasti sen perusteella. Rekisterinpitäjän mukaan asian vireillesaattaja on ottanut rekisterinpitäjään yhteyttä verkkosivulla olevan palautelomakkeen kautta, jolloin lisätunnistaminen on perusteltua. Mikäli yhteydenotto olisi tapahtunut puhelimitse tai sähköpostitse, rekisterinpitäjän hallussa olevasta puhelinnumerosta tai sähköpostiosoitteesta, henkilöllisyystodistusjäljennöstä ei olisi edellytetty. Rekisterinpitäjän mukaan asiakaspalvelun olisi tullut ohjeistaa vireillesaattajaa peittämään henkilöllisyystodistuksesta henkilötunnusosio, ja asiakaspalveluhenkilö menetteli tässä yksittäistapauksessa virheellisesti.

Selvityksen mukaan, mikäli rekisteröity esittää tarkastusoikeuspyynnön tai tietojen poistopyynnön asiakaspalvelulle, häntä ohjataan esittämään pyyntö yhdenmukaisen menettelyn varmistamiseksi rekisteriselosteessa mainitulle vastuuhenkilölle, tiettyyn sähköpostiosoitteeseen.

Rekisterinpitäjän mukaan vireillesaattajan tietoja ei enää ole sen rekistereissä.

Sovellettavasta lainsäädännöstä

Asiassa sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) ja täsmentävää kansallista tietosuojalakia (1050/2018).

Yleisen tietosuoja-asetuksen 5(1)(c) artiklassa säädetään tietojen minimointiperiaatteesta. Artiklan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Yleisen tietosuoja-asetuksen 12(2) artiklan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä. Yleisen tietosuoja-asetuksen 12(6) artiklan mukaan silloin, jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.

Yleisen tietosuoja-asetuksen 14 artiklassa säädetään rekisteröityjen informoinnista tilanteissa, joissa henkilötietoja ei ole saatu rekisteröidyltä.

14 artiklan 1 kohdan mukaan silloin, kun tietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot: rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti ja yhteystiedot; tapauksen mukaan mahdollisen tietosuojavastaavan yhteystiedot; henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste; kyseessä olevat henkilötietoryhmät; mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät; tarvittaessa tieto siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle, ja tieto tietosuojan riittävyyttä koskevan komission päätöksen olemassaolosta tai puuttumisesta, tai jos kyseessä on yleisen tietosuoja-asetuksen 46 tai 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa tarkoitettu siirto, tieto sopivista tai asianmukaisista suojatoimista ja siitä, miten niistä saa jäljennöksen tai minne ne on asetettu saataville.

14 artiklan 2 kohdan mukaan edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut, jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan; rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen; oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen, jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan; oikeus tehdä valitus valvontaviranomaiselle; mistä henkilötiedot on saatu sekä tarvittaessa se, onko tiedot saatu yleisesti saatavilla olevista lähteistä; automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Yleisen tietosuoja-asetuksen 14 artiklan 3 kohdan a alakohdan mukaan rekisterinpitäjän on toimitettava 14 artiklan 1 ja 2 kohdassa tarkoitetut tiedot, kuten esimerkiksi tieto siitä, mistä henkilötiedot on saatu, kohtuullisen ajan kuluttua, mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet. Yleisen tietosuoja-asetuksen 14 artiklan 3 kohdan b alakohdan mukaan, jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, tiedot on toimitettava viimeistään silloin kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran.

Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja  toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset  sekä  käsittelyn aiheuttamat todennäköisyydeltään ja  vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi yleisen tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Apulaistietosuojavaltuutetun on ratkaistava:

Onko rekisterinpitäjä informoinut rekisteröityjä heidän yhteystietojensa käsittelystä yleisen tietosuoja-asetuksen 14 artiklan mukaisesti silloin, kun se ei ole saanut sanottuja, suoramarkkinointitarkoituksissa käsittelemiään yhteystietoja rekisteröidyiltä itseltään

Onko rekisterinpitäjän menettelytapa, jossa se on tavanomaisesti edellyttänyt asiakaspalvelulle rekisteröidyn oikeuksien käyttöä koskevan pyynnön esittäneitä rekisteröityjä esittämään pyyntönsä uudelleen muuta kautta, ollut yleisen tietosuoja-asetuksen 12(2) artiklan mukainen

Onko rekisterinpitäjän menettelytapa, jossa se on tavanomaisesti edellyttänyt henkilöllisyystodistuskopion toimittamista henkilötietojen tarkastus- ja poistopyyntöjen toteuttamiseksi, kun pyyntö on esitetty muulla tavoin kuin rekisterinpitäjän hallussa olevasta puhelinnumerosta tai sähköpostiosoitteesta, ollut yleisen tietosuoja-asetuksen 5(1)(c), 12(2), 12(6) ja 25(2) artiklojen mukainen

Apulaistietosuojavaltuutetun päätös

Päätös

Rekisterinpitäjä ei ole informoinut rekisteröityjä heidän yhteystietojensa käsittelystä yleisen tietosuoja-asetuksen 14 artiklan mukaisesti silloin, kun se ei ole saanut sanottuja, suoramarkkinointitarkoituksissa käsittelemiään yhteystietoja rekisteröidyiltä itseltään.

Rekisterinpitäjän tavanomainen menettelytapa, jossa se on edellyttänyt asiakaspalvelulle rekisteröidyn oikeuksien käyttöä koskevan pyynnön esittäneitä rekisteröityjä esittämään pyyntönsä uudelleen muuta kautta, ei ole ollut yleisen tietosuoja-asetuksen 12(2) artiklan mukainen.

Rekisterinpitäjän tavanomainen menettelytapa, jossa se on edellyttänyt henkilöllisyystodistuskopion toimittamista henkilötietojen tarkastus- ja poistopyyntöjen toteuttamiseksi, kun pyyntö on esitetty muulla tavoin kuin rekisterinpitäjän hallussa olevasta puhelinnumerosta tai sähköpostiosoitteesta, ei ole ollut yleisen tietosuoja-asetuksen 5(1)(c), 12(2), 12(6) ja 25(2) artiklojen mukainen.

Määräys

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa tässä asiassa arvioidut henkilötietojen käsittelytoimet yleisen tietosuoja-asetuksen ja tietosuojalain säännösten mukaisiksi.

Huomautus

Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus tässä päätöksessä todetuista, edellä mainittujen säännösten vastaisista henkilötietojen käsittelytoimista.

Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää sen toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistolle 1.8.2025 mennessä, ellei rekisterinpitäjä hae määräyksen osalta muutosta tähän päätökseen. Mikäli apulaistietosuojavaltuutetun päätöksessä annettuun määräykseen haetaan muutosta, eikä apulaistietosuojavaltuutetun päätös muutoksenhaun johdosta määräyksen osalta muutu, selvitys toimenpiteistä tulee ilman erillistä pyyntöä toimittaa tietosuojavaltuutetun toimistolle kahden kuukauden kuluessa siitä, kun muutoksenhaku on lopullisesti ratkaistu.

Perustelut

Rekisteröidyn informointi silloin, kun rekisterinpitäjä ei ole saanut suoramarkkinointitarkoituksissa käsittelemiään rekisteröidyn yhteystietoja rekisteröidyltä itseltään

Vireillesaattaja on rekisterinpitäjältä saamansa suoramarkkinointipuhelun jälkeen pyrkinyt selvittämään rekisterinpitäjältä, miten ja milloin hän on rekisteriin päätynyt, ja miksi hänen henkilötietojensa käsittely on tapahtunut hänen tietämättään. Vireillesaattaja ei kertomansa mukaan ole ollut rekisterinpitäjän asiakas.

Tietosuojavaltuutetun toimiston saaman selvityksen perusteella rekisterinpitäjä on hankkinut yhteystietoja kolmannelta taholta yksinomaan suoramarkkinointiyhteydenottoja varten. Selvityksen perusteella myös vireillesaattajan yhteystiedot on hankittu muualta kuin vireillesaattajalta itseltään. Rekisterinpitäjän suorittamassa suoramarkkinoinnissa on ollut kyse perinteisestä puhelinmarkkinoinnista, joka ei edellytä rekisteröidyltä etukäteen hankittua suostumusta. Rekisteröityä on kuitenkin myös tällöin informoitava henkilötietojen käsittelystä.

Yleisen tietosuoja-asetuksen 14 artiklassa säädetään rekisteröityjen informoinnista tilanteissa, joissa henkilötietoja ei ole saatu rekisteröidyltä. Sanotun artiklan 3 kohdan b alakohdan mukaan silloin, jos henkilötietoja käytetään viestintään asianomaisen rekisteröidyn kanssa, henkilötietojen käsittelyä koskeva informaatio on toimitettava rekisteröidylle viimeistään, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran. Rekisteröidylle on tällöin annettava esimerkiksi rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti- ja yhteystiedot, mahdollisen tietosuojavastaavan yhteystiedot, henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste, henkilötietojen säilytysaika sekä tieto siitä, mistä henkilötiedot on saatu. 1

Rekisterinpitäjä on esittänyt antaneensa henkilötietojen käsittelyä koskevan informaation rekisteröidyille siten, että se on yleisesti informoinut rekisteröityjä eri asiointitilanteissa rekisteriselosteensa avulla sekä kertonut henkilötietojen käsittelystä, jos rekisteröidyt ovat esittäneet tätä koskevia kysymyksiä. Rekisteröityjen asianmukaiseksi informoimiseksi ei kuitenkaan tässä tapauksessa riitä, että henkilötietojen käsittelyä koskevaa informaatiota on löydettävissä rekisterinpitäjän verkkosivuston tietosuojaselosteesta tai että rekisteröity ohjataan tutustumaan tietosuojaselosteeseen. Riittävää ei myöskään ole, että rekisterinpitäjä vastaa rekisteröityjen esittämiin kysymyksiin, vaan rekisterinpitäjällä itsellään on yleisen tietosuoja-asetuksen 14 artiklan mukainen velvollisuus toimittaa rekisteröidylle henkilötietojen käsittelyä koskevat tiedot. Edellä esitetysti tiedot on toimitettava rekisteröidylle viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran.

Silloin, kun rekisteröidyn yhteystiedot on hankittu puhelinmarkkinointia varten muualta kuin rekisteröidyltä itseltään, keskeisimmät henkilötietojen käsittelyä koskevat tiedot voidaan antaa rekisteröidylle markkinointipuhelun aikana. Rekisteröityyn ei siten ole tässä tapauksessa välttämätöntä olla ensin yhteydessä yksinomaan henkilötietojen käsittelystä informoimiseksi. Puhelun aikana rekisteröidylle on tällöin annettava kaikkein keskeisimmät henkilötietojen käsittelyä koskevat tiedot, eli hänelle on kerrottava rekisterinpitäjän ja tämän mahdollisen edustajan identiteetti- ja yhteystiedot, hänen henkilötietojensa käsittelyn tarkoitukset sekä tiedot rekisteröidyn oikeuksista. 2 On korostettava, että rekisteröidylle on oltava selvää, minkä nimisen rekisterinpitäjän tuotteiden tai palveluiden markkinoinnista on kyse, eikä esimerkiksi tieto markkinointia rekisterinpitäjän lukuun suorittavan toimijan identiteetistä ole riittävä. 3   Kun kyse on muualta kuin rekisteröidyltä itseltään hankituista henkilötiedoista, erityisen tärkeänä, markkinointipuhelun aikana rekisteröidylle annettavana tietona on pidettävä myös tietoa siitä, mistä kyseisen rekisteröidyn henkilötiedot on saatu. Rekisteröidyn on tärkeää saada tässä yhteydessä tieto henkilötietojensa lähteestä esimerkiksi sen vuoksi, että hän pystyy halutessaan esittämään henkilötietojensa käsittelyn vastustamista tai poistamista koskevan pyynnön myös kyseiselle toimijalle, jotta hänen tietonsa eivät päädy aina uudelleen tätä kautta suoramarkkinointikäyttöön. Todettakoon selvyyden vuoksi, että rekisterinpitäjä, jonka tuotteita tai palveluita suoramarkkinointipuhelussa markkinoidaan, ei aina ole henkilötietojen lähde, vaan suoramarkkinoinnissa käytettävät henkilötiedot on saatettu hankkia muualta.

Muut yleisen tietosuoja-asetuksen 14 artiklassa mainituista tiedoista voidaan antaa rekisteröidylle muiden keinojen avulla, kuten lähettämällä rekisteröidylle tietosuojainformaatio maa- tai sähköpostitse, riippuen siitä, mitä rekisteröidyn yhteystietoja rekisterinpitäjä jo käsittelee. Rekisteröity voidaan vaihtoehtoisesti ohjata tutustumaan näiden tietojen osalta rekisterinpitäjän verkkosivuilta löytyvään tietosuojainformaatioon. Jos rekisteröity ei esimerkiksi halua tai pysty vierailemaan rekisterinpitäjän verkkosivuilla, yleisen tietosuoja-asetuksen 14 artiklan mukaiset tiedot henkilötietojen käsittelystä on annettava muulla keinoin, ja rekisterinpitäjällä on oltava valmius antaa sanotut tiedot suoramarkkinointipuhelussa. Myös suoramarkkinointikiellon voi esittää suoramarkkinointipuhelun aikana, ja kielto on käsiteltävä.

Asiassa saadun selvityksen perusteella kyse on nyt arvioitavan informointikäytännön osalta ollut rekisterinpitäjän yleisestä toimintatavasta, eikä menettely ole rajoittunut yksinomaan tämän asian vireillesaattajaan. Asiassa edellä arvioidun menettelyn osalta määrättävät seuraamukset koskevat näin ollen rekisterinpitäjän yleistä toimintatapaa. Rekisterinpitäjän yleinen toimintatapa ei tässä päätöksessä edellä esitetysti ole ollut yleisen tietosuoja-asetuksen 14 artiklan mukainen, ja rekisterinpitäjä ei ole informoinut asianmukaisesti niitä rekisteröityjä, joiden yhteystiedot se on hankkinut muualta kuin rekisteröidyiltä itseltään. 

Rekisteröidyn ohjaaminen esittämään rekisteröidyn oikeuksia koskeva pyyntö uudelleen

Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä kertonut, että se ohjaa asiakaspalveluun rekisteröidyn oikeuksia koskevan pyynnön esittäneitä esittämään pyyntönsä uudelleen rekisterinpitäjän tietosuojavastaavan sähköpostiosoitteeseen.

Rekisteröidyn oikeuksia koskevassa sääntelyssä ei edellytetä, että rekisteröity esittää rekisteröidyn oikeuksia koskevan pyyntönsä tietylle taholle rekisterinpitäjäorganisaation sisällä. 4

Euroopan tietosuojaneuvosto on lausuntokäytännössään ottanut kantaa tilanteeseen, jossa rekisteröidyn oikeuksia koskeva pyyntö on esitetty muun kuin ensisijaisen yhteydenottokanavan kautta: ”Jos rekisteröity kuitenkin esittää pyynnön käyttäen rekisterinpitäjän tarjoamaa viestintäkanavaa, joka poikkeaa ensisijaiseksi ilmoitetusta kanavasta, tällaista pyyntöä pidetään yleisesti ottaen asianmukaisena ja rekisterinpitäjän olisi käsiteltävä pyyntö sen mukaisesti”. 5   Pyynnön esittäminen muun kuin ensisijaiseksi ilmoitetun yhteydenottokanavan kautta ei siten ole itsessään peruste jättää pyyntö käsittelemättä.

Rekisteröidyn oikeuksia koskevassa sääntelyssä rekisterinpitäjältä edellytetään myöskin rekisteröidyn oikeuksien käytön helpottamista (yleisen tietosuoja-asetuksen 12(2) artikla). Käsillä olevassa asiassa on kyse tilanteista, joissa rekisteröity on esittänyt rekisteröidyn oikeuksia koskevan pyynnön rekisterinpitäjän asiakaspalveluun. Tällöin pyynnön esittäminen uudelleen edellyttää rekisteröidyltä ylimääräistä vaivannäköä. Rekisterinpitäjän asiakaspalveluun toimitettu pyyntö on niin ikään jo toimitettu rekisterinpitäjälle. Asiakaspalvelu on asiakkaiden yleinen yhteydenottokanava, ja asiakaspalveluun esitettyjen pyyntöjen käsitellyksi tuleminen on rekisteröityjen kohtuullisten odotusten mukaista.

Rekisterinpitäjän tulee siten huolehtia omatoimisesti siitä, että asiakaspalvelusta pyyntö välitetään rekisterinpitäjäorganisaation sisällä sen käsittelevälle taholle. Rekisterinpitäjä ei voi esimerkiksi jättää pyyntöä toteuttamatta sillä perustella, että pyyntö on esitetty rekisterinpitäjän asiakaspalvelulle.

Euroopan tietosuojaneuvoston mukaan ”rekisterinpitäjä ei ole velvollinen vastaamaan pyyntöön, joka on lähetetty satunnaiseen tai virheelliseen sähköpostiosoitteeseen (tai postiosoitteeseen), jota rekisterinpitäjä ei ole suoraan ilmoittanut, tai viestintäkanavaan, jota ei selvästikään ole tarkoitettu rekisteröidyn oikeuksia koskevien pyyntöjen vastaanottamiseen, jos rekisterinpitäjä on tarjonnut tarkoituksenmukaisen viestintäkanavan, jota rekisteröity voi käyttää”. 6   Nyt arvioitavassa asiassa ei kuitenkaan ole kyse tällaisesta tilanteesta, vaan kyse on rekisteröidyn oikeuksia koskevien pyyntöjen esittämisestä rekisterinpitäjän pääasialliseen yhteydenottokanavaan.

Rekisterinpitäjän olisi siten edellä esitetysti tullut käsitellä rekisteröityjen asiakaspalvelulle esittämät pyynnöt, eikä rekisteröityjä olisi tullut ohjata esittämään pyyntönsä uudelleen rekisterinpitäjän tietosuojavastaavalle. Rekisterinpitäjä on menettelyllään vaikeuttanut rekisteröidyn oikeuksien käyttöä ja toiminut siten yleisen tietosuoja-asetuksen 12(2) artiklan vastaisesti.

Vaatimus toimittaa jäljennös henkilöllisyystodistuksesta

Rekisterinpitäjä on yleisenä toimintatapanaan edellyttänyt toimittamaan jäljennöksen henkilöllisyystodistuksesta rekisteröidyn tunnistamiseksi tilanteissa, joissa rekisteröidyn oikeuksia koskeva pyyntö on esitetty muulla tavoin kuin rekisterinpitäjän hallussa olevasta puhelinnumerosta tai sähköpostiosoitteesta. Esimerkiksi rekisterinpitäjän verkkosivuston yhteydenottolomakkeen kautta pyynnön esittäneiltä on edellytetty henkilöllisyystodistusjäljennöksen toimittamista.

Yleisen tietosuoja-asetuksen mukainen tietojen minimointivaatimus (yleisen tietosuoja-asetuksen 5(1)(c) ja 25(2) artikla) edellyttää, että rekisterinpitäjän käsittelemät henkilötiedot ovat asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Minimointivaatimus edellyttää siten esimerkiksi, että rekisterinpitäjä ei pyydä rekisteröidyltä enempää tietoja kuin tämän riittävää tunnistamista varten on tarpeen. Yleisen tietosuoja-asetuksen 12(6) artiklan mukaan silloin, jos rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.

Rekisterinpitäjän tulisi näin ollen ensisijaisesti pyrkiä tunnistamaan rekisteröidyn oikeuksia koskevan pyynnön esittänyt sellaisten tietojen avulla, joita rekisterinpitäjä jo käsittelee. 

Käsillä olevassa asiassa rekisterinpitäjä on edellyttänyt toimittamaan jäljennöksen henkilöllisyystodistuksesta rekisteröidyn tunnistamista varten. Luontaistuotteiden vähittäiskauppaa harjoittava rekisterinpitäjä ei asiassa saadun selvityksen perusteella käsittele toiminnassaan tavanomaisesti kaikkia henkilöllisyystodistuksiin sisältyviä tietoja, kuten esimerkiksi rekisteröityjen syntymäaikoja, henkilötunnuksia tai valokuvia. Näin erityisesti, kun kyse on sellaisista rekisteröidyistä, joiden osalta rekisterinpitäjä käsittelee vain yhteystietoja suoramarkkinointia varten. Rekisterinpitäjän menettelyssä on siten ollut kyse sellaisten lisätietojen keräämisestä rekisteröidyn tunnistamistarkoituksessa, joita rekisterinpitäjä ei entuudestaan käsittele. 7

Silloin, kun rekisteröity ei suoraan esitä pyyntöään rekisterinpitäjän hallussa olevasta puhelinnumerosta tai sähköpostiosoitteesta, ei sellaisenaan voida katsoa olevan käsillä tilanne, jossa rekisteröidyltä olisi mahdollista pyytää lisätietoja, joita rekisterinpitäjä ei ennestään käsittele. Rekisterinpitäjällä on sen sijaan käytettävissään muita keinoja, joiden avulla se voi pyrkiä tunnistamaan rekisteröidyn riittävällä tavoin.

Rekisterinpitäjä ei asiassa saadun selvityksen perusteella ole kertonut niille rekisteröidyille, jotka ovat esittäneet pyyntönsä muulla tavoin kuin rekisterinpitäjän hallussa olevasta puhelinnumerosta tai sähköpostiosoitteesta, että tunnistautumisen voi tehdä ottamalla yhteyttä rekisterinpitäjän hallussa olevasta puhelinnumerosta tai sähköpostiosoitteesta. Rekisterinpitäjä ei ole myöskään esittänyt rekisteröidyille muita tunnistautumistapoja, vaan se on selvityksen perusteella tavanomaisena toimintatapanaan edellyttänyt näiltä rekisteröidyiltä henkilöllisyystodistusjäljennöksen toimittamista. Kyse ei siten ole ollut siitä, että rekisterinpitäjällä olisi ollut yleisen tietosuoja-asetuksen 12(6) artiklassa tarkoitettu perusteltu syy epäillä yksittäisen pyynnön esittäjän henkilöllisyyttä. Rekisterinpitäjä ei asiassa saadun selvityksen perusteella ole ylipäätään arvioinut asianmukaisesti, ovatko perusteet tällaisten lisätietojen keräämiselle käsillä.

Rekisterinpitäjä ei ole myöskään ottanut huomioon asianmukaisella tavalla sitä, että rekisterinpitäjän tulee helpottaa rekisteröidyn oikeuksien käyttämistä (yleisen tietosuoja-asetuksen 12(2) artikla). Henkilöllisyystodistusjäljennöksen hankkimisesta ja toimittamisesta voi aiheutua rekisteröidylle merkittävää lisävaivaa, mikä rekisterinpitäjän olisi tullut ottaa huomioon, kun se on määrittänyt tunnistamismenettelyään. 

Asiassa saadun selvityksen perusteella rekisterinpitäjä ei ole arvioinut asianmukaisella tavalla sen käytettävissä olevia, lievempiä keinoja rekisteröidyn riittäväksi tunnistamiseksi. Rekisterinpitäjä ei niin ikään ole toimintatapaansa määritellessään huomioinut, että sanottu menettelytapa lähtökohtaisesti johtaa tarpeettomien henkilötietojen käsittelyyn. Euroopan tietosuojaneuvosto on lausuntokäytännössään todennut henkilöllisyystodistusjäljennöksen käyttämisestä tunnistamistarkoituksessa seuraavaa: ”[…] henkilötodistuksen jäljennöksen käyttäminen osana todentamisprosessia aiheuttaa riskin henkilötietojen turvallisuudelle ja voi johtaa luvattomaan tai lainvastaiseen käsittelyyn. Tämän vuoksi sitä olisi pidettävä epäasiallisena, ellei se ole välttämätöntä, sopivaa ja kansallisen lainsäädännön mukaista”.  Rekisterinpitäjän olisi ennen käsittelytoimiin ryhtymistä tullut tehdä asianmukainen arvio siitä, millaisten tietojen pyytäminen tunnistamistarkoituksessa on tarpeellista ja oikeasuhtaista.

On korostettava, että esimerkiksi asian vireille saattaneen henkilön esittämän tietojen poistopyynnön kohdalla kyse on ollut rekisteröidyn yhteystiedoista, jotka ovat olleet yksinomaan suoramarkkinointikäytössä. Rekisterinpitäjän olisi tullut huomioida, että henkilöllisyystodistusjäljennöstä edellyttäessään se asettaa erityisesti käsittelyn laajuus ja luonne huomioon ottaen kohtuuttoman kynnyksen sanottujen tietojen poistamispyynnön toteuttamiselle.  Henkilöllisyystodistusjäljennöksen pyytäminen on ollut tässä tilanteessa selkeästi ylimitoitettua riippumatta siitä, onko pyyntö esitetty rekisterinpitäjän hallussa olevasta puhelinnumerosta vai ei.

Rekisterinpitäjä ei edellä esitetysti ole noudattanut yleisen tietosuoja-asetuksen 5(1)(c), 12(2), 12(6) ja 25(2) artiklan mukaisia velvoitteitaan. Rekisterinpitäjä on henkilöllisyystodistusjäljennöksen toimittamista järjestelmälliseen tapaan edellyttämällä kerännyt rekisteröityjen tunnistamistarkoituksessa henkilötietoja, joita se ei ole ennestään käsitellyt. Rekisterinpitäjällä olisi ollut käytettävissään muita, lievempiä keinoja rekisteröityjen tunnistamiseksi. Rekisterinpitäjä on edellä todetusti menettelyllään niin ikään hankaloittanut rekisteröidyn oikeuksien käyttämistä.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Itä-Suomen hallinto-oikeuteen.

Valitusosoitus on liitteenä.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös ei ole lainvoimainen.

Lisätietoja tästä päätöksestä antaa asian esittelijä

Ylitarkastaja Niina Miettinen, puh. 029 566 6774, niina.miettinen(at)om.fi

1 Ks. tarkemmin yleisen tietosuoja-asetuksen 14 artiklan 1 ja 2 kohta.

2 Ks. myös Tietosuojatyöryhmän Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, annettu 29. marraskuuta 2017, viimeksi tarkistettu ja hyväksytty 11. huhtikuuta 2018 (WP260 rev.01), kohta 38.

3 Rekisterinpitäjät eivät aina tee suoramarkkinointiyhteydenottoja itse, vaan niin sanotut suoramarkkinointiyritykset saattavat hoitaa tämän tehtävän rekisterinpitäjän puolesta.

4 Myöskään pyynnön muodolle ei ole asetettu erityisiä vaatimuksia.

5 Euroopan tietosuojaneuvoston Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1, hyväksytty 28. maaliskuuta 2023, kohta 53.

6 Euroopan tietosuojaneuvoston Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1, hyväksytty 28. maaliskuuta 2023, kohta 54.

7 Rekisterinpitäjä on selvityksessään esittänyt, että se ohjaa rekisteröityjä peittämään henkilöllisyystodistuksesta henkilötunnuksen. Asian tietosuojavaltuutetun toimistossa vireille saattaneen henkilön kohdalla näin ei ole toimittu.

Top of page