10.7.2020

ASIA

Osakasluetteloista saatujen henkilötietojen luovuttaminen suoramarkkinointitarkoituksiin, suoramarkkinointia varten kerättävä suostumus ja rekisteröidyn vastustamisoikeuden toteuttaminen, henkilötietojen käsittelyn kohtuullisuus ja läpinäkyvyys puhelinpalvelussa, rekisterinpitäjän yleisen tietosuoja-asetuksen mukaisten velvollisuuksien täyttäminen

Vireillesaattaja on 19.12.2018 kertonut epäilevänsä, ettei Euroclear Finland Oy:n toiminta osakastietojen luovuttamisessa täytä tietosuojasääntelyn edellytyksiä. […]

Euroclear Finland Oy:ltä saatu selvitys

Euroclear Finland Oy on kertonut ylläpitävänsä laissa vaadittuja julkisia osakasluetteloita. Kesäkuussa 2018 avattu puhelinpalvelu palvelee ennen kaikkea kauempana asuvia, ja rinnastuu Euroclearin mukaan toimipisteellä tarjottavaan osakasluetteloiden julkiseen nähtävillä pitoon – julkisuusaste on molemmissa sama. Kumpaakaan kautta tietoja ei myöskään ole saatavissa pelkästään rekisteröidyn nimellä, vaan haku tehdään aina yhtiön tai osuuskunnan kautta. Puhelinpalvelua koskevan toiminnan osalta Euroclear katsoo toimivansa henkilötietojen käsittelijänä yhtiön tai osuuskunnan lukuun. Euroclear on kertomansa mukaan pyytänyt ja saanut toiminnalleen hyväksynnän soittamalla tietosuojavaltuutetun toimistolle.

Salaisten osoitetietojen luovuttamisen osalta Euroclear toteaa, että silloin, kun osakkaalla on ns. turvakielto, osakkeenomistajalla on velvollisuus ilmoittaa tästä joko yhtiölle tai suoraan Euroclearille. Euroclear kertoo muistuttavansa yhtiöitä tästä asiasta asiakastapaamisissa. Kun tieto turvakiellosta on saatu, osoitetieto ei ole tämän jälkeen enää saatavilla yleisöpäätteellä tai puhelimitse. Tieto turvakiellosta ei päivity suoraan Euroclearille, eikä osoitetietoaan saa pois puhelinpalvelusta muuten kuin turvakiellon kautta.

Tietojen luovuttaminen suoramarkkinointiin on Euroclearin mukaan mahdollista, koska OYL 3 luvun 17 §:n mukaan osakasluettelosta tai sen osasta voi luovuttaa jäljennöksiä, eikä lainkohdassa rajata sitä, mihin tarkoituksiin näitä tietoja voidaan luovuttaa. Käyttötarkoitus selvitetään ennen tietojen luovuttamista, ja suoramarkkinointitarkoituksiin tietoja käyttävä voi saada osakasluettelon silloin, kun käsittelyperusteena on oikeutettu etu. Suoramarkkinointiin luovutettavat tiedot ovat: nimi, osoite tai kotipaikka, syntymäaika, kansalaisuus, omistustiedot, odotusluettelomäärät, sekä odotusluettelolla olon syy ja tiedot mahdollisista yhteisomistajista. Alle 18-vuotiaiden tai suoramarkkinointikieltoa pyytäneiden rekisteröityjen tietoja ei luovuteta. Rekisteröidyn informointivelvollisuus suoramarkkinoinnista on Euroclearin mukaan yhtiöllä tai osuuskunnalla, koska Euroclear toimii henkilötietojen käsittelijänä.

Suoramarkkinoinnin kohdalla osakas voi ilmoittaa Euroclearille, ettei hänen tietojaan saa käyttää tällaiseen tarkoitukseen tai esimerkiksi mielipide- ja markkinatutkimuksiin. Tietoja ei tämän jälkeen enää luovuteta näihin tarkoituksiin. Puhelinpalvelussa tietojen käyttötarkoitusta ei kuitenkaan kysytä, mutta yhden puhelun aikana annetaan tietoja korkeintaan viidestä omistuksesta. Mikäli rekisteröity havaitsee virheen tiedoissaan, hänen tulee olla yhteydessä tilinhoitajaan, joka voi korjata virheelliset arvo-osuustiliin liitetyt henkilötiedot.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta. Asiassa on kysymys suoramarkkinoinnista, henkilötietojen käsittelyn kohtuullisuudesta ja läpinäkyvyydestä, sekä rekisterinpitäjän tietosuoja-asetuksen mukaisten velvoitteiden täyttämisestä.

Apulaistietosuojavaltuutetun on ratkaistava, tuleeko rekisterinpitäjälle antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet asetuksen säännösten mukaisiksi.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS

Rekisterinpitäjälle annetaan TSA 58 artiklan 2 kohdan b alakohdan mukainen huomautus. Rekisterinpitäjälle annetaan lisäksi TSA 58 artiklan 2 kohdan d alakohdan mukainen määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi.

Perustelut

Euroclear Finland Oy:n asema henkilötietojen käsittelijänä

Euroclear katsoo toimivansa puhelinpalvelun osalta henkilötietojen käsittelijänä. Rekisterinpitäjänä toimii Euroclearin näkemyksen mukaan osakeyhtiö tai osuuskunta, mutta puhelinpalvelusta ei kuitenkaan ole sovittu jokaisen yhtiön ja osuuskunnan kanssa erikseen.

Tämän osalta voidaan ensinnäkin todeta, että henkilötietojen käsittelyn tarkoituksen ja keinojen määrittely kuuluu rekisterinpitäjälle (tietosuoja-asetuksen 4(7) artikla). Tässä kohtaa on myös huomioitava, että sama yritys voi esimerkiksi saman toimeksiannon sisällä toimia joidenkin toimintojen osalta rekisterinpitäjänä, ja joidenkin osalta käsittelijänä. Roolitus määritellään aina rajatussa kontekstissa, tapauskohtaisten tosiseikkojen mukaan (WP169, s. 8 ja 24), eikä siitä ole mahdollista määrätä sopimusteitse.

Käsittelyn tarkoitukset voi määritellä vain rekisterinpitäjä, mutta keinojen osalta rajanveto ei ole yhtä mustavalkoinen. Keinojen kohdalla rekisterinpitäjän on näet mahdollista valtuuttaa henkilötietojen käsittelijä tekemään päätöksiä siitä, miten henkilötietoja käsitellään, kun kyse on teknisistä ja organisatorisista seikoista (WP169, s. 14). Jos käsittelijä kuitenkin päättää oma-aloitteisesti laventaa käsittelyn keinoja, on huomattava, ettei se silloin toimi rekisterinpitäjältä saadun valtuutuksen oikeuttamana. Euroclearin tapauksessa ei ole myöskään kyse teknisten ja organisatoristen seikkojen alle menevistä toimenpiteistä. Näin ollen Euroclear on tehnyt sellaisia henkilötietojen käsittelyä koskevia päätöksiä, joiden tekeminen kuuluu rekisterinpitäjälle. Tämän myötä se on muuttunut tuon käsittelyn osalta itse rekisterinpitäjäksi (tietosuoja-asetuksen 28(10) artikla) ja sen on pitänyt siitä hetkestä lähtien ryhtyä toteuttamaan tietosuoja-asetuksesta rekisterinpitäjälle tulevia velvollisuuksia, ja käsittelyn on tullut täyttää esimerkiksi asetuksen 5 ja 6 artikloista tulevat vaatimukset. Jos näitä velvollisuuksia ei ole toteutettu, henkilötietojen käsittely on ollut lainvastaista. Lisäksi on kiinnitettävä huomiota siihen, ettei puhelinpalvelusta ole sovittu kaikkien rekisterinpitäjien (eli yhtiöiden ja osuuskuntien) kanssa. Näissä tapauksissa puhelinpalvelu ei ole oletettavasti sisältynyt rekisterinpitäjän Euroclearille antamaan ohjeistukseen, ja tietosuoja-asetuksen artikla 28(3)(a) edellyttää, että käsittelijä käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti.

Puhelinpalvelu ja osakasluettelon julkisuus

Euroclear perustelee puhelinpalvelua osakasluettelon julkisuuden toteuttamisella ja puhelinpalvelun rinnastumisella osakeyhtiölain ja osuuskuntalain mukaiseen nähtävillä pitoon. Osakasluettelon julkisuus määräytyy kuitenkin asianomaisen yhteisölainsäädännön nojalla (ks. esim. HE 104/1990, s. 68), ja osakeyhtiön osakasluettelon julkisuus on nimenomaisesti määritelty osakeyhtiölain 3 luvun 17 §:ssä ( Osakasluettelon julkisuus ). Lainsäätäjä on siinä ratkaissut, miten luettelon julkisuus toteutetaan, ja lainkohdan mukaan ” Osakasluettelo on pidettävä jokaisen nähtävänä yhtiön pääkonttorissa. Arvo-osuusjärjestelmään kuuluvan yhtiön osakasluettelo voidaan kuitenkin pitää jokaisen nähtävänä arvopaperikeskuksen toimipaikassa Suomessa. Jokaisella on oikeus kulut korvattuaan saada jäljennös osakasluettelosta tai sen osasta ”. Säännöksessä on ilmaistu sekä välttämätön että sallittu osakasluettelon julkisuuden toteuttamistapa.

Osuuskunnan kohdalla omistajaluettelon julkisuus toteutuu luettelon nähtävänä pitämisellä osuuskunnan pääkonttorissa (osuuskuntalain 4 luvun 16 §). Myös osuuskunnan luettelosta on mahdollista saada jäljennös. Näin ollen, vaikka luetteloiden julkisuuden taustalla on varmastikin rekisteröidyn henkilötietojen suojaamisen ohella kolmansien tahojen tiedontarpeet, julkisuuden toteutustapa on määritelty lainsäädännössä nimenomaisesti niin yhtiöiden kuin osuuskuntienkin kohdalla. Viime vuosina on pohdittu sähköistä osakasluettelopalvelua myös arvo-osuusjärjestelmään kuulumattomille yhtiöille, mutta puhelinpalvelu järjestelmään kuuluville ei ole ollut suunnitelmissa (ks. Oikeusministeriön mietintöjä ja lausuntoja 20/2016: osakeyhtiölain muutostarve: arviomuistio).

Suoramarkkinointi

Vastaanottajalla, jolle luovutetaan henkilötietoja suoramarkkinointitarkoituksiin, tulee olla tietosuoja-asetuksen mukainen käsittelyperuste henkilötietojen käsittelylle. Lisäksi sähköisen suoramarkkinoinnin kohdalla käsittelyä varten tarvitaan pääsääntöisesti rekisteröidyn ennalta antama suostumus (poikkeuksen tästä muodostavaa sähköisen viestinnän palveluista annetun lain 200.3 §, ks. myös HE 125/2003 vp, s. 80; yhteisöille suunnatusta suoramarkkinoinnista ks. sähköisen viestinnän palveluista annetun lain 202 §). Tämän ohella tietosuoja-asetuksen 13 artikla edellyttää, että rekisteröityä informoidaan niistä tahoista, joille henkilötietoja luovutetaan. Ilman asianmukaista informointia rekisteröity ei kykene käyttämään tietosuoja-asetuksen 21 artiklan mukaista vastustamisoikeuttaan.

Euroclear on kertonut, että tietoja saa heiltä suoramarkkinointitarkoituksia varten silloin, kun käsittelyperusteeksi ilmoitetaan oikeutettu etu. Tämän osalta voidaan todeta, että rekisterinpitäjällä tulee olla tietosuoja-asetuksen 6 artiklan mukainen käsittelyperuste, kun se käsittelee henkilötietoja. Jos rekisterinpitäjä haluaa kohdistaa sähköistä suoramarkkinointia luonnolliseen henkilöön, rekisterinpitäjällä tulee tällöin olla rekisteröidyltä hankittu tietosuoja-asetuksen 7 artiklan edellytykset täyttävä suostumus sähköiseen suoramarkkinointiin. Näiden käsittelyperusteiden olemassaolosta huolehtiminen kuuluu sille taholle, jolle tietoja luovutetaan, ei tietojen luovuttajalle. Tietojen luovutuksesta ei kuitenkaan voi päättää henkilötietojen käsittelijä, vaan sen tulee käsitellä henkilötietoja rekisterinpitäjän antaman ohjeistuksen mukaisesti. Ohjeistuksen ulkopuolella toimiminen johtaa roolin muuttumiseen käsittelijästä rekisterinpitäjäksi ja samalla useiden asetuksen artiklojen rikkomiseen (ks. aiempi kappale Euroclear Finland Oy:n asema henkilötietojen käsittelijänä ).

Euroclear kertoo myös, ettei se näe velvollisuudekseen informoida rekisteröityä suoramarkkinointikäytöstä, koska se katsoo itsensä henkilötietojen käsittelijäksi. Informointivelvollisuus kuuluu sen mukaan rekisterinpitäjälle, eli yhtiöille ja osuuskunnille. Käsittelijäroolistaan johtuen Euroclear arvioi, ettei rekisteröidyn oikeuksien toteutuminen ylipäänsä kuulu sen vastuulle. Informointi suoramarkkinoinnista on Euroclearin mukaan hoidettu siten, että suoramarkkinointikiellosta kerrotaan sekä sen verkkosivuilla että arvo-osuusrekisterin rekisteriselosteessa. Lisäksi Euroclear kertoo pitävänsä suoramarkkinointikieltoasiaa mukana keskusteluissa yhtiöiden kanssa esimerkiksi sisällyttämällä tästä maininnan Euroclearin palvelujen esittelymateriaaliin. Jos Euroclear on päättänyt suoramarkkinointikäytöstä ilman rekisterinpitäjän ohjeistusta, se on kuitenkin tässäkin kohtaa muuttunut rekisterinpitäjäksi, ja sille on välittömästi syntynyt velvollisuus ryhtyä toteuttamaan rekisteröidyn oikeuksia. Myöskään pelkkä maininta suoramarkkinoinnista verkkosivuilla tai rekisteriselosteessa ei lähtökohtaisesti ole riittävä, jos tätä tietoa ei ole tuotu esille samassa yhteydessä, kun henkilötietoja on kerätty.

Kohtuullisuuden ja läpinäkyvyyden periaatteet (tietosuoja-asetuksen 5(1)(a) artikla)

Jokaisen edellä esitetyn epäkohdan osalta ongelmaksi nousee myös kohtuullisuuden ja läpinäkyvyyden periaatteisiin liittyvät vaatimukset.

Kohtuullisuus edellyttää, että käsittelyssä on huomioitu rekisteröidyn odotukset (EDPB Guidelines 4/2019, s. 16). Koska osakasluetteloiden tietojen luovuttamistapoja on laajennettu laissa säädetystä, kohtuullisuuden periaate ei ole toteutunut. Läpinäkyvyyden periaate puolestaan edellyttää, että rekisteröityä informoidaan oikea-aikaisesti hänen henkilötietojensa käytöstä. Suoramarkkinoinnin kohdalla tämä vaatimus ei ole selvityksen mukaan täyttynyt. Suoramarkkinoinnin kohdalla ongelmalliseksi muodostuu myös se, että sekä kohtuullisuuden että läpinäkyvyyden periaate edellyttää, että rekisterinpitäjä tiedottaa rekisteröityä mahdollisuuksista turvautua rekisteröidylle kuuluviin oikeuksiin. Lisäksi rekisteröidyn tulee tietää käsittelyn luonteesta ja tarkoituksista. Rekisteröidyille on näin saattanut jäädä epäselväksi, että heillä on suoramarkkinoinnin kohdalla erityisen keskeinen henkilötietojen käsittelyn vastustamisoikeus.

Tietosuojavaltuutetun toimistolle tehtyjen yhteydenottojen osalta voidaan vielä todeta, ettei tietosuojavaltuutetulla ole tietosuoja-asetuksen 36 artiklan mukaista ennakkokuulemista luukunottamatta toimivaltaa ennakolta arvioida tai hyväksyä rekisterinpitäjän esittämiä tapoja käsitellä henkilötietoja. Koska kyse on ollut puheluista, ei myöskään ole selvää, mitä Euroclear on tarkalleen ottaen kysynyt ja mitä sille on sanatarkasti vastattu. Koska puhelut on osoitettu tarkastajille, on oletettavissa, että kyseessä on ollut tietosuojavaltuutetun toimiston neuvontapuhelin, josta on mahdollista saada yleisluontoista ohjausta, ei esimerkiksi hyväksyntää henkilötietojen käsittelylle. Rekisterinpitäjä vastaa itse siitä, että se käsittelee henkilötietoja lainmukaisesti.

Sovelletut lainkohdat

Perusteluissa mainitut.

Päätös ei ole lainvoimainen.