Henkilötietojen käsittely sopimuksen perusteella sähköistä postilaatikkoa varten ja informointi palvelun aktivoitumisesta
- Asiasanat
- Käsittelyperuste, Sopimus, Palvelut, Informointi
- Tapausvuosi
- 2024
- Antopäivä
- Diaarinumero
- TSV/4/2018
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Tietosuojavaltuutetun ja seuraamuskollegion päätökset
Asia
Postin OmaPosti-palveluun liittyvä henkilötietojen käsittely
Rekisterinpitäjä
Posti Jakelu Oy
1. Asiassa on kyse Posti Jakelu Oy:n (myöhemmin myös: Posti, rekisterinpitäjä) sähköisen OmaPosti-postilaatikon luomiseen liittyvästä henkilötietojen käsittelystä. Tietosuojavaltuutetun toimisto on ottanut asian tutkittavaksi 7.7.2020.
2. Asiaan liittyvä kantelu on tullut vireille tietosuojavaltuutetun toimistossa 5.7.2018. Vireillesaattaja on ilmoituksessaan kertonut, että hänen potilasasiakirjansa ja laskunsa menevät Postin sähköiseen verkkopalveluun ilman, että häneltä olisi saatu tähän lupa. Vireillesaattaja ei kertomansa mukaan ole halunnut sähköistä postilaatikkoa, eikä hänen ole henkilökohtaisista syistä mahdollista käyttää sähköisiä palveluja. Kantelun jälkeen rekisterinpitäjän menettely on otettu tietosuojavaltuutetun toimiston oma-aloitteiseen tutkintaan.
3. Kantelun vireillesaattaja ei ole rekisterinpitäjän yleisellä tasolla arvioitua toimintatapaa koskevassa asiassa hallintolain (434/2003) 11 §:n mukainen asianosainen, koska asiassa annettava päätös ei tule koskemaan vireillesaattajan oikeutta, etua tai velvollisuutta. Päätös annetaan kuitenkin tiedoksi vireillesaattajalle.
Tietosuojavaltuutetun päätös
Rekisterinpitäjältä saatu selvitys
Selvityspyyntö 7.7.2020
4. Tietosuojavaltuutetun toimisto on pyytänyt Postilta selvitystä asiassa 7.7.2020 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 17.7.2020.
5. Postin selvityksen mukaan henkilötietojen käsittely OmaPosti-palvelussa perustuu Postin ja kuluttaja-asiakkaan väliseen sopimukseen.
6. Selvityksen mukaan OmaPosti-palvelu on useasta eri palvelusta muodostuva kokonaisuus. Asiakas ei voi irtisanoa OmaPosti-palvelua niin, että osa Postin sähköisistä kuluttajapalveluista jää voimaan. Palvelukokonaisuuteen kuuluvat muun muassa sähköinen postilaatikko, lähetysten seuranta ja laskujen maksaminen.
7. Selvityksen mukaan Postin sähköisiä kuluttajapalveluita koskevaa sopimusta ei voi hyväksyä vain osittain, eikä sitä myöskään voi irtisanoa vain osittain.
8. Kuluttaja-asiakas ottaa OmaPostin käyttöön joko kirjautumalla suoraan OmaPostiin tai Muuttoilmoitus-palvelun kautta. Kun kuluttaja-asiakas ottaa OmaPostin käyttöön kirjautumalla OmaPostiin ensimmäisen kerran tai aktivoi palvelun Muuttoilmoitus-palvelussa, sähköinen postilaatikko luodaan.
9. Posti esittää selvityksessään, että sähköisten kirjeiden välittäminen OmaPostiin edellyttää, että sekä lähettäjä että vastaanottaja ovat tehneet tätä koskevan sopimuksen. Kun vastaanottajana oleva kuluttaja-asiakas on ottanut OmaPosti-palvelun käyttöön, Posti voi jakaa hänelle osoitettuja kirjeitä ja laskuja OmaPostiin sähköisessä muodossa.
10. Asiakas voi Postin mukaan lähtökohtaisesti itse päättää, miltä lähettäjiltä hän haluaa ottaa kirjeitä vastaan vain sähköisessä muodossa. Tämä tapahtuu OmaPostin asetuksista kohdasta “ Lähettäjävalinnat ”. Asiakkaan tekemät valinnat välitetään OmaPosti-palvelussa mukana oleville lähettäjille. Kukin lähettäjä puolestaan määrittää itse, mitä sen lähettämiä kirjeitä on mahdollisuus vastaanottaa sähköisenä. Jotkut yritykset saattavat lähettää esimerkiksi laskut sähköisinä, mutta muun viestinnän vain paperilla. Kirjettä ei toimiteta paperisena, jos lähettäjä on valinnut ainoastaan sähköisen toimitustavan.
11. Jos asiakas haluaa saada kirjeet vain sähköisesti ja lähettäjäyritys hyödyntää tätä OmaPostin ominaisuutta, paperinen kirje korvautuu täysin sähköisellä kirjeellä. Muussa tapauksessa asiakas saa lähettäjän valinnan mukaan joko pelkästään paperikirjeen taikka paperikirjeen lisäksi kirjeestä sähköisen kopion. Jos asiakas saa yrityksen lähettämän sähköisen kopion, kirjeessä tai laskussa lukee, että se on kopio.
12. Posti on selvityksessään esittänyt, että kuluttaja-asiakas voi itse päättää, keneltä hän haluaa saada OmaPostiin postia sähköisessä muodossa. Hän voi palvelussa olevassa lähettäjäasetukset-toiminnossa valita joko "Kaikki lähettäjät" tai "Valitut lähettäjät". Tilanteessa, jossa kuluttaja-asiakas ei ole tehnyt mitään lähettäjävalintoja, jotkut lähettäjät voivat silti lähettää sähköisen kopion kirjeestä, jonka vastaanottaja saa myös paperisena kirjeenä.
13. Posti on selvityksessään kuitenkin myös kertonut, että OmaPostiin voidaan aina toimittaa sähköisiä kirjeitä ja laskuja seuraavissa kolmessa tapauksessa: 1) palkkalaskelmat, jotka toimitetaan vain sähköisenä kirjeenä; 2) kirjeet ja laskut, joiden lähettäjä on valinnut, että niistä lähetetään myös sähköinen kopio; sekä 3) Postin lähettämät kirjeet.
14. Palvelu otetaan käyttöön joko verkko-osoitteessa https://oma.posti.fi tai lataamalla matkapuhelimeen OmaPosti-mobiilisovellus. Palveluun rekisteröityminen edellyttää Postin käyttäjätunnuksen luomista, joka puolestaan edellyttää vahvan tunnistautumisen esimerkiksi verkkopankkitunnuksilla.
15. Palvelun irtisanomisaika on 14 vuorokautta. Irtisanomisajan alkaessa kaikki sähköisen toimitustavan valinnat poistuvat ja kirjeet jaetaan jatkossa paperisena. Irtisanomisaikana asiakas voi saada vielä joitakin yksittäisiä käsittelyjonossa olleita kirjeitä OmaPostiin. Irtisanomisajan jälkeen viestiarkistot tuhotaan.
Lisäselvityspyyntö 20.8.2020
16. Tietosuojavaltuutetun toimisto on pyytänyt Postilta lisäselvitystä 20.8.2020 päivätyllä lisäselvityspyynnöllä. Posti on antanut asiassa kirjallisen lisäselvityksen 7.9.2020.
17. Selvityksen mukaan kirjeen lähettävän organisaation on aluksi tehtävä operaattorin kanssa sopimus OmaPosti-palvelun käytöstä. Tämän jälkeen lähettäjäyritys toimittaa lähtevän kirje-eränsä sähköisessä muodossa omalle välittäjänä toimivalle palveluntarjoajalleen, kuten tulostus- tai verkkolaskuoperaattorille. Kyseinen välittäjä tekee kyselyn Postin tietojärjestelmään selvittääkseen, löytyykö tiedoilla OmaPostin käyttäjä. (Rekisterinpitäjän selvitys 10.9.2024. Rekisterinpitäjä täsmentää sanotussa selvityksessään, että kirjeitä lähettävä taho tekee sopimuksen operaattorin kanssa, joka solmii sopimuksia lähetysten jakelusta jakeluyhtiöiden kanssa.)
18. Selvityksen mukaan sähköistä postilaatikkoa ei luoda ilman, että asiakas on tunnistautunut, luonut käyttäjätunnuksen ja hyväksynyt sähköisten kuluttajapalveluiden käyttöehdot, joissa palveluiden ominaisuudet on kerrottu.
19. Postinohjauspalveluita, kuten edelleenlähettäminen tai jakelunkeskeytys, voi tilata myös paperilomakkeella ottamatta käyttöön Postin sähköisiä kuluttajapalveluita. Pelkän osoitteenmuutoksen ilman palvelutoimeksiantoa voi selvityksen mukaan tehdä verkkopalvelussa ilman, että asiakkuutta syntyy, eikä sähköistä postilaatikkoa tällöin luoda. Postin verkkopalvelun kautta tehtyjen postinohjauspalveluiden tilauksien yhteydessä luodaan aina Postin käyttäjätunnus ja avataan OmaPosti-palvelu.
20. Selvityksessä todetaan, että OmaPostin palvelukokonaisuuteen kuuluu useita palveluita, muun muassa sähköinen postilaatikko, laskunmaksupalvelut, lähetysten seuranta ja oman noutopisteen valinta. Näistä palveluista ei voi tehdä erikseen sopimusta tai irtisanoa yksittäistä palvelua, vaan ne kuuluvat samaan sähköisten kuluttajapalveluiden palvelukokonaisuuteen. Rekisteröitymisen jälkeen ne ovat kaikki käytettävissä ja irtisanomisen jälkeen ne kaikki lakkaavat.
21. Selvityksen mukaan sähköiset kopiot paperikirjeistä toimitetaan vain, jos lähettäjä niin päättää. Selvityksen mukaan yksittäisen käyttäjän olisi hankalaa tehdä lähettäjäkohtaisia valintoja, sillä itselle merkityksellisiä lähettäjiä on työlästä löytää niiden suuresta joukosta. Kuluttajan valinnanmahdollisuus toteutuu sitä kautta, että hänellä on mahdollisuus olla käyttämättä Postin sähköisiä kuluttajapalveluja.
22. Sähköinen kopio tarkoittaa, että kirje toimitetaan aina normaalisti myös postinjakelussa paperisena kirjeenä. Sähköisiä kopioita koskeva toiminnallisuus on otettu käyttöön jo vuonna 2008, kun palvelu toimi vielä nimellä Netposti.
23. Selvityksen mukaan OmaPostin sähköinen postilaatikko on 1,69 miljoonalla käyttäjällä. Kuukausittain OmaPostiin kirjautuu keskimäärin 0,85 miljoonaa käyttäjää. OmaPostiin on kytkeytynyt noin [lukumäärä poistettu] lähettäjäorganisaatiota.
24. Selvityksen liitteenä toimitetussa Postin sähköisten kuluttajapalveluiden asiakasrekisterin tietosuojaselosteessa todetaan, että Postin sähköisten kuluttajapalveluiden rekisterissä tietojen käsittelyn perusteena on ensisijaisesti asiakkaan kanssa tehdyn sopimuksen noudattaminen, mutta myös Postin lakisääteisten velvoitteiden hoitaminen (esimerkiksi kirjanpitolaki, maksupalvelulaki) tai Postin oikeutettu etu (esimerkiksi markkinatutkimukset, ylläpito ja kehitys sekä tilastointi) tai asiakkaan suostumus (esimerkiksi sähköinen suoramarkkinointi).
Lisäselvityspyyntö 9.11.2020
25. Tietosuojavaltuutetun toimisto on pyytänyt Postilta edelleen lisäselvitystä 9.11.2020 päivätyllä lisäselvityspyynnöllä. Posti on antanut asiassa kirjallisen lisäselvityksen 9.12.2020, ja aiemmissa selvityksissä annetut tiedot ovat täsmentyneet seuraavasti:
26. Selvityksen mukaan OmaPosti-palvelun käyttö on täysin Postin lakisääteisten velvoitteiden ulkopuolella.
27. Selvityksen mukaan kirjettä ei toimiteta lainkaan paperisena, jos lähettäjä on valinnut ainoastaan sähköisen toimitustavan. Kirjeen lähettäjä päättää, mihin kanavaan ja miten se haluaa viestejä, kirjeitä ja laskuja lähettää.
28. Selvityksessä todetaan, että sähköiset kopiot ovat OmaPostin palvelukokonaisuudessa lähettäjän ostettavissa oleva palvelu. Taustalla sähköisten kopioiden toimittamiselle on se, että asiakkaan olisi lähettäjien määrän vuoksi hankalaa valita lähettäjiä. Sähköisen kopion lisäarvo vastaanottajalle on myös se, että kirje on helposti arkistoitavassa muodossa ja se saavuttaa vastaanottajan nopeammin kuin paperinen versio. Ottamalla OmaPostin käyttöön ja hyväksymällä palvelun ehdot asiakas hyväksyy sen, että lähettäjän halutessa sinne voidaan toimittaa paperilla toimitetusta kirjeestä sähköinen kopio.
29. Selvityksessä todetaan, että Posti on rekisterinpitäjä OmaPostin asiakkaiden henkilötietojen käsittelyssä. Käsittelyperuste on kuluttajan kanssa tehdyn sopimuksen täytäntöönpano (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b) alakohta). Sopimus syntyy, kun kuluttaja rekisteröityy palveluun ja hyväksyy palvelun ehdot. Tässä yhteydessä kuluttajan saatavilla on ehtojen lisäksi palvelua koskeva tietosuojaseloste (sähköisten kuluttajapalveluiden tietosuojaseloste), jossa henkilötietojen käsittelystä on kerrottu.
30. Selvityksen mukaan henkilötietoja käsitellään myös Postin lakisääteisten velvoitteiden hoitamiseksi (esimerkiksi kirjanpitolaki, maksupalvelulaki) tai Postin oikeutetun edun perusteella (esimerkiksi markkinatutkimukset, palvelujen ylläpito ja kehitys sekä tilastointi) tai asiakkaan suostumus (esimerkiksi sähköinen suoramarkkinointi).
31. Selvityksen mukaan rekisteröityneenä sähköisten kuluttajapalveluiden asiakkaana voi käyttää seuraavia Postin sähköisiä palveluita vahvasti tunnistautuneena: OmaPosti (sisältää sähköisen postilaatikon ja laskujenmaksupalvelun), Oma Noutopiste, Lähetyksen seuranta ja ohjaus (henkilökohtaiset tiedot), Lähettämisen Osoitekirja, Postin verkkokauppa, Postinohjauspalvelut, Pakettien ja kirjeiden lähettäminen, Postikortti netistä ja Postimerkki omalla kuvalla. Suurinta osaa Postin digitaalisista palveluista pääsee käyttämään OmaPosti-palvelun kautta.
32. Selvityksessä todetaan, että edellä mainituista sähköisistä palveluista seuraavia voi käyttää myös ilman rekisteröitymistä: Postin verkkokauppa, Muuttoilmoitus, Pakettien ja kirjeiden lähettäminen, Postikortti netistä ja Postimerkki omalla kuvalla. Posti-tili avataan siis aina, kun haluaa käyttöön Oman Noutopisteen, Lähettämisen Osoitekirjan tai tietyt postinohjauspalvelut sähköisesti. Postinohjauspalveluita, mm. edelleenlähettäminen tai jakelunkeskeytys, voi tilata myös paperilomakkeella. Pelkän osoitteenmuutoksen ilman palvelutoimeksiantoa voi tehdä verkkopalvelussa ilman, että asiakkuutta syntyy, eikä sähköistä postilaatikkoa tällöin luoda. Lisäksi lähetysten seuranta (ilman henkilökohtaisia tietoja) on mahdollista seurantakoodilla julkisessa verkkopalvelussa ilman vahvaa tunnistusta.
33. Oma noutopiste -palvelussa kuluttaja-asiakas voi määritellä mihin noutopisteeseen toivoo Postin toimittavan seurattavan lähetyksen, jos lähetys on tilattu katuosoitteeseen. Selvityksen mukaan Oma noutopiste -palvelun turvallinen tarjoaminen edellyttää asiakkaan vahvaa tunnistamista väärinkäytösten estämiseksi. Lisäksi Postilla täytyy olla Oma noutopiste -palvelun käyttäjän ajantasaiset yhteystiedot, jotta lähetysten ohjaaminen toimii oikein ja jotta asiakkaalle voidaan tiedottaa noutopisteisiin liittyvistä palvelumuutoksista (esimerkiksi noutopisteen huolloista). Siksi palvelua ei voida tarjota muille, kuin Postin sähköisten kuluttajapalveluiden asiakkaille. OmaPosti-palvelun irtisanomisen yhteydessä lakkaa myös Oma noutopiste -palvelu, eli esimerkiksi sähköistä OmaPosti-postilaatikkoa ei voi irtisanoa ilman, että myös muut OmaPosti-palvelukokonaisuuden palvelut, kuten Oma Noutopiste -palvelu, lakkaavat.
34. Laskunmaksupalvelu on Postin sähköisille kuluttaja-asiakkaille tarjoama lisäarvopalvelu, joka koskee ainoastaan OmaPosti-palveluun toimitettuja sähköisiä laskuja ja käyttäjän OmaPosti-palveluun itse lisäämiä laskuja. Koska laskunmaksupalvelu koskee vain OmaPostiin tulevia laskuja, palvelu lakkaa, jos OmaPosti-palvelu irtisanotaan.
35. Asiakas voi halutessaan tehdä sähköisesti verkkokanavassa pelkän fyysisen osoitteen muutosilmoituksen ilman, että asiakkaalle luodaan sähköistä postilaatikkoa tai Postin asiakkuutta, jos hän ei samalla tilaa mitään postinohjauspalveluita. Postinohjauspalveluita koskevan palvelutilauksen voi myös tehdä paperilomakkeella, jolloin Posti-tiliä ja sähköistä postilaatikkoa ei luoda.
36. Selvityksen mukaan verkossa tehdyn postinohjaustoimeksiannon yhteydessä asiakkaalle luodaan sähköinen postilaatikko, jotta palvelun tilausvahvistus voidaan lähettää tietoturvallisesti. Lisäksi aina kun rekisteröidyn tunnuksilla tilataan postinohjauspalveluita, sähköiseen postilaatikkoon lähetetään tilausvahvistus, jolloin rekisteröity saa tiedon, jos joku toinen on tehnyt toimeksiannon rekisteröidyn tietämättä (esimerkiksi mahdollisen väärinkäytöksen yhteydessä).
37. Lähettäjät, kuten sairaanhoitopiirit, eivät tee suoria sopimuksia Posti Oy:n kanssa kirjeiden ohjaamisesta sähköisesti OmaPosti-kanavaan. Posti Oy:llä on yhteistyösopimuksia useiden palveluntarjoajien kanssa, jotka tarjoavat tulostus- ja laskujenvälityspalveluita. Yhteistyösopimuksen liitteenä on OmaPostin palvelukuvaus, jossa palvelun ominaisuudet on kuvattu. Posti Oy:n yhteistyökumppaneina olevilla tulostusoperaattoreilla on mahdollisuus tuotteistaa OmaPostin sähköinen kirjeiden jakelu osaksi omaa palvelutarjoamaansa. Ne tarjoavat OmaPosti-palvelua omille yritysasiakkailleen omissa nimissään ja omaan lukuunsa ja vastaavat lähettäjäasiakasrajapinnan hallinnasta.
38. Selvityksessä todetaan, että lähettäjältä tulee palveluntarjoajan kautta Postille kirjetiedostot, jotka jaetaan pdf-muodossa vastaanottajille, sekä erillinen XML-muotoinen ns. metadatatiedosto.
39. Selvityksen mukaan Posti ei myy mitään sähköiseen postilaatikkoon toimitettujen kirjeiden sisältämiä tietoja tai metatietoja millekään taholle. Kirjeaineistoa koskevan metadatan tietoja voidaan hyödyntää OmaPosti-palvelun käyttöliittymässä ja lähettäjä voi tarjota vastaanottajalle lisäarvoa, esimerkiksi laskunmaksupalvelun.
40. Postin sähköisten kuluttajapalveluiden asiakasrekisterissä rekisteröityihin on kiinnitetty rikasteita, kuten ulkoisia luokituksia ja tilastollisia tietoja. Kirjeiden sisältöä tai metadataa ei käytetä rikasteiden lähteenä.
Postin yhteydenotto 13.1.2021
41. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle oma-aloitteisesti tietoa toimenpiteistään 13.1.2021.
42. Rekisterinpitäjän mukaan nykyisin sähköinen postilaatikko luodaan asiakkaalle aina siinä vaiheessa, kun asiakas on hyväksynyt Postin sähköisten kuluttajapalveluiden käyttöehdot. Muutoksen jälkeen uuden asiakkaan ottaessa käyttöön tiettyjä Postin sähköisiä kuluttajapalveluita, sähköinen postilaatikko luodaan vasta, kun asiakas on mennyt OmaPostin käyttöönottopolun loppuun saakka. Rekisterinpitäjän mukaan palveluita, joita tuleva muutos koskee, ovat muun muassa Postin verkkokauppa, osoitekirja ja paketin seuranta ja ohjaus. Rekisterinpitäjän mukaan näitä palveluja voi muutoksen jälkeen käyttää tunnistautuneena asiakkaana myös ilman, että sähköistä kirjelaatikkoa luodaan. Muutoksen jälkeen OmaPosti-postilaatikko on kuitenkin edelleen luotu sopimuspohjaisesti, yleisen tietosuoja-asetuksen 6(1)(b) artiklan nojalla, tiettyjen sähköisten palveluiden käyttöönoton yhteydessä (esim. Oma Noutopiste -palvelu).
43. Rekisterinpitäjä esittää, että se on joulukuussa 2020 päivittänyt tulostusoperaattoreille tarjottavan palvelusopimuksen liitteenä olevan palvelukuvauksen. Muutoksen tarkoituksena on selkiyttää palvelun ominaisuuksista informointia sähköisten kirjeiden lähettäjäasiakkaille. Palvelukuvauksen päivityksen avulla rekisterinpitäjä kertoo pyrkivänsä myös saamaan lähettäjiltä aiempaa tarkempia metatietoja, mikä lisäisi varmuutta sähköisten kirjeiden kohdistumisessa oikeille vastaanottajille OmaPostissa. Rekisterinpitäjän mukaan uusi palvelukuvaus on jo otettu käytäntöön uusille asiakkaille tehtävissä sopimuksissa ja muutosta viedään vanhoille asiakkaille sopimusehtojen sallimissa rajoissa.
Lisäselvityspyyntö 28.7.2021
44. Tietosuojavaltuutetun toimisto on pyytänyt Postilta lisäselvitystä 28.7.2021 päivätyllä lisäselvityspyynnöllä. Posti on antanut asiassa kirjallisen lisäselvityksen 9.9.2021.
45. Rekisterinpitäjä toteaa selvityksessään, että vain sähköisessä muodossa olevia kirjeitä välitetään OmaPosti-palvelussa lähtökohtaisesti vastaanottaja-asiakkaan suostumuksen perusteella, eli palvelussa tehtyjen valintojen mukaisesti.
46. Selvityksen mukaan ottamalla OmaPostin käyttöön ja hyväksymällä palvelun ehdot kuluttaja-asiakas hyväksyy sen, että lähettäjän valinnan perusteella sinne voidaan toimittaa paperilla toimitetusta kirjeestä sähköinen kopio.
47. Rekisterinpitäjän mukaan jokaisen kirje-erän osalta operaattori tekee Postille kyselyn lähettäjältä saaduilla vastaanottajan yksilöidyillä tiedoilla siitä, onko vastaanottajalla OmaPosti-palvelu käytössä ja mikä on vastaanottajan jakelupreferenssi. Jos vastaanottaja löytyy OmaPostista, Posti palauttaa operaattorille tiedon, voidaanko kirje jakaa OmaPostiin vain sähköisenä tai sähköisenä kopiona. Rekisterinpitäjän mukaan tiedon vastaanottajan jakelutapapreferenssistä saa Postilta lähettäjän lukuun toimiva tulostusoperaattori. Myös lähettäjä voi estää sähköisten kopioiden toimittamisen vastaanottajille ilmoittamalla siitä omalle palveluntarjoajalleen (tulostusoperaattorille).
Postin yhteydenotto 8.2.2022
48. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle oma-aloitteisesti tietoa toimenpiteistään 8.2.2022
49. Rekisterinpitäjä esittää, että se on 29.10.2020 lisännyt ja tarkentanut OmaPostin käyttöönoton (onboarding) yhteydessä asiakkaille annettavaa informaatiota, joka koskee sähköisten kirjekopioiden toimittamista. Rekisterinpitäjä esittää, että se on 26.11.2020 lisännyt vastaavan tarkennetun informaation OmaPostin lähettäjäasetuksiin vanhojen asiakkaiden saataville.
50. Rekisterinpitäjä esittää, että se on 27.1.2021 muuttanut OmaPostin käyttöönoton prosessia niin, että OmaPostiin kuuluvan sähköisen postilaatikon luominen ei ole enää kytköksissä sopimusehtojen hyväksymiseen (OneAccount), vaan sähköinen postilaatikko luodaan asiakkaalle vasta sitten, kun asiakas on mennyt kokonaan läpi OmaPostin käyttöönottoprosessin (onboardingin).
51. Rekisterinpitäjän mukaan Postin ja tulostusoperaattoreiden välisen sopimuksen palvelukuvaus on päivitetty, ja tavoitteena on lisätä lähettäjän informointia palvelun ominaisuuksista. Rekisterinpitäjä esittää, että se on parhaillaan myös päivittämässä ja selkiyttämässä edelleen OmaPostin käyttöönoton yhteydessä tapahtuvaa asiakkaan informointia.
Postin yhteydenotto 10.10.2023
52. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle oma-aloitteisesti tietoa toimenpiteistään 10.10.2023.
53. Rekisterinpitäjän mukaan se on 1.8.2022 parantanut tietoturvamenettelyjä mahdollistamalla monivaiheisen tunnistautumisen palveluun kirjautumiseen. 9.8.2023 rekisterinpitäjä on esittämänsä mukaan erottanut osoitteenmuutospalvelun Postin sähköisestä postilaatikosta ja OmaPosti-asiakkuudesta.
Kuuleminen ja lisäselvityspyyntö 25.10.2023
54. Tietosuojavaltuutetun toimisto on lähettänyt Postille kuulemis- ja lisäselvityspyynnön 25.10.2023. Kuulemispyyntö lähetetään rekisterinpitäjälle tilanteessa, jossa katsotaan, että tietosuojalain 24 §:n tarkoittaman seuraamuskollegion tulisi käsitellä asia. Tietosuojavaltuutetun toimisto on varannut Postille tilaisuuden tulla kuulluksi asiassa esitetyistä tosiseikoista ja asiaa koskevasta alustavasta arviosta. Lisäksi tietosuojavaltuutetun toimisto on varannut Postille tilaisuuden tulla kuulluksi asiassa mahdollisesti määrättävästä seuraamuksesta sekä mahdollisuuden toimittaa muuta mahdollista dokumentaatiota, jolla sen näkemyksen mukaan on merkitystä asian ratkaisussa. Posti on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 27.11.2023.
55. Postin antaman kuulemisvastauksen mukaan OmaPosti-palvelulla on yli 2 miljoonaa rekisteröitynyttä käyttäjää ja yli 1 miljoona aktiivista käyttäjää.
56. Selvityksen mukaan OmaPosti-palvelu lanseerattiin vuonna 2001 Netposti-palveluna. Netpostin käyttöliittymä korvattiin OmaPostin käyttöliittymällä kesäkuussa 2019.
57. Selvityksessä todetaan, että Netposti-ehdot ovat olleet käytössä 2017—2020, jolloin vuoden 2019 OmaPosti-ehdot korvasivat ne. Vuoden 2023 alusta on sovellettu uusia OmaPosti-ehtoja.
58. Rekisterinpitäjän mukaan seuraavat toiminnallisuudet tulivat osaksi OmaPosti-palvelua:
1) Oma Noutopiste – asiakas voi valita paikan, johon pakettilähetykset automaattisesti pyritään ohjaamaan.
2) Paketin lähettäminen – asiakas voi maksaa paketin postimaksun palvelun kautta.
3) Postikortin lähettäminen – asiakas voi laatia postikortin palvelussa, joka toimitetaan fyysisenä postikorttina perille.
4) Omakuvapostimerkki – asiakas voi tilata itselleen postimerkkejä haluamallaan kuvalla.
5) Postin verkkokauppa – asiakas voi tilata esimerkiksi postimerkkejä kotiin.
6) Muuttoilmoitus – asiakas voi tehdä kotikuntalain edellyttämän ja Postille tehtävän muutosilmoituksen palvelun kautta
7) Postinohjauspalvelut – asiakas voi tilata erityisiä postinohjauspalveluita esimerkiksi lehtien osalta, tietyksi määräajaksi tai muissa erityistilanteissa.
8) Osoitekirja – asiakas voi tallentaa osoitteita itselleen muistiin.
9) Sähköiset kirjeet ja laskut – asiakas voi vastaanottaa täysin sähköisiä kirjeitä tai paperikirjeiden sähköisiä kopioita
10) Laskun maksaminen – asiakas voi Postin kautta suoraan maksaa saamiaan sähköisiä laskuja.
11) Lähetysten seuranta ja sähköiset saapumisilmoitukset – asiakas saa esimerkiksi puhelimen push-notifikaatioina ilmoituksia saapuvista lähetyksistään.
12) Sähköinen tullaus (alle 150 euroa) – asiakas voi tehdä tulli-ilmoituksen Postin kautta maahan tulevien tuotteiden osalta (eräin rajoituksin).
59. Rekisterinpitäjä esittää, että elokuusta 2023 lähtien myös ei-lakisääteisten edelleenlähetyspalveluiden hankkiminen ilman Posti-tiliä on ollut mahdollista.
60. Rekisterinpitäjä esittää, että Posti-tili mahdollistaa kirjautumisen OmaPosti-palveluihin yhdellä käyttäjätunnuksella (eli käyttäjän ei tarvitse luoda useita rinnakkaisia käyttäjätunnuksia eri alapalveluille). Rekisterinpitäjän näkemyksen mukaan tämä parantaa palveluiden käytettävyyttä merkittävästi. Posti-tili ei kuitenkaan ole pakollinen kaikkien OmaPosti-palveluiden käyttämiseksi.
61. Rekisterinpitäjän mukaan 27.1.2021 saakka sähköinen postilaatikko luotiin teknisesti, kun kuluttaja-asiakas tilausprosessin yhteydessä hyväksyi palvelun käyttöehdot. 27.1.2021 lähtien sähköinen postilaatikko on luotu teknisesti vasta, kun kuluttaja-asiakas on suorittanut OmaPosti-palvelun käyttöönottopolun loppuun asti.
62. Rekisterinpitäjän mukaan siihen, millä tavoin ja missä tilanteissa kuluttaja-asiakas saa viestejä OmaPosti-laatikkoonsa vaikuttaa merkittävästi kuluttaja-asiakkaan tekemät valinnat Postin (ja lähettäjäorganisaation) palvelussa. Rekisterinpitäjän mukaan Postin palvelu ei salli, että syntyisi tilanne, jossa henkilö vastaanottaisi täysin sähköisiä viestejä muutoin kuin itse tekemänsä valinnan nojalla.
63. Rekisterinpitäjä toteaa, että täysin sähköisen kirjeen vastaanottaminen edellyttää että kuluttaja-asiakas on OmaPosti-palvelun asetuksissa joko yleisesti pyytänyt saada kirjeensä täysin sähköisesti tai pyytänyt saada juuri tietyn lähettäjän tai tiettyjen lähettäjien kirjeet täysin sähköisesti. Ilman jompaakumpaa valintaa kuluttaja-asiakkaalle ei lähetetä täysin sähköisiä kirjeitä. Täysin sähköisiä kirjeitä voivat rekisterinpitäjän mukaan olla myös laskut. Rekisterinpitäjä esittää, että täysin sähköisiä viestejä ei lähetetä kuluttaja-asiakkaalle ilman hänen itsensä tekemiä valintoja paitsi poikkeuskategorioiden osalta.
64. Poikkeuskategoriat muodostavat työnantajien toimittamat palkkalaskelmat sekä Postin omat tiedotteet (esim. OmaPosti-palvelua koskevat tiedotteet, palvelutilauksia koskevat vahvistusviestit, tullausilmoitusten kuittaukset, osoitteenmuutoskuittaukset ja Postin omat henkilöstökirjeet).
65. Rekisterinpitäjä on toimittanut kuulemisvastauksessaan kuvakaappauksen siitä, miltä sähköisen postin vastaanottamista koskeva valinta rekisterinpitäjän mukaan näyttää vastauksen laatimishetkellä mobiilisovelluksessa. Rekisterinpitäjän mukaan vaihtoehdot ovat tämän asian kannalta relevantin ajanjakson aikana olleet olennaisesti samat, vaikka tekstimuotoilut ovat kehittyneet.
66. Rekisterinpitäjän mukaan kuluttaja-asiakas voi saada sähköisen kopion paperikirjeestä jo sillä perusteella, että hänellä on Posti-tiliin liittyvä sähköinen postilaatikko.
67. Rekisterinpitäjän mukaan kuluttaja-asiakas saa jokaisesta vastaanottamastaan kirjeestä ilmoituksen ilmoittamaansa perinteiseen sähköpostiosoitteeseen. Kuluttaja-asiakas saa jokaisesta vastaanottamastaan kirjeestä push-notifikaation matkapuhelimeensa, jos hänellä on OmaPosti-sovellus asennettuna ja hän on sallinut tällaiset notifikaatiot.
68. Rekisterinpitäjä esittää, että OmaPosti-palvelun toiminnasta ja keskeisistä seikoista on informoitu osana Postin sopimusehtoja. Rekisterinpitäjän mukaan kyse on tilanteesta, jossa informointivelvoitteet voidaan täyttää myös antamalla tietoja sopimusehdoissa, jotka käyttäjä hyväksyy.
69. Rekisterinpitäjä esittää, että rekisteröityjen informointivastuu ei ole yksin Postilla, ja lähettäjäorganisaatiot vaikuttavat merkittävissä määrin siihen, miten viestit toimitetaan perille.
70. Jollei kuluttaja-asiakas kirjaudu OmaPosti-palveluun tietyin välein, ja postilaatikossa on avaamattomia kirjeitä/laskuja, kuluttaja-asiakkaalle lähetetään sähköpostilmoituksia ja varotoimenpiteenä poistetaan automaattisesti kuluttaja-asiakkaan antama yleinen tai lähettäjäkohtainen hyväksyntä vastaanottaa täysin sähköisiä kirjeitä. Laskujen osalta turvatoimenpiteen laukaiseva kirjautumisväli on 3 kuukautta ja muiden kirjeiden osalta 12 kuukautta.
71. Rekisterinpitäjä esittää, että palvelun toiminnasta ja keskeisistä seikoista on informoitu osana Postin sopimusehtoja. Rekisterinpitäjän mukaan OmaPosti-palvelun sähköisestä postilaatikosta ja sen toiminnasta on informoitu kuluttaja-asiakkaita vuoden 2019 palvelun käyttöehdoissa esimerkiksi seuraavasti:
” Asiakas voi vastaanottaa Palvelun (tässä OmaPosti) sähköiseen postilaatikkoon viestejä sähköisessä muodossa […].” (kohta 11.1)
” Asiakas valitsee Palveluun liittyneistä Lähettäjistä, minkä Lähettäjien viestit hän haluaa sähköiseen postilaatikkoonsa, jolloin viestejä ei toimiteta paperisena. Sen lisäksi sähköiseen postilaatikkoon voidaan Lähettäjän toimeksiannosta toimittaa Asiakkaalle sähköinen kopio kirjeestä tai muusta viestistä, joka on toimitettu hänelle myös paperisena. ” (kohta 11.2)
72. Rekisterinpitäjä esittää, ettei sillä yksin ole informointivastuu arvioinnin kohteena olevasta kokonaisuudesta ja että lähettäjä itse valitsee operaattorinsa ja voi sopia suoraan kuluttaja-asiakkaansa kanssa, toimitetaanko viestit täysin sähköisinä kirjeinä, sähköisinä kopioina paperikirjeistä vai jollakin muulla tavalla.
73. Rekisterinpitäjä esittää, että rekisteröidyille annettavassa informaatiossa käytetyt ehdolliset ilmaisut, kuten ”voi”, liittyvät keskeisesti siihen, ettei Posti yksin päätä viestin lähetystavasta. Täydellisen informaation antamiseen tarvitaan sekä Postin että lähettäjäorganisaation antamaa informaatiota yhdessä.
74. Rekisterinpitäjä esittää, että lähtökohtaisesti on rekisterinpitäjän oma valinta, haluaako se markkinoinnillisesti yhdistää eri toiminnallisuuksia yhden brändin ja ehtokokonaisuuden alle. Rekisterinpitäjä vetoaa elinkeinovapauteen sekä siihen kuuluvaan sopimusvapauteen. Rekisterinpitäjä esittää, että tietosuojavaltuutetun toimisto ei ole esittänyt näyttöä siitä, mitä nyt kyseessä olevan palvelun keskivertokäyttäjä on nimenomaisesti halunnut ottaessaan palvelun käyttöön.
75. Rekisterinpitäjältä on pyydetty selvitystä sen soveltamasta henkilötietojen käsittelyperusteesta. Rekisterinpitäjä esittää selvityksessään, että henkilötietojen käsittelyperustetta (yleisen tietosuoja-asetuksen 6 artikla) koskeva loukkaus olisi jossain määrin lakitekninen, koska jokin muu käsittelyperuste kuin yleisen tietosuoja-asetuksen 6(1)(b) artikla voisi soveltua. Näin ollen rikkomuksessa olisi rekisterinpitäjän näkemyksen mukaan lähinnä kyse siitä, että olisi viitattu väärään lainkohtaan pääsääntönä.
76. Rekisterinpitäjä esittää, että se on vuosien aikana tehnyt muutoksia OmaPosti-palvelun parantamiseksi.
77. Rekisterinpitäjä esittää, että asiassa ei ole tarvetta määrätä seuraamusmaksua ollenkaan tai ainakin se tulisi määrätä vain hyvin pienenä. Rekisterinpitäjä esittää, että tietosuojavaltuutetun toimiston sille aiemmin määräämä hallinnollinen seuraamusmaksu on liittynyt erilaiseen tosiseikastoon ja menettelyyn kuin mistä nyt on kyse. Rekisterinpitäjä esittää lisäksi, että edellisen seuraamusmaksun kohdalla kyse on ollut hyvin tulkinnanvaraisesta tilanteesta, koska hallinto-oikeus ei määrännyt seuraamusmaksua, mutta korkein hallinto-oikeus päätyi seuraamusmaksun kannalle.
78. Rekisterinpitäjä on kuulemisvastauksensa yhteydessä toimittanut tietosuojavaltuutetun toimistolle Posti Oy:n tilinpäätöksen 2022.
Täydentävä kuuleminen ja lisäselvityspyyntö 5.4.2024
79. Tietosuojavaltuutetun toimisto on lähettänyt Postille täydentävän kuulemis- ja lisäselvityspyynnön 5.4.2024. Posti on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 6.5.2024.
80. Rekisterinpitäjä esittää pitävänsä selvänä, että keskivertokuluttaja ymmärtää seuraavan tarkoittavan, että hän saa jatkossa tässä tarkoitetut laskut vain sähköisessä muodossa: ”Kyllä kiitos, haluan kirjeet ja laskut sähköisesti kaikilta palvelun lähettäjiltä”.
81. Rekisterinpitäjä esittää myös pitävänsä täysin selvänä, ettei passiivi-ilmaisun ”voit saada laskut ja kirjeet sähköisenä” normaalikielessä mitenkään voida ymmärtää tarkoittavan, että tällaisten viestien tuleminen olisi täysin riippuvaista vastaanottajan lisätoimista.
82. Rekisterinpitäjää on kuultu OmaPosti-palvelua käyttöön otettaessa rekisteröidylle esitettävästä valintaruudusta, joka on rekisterinpitäjän toimesta valmiiksi aktivoituna. Valintaruutu koskee postin vastaanottamista jatkossa yksinomaan sähköisenä aina, kun tämä on mahdollista. Posti esittää selvityksessään, että sen tiedossa ei ole mitään sellaista, joka estäisi esimerkiksi vastustamisoikeuden esittämistä asetusvalintatyyppisesti niin, että henkilö voi asetuksen pois kytkemällä osoittaa vastustavansa asetuksen mukaista toimenpidettä tai muutoin toivovansa, ettei sitä tehdä. Rekisterinpitäjän mukaan asetuksen yleisenä tarkoituksena on kannustaa henkilön kontrollimahdollisuuksien lisäämiseen, ja rekisteröity voi käyttää yleisen tietosuoja-asetuksen 21 artiklan mukaista vastustamisoikeuttaan kytkemällä valinnan pois.
83. Rekisterinpitäjää on kuultu ”Sinulle avataan maksuton OmaPosti” -informointi-ikkunaan sisällytetyistä painikkeista. ”Hyväksyn”-painike on sininen ja se on valkoisella taustalla. ”En hyväksy”-painike on taustan värinen, eli valkoinen. Rekisterinpitäjä esittää, että keskivertokuluttaja varmuudella ymmärtää, mistä asiassa on kyse. Rekisterinpitäjän mukaan jo kieliasun perustella keskivertokuluttaja ymmärtää, että ”Hyväksy”- napin viereen sijoitettu muotoilu ”En hyväksy” on kuluttajan valittavissa oleva vaihtoehtoinen etenemistapa.
84. Rekisterinpitäjää on kuultu OmaPostin asetuksissa rekisteröidyille esitettävästä valikosta otsikolla ”Kirjeet ja laskut”, jossa rekisteröity voi valita, haluaako hän kaiken postinsa sähköisenä vai haluaako hän postinsa sähköisenä valituilta lähettäjiltä. Kun rekisteröity valitsee jälkimmäisen vaihtoehdon (”Valituilta lähettäjiltä”), alempana menee automaattisesti päälle liukukytkin kohdassa ”Salli sähköiset kopiot”. Rekisterinpitäjälle on tuotu tässä yhteydessä lisäksi esille, että rekisteröidyn päätelaitteesta ja käytetystä fonttikoosta riippuen liukukytkimen aktivoituminen voi jäädä näytöllä kokonaan piiloon.
85. Rekisterinpitäjä toteaa, että valinnan aktivoitumisen jääminen piiloon voi mahdollisesti olla totta. Rekisterinpitäjä esittää, ettei kaiken tietosuojainformaation ja kaikkien siihen liittyvien valintojen ole välttämätöntä mahtua ruudulle samalla kertaa, eivätkä käyttäjän päätelaitteen ominaisuudet ja käyttäjän omat asetukset yleisesti voi olla Postin vastuulla. Rekisterinpitäjän mukaan henkilö ei enää saa sähköisiä kopioita kirjeistä, jos hän de-aktivoi tätä koskevan valinnan. Rekisterinpitäjä esittää, että OmaPosti-sovelluksen käyttöliittymä on rakennettu siten, että käyttäjä, joka on ilmaissut ensisijaisesti haluavansa täysin sähköisiä viestejä, ei samalla voi sammuttaa ruudun alalaidassa (ja tällöin himmennettynä) olevaa ”Salli sähköiset kopiot” -valintaa. Näin varmistetaan, ettei synny tilannetta, jossa henkilö (a) täysin sähköisiä viestejä tukevilta lähettäjiltä saa vain täysin sähköisiä viestejä samalla kun (b) vain sähköisiä kopioita tukevilta lähettäjiltä saisi postinsa vain paperilla.
86. Rekisterinpitäjä esittää, että viestityyppien kategorisoinnin mahdollinen vaikeaselkoisuus juontuu alan terminologian haastavuudesta.
87. Sähköisen postin vastaanottamista koskevien valintojen automaattisesta aktivoitumisesta tai valmiiksi valittuna olemisesta rekisterinpitäjä esittää, että tietosuoja-asetusta ei voida tulkita niin, että se sisältäisi yleisen ja ehdottoman vaatimuksen siitä, ettei mitään asetusta saa aktivoitua ilman käyttäjän omaa valintaa. Rekisterinpitäjä esittää, että yleisen tietosuoja-asetuksen 21 artiklan vastustamisoikeudesta yleisesti seuraa, että käänteisesti on voitava olla tilanteita, jossa lähdetään siitä, että tietty käsittelytoimi on sallittu, ellei rekisteröity aktiivisesti vastusta sitä. Rekisterinpitäjä esittää, että se että tietosuoja-asetus ei tunne yleistä periaatetta, jonka mukaan kaikkien henkilötietojen käsittelyyn liittyvien valintojen tulisi aina olla de-aktivoituina oletusarvoisesti.
88. Rekisterinpitäjän mukaan ”Salli sähköiset kopiot” -valinta, joka voi mennä automaattisesti päälle, on otettu OmaPosti-palvelussa käyttöön 2.1.2024.
89. Rekisterinpitäjä esittää, että asiassa ei ole kyse siitä, että kuluttajalle tulisi sähköisiä kopioita täysin yllättäen, mahdollisen oletusvalinnan takia. Rekisterinpitäjän mukaan kyse on sen sijaan siitä, että ensin Posti on yleisesti informoinut kuluttaja-asiakasta sähköisen laatikon luomisen merkityksestä, jonka jälkeen lähettäjä on informoinut lähetyskäytännöistään ja lopuksi Posti on vielä visuaalisesti ilmaissut kopioita voivan saapua, mutta kuluttaja-asiakas on kuitenkin vielä voinut estää tämän.
90. Rekisterinpitäjän mukaan OmaPosti-palvelu on tarkoitettu myös kirjeiden arkistointia varten. Rekisterinpitäjä esittää, että monelle käyttäjälle tulisi yllätyksensä, jos tietosuoja-asetusta tulkittaisiin niin, että Postin olisi omasta aloitteestaan poistettava tällaisia viestejä. Rekisterinpitäjän mukaan viestejä säilytetään kuluttaja-asiakkaan OmaPosti -sopimuksen voimassaolon ajan, mukaan lukien kahden viikon irtisanomisajan. Asiakas voi myös itse poistaa viestit milloin tahansa.
91. Rekisterinpitäjän mukaan asiakkaan passiivisuustilanteessa sähköisten kopioiden tuleminen OmaPostiin ei lakkaa, koska asiakas joka tapauksessa saa kirjeet myös fyysisesti kotiinsa. Sekä täysin sähköisten viestien että sähköisten kopioiden saapuminen kuitenkin lakkaa, jos kyse on henkilön menehtymisestä.
92. Rekisterinpitäjän mukaan sähköinen OmaPosti-laatikko syntyy rekisteröidylle seuraavien palveluiden kohdalla: Oma Noutopiste, Sähköiset kirjeet ja laskut, Laskun maksaminen, Lähetysten seuranta ja sähköiset saapumisilmoitukset, Sähköinen tullaus (alle 150 euroa).
93. Rekisterinpitäjän mukaan 2.1.2024 alkaen vastaanottaja on voinut kieltää sähköisten kopioiden vastaanottamisen kaikilta lähettäjiltä.
94. Rekisterinpitäjän mukaan OmaPostiin kirjautuu kuukausittain keskimäärin 850 000 eri käyttäjää.
Postin selvitys 5.6.2024
95. Tietosuojavaltuutetun toimisto on 24.5.2024 pyytänyt Postia täsmentämään, mistä päivämäärästä lähtien OmaPosti-palvelun käyttöönottopolulla on ollut käytössä tietosuojavaltuutetun toimiston täydentävässä kuulemispyynnössä esitetty valintaruutu, jossa on valmiiksi valittuna ”Haluan postini sähköisenä aina kun vain mahdollista”.
96. Postin mukaan kyseessä on ollut OmaPosti-sovelluksen tekninen virhe, ja tarkoitus ei ole ollut, että kyseinen valintaruutu olisi esivalittuna.
97. Posti on selvityksessään esittänyt, että valintaruutu ei ole ollut aktivoituna, eli se on toiminut oikein, palvelun selainversiossa. Palvelun iOS-sovellusversiossa on kuitenkin ollut tekninen bugi, jonka takia valintaruutu näkyy aktiivisena ainoastaan iOS-versiossa. Tekninen virhe ei Postin mukaan koske OmaPostin Android-versiota.
98. Posti esittää, että Posti ei pysty yksilöimään tarkkaa hetkeä, jolloin tekninen virhe on syntynyt, mutta Postin mukaan vaikuttaisi siltä, että se on tapahtunut mobiilisovelluksen lokakuun 2023 versiopäivityksen yhteydessä.
99. Posti on kertonut, että se korjaa virheen ilman viivytystä.
Täydentävä kuuleminen ja lisäselvityspyyntö 23.7.2024
100. Tietosuojavaltuutetun toimisto on lähettänyt Postille täydentävän kuulemis- ja lisäselvityspyynnön 23.7.2024. Posti on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 10.9.2024.
101. Kuulemispyynnössä Postille on sen esittämän epäselvyyden vuoksi tähdennetty, että kuuleminen koskee koko yleisen tietosuoja-asetuksen soveltamisaikaa ja että asiassa tarkastellaan siten esimerkiksi Postin OmaPosti-palvelussa soveltamaa henkilötietojen käsittelyperustetta sekä rekisteröityjen informointia koko yleisen tietosuoja-asetuksen soveltamisajan ajalta. Postille on tässä yhteydessä annettu mahdollisuus edelleen täsmentää tai täydentää asiassa antamaansa selvitystä. Posti on 10.9.2024 antamassa kuulemisvastauksessaan esittänyt, että sovellettavan lain voimassaoloajan ilmoittaminen ei vastaa tietosuojavaltuutetun toimistolle asetetun tekoajan yksilöintivelvoitteen sisältöä.
102. Posti esittää vastauksessaan, että elinkeinovapauteen kuuluu lähtökohtainen oikeus muotoilla yrityksen palvelut ja niiden sisältö. Postin mukaan tietosuoja-asetuksesta ei voi johtaa yleistä periaatetta, jonka nojalla tietosuojaviranomaisella olisi yleisesti oikeus päättää, mitkä toiminnallisuudet tiettyyn palveluun saavat kuulua ja mitkä toiminnallisuudet on erotettava esimerkiksi omiksi palveluikseen. Postin mukaan OmaPosti -palvelukokonaisuuden määrittäminen on elinkeinonharjoittajan elinkeinovapauteen ja siihen sisältyvään sopimusvapauteen kuuluva asia. Posti esittää, että esimerkiksi matkapaketeissa voi olla yhdistettynä kuljetus-, majoitus- ja ravitsemuspalvelu, eikä kuluttajalla ole lakisääteistä oikeutta saada hankittua kyseistä palvelua ilman jotain näistä palveluista.
103. Postin mukaan Posti Jakelu Oy:llä ei ole mitään sopimusta kirjeitä lähettävän tahon kanssa. Postilla ei ole näkyvyyttä siihen, mitä lähettävä taho ja operaattori keskenään ovat sopineet lähetystavoista tai esimerkiksi sen osalta, onko lähettäjä sopinut operaattorin kanssa siitä, että tietyn tyyppiset terveystietoja sisältävät lähetykset toimitetaan tietyllä tavalla. Postin mukaan sen tehtävänä ei ole tietää, mitä tietoja sen välittämät kirjeet sisältävät, huomioiden jo perustuslain turvaama viestinnän luottamuksellisuus, tai ohjeistaa rekisterinpitäjänä toimivaa lähettäjää henkilötietojen käsittelyperusteesta.
104. Posti on kuulemisvastauksensa yhteydessä antanut teknistä selvitystä iOS-sovelluksen virheestä johtuvaksi kuvaamastaan menettelystä, jossa OmaPosti-palvelun käyttöönottopolulla on ollut valmiiksi valittuna valinta ”Haluan postini sähköisenä aina kun mahdollista”.
105. Posti on kuulemisvastauksensa yhteydessä toimittanut konsernitilinpäätöksensä vuodelta 2023.
Vireillesaattajan toimittama selvitys
106. Rekisterinpitäjä on 17.7.2020 tietosuojavaltuutetun toimistolle antamassa selvityksessään esittänyt, että kuluttaja voi tehdä Postin Muuttoilmoituspalvelussa esimerkiksi toimeksiannon postin edelleenlähettämispalvelusta ilman, että OmaPostin sähköinen postilaatikko tulee käyttöön. Vireillesaattaja on 4.8.2020 toimittanut tietosuojavaltuutetun toimistolle kuvakaappauksia OmaPosti-palvelusta. Vireillesaattaja on esittänyt niihin viitaten muun muassa, että rekisterinpitäjän antamasta selvityksestä poiketen ilmaisen Osoitteenmuutos ja Muuttopostipalvelun käyttöönotto (vanhalla osoitteella tulleiden lähetysten edelleenlähetys uuteen osoitteeseen 1 tai 12 kuukauden ajan, sekä postin määräaikainen edelleenlähetys toiseen osoitteeseen, kuten mökille) edellyttää OmaPosti-palvelun käyttöönottoa. Kuvakaappaukset on toimitettu tietosuojavaltuutetun toimiston toimesta rekisterinpitäjälle asian selvitystyön yhteydessä.
107. Rekisterinpitäjä on 4.9.2020 tietosuojavaltuutetun toimistolle antamassaan selvityksessä
pahoitellut, että 17.7.2020 toimitetussa selvityksessä kerrotusta on syntynyt virheellinen kuva siitä, että Postin verkkopalvelussa voisi tilata postinohjauspalveluita ilman että OmaPostin sähköinen postilaatikko tulee käyttöön.
Taustatietoja
Palvelunkuvaus
108. OmaPosti on verkossa toimiva Postin sähköinen palvelukokonaisuus, johon sisältyy muun muassa sähköinen OmaPosti-postilaatikko.
Liikevaihto
109. Posti Jakelu Oy:ltä 10.9.2024 saatujen tietojen mukaan Posti-konsernin liikevaihto vuodelta 2023 on 1 586 100 000 euroa.
OmaPosti-palvelun käyttäjämäärä
110. OmaPosti-palvelulla on yli 2 miljoonaa rekisteröitynyttä käyttäjää ja yli 1 miljoona aktiivista käyttäjää (Postin selvitys tietosuojavaltuutetulle 27.11.2023.)
Sovellettavasta lainsäädännöstä
111. Asiassa sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) sekä sitä täsmentävää kansallista tietosuojalakia (1050/2018).
112.Yleisen tietosuoja-asetuksen 5(1)(a) artiklassa säädetään lainmukaisuuden, läpinäkyvyyden ja kohtuullisuuden periaatteista. Artiklan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
113. Yleisen tietosuoja-asetuksen 5(1)(c) artiklassa säädetään tietojen minimointiperiaatteesta. Artiklan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
114. Yleisen tietosuoja-asetuksen 6 artiklassa säädetään käsittelyn lainmukaisuudesta. 6 artiklan 1 kohdan b alakohdan mukaan käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
115. Yleisen tietosuoja-asetuksen 12–14 artikloissa säädetään rekisteröidyn informoinnista. Jotta henkilötietojen käsittely olisi läpinäkyvää ja kohtuullista, rekisterinpitäjän tulee muun muassa informoida rekisteröityä tästä käsittelystä asianmukaisesti, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
116. Yleisen tietosuoja-asetuksen 12(1) artiklan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle yleisen tietosuoja-asetuksen 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.
117. Yleisen tietosuoja-asetuksen 13 artiklassa säädetään toimitettavista tiedoista silloin, kun henkilötietoja kerätään rekisteröidyltä. Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle 13 artiklan 1 ja 2 kohtien mukaiset tiedot. Yleisen tietosuoja-asetuksen 13(1)(c) artiklan mukaan rekisteröidylle on toimitettava tiedot henkilötietojen käsittelyn tarkoituksista sekä käsittelyn oikeusperusteesta.
118. Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi yleisen tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
Oikeudellinen kysymys
119. Tietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta. Tietosuojavaltuutetun päätös koskee rekisterinpitäjän menettelyä välillä 25.5.2018-10.9.2024.
Tietosuojavaltuutetun tulee ratkaista:
1) Onko Posti informoinut rekisteröityjä OmaPosti-laatikon käyttöönottoprosessissa henkilötietojen käsittelyn tarkoituksista yleisen tietosuoja-asetuksen edellyttämällä tavalla (yleisen tietosuoja-asetuksen 5(1)(a), 12(1), 13(1)(c) ja 25(1) artiklat)
2) Onko OmaPosti-laatikon luomista varten suoritetulle henkilötietojen käsittelylle ollut olemassa yleisen tietosuoja-asetuksen 6 artiklan mukainen, rekisterinpitäjän asianmukaisesti määrittelemä ja soveltama käsittelyperuste
120. Tämä päätös ei koske rekisterinpitäjän toimintaa miltään muilta osin, kuten esimerkiksi henkilötietojen rikastamisen tai kirjeiden ja laskujen metatietojen käsittelyn osalta.
Tietosuojavaltuutetun päätös
121. Posti ei ole informoinut rekisteröityjä OmaPosti-laatikon käyttöönottoprosessissa henkilötietojen käsittelyn tarkoituksista yleisen tietosuoja-asetuksen 5(1)(a), 12(1), 13(1)(c) ja 25(1) artiklojen edellyttämällä tavalla niiltä osin kuin menettelyä on arvioitu tässä päätöksessä.
122. Rekisterinpitäjän suorittamalle, sähköiseen OmaPosti-laatikkoon liittyvälle henkilötietojen käsittelylle ei ole ollut yleisen tietosuoja-asetuksen 6(1) artiklan mukaista, rekisterinpitäjän asianmukaisesti määrittelemää ja soveltamaa käsittelyperustetta niiden rekisteröityjen osalta, joille on, ilman erillistä pyyntöä, luotu OmaPosti-laatikko heidän ottaessa käyttöön muuta Postin palvelua.
Määräys
123. Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukainen määräys saattaa käsittelytoimet tämän päätöksen kohdissa 121 ja 122 todettujen rikkomisten osalta tietosuojasääntelyn mukaisiksi.
Huomautus
124. Rekisterinpitäjälle annetaan edellä kohdissa 121 ja 122 todetun menettelyn osalta yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukainen huomautus yleisen tietosuoja-asetuksen säännösten vastaisista henkilötietojen käsittelytoimista.
Ohjaus
125. Henkilötietojen käsittelyn tarpeellisuusvaatimuksen noudattamisen osalta rekisterinpitäjälle annetaan ohjausta. Tietosuojavaltuutetun ohjaus alkaa tämän päätösasiakirjan sivulta 29.
Hallinnollinen seuraamusmaksu
126. Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Seuraamusmaksua koskeva asia annetaan seuraamuskollegion ratkaistavaksi. Seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu tietosuojavaltuutetun antamien huomautuksen ja määräyksen lisäksi.
127. Asia saatetaan seuraamuskollegion arvioitavaksi siltä osin kuin kyse on henkilötietojen käsittelyperusteesta (oikeudellinen kysymys 2).
Perustelut
Rekisteröityjen informointi OmaPosti-laatikon aktivoitumisesta
Rekisterinpitäjän rekisteröidyille antama informaatio
128. Sähköinen OmaPosti-postilaatikko on yksi Postin OmaPosti-palvelukokonaisuuteen sisältyvistä palveluista. Asiassa saadun selvityksen perusteella sähköinen OmaPosti-laatikko toimii siten, että se aktivoidaan lähetysten vastaanottamista varten heti, kun rekisteröity on mennyt OmaPosti-palvelukokonaisuuden käyttöönottopolun loppuun saakka. OmaPosti-laatikon aktivoituminen tarkoittaa, että laatikkoon voi alkaa saapua lähetyksiä Postilta sekä kolmansilta osapuolilta ilman rekisteröidyn erillisiä aktivointitoimenpiteitä. (Postilta saadun selvityksen mukaan sähköinen OmaPosti-laatikko on 27.1.2021 asti aktivoitu jo siinä vaiheessa, kun rekisteröity on hyväksynyt OmaPosti-palvelun käyttöehdot, eli ennen kuin rekisteröity mennyt OmaPosti-palvelun käyttöönottopolun loppuun.)
129. Asiassa on kyse siitä, miten rekisteröityä on informoitu hänen henkilötietojensa käsittelystä OmaPosti-laatikon luomiseksi. Toisin sanoen siitä, onko rekisteröidylle kerrottu selvästi, miten OmaPosti-laatikko aktivoituu ja mitä sen luomisesta seuraa.
130. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä siitä, miten se on informoinut rekisteröityjä OmaPosti-postilaatikon luomisesta.
131. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä esittänyt, että OmaPosti-laatikkoa koskeva informaatio on eri ajankohtina ja eri käyttöönottotilanteissa esitetty rekisteröidyille hieman eri tavoin muotoiltuna OmaPosti-palvelun käyttöönottoprosessissa.
132. Rekisterinpitäjän antaman selvityksen mukaan rekisteröidyille on OmaPosti-palvelun käyttöönottoprosessissa esitetty informaatioteksti, jossa kerrotaan, että ”Sinulle avataan maksuton OmaPosti […] OmaPostissa voit saada laskut ja kirjeet sähköisenä”. Teksti on esitetty myös muodossa ”Tilauksen yhteydessä sinulle avataan maksuton OmaPosti-palvelu […] OmaPostissa voit saada laskut ja kirjeet sähköisenä”. (Osoitteenmuutos ja Muuttopostipalvelu (1kk ja 12 kk), Määräaikainen postin edelleenlähetys -palvelu.)
133. Rekisterinpitäjä on selvityksensä mukaan informoinut rekisteröityjä OmaPosti-palvelun käyttöönottoprosessissa selainversiossa myös seuraavasti: ”Saat jatkossa kaikki kirjeesi ja laskusi paperipostin lisäksi digitaalisena suoraan OmaPostiin, jos mahdollista. Voit myös valita, että saat jatkossa postisi vain OmaPostiin. Luomme tätä varten sinulle digitaalisen postilaatikon”.
134. Rekisterinpitäjän mukaan Osoitteenmuutos ja Muuttopostipalvelu (1kk), Osoitteenmuutos ja Muuttopostipalvelu (12 kk) sekä Määräaikainen edelleenlähetys -palveluiden käyttöönoton yhteydessä rekisteröidyille on esitetty seuraava informaatio: ”Tilauksen yhteydessä sinulle avataan maksuton OmaPosti-palvelu, jonne saat vahvistuksen tekemästäsi tilauksesta. OmaPosti toimii sekä verkkopalveluna että mobiilissa. Se on tietoturvallinen tapa vastaanottaa postia ja käyttää Postin palveluja. OmaPostissa voit saada laskut ja kirjeet sähköisenä, seurata kaikkien lähettäjien paketteja, [ja] ohjata lähetyksesi toivomaasi Postin automaattiin Oma noutopiste -asetuksen kautta”.
135. Rekisterinpitäjän mukaan sen jälkeen, kun rekisteröity on edellisessä näkymässä painanut seuraava-painiketta, hänelle on esitetty ponnahdusikkunassa informaatioteksti: ”Sinulle avataan maksuton OmaPosti. OmaPosti toimii sekä verkkopalveluna että mobiilissa. Se on tietoturvallinen tapa vastaanottaa postia ja käyttää Postin palveluja. OmaPostissa voit saada laskut ja kirjeet sähköisenä, seurata kaikkien lähettäjien paketteja, [ja] ohjata lähetyksesi toivomaasi Postin automaattiin Oma noutopiste -asetuksen kautta. OmaPosti-palvelua ei aktivoida käyttöösi, jos teet pelkänmuuttoilmoituksen ilman lisäpalveluja. [Linkki sähköisten kuluttajapalveluiden tietosuojaselosteeseen]”.
136. Rekisterinpitäjän mukaan Jakelun keskeytys -palvelun käyttöönoton yhteydessä rekisteröityjä on informoitu seuraavasti: ”Lähetämme tilausvahvistuksen sinulle avattuun maksuttomaan OmaPosti-palveluun. Voit vastaanottaa sinne kirjeitä ja laskuja sähköisesti palvelua käyttäviltä lähettäjiltä”. Tässä yhteydessä rekisteröidylle on esitetty seuraavat vaihtoehtoiset valinnat: ”Kyllä kiitos, haluan kirjeet ja laskut sähköisesti kaikilta palvelun lähettäjiltä” ja ”Ei kiitos, teen valinnan myöhemmin”.
137. Kun asiakas on luonut OmaPosti-tilin ja syöttänyt tätä varten omat tietonsa, hänelle on Postin mukaan esitetty seuraava informaatio: ”Rekisteröitymällä luot itsellesi Posti-tilin, jolloin sinulla on käytössä kaikki Postin digitaaliset palvelut, kuten OmaPosti ja sen sisältämät palvelut. Palvelut on kuvattu sähköisten kuluttajapalveluiden ehdoissa”. Halutessaan pääasiallisen palvelun, on asiakkaan eli rekisteröidyn tullut siten luoda OmaPosti-tili.
138. Rekisterinpitäjä on todennut tietosuojavaltuutetun toimistolle antamassaan selvityksessä, että sen näkemyksen mukaan asiassa on kyse tilanteesta, jossa informointivelvoite voidaan täyttää antamalla tietoja sopimusehdoissa, jotka käyttäjä hyväksyy. Rekisterinpitäjä on esittänyt, että OmaPosti-palvelun toiminnasta ja keskeisistä seikoista on informoitu osana Postin sopimusehtoja. Rekisterinpitäjää on 14.3.2024 pyydetty toimittamaan tietosuojavaltuutetun toimistolle OmaPosti-palvelun käyttöehtojen eri versiot.
139. Rekisterinpitäjän toimittamissa Postin sähköisten palveluiden käyttöehdoissa on todettu OmaPosti-postilaatikon perustoimintatavasta seuraavaa:
Sähköisten kuluttajapalveluiden käyttöehdot 20.3.2019: Palvelu on yksityishenkilön sähköinen postilaatikko, johon voi vastaanottaa viestejä sähköisessä muodossa. (Selvityksen perusteella palvelu on toiminut nimellä Netposti kesäkuuhun 2019 saakka. Netpostia koskevissa ehdoissa (Netpostin palvelusopimus 22.6.2017) on käytetty vastaavia ilmaisuja (”Palvelu on yksityishenkilön sähköinen postilaatikko, johon voi vastaanottaa viestejä sähköisessä muodossa. Postilaatikossa Asiakas voi lukea saamiaan viestejä, säilyttää niitä ja poistaa ne”).
OmaPosti-palvelua koskevat ehdot 2019: Asiakas voi vastaanottaa Palvelun sähköiseen postilaatikkoon viestejä sähköisessä muodossa.
Sähköisten kuluttajapalveluiden käyttöehdot 18.6.2020: Asiakas voi vastaanottaa Palvelun sähköiseen postilaatikkoon viestejä sähköisessä muodossa sekä lukea, säilyttää ja poistaa viestejä.
Sähköisten kuluttajapalveluiden käyttöehdot 9.7.2020: Asiakas voi vastaanottaa Palvelun sähköiseen postilaatikkoon viestejä sähköisessä muodossa sekä lukea, säilyttää ja poistaa viestejä.
Sähköisten kuluttajapalveluiden käyttöehdot 1.1.2023: Asiakas voi vastaanottaa Palvelun (tässä OmaPosti) sähköiseen postilaatikkoon viestejä sähköisessä muodossa sekä lukea, säilyttää ja poistaa viestejä.
140. Tietosuojavaltuutetun toimisto on kuullut rekisterinpitäjää informoinnista, joka koskee sähköisen OmaPosti-laatikon aktivoitumista heti OmaPosti-palvelun käyttöönoton tapahduttua, eli sitä, että OmaPosti-laatikko voi heti alkaa vastaanottaa verkkopalveluun rekisteröidylle osoitettua sähköistä postia ilman rekisteröidyn omia erillisiä toimenpiteitä. Rekisterinpitäjä ei ole esittänyt tietosuojavaltuutetun toimistolle selvitystä, josta olisi todettavissa, että se olisi yleisen tietosuoja-asetuksen soveltamisaikana informoinut rekisteröityjä selkeällä tavalla OmaPosti-postilaatikon välittömästä aktivoitumisesta.
Rekisterinpitäjän informointivelvollisuuden täyttymisestä
141. Rekisterinpitäjällä on yleisen tietosuoja-asetuksen 13(1)(c) artiklojen mukainen velvollisuus informoida rekisteröityjä henkilötietojen käsittelyn tarkoituksista. Rekisteröidyn tulisi hänelle annettavan informaation pohjalta saada asianmukainen käsitys siitä, miten hänen henkilötietojaan käsitellään. (Euroopan unionin tuomioistuin on esimerkiksi asiassa C-175/20 antamassaan ratkaisussa todennut, että henkilötietojen käsittelyn tarkoitukset ”on yksilöitävä viimeistään henkilötietojen keruun yhteydessä” ja ”käsittelyn tarkoitusten on oltava nimenomaisia, mikä merkitsee sitä, että ne on ilmaistava selvästi” (ratkaisun kohdat 64 ja 65).) Yleisen tietosuoja-asetuksen 12(1) artikla edellyttää, että yleisen tietosuoja-asetuksen 13 artiklan mukaiset tiedot toimitetaan rekisteröidylle helposti ymmärrettävässä muodossa ja selkeällä kielellä. Yleisen tietosuoja-asetuksen 12(1) artiklan tavoitteena on taata, että rekisteröity kykenee ymmärtämään kaikilta osin tiedot, jotka hänelle toimitetaan. (esim. Euroopan unionin tuomioistuimen ratkaisu asiassa C-579/21, ratkaisun kohta 52.) Toisin sanoen rekisteröidyn tulee toimitettujen tietojen perusteella kyetä ymmärtämään, miten hänen henkilötietojaan käsitellään ja mitä tarkoitusta varten niitä käsitellään.
142. Rekisteröidyn tiedonsaantioikeuden noudattamiseksi kaikessa luonnollisten henkilöiden henkilötietojen käsittelyssä on noudatettava niin ikään yleisen tietosuoja-asetuksen 5 artiklassa mainittuja periaatteita. (Ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-154/21, ratkaisun kohta 34.) Näihin periaatteisiin kuuluu yleisen tietosuoja-asetuksen 5(1)(a) artiklassa tarkoitettu läpinäkyvyyden periaate, joka edellyttää, kuten kyseisen asetuksen johdanto-osan 39 perustelukappaleesta käy täsmennetysti ilmi, että rekisteröidyllä on tietoja siitä, miten hänen henkilötietojaan käsitellään ja että nämä tiedot ovat helposti rekisteröidyn saatavilla ja ymmärrettävissä. (Ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-154/21, ratkaisun kohta 35.)
143. Käsillä olevassa asiassa saadun selvityksen perusteella rekisterinpitäjä ei ole OmaPosti-palvelun käyttöönottoprosessissa, yleisen tietosuoja-asetuksen soveltamisaikana, informoinut rekisteröityjä selkeällä tavalla siitä, että sähköinen OmaPosti-laatikko alkaa toimia heti OmaPosti-palvelun käyttöönoton tapahduttua ja verkkopalveluun voi heti alkaa kertyä rekisteröidylle osoitettua sähköistä postia ilman rekisteröidyn omia erillisiä toimenpiteitä.
144. Yleinen tietosuoja-asetus asettaa rekisterinpitäjälle velvollisuuden informoida rekisteröityjä selkeällä tavalla henkilötietojen käsittelyn tarkoituksista, eli tässä tapauksessa siitä, että rekisteröidylle aktivoidaan välittömästi OmaPosti-palvelun käyttöönoton tapahduttua sähköinen postilaatikko, johon voi rekisteröidyn jatkotoimenpiteistä riippumatta alkaa heti saapua henkilötietoja sisältäviä lähetyksiä (yleisen tietosuoja-asetuksen 13(1)(c) artikla).
145. Informaatio OmaPosti-laatikon aktivoitumisesta on ollut keskeinen, jotta rekisteröidyn olisi näiltä osin helppo ymmärtää, mitä tarkoitusta varten hänen henkilötietojaan käsitellään. Edellä referoidun, rekisterinpitäjän toteuttaman informoinnin perusteella rekisteröity on voinut perustellusti jäädä käsitykseen, että OmaPosti-laatikon aktiivinen käyttö edellyttää lisätoimenpiteitä. Esimerkiksi informoinnissa käytetyn ilmaisun ”OmaPostissa voit saada laskut ja kirjeet sähköisinä, …” perusteella ei ole mahdollista päätellä, että toiminto aktivoituu automaattisesti ja virallisia viestejä voidaan toimittaa suoraan digitaaliseen postilaatikkoon. Rekisteröidylle on voinut perustellusti muodostua esimerkiksi käsitys, että OmaPosti-palvelun käyttöön ottaneelle luodaan pelkästään käyttäjätunnus, jolle hänen on mahdollista aktivoida OmaPosti-postilaatikko.
146. Koska informaatio OmaPosti-postilaatikon aktivoitumisesta on jäänyt asianmukaisesti antamatta, sanottua informaatiota ei ole myöskään annettu rekisteröidylle helposti ymmärrettävässä muodossa ja selkeällä kielellä, eli siten kuin yleisen tietosuoja-asetuksen 12(1) artikla nimenomaisesti rekisterinpitäjältä edellyttää. Henkilötietojen käsittely ei tällöin ole ollut myöskään yleisen tietosuoja-asetuksen 5(1)(a) ja 25(1) artiklojen edellyttämällä tavoin läpinäkyvää, eivätkä rekisteröidyt ole saaneet rekisterinpitäjän antaman informaation perusteella etukäteen asianmukaista ymmärrystä esimerkiksi henkilötietojen käsittelyn laajuudesta ja seurauksista, jotta henkilötietojen käyttötavat eivät tulisi rekisteröidylle myöhemmin yllätyksenä. (Ks. Tietosuojatyöryhmän suuntaviivat WP260 rev.01 (Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, annettu 29. marraskuuta 2017, viimeksi tarkistettu ja hyväksytty 11. huhtikuuta 2018), kohta 10.)
147. Tietosuojavaltuutettu kiinnittää myös huomiota siihen, että informointi OmaPosti-postilaatikon aktivoitumisesta on puuttunut myös OmaPostia-koskevista sopimusehdoista, joissa rekisterinpitäjä on todennut informoivansa rekisteröityjä OmaPosti-palvelun toiminnasta ja keskeisistä seikoista. (Sähköisten kuluttajapalveluiden käyttöehdot 20.3.2019, 18.6.2020, 9.7.2020, 1.1.2023.)
148. OmaPosti-laatikossa on kyse sekä tietojen luonteen että määrän osalta merkittävää henkilötietojen käsittelyä käsittävästä palvelusta, mikä osaltaan korostaa rekisteröidyn tiedonsaantioikeuksien toteutumisen merkitystä luotaessa palvelua rekisteröidylle. Tieto siitä, että OmaPosti-laatikko aktivoituu välittömästi, jolloin sinne voi heti alkaa saapua henkilötietoja sisältäviä lähetyksiä, kuten sähköisiä kopioita rekisteröidylle toimitettavista paperikirjeistä, on oleellinen, kun rekisteröity arvioi, haluaako hän sallia henkilötietojensa käsittelyn OmaPosti-laatikon luomiseksi.
149. Rekisterinpitäjä on selvityksessään esittänyt, että rekisteröityjen informointivastuu ei ole ollut yksin sillä, vaan vastuu on osittain kuulunut sähköisten kirjeiden lähettäjille. Tältä osin on todettava, että asiassa on kyse Postin OmaPosti-palvelun toimintatavasta informoimisesta kyseisen palvelun käyttöönoton yhteydessä. Palvelun käyttöönottoprosessin ajankohtana rekisteröity ei ole vielä tekemisissä sähköisten kirjeiden lähettäjien kanssa, vaan on ottamassa käyttöön Postin hänelle tarjoamaa Postin palvelua. Asiassa saadun selvityksen perusteella OmaPostiin viestejä toimittava lähettäjä saa tiedon rekisteröidyllä käytössä olevasta OmaPosti-laatikosta lähinnä sitä kautta, että lähettäjän palveluntarjoaja (välittäjä) tekee kyselyn Postin tietojärjestelmään vastaanottajatiedoilla ja saa Postin järjestelmästä vastauksen, löytyikö annetuilla tiedoilla OmaPostin käyttäjä. Informointivastuu siitä, miten Postin palvelu toimii, eli tässä tapauksessa OmaPosti-laatikon aktivoitumisesta, on siten yksinomaan Postilla.
150. Rekisterinpitäjän antaman informaation selkeydestä ja ymmärrettävyydestä todettakoon lisäksi seuraavaa. Rekisterinpitäjä on käyttänyt rekisteröidyille OmaPosti-palvelun käyttöönottoprosessissa annettavassa informaatiossa ehdollisia ilmauksia (kuten: ”OmaPostissa voit saada laskut ja kirjeet sähköisenä” ja ”Asiakas voi vastaanottaa Palvelun sähköiseen postilaatikkoon viestejä sähköisessä muodossa”). Rekisterinpitäjä on esittänyt tietosuojavaltuutetun toimistolle, että rekisteröidyille annettavassa informaatiossa käytetyt ehdolliset ilmaukset, kuten ”voi”, liittyvät keskeisesti siihen, ettei Posti yksin päätä viestin lähetystavasta. Ehdollisia ilmauksia on käytetty erityisesti OmaPosti-palvelua koskevissa sopimusehdoissa, joiden rekisterinpitäjä on todennut olleen kanava, jossa rekisteröityjä on informoitu OmaPosti-palvelun toiminnasta ja keskeisistä seikoista.
151. Euroopan unionin tietosuojatyöryhmä on lausuntokäytännössään todennut, että rekisteröityjä informoitaessa tulisi välttää sellaisia ilmauksia kuin ”voidaan”, ”saattaa”, ”joitakin”, ”usein” ja ”mahdollinen”. Tietosuojatyöryhmän mukaan silloin, jos rekisterinpitäjä käyttää epätarkkoja ilmauksia, sen olisi osoitusvelvollisuutensa mukaisesti pystyttävä osoittamaan, miksi tällaisia ilmauksia ei voitu välttää ja että ne eivät heikennä henkilötietojen käsittelyn kohtuullisuutta ja asianmukaisuutta. (Ks. Tietosuojatyöryhmä WP260 rev.01: Asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, annettu 29. marraskuuta 2017, viimeksi tarkistettu ja hyväksytty 11. huhtikuuta 2018, kohta 13.)
152. Rekisterinpitäjien tulee siis välttää informoinnissaan ehdollisia ilmauksia sekä pyrkiä tarvittaessa esimerkiksi lisäinformaation avulla selkeyttämään riittävällä tavoin rekisteröidyille annettavaa tietoa henkilötietojen käsittelystä.
153. Rekisteröity ei ole voinut edellä kuvatun informaation perusteella esimerkiksi ymmärtää, että hän ei voi hallita sitä, alkaako sähköinen postilaatikko vastaanottaa postia. Rekisteröity on voinut myös perustellusti jäädä käsitykseen, että hänen on mahdollista halutessaan aktivoida OmaPosti-palvelussa itselleen sähköinen postilaatikko. Rekisterinpitäjän rekisteröidyille antama informaatio on siten jättänyt epäselväksi keskeisiä, henkilötietojen käsittelyä koskevia seikkoja.
154. Rekisterinpitäjä on näin ollen laiminlyönyt yleisen tietosuoja-asetuksen mukaisen velvoitteensa informoida rekisteröityjä henkilötietojen käsittelystä siltä osin kuin kyse on rekisteröityjen informoinnista siitä, mitä tarkoituksia varten heidän henkilötietojaan käsitellään.
Informointi lähetysten vastaanottotavoista
155. Rekisterinpitäjä on 17.7.2020 tietosuojavaltuutetun toimistolle antamassaan selvityksessä
esittänyt, että se informoi rekisteröityjä OmaPosti-palvelun käyttöönoton yhteydessä selainversiossa seuraavasti: ”Kun jatkat eteenpäin, saat jatkossa kaikki kirjeesi ja laskusi paperipostin lisäksi digitaalisena suoraan OmaPostiin, jos mahdollista. Voit myös valita, että saat jatkossa postisi vain OmaPostiin tai että saat kirjeesi edelleen vain paperipostilla kotiosoitteeseesi. Luomme tätä varten sinulle digitaalisen postilaatikon.” (Rekisterinpitäjän mukaan selaimen ja mobiilisovelluksen informaatio ei ole ollut yhdenmukainen.)
156. Rekisterinpitäjän 4.9.2020 antaman selvityksen mukaan informaatiotekstissä on ollut inhimillinen virhe. Rekisteröity ei ole tosiasiallisesti voinut valita, että kirjeet toimitetaan hänelle edelleen vain paperipostilla kotiosoitteeseen. Rekisterinpitäjän mukaan informaatiotekstiä on korjattu 27.8.2020. (Teksti on rekisterinpitäjän mukaan muutettu 27.8.2020 muotoon: ”Saat jatkossa kaikki kirjeesi ja laskusi paperipostin lisäksi digitaalisena suoraan OmaPostiin, jos mahdollista. Voit myös valita, että saat jatkossa postisi vain OmaPostiin. Luomme tätä varten sinulle digitaalisen postilaatikon”.)
157. Tietosuojavaltuutettu toteaa, että kyse on ollut merkittävästä rekisteröidyn informointia koskevasta virheestä
158. Rekisterinpitäjä ei ole sanotun informointitekstin käytössä ollessa informoinut rekisteröityjä selkeällä tavalla siitä, mitä tarkoituksia varten heidän henkilötietojaan käsitellään. Edellä esitetty informaatio on ollut omiaan saattamaan OmaPosti-palvelun käyttöönottopolulla etenevän rekisteröidyn siihen käsitykseen, että palvelun käyttöönotto ei tarkoita että hänen henkilötietojaan käsitellään sähköisen postin toimittamiseksi OmaPosti-laatikkoon. Informaatiosta on sen sijaan ymmärrettävissä, että rekisteröidylle annetaan mahdollisuus valita olla vastaanottamatta kirjeitä sähköiseen OmaPosti-laatikkoon.
159. Tieto siitä, että rekisteröity ei vastaisuudessa voisi vastaanottaa kirjeitä vain tavalliseen tapaan paperipostina, on keskeinen, kun rekisteröity tekee päätöksen OmaPosti-palvelun käyttöönotosta. Sanotun mahdollisuuden poistuminen on esimerkiksi tarkoittanut, että rekisteröidyn henkilötietoja sisältäviä kirjeitä on saatettu välittää Postin verkkopalveluun, jossa käsittelyyn sisältyy sanotun käsittelyprosessin mukanaan tuomia, käsittelytoimiin sisältyviä riskejä. Kuten edellä on todettu, OmaPosti-laatikko on myöskin aktivoitunut välittömästi (27.1.2021 asti jo ennen OmaPosti-palvelun käyttöönottopolun loppuun menemistä), minkä vuoksi sanotun informaation paikkansapitävyyttä voidaan pitää erityisen oleellisena rekisteröidylle.
160. Yleisen tietosuoja-asetuksen 13(1)(c) artikla edellyttää nimenomaisesti, että rekisterinpitäjä informoi rekisteröityjä henkilötietojen käsittelyn tarkoituksista. Rekisteröidyn tulisi hänelle annettavan informaation pohjalta saada totuudenmukainen käsitys siitä, missä tarkoituksissa hänen henkilötietojaan käsitellään. Henkilötietojen käsittelyä koskevat tiedot on myöskin annettava rekisteröidylle helposti ymmärrettävässä muodossa (yleisen tietosuoja-asetuksen 12(1) artikla).
161. Rekisterinpitäjän rekisteröidyille antama informaatio OmaPosti-palvelun käyttöönotosta seuraavasta henkilötietojen käsittelystä ei ole täyttänyt sanottuja vaatimuksia. Rekisterinpitäjän rekisteröidyille antama informaatio ei ole ollut yhdenmukaista niihin toimintatapoihin nähden, joiden mukaisesti OmaPosti-palvelu on toiminut.
162. Koska henkilötietojen käsittelyn tarkoituksista annettu tieto on ollut edellä kuvatusti virheellistä ja harhaanjohtavaa, informointi ei ole myöskään ollut yleisen tietosuoja-asetuksen 5(1)(a) ja 25(1) artiklojen edellyttämällä tavoin läpinäkyvää.
163. Rekisterinpitäjä on edellä esitetysti laiminlyönyt yleisen tietosuoja-asetuksen mukaisen velvoitteensa informoida rekisteröityjä henkilötietojen käsittelystä. Tietosuojavaltuutettu huomioi, että rekisterinpitäjä on kertonut poistaneensa sanotun informaatiotekstin käytöstä, eikä rekisterinpitäjälle ole siten tarpeen antaa tätä koskevaa määräystä. Menettelystä rekisterinpitäjälle annetaan kuitenkin yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukainen huomautus.
Henkilötietojen käsittelyperuste
164. Asiassa saadun selvityksen mukaan rekisterinpitäjä on soveltanut OmaPosti-palvelussa henkilötietojen käsittelyperusteena yleisen tietosuoja-asetuksen 6(1)(b) artiklaa (sopimus). Selvityksen mukaan sopimus syntyy, kun henkilö rekisteröityy OmaPosti-palveluun ja hyväksyy palvelun ehdot. (Asiassa saadun selvityksen mukaan palvelu on toiminut nimellä Netposti kesäkuuhun 2019 saakka (esim. rekisterinpitäjän selvitys 27.11.2023: ”OmaPosti-palvelu lanseerattiin vuonna 2001 Netposti-palveluna. Netpostin käyttöliittymä korvattiin OmaPostin käyttöliittymällä kesäkuussa 2019”).) (Selvityksen mukaan henkilötietoja käsitellään myös Postin lakisääteisten velvoitteiden hoitamiseksi (esimerkiksi kirjanpitolaki, maksupalvelulaki) tai Postin oikeutetun edun perusteella (esimerkiksi markkinatutkimukset, palvelujen ylläpito ja kehitys sekä tilastointi) tai asiakkaan suostumus (esimerkiksi sähköinen suoramarkkinointi).)
165. Yleisen tietosuoja-asetuksen 6 artiklassa vahvistetaan tyhjentävä luettelo tilanteista, joissa henkilötietojen käsittelyn voidaan katsoa olevan laillista. Jotta käsittelyn voidaan katsoa olevan yleisen tietosuoja-asetuksen mukaista, on sen siten perustuttava jollekin 6 artiklan alakohdista.
166. Yleisen tietosuoja-asetuksen 6(1)(b) artiklassa säädetään lainmukainen peruste henkilötietojen käsittelylle siltä osin kuin käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
167. Sanotun käsittelyn on oltava objektiivisesti tarpeen rekisteröidyn kanssa tehdyn sopimuksen täytäntöön panemiseksi, tai käsittelyn on oltava objektiivisesti tarpeen sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. (Ks. esim. Euroopan tietosuojaneuvoston (EDPB) Ohjeet 2/2019 yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b
alakohdan perusteella tapahtuvasta henkilötietojen käsittelystä rekisteröidyille tarjottavien verkkopalvelujen yhteydessä, versio 2.0, 8. lokakuuta 2019, kohta 22.) Euroopan tietosuojaneuvosto on todennut lausuntokäytännössään yleisen tietosuoja-asetuksen 6(1)(b) artiklan soveltamisesta seuraavaa, kun kyse on palvelukokonaisuuksista:
” Mikäli sopimus koostuu useista erillisistä palveluista tai palvelun osista, jotka voidaan kohtuudella suorittaa toisistaan riippumatta, esiin nousee kysymys siitä, miltä osin 6 artiklan 1 kohdan b alakohtaa voidaan käyttää oikeusperusteena. Asetuksen 6 artiklan 1 kohdan b alakohdan soveltaminen on arvioitava kunkin kyseessä olevan palvelun osalta erikseen siten, että tarkastellaan, mikä on objektiivisesti tarpeen kunkin sellaisen yksittäisen palvelun suorittamiseksi, joita rekisteröity on aktiivisesti pyytänyt tai jotka tämä on tilannut. Arvioinnissa saattaa ilmetä, että tietyt käsittelytoimet eivät ole tarpeen rekisteröidyn pyytämien yksittäisten palveluiden kannalta vaan sen sijaan rekisterinpitäjän laajemman liiketoimintamallin kannalta. Tällöin 6 artiklan 1 kohdan b alakohta ei voi olla oikeusperuste kyseisille toimille .” (Euroopan tietosuojaneuvoston (EDPB) Ohjeet 2/2019 yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan perusteella tapahtuvasta henkilötietojen käsittelystä rekisteröidyille tarjottavien verkkopalvelujen yhteydessä, versio 2.0, 8. lokakuuta 2019, kohta 37.)
168. Sen arvioimisessa, onko henkilötietojen käsittely objektiivisesti tarpeen sopimuksen täytäntöön panemiseksi, on Euroopan tietosuojaneuvoston ohjeen mukaisesti siten huomioitava, mitä yksittäistä palvelua rekisteröity on aktiivisesti pyytänyt.
169. Euroopan unionin tuomioistuin toteaa asiassa C-252/21 antamassaan ratkaisussa yleisen tietosuoja-asetuksen 6(1)(b) artiklaan viitaten:
” Jotta henkilötietojen käsittelyn voidaan katsoa olevan tarpeen sopimuksen täytäntöön panemiseksi tässä säännöksessä tarkoitetussa merkityksessä, sen on oltava objektiivisesti välttämätöntä sellaisen tarkoituksen toteuttamiseksi, joka on rekisteröidylle tarkoitetun sopimusperusteisen suorituksen olennainen osa. Rekisterinpitäjän on siis voitava osoittaa, miltä osin sopimuksen pääkohdetta ei voitaisi toteuttaa ilman kyseessä olevaa käsittelyä. " (Euroopan unionin tuomioistuimen ratkaisu asiassa C-252/21, ratkaisun kohta 98.)
170. Käsillä olevassa asiassa rekisterinpitäjä on soveltanut yleisen tietosuoja-asetuksen 6(1)(b) artiklaa henkilötietojen käsittelyperusteena myös tilanteissa, joissa rekisteröity ei ole ollut ottamassa käyttöön OmaPosti-postilaatikkoa, vaan OmaPosti-laatikko on aktivoitu rekisteröidyn ottaessa käyttöön muita Postin sähköisiä OmaPosti-palveluita (kuten lähetysten edelleenlähettämisen uuteen osoitteeseen kuukauden ajan muuton jälkeen). Tällöin OmaPosti-postilaatikkoa varten suoritettu henkilötietojen käsittely ei ole ollut tarpeen kunkin yksittäisen palvelun suorittamiseksi, joita rekisteröity on aktiivisesti pyytänyt. Kyse on ollut pikemminkin lisäpalvelusta, jota rekisteröity ei kaikissa tapauksissa ole erikseen pyytänyt.
171. Kuten Euroopan unionin tuomioistuin on edellä kappaleessa 169 esitetysti todennut, rekisterinpitäjän on myös voitava osoittaa, miltä osin sopimuksen pääkohdetta ei voitaisi toteuttaa ilman kyseessä olevaa käsittelyä. Kun rekisteröidyllä on ollut tarve muulle OmaPosti-palvelukokonaisuuteen kuuluvalle palvelulle kuin palvelulle, joka välittömästi liittyy OmaPosti-postilaatikon käyttöön, sopimuksen pääkohde on ollut mahdollista toteuttaa ilman sähköistä OmaPosti-laatikkoa varten tapahtuvaa henkilötietojen käsittelyä. Vaikka Posti on perustellut valintaansa rekisterinpitäjän vapaudella päättää millaisia palvelukokonaisuuksia se tarjoaa, asiassa ei ole esitetty, että sopimuksen pääkohdetta ei olisi mahdollista toteuttaa ilman OmaPosti-laatikkoa. Asia on siten tältä osin riidaton.
172. Arvioidessaan, onko henkilötietojen käsittely mahdollista yleisen tietosuoja-asetuksen 6(1)(b) artiklan nojalla, rekisterinpitäjän on edellä esitetysti kiinnitettävä asianmukaista huomiota niin ikään siihen, onko henkilötietojen käsittely tarpeellista. Kuten yleisen tietosuoja-asetuksen 6(1)(b) artiklan sanamuodostakin käy ilmi, sanottu säännös pitää sisällään yleisen tietosuoja-asetuksen mukaisen tietojen minimoinnin periaatteen (tarpeellisuusvaatimuksen) huomioimisen henkilötietojen käsittelyssä. Sähköisen postilaatikon luomiseksi tapahtuva henkilötietojen käsittely ei ole rajoittunut tilausvahvistuksen toimittamiseen rekisteröidylle, eikä sähköisen postilaatikon aktivoiminen ja henkilötietojen käsittely OmaPosti-laatikon luomiseksi ole ollut yleisen tietosuoja-asetuksen 6(1)(b) artiklassa tarkoitetulla tavalla tarpeen postinohjauspalvelua
koskevan sopimuksen täytäntöön panemiseksi. Kyseinen sopimus on ollut mahdollista panna täytäntöön ilman henkilötietojen käsittelyä sähköistä OmaPosti-laatikkoa varten.
(Ks. myös esim. Euroopan unionin tuomioistuimen ratkaisu asiassa C-77/21, kohta 57 (”[…] jos rekisteröity ei ole antanut suostumustaan henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten asetuksen 2016/679 6 artiklan 1 kohdan a alakohdan mukaisesti, käsittelyn on täytettävä tarpeellisuutta koskeva vaatimus, kuten mainitun kohdan b–f alakohdasta käy ilmi”). Ks. myös esim. Euroopan unionin tuomioistuimen ratkaisu asiassa C-708/18, kohta 48 (”edellytystä, jonka mukaan käsittelyn on oltava tarpeen, on tutkittava yhdessä direktiivin 95/46 6 artiklan 1 kohdan c alakohdassa vahvistetun niin kutsutun tietojen minimoinnin periaatteen kanssa”). Ks. vastaavasti unionin tuomioistuimen ratkaisu asiassa C-252/21, ratkaisun kohta 109.)
174. Myöskään esimerkiksi noutopisteen valitseminen pakettilähetyksille (Oma noutopiste -palvelu) ei ole tosiasiallisesti edellyttänyt, että rekisteröidyn henkilötietoja käsitellään sähköisen postilaatikon aktivoimiseksi. Sama voidaan todeta muiden yksittäisten OmaPosti-palveluiden osalta, tästä poikkeuksena OmaPosti-postilaatikon käyttöön välittömästi liittyvät palvelut. Postin OmaPosti-palvelu on muodostunut siten useista palveluista, jotka voidaan suorittaa sähköisestä OmaPosti-postilaatikosta riippumatta.
175. Kuten Euroopan unionin tuomioistuin on todennut asiassa C-252/21 antamassaan ratkaisussa, rekisterinpitäjän on yleisen tietosuoja-asetuksen 6(1)(b) artiklan soveltamisessa, tarpeellisuusvaatimus huomioon ottaen arvioitava, onko sillä käytettävissään muita, vähemmän intrusiivisia vaihtoehtoja henkilötietojen käsittelyssä:
” Tällaisen käsittelyn mainitseminen sopimuksessa tai se, että käsittely on pelkästään hyödyllistä sopimuksen täyttämisen kannalta, on itsessään merkityksetöntä tässä yhteydessä. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b alakohdassa tarkoitetun oikeuttamisperusteen soveltamisen kannalta ratkaisevaa on nimittäin se, että rekisterinpitäjän suorittama henkilötietojen käsittely on olennaisen tärkeää tämän rekisterinpitäjän ja rekisteröidyn välisen sopimuksen asianmukaista täyttämistä varten, eikä näin ollen ole muita vähemmän intrusiivisia vaihtoehtoja. ” (Ratkaisun kohta 99. Ks. myös esim. Euroopan tietosuojaneuvoston ohje 4/2019, jossa tietojen minimointia koskevana keskeisenä tekijänä mainitaan henkilötietojen käsittelyn välttäminen (”vältetään käyttämästä henkilötietoja ollenkaan, jos se on mahdollista kunkin tarkoituksen yhteydessä”), Euroopan tietosuojaneuvoston (EDPB) ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, versio 2.0, annettu 20. lokakuuta 2020, kohta 76.)
176. Käsillä olevassa asiassa rekisterinpitäjällä on ollut käytettävissään muita, vähemmän intrusiivisia vaihtoehtoja OmaPosti-palvelua koskevan sopimuksen täyttämiseksi kuin OmaPosti-laatikon aktivoiminen sellaisille rekisteröidyille, jotka ovat olleet ottamassa käyttöön muuta OmaPosti-palvelua kuin OmaPosti-postilaatikkoa. Huomiota voidaan kiinnittää tässä yhteydessä myös siihen, että OmaPosti-laatikko on aktivoitu välittömästi, vaikka rekisteröity ei olisi tehnyt erikseen toimenpiteitä laatikon aktivoimiseksi.
177. Euroopan unionin tuomioistuin on nimenomaisesti katsonut, että yleisen tietosuoja- asetuksen 6(1)(b) artiklan mukaista oikeuttamisperustetta on tulkittava suppeasti, sillä sen perusteella ilman rekisteröidyn suostumusta suoritettavasta henkilötietojen käsittelystä tulee lainmukaista. Posti on kuitenkin edellä esitetysti käsitellyt henkilötietoja sanotun käsittelyn oikeusperustan nojalla myös siltä osin, kuin henkilötietojen käsittely ei ole ollut tarpeellista sopimuksen pääkohteen toteuttamiseksi. (Ks. esim. Euroopan unionin tuomioistuimen ratkaisu asiassa C-252/21, ratkaisun kohta 93.)
178. Rekisterinpitäjän soveltaman käsittelyperusteen osalta voidaan edelleen huomioida, että OmaPosti-laatikko on osa Postin sähköisten kuluttajapalveluiden palvelukokonaisuutta, eikä sanottuun palvelukokonaisuuteen kuuluvista palveluista ole asiassa saadun selvityksen perusteella ollut mahdollista tehdä erikseen sopimusta tai irtisanoa yksittäistä palvelua. Rekisteröidyn, jolla on tarve vain yksittäiselle palvelulle, ei siten ole ollut mahdollista kieltäytyä koko muun palvelukokonaisuuden kattavasta sopimuksesta. Palvelukokonaisuudesta muodostuvan sopimuksen kyseessä ollessa yleisen tietosuoja-asetuksen 6(1)(b) artiklan sovellettavuutta olisi tullut arvioida erikseen kunkin palvelun asiayhteydessä:
Kun sopimus muodostuu useista palveluista tai useista saman palvelun erillisistä osista, jotka voidaan suorittaa toisistaan riippumatta, yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan b alakohdan sovellettavuutta on arvioitava erikseen kunkin palvelun asiayhteydessä. ( Euroopan unionin tuomioistuimen ratkaisu asiassa C-252/21, ratkaisun kohta 100.)
179. Tietosuojavaltuutettu toteaa edellä esitetyn perusteella, että Postin soveltama yleisen tietosuoja-asetuksen 6(1)(b) artikla ei OmaPosti-laatikkoa käyttöönotettaessa ole soveltunut henkilötietojen käsittelyperusteeksi tilanteessa, jossa rekisteröity ei ole aktiivisesti halunnut OmaPosti-laatikkoa, eikä Postilla näin ollen ole ollut tälle henkilötietojen käsittelylle asianmukaisesti määriteltyä ja käytännössä sovellettua henkilötietojen käsittelyperustetta.
180. Käsittelyperusteen virheellinen määrittely on Postin tapauksessa johtanut siihen, että henkilötietoja on käsitelty tapauskohtaisesti hyvin laajastikin sellaisen palvelun tarjoamiseksi, jota rekisteröidyt eivät ole pyytäneet. Esimerkiksi, jos rekisteröity on ollut ottamassa käyttöön Osoitteenmuutos ja Muuttopostipalvelua, jossa vanhalla osoitteella tulleet lähetykset lähetetään edelleen uuteen osoitteeseen joko yhden tai 12 kuukauden ajan, hänelle on tässä yhteydessä ilmoitettu, että hänelle avataan OmaPosti-palvelu. Rekisteröity ei ole voinut erikseen estää sähköisen OmaPosti-laatikon aktivoitumista, vaikka hän on esimerkiksi katsonut OmaPosti-laatikon kohdallaan tarpeettomaksi. Posti on asiassa saadun selvityksen perusteella määrittänyt OmaPosti-laatikon toiminnallisuudet siten, että rekisteröity ei voi esimerkiksi tehdä valintaa olla vastaanottamatta laatikkoon mitään sähköistä postia. Sähköinen postilaatikko on niin ikään alkanut toimia heti. Mikäli kyse olisi ollut esimerkiksi siitä, että OmaPosti-palvelun käyttöönotossa rekisteröidylle olisi luotu käyttäjätunnus, jolle hänen on mahdollista aktivoida halutessaan OmaPosti-laatikko, asiaa olisi voitu arvioida eri tavalla. (Rekisterinpitäjän mukaan sähköisten kirjekopioiden tuleminen OmaPosti-laatikkoon ei lakkaa myöskään passiivisuustilanteessa (rekisterinpitäjän selvitys 6.5.2024: ”Passiivisuustilanteessa sähköisten kopioiden tuleminen ei lakkaa, koska asiakas joka tapauksessa saa kirjeet myös fyysisesti kotiinsa”). Rekisterinpitäjän mukaan sekä täysin sähköisten viestien että sähköisten kopioiden saapuminen kuitenkin lakkaa Postin saatua tiedon henkilön menehtymisestä.)
181. Tietosuojavaltuutettu toteaa, että asiakkaalle voidaan sinänsä tarjota useista eri palveluista muodostuvia palvelukokonaisuuksia. Rekisterinpitäjän on kuitenkin arvioitava erikseen kunkin palvelun osalta, soveltuuko yleisen tietosuoja-asetuksen 6(1)(b) artikla sanotussa asiayhteydessä käsittelyperusteeksi. Rekisterinpitäjän on tässä yhteydessä huolehdittava esimerkiksi siitä, että sen suorittama henkilötietojen käsittely on tosiasiallisesti tarpeellista rekisteröidyn pyytämää palvelua koskevan sopimuksen täytäntöön panemiseksi.
182. Edelleen voidaan huomioida, että Postilta saadun selvityksen mukaan sähköinen OmaPosti-laatikko on 27.1.2021 asti aktivoitu jo siinä vaiheessa, kun rekisteröity on hyväksynyt OmaPosti-palvelun käyttöehdot, eli ennen kuin rekisteröity on edennyt OmaPosti-palvelun käyttöönottopolun loppuun. Vaikka sanottu menettely on erittäin moitittava, asiassa ei kuitenkaan ole ratkaisevaa, kummassa vaiheessa OmaPosti-postilaatikko on luotu rekisteröidylle. Keskeistä asian ratkaisussa sitä vastoin on, että OmaPosti-postilaatikko on sen edellä esitetystä aktivoimisajakohdasta riippumatta luotu automaattisesti, jos rekisteröity on ottanut käyttöön Postin muita palveluita, kuten esimerkiksi edelleenlähetyspalvelun, jossa vanhalla osoitteella tulleet lähetykset edelleenlähetetään uuteen osoitteeseen kuukauden tai vuoden ajan. Keskeistä asian ratkaisun kannalta lisäksi on, että OmaPosti-postilaatikko on luotu käyttäjälle sopimuspohjaisesti, yleisen tietosuoja-asetuksen 6(1)(b) artiklan nojalla tilanteessa, jossa rekisteröity on ollut ottamassa käyttöön muuta palvelua, jonka käyttö ei ole tosiasiallisesti edellyttänyt sähköisen postilaatikon luomista, eikä rekisteröity ole postilaatikkopalvelua erikseen pyytänyt.
183. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä vedonnut elinkeinovapauteen ja esittänyt, että yleisestä tietosuoja-asetuksesta ei voi johtaa yleistä periaatetta, jonka nojalla tietosuojaviranomaisella olisi yleisesti oikeus päättää, mitkä toiminnallisuudet tiettyyn palveluun saavat kuulua ja mitkä toiminnallisuudet on erotettava esimerkiksi omiksi palveluikseen. Tämän osalta todettakoon, että nyt arvioitavassa asiassa ei ole kyse siitä, että rekisterinpitäjältä evättäisiin oikeus hankkia toimeentulo valitulla elinkeinolla tai puututtaisiin elinkeinovapauden olennaiseen sisältöön. Nyt sovellettavat säännökset eivät myöskään estä rekisterinpitäjän elinkeinotoimintaa. Asiassa ei ole liioin kyse sen arvioimisesta, mitä palveluita rekisterinpitäjä voi sisällyttää asiakkaalle tarjottavaan palvelukokonaisuuteen. Kyse on yksinomaan siitä, että rekisterinpitäjän elinkeinotoiminnan tulee täyttää lainsäädännössä asetetut vaatimukset. Toisin sanoen henkilötietojen käsittelylle tulee olla yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyn oikeusperuste. On mahdollista, että palvelukokonaisuuden tarjoamiseen liittyvään henkilötietojen käsittelyyn sisältyy useita eri käsittelyperusteita.
184. Rekisterinpitäjältä on 25.10.2023 pyydetty selvitystä siitä, minkä palveluiden osalta OmaPosti-laatikko on avattu käyttäjälle, joka on ottamassa käyttöön muuta palvelua kuin OmaPosti-postilaatikkoa. Rekisterinpitäjän 27.11.2023 antaman selvityksen mukaan OmaPosti-postilaatikko on avattu ilman rekisteröidyn erillistä pyyntöä seuraavien palveluiden osalta: Oma Noutopiste, Paketin lähettäminen, Postikortin lähettäminen, Omakuvapostimerkki, Postin verkkokauppa, Muuttoilmoitus, Postinohjauspalvelut, Osoitekirja, Sähköiset kirjeet ja laskut, Laskun maksaminen, Lähetysten seuranta ja sähköiset saapumisilmoitukset, Sähköinen tullaus (alle 150 euroa). (Rekisterinpitäjän 6.5.2024 antaman selvityksen mukaan osa sanotuista palveluista on irrotettu OmaPosti-laatikosta 27.1.2021.) Rekisterinpitäjä esittää selvityksessään, että elokuusta 2023 lähtien ei-lakisääteisten edelleenlähetyspalveluiden hankkiminen ilman Posti-tiliä on ollut mahdollista. Postin edelleenlähetyspalveluiden osalta on todettava, että rekisterinpitäjän menettely on selvityksen perusteella jatkunut elokuuhun 2023 saakka, ja usean palvelun osalta OmaPosti-laatikko luodaan edelleen ilman rekisteröidyn erillistä pyyntöä. Näin ollen sanotulla muutoksella ei asian kokonaisuuden arvioinnin kannalta ole vaikuttavaa merkitystä.
185. Koska rekisterinpitäjä on selvityksessään nostanut esille, että sen menettely koskee myös aikaa ennen Euroopan unionin tuomioistuimen asiassa C-252/21 antamaa ratkaisua, sanottakoon, että Euroopan unionin tuomioistuin on ratkaisukäytännössään todennut seuraavasti:
”[…] on muistutettava, että vakiintuneen oikeuskäytännön mukaan tulkinnalla, jonka unionin tuomioistuin SEUT 267 artiklassa sille annettua toimivaltaa käyttäen antaa unionin oikeussäännölle, selvennetään ja täsmennetään kyseisen oikeussäännön merkitystä ja ulottuvuutta niin, että unionin tuomioistuimen tulkinnasta ilmenee, miten tätä oikeussääntöä täytyy tai olisi täytynyt tulkita ja soveltaa sen voimaantulosta lähtien. Tästä seuraa, että tuomioistuimet siis voivat ja niiden täytyy soveltaa näin tulkittua oikeussääntöä myös oikeussuhteisiin, jotka ovat syntyneet ja jotka on perustettu ennen tulkintapyyntöä koskevaa tuomiota, jos edellytykset kyseisen oikeussäännön soveltamista koskevan asian käsittelylle toimivaltaisissa tuomioistuimissa muuten täyttyvät”. ( Ks. asia C-140/20, ratkaisun kohta 125.)
186. Lisäksi on syytä korostaa, että rekisterinpitäjän tulee noudattaa tietosuojasääntelyä
riippumatta siitä, onko Euroopan unionin tuomioistuin antanut ratkaisun vastaavaa menettelyä koskevassa asiassa. Niin ikään voidaan todeta, että yleisen tietosuoja-asetuksen 6(1)(b) artiklan soveltamista koskeva Euroopan tietosuojaneuvoston ohje (2/2019), johon tässäkin päätöksessä viitataan, on julkaistu 8.10.2019.
Ohjaus rekisterinpitäjälle
187. Asiassa saadun selvityksen perusteella rekisterinpitäjä on määrittänyt OmaPosti-postilaatikon toimimaan siten, että kirjeen lähettäjä päättää, lähettääkö se rekisteröidylle paperikirjeestä sähköisen kopion OmaPosti-laatikkoon. Rekisteröidyn ei ole ollut mahdollista valita, että hän ei vastaanota OmaPosti-laatikkoon sähköisiä kopioita hänelle paperipostina toimitettavista lähetyksistä.
188. Rekisterinpitäjän mukaan 2.1.2024 alkaen vastaanottaja on voinut kieltää sähköisten kopioiden vastaanottamisen kaikilta lähettäjiltä.
189. Tietosuojavaltuutetun toimisto on selvittänyt OmaPosti-postilaatikon toimintatapaa niiltä osin kuin kyse on sähköisten kopioiden vastaanottamista koskevista valinnoista.
190. Selvityksen mukaan OmaPosti-mobiilisovelluksessa rekisteröidyille on esitetty valintaruutu otsikolla ”Haluatko postisi sähköisenä?” [päätösasiakirjassa viittaus kuvaan 1 tämän päätösasiakirjan sivulla 32]. Vaihtoehtoa on täsmennetty pienemmällä tekstillä, josta käy ilmi, että valintamahdollisuus ei koske sitä, haluaako rekisteröity koskaan postinsa sähköisenä, vaan sitä, miltä lähettäjiltä rekisteröity haluaa kirjeet ja laskut vain sähköisenä. Kysymykseen ”Haluatko postisi sähköisenä?” ei ole mahdollista vastata kieltävästi. Rekisteröity voi sen sijaan valita, haluaako hän postinsa vain sähköisenä kaikilta lähettäjiltä vaiko vain valituilta lähettäjiltä.
191. Mikäli rekisteröity valitsee vaihtoehdon ”Valituilta lähettäjiltä”, aktivoituu samalla myös valintaruutua alempana oleva erillinen valinta ”Salli sähköiset kopiot”. ”Valituilta lähettäjiltä” -vaihtoehdon valitseminen (eli rekisteröity valitsee haluavansa vastaanottaa postia vain sähköisenä vain tietyiltä lähettäjiltä) johtaa siten siihen, että OmaPosti-laatikkoon saapuu sähköinen kopio paperikirjeestä aina, kun mikä tahansa lähettäjä sellaisen toimittaa, ellei rekisteröity ole huomannut tätä valintaa poistaa.
192. Selvityksen perusteella on niin ikään riippuvaista rekisteröidyn päätelaitteesta ja käytetystä fonttikoosta, näkyykö ”Salli sähköiset kopiot” -valinnan omatoiminen aktivoituminen ylipäänsä rekisteröidylle. Esimerkiksi isomman fonttikoon käyttäminen mobiililaitteessa voi johtaa siihen, että ”Salli sähköiset kopiot” -valinta ei näy näytöllä yhtäaikaisesti ”Valituilta lähettäjiltä” -valinnan kanssa. Myös jos rekisteröity ryhtyy valitsemaan yksittäisiä lähettäjiä, joilta hän vastaanottaa viestit yksinomaan sähköisessä muodossa, ”Salli sähköiset kopiot” -valinnan automaattinen aktivoituminen voi jäädä päätelaitteen näytöllä kokonaan piiloon. Rekisteröidyn on myös mahdollista poistua valikosta ilman, että näytöllä näkyy alempana olevan, Salli sähköiset kopiot - liukukytkimen aktivoituminen. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä todennut, että sanotun valinnan aktivoitumisen jääminen piiloon voi mahdollisesti olla totta.
193. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä edellä esitetystä, automaattisesti aktivoituvasta liukukytkimestä. Rekisterinpitäjä on 6.5.2024 antamassaan kuulemisvastauksessa esittänyt, että yleistä tietosuoja-asetusta ei voida tulkita niin, että se sisältäisi yleisen ja ehdottoman vaatimuksen siitä ettei mikään asetus saa aktivoitua ilman käyttäjän omaa valintaa. Rekisterinpitäjä esittää, että yleisen tietosuoja-asetuksen 21 artiklan vastustamisoikeudesta yleisesti seuraa, että käänteisesti on voitava olla tilanteita, joissa lähdetään siitä, että tietty käsittelytoimi on sallittu, ellei rekisteröity aktiivisesti vastusta sitä.
194. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä myös siitä, että OmaPosti-palvelun käyttöönottopolulla on ollut valmiiksi valittuna valinta ”Haluan postini sähköisenä aina kun mahdollista” [päätösasiakirjassa viittaus kuvaan 2 tämän päätösasiakirjan sivulla 32]. Valinnassa on kyse postin vastaanottamisesta yksinomaan sähköisenä niiltä lähettäjiltä, jotka tarjoavat sähköistä postia. Rekisterinpitäjä on 5.6.2024 selvittänyt tietosuojavaltuutetun toimistolle, että kyseessä on ollut OmaPosti-sovelluksen tekninen virhe, ja tarkoitus ei ole ollut, että kyseinen valintaruutu olisi esivalittuna. Rekisterinpitäjä on esittänyt, että epäkohta on todennäköisesti ollut olemassa lokakuussa 2023 toteutetusta mobiilisovelluksen versiopäivityksestä alkaen, ja valintaruutu on toiminut oikein palvelun selainversiossa. Rekisterinpitäjä on kertonut korjaavansa virheen viivytyksettä.
195. Rekisteröidyille tarjottavan palvelun tulee olla sisäänrakennetun ja oletusarvoisen tietosuojan (yleisen tietosuoja-asetuksen 25 artikla) vaatimusten mukainen. Postin vastaanottamista koskevien valintojen automaattinen aktivoituminen tai valmiiksi valittuna oleminen ja tästä seuraava henkilötietojen käsittely ei lähtökohtaisesti täytä yleisen tietosuoja-asetuksen 5(1)(c) artiklan ja 25(2) artiklan vaatimusta käsitellä oletusarvoisesti vain tarpeellisia henkilötietoja. Rekisterinpitäjän tulee jo etukäteen omaksutuilla teknisillä ja organisatorisilla toimenpiteillä niin ikään esimerkiksi pienentää rekisteröidyille mahdollisessa tietoturvaloukkaustilanteessa aiheutuvaa haittaa minimoimalla käsiteltävät henkilötiedot yleisen tietosuoja-asetuksen 5(1)(c) artiklan ja 25(2) artiklan mukaisesti. Rekisteröidyille tulisi lisäksi pyrkiä tarjoamaan mahdollisimman laaja mahdollisuus päättää omien henkilötietojen käytöstä. (Ks. esim. Euroopan tietosuojaneuvoston (EDPB) Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, versio 2.0, annettu 20. lokakuuta 2020, kohta 70.)
196. Asiassa saadun selvityksen perusteella rekisteröidyille on toimitettu OmaPosti-laatikkoon sähköisiä kopioita silloin, kun lähettäjä on valinnut lähettävänsä sähköisen kopion. Rekisteröity ei ole voinut estää sähköisten kirjekopioiden toimittamista. Selvityksen mukaan sähköisten kirjekopioiden tuleminen OmaPosti-laatikkoon ei myöskään lakkaa, vaikka käyttäjä jäisi passiiviseksi. Tilanteessa, jossa rekisteröidyllä ei ole ollut tarvetta sähköisille kirjekopioille, kyse on lähtökohtaisesti ollut tarpeettomasta henkilötietojen käsittelystä. Niin ikään se, että rekisteröity ei voi valita, miltä lähettäjiltä hän vastaanottaa sähköisiä kopioita, voi johtaa tarpeettomaan henkilötietojen käsittelyyn.
197. Tietosuojavaltuutettu pitää hyvänä kehityksenä, että rekisterinpitäjä on ryhtynyt toimenpiteisiin parantaakseen rekisteröidyn vaikutusmahdollisuuksia päättää sähköisten kopioiden vastaanottamisesta OmaPosti-palvelussa. Tietosuojavaltuutettu ohjaa rekisterinpitäjää huolehtimaan siitä, että sähköisten kopioiden vastaanottamista koskevan valinnanmahdollisuuden toteutustapa on selkeä ja oletusarvoisen tietosuojan vaatimusten mukainen, ja se esitetään rekisteröidylle sekä palvelun käyttöönottoprosessissa että palvelun asetuksissa.
198. Lopuksi tietosuojavaltuutettu korostaa digitaalisten palveluiden kehittämisen ja kehittymisen olevan keskeistä digitalisoituvassa yhteiskunnassa. Tietosuojavaltuutettu katsoo digitaalisen identiteetin ja postilaatikon kehittämisen olevan keskeisiä elementtejä tässä kehityksessä. Luottamus digitaalisiin palveluihin on edellytys hyvin toimivalle digitalisoituvalle yhteiskunnalle. Sääntely henkilötietojen käsittelyn läpinäkyvyydestä on keskeinen väline tämän luottamuksen luomiseksi.
199. Kuva 1: Omatoimisesti aktivoituva valinta, joka koskee sähköisten kopioiden vastaanottamista (kuva vasemmalla). Kuva 2: Valmiiksi valittuna olevaa valinta, joka koskee postin vastaanottamista vain sähköisenä (kuva oikealla).
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.
Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta
Rekisterinpitäjä: Posti Jakelu Oy (Y-tunnus 0109357-9)
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen hallinnollisen seuraamusmaksun määräämisestä.
1. Tietosuojavaltuutetun päätöksestä ilmenevin tavoin rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 6(1) artiklassa säädettyä. Tietosuojavaltuutettu on antanut päätöksessään rekisterinpitäjälle yleisen tietosuoja-asetuksen 6(1) artiklan rikkomisesta yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukaisen määräyksen sekä yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukaisen huomautuksen.
2. Ottaen huomioon rikkomisen vakavuuden, asiassa ei ole kysymys yleisen tietosuoja- asetuksen johdanto-osan 148 perustelukappaleessa tarkoitetusta vähäisestä rikkomisesta. Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että nyt käsiteltävänä olevassa asiassa tietosuojavaltuutetun yleisen tietosuoja-asetuksen 58(2)(d) artiklan nojalla antama määräys ja 58(2)(b) artiklan nojalla antama huomautus eivät ole riittävä seuraamus asiassa, kun huomioidaan yleisen tietosuoja-asetuksen 83(2) artiklassa säädetty.
3. Asiassa on määrättävä hallinnollinen seuraamusmaksu tietosuojavaltuutetun päätöksessä todetusta, asianmukaisen henkilötietojen käsittelyperusteen määrittelyn ja soveltamisen laiminlyönnistä. Seuraamusmaksun määräämistä tukee erityisesti se seikka, että sähköisen OmaPosti-laatikon kohdalla kyse on laajasta henkilötietojen käsittelystä, joka on koskenut järjestelmälliseen tapaan niitä rekisteröityjä, jotka ovat olleet ottamassa käyttöön muuta OmaPosti-palvelua kuin sähköistä OmaPosti-postilaatikkoa, ja joille on tässä yhteydessä aktivoitu OmaPosti-postilaatikko. Tietosuojavaltuutetun päätöksen kohdassa 127 todetusti asia on saatettu seuraamuskollegion arvioitavaksi siltä osin kuin kyse on henkilötietojen käsittelyperusteesta (tietosuojavaltuutetun päätöksen oikeudellinen kysymys 2).
4. Käsiteltävänä oleva asia kuuluu yleisen tietosuoja-asetuksen 83(5)(a) artiklan mukaiseen korkeampaan seuraamusmaksuluokkaan. Rikkomisen osalta määrättävän sakon suuruus voi olla enintään joko 20 000 000 euroa, tai neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
5. Hallinnollisen seuraamusmaksun määräämisessä tulee huomioida, jos rekisterinpitäjä on osa konsernia. Yleisen tietosuoja-asetuksen 4 artiklan 19 kohdan mukaan konsernilla tarkoitetaan määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä. Yleisen tietosuoja-asetuksen johdantokappaleessa 37 todetaan seuraavasti:
Konsernin olisi katettava sekä määräysvaltaa käyttävä yritys että sen määräysvallassa olevat yritykset niin, että määräysvaltaa käyttävä yritys on se, jolla on määräysvalta toiseen yritykseen nähden esimerkiksi omistuksen, rahoitukseen osallistumisen tai yrityksen sääntöjen perusteella tai jolla on toimivalta panna täytäntöön henkilötietojen suojaa koskevat säännöt. Yritys, joka hallinnoi henkilötietojen käsittelyä siihen yhteydessä olevissa yrityksissä, olisi voitava katsoa konserniksi.
6. Yleisen tietosuoja-asetuksen 83 artiklan 4–6 kohdasta, jotka koskevat kyseisissä kohdissa luetelluista rikkomisista määrättävien hallinnollisten seuraamusmaksujen laskemista, ilmenee, että jos hallinnollisen seuraamusmaksun kohteena on SEUT 101 ja SEUT 102 artiklassa tarkoitettu yritys tai osa sitä, hallinnollisen seuraamusmaksun enimmäismäärä lasketaan prosenttiosuutena kyseisen yrityksen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta.29 Yleisen tietosuoja-asetuksen johdantokappaleessa 150 todetaan vastaavasti, että silloin kun sakkoja määrätään yritykselle, yritys olisi ymmärrettävä SEUT 101 ja 102 artiklan mukaiseksi yritykseksi.
7. Käsillä olevassa asiassa rekisterinpitäjän asemassa on Posti Jakelu Oy, joka on osa Posti-konsernia. Asiassa määrättävän hallinnollisen seuraamusmaksun määrä lasketaan siten Posti-konsernin kokonaisliikevaihdon mukaan.
8. Rekisterinpitäjä on 10.9.2024 ilmoittanut, että Posti-konsernin liikevaihto vuodelta 2023 on 1 586 100 000 euroa. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio (myöhemmin: ”seuraamuskollegio”) määrää edellä mainittujen tietosuojavaltuutetun antamien määräyksen ja huomautuksen lisäksi yleisen tietosuoja-asetuksen 58(2)(i) artiklan ja 83 artiklan nojalla rekisterinpitäjän maksamaan valtiolle määrältään 2 400 000 (kaksimiljoonaneljäsataatuhatta) euron suuruisen hallinnollisen seuraamusmaksun. Ottaen huomioon rikkomisen vakavuuden ja muut tapauksen olosuhteet, kuten jäljempänä seuraamuskollegion perusteluista tarkemmin ilmenee, seuraamuskollegio katsoo 2 400 000 euron suuruisen hallinnollisen seuraamusmaksun olevan tehokas, oikeasuhtainen ja varoittava.
Perustelut hallinnollisen seuraamusmaksun määräämiselle
9. Yleisen tietosuoja-asetuksen 83 artiklassa on säädetty hallinnollisen seuraamusmaksun määräämisen yleisistä edellytyksistä. Hallinnollisen seuraamusmaksun määräämisen on ensinnäkin oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Toisekseen hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa säädettyjen korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Nyt käsillä olevassa asiassa tietosuojavaltuutettu on antanut rekisterinpitäjälle määräyksen ja huomautuksen. Hallinnollinen seuraamusmaksu määrätään näin ollen yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukaisen määräyksen sekä 58(2)(b) artiklan mukaisen huomautuksen lisäksi.
10. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83(2) artiklassa luetellut seikat.
11. Kuten tietosuojavaltuutetun päätöksessä on katsottu, rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 6(1) artiklassa säädettyä.
12. Yleisen tietosuoja-asetuksen 83(3) artiklan mukaan, jos rekisterinpitäjä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tietosuoja-asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä seuraamusmaksua.
13. Rikkomisen vakavuutta on arvioitava yleisen tietosuoja-asetuksen 83(2) artiklassa lueteltujen seikkojen perusteella. Arvioinnissa on valittava menettely tai laiminlyönti, jota voidaan pitää kulloinkin arvioitavana olevan asian yksityiskohdat huomioon ottaen moitittavimpana.
14. Käsiteltävä asia koskee yleisen tietosuoja-asetuksen 6(1) artiklassa säädettyä velvollisuutta määritellä ja soveltaa henkilötietojen käsittelyssä lainmukaista käsittelyperustetta. Kuten edellä kohdassa 4 on todettu, asia kuuluu yleisen tietosuoja-asetuksen 83(5)(a) artiklan mukaiseen korkeampaan seuraamusmaksuluokkaan.
15. Asiaa arvioitaessa on otettu huomioon Euroopan unionin tietosuojatyöryhmän ja Euroopan tietosuojaneuvoston antamat hallinnollisten sakkojen määräämistä koskevat ohjeet. (EDPB Ohjeet: Suuntaviivat 4/2022 yleisen tietosuoja-asetuksen mukaisten hallinnollisten sakkojen laskemisesta (versio 2.1, hyväksytty 24. toukokuuta 2023), Tietosuojatyöryhmä WP253: Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat (annettu 3. lokakuuta 2017).
16. Rekisterinpitäjä on tietosuojavaltuutetun päätöksessä todetusti esittänyt, että henkilötietojen käsittelyperustetta (yleisen tietosuoja-asetuksen 6 artikla) koskeva loukkaus on sen näkemyksen mukaan jossain määrin lakitekninen, koska jokin muu käsittelyperuste kuin yleisen tietosuoja-asetuksen 6(1)(b) artikla voisi soveltua. (Tietosuojavaltuutetun päätös, kohta 75.) Selvyydeksi todettakoon, että eurooppalaisessa viranomaiskäytännössä on katsottu, että sanottua menettelyä arvioidaan henkilötietojen käsittelyperusteen puuttumisena ja yleisen tietosuoja-asetuksen 6 artiklan rikkomisena. Muun henkilötietojen käsittelyperusteen mahdollinen soveltuminen ei tarkoita, etteikö rekisterinpitäjälle voida määrätä hallinnollista seuraamusmaksua yleisen tietosuoja-asetuksen 6 artiklan noudattamisen laiminlyönnistä. (Ks. esim. Euroopan tietosuojaneuvoston (EDPB) kiistanratkaisupäätökset Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Facebook service (Art. 65 GDPR), adopted on 5 December 2022, ks. esim. kohta 104, ja Binding Decision 5/2022 on the dispute submitted by the Irish SA regarding WhatsApp Ireland Limited (Art. 65 GDPR), adopted on 5 December 2022, ks. esim. kohta 78, ja Binding Decision 4/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Instagram service (Art. 65 GDPR), adopted on 5 December 2022.) Niin ikään voidaan todeta, että rekisterinpitäjällä on velvollisuus informoida rekisteröityjä henkilötietojen käsittelyperusteesta oikea-aikaisesti ja totuudenmukaisesti. (Yleisen tietosuoja-asetuksen 13(1)(c) ja 14(1)(c) artikloissa säädetään nimenomaisesti rekisterinpitäjän velvollisuudesta informoida rekisteröityjä käsittelyn oikeusperusteesta.) Rekisterinpitäjä ei voi ilmoittamatta siirtyä yhdestä käsittelyperusteesta toiseen, ja kaikki käsittelyperusteiden muutokset on ilmoitettava rekisteröidylle yleisen tietosuoja-asetuksen 13 ja 14 artikloissa säädettyjen tiedotusvaatimusten mukaisesti. Ks. vastaavasti Euroopan tietosuojaneuvoston (EDPB) Asetuksen 2016/679 mukaista suostumusta koskevat suuntaviivat 05/2020, versio 1.1, hyväksytty 4. toukokuuta 2020, kohta 120 (”Tapauksissa, joissa rekisteröity peruuttaa suostumuksensa ja rekisterinpitäjä haluaa jatkaa henkilötietojen käsittelyä muun laillisen perusteen nojalla, rekisterinpitäjä ei voi mitään ilmoittamatta siirtyä (peruutetusta) suostumuksesta tähän toiseen lailliseen perusteeseen. Kaikki käsittelyn laillisten perusteiden muutokset on ilmoitettava rekisteröidylle 13 ja 14 artiklassa säädettyjen tiedotusvaatimusten mukaisesti ja yleistä avoimuuden periaatetta noudattaen”).
17. Seuraamuskollegio huomioi tietosuojavaltuutetun päätöksessä esitetyn mukaisesti, että rekisterinpitäjä on selvitystyön aikana jo tehnyt oikeasuuntaisia muutoksia OmaPosti-palveluun. Seuraamuskollegio kuitenkin tarkastelee yksinomaan yleisen tietosuoja-asetuksen 6(1)(b) artiklaa koskevaa rikkomusta, jota koskevaan käytäntöön rekisterinpitäjä ei ole tehnyt muutoksia. Toisin sanoen rekisterinpitäjä on soveltanut käsittelyperustetta virheellisesti yleisen tietosuoja-asetuksen soveltamisajan ajan. Rekisterinpitäjän tekemillä muutoksilla ei tämän asian arvioinnin kannalta ole sanottavaa merkitystä.
Rikkomisen vakavuutta koskeva arviointi
18. Ottaen kokonaisuutena huomioon jäljempänä tarkemmin todetut perusteet, seuraamuskollegio katsoo, että edellytykset seuraamusmaksun määräämiselle täyttyvät.
19. Yleisen tietosuoja-asetuksen rikkomisen vakavuutta koskevassa arvioinnissa on huomioitu yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a-, b- ja g-alakohdat.
Rikkomisen luonne ja kesto
20. Seuraamuskollegio huomioi rikkomisen keston osalta, että saadun selvityksen perusteella rekisterinpitäjä on soveltanut tietosuojavaltuutetun päätöksessä todetussa rikkomisessa henkilötietojen käsittelyperusteena yleisen tietosuoja-asetuksen 6(1)(b) artiklaa koko yleisen tietosuoja-asetuksen soveltamisen ajan, eli yli kuusi vuotta. (Yleistä tietosuoja-asetusta on sovellettu 25.5.2018 alkaen. Rekisterinpitäjältä on saatu viimeisin selvitys 10.9.2024.)
21. Seuraamuskollegio huomioi rikkomisen luonteen osalta, että rikkomisessa on ollut kyse rekisterinpitäjän tavanomaisesta ja suunnitelmallisesta toimintatavasta. Rekisterinpitäjä on suunnitellut OmaPosti-palvelun siten, että tietosuojavaltuutetun päätöksessä arvioitu henkilötietojen käsittely sähköistä OmaPosti-postilaatikkoa varten, yleisen tietosuoja-asetuksen 6(1)(b) artiklan nojalla, on koskenut lähtökohtaisesti kaikkia OmaPosti-palvelun käyttöön ottaneita rekisteröityjä.
22. Seuraamuskollegio huomioi niin ikään, että rekisterinpitäjän soveltamalla henkilötietojen käsittelyperusteella on ollut vaikutusta yleisen tietosuoja-asetuksen III-luvun mukaisiin rekisteröidyn oikeuksiin. Kun henkilötietojen käsittelyperusteena sovelletaan yleisen tietosuoja-asetuksen 6(1)(b) artiklaa, rekisteröidyn oikeudet ovat rajatummat kuin esimerkiksi yleisen tietosuoja-asetuksen 6(1)(a) tai 6(1)(f) artiklan soveltuessa. Rekisteröidyn ei siten ole ollut esimerkiksi mahdollista kieltää henkilötietojensa käsittelyä OmaPosti-postilaatikon aktivoimiseksi tilanteessa, jossa rekisteröity on halunnut käyttöönsä jonkin muun palvelun, jonka Posti on kytkenyt OmaPosti-laatikon avaamiseen. Selvyydeksi täsmennettäköön, että yleisen tietosuoja-asetuksen 6(1)(b) artikla voi sinänsä soveltua OmaPosti-postilaatikon kohdalla henkilötietojen käsittelyperusteeksi, kun henkilö pyytää käyttöönsä nimenomaan OmaPosti-laatikon ja tekee tätä koskevan sopimuksen. Käsillä olevassa asiassa rekisterinpitäjä on kuitenkin luonut rekisteröidylle OmaPosti-laatikon muun palvelun hankinnan yhteydessä niputtamalla yhteen useita eri palveluita, joita on tosiasiallisesti mahdollista käyttää ilman OmaPosti-laatikkoa. Rekisterinpitäjän olisi tullut arvioida yleisen tietosuoja-asetuksen 6(1)(b) artiklan sovellettavuutta erikseen kunkin palvelun asiayhteydessä, henkilötietojen käsittelyn tarpeellisuusvaatimus huomioiden. Kuten tietosuojavaltuutetun päätöksessä on todettu, rekisterinpitäjän on myös voitava osoittaa, miltä osin sopimuksen pääkohdetta ei voitaisi toteuttaa ilman kyseessä olevaa käsittelyä. Kun rekisteröidyllä on ollut tarve muulle OmaPosti-palvelukokonaisuuteen kuuluvalle palvelulle kuin sellaiselle palvelulle, joka välittömästi liittyy OmaPosti-postilaatikon käyttöön, sopimuksen pääkohde on ollut mahdollista toteuttaa ilman sähköistä OmaPosti-laatikkoa varten tapahtuvaa henkilötietojen käsittelyä.
23. Edellä esitetyin perustein rikkomisen luonnetta ja kestoa on asiassa pidettävä hallinnollisen seuraamusmaksun määräämistä puoltavana seikkana.
Tietojenkäsittelyn luonne, laajuus tai tarkoitus sekä henkilötietoryhmät, joihin rikkominen vaikuttaa
24. Rekisterinpitäjältä 27.11.2023 saadun selvityksen mukaan OmaPosti-palvelulla on yli 2 miljoonaa rekisteröitynyttä käyttäjää ja yli 1 miljoona aktiivista käyttäjää. Rekisterinpitäjän 7.9.2020 antaman selvityksen mukaan sähköinen OmaPosti-postilaatikko on ollut sanottuna ajankohtana 1,69 miljoonalla käyttäjällä, ja kuukausittain OmaPostiin on kirjautunut 0,85 miljoonaa käyttäjää. Niiden rekisteröityjen lukumäärän, joihin rikkominen vaikuttaa, on katsottava olevan suuri. Rekisteröityjen lukumäärä puoltaa asiassa seuraamusmaksun määräämistä.
25. Rekisteröityjen suuresta lukumäärästä ja OmaPosti-postilaatikon toimintatavasta johtuen rekisterinpitäjän käsittelemien henkilötietojen määrän on niin ikään katsottava olevan suuri. Rekisterinpitäjä on tietosuojavaltuutetun päätöksessä esitetysti määrittänyt OmaPosti-postilaatikon toimimaan siten, että se aktivoituu vastaanottamaan lähetyksiä heti OmaPosti-palvelun käyttöönoton tapahduttua. OmaPosti-postilaatikko on niin ikään määritetty toimimaan siten, että sinne on voinut saapua kopioita rekisteröidylle toimitettavista paperikirjeistä yksinomaan lähettäjän päätöksen perusteella, eikä sähköisten kirjekopioiden tuleminen ole lakannut edes tilanteissa, joissa käyttäjä eli rekisteröity on ollut passiivinen. (Tietosuojavaltuutetun päätöksessä avattu rekisterinpitäjän selvitys 6.5.2024: ”Passiivisuustilanteessa sähköisten kopioiden tuleminen ei lakkaa, koska asiakas joka tapauksessa saa kirjeet myös fyysisesti kotiinsa”. Rekisterinpitäjän mukaan sekä täysin sähköisten viestien että sähköisten kopioiden saapuminen lakkaa Postin saatua tiedon henkilön menehtymisestä.) Tietojenkäsittelyn luonne ja laajuus, joihin rikkominen vaikuttaa, puoltavat asiassa seuraamusmaksun määräämistä.
Rikkomisen tahallisuus tai tuottamuksellisuus
26. Aiemmin mainituissa Euroopan tietosuojaneuvoston sekä tietosuojatyöryhmän antamissa ohjeissa on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista. Tahallisia rikkomisia, jotka ilmentävät piittaamattomuutta lainsäädännöstä, pidetään yleisesti vakavampina kuin tuottamuksellisia rikkomisia. (EDPB Ohjeet: Suuntaviivat 4/2022 yleisen tietosuoja-asetuksen mukaisten hallinnollisten sakkojen laskemisesta (versio 2.1, hyväksytty 24. toukokuuta 2023), kohdat 55 ja 56. Tietosuojatyöryhmä WP253: Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat (annettu 3. lokakuuta 2017), s. 12.)
27. Todettakoon, että rekisterinpitäjälle voidaan määrätä seuraamus yleisen tietosuoja-asetuksen soveltamisalaan kuuluvasta menettelystä, jos rekisterinpitäjä ei voinut olla tietämättä, että sen menettely on luonteeltaan sääntöjenvastaista, riippumatta siitä, oliko se tietoinen siitä, että se rikkoi yleisen tietosuoja-asetuksen säännöksiä. (Ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-683/21, ratkaisun kohta 81.) Euroopan unionin tuomioistuin viittaa ratkaisukäytännössään nimenomaan kilpailuoikeudelliseen tahallisuuden ja tuottamuksellisuuden arviointiin, joka on erotettava rikosoikeudellisesta tahallisuus- ja tuottamuksellisuusarvioinnista. (Ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-683/21 (ratkaisun kohta 81) ja asiassa C-807/21 (ratkaisun kohta 76).)
28. Seuraamuskollegio toteaa jäljempänä esitetyin perustein, ettei asiassa voida katsoa olevan kyse rikkomisesta, joka ei ole seurausta rekisterinpitäjän menettelyn tahallisuudesta tai huolimattomuudesta. (Ks. tahallisuudesta ja tuottamuksellisuudesta esim. Euroopan unionin tuomioistuimen ratkaisut asioissa C-683/21 ja C-807/21.)
29. Seuraamuskollegio kiinnittää huomioita erityisesti siihen seikkaan, että rekisterinpitäjä on tietosuojavaltuutetun päätöksestä ilmi käyvän selvityksen perusteella ottanut tarkastellun menettelytavan käyttöön harkitusti ja tietoisesti. Rekisterinpitäjä on menettelytavan käyttöönoton yhteydessä päättänyt, että se käsittelee myös niiden henkilöiden, jotka ovat olleet ottamassa käyttöön muuta OmaPosti-palvelua kuin OmaPosti-postilaatikkoa, henkilötietoja sähköisen OmaPosti-postilaatikon luomista varten yleisen tietosuoja-asetuksen 6(1)(b) artiklan nojalla, vaikka sanottu artikla edellyttää nimenomaisesti käsittelyn tarpeellisuusvaatimuksen noudattamista.
30. Yleisen tietosuoja-asetuksen 6(1)(b) artiklassa todetaan nimenomaisesti, että henkilötietojen käsittelyn on oltava tarpeen sopimuksen täytäntöön panemiseksi. Rekisterinpitäjän käytettävissä on myös ollut esimerkiksi kyseistä säännöstä koskevaa viranomaisohjeistusta, kuten Euroopan tietosuojaneuvoston 8.10.2019 julkaistu ohje yleisen tietosuoja-asetuksen 6(1)(b) artiklan soveltamisesta, jossa tarpeellisuusvaatimusta on käsitelty varsin yksityiskohtaisesti ja jossa todetaan esimerkiksi seuraavaa:
”Mikäli sopimus koostuu useista erillisistä palveluista tai palvelun osista, jotka voidaan kohtuudella suorittaa toisistaan riippumatta, esiin nousee kysymys siitä, miltä osin 6 artiklan 1 kohdan b alakohtaa voidaan käyttää oikeusperusteena. Asetuksen 6 artiklan 1 kohdan b alakohdan soveltaminen on arvioitava kunkin kyseessä olevan palvelun osalta erikseen siten, että tarkastellaan, mikä on objektiivisesti tarpeen kunkin sellaisen yksittäisen palvelun suorittamiseksi, joita rekisteröity on aktiivisesti pyytänyt tai jotka tämä on tilannut. Arvioinnissa
saattaa ilmetä, että tietyt käsittelytoimet eivät ole tarpeen rekisteröidyn pyytämien yksittäisten palveluiden kannalta vaan sen sijaan rekisterinpitäjän laajemman liiketoimintamallin kannalta. Tällöin 6 artiklan 1 kohdan b alakohta ei voi olla oikeusperuste kyseisille toimille.”
(Euroopan tietosuojaneuvoston (EDPB) Ohjeet 2/2019 yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan perusteella tapahtuvasta henkilötietojen käsittelystä rekisteröidyille tarjottavien verkkopalvelujen yhteydessä, versio 2.0, 8. lokakuuta 2019, kohta 37.)
31. Rekisterinpitäjällä on niin ikään ollut käytettävissään Euroopan unionin tuomioistuimen 4.7.2023 asiassa C-252/21 antama ratkaisu, jonka sisältöä on avattu tietosuojavaltuutetun päätöksen kohdissa 169, 175, 177, ja 178. (Julkisasiamies on sanotussa asiassa 20.9.2022 antamassaan ratkaisuehdotuksessa perustanut arviotaan Euroopan tietosuojaneuvoston ohjeeseen 2/2019. Julkisasiamies Athanasios Rantosin ratkaisuehdotus 20 päivänä syyskuuta 2022 asiassa C-252/21, kohta 54.) Rekisterinpitäjä ei ole kuitenkaan edes sanottujen viranomaislähteiden julkaisemisen jälkeen muuttanut toimintatapaansa, minkä on katsottava osoittavan osaltaan vähintäänkin huolimattomuutta. Rekisterinpitäjä ei ole myöskään tietosuojavaltuutetun yhteydenoton jälkeen ole ilmoittanut määrittävänsä käsittelyn oikeusperustetta palvelukohtaisesti.
32. Seuraamuskollegio toteaa, että asiassa ei ole kyse siitä että todettu rikkominen on tapahtunut, vaikka rekisterinpitäjä on toiminut huolellisesti.
33. Seuraamuskollegio toteaa, ettei asiassa ole perusteltua katsoa, etteikö rekisterinpitäjän toiminta täyttäisi yleisen tietosuoja-asetuksen 83(2)(b) artiklan edellytystä, jonka mukaan menettelyn on oltava tahallista tai tuottamuksellista.
Raskauttavien ja lieventävien tekijöiden arviointi
Rekisterinpitäjän toteuttamat toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi
34. Tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että vahingosta vastuussa olevan osapuolen olisi tehtävä kaikki voitavansa lieventääkseen rikkomisesta asianomaiselle aiheutuvia seurauksia. Valvontaviranomainen voi ottaa huomioon tällaisen vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.
35. Todettakoon selkeyden vuoksi, että hallinnollisen seuraamusmaksun määrääminen ei edellytä yksittäisen vahingon olemassaoloa. (Ks. myös Euroopan unionin tuomioistuimen ratkaisu asiassa C-300/21, ratkaisun kohta 40.) Tässä yhteydessä ei ole kyse vahingonkorvauksen määräämisen perusteiden arvioinnista.
36. Seuraamuskollegio katsoo, että rekisterinpitäjä ei ole ryhtynyt asianmukaisiin toimenpiteisiin rekisteröidylle koituvan vahingon lieventämiseksi, korjaamiseksi tai estämiseksi tulevaisuudessa. Seuraamuskollegio katsoo, ettei lieventäviä tai raskauttavia perusteita tältä osin ole.
Vastuun aste, ottaen huomioon rekisterinpitäjän 25 artiklan ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet
37. Kysymyksen alaisessa asiassa rekisterinpitäjä on järjestelmälliseen tapaan rikkonut yleisen tietosuoja-asetuksen 6(1) artiklan mukaista velvoitettaan. Rekisterinpitäjän toteuttamia teknisiä ja organisatorisia toimenpiteitä ei voida näiltä osin pitää riittävinä. Tapaus ilmentää yleisessä tietosuoja-asetuksessa säädettyjen käytäntöjen yleistä puutteellisuutta, eikä lieventäviä perusteita tältä osin ole.
Aiemmat vastaavat rikkomiset ja aikaisemmin määrätyt samaa asiaa koskevat toimenpiteet
38. Rekisterinpitäjään on aiemmin kohdistettu yleisen tietosuoja-asetuksen 58(2) artiklassa tarkoitettuja toimivaltuuksia. Tietosuojavaltuutetun toimiston seuraamuskollegio on 18.5.2020 määrännyt rekisterinpitäjälle 100 000 euron suuruisen hallinnollisen seuraamusmaksun asiassa dnro 3818/161/20. Korkein hallinto oikeus on pysyttänyt sanotun päätöksen. (KHO:2023:81, antopäivä 12.9.2023.)
39. Aiempi rikkominen ei ole koskenut henkilötietojen käsittelyperustetta, joten raskauttavia perusteita ei tältä osin ole.
Yhteistyön aste valvontaviranomaisen kanssa ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon
40. Edellä mainituissa tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että yhteistyön aste voidaan ottaa asianmukaisesti huomioon, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Arvioitaessa yhteistyötä valvontaviranomaisen kanssa merkitystä voitaisiin antaa sille, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin asian tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä. Ohjeiden mukaan ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.
41. On todettava, että yleisen tietosuoja-asetuksen 31 artiklassa säädetysti rekisterinpitäjän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Rekisterinpitäjällä on niin ikään yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan ja tietosuojalain 18 §:n nojalla velvollisuus toimittaa pyydetyt tiedot valvontaviranomaiselle.
42. Asian arvioinnissa ei edellä todetusti ole tarkoituksenmukaista korostaa jo lainsäädännössä edellytettyä yhteistyötä. Laissa säädetyn velvollisuuden täyttämistä ei ole tarkoituksenmukaista katsoa asiassa lieventäväksi tekijäksi.
43. Tieto rikkomisesta on tullut valvontaviranomaiselle kantelun kautta. Lieventäviä perusteita ei tältä osin ole.
Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät
44. Edellä mainituissa tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät voivat esimerkiksi olla rikkomisella saatu hyöty tai taloudellinen etu.
45. OmaPosti-palvelussa on kyse rekisterinpitäjän liiketoiminnasta. Rekisterinpitäjä on tässä asiassa antamassaan selvityksessä esittänyt esimerkiksi, että sähköiset kirjekopiot ovat OmaPostin palvelukokonaisuudessa lähettäjän ostettavissa oleva palvelu, ja OmaPosti-laatikkoon voidaan toimittaa sähköisiä kopioita paperisena toimitetuista kirjeistä yksinomaan lähettäjän, ei kirjeen vastaanottajan, tekemän valinnan mukaan, eikä kirjeen vastaanottaja ole voinut tätä esimerkiksi OmaPosti-laatikon asetuksista estää. (Saadun selvityksen perusteella rekisterinpitäjä on tehnyt OmaPosti-palveluun näiltä osin muutoksia 2.1.2024, ks. muutosten osalta tarkemmin tietosuojavaltuutetun päätöksessä rekisterinpitäjälle annettu ohjaus.) Tietosuojavaltuutetun päätöksessä esitetyn selvityksen mukaan OmaPosti-laatikko on määritetty toimimaan lisäksi siten, että sähköisten kirjekopioiden tuleminen ei ole lakannut asiakkaan passiivisuustilanteessa. (Selvityksen mukaan sähköisten kopioiden saapuminen lakkaa Postin saatua tiedon henkilön menehtymisestä.) Sähköisissä kopioissa on ollut kyse rekisterinpitäjän myymästä lisäpalvelusta paperikirjeiden lähettäjille.
46. Rekisterinpitäjä on niin ikään esittänyt selvityksessään, että sähköistä kirjeaineistoa koskevan metadatan tietoja voidaan hyödyntää OmaPosti-palvelunkäyttöliittymässä ja että rekisterinpitäjä kerää esimerkiksi palveluiden käytöstä muodostuvia tietoja. (Metatietoja voivat rekisterinpitäjän mukaan olla esimerkiksi kirjeen otsikko tai laskun perustiedot.) Asiassa ei siten ole katsottavissa, että rekisterinpitäjä ei olisi lainkaan hyötynyt taloudellisesti siitä, että OmaPosti-palveluun rekisteröityneille on aktivoitu järjestelmälliseen tapaan sähköinen OmaPosti-postilaatikko yleisen tietosuoja-asetuksen 6(1)(b) artiklaan vedoten.
47. Seuraamuskollegio toteaa, ettei lieventäviä perusteita tältä osin ole.
48. Seuraamuskollegio on kuitenkin huomioinut tietosuojavaltuutetun toimistossa asian käsittelyyn kuluneen ajan hallinnollisen seuraamusmaksun määrää arvioidessaan.
Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun toimiston seuraamuskollegion jäsenet.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksiin voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.
Tiedoksianto
Päätökset annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta
vastaan.
Lisätietoja päätöksistä rekisterinpitäjälle antaa asian esittelijä
Ylitarkastaja Niina Miettinen, puh. 029 566 6774
Päätös ei ole lainvoimainen.