Oikeus saada tutustua matkapuhelinliittymän tietoihin
- Asiasanat
- Matkapuhelinliittymät, Tarkastusoikeus, Välitystiedot
- Tapausvuosi
- 2024
- Antopäivä
- Diaarinumero
- TSV/12/2019
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun päätös
Asia
Oikeus saada tutustua tietoihin
Rekisterinpitäjä
Matkapuhelinyhtiö
Vireillesaattajan vaatimukset perusteluineen
Vireillesaattaja on 23.12.2019 saattanut tietosuojavaltuutetun toimistossa vireille asian, jossa on kysymys rekisteröidyn oikeudesta saada tutustua tietoihin. Vireillesaattaja on pyytänyt saada tutustua kaikkiin hänen matkapuhelinliittymänsä käyttämisestä syntyneisiin tietoihin. Vireillesaattaja on listannut tällaisina tietoina puheluiden alku- ja loppuajat, puheluiden vastaanottajat, sijaintitiedot, välitystiedot ja muut tekniset tiedot. Vireillesaattajan käsityksen mukaan edellä mainitut tiedot ovat yleisessä tietosuoja-asetuksessa tarkoitettuja henkilötietoja. Vireillesaattaja on pyytänyt saada tiedot koneellisesti luettavassa muodossa. Rekisterinpitäjä on kuitenkin toimittanut puheluerittelytiedot sekä sijainti- ja tukiasematiedot vireillesaattajalle paperimuodossa postitse. Välitystietojen toimittamisesta rekisterinpitäjä on osittain kieltäytynyt.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjältä on pyydetty asiassa selvitystä. Rekisterinpitäjä on antanut selvityksensä 28.9.2021.
Välitystietojen käsittelyä koskevasta luottamuksellisuudesta
Annetussa selvityksessä on alkuun todettu, että rekisterinpitäjä on sähköisen viestinnän palveluista annetussa laissa (917/2014) tarkoitettu teleoperaattori, joka käsittelee toiminnassaan sähköiseen viestintään liittyviä liikennöintitietoja, välitystietoja. Edellä mainitun lain 3 §:n 1 momentin 40 kohdassa säädetysti välitystiedoilla tarkoitetaan oikeus- tai luonnolliseen henkilöön yhdistettävissä olevaa tietoa, jota käsitellään viestin välittämiseksi sekä tietoa radioaseman tunnisteesta, radiolähettimen lajista tai käyttäjästä ja tietoa radiolähetyksen alkamisajankohdasta, kestosta tai lähetyspaikasta. Välitystietoja ovat annetun selvityksen mukaan esimerkiksi IP-osoitetieto, viestinnän osapuolen puhelinnumero, viestinnän ajankohta ja kesto, tukiasematieto sekä muut tiedot, joita käsitellään viestintäverkossa viestin välittämiseksi, jakelemiseksi tai tarjolla pitämiseksi ja jotka ovat yhdistettävissä viestintäpalvelun tilaajaan tai käyttäjään.
Välitystietojen ja viestinnän käsittelyä on todettu koskevan perustuslain suojaama viestin salaisuus. Sähköisen viestinnän palveluista annetun lain 136 §:n 1 momentissa säädetysti viestinnän osapuoli voi käsitellä omia sähköisiä viestejään ja niihin liittyviä välitystietoja, jollei laissa toisin säädetä. Edelleen mainitun lain 137 §:n 1 momentissa säädetysti teleoperaattorin on viestinnän välittäjänä sallittua käsitellä välitystietoja ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa eikä sillä saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Edelleen saman pykälän 2 momentissa säädetysti välitystietoja on sallittua luovuttaa ainoastaan niille tahoille, joilla on oikeus käsitellä tietoja asianomaisessa tilanteessa.
Annetussa selvityksessä on todettu, että rekisterinpitäjä käsittelee kuluttaja-asiakkaidensa välitystietoja sähköisen viestinnän palveluista annetun lain nojalla sekä omiin että viranomaisten tarpeisiin 1 . Välitystietoja voidaan käsitellä esimerkiksi vian selvittämiseksi tai teknisiä kehitystoimia ja laskutusta varten. Ilman perustetta tapahtuvan välitystietojen käsittelyn ja viestintäsalaisuuden loukkauksen on todettu olevan rikoslaissa kriminalisoitu.
Annetussa selvityksessä on niin ikään viitattu sähköisen viestinnän palveluista annetun lain erityissäännöksiin eräiden välitystietojen käsittelyn osalta. 2 Liikenne- ja viestintäviraston on sähköisen viestinnän palveluista annetun lain mukaisena yleisenä valvontaviranomaisena todettu antaneen tarkempia määräyksiä, yleistä ohjausta ja päätöksiä välitystietojen käsittelystä ja niiden toimittamisesta viestintäpalvelun tilaajalle ja käyttäjälle.
Tietojen toimittamisesta vireillesaattajalle
Vireillesaattajan henkilötiedot on kerrottu toimitetun vireillesaattajan saataville rekisterinpitäjän ylläpitämään itsepalvelukanavaan. Itsepalvelukanavassa rekisteröity saa sähköisen tiivistelmän ja tarkemman koosteen omista henkilötiedoistaan. Itsepalvelukanavassa rekisteröity voi myös ladata itselleen laskunsa pdf-muodossa. Itsepalvelukanavaan kirjaudutaan sähköisesti tunnistautumalla.
Vireillesaattaja ei kuitenkaan ollut ollut tyytyväinen siihen, mitä tietoja hänelle oli itsepalvelukanavassa toimitettu. Vireillesaattajalle olikin myöhemmin hänen pyynnöstään toimitettu muun muassa tarkempi puheluerittely. Puheluiden yhteyskohtaisten erittelyiden osalta on viitattu sähköisen viestinnän palveluista annetun lain 134 §:ään ja Liikenne- ja viestintäviraston ohjeistukseen 3 . Yhteyskohtainen erittely voidaan annetun selvityksen mukaan antaa viestintäpalvelun tilaajalle ja käyttäjälle. Yhteyskohtaisesta erittelystä ilmenee puhelun i) alkamisaika, ii) kesto, iii) puhelutyyppi (puhelu, tekstiviesti, datasiirto) ja iv) vastaanottajan numero. Vastaanotetut puhelut ja tekstiviestit näkyvät yhteyskohtaisessa erittelyssä vain, jos ne ovat maksullisia.
Sijainti- ja tukiasematietojen osalta vireillesaattajaa oli pyydetty täyttämään erillinen lomake sen varmistamiseksi, että vireillesaattaja oli ollut viestintäpalvelun käyttäjä pyynnössä yksilöitynä ajankohtana. Vireillesaattaja oli täyttänyt lomakkeen siten, että hän oli maininnut tunnistetietoinaan nimensä, puhelinnumeronsa ja henkilötunnuksensa. Vireillesaattaja oli toimittanut lomakkeen rekisterinpitäjälle msn.com-päätteisestä sähköpostiosoitteesta. Pyynnössään vireillesaattaja oli lisäksi vakuuttanut olevansa liittymän käyttäjä kysymyksessä olevana ajankohtana. Mainittujen tietojen avulla rekisterinpitäjä oli yksilöinyt vireillesaattajan, mutta ei ollut häntä annetun selvityksen mukaan varmuudella tunnistanut sellaisella tavalla, että edellä tarkoitettua sähköpostiosoitetta olisi voitu pitää vireillesaattajan sähköpostiosoitteena. Rekisterinpitäjä ei liioin ollut annetun selvityksen mukaan pitänyt edellä tarkoitettua sähköpostiosoitetta tietoturvallisena.
Sekä puheluerittelytiedot että sijainti- ja tukiasematiedot oli sittemmin toimitettu vireillesaattajalle paperimuodossa kirjattuna kirjeenä hänen kotiosoitteeseensa. Annetun selvityksen mukaan näin voitiin varmistaa se, että tiedot toimitetaan viestintäsalaisuutta loukkaamatta oikealle vastaanottajalle.
Välitystietojen toimittamisesta vireillesaattajalle
Välitystietojen osalta vireillesaattajalle on edellä mainitusti toimitettu yhteyskohtainen laskuerittely sekä sijainti- ja tukiasematiedot. Vireillesaattaja ei ole annetun selvityksen mukaan täsmentänyt tietopyyntöään kohdistumaan muihin välitystietoihin. Tässä yhteydessä rekisterinpitäjä on korostanut, että laki ei ylipäätään mahdollista kaikkien välitystietojen toimittamista. Esimerkiksi puheluiden yhteyskohtaiseen erittelyyn ei sähköisen viestinnän palveluista annetun lain 134 §:ssä säädetysti tule merkitä maksuttomien saapuneiden puheluiden tietoja.
Vireillesaattajan vastine
Vireillesaattajalle on varattu mahdollisuus antaa asiassa vastine. Vireillesaattaja on antanut vastineensa 1.10.2021. Vireillesaattaja on todennut, että rekisterinpitäjän itsepalvelukanavassa ei ole ollut saatavilla kaikkia niitä vireillesaattajan henkilötietoja, joita rekisterinpitäjä on käsitellyt. Itsepalvelukanavassa ei esimerkiksi ole ollut saatavilla vireillesaattajan pyytämiä puhelu-, sijainti-, välitys- ja muita teknisiä tietoja.
Antamassaan vastineessa vireillesaattaja on vahvistanut, että rekisterinpitäjä oli sittemmin toimittanut hänelle puheluerittely-, sijainti- ja tukiasematiedot paperimuodossa postitse. Rekisterinpitäjä ei ollut pyytänyt vireillesaattajalta lisätietoja toimittaakseen tiedot hänelle sähköisesti. Rekisterinpitäjä ei ollut vireillesaattajan kertoman mukaan ilmoittanut vireillesaattajalle, että se ei ollut tunnistanut häntä taikka kyennyt vahvistamaan hänen sähköpostiosoitettaan. Vireillesaattaja on korostanut, että hänen käyttämänsä sähköpostiosoite on ollut merkittynä hänen asiakastilinsä sähköpostiosoitteeksi vuodesta 2014, ja tätä sähköpostiosoitetta on käytetty muun muassa rekisterinpitäjän laskutuksessa.
Vireillesaattaja on lopuksi todennut pyytäneensä jäljennöksen kaikista matkapuhelinliittymänsä käytöstä syntyneistä tiedoista. Vireillesaattaja on oudoksunut sitä, että hänelle ei ole toimitettu kaikkia hänen pyytämiään tietoja ja toisaalta myös sitä, että kaikkia hänelle toimitettuja tietoja ei ole toimitettu hänelle sähköisesti, vaikka rekisterinpitäjä ylläpitää itsepalvelukanavaa, johon asiakkaat voivat kirjautua sähköisesti tunnistautumalla.
Vireillesaattajaa on lisäksi pyydetty täsmentämään, mitä hän tarkoittaa niillä välitystiedoilla, joita hänelle ei ole toimitettu. Vireillesaattaja on vastannut asiaa koskevaan lisätietopyyntöön 5.7.2024. Vireillesaattaja on kertonut, että hän ei osaa yksilöidä niitä tietoja, joihin rekisterinpitäjä on vastineessaan 28.9.2021 viitannut. Rekisterinpitäjä on vastineessaan viitannut muihin tietoihin, joita käsitellään viestintäverkossa viestin välittämiseksi, jakelemiseksi tai tarjolla pitämiseksi, ja jotka ovat yhdistettävissä viestintäpalvelun tilaajaan tai käyttäjään . Rekisterinpitäjä on niin ikään viitannut kaikkiin välitystietoihin . Vireillesaattaja on lisäksi todennut rekisterinpitäjän erikseen maininneen saapuneiden puheluiden tiedot esimerkkinä välitystiedoista, joita vireillesaattajalle ei ole toimitettu.
Muiden teknisten tietojen osalta vireillesaattaja on viitannut rekisterinpitäjän tietosuojaperiaateasiakirjaan, jonka sanamuotoa hän on pyyntöään tehdessään tulkinnut siten, että puheluiden soittamisesta voi syntyä muitakin teknisiä tietoja kuin välitystietoja. Vireillesaattaja on korostanut, että hän on pyytänyt kaikkia hänen puhelinliittymänsä käytöstä syntyneitä tietoja.
Sovellettavasta lainsäädännöstä
Asiassa sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuo-ja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus). Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018). Lisäksi asiaan sovelletaan sähköisen viestinnän palveluista annettua lakia (917/2014).
Oikeudellinen kysymys
Apulaistietosuojavaltuutettu arvioi ja ratkaisee vireillesaattajan asian edellä mainitusti yleisen tietosuoja-asetuksen pohjalta. Apulaistietosuojavaltuutetun on ratkaistava:
1) onko rekisterinpitäjälle annettava määräys toteuttaa vireillesaattajan pyyntö saada tutustua hänen matkapuhelinliittymänsä käyttämisestä syntyneisiin tietoihin; ja
2) onko henkilötietojen toimittamisessa vireillesaattajalle noudatettu yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa säädettyä.
Päätös
Apulaistietosuojavaltuutettu ei ole toimivaltainen ratkaisemaan kysymystä siitä, mitkä tiedot on katsottava välitystiedoiksi taikka kysymystä siitä, mitä välitystietoja viestinnän osapuolella on sähköisen viestinnän palveluista annetun lain 136 §:n 1 momentin nojalla oikeus käsitellä. Näin ollen apulaistietosuojavaltuutettu jättää asian tältä osin toimivaltaansa kuulumattomana tutkimatta.
Apulaistietosuojavaltuutettu ei käsillä olevassa asiassa arvioi, ovatko vireillesaattajan pyytämät tiedot tai osa niistä henkilötietoja. Näin ollen apulaistietosuojavaltuutettu ei tässä yhteydessä myöskään arvioi sitä, tulisiko rekisterinpitäjälle antaa määräys toteuttaa vireillesaattajan pyyntö.
Henkilötietojen toimittamisessa vireillesaattajalle ei ole noudatettu yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa säädettyä.
Apulaistietosuojavaltuutettu määrää rekisterinpitäjän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan nojalla toimittamaan vireillesaattajalle jo toimitetut henkilötiedot yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa säädetysti yleisesti käytetyssä sähköisessä muodossa. Nämä tiedot määrätään uudelleen toimitettavaksi siltä osin, kuin rekisterinpitäjä edelleen niitä käsittelee. 4
Huomautus
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla huomautuksen. Vaikka vireillesaattaja oli paitsi esittänyt pyyntönsä sähköisesti, myös korostanut pyytävänsä tietoja nimenomaan sähköisessä muodossa, vireillesaattajalle toimitettuja henkilötietoja ei ollut toimitettu hänelle yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa säädetysti yleisesti käytetyssä sähköisessä muodossa.
Perustelut
Vireillesaattaja on pyytänyt saada tutustua kaikkiin hänen matkapuhelinliittymänsä käyttämisestä syntyneisiin tietoihin. Vireillesaattaja on listannut tällaisina tietoina puheluiden alku- ja loppuajat, puheluiden vastaanottajat, sijaintitiedot, välitystiedot ja muut tekniset tiedot. Vireillesaattajan käsityksen mukaan nämä ovat yleisessä tietosuoja-asetuksessa tarkoitettuja henkilötietoja.
Tiedot puheluiden alku- ja loppuajoista, puheluiden vastaanottajista sekä sijainti- ja tukiasematiedot ovat tietoja, jotka vireillesaattajalle on jo toimitettu. Koska nämä tiedot on jo vireillesaattajalle toimitettu, ei tässä yhteydessä ole tarpeen enemmälti arvioida asiaa mainittuihin tietoihin pääsyn osalta. Tällä päätöksellä otetaan näin ollen tältä osin kantaa kysymykseen ainoastaan niiden välitystietojen osalta, joita vireillesaattajalle ei jo ole toimitettu.
Välitystiedoista
Sähköisen viestinnän palveluista annetun lain (917/2014) 38 luvussa on säädetty viranomaisten ohjauksesta, valvonnasta ja muista tehtävistä. Mainitun lain 305 §:n 1 momentissa on lueteltu ne sähköisen viestinnän palveluista annetun lain säännökset, joita tietosuojavaltuutettu valvoo. Tällaisia ovat muun muassa yhteisötilaajan välitystietojen käsittelyä koskeva 18 luku ja sijaintitietojen käsittelyä koskeva 20 luku. Selvyyden vuoksi on tässä yhteydessä todettava, että vireillesaattaja ei ole yhteisötilaajan asemassa.
Sähköisen viestinnän palveluista annetun lain 134 §:ssä on säädetty laskun erittelystä ja yhteyskohtaisesta erittelystä. Tämän pykälän valvontaa ei ole erikseen säädetty minkään nimeltä mainitun viranomaisen vastuulle. Mainitun lain 303 §:n 1 momentissa on kuitenkin säädetty, että Liikenne- ja viestintäviraston tehtävänä on valvoa sähköisen viestinnän palveluista annetun lain sekä sen nojalla annettujen säännösten ja päätösten noudattamista, jollei tässä laissa muuta säädetä. Näin ollen edellä mainitun laskun erittelystä ja yhteyskohtaisesta erittelystä säätävän lainkohdan valvonta kuuluu Liikenne- ja viestintäviraston toimivaltaan.
Välitystietojen määritelmästä on puolestaan säädetty sähköisen viestinnän palveluista annetun lain 3 §:n 1 momentin 40 kohdassa. Edelleen sähköisen viestinnän palveluista annetun lain 136 §:n 1 momentissa säädetysti viestinnän osapuoli voi käsitellä omia sähköisiä viestejään ja niihin liittyviä välitystietoja, jollei laissa toisin säädetä. Saman lain 137 §:n 2 momentin mukaan sähköisiä viestejä ja välitystietoja on sallittua luovuttaa ainoastaan niille tahoille, joilla on oikeus käsitellä tietoja asianomaisessa tilanteessa. Tässä kappaleessa mainittujen pykälien valvontaa ei myöskään ole säädetty minkään nimeltä mainitun viranomaisen vastuulle. Näin ollen sähköisen viestinnän palveluista annetun lain 303 §:n 1 momentin nojalla toimivalta valvoa ja tulkita mainittuja pykäliä on Liikenne- ja viestintävirastolla.
Edellä esitetyin perustein voidaan todeta, että apulaistietosuojavaltuutettu ei ole toimivaltainen ratkaisemaan kysymystä siitä, mitkä tiedot ylipäätään on katsottava välitystiedoiksi taikka kysymystä siitä, mitä välitystietoja viestinnän osapuolella on sähköisen viestinnän palveluista annetun lain 136 §:n 1 momentin nojalla oikeus käsitellä. Näin ollen apulaistietosuojavaltuutettu jättää asian tältä osin toimivaltaansa kuulumattomana tutkimatta.
Todettakoon kuitenkin, että siltä osin kuin välitystiedoissa on kysymys henkilötiedoista, sovelletaan yleistä tietosuoja-asetusta. Sähköisen viestinnän palveluista annettu laki perustuu muun muassa sähköisen viestinnän tietosuojadirektiiviin 5 . Sähköisen viestinnän tietosuojadirektiivin tarkoituksena on täydentää yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin (95/46/EY 6 , jäljempänä henkilötietodirektiivi) sääntelyä siltä osin, kun kyse on viestintäalasta. 7 Sähköisen viestinnän tietosuojadirektiivi ei sisällä erityissäännöksiä oikeudesta saada tutustua tietoihin. Asiassa sovellettavaksi tulee yleisen tietosuoja-asetuksen mainittua oikeutta koskevat säännökset. 8 Kuriositeettina voidaan vielä todeta, että tietosuojavaltuutettu on kumotun henkilötietolain aikana katsonut, että rekisteröidyllä on ollut oikeus saada tutustua muun muassa teleoperaattorin tilaajaan käyttöön lainaamaan IP-osoitetietoon. 9
Vireillesaattaja ei maksuttomia saapuneita puheluita koskevia tietoja lukuun ottamatta ole tarkemmin osannut yksilöidä sitä, mitä välitystiedoiksi katsottavia tietoja hänelle ei ole toimitettu. Sama pätee pyydettyihin muihin teknisiin tietoihin. Koska edellä tarkoitettuja tietoja ei ole tarkemmin yksilöity ja koska toimivalta määritellä se, mitkä tiedot ylipäätään ovat välitystietoja on Liikenne- ja viestintävirastolla, ei apulaistietosuojavaltuutettu tässä yhteydessä arvioi, ovatko kysymyksessä olevat tiedot tai osa niistä henkilötietoja. Näin ollen apulaistietosuojavaltuutettu ei tässä tapauksessa arvioi sitä, tulisiko rekisterinpitäjälle antaa määräys tältä osin toteuttaa vireillesaattajan pyyntö.
Kiinnitettäköön tässä yhteydessä huomiota myös sähköisen viestinnän palveluista annetun lain 134 §:n 6 momentin sanamuotoon. Laskun yhteyskohtainen erittely ei siis edellä mainitun lainkohdan mukaan saa sisältää maksuttomien palvelujen välitystietoja10 . Koska toimivalta edellä mainitusti määritellä se, mitkä tiedot ylipäätään ovat välitystietoja on Liikenne- ja viestintävirastolla, ei apulaistietosuojavaltuutettu tässä yhteydessä arvioi, ovatko kysymyksessä olevat tiedot tai osa niistä henkilötietoja. Näin ollen apulaistietosuojavaltuutettu ei tältäkään osin arvioi sitä, tulisiko rekisterinpitäjälle antaa määräys toteuttaa vireillesaattajan pyyntö.
Selvyyden vuoksi lopuksi on todettava, että välitystiedot ovat usein myös henkilötietoja. 11 Viitattakoon tältä osin välitystiedon määritelmäsäännöksen sanamuotoon. Vaikka välitystiedoilla sähköisen viestinnän palveluista annetun lain 3 §:n 1 momentin 40 kohdassa säädetysti tarkoitetaan oikeus- tai luonnolliseen henkilöön yhdistettävissä olevaa tietoa 12 , ei tämä kuitenkaan suoraan tarkoita, että nyt käsillä olevassa asiassa kaikki vireillesaattajan puhelinliittymän käytöstä syntyneet välitystiedot olisivat yhdistettävissä juuri vireillesaattajaan. Tämä arvio on tehtävä erikseen kunkin tiedon osalta.
Tietojen toimittamisen muodosta
Vireillesaattaja oli tehnyt nyt kysymyksessä olevan pyyntönsä sähköisesti. Puheluerittelytiedot ja sijainti- ja tukiasematiedot oli toimitettu vireillesaattajalle paperimuodossa kirjattuna kirjeenä hänen kotiosoitteeseensa. Rekisterinpitäjän mukaan tarkoituksena oli näin toimien ollut varmistaa se, että tiedot toimitetaan viestintäsalaisuutta loukkaamatta oikealle vastaanottajalle.
Sähköisen viestinnän palveluista annetussa laissa ei ole säädetty toimitettavaksi säädettyjen tietojen toimittamisen muodosta. Kuten edellä on todettu, yleinen tietosuoja-asetus tulee kuitenkin sovellettavaksi siltä osin kuin asiassa on kysymys henkilötiedoista.
Jos rekisteröity esittää pyynnön sähköisesti, tiedot on yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa säädetysti toimitettava yleisesti käytetyssä sähköisessä muodossa. Nyt käsillä olevassa asiassa ne henkilötiedot, jotka vireillesaattajalle on toimitettu, on toimitettu hänelle paperimuodossa huolimatta siitä, että vireillesaattaja oli esittänyt pyyntönsä sähköisesti. Näin ollen henkilötietojen toimittamisessa vireillesaattajalle ei ole noudatettu yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa säädettyä.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa säädetysti henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”). Henkilötietoja on käsiteltävä edellä mainittu eheyden ja luottamuksellisuuden periaatteen mukaisesti myös rekisteröidyn oikeuksia toteutettaessa. Jos rekisterinpitäjällä on perusteltua syytä epäillä 15 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi yleisen tietosuoja-asetuksen 12 artiklan 6 kohdassa säädetysti pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi.
Kiinnitettäköön tässä yhteydessä huomiota kuitenkin siihen, että rekisterinpitäjä ylläpitää sähköistä itsepalvelukanavaa, jonka välityksellä rekisterinpitäjä jo toimittaa tiettyjä henkilötietoja rekisteröidyille. Niin ikään vireillesaattajan henkilötietoja on kerrottu toimitetun vireillesaattajan saataville mainittuun itsepalvelukanavaan. Itsepalvelukanavaan kirjaudutaan sähköisesti tunnistautumalla. Mainituista seikoista huolimatta kaikkia tietoja ei ollut ollut toimitettu vireillesaattajalle itsepalvelukanavan välityksellä.
Koska puheluerittelytiedot ja sijainti- ja tukiasematiedot oli toimitettu vireillesaattajalle paperimuodossa kirjattuna kirjeenä hänen kotiosoitteeseensa, on rekisterinpitäjä tunnistanut vireillesaattajan. Rekisterinpitäjä ei asiassa annetun selvityksen mukaan kuitenkaan ollut voinut riittävällä tavalla varmistua siitä, että kysymyksessä oleva sähköpostiosoite oli ollut vireillesaattajan käytössä. Rekisterinpitäjä ei liioin ollut annetun selvityksen mukaan pitänyt käytettyä sähköpostiosoitetta tietoturvallisena.
Tältä osin on kiinnitettävä huomiota siihen, että yleisessä tietosuoja-asetuksessa ei ole täsmennetty sitä, mitä yleisesti käytetyllä sähköisellä muodolla tarkoitetaan. Näin ollen olemassa on useita mahdollisia muotoja, joita voidaan käyttää. Käytettävä muoto onkin yleisessä tietosuoja-asetuksessa jätetty rekisterinpitäjän harkintaan. Todettakoon, että jäljennös henkilötiedoista voidaan tarvittaessa tallentaa sähköiselle tallennuslaitteelle, kuten esimerkiksi CD-levylle tai USB-muistiin. 13 Rekisterinpitäjä voi kulloisenkin tilanteen mukaan päättää toimittaa jäljennöksen käsiteltävistä henkilötiedoista esimerkiksi sähköpostitse, postitse tai itsepalvelutyökalun avulla. 14
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla huomautuksen. Vaikka vireillesaattaja oli paitsi esittänyt pyyntönsä sähköisesti, myös korostanut pyytävänsä tietoja nimenomaan sähköisessä muodossa, vireillesaattajalle toimitettuja henkilötietoja ei ollut toimitettu hänelle yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa säädetysti yleisesti käytetyssä sähköisessä muodossa.
Lisäksi apulaistietosuojavaltuutettu määrää rekisterinpitäjän yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan nojalla toimittamaan vireillesaattajalle jo toimitetut henkilötiedot yleisen tietosuoja-asetuksen 15 artiklan 3 kohdassa säädetysti yleisesti käytetyssä sähköisessä muodossa. Nämä tiedot määrätään uudelleen toimitettavaksi siltä osin, kuin rekisterinpitäjä edelleen niitä käsittelee. 15
Sovelletut lainkohdat
Sähköisen viestinnän palveluista annetun lain (917/2014) 305 §:n 1 momentti, 134 §, 303 §:n 1 momentti, 3 §:n 1 momentin 40 kohta, 136 §:n 1 momentti, 137 §:n 2 momentti; yleisen tietosuoja-asetuksen ((EU) 2016/679) 15 artiklan 3 kohta, 5 artiklan 1 kohdan f alakohta, 12 artiklan 6 kohta ja 58 artiklan 2 kohdan b ja c alakohta.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.
Päätös on lainvoimainen.
Lisätietoja päätöksestä antaa asian esittelijä
Laura Varjokari, puh. 029 566 6771.
Apulaistietosuojavaltuutetun muita huomioita
Tiedot maksuttomista saapuneista puheluista
Vireillesaattajalle ei ole toimitettu tietoja maksuttomista saapuneista puheluista. Tältä osin on todettava, että pääsystä muun muassa laskun erittelyyn ja yhteyskohtaiseen erittelyyn sekä sähköisiin viesteihin ja niihin liittyviin välitystietoihin on erikseen kansallisesti säädetty. Sähköisen viestinnän palveluista annetun lain 134 §:n 6 momentissa säädetysti laskun yhteyskohtainen erittely ei saa sisältää maksuttomien palvelujen välitystietoja. Säännös perustuu sähköisen viestinnän tietosuojadirektiivin 16 7 artiklaan, jonka mukaan jäsenvaltioiden on kansallisissa säännöksissä otettava huomioon toisaalta eriteltyjä laskuja saavien tilaajien oikeudet ja toisaalta soittavien käyttäjien ja vastaanottavien tilaajien oikeus yksityisyyteen. Asiallisesti sähköisen viestinnän palveluista annetun lain 134 §:n 6 momentissa säädetty tarkoittaa rajoitusta yleisen tietosuoja-asetuksen 15 artiklassa säädettyyn rekisteröidyn oikeuteen saada tutustua tietoihin.
Kuten todettu, yleisen tietosuoja-asetuksen 15 artiklassa on säädetty rekisteröidyn oikeudesta saada tutustua tietoihin. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä saada artiklassa erikseen luetellut tiedot. Yleisen tietosuoja-asetuksen 15 artiklassa säädetty ei kuitenkaan tarkoita, että rekisteröidyn oikeus saada tutustua tietoihin olisi absoluuttinen. Vaikka yleinen tietosuoja-asetus on kansallisesti suoraan sovellettava säädös, jättää se eräissä asioissa jäsenvaltioille kansallista liikkumavaraa. Kansallisella lainsäädännöllä on siis mahdollista poiketa tietyistä yleisen tietosuoja-asetuksen velvoitteista. Yleisen tietosuoja-asetuksen 23 artiklalla annetaan jäsenvaltioille mahdollisuus rajoittaa rekisteröidyn oikeuksia tietyissä tilanteissa.
Yleisen tietosuoja-asetuksen 23 artiklassa säädetysti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa yleisen tietosuoja-asetuksen 15 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa. Tällaisia rajoituksia on kuitenkin tulkittava suppeasti. Yleisen tietosuoja-asetuksen 23 artiklan 1 kohdassa on tyhjentävästi lueteltu ne oikeushyvät, joita rajoituksella voidaan taata. Rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet on yksi artiklankohdassa mainituista oikeushyvistä.
Kiinnitettäköön tässä yhteydessä huomiota myös yleisen tietosuoja-asetuksen 15 artiklan 4 kohdassa säädettyyn. Mainitussa artiklankohdassa on nimenomaisesti säädetty, että oikeus saada jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Yleisen tietosuoja-asetuksen 15 artiklan 4 kohtaa tulkittaessa on kuitenkin erityisesti varottava laajentamasta perusteettomasti yleisen tietosuoja-asetuksen 23 artiklassa säädettyjä rajoituksia, jotka ovat ylipäätään sallittuja vain tiukoin edellytyksin. 17
Rajoitus on yleisen tietosuoja-asetuksen 23 artiklan 1 kohdassa säädetysti lainmukainen ainoastaan, jos rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja jos se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen. Todettakoon, että Euroopan tietosuojaneuvosto on antanut ohjeita 18 mainitun artiklan mukaisista rajoituksista. Näissä ohjeissakin todetusti välttämättömyyden ja oikeasuhteisuuden arviointi olisi tehtävä ennen kuin rajoituksesta säädetään.
Sähköisen viestinnän palveluista annettu laki on tullut voimaan tammikuussa 2015, eli ennen kuin yleistä tietosuoja-asetusta on alettu soveltamaan. Mainitun lain esitöissä ei ole arvioitu, onko sähköisen viestinnän palveluista annetun lain 134 §:n 6 momentissa säädetty rekisteröidyn oikeuteen kohdistuvana rajoituksena välttämätön ja oikeasuhteinen. Välttämättömyyden ja oikeasuhteisuuden arviointi edellyttää yleensä rekisteröityjen oikeuksiin ja vapauksiin kohdistuvien riskien arviointia. 19
Kiinnitettäköön huomiota siihen, että tietosuojalain (1050/2018) 34 §:ssä on säädetty rajoituksista rekisteröidyn oikeuteen saada tutustua hänestä kerättyihin tietoihin. Pykälässä on siis säädetty niistä edellytyksistä, joilla yleisen tietosuoja-asetuksen 15 artiklassa säädettyä rekisteröidyn oikeutta voidaan Suomessa kansallisesti rajoittaa.
Tietosuojalain 34 §:n 1 momentissa on säädetty niistä tilanteista, joissa rekisteröidyllä ei ole yleisen tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua tietoihin, joita hänestä on kerätty. Mainitun pykälän 1 momentin 2 kohdan mukaan rekisteröidyllä ei ole yleisen tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin, jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa20 rekisteröidyn taikka jonkun muun oikeuksille.
Kiinnitettäköön tässä yhteydessä huomiota sähköisen viestinnän palveluista annetun lain 134 §:n 6 momentin sanamuotoon. Lainkohdan mukaan yhteyskohtainen erittely ei saa sisältää maksuttomien palvelujen välitystietoja. Lainkohta rajannee 21 siis kaikki 22 maksuttomien palvelujen välitystiedot laskun yhteyskohtaisen erittelyn ulkopuolelle. Lienee kuitenkin niin, että esimerkiksi puhelinliittymän käyttäjällä tyypillisesti on jo hallussaan ainakin joitain tietoja myös maksuttomista saapuneista puheluista. Apulaistietosuojavaltuutettu katsookin, että ainakin tämä seikka olisi otettava huomioon, kun mahdollisesti nyt kysymyksessä olevan rajoituksen oikeasuhteisuutta arvioidaan.
Apulaistietosuojavaltuutettu toimittaa tässä osiossa esitetyt huomiot tiedoksi liikenne- ja viestintäministeriölle sekä Liikenne- ja viestintävirastolle.
Näihin apulaistietosuojavaltuutetun esiin nostamiin muihin seikkoihin ei voi hakea valittamalla muutosta.
1 Ks. sähköisen viestinnän palveluista annetun lain 19 luku.
2 Ks. sähköisen viestinnän palveluista annetun lain 134 § ja 20 luku
3 Ks. https://traficom.fi/fi/viestinta/laajakaista-ja-puhelin/laskuerittelyt-puhelinlaskuissa [vierailtu 24.6.2024].
4 Ajankulumisen johdosta on mahdollista, että osa kysymyksessä olevista henkilötiedoista on jo poistettu
5 Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla on muutettu direktiivillä 2009/136/EY (Euroopan parlamentin ja neuvoston direktiivi 2009/136/EY, annettu 25 päivänä marraskuuta 2009, yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin 2002/22/EY, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY ja kuluttajansuojalainsäädännön täytäntöönpanosta vastaavien kansallisten viranomaisten yhteistyöstä annetun asetuksen (EY) N:o 2006/2004 muuttamisesta).
6 Ks. yleisen tietosuoja-asetuksen 94 artiklan 2 kohta. Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen.
7 HE 221/2013 vp, s. 46.
8 Ks. myös lausunto 5/2019 sähköisen viestinnän tietosuojadirektiivin ja yleisen tietosuoja-asetuksen vuorovaikutuksesta erityisesti tietosuojaviranomaisten toimivallan, tehtävien ja valtuuksien osalta (annettu 12. maaliskuuta 2019), s. 18.
9 Ks. Tietosuojavaltuutetun lausunto henkilötietolain mukaisen tarkastusoikeuden käyttämisestä (3118/05/2016, 23.11.2016).
10 Korostus laatijan.
11 Ks. esim. HE 221/2013 vp, s. 83.
12 Vrt. yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan 1 alakohdassa säädettyyn. Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
13 Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1 (hyväksytty 28. maaliskuuta 2023), s. 50.
14 Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1 (hyväksytty 28. maaliskuuta 2023), s. 46.
15 Ajan kulumisen johdosta on mahdollista, että osa kysymyksessä olevista henkilötiedoista on jo poistettu.
16 Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla on muutettu direktiivillä 2009/136/EY (Euroopan parlamentin ja neuvoston direktiivi 2009/136/EY, annettu 25 päivänä marraskuuta 2009, yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin 2002/22/EY, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY ja kuluttajansuojalainsäädännön täytäntöönpanosta vastaavien kansallisten viranomaisten yhteistyöstä annetun asetuksen (EY) N:o 2006/2004 muuttamisesta).
17 Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1 (hyväksytty 28. maaliskuuta 2023), s. 55.
18 Ohjeet 10/2020 yleisen tietosuoja-asetuksen 23 artiklan mukaisista rajoituksista, versio 2.1 (hyväksytty 13. lokakuuta 2021).
19 Ohjeet 10/2020 yleisen tietosuoja-asetuksen 23 artiklan mukaisista rajoituksista, versio 2.1 (hyväksytty 13. lokakuuta 2021), s. 13.
20 Korostukset laatijan.
21 Sähköisen viestinnän palveluista annetun lain 134 §:n 6 momenttia valvoo Liikenne- ja viestintävirasto.
22 Korostus laatijan.