30.12.2020

Rekisterinpitäjän riittävistä toimenpiteistä huolehtiminen ja asiakkaan oikeus tulla unohdetuksi

Asia

Rekisteröidyn oikeus saada tiedot poistetuksi (’oikeus tulla unohdetuksi’)

Hakijan vaatimukset perusteluineen

Hakija on 20.10.2018 ollut yhteydessä tietosuojavaltuutetun toimistoon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 17 artiklan mukaisen tietojen poistoa koskevan oikeuden toteuttamiseksi. Hakija on asiakkuutensa irtisanomisen jälkeen esittänyt rekisterinpitäjälle kolme kertaa tietojen poistoa koskevan pyynnön. Rekisterinpitäjä on ilmoittanut kolmella kerralla poistaneensa tiedot. Tästä huolimatta hakija on edelleen saanut sähköpostiinsa rekisterinpitäjän asiakastiedotteita.

Hakijalta saatu selvitys

Hakija on kertonut irtisanoneensa asiakkuutensa 14.6.2017. Rekisterinpitäjä on 14.6.2017 kuitannut vastaanottaneensa asiakkuuden irtisanomisilmoituksen. Aikavälillä 4.7.2017-11.5.2018 hakija on saanut sähköpostiinsa useita rekisterinpitäjän asiakastiedotteita. Hakija on 11.5.2018 pyytänyt rekisterinpitäjää poistamaan kaikki hakijan henkilötiedot. Rekisterinpitäjä on 11.5.2018 vastannut hakijalle ja kertonut poistaneensa tiedot.

Hakija on 3.7., 3.8. ja 6.9.2018 saanut rekisterinpitäjältä sähköpostiinsa rekisterinpitäjän asiakasviestintää, minkä johdosta hakija on ollut uudestaan yhteydessä rekisterinpitäjään 3.7. ja 6.9.2018 ja toistanut tietojen poistoa koskevan pyyntönsä. Rekisterinpitäjä on hakijan toimittaman kirjeenvaihdon perusteella vastannut hakijan molempiin viesteihin ja kertonut varmistaneensa, että hakijan sähköpostiosoite on poistettu rekisterinpitäjän järjestelmästä sekä myös uutiskirjeen postituslistalta. Tästä huolimatta hakija on edelleen 23.10. ja 30.10.2018 saanut sähköpostiinsa rekisterinpitäjän asiakastiedotteita.

Rekisterinpitäjältä saatu selvitys

Vireille saatetun kantelun johdosta tietosuojavaltuutetun toimisto on 9.3.2020 päivätyllä selvityspyynnöllä pyytänyt rekisterinpitäjältä selvityksen. Rekisterinpitäjä on antanut selvityksensä 6.7.2020.

Selvityksessään rekisterinpitäjä kertoo seuraavaa. Rekisterinpitäjä on käsitellyt hakijan henkilötietoja virheellisesti integraatiovirheen vuoksi. Hakijan sähköpostiosoite on merkitty passiiviseksi mutta sitä ei ole automaattisesti poistettu asiakastiedotelistalta, minkä vuoksi hakija on poistopyynnön jälkeen saanut rekisterinpitäjältä asiakastiedotteita ja kutsun asiakaskyselyyn. Rekisterinpitäjä kertoo tulevansa jatkossa tarkistamaan erikseen jokaisen poistopyynnön yhteydessä myös manuaalisesti sen, että henkilön tiedot poistetaan myös asiakastiedotelistalta.

Rekisterinpitäjä on kertonut sen tietojen poistoa koskevista toimintatavoista lisäksi seuraavaa. Kun asiakas pyytää tietoja poistettavaksi ja kun asiakkaan palvelut ovat päättyneet, rekisterinpitäjä asettaa asiakkuuden ja sen alta löytyvät tiedot asiakasjärjestelmästä passiiviseksi. Passiiviseksi määriteltyjä asiakastietoja ei lähtökohtaisesti käsitellä muutoin, kuin säilytyksen osalta kirjanpitolain (1336/1997) 2 luvun 10 §:n 2 momentissa säädetyn mukaisesti. Kirjanpitoaineiston säilytysvaatimuksen jälkeen tiedot joko poistetaan kokonaan tai anonymisoidaan siten, että henkilötiedoiksi luokiteltavat tiedot korvataan kokonaan generoidulla dummy-tiedolla.

Jollei muualla laissa ole säädetty pitempää määräaikaa säilyttämiselle, tilikauden tositteet, liiketapahtumia koskeva kirjeenvaihto sekä muu kuin 1 momentissa mainittu kirjanpitoaineisto on säilytettävä vähintään kuusi vuotta sen vuoden lopusta, jonka aikana tilikausi on päättynyt siten, että 6, 7 ja 9 §:n vaatimukset täyttyvät.

Hakijan vastine

Tietosuojavaltuutetun toimisto on 8.7.2020 päivätyllä vastinepyynnöllä varannut hakijalle mahdollisuuden antaa vastine rekisterinpitäjän antaman selvityksen johdosta. Hakija ei ole antanut vastinetta määräpäivään 31.8.2020 mennessä.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleinen tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Hakija on esittänyt rekisterinpitäjälle tietojen poistoa koskevan pyynnön ensimmäisen kerran 11.5.2018 eli henkilötietolain soveltamisen aikana. Hakijalla on ollut mainittuna ajankohtana oikeus saada tiedot poistetuksi kumotun henkilötietolain 29 §:n mukaisesti. Hakija on esittänyt rekisterinpitäjälle tietojen poistoa koskevan pyynnön toisen kerran 3.7.2018 ja kolmannen kerran 6.9.2018, eli yleisen tietosuoja-asetuksen soveltamisen aikana, kuitenkin ennen tietosuojalain voimaan tuloa. Asia on saatettu vireille 20.10.2018. Näin ollen tietosuojalain 38 §:n 3 momentin mukainen siirtymäsäännös tulee arvioitavaksi.

Tietosuojalain 38 §:n 3 momentin mukaan tietosuojalain voimaan tullessa vireillä olevassa tarkastusoikeuden toteuttamista tai tietojen korjaamista koskevassa asiassa ei sovelleta sellaisia yleisen tietosuoja-asetuksen 12 ja 15-18 artiklan säännöksiä, joissa asetetaan rekisterinpitäjälle laajempia velvollisuuksia kuin tietosuojalain voimaan tullessa voimassa olleet säännökset edellyttävät, jos mainittujen tietosuoja-asetuksen säännösten soveltaminen olisi rekisterinpitäjän kannalta kohtuutonta.

Kumotun henkilötietolain tietojen korjaamista koskevan 29 §:n mukaan rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut tieto.

Yleisen tietosuoja-asetuksen 17 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin (17 artikla 1 kohta a alakohta).

Tietosuojalain 38 §: 3 momentin mukaan tietosuojalain voimaan tullessa vireillä olevassa tietojen korjaamista koskevassa asiassa ei sovelleta sellaisia yleisen tietosuoja-asetuksen 17 artiklan säännöksiä, joissa asetetaan rekisterinpitäjälle laajempia velvollisuuksia kuin tietosuojalain voimaan tullessa voimassa olleet säännökset edellyttävät, jos mainittujen tietosuoja-asetuksen säännösten soveltaminen olisi rekisterinpitäjän kannalta kohtuutonta.

Kumotun henkilötietolain 29 §:n mukaan rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta poistettava rekisterissä oleva käsittelyn kannalta tarpeeton henkilötieto. Yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan ilman aiheetonta viivytystä rekisteröityä koskevat henkilötiedot, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin. Tietosuojavaltuutettu katsoo kumotun henkilötietolain 29 §:n ja yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan a alakohdan olevan päällekkäisiä, eikä tietosuoja-asetuksen soveltaminen hakijan asiassa näin ollen aseta rekisterinpitäjälle laajempia velvollisuuksia kuin tietosuojalain voimaan tullessa voimassa olleet säännökset edellyttivät. Tietosuojavaltuutettu katsoo, että hakijan asiassa tietojen poistoa koskeva 17 artiklan 1 kohdan a alakohdan soveltaminen ei ole rekisterinpitäjän kannalta kohtuutonta.

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”);

Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee hakijan asian edellä mainitusti yleisen tietosuoja-asetuksen ja tietosuojalain pohjalta. Asiaan liittyy seuraava oikeudellinen kysymys:

1. onko rekisterinpitäjä toteuttanut hakijan yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan a alakohdan mukaisen oikeuden?

Jos rekisterinpitäjä ei ole toteuttanut hakijan oikeutta yleisen tietosuoja-asetuksen mukaisesti, tulee tietosuojavaltuutetun arvioida, onko asiassa käytettävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

Rekisterinpitäjä ei ole toteuttanut hakijan yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan a alakohdan mukaista oikeutta.

Koska rekisterinpitäjä on jo selvityksessään kertonut poistaneensa hakijan tiedot ja muuttavansa toimintatapaansa tietojen poistoa koskevan pyynnön yhteydessä, tietosuojavaltuutettu katsoo tältä osin riittäväksi antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus.

Perustelut

Hakija on ensimmäisen kerran 11.5.2018 pyytänyt rekisterinpitäjää poistamaan hakijan tiedot. Pyynnön jälkeen hakija on saanut rekisterinpitäjän asiakasviestintää, minkä johdosta hakija on esittänyt pyynnön uudestaan vielä kaksi kertaa. Hakija on yhä tämän jälkeen saanut rekisterinpitäjältä asiakasviestintää sähköpostiinsa.

Yleisen tietosuoja-asetuksen 17 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot, jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin. Hakijan asiakkuus on päättynyt vuonna 2017. Asiakkuuden päättymisen jälkeen hakijan henkilötietoja (sähköpostiosoite) ei ole enää tarvittu asiakastiedotteiden lähettämistä varten. Hakijalla on siten ollut oikeus saada sähköpostiosoitteensa poistetuksi rekisterinpitäjän asiakastiedotteen jakelulistalta ja rekisterinpitäjän on tullut poistaa tiedot ilman aiheetonta viivytystä. Koska hakija on yhä tietojen poistoa koskevien pyyntöjen jälkeen saanut rekisterinpitäjän asiakastiedotteita, tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toteuttanut hakijan 17 artiklan 1 kohdan mukaista oikeutta.

Tietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjän olisi tullut oma-aloitteisesti lopettaa hakijan sähköpostiosoitteen käsittely asiakastiedotteen lähettämistä varten hakijan asiakkuuden päättymisen jälkeen. Hakijan sähköpostiosoitetta on käsitelty asiakkuuden ajan muun muassa asiakastiedotteiden lähettämistä varten. Asiakkuuden päättymisen jälkeen hakijan sähköpostiosoitteen käsittely mainittua tarkoitusta varten ei ole enää ollut tarpeen, jonka takia rekisterinpitäjä on käsitellyt hakijan henkilötietoja tarpeettomasti yleisen tietosuoja-asetuksen tietojen minimointia koskevan periaatteen vastaisesti (5 artiklan 1 kohdan c alakohta).

Tietosuojavaltuutettu huomauttaa, että hakija on esittänyt tietojen poistoa koskevan pyynnön kolme kertaa. Rekisterinpitäjä on jokaisella kerralla vastannut hakijalle ja kertonut poistaneensa tiedot. Tästä huolimatta tietoja ei ole poistettu. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toteuttanut asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistuakseen siitä, että se käsittelee vain käsittelyn kannalta tarpeellisia henkilötietoja (25 artikla 2 kohta).

Sovelletut lainkohdat

Euroopan parlamentin ja neuvoston yleinen tietosuoja-asetus (EU) 2016/679 5 artikla 1 kohta c alakohta, 17 artikla 1 kohta a alakohta, 25 artikla 2 kohta, 58 artikla 2 kohta b alakohta

Tietosuojalaki (1050/2018) 38 §:n 3 momentti

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös ei ole vielä lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.