Finlex.fi-sivuston kysely
Finlex.fi-sivustoa ollaan uudistamassa. Haluaisimme kuulla mielipiteesi siitä, mikä tällä hetkellä toimii hyvin ja mikä ei. Kyselyyn vastaaminen vie noin 5 minuuttia.
Siirry kyselyyn: https://q.surveypal.com/Finlex.fi-kysely

24.6.2021

Sähköinen suoramarkkinointi automatisoiduilla soittojärjestelmillä ja henkilötietojen käsittelysopimus

Asia

Sähköinen suoramarkkinointi automatisoiduilla soittojärjestelmillä, suostumus suoramarkkinointiin, rekisteröidyn oikeudet ja henkilötietojen käsittelysopimus

Rekisterinpitäjä

Maksukyvyttömyysrekisteristä saadun tiedon mukaan rekisterinpitäjä (XX Oy) on asetettu konkurssiin kesäkuussa 2021. Rekisterinpitäjän tietosuojavaltuutetulle toimittaman tiedon mukaan mikään muu taho ei ole konkurssihakemuksen johdosta jatkamassa rekisterinpitäjän harjoittamaa aikakauslehtien kustannustoimintaa.

Asian tausta

Tietosuojavaltuutettu käsittelee vireille saatetut asiat 5665/157/2018, 5940/157/2018, 6001/157/2018 ja 4486/157/2019 hallintolain (434/2003) 25 §:n nojalla yhdessä. Edellä mainitut asiat käsitellään tässä päätöksessä diaarinumerolla 2890/161/2021.

Tietosuojavaltuutetun toimistoon on aikavälillä 4.9.2018-3.6.2019 saatettu vireille neljä kantelua, jotka ovat koskeneet ei-toivottuja automatisoiduilla soittojärjestelmillä (ns. roboteilla) toteutettuja lehden suoramarkkinointipuheluita. XX Oy toimii lehden kustantajana, jonka lukuun alihankkijayritys on toteuttanut suoramarkkinointia.

Kantelijat ovat kertoneet, että he eivät ole antaneet suostumusta automatisoiduilla soittojärjestelmillä tehtyihin suoramarkkinointipuheluihin. Lisäksi kantelijat ovat kertoneet yrittäneensä suoramarkkinointipuhelun aikana käyttää yleisen tietosuoja-asetuksen 14 artiklan mukaista oikeutta saada tieto siitä, mistä kantelijan henkilötiedot on saatu. Kantelijoiden mukaan soittaja on jatkanut myyntipuhetta reagoimatta kantelijoiden kysymykseen.

Myös kilpailu- ja kuluttajavirastolle on tehty useita kanteluita lehden suoramarkkinoinnista. Näitä kanteluita on tullut kilpailu- ja kuluttajavirastolle yhteensä noin sata kappaletta. Tietosuojavaltuutetun toimisto on saanut kilpailu- ja kuluttajavirastolta koonnin kanteluista, jotka on saatettu vireille kilpailu- ja kuluttajavirastossa aikavälillä heinäkuu 2018-syyskuu 2019. Koonnin mukaan puhelut ovat olleet automaatilla tehtyjä. Koonnista käy ilmi, että puhelun vastaanottajat ovat tuloksetta tiedustelleet, mistä puhelun vastaanottajan yhteystiedot on saatu

Tietosuojavaltuutetun toimisto on sille tulleiden kanteluiden johdosta ryhtynyt selvittämään rekisterinpitäjän harjoittamaa henkilötietojen käsittelyä suoramarkkinoinnin osalta. Asioiden käsittelyn yhteydessä tietosuojavaltuutetun toimisto on myös oma-aloitteisesti selvittänyt, ovatko rekisterinpitäjä ja sen lukuun suoramarkkinointia harjoittanut alihankkija laatineet yleisen tietosuoja-asetuksen 28 artiklan mukaisen sopimuksen tai muun oikeudellisen asiakirjan, jolla määritetään rekisterinpitäjän lukuun tapahtuvaa henkilötietojen käsittelyä.

Tietosuojavaltuutettu käsittelee ja arvioi rekisterinpitäjän (dnro 2890/161/2021) ja rekisterinpitäjän lukuun suoramarkkinointia tehneen yrityksen (dnro 2889/161/2021) toiminnan erillisissä päätöksissä. Suoramarkkinointia rekisterinpitäjän lukuun tehnyttä yritystä koskevassa päätöksessä yrityksen toimintaa on arvioitu vain siltä osin, kuin kyse on ollut rekisterinpitäjän lukuun suoritetusta henkilötietojen käsittelystä ja käsittelysopimuksesta. Niin ikään alihankkijaa koskevassa päätöksessä kyseisen yrityksen harjoittamaa henkilötietojen käsittelyä ei ole selvitetty muilta osin.

Rekisterinpitäjyydestä

XX Oy on asetettu konkurssiin 9.6.2021. Konkurssilain (120/2004) 3 luvun 1 1:n mukaan velallinen menettää konkurssin alettua oikeuden määrätä konkurssipesään kuuluvasta omaisuudestaan. Pesänhoitajan tehtävänä on mainitun lain 14 luvun 8 §:n 1 momentin mukaan käsitellä ja päättää asioista, jotka koskevat pesäluettelon tai velallisselvityksen laatimista, saatavien selvittämistä tai jakoluettelon laatimista taikka palkkaturvaa samoin kuin ne muut asiat, jotka laissa säädetään tai asian luonteen vuoksi kuuluvat pesänhoitajan tehtäviksi.

XX Oy:n konkurssipesä toimii konkurssin alkamisen jälkeen rekisterinpitäjänä siltä osin, kuin henkilötietoja käsitellään konkurssilaista konkurssipesälle ja sen lukuun toimivalle pesänhoitajalle seuraavien velvoitteiden hoitamiseksi. Rekisterinpitäjyys siirtyy konkurssipesälle vain siltä osin, kuin kyse on konkurssipesän lakisääteisten velvoitteiden hoitamisesta. Siten XX Oy velallisyhtiönä vastaa edelleen konkurssin alkamisen jälkeen henkilötietojen käsittelystä suhteessa rekisteröityihin.

Rekisterinpitäjältä saatu selvitys

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 4.4.2019 päivätyllä selvityspyynnöllä ja 5.7.2019 päivätyllä lisäselvityspyynnöllä. Rekisterinpitäjä on antanut vastauksen selvitykseen 10.6.2019 ja lisäselvitykseen 12.8.2019. Rekisterinpitäjän antamat selvitykset on annettu yrityksessä tapahtuneen yrityskaupan jälkeen.

Rekisterinpitäjä on antamassaan selvityksessä kertonut muun muassa seuraavaa.

Rekisterinpitäjä on harjoittanut kuluttajille kohdistettuja myyntipuheluita siten, että numerovalinta on automaattinen, mutta viestinvälitys tapahtuu yrityksen ja kuluttajan välillä vuorovaikutuksessa. Rekisterinpitäjä ei ole itse harjoittanut sellaista suoramarkkinointia, jossa myyntipuhelu yrityksestä kuluttajalle toteutetaan täysin etukäteen tehdyllä taltiolla. Rekisterinpitäjä on kertonut ostaneensa suoramarkkinoinnin harjoittamista varten palvelunsa alihankkijalta. Rekisterinpitäjän mukaan tämä alihankkija harjoittaa suoramarkkinointia etukäteen tehdyillä taltioita ja vain niille kuluttajille, jotka ovat antaneet nimenomaisen suostumuksen sähköiseen suoramarkkinointiin. Rekisterinpitäjän mukaan alihankkijalla on lupa käyttää edellä mainittua etukäteen tehtyä taltiota suoramarkkinoinnin harjoittamiseen.

Suostumus sähköiseen suoramarkkinointiin on kerätty rekisterinpitäjän mukaan esimerkiksi kilpailuilla, arvonnoilla, asiakaskyselyillä, keräämällä tietoja messuilla sekä muissa yleisötapahtumissa. Rekisterinpitäjä on antanut esimerkin suostumuksen sisällöstä verkkosivuilla tapahtuvan lehtitilauksen yhteydessä ja kertonut pyytävänsä suostumuksen seuraavalla tavalla: ”Tilauksen yhteydessä kuluttaja laittaa rastin ruutuun ”olen lukenut ja hyväksynyt tilaus- ja sopimusehdot”. Tilaus- ja sopimusehdoissa todetaan seuraavaa: Tilausehtoja sovelletaan XX Oy:n kustantamien painetun sekä digitaalisen median tai niiden yhdistelmien tilauksiin. Tilaaja sitoutuu noudattamaan näitä tilausehtoja. […] Tilauksen tehdessään tilaaja antaa automaattisesti suostumuksen liittää tilaajan tiedot XX Oy:n asiakasrekisteriin. Rekisterin sisältämiä henkilötietoja voidaan käyttää lainsäädännön sallimin tavoin ja sen yhteistyökumppaneiden suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin […]. Edellä mainituissa voidaan käyttää sähköisiä välineitä kaikissa mahdollisissa muodoissa. Tilaajalla on oikeus kieltää tällaisten viestin lähettäminen olemalla yhteydessä asiakaspalveluun. ”

Rekisterinpitäjän mukaan alihankkija on harjoittanut rekisterinpitäjän lukuun suoramarkkinointia alusta asti, mutta alkanut laskuttamaan siitä vasta 2018 marraskuussa. Rekisterinpitäjän mukaan kyseessä on ollut eräänlainen omistajan yhtiöön sijoittaminen. Vuonna 2018 alkanut laskutus oli aluksi epäsäännöllistä ja marraskuusta 2019 lähtien säännöllistä. Rekisterinpitäjä on toimittanut rekisterinpitäjän ja alihankkijan välisen myyntisopimuksen, joka on ollut voimassa 23.4.2019-31.8.2019. Rekisterinpitäjän mukaan osapuolten välillä ei ole ollut muuta sopimusta kuin myyntisopimus. Rekisterinpitäjän ja alihankkijan yhteistyö on päättynyt 25.6.2019 rekisterinpitäjän yrityksessä 16.5.2019 tapahtuneen yrityskaupan johdosta.

Tietosuojavaltuutetulle toimitetun myyntisopimuksen mukaan ”XX Oy omistaa kaikki yritykselle jaetut osoitteet. Yritys toimii rekisterin käsittelijänä ja sitoutuu pitämään salassa henkilötiedot sekä muut rekisteriin kuuluvat tiedot ja tuhoamaan tiedot omalta osaltaan käsittelyn päätyttyä.”

Rekisterinpitäjä on tarkentanut antamassaan lisäselvityksessä, että rekisterinpitäjän kaikesta myynnistä ja rekisterinpidosta on vastannut YY, joka on omistanut rekisterinpitäjän yrityksestä 80% ennen 2019 tehtyjä yrityskauppoja. Rekisterinpitäjän mukaan sen entisenä pääomistajana toiminut YY on vastannut täysin rekisterinpitäjän markkinoinnista. Yrityskaupan jälkeen 16.5.2019 rekisterin ylläpito on siirtynyt pois YY:ltä, ja uudet omistajat (ennen yrityskauppaa yrityksen vähemmistöosakkaat) ovat päättäneet rekisterinpitäjän markkinointiin liittyvistä asioista. Rekisterinpitäjän mukaan YY on myös omistanut 100% alihankkijana toimineesta yrityksestä.

Tapauksen tosiseikat

Asiassa saadun selvityksen johdosta rekisterinpitäjälle on 26.1.2021 päivätyllä kuulemispyynnöllä varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä esittää näkemys tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosisekoista. Tietosuojavaltuutetun toimiston kuulemispyynnössä on esitetty seuraavat tosiseikat.

Rekisterinpitäjä on kustannusosakeyhtiö, joka kustantaa urheilulehteä. Rekisterinpitäjä on ulkoistanut lehden suoramarkkinoinnin alihankkijalleen. Alihankkija on harjoittanut suoramarkkinointia rekisterinpitäjän lukuun ainakin myyntisopimuksen voimassaoloaikana ennen yrityskauppaa eli aikavälillä 23.4.2019-25.6.2019.

Rekisterinpitäjän ja alihankkijan välillä ei ole ollut yleisen tietosuoja-asetuksen 28 artiklan mukaista henkilötietojen käsittelysopimusta. Ainoa sopimus, joka osapuolten välillä on ollut, on edellä mainittu myyntisopimus.

Tietosuojavaltuutetun toimistoon vireille saatetuissa kanteluissa ja kilpailu- ja kuluttajaviraston koosteessa on ollut mainittuina puhelinnumeroita, joista lehden suoramarkkinointipuheluita on aikavälillä heinäkuu 2018-syyskuu 2019 soitettu. Puhelinnumeroita on ollut neljä. Teleoperaattorilta 14.9.2020 saadun tiedon mukaan kaikki kyseiset numerot ovat olleet edellä mainittuna aikana alihankkijayrityksen nimissä.

Kanteluista ja kilpailu- ja kuluttajaviraston toimittamasta koosteesta käy ilmi, että suoramarkkinointipuhelut ovat olleet automatisoiduilla soittojärjestelmillä tehtyjä. Kanteluissa ja koosteessa on kerrottu muun muassa seuraavaa:

”Puhelu alkoi naisäänen monologilla, jossa ääni esitteli tuotetta. Yritin keskeyttää äänen, mutta tuloksetta. Monologi päättyi kyllä/ei vastausta odottavaan kysymykseen. En vastannut kysymykseen, vaan kysyin, onko linjan toisessa päässä robotti tai onko tämä nauhoite. Koska automaatti ei ilmiselvästi ymmärtänyt kysymystäni, aloitti se vaivaannuttavan hiljaisuuden jälkeen uuden monologin, jossa toisti lisää myyntiargumentteja lopettaen esittelynsä taas kyllä/ei kysymykseen. Tähän toistin edellisen kysymykseni, jonka jälkeen sama toistui uudestaan. Kolmannen tai neljännen kierroksen jälkeen automaatti kiitti ajastani ja sulki puhelun.”

”Kannanottooni ei tullut minkäänlaista vastausta ja hetken kuluttua puhelinmyyjä aloitti uudelleen puheensa. Yritin moneen kertaan keskeyttää puhelinmyyjän puheen, jotta saisin puheenvuoron, mutta tämä ei onnistunut. Minulle jäi sellainen käsitys, että kyseessä oli nauhoite”

”Soittaja ei kuunnellut kieltävää vastausta vaan useaan otteeseen alkoi puhumaan päälle ja myymään lehteä uudestaan ja uudestaan”

”Myyjä selosti myyntipuhettaan eikä välittänyt vaikka kerroin useaan kertaan etten ole kiinnostunut tuotteesta. ”

”Myyjä yritti kaupitella lehteä ja epäilen, että kyseessä on robotti koska myyjä ei kiinnittänyt mitään huomiota vastauksiini ja kieltoihini.”

”Lehden markkinoinnissa käytettiin nauhoitettuja myyntipuheita. Kun sanoin että en halua tilata, naisääni jatkoi häiriintymättä puhettaan todeten mm. laitetaan tilaus tulemaan.”

”Puhelu alkoi naisäänen monologilla, jossa ääni esitteli tuotetta”.

Puheluiden vastaanottajat ovat kertoneet, etteivät he ole antaneet suostumusta automatisoiduilla soittojärjestelmillä tehtävään suoramarkkinointiin. Rekisterinpitäjä on kertonut antamassaan selvityksessä tavasta, jolla se kerää suostumuksen verkkosivuilla tehtävän lehtitilauksen yhteydessä. Rekisterinpitäjä kertoo, että tilaajaan tulee rastittaa suoramarkkinointia koskeva ruutu lehtitilauksen teon yhteydessä, ja näin ollen antaa suostumuksensa sähköiseen suoramarkkinointiin yhdessä tilaus- ja sopimusehtojen hyväksynnän kanssa. Rekisterinpitäjän rekisteröidyiltä pyytämä suostumus verkkosivuilla tehtävän lehtitilauksen yhteydessä ei täytä yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä.

Tietosuojavaltuutetulle toimitettujen kanteluiden ja kilpailu- ja kuluttajaviraston toimittaman koonnin perusteella kantelijat eivät ole pystyneet käyttämään yleisen tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia, kuten oikeutta saada tieto siitä, mistä rekisteröidyn tiedot on saatu, tai vastustamisoikeutta, koska suoramarkkinointipuhelun toteuttanut automatisoitu soittojärjestelmä ei ole vastannut kantelijoiden pyyntöihin ja tiedusteluihin. Rekisterinpitäjä ei ole siten varmistunut sen lukuun harjoitetun suoramarkkinoinnin osalta rekisteröidyn mahdollisuuksia käyttää oikeuksiaan.

Rekisterinpitäjän kuuleminen

Rekisterinpitäjälle on edellä kerrotusti varattu tilaisuus tulla kuulluksi sekä esittää näkemys tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosiseikoista. Rekisterinpitäjälle on varattu mahdollisuus antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä. Lisäksi kuulemispyynnössä rekisterinpitäjältä on pyydetty selvitystä seuraavista seikoista.

Rekisterinpitäjän mukaan alihankkijayrityksellä on lupa käyttää etukäteen tehtyä taltiota suoramarkkinoinnin harjoittamiseen. Pyydämme selventämään, mitä kyseisellä luvalla tarkoitetaan.

Rekisterinpitäjä on kertonut keränneensä suostumuksen sähköiseen suoramarkkinointiin kilpailuilla, arvonnoilla, asiakaskyselyillä, keräämällä tietoja messuilta ja muissa yleisötapahtumissa. Pyydämme toimittamaan esimerkin siitä, miten tämä suostumus on kerätty.

Tietosuojavaltuutetun toimiston saaman selvityksen mukaan alihankkijayritys on harjoittanut lehden suoramarkkinointia jo heinäkuusta 2018 alkaen, sillä alihankkijan käytössä olleesta numerosta on kyseisenä aikana markkinoitu lehteä. Osapuolten välillä ei ole ollut asetuksen 28 artiklan mukaista henkilötietojen käsittelysopimusta tai muuta oikeudellista asiakirjaa eikä rekisterinpitäjä ole toimittanut muuta dokumentaatiota sen ja alihankkijan välisestä suoramarkkinointisopimuksesta kuin myyntisopimuksen, joka kuitenkin on ollut voimassa vasta 23.4.2019 alkaen. Alihankkijayritys on puolestaan antamassaan selvityksessä kertonut, ettei se ole harjoittanut suoramarkkinointia rekisterinpitäjän lukuun ennen huhtikuuta 2019. Varaamme rekisterinpitäjälle mahdollisuuden toimittaa muuta dokumentaatiota (esimerkiksi kirjanpitotositteita), joista käy ilmi, että alihankkija on harjoittanut rekisterinpitäjän lukuun suoramarkkinointia jo heinäkuusta 2018 alkaen.

Rekisterinpitäjä on antanut vastineen kuulemispyyntöön 22.3.2021. Vastineessa rekisterinpitäjä myöntää tietosuojavaltuutetun toimiston kuulemispyynnössä esitetyn tapahtumienkulun pääosin oikeaksi. Rekisterinpitäjä on vastineessaan korostanut, että automattiseen puheentunnistusteknologiaan perustunut myynti alkoi loppuvuonna 2017 ja jatkui aina 25.6.2019 saakka siten, että rekisterinpitäjä toimi mainittuna aikana rekisterinpitäjänä ja palvelun tilaajana, ja alihankkija vastasi käytännön myyntityön toteuttamisesta ja toimi myös rekisterin käsittelijänä. Kuulemispyynnössä on viitattu robottiavusteisiin puheluihin vielä syyskuussa 2019. Rekisterinpitäjä on kertonut, ettei sen toimeksiannosta ole harjoitettu telemyyntiä kyseisenä aikana, sillä yhteistyö alihankkijan kanssa on päättynyt jo 25.6.2019.

Rekisterinpitäjä on korostanut vastineessaan automaattisen puheentunnistusteknologian käytön olleen Suomessa edellä mainittuna aikana varsin uutta. Mainittuun teknologiaan liittyvä lupamenettely on ollut rekisterinpitäjän mukaan tulkinnallinen monien asiantuntijoidenkin mielestä. Rekisterinpitäjä kertoo XX Oy:n perustajan ja entisen osakkaan selvittäneen ns. robottipuheluiden käyttöä eri viranomaisten kanssa, ja viranomaiset olivat lausuneet lainsäädännön olevan tulkittavissa siten, että kuvatun teknologian käyttö oli mahdollista, samoin se tapa, jolla sähköinen suoramarkkinointilupa kuluttajilta pyydettiin. Rekisterinpitäjä kertoo selvittäneensä lain tulkintaa myös juristeilta, mutta juridisesti tulkinallisiin tapauksiin ei saatu ratkaisua ilman oikeuslaitoksen asiassa tekemää niin sanottua ennakkopäätöstä.

Rekisterinpitäjä kertoo saaneensa kilpailu- ja kuluttajavirastolta joulukuussa 2019 päätöksen, jossa kilpailu- ja kuluttajavirasto on vaatinut rekisterinpitäjää luopumaan robottipuheluista. Robottisoitot olivat loppuneet jo 25.6.2019, eikä rekisterinpitäjä tai sen alihankkijat ole soittaneet kyseisen päivän jälkeen yhtään myynti- tai markkinointipuhelua tätä teknologiaa hyödyntämällä. Kaikki puhelinmyynti on tapahtunut perinteisellä tavalla ihmisten soittamina kesäkuusta 2019 lähtien.

Rekisterinpitäjä katsoo kilpailu- ja kuluttajaviraston kieltovaatimuksen olevan ensimmäinen ja virallinen julkinen kannanotto sovellettavan lain tulkintaan. Rekisterinpitäjä katsoo kilpailu- ja kuluttajaviraston vaatimuksen olevan sinällään riittävä toimenpide ja rekisterinpitäjä pitää mahdollisia muita seuraamuksia yhtiön kannalta tarpeettomina ja kohtuuttomina.

Rekisterinpitäjän toimittaman tilinpäätöksen mukaan sen liikevaihto aikavälillä 1.1.2019-30.4.2020 on ollut 429 782,14 euroa.

Alihankkijayritykseltä saatu selvitys

Tietosuojavaltuutetun toimisto on 10.9.2019 päivätyllä selvityspyynnöllä ja 26.2.2020 päivätyllä lisäselvityspyynnöllä pyytänyt alihankkijayritykseltä selvitystä sen roolista henkilötietojen käsittelijänä lehteä koskevan suoramarkkinoinnin osalta. Alihankkijayritys on antanut vastineet selvityksiin 1.12.2019 ja 22.4.2020.

Alihankkijayritys on kertonut selvityksissään muun muassa seuraavaa.

Alihankkijayritys suorittaa päämiestensä lukuun telemarkkinointipuheluita. Yksi päämiehistä on ollut XX Oy.

Alihankkijayritys on kertonut 22.4.2020 antamassa vastineessa henkilötietojen käsittelysopimuksesta muun muassa seuraavaa: ”XX Oy on irtisanonut [alihankkijana toimineen yrityksen] kanssa yhteistyösopimuksen kesäkuussa 2019. [Alihankkijana toimivalla yrityksellä] ei ole taltioituna tähän hetkeen nyt jo vanhentunutta myyntisopimuksen liitettä henkilötietojen käsittelystä, jos sellainen on tehty. Käsittelyohjeet ovat olleet allekirjoittaneen muistikuvan mukaan myös nähtävillä XX Oy:n nettisivuilla sähköisesti.”

Lisäksi tietosuojavaltuutetun toimisto on varannut alihankkijayritykselle tämän omassa asiassa hallintolain 34 §:ssä nojalla tilaisuuden tulla kuulluksi sekä esittää näkemys tietosuojavaltuutetun toimiston esittelijän alustavasta arviosta ja kuulemispyynnössä esitetyistä tosisekoista. Lisäksi alihankkijayritykselle on varattu mahdollisuus antaa selvityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Alihankkijayritykselle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka sen näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä ja mahdollista hallinnollista seuraamusmaksua määrättäessä.

Alihankkijana toimiva yritys on antanut vastineen kuulemispyyntöön 27.5.2021. Yritys on kertonut vastineessaan muun muassa seuraavaa.

Alihankkijayritys on esittänyt, ettei se ole tehnyt suoraa sopimusta XX Oy:n kanssa missään vaiheessa aikavälillä 2017 - huhtikuu 2019. Alihankkijana toimiva yritys ei ole myöskään ollut suorassa sopimussuhteessa XX Oy:n kanssa kyseisenä aikavälinä. Alihankkijayritys on esittänyt, ettei se ole ennen myyntisopimuksen solmimista toiminut yhteistyössä suoraan XX Oy:n kanssa. Alihankkijayritys on kertonut toimittaneensa kyseisenä aikana alihankintana lehtitilauksia XX Oy:lle. Alihankkijayritys kertoo, ettei se kuitenkaan ole tehnyt XX Oy:n kanssa alihankintasopimusta. Alihankinnan toteuttamiseksi alihankkijana toimivalla yrityksellä on kuitenkin ollut ”yleistä tietosuoja-asetusta koskeva sopimus” voimassa XX Oy:n kanssa.

Edelleen alihankkijayritys esittää, ettei se ole ennen myyntisopimusta toiminut sopimussuhteessa XX Oy:n kanssa. Toisin kuin alihankkijayritys on esittänyt, alihankkijayritys on 27.5.2021 antamassaan vastineessa esittänyt tietosuojavaltuutetun toimistolle, että sillä on ollut ”yleistä tietosuoja-asetusta koskeva sopimus” XX Oy:n kanssa. Alihankkijayritys esittää, ettei tietosuojavaltuutettu ole missään vaiheessa pyytänyt edellä mainitulta ajalta sopimusta, joten sitä ei ole osattu toimittaa. Alihankkijayritys katsoo tietosuojavaltuutetun tehneen kuulemispyynnössä esiintyvät johtopäätökset pyytämättä alihankkijayritystä toimittamaan sopimusta. Alihankkijayritys on toimittanut vastineensa liitteenä 24.5.2018 päivätyn sopimuksen, ”yleistä tietosuoja-asetusta koskeva sopimus”. Sopimuksessa todetaan seuraavaa: ”XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä ja sitoutuu pitämään salassa henkilötiedot sekä muut rekisteriin kuuluvat tiedot ja tuhoamaan tiedot omalta osaltaan käsittelyn päätyttyä. Molemmat osapuolet toteuttavat ja ylläpitävät asianmukaiset organisatoriset, operatiiviset, hallinnolliset, fyysiset ja tekniset toimenpiteet henkilötietojen ja mahdollisten muiden tietojen suojaamiseksi tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä.

Osapuolet sitoutuvat noudattamaan henkilötietojen käsittelyssä XX Oy:n ohjeita, joka on kokonaisuudessaan luettavissa [lehden verkkosivuilla olevasta rekisteriselosteesta].

Molemmat osapuolet ovat tutustuneet lainsäädäntöön sekä XX Oy:n ohjeistukseen ja sitoutuvat noudattamaan henkilötietojen käsittelyssä kulloinkin voimassa olevaa henkilötietojen käsittelyä ja yksityisyyden suojaa koskevaa EU:n kansallista lainsäädäntöä. Yritys voi käyttää myynnissä sähköistä suoramarkkinointia.

Lisäksi alihankkijayritys on kertonut, että alihankkijayritys on poistettu alv-, ennakonpidätys- sekä työnantajarekisteristä ja yhtiön toiminta on päivätty Kaupparekisterin yritystietojärjestelmään loppuneeksi 1.3.2021. Yhtiön liikevaihto on kuluvana tilikautena arviolta 0,00 euroa.

Alihankkijayrityksen liikevaihto aikavälillä 1.1.2020-31.12.2020 on ollut 839,33 euroa.

Tietosuojavaltuutetun toimisto on asian selkeyttämiseksi varannut 27.5.2021 päivätyllä lisäselvityspyynnöllä alihankkijana toimivalle yritykselle tilaisuuden toimittaa lisäselvitystä vielä seuraavaan seikkaan. Tietosuojavaltuutetun toimistoon vireille saatetuissa kanteluissa ja kilpailu- ja kuluttajaviraston koosteessa on ollut mainittuina puhelinnumeroita, joista lehden suoramarkkinointipuheluita on kantelijoiden mukaan soitettu aikavälillä heinäkuu 2018-syyskuu 2019. Teleoperaattorilta saadun tiedon mukaan kaikki kyseiset numerot ovat olleet edellä mainittuna aikana alihankkijayrityksen nimissä.

Alihankkijayritys on antanut vastineen lisäselvitykseen 30.5.2021. Lisäselvityksessä yritys kertoo, ettei se ole missään vaiheessa kieltänyt, etteikö yhtiö olisi tehnyt alihankintana lehden soittoja. Alihankkijayritys on myös todennut, että tietosuojavaltuutetun esittämät numerot saattavat olla niitä, joista markkinointia on tehty. Tietosuojavaltuutetun väite suorasta myyntisopimuksesta ennen huhtikuuta 2019 ei yrityksen mukaan kuitenkaan pidä paikkaansa.

Alihankkijayritys katsoo sen ja XX Oy:n asiassa antaman selvityksen osoittavan, että yhteistyö on päättynyt kesäkuussa 2019. Alihankkijayritys ei ole kertomansa mukaan tehnyt yhtään soittoja XX Oy:n nimissä kesäkuun 2019 jälkeen.

Sovellettava lainsäädäntö

Yleinen tietosuoja-asetus (2016/679)

Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Tietosuojalain (1050/2018) 8 §:n mukaan tietosuojavaltuutettu toimii yleisessä tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena. Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan ’rekisterinpitäjällä’ tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

Yleisen tietosuoja-asetuksen 4 artiklan 8 kohdan mukaan ’henkilötietojen käsittelijällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan rekisteröidyn ’suostumuksella’ mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen. Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 32 mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, kuten kirjallisella, mukaan lukien sähköisellä, tai suullisella lausumalla, josta käy ilmi rekisteröidyn vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn. Toimi voisi esimerkiksi olla se, että rekisteröity rastittaa ruudun vieraillessaan internetsivustolla, valitsee tietoyhteiskunnan palveluiden teknisiä asetuksia tai esittää minkä tahansa muun lausuman tai toimii tavalla, joka selkeästi osoittaa tässä yhteydessä, että hän hyväksyy henkilötietojensa käsittelyä koskevan ehdotuksen.

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”).

Yleisen tietosuoja-asetuksen 7 artiklan 2 kohdan mukaan, jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Saman artiklan 4 kohdan mukaan arvioitaessa suostumuksen vapaaehtoisuutta on otettava mahdollisimman kattavasti huomioon muun muassa se, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten.

Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.

Yleisen tietosuoja-asetuksen 14 artiklan mukaisesti rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä. Mainitun artiklojen 2 kohdan f alakohdan mukaan rekisteröidyllä on oikeus saada tietää mistä tiedot on saatu.

Yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, jos henkilötietoja käsitellään suoramarkkinointia varten.

Yleisen tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava organisatoriset ja tekniset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan yleistä tietosuoja-asetusta ja siten sen on toteutettava organisatoriset ja tekniset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta.

Yleisen tietosuoja-asetuksen 28 artiklan 1 kohdan mukaan, jos käsittely on määrä suorittaa rekisterinpitäjän lukuun, rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tämän asetuksen vaatimukset ja sillä varmistetaan rekisteröidyn oikeuksien suojelu. Saman artiklan 3 kohdan mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on määritettävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa vahvistetaan käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Tässä sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti, että henkilötietojen käsittelijä

a) käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja kolmanteen maahan tai kansainväliselle järjestölle, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa henkilötietojen käsittelijä tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä laissa yleistä etua koskevien tärkeiden syiden vuoksi; b) varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvol­lisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus; c) toteuttaa kaikki 32 artiklassa vaaditut toimenpiteet; d) noudattaa 2 ja 4 kohdassa tarkoitettuja toisen henkilötietojen käsittelijän käytön edellytyksiä; e) ottaen huomioon käsittelytoimen luonteen auttaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä mahdollisuuksien mukaan täyttämään rekisterinpitäjän velvollisuuden vastata pyyntöihin, jotka koskevat III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä; f) auttaa rekisterinpitäjää varmistamaan, että 32–36 artiklassa säädettyjä velvollisuuksia noudatetaan ottaen huomioon käsittelyn luonteen ja henkilötietojen käsittelijän saatavilla olevat tiedot; g) rekisterinpitäjän valinnan mukaan poistaa tai palauttaa käsittelyyn liittyvien palveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä vaaditaan säilyttämään henkilötiedot; h) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tässä artiklassa säädettyjen velvollisuuksien noudattamisen osoittamista varten, ja sallii rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman auditoijan suorittamat auditoinnit, kuten tarkastukset, sekä osallistuu niihin.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla valvontaviranomainen voi asettaa väliaikaisen tai pysyvän rajoituksen käsittelylle, mukaan lukien käsittelykiellon.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan nojalla valvontaviranomainen voi määrätä hallinnollisen sakon 58 artiklan 2 kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteet huomioiden.

Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan yleisen tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisen seuraamusmaksun määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan otettava asianmukaisesti huomioon seuraavat seikat:

a) rikkomisen luonne, vakavuus ja kesto, kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus huomioon ottaen, sekä niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus; b) rikkomisen tahallisuus tai tuottamuksellisuus; c) rekisterinpitäjän tai henkilötietojen käsittelijän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi; d) rekisterinpitäjän tai henkilötietojen käsittelijän vastuun aste, ottaen huomioon heidän 25 ja 32 artiklan nojalla toteuttamansa tekniset ja organisatoriset toimenpiteet; e) rekisterinpitäjän tai henkilötietojen käsittelijän mahdolliset aiemmat vastaavat rikkomiset; f) yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi; g) henkilötietoryhmät, joihin rikkominen vaikuttaa; h) tapa, jolla rikkominen tuli valvontaviranomaisen tietoon, erityisesti se, ilmoittiko rekisterinpitäjä tai henkilötietojen käsittelijä rikkomisesta ja missä laajuudessa; i) jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 58 artiklan 2 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen; j) 40 artiklan mukaisten hyväksyttyjen käytännesääntöjen tai 42 artiklan mukaisten hyväksyttyjen sertifiointimekanismien noudattaminen; ja k) mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.

Yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan a-c alakohtien mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan a-e alakohtien mukaisten säännösten rikkomisesta määrätään 83 artiklan 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Laki sähköisen viestinnän palveluista (917/2014)

Sähköisen viestinnän palveluista annetun lain 305 §:n 1 momentin 4 kohdan mukaan tietosuojavaltuutettu valvoo suoramarkkinointia koskevien 200 ja 202-204 §:n säännösten noudattamista.

Sähköisen viestinnän palveluista annetun lain 200 §:n 1 momentin mukaan automatisoitujen soittojärjestelmien sekä telekopiolaitteiden, sähköpostiviestien, tekstiviestien, puheviestien, ääniviestien tai kuvaviestien avulla toteutettua suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen ennalta suostumuksensa.

Hallituksen esitys eduskunnalle sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi (HE 125/2003 vp)

Sähköisen viestinnän palveluista annetun lain 200 § vastaa sähköisen viestinnän tietosuojalain (kumottu lailla sähköisen viestinnän palveluista 917/2014) 26 §:ää. Kyseisen lain hallituksen esityksen (HE 12/2003 vp, s. 80) mukaan automatisoidulla soittojärjestelmällä tarkoitetaan sellaista järjestelmää, joka ottaa yhteydet vastaanottajaan automaattisesti ilman, että luonnollinen henkilö suorittaa yhteydenottoa. Tällaisia automaattisia järjestelmiä, jotka monesti koetaan haitallisiksi, on mahdollista käyttää niin, että järjestelmä satunnaisesti valitsee tietyillä otantaperusteilla suuresta joukosta yhteystietoja ja lähettää näille suoramarkkinointia. Automatisoidut soittojärjestelmät ovat mahdollisia muun muassa puhelinjärjestelmissä. Momentin mukaan tällaista markkinointia ei saa suorittaa, ellei varsinainen markkinointityö tapahdu luonnollisen henkilön tekemänä. Ehdotettu momentti ei siten kiellä sellaisten esimerkiksi suoramarkkinointia helpottavien automaattisten järjestelmien käyttöä, joiden tarkoituksena on helpottaa markkinointityön aloittaminen. Tällöin kuitenkin itse markkinoinnin on tapahduttava luonnollisen henkilön suorittamana, joten esimerkiksi yhteydenotto puhelimitse voi tapahtua käyttämällä automaattista numerovalintaa, mutta markkinoinnin on puhelun vastaanoton jälkeen tapahduttava luonnollisen henkilön suorittamana, eikä automaatin välityksellä.

Konkurssilaki (120/2004)

Konkurssilain 3 luvun 1 §:n mukaan konkurssin alettua velallinen menettää oikeuden määrätä konkurssipesään kuuluvasta omaisuudestaan.

Konkurssilain 14 luvun 8 §:n 1 momentin mukaan pesänhoitaja käsittelee ja päättää asiat, jotka koskevat pesäluettelon tai velallisselvityksen laatimista, saatavien selvittämistä tai jakoluettelon laatimista taikka palkkaturvaa samoin kuin ne muut asiat, jotka laissa säädetään tai asian luonteen vuoksi kuuluvat pesänhoitajan tehtäviksi.

Oikeudelliset kysymykset

Tietosuojavaltuutettu ratkaisee asian edellä esitetysti yleisen tietosuoja-asetuksen, tietosuojalain ja sähköisen viestinnän palveluista annetun lain nojalla. Asiassa on ratkaistavana seuraavat oikeudelliset kysymykset:

mikä taho toimii nyt käsillä olevassa henkilötietojen käsittelyssä rekisterinpitäjänä, johon yleisessä tietosuoja-asetuksessa säädetyt 58 artiklan 2 kohdan mukaiset korjaavat toimenpiteet tulisi kohdistaa;

onko rekisterinpitäjällä ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukainen henkilötietojen käsittelysopimus henkilötietojen käsittelijän (alihankkijayritys) kanssa

onko rekisterinpitäjän lukuun harjoitettu suoramarkkinointi ollut sähköisen viestinnän palveluista annetun lain 200 §:n 1 momentin mukaista sähköistä suoramarkkinointia;

jos suoramarkkinointi on ollut sähköistä suoramarkkinointia, onko rekisterinpitäjän suoramarkkinointiin keräämä suostumus ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan ja 7 artiklan 2 ja 4 kohdan mukainen;

onko rekisterinpitäjä suoramarkkinointia harjoittaessaan varmistanut, että rekisteröidyt pystyvät käyttämään yleisen tietosuoja-asetuksen 14 artiklan ja 21 artiklan mukaisia rekisteröidyn oikeuksia; ja

mikäli rekisterinpitäjän toimintatapa ei ole ollut yleisen tietosuoja-asetuksen mukaista, tulee tietosuojavaltuutetun arvioida, onko asiassa käytettävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

XX Oy on vastannut nyt käsillä olevasta henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan tarkoittamana rekisterinpitäjänä, johon yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaiset korjaavat toimenpiteet kohdistetaan.

Rekisterinpitäjän ja sen lukuun henkilötietoja käsitelleen alihankkijayrityksen välillä ei ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta tai muuta oikeudellisesti sitovaa asiakirjaa. Rekisterinpitäjä on siten laiminlyönyt sille rekisterinpitäjänä kuuluvan velvollisuuden laatia edellä mainittu sopimus tai muu oikeudellinen asiakirja.

Rekisterinpitäjän lukuun harjoitettu suoramarkkinointi on ollut sähköisen viestinnän palveluista annetun lain 200 §:n 1 momentin mukaista suoramarkkinointia, johon vaaditaan ennalta annettu suostumus. Rekisterinpitäjän keräämä suostumus suoramarkkinointiin ei ole täyttänyt yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan ja 7 artiklan 2 ja 4 kohdan mukaisen suostumuksen edellytyksiä.

Rekisterinpitäjän informointi henkilötietojen käsittelystä suoramarkkinointitarkoituksissa ei ole ollut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaisesti läpinäkyvää.

Rekisterinpitäjä on sen lukuun harjoitetussa henkilötietojen käsittelyssä laiminlyönyt 24 artiklan 1 kohdan ja 28 artiklan 1 kohdan mukaiset rekisterinpitäjän velvollisuudet huolehtia rekisteröidyn oikeuksien tehokkaasta toteutumisesta. Rekisterinpitäjä ei ole toiminnassaan mahdollistanut sitä, että rekisteröity pystyy käyttämään yleisen tietosuoja-asetuksen 14 ja 21 artiklan mukaisia rekisteröidyn oikeuksia, eikä rekisterinpitäjä siten ole pyrkinyt helpottamaan rekisteröidyn oikeuksien toteutumista 12 artiklan 2 kohdan edellyttämällä tavalla.

Rekisterinpitäjä on antamassaan selvityksessä kertonut päättäneensä myyntisopimuksen alihankkijayrityksen kanssa 25.6.2019 ja lopettaneensa automatisoiduilla soittojärjestelmillä harjoitetun suoramarkkinoinnin. Näin ollen tietosuojavaltuutettu katsoo, ettei rekisterinpitäjälle ole tarpeen tältä osin antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaista määräystä saattaa henkilötietojen käsittelyä yleisen tietosuoja-asetuksen mukaiseksi.

Rekisterinpitäjä on katsonut kilpailu- ja kuluttajaviraston joulukuussa 2019 antaman määräyksen riittäväksi eikä rekisterinpitäjä siten katso, että tietosuojavaltuutetun tulisi kohdistaa rekisterinpitäjään muita toimenpiteitä. Kuluttaja-asiamies on antamassaan sitoumuspyynnössä antanut määräyksen lopettaa sellainen automatisoiduilla soittojärjestelmillä harjoitettu suoramarkkinointi, johon ei ole suostumusta, sillä tällaista suoramarkkinointia on pidettävä kuluttajansuojalain (38/1978) mukaisena hyvän tavan vastaisena markkinointina. Koska kuluttaja-asiamiehen antama sitoumuspyyntö on koskenut hyvän tavan vastaista suoramarkkinointia, eikä henkilötietojen käsittelyä, jonka osalta tietosuojavaltuutettu on toimivaltainen valvontaviranomainen, ei kuluttaja-asiamiehen 2019 antama määräys estä asian ratkaisua tietosuojavaltuutetun toimistossa. Kuluttaja-asiamiehen sitoumuspyyntö ei myöskään ole rinnastettavissa Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjan 4 artiklan mukaiseen rangaistuksen käsitteeseen tavalla, joka estäisi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaisten korjaavien toimivaltuuksien käytön.

Tietosuojavaltuutettu katsoo, että rekisterinpitäjän tapa kerätä suostumus verkkosivuilla tapahtuvan lehtitilauksen yhteydessä, ja suoramarkkinointia koskeva informointi ovat edelleen 10.5.2021 olleet yleisen tietosuoja-asetuksen vastaisia. Koska rekisterinpitäjän suoramarkkinointiin keräämä suostumus ei ole ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan ja 7 artiklan 2 ja 4 kohdan mukainen, tietosuojavaltuutettu kieltää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla pysyvästi käsittelemästä edellä mainitun suostumuksen perusteella kerättyjä henkilötietoja sähköisiä suoramarkkinointitarkoituksia varten.

Tietosuojavaltuutettu myös katsoo rekisterinpitäjän rikkoneen toiminnallaan yleisen tietosuoja-asetuksen säännöksiä siten, että seuraamuskollegion on arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu. Tietosuojavaltuutettu kiinnittää arvioissaan erityisesti huomiota siihen, että rekisterinpitäjän nyt käsillä oleva henkilötietojen käsittely on perustunut rekisterinpitäjän vakiintuneeseen toimintatapaan, eikä rekisterinpitäjän rikkomukset ole olleet vähäisiä.

Perustelut

Rekisterinpitäjyyden määrittäminen

Yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä voi edellä mainitun 7 kohdan mukaisesti olla yhtiön lisäksi myös luonnollinen henkilö.

Vaikka yritys nimeäisi yrityksen sisällä tietyn henkilön vastaamaan yrityksen henkilötietojen käsittelystä, tämä henkilö ei välttämättä ole yleisen tietosuoja-asetuksen mukainen rekisterinpitäjä vaan tämä henkilö toimii yrityksen nimissä työntekijänä, ja yritys on rekisterinpitäjänä viime kädessä vastuussa tietosuojaa koskevista rikkomuksista.

Rekisterinpitäjän selvityksen mukaan ennen toukokuussa 2019 tehtyjä yrityskauppoja rekisterinpitäjän kaikesta myynnistä ja rekisterinpidosta on vastannut YY, joka on omistanut rekisterinpitäjän yrityksestä 80%. Yrityskaupan jälkeen 16.5.2019 rekisterinpito on siirtynyt pois YY:ltä, ja uudet omistajat ovat päättäneet rekisterinpitäjän markkinointia koskevista asioista.

Tietosuojavaltuutettu katsoo rekisterinpitäjän olevan osakeyhtiö, jossa osakkeenomistajat tekevät osakeyhtiötä koskevia päätöksiä osakeyhtiölain (624/2006) 5 luvun 1 §:n 2 momentin mukaisesti käyttäen päätösvaltaa yhtiökokouksessa. Tietosuojavaltuutettu toteaa, että rekisterinpitäjä on jatkanut toimintaansa samalla y-tunnuksella yrityskaupan jälkeen. Yritysjärjestelyissä on tavanomaista tehdä kaupan kohteena olevan yrityksen yksityiskohtainen tarkistus (niin kutsuttu due diligence), jotta ostaja saa luotettavan kuvan kaupan kohteesta. Tietosuojavaltuutettu katsoo, että uudet osakkeenomistajat ovat ennen yrityskauppaa olleet velvollisia ottamaan selvää yrityksen harjoittamasta toiminnasta, myös henkilötietojen käsittelyn ja tietosuojan osalta.

Tietosuojavaltuutettu katsoo, että vaikka YY olisi ennen yrityskauppaa omistanut yrityksestä 80 % ja vastannut rekisterin ylläpidosta ja markkinoinnista, ja siten henkilötietojen käsittelystä, ei yksinomaan siitä seuraa, että YY olisi edelleen rekisterinpitäjänä vastuussa yhtiön harjoittamasta toiminnasta valvontaviranomaiseen nähden. Tietosuojavaltuutettu katsoo, ettei rekisterinpitäjä voi välttää sille kuuluvaa vastuuta vetoamalla siihen, että rekisterinpitäjän myynnistä ja rekisterinpidosta ennen yrityskauppaa on vastannut sellainen henkilö, joka ei enää toimi yrityksessä.

Henkilötietojen käsittelysopimus

Yleisen tietosuoja-asetuksen 4 artiklan 8 kohdan mukaan henkilötietojen käsittelijällä tarkoitetaan muun muassa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Rekisterinpitäjällä tarkoitetaan 4 artiklan 7 kohdan mukaan muun muassa luonnollista henkilöä tai oikeushenkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan ensinäkin toimintaa, jossa rekisterinpitäjästä erillinen toimija käsittelee henkilötietoja rekisterinpitäjän eduksi. Henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan toisen etujen palvelemista. Niin ikään henkilötietojen käsittelyllä rekisterinpitäjän lukuun tarkoitetaan käsittelyä, jossa henkilötietojen käsittelijä käsittelee henkilötietoja nimenomaisesti rekisterinpitäjän puolesta rekisterinpitäjän etujen palvelemiseksi.

Alihankkijayritys on kertonut suorittaneensa alihankintana telemarkkinointia rekisterinpitäjän, XX Oy:n, lukuun. Alihankkijayrityksen toiminnan on siten katsottava palvelleen nimenomaisesti rekisterinpitäjän etuja tässä tarkoitetun käsittelyn osalta.

Osasta tietosuojavaltuutetun toimistoon vireille saatetuista kanteluista ja osasta kilpailu- ja kuluttajaviraston toimittaman koonnin kanteluista käy ilmi puhelinnumeroita, joista lehden suoramarkkinointia on harjoitettu. Alihankkijayrityksen nimissä olleista puhelinnumeroista on soitettu muun muassa 23.7.2018, 8.8.2018 ja 3.9.2018. Niissä kanteluissa, joissa puhelinnumeroa ei ole mainittu, on kuitenkin kerrottu, että puhelussa on markkinoitu lehteä ja puhelu on kuulostanut robotin tai automaatin harjoittamalta. Tietosuojavaltuutetun toimistoon vireille saatetuissa neljässä kantelussa suoramarkkinointipuhelut ovat tapahtuneet ennen 25.6.2019. Alihankkijayritys on myös itse kertonut toteuttaneensa lehden suoramarkkinointipuheluita rekisterinpitäjän lukuun.

Alihankkijayritys on esittänyt, ettei se ole tehnyt suoraa myyntisopimusta, eikä se myöskään ole ollut suorassa sopimussuhteessa rekisterinpitäjän kanssa aikavälillä loppuvuosi 2017-huhtikuu 2019. Alihankkijayritys on esittänyt, ettei se ole ennen myyntisopimuksen solmimista toiminut yhteistyössä suoraan rekisterinpitäjän kanssa. Niin ikään alihankkijayritys katsoo, ettei se ole ollut suorassa sopimussuhteessa ennen myyntisopimuksen solmimista eli ennen 23.4.2019.

Arvioitaessa, onko alihankkijayritys toiminut rekisterinpitäjän lukuun henkilötietojen käsittelijänä yleisen tietosuoja-asetuksen soveltamisen alettua aina 25.6.2019 asti, huomioon on otettava myös alihankkijayrityksen toimittama 24.5.2018 päivätty ”yleistä tietosuoja-asetusta koskeva sopimus”, jossa todetaan muun muassa seuraavaa ”XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä [--]”. Ottaen huomioon edellä esitetyt perusteet ja asiassa saatu selvitys kokonaisuudessaan, tietosuojavaltuutettu katsoo alihankkijayrityksen toimineen yleisen tietosuoja-asetuksen 4 artiklan 8 kohdan mukaisena henkilötietojen käsittelijänä suoramarkkinointia koskevan käsittelyn osalta. Todettakoon, että XX Oy:n ja alihankkijayrityksen (myöhemmin myös ”osapuolet”) välillä on voinut olla rekisterinpitäjän ja henkilötietojen käsittelijän välinen suhde, vaikka osapuolten välillä ei olisi ollut edellä mainittua myyntisopimusta tai muuta suoraa sopimusta. Siten sopimuksen olemassaolo ei ole ratkaiseva tekijä arvioitaessa onko osapuolten välillä todellisuudessa ollut rekisterinpitäjän ja henkilötietojen käsittelijän välinen suhde.

Tietosuojavaltuutettu katsoo edellä kerrotun perusteella alihankkijayrityksen toimineen henkilötietojen käsittelijänä rekisterinpitäjän lukuun. Asiassa tulee siten arvioida, onko osapuolten välillä ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta, joka osapuolten välillä olisi tullut olla yleisen tietosuoja-asetuksen soveltamisen alettua.

Yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaan sopimuksessa tai muussa oikeudellisessa asiakirjassa on vahvistettava käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti 28 artiklan 3 kohdan a-h alakohtien mukaiset seikat. Velvoite laatia henkilötietojen käsittelysopimus tai muu oikeudellinen asiakirja koskee sekä rekisterinpitäjää että henkilötietojen käsittelijää. Yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan a alakohdan mukaan yleisen tietosuoja-asetuksen 28 artiklan rikkominen voi johtaa hallinnollisen seuraamusmaksun määräämiseen. Valvontaviranomainen voi määrätä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan nojalla hallinnollisen seuraamusmaksun maksettavaksi molemmille sekä rekisterinpitäjälle, että henkilötietojen käsittelijälle tapauksen olosuhteet huomioon ottaen.

Rekisterinpitäjä on toimittanut alihankkijayrityksen ja rekisterinpitäjän välisen myyntisopimuksen, joka on ollut voimassa 23.4.2019 alkaen aina 25.6.2019 asti. Rekisterinpitäjä on kertonut myyntisopimuksen olevan ainoa sopimus, joka osapuolten välillä on ollut. Myyntisopimuksessa on todettu muun muassa seuraavaa.

XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä ja sitoutuu pitämään salassa henkilötiedot sekä muut rekisteriin kuuluvat tiedot ja tuhoamaan tiedot omalta osaltaan käsittelyn päätyttyä. Osapuolet sitoutuvat noudattamaan henkilötietojen käsittelyssä kulloinkin voimassa olevaa henkilötietojen käsittelyä ja yksityisyyden suojaa koskevaa EU:n kansallista lainsäädäntöä. Yritys voi käyttää myynnissä sähköistä suoramarkkinointia.

Myyntisopimuksessa yrityksellä viitataan alihankkijayritykseen.

Alihankkijayritys on esittänyt, ettei sen ja rekisterinpitäjän välillä ole ollut suoraa sopimusta, eikä myyntisopimusta, loppuvuoden 2017-huhtikuu 2019 välisenä aikana. Alihankkijayritys on niin ikään esittänyt, ettei se ole ennen myyntisopimuksen solmimista toiminut yhteistyössä suoraan rekisterinpitäjän kanssa. Alihankkijayritys on kuitenkin kertonut toimittaneensa alihankintana rekisterinpitäjälle lehtitilauksia edellä mainittuna aikana, mutta alihankintasopimusta ei tästä ole tehty. Tietosuojavaltuutettu toteaa edellä tarkoitetusta järjestelystä seuraavan, että alihankkijayritys on toiminut henkilötietojen käsittelijänä suhteessa rekisterinpitäjään. Alihankkijayritys on myöhemmin kertonut, että osapuolten välillä on ollut edellä mainittua alihankinnan toteuttamista varten 24.5.2018 päivätty ”yleistä tietosuoja-asetusta koskeva sopimus”. Mainitun sopimuksen on allekirjoittanut alihankkijayrityksen hallituksen puheenjohtaja, joka on toiminut myös rekisterinpitäjän hallituksen puheenjohtajana.

XX Oy omistaa kaikki yritykselle jaetut osoitteet. Jaetuille osoitteille on tarkoitus tarjota ainoastaan XX Oy:n tietoja. Yritys toimii rekisterin käsittelijänä ja sitoutuu pitämään salassa henkilötiedot sekä muut rekisteriin kuuluvat tiedot ja tuhoamaan tiedot omalta osaltaan käsittelyn päätyttyä. Molemmat osapuolet toteuttavat ja ylläpitävät asianmukaiset organisatoriset, operatiiviset, hallinnolliset, fyysiset ja tekniset toimenpiteet henkilötietojen ja mahdollisten muiden tietojen suojaamiseksi tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä.

Osapuolet sitoutuvat noudattamaan henkilötietojen käsittelyssä XX Oy:n ohjeita, joka on kokonaisuudessaan luettavissa [lehden verkkosivuilla olevasta rekisteriselosteesta].

Molemmat osapuolet ovat tutustuneet lainsäädäntöön sekä XX Oy:n ohjeistukseen ja sitoutuvat noudattamaan henkilötietojen käsittelyssä kulloinkin voimassa olevaa henkilötietojen käsittelyä ja yksityisyyden suojaa koskevaa EU:n kansallista lainsäädäntöä. Yritys voi käyttää myynnissä sähköistä suoramarkkinointia.

Alihankkijayritys on 27.5.2021 antamassa kuulemispyynnön vastineessa esittänyt, ettei se ole aiemmin toimittanut tietosuojavaltuutetun toimistolle ”yleistä tietosuoja-asetusta koskevaa sopimusta”, koska sitä ei ole suoraan pyydetty. Alihankkijayritys on kertomansa mukaan ymmärtänyt vasta toukokuussa 2021 toimittaa kyseisen sopimuksen tietosuojavaltuutetulle.

Tietosuojavaltuutetun toimisto on 26.2.2020 päivätyssä lisäselvityspyynnössä pyytänyt alihankkijayritystä toimittamaan rekisterinpitäjän ja alihankkijayrityksen välillä tehdyn henkilötietojen käsittelysopimuksen. Lisäselvityspyynnössä on nimenomaisesti todettu, että lisäselvitystä on henkilötietojen käsittelysopimusta koskevan seikan osalta pyydetty koko alihankkijayrityksen toiminnan ajalta. Alihankkijayritys on 22.4.2020 antamassa lisäselvityspyynnön vastineessa kertonut irtisanoneensa yhteistyösopimuksen kesäkuussa 2019, eikä sillä ole ollut taltioituna lisäselvityksen antamisen ajankohtana jo vanhentunutta myyntisopimuksen liitettä henkilötietojen käsittelystä, jos sellainen on osapuolten välillä tehty. Alihankkijayritys on tämän jälkeen 27.5.2021 toimittanut tietosuojavaltuutetun toimistolle 24.5.2018 päivätyn sopimuksen. Alihankkijayritys on toimittanut sopimuksen vastauksena tietosuojavaltuutetun toimiston kuulemispyynnössä esittämään tosiseikkaan, jonka mukaan alihankkijayrityksen ja rekisterinpitäjän välillä ei ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta. Tietosuojavaltuutettu toteaa, että alihankkijayrityksen 22.4.2020 ja 27.5.2021 antamat vastaukset henkilötietojen käsittelysopimuksesta eivät ole yhdenmukaiset.

Alihankkijayrityksen antamasta selvityksestä ei käy ilmi, onko alihankkijayrityksen 24.5.2018 päivätyn ”yleistä tietosuoja-asetusta koskevan sopimuksen” ollut tarkoitus vastata yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta. Sanotun asetuksen kohdan mukaan sopimuksessa tai muussa oikeudellisessa asiakirjassa on vahvistettava käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät, rekisterinpitäjän velvollisuudet ja oikeudet. Sopimuksessa tai muussa oikeudellisessa asiakirjassa on säädettävä erityisesti 28 artiklan 3 kohdan a-h alakohtien mukaiset seikat. Joka tapauksessa alihankkijayrityksen toimittama ”yleistä tietosuoja-asetusta” koskeva sopimus ei täytä yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaisen sopimuksen edellytyksiä, joten sopimusta ei voida pitää yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaisena sopimuksena, eikä sillä siten ole vaikutusta ratkaistavana olevaan asiaan.

Lopuksi tietosuojavaltuutettu toteaa, että rekisterinpitäjän ja alihankkijayrityksen antamat selvitykset henkilötietojen käsittelysopimuksen olemassaolosta poikkeavat toisistaan.

Ottaen huomioon asiassa saatu selvitys kokonaisuudessaan tietosuojavaltuutettu katsoo, ettei rekisterinpitäjän ja alihankkijayrityksen välillä ole ollut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista henkilötietojen käsittelysopimusta sinä aikana kun alihankkijayritys on käsitellyt henkilötietoja rekisterinpitäjän lukuun.

Suostumus automatisoiduilla soittojärjestelmillä harjoitettuun suoramarkkinointiin

Hallituksen esityksen HE 12/2003 vp mukaan automatisoidulla soittojärjestelmällä tarkoitetaan sellaista järjestelmää, joka ottaa yhteydet vastaanottajaan automaattisesti ilman, että luonnollinen henkilö suorittaa yhteydenottoa. Tällaista markkinointia ei saa suorittaa, ellei varsinainen markkinointityö tapahdu luonnollisen henkilön tekemänä. Markkinoinnin on tapahduttava luonnollisen henkilön suorittamana, joten esimerkiksi yhteydenotto puhelimitse voi tapahtua käyttämällä automaattista numerovalintaa, mutta markkinoinnin on puhelun vastaanoton jälkeen tapahduttava luonnollisen henkilön suorittamana, eikä automaatin välityksellä.

Rekisterinpitäjä on 22.3.2021 antamassa vastineessa kertonut rekisterinpitäjän lukuun harjoitetussa suoramarkkinoinnissa käytetyn niin sanottuja robotteja, jotka ovat toteuttaneet varsinaisen myyntityön. Siten tietosuojavaltuutettu katsoo, että rekisterinpitäjän lukuun harjoitettu suoramarkkinointi on ollut sähköisen viestinnän palveluista annetun lain 200 §:n 1 momentin mukaista sähköistä suoramarkkinointia, johon vaaditaan ennalta annettu suostumus.

Euroopan parlamentin ja neuvoston direktiivin (2002/58/EY) henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (myöhemmin sähköisen viestinnän tietosuojadirektiivi) 2 artiklan 2 kohdan f alakohdassa määritellään käyttäjän tai tilaajan suostumus. Suostumuksella tarkoitetaan sähköisen viestinnän tietosuojadirektiivissä samaa kuin rekisteröidyn suostumuksella yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (henkilötietodirektiivi). Henkilötietodirektiivi on kumottu yleisellä tietosuoja-asetuksella, minkä vuoksi asetuksen 94 artiklan mukaan sitä sovelletaan henkilötietodirektiivin sijaan. Myös Euroopan unionin tuomioistuin on Planet49-asiassa antamansa tuomion kappaleessa 63 todennut, että sähköisen viestinnän tietosuojadirektiiviä ja yleisen tietosuoja-asetuksen suostumusta koskevia edellytyksiä on luettava yhdessä. Näin ollen asiassa tulee sovellettavaksi yleisen tietosuoja-asetuksen suostumusta koskeva sääntely.

Yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan suostumuksen on oltava vapaaehtoinen. Yleisen tietosuoja-asetuksen 7 artiklan 2 kohdan mukaan suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Saman artiklan 4 kohdan mukaan suostumuksen vapaaehtoisuutta arvioitaessa on otettava huomioon, onko palvelun tarjoamisen tai muun sopimuksen täytäntöönpanon ehdoksi asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 32 mukaan suostumus olisi annettava selkeästi suostumusta ilmaisevalla toimella, josta käy ilmi rekisteröidyn vapaaehtoinen tahdonilmaisu, jolla hän hyväksyy henkilötietojensa käsittelyn.

Euroopan 29 artiklan mukaisen tietosuojatyöryhmän ohjeessa suostumusta koskevista suuntaviivoista on todettu vapaaehtoisen suostumuksen edellyttävän rekisteröidyn todellista vapaan valinnan ja valvonnan mahdollisuutta. Suostumus ei siten ole pätevä, jos rekisteröidyllä ei ole todellista vapaan valinnan mahdollisuutta. Jos suostumus liitetään sellaiseksi ehtojen osaksi, josta ei voida neuvotella, olettamuksena on, että sitä ei ole annettu vapaaehtoisesti. Jos suostumus annetaan tilanteessa, jossa suostumuksen antaminen liitetään osaksi ehtojen hyväksymistä tai sopimuksen täytäntöönpanoa, ei tällaista suostumusta katsota vapaaehtoisesti annetuksi.

Kantelijat ovat kertoneet, että he eivät ole antaneet suostumusta sähköiseen suoramarkkinointiin. Myös kilpailu- ja kuluttajaviraston toimittaman koonnin perustella suostumusta sähköiseen suoramarkkinointiin ei ole ollut.

Rekisterinpitäjä on antamassaan selvityksessä kertonut harjoittavansa suoramarkkinointia vain niille kuluttajille, jotka ovat antaneet nimenomaisen suostumuksen sähköiseen suoramarkkinointiin. Rekisterinpitäjän antaman selvityksen mukaan alihankkijayrityksellä on ollut lupa käyttää edellä mainittua etukäteen tehtyä taltiota suoramarkkinoinnin harjoittamiseen. Rekisterinpitäjä on kertonut keräävänsä suostumuksen suoramarkkinointiin esimerkiksi kilpailuilla, arvonnoilla, asiakaskyselyillä, keräämällä tietoja messuilla sekä muissa yleisötapahtumissa. Rekisterinpitäjä on toimittanut ainoastaan esimerkin tavasta, jolla se kerää suostumuksen suoramarkkinointiin verkkosivuilla tapahtuvan lehtitilauksen yhteydessä. Tietosuojavaltuutetun toimisto on kuulemispyynnössä pyytänyt rekisterinpitäjää antamaan lisäselvitystä nimenomaisesti tapaan, jolla se kerää suostumuksen kilpailuiden, arvontojen, asiakaskyselyiden, messujen ja yleisötapahtumien yhteydessä. Lisäksi kuulemispyynnössä on pyydetty tarkentamaan mitä edellä mainitulla ”luvalla” tarkoitetaan. Rekisterinpitäjä ei ole 22.3.2021 antamassaan vastineessa toimittanut pyydettyjä lisäselvityksiä ja tarkennuksia, mutta rekisterinpitäjä on todennut tietosuojavaltuutetun toimiston kuulemispyynnössä esitetyn tapahtumienkulun pääosin oikeaksi, eikä tältä osin ole katsonut lisälausumia aiheelliseksi.

Rekisterinpitäjä on kertonut pyytävänsä suostumuksen verkkosivuilla tapahtuvan lehtitilauksen yhteydessä seuraavalla tavalla: ”Tilauksen yhteydessä kuluttaja laittaa rastin ruutuun ”olen lukenut ja hyväksynyt tilaus- ja sopimusehdot”. Tilaus- ja sopimusehdoissa todetaan seuraavaa: Tilausehtoja sovelletaan XX Oy:n kustantamien painetun sekä digitaalisen median tai niiden yhdistelmien tilauksiin. Tilaaja sitoutuu noudattamaan näitä tilausehtoja. […] Tilauksen tehdessään tilaaja antaa automaattisesti suostumuksen liittää tilaajan tiedot XX Oy:n asiakasrekisteriin. Rekisterin sisältämiä henkilötietoja voidaan käyttää lainsäädännön sallimin tavoin ja sen yhteistyökumppaneiden suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin […]. Edellä mainituissa voidaan käyttää sähköisiä välineitä kaikissa mahdollisissa muodoissa. Tilaajalla on oikeus kieltää tällaisten viestin lähettäminen olemalla yhteydessä asiakaspalveluun.” Tilauksen tekemisen edellytyksenä on siten ollut suostumusta ilmaisevan ruudun rastittaminen.

Tietosuojavaltuutettu katsoo, ettei rekisterinpitäjän lehtitilauksen yhteydessä keräämä suostumus ole ollut yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan ja 7 artiklan 2 ja 4 kohdan mukainen, sillä suostumusta suoramarkkinointiin ei ole pyydetty erillään muista käsittelyn tarkoituksista eikä rekisteröidyllä siten ole ollut todellista vapaan valinnan madollisuutta antaa vapaaehtoista suostumusta sillä suostumuksen antaminen suoramarkkinointiin on liitetty osaksi tilaus- ja sopimusehtojen hyväksymistä. Lehtitilauksen täytäntöönpanon ehdoksi on siten asetettu suostumus sellaisten henkilötietojen käsittelyyn, jotka eivät ole tarpeen kyseisen sopimuksen täytäntöönpanoa varten. Ottaen huomioon rekisterinpitäjän 22.3.2021 toimittama vastine kuulemispyyntöön, tietosuojavaltuutettu katsoo, ettei rekisterinpitäjän keräämää suostumusta suoramarkkinointiin ole kokonaisuudessaan pidettävä yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan ja 7 artiklan 2 ja 4 kohdan mukaisena.

Lisäksi tietosuojavaltuutettu kiinnittää huomiota siihen, ettei rekisterinpitäjän informointi henkilötietojen käsittelystä ole ollut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaisesti läpinäkyvää, sillä rekisterinpitäjän tilaus- ja sopimusehdoissa on mainittu ”Edellä mainituissa voidaan käyttää sähköisiä välineitä kaikissa mahdollisissa muodoissa”. Tietosuojavaltuutettu katsoo, ettei ”sähköisiä välineitä kaikissa mahdollisissa muodoissa” anna rekisteröidylle tarkkaa kuvaa siitä, minkälaisilla sähköisillä välineillä suoramarkkinointia harjoitetaan.

Rekisteröidyn oikeudet

Rekisterinpitäjä on yleisen tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan velvollinen huolehtimaan siitä, että henkilötietojen käsittelyssä noudatetaan yleistä tietosuoja-asetusta. Rekisterinpitäjän on otettava huomioon muun muassa käsittelyn luonne ja asiayhteys sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riskit. Rekisterinpitäjällä on 28 artiklan 1 kohdan mukaan vastuu henkilötietojen käsittelystä myös silloin, kun henkilötietoja käsitellään rekisterinpitäjän lukuun. Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdan mukaan rekisterinpitäjän on helpotettava rekisteröidyn oikeuksien käyttämistä.

Tietosuojavaltuutetun toimistoon vireille saatettujen kanteluiden ja kilpailu- ja kuluttajaviraston toimittaman koonnin perusteella kantelijat ovat yrittäneet käyttää yleisen tietosuoja-asetuksen 14 artiklan 2 kohdan f alakohdan mukaista oikeutta saada tieto siitä, mistä henkilötiedot on saatu. Automatisoitu soittojärjestelmä ei ole reagoinut kysymykseen vaan se on jatkanut myyntipuhetta. Kantelijat eivät ole siten saaneet vastausta 14 artiklan 2 kohdan f alakohdan mukaiseen kysymykseen. Kilpailu- ja kuluttajaviraston toimittaman koonnin perusteella rekisteröidyt eivät myöskään ole pystyneet käyttämään yleisen tietosuoja-asetuksen 21 artiklan 2 kohdan mukaista oikeutta milloin tahansa vastustaa henkilötietojen käsittelyä suoramarkkinointiin.

Tietosuojavaltuutettu katsoo, ettei rekisterinpitäjä ole varmistunut sen lukuun harjoitetussa suoramarkkinoinnissa rekisteröityjen mahdollisuudesta käyttää henkilötietojen suojaa koskevia oikeuksia eikä rekisterinpitäjä myöskään ole kanteluiden perusteella toteuttanut tai reagoinut rekisteröityjen esittämiin henkilötietojen suojaa koskeviin pyyntöihin. Rekisterinpitäjä ei myöskään ole toiminnassaan pyrkinyt helpottamaan rekisteröidyn oikeuksien käyttämistä.

Päätöksen on tehnyt tietosuojavaltuutettu Anu Talus ja sen on esitellyt ylitarkastaja Mari-Ilona Korhonen.

Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.

Seuraamuskollegion päätös

Ottaen huomioon tietosuojavaltuutetun päätös yhdistetyissä asioissa 5665/157/2018, 5940/157/2018, 6001/157/2018 ja 4486/157/2019, on tietosuojavaltuutetun toimiston seuraamuskollegio katsonut, että käsillä olevassa asiassa on määrättävä hallinnollinen seuraamusmaksu.

Rekisterinpitäjä on laiminlyönyt seuraavia yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan a alakohdan ja 5 kohdan a ja b alakohdan mukaisia säännöksiä, joiden rikkomisesta määrätään hallinnollinen seuraamusmaksu: 5 artikla 1 kohta a alakohta, 7 artikla 2 ja 4 kohta, 12 artikla 2 kohta, 14 artikla 2 kohta f alakohta, 21 artikla 2 kohta ja 28 artiklan 1 ja 3 kohta.

Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että kyseessä oleva henkilötietojen käsittelyyn liittyvä toimintatapa on ollut keskeinen rekisterinpitäjän harjoittaman liiketoiminnan, asiakashankinnan, kannalta. Kyse ei ole yksittäisistä kanteluista ja niihin liittyvistä erimielisyyksistä vaan rekisterinpitäjän vakiintuneesta toimintatavasta, jota koskeva rikkomus ei ole ollut luonteeltaan vähäinen.

Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on lisäksi todettava, että nyt käsiteltävänä olevassa asiakokonaisuudessa tietosuojavaltuutetun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla antama määräys ei ole riittävä seuraamus ottaen huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädetty.

Seuraamuskollegio määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan, 83 artiklan 4 kohdan a alakohdan ja 5 kohdan a ja b alakohtien nojalla rekisterinpitäjän maksamaan valtiolle määrältään 8.500 (kahdeksantuhattaviisisataa) euron suuruisen hallinnollisen seuraamusmaksun. Hallinnollisen seuraamusmaksun määrää arvioitaessa on otettu huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaiset raskauttavat ja lieventävät seikat. Asiaa arvioitaessa on otettu huomioon myös 29 artiklan mukaisen tietosuojaryhmän ohje hallinnollisten sakkojen soveltamisesta ja määräämisestä.

Perustelut hallinnollisen seuraamusmaksun määräämiselle

Rikkomisen luonne, vakavuus, kesto ja rekisteröityjen lukumäärä sekä rekisteröidyille aiheutunut vahinko

Arvioitaessa rikkomisen luonnetta, on huomioon otettava yleisen tietosuoja-asetuksen 83 artiklan 4 ja 5 kohdat. Yleisessä tietosuoja-asetuksessa on vahvistettu hallinnollisen seuraamusmaksun kaksi enimmäismäärää, mikä ilmentää sitä, että asetuksen joidenkin säännösten rikkominen voi olla vakavampaa kuin toisten.

Nyt käsillä olevassa asiassa rekisterinpitäjän rikkomus on kohdistunut 83 artiklan 4 kohdan a alakohdan (28 artikla 1 ja 3 kohta) ja 5 kohdan a ja b alakohdan (5 artikla 1 kohta a alakohta, 7 artikla 2 ja 4 kohta, 12-22 artiklat) mukaisiin säännöksiin.

Rekisterinpitäjä on harjoittanut sähköistä suoramarkkinointia ilman ennalta annettua yleisen tietosuoja-asetuksen mukaista suostumusta. Rekisterinpitäjän lehtitilauksen yhteydessä keräämä suostumus suoramarkkinointiin ei ole täyttänyt yleisen tietosuoja-asetuksen edellytyksiä. Rekisterinpitäjän informointi henkilötietojen käsittelystä suoramarkkinointitarkoituksia varten ei ole ollut läpinäkyvää. Rekisterinpitäjä ei ole rekisterinpitäjän vastuulle kuuluvalla tavalla varmistunut siitä, että rekisteröidyt voivat käyttää yleisen tietosuoja-asetuksen mukaisia oikeuksia. Lisäksi, mikäli oikeuksia on yritetty käyttää suoramarkkinointipuhelun aikana, rekisterinpitäjä ei ole toteuttanut oikeuksia. Edellä mainitut rikkomukset osoittavat luonteeltaan vakavampaa yleisen tietosuoja-asetuksen rikkomista kuin rekisterinpitäjän rikkominen, joka on koskenut sitä, ettei rekisterinpitäjä ole huolehtinut sen lukuun harjoitetussa henkilötietojen käsittelyssä siitä, että yleisen tietosuoja-asetuksen vaatimukset ja etenkin rekisteröidyn oikeuksien suojelu toteutuu, ja sitä, että rekisterinpitäjän ja henkilötietojen käsittelijän välillä ei ole ollut henkilötietojen käsittelysopimusta. Rekisterinpitäjän rikkomukset ovat näin ollen koskeneet pääasiassa korkeamman vakavuusluokan rikkeitä.

Rekisterinpitäjä on kuulemispyynnön vastineessa kertonut selvittäneensä niin sanottujen robottipuheluiden käyttöä eri viranomaisten kanssa, ja ymmärtäneensä kyseessä olevan teknologian käytön olevan mahdollista tavalla, jolla rekisterinpitäjä on suoramarkkinointia harjoittanut.

Seuraamuskollegio tunnistaa sen, että lainsäädäntö ei ole aina selkeästi tulkittavissa. Tässä tapauksessa ei kuitenkaan ole kyse tällaisesta tilanteesta. Sähköisen viestinnän palveluista annetun lain hallituksen esitöissä on nimenomaisesti todettu, että varsinaisen markkinoinnin on tapahduttava luonnollisen henkilön suorittamana. Sähköisen viestinnän palveluista annetussa laissa on lisäksi nimenomaisesti säädetty ennalta annetun suostumuksen edellytyksestä.

Tietosuojaryhmä WP29 on huhtikuussa 2018 päivittänyt marraskuussa 2017 annettua suostumusta koskevaa ohjetta yleisen tietosuoja-asetuksen mukaiseksi. Todettakoon, että jokaisen rekisterinpitäjän vastuulla on ollut jo ennen yleisen tietosuoja-asetuksen soveltamisen alkamista huolehtia sen keräämän suostumuksen edellytyksistä ja ratkaisuista, jotka tukevat paremmin henkilötietojen suojaa ja rekisteröityjen etuja. Vaikka niin sanottujen robottipuheluiden käyttämisestä ei ole annettu viranomaisen ennakkopäätöstä, on kuitenkin suostumuksesta ja sen käytön edellytyksistä annettu edellä mainittu tietosuojaryhmän ohje jo ennen yleisen tietosuoja-asetuksen soveltamisen alkamista ja samoihin aikoihin kun rekisterinpitäjä on aloittanut automatisoiduilla soittojärjestelmillä harjoitetun suoramarkkinoinnin. Seuraamuskollegio katsoo rekisterinpitäjän saatavilla olleen suostumuksen tulkintaa koskeva ohje, eikä rekisterinpitäjä siten voi tässä tapauksessa välttää vastuuta vetoamalla lainsäädännön epäselvään tulkintaan. Lisäksi seuraamuskollegio toteaa rekisterinpitäjän täytyneen ymmärtää, etteivät rekisteröidyt voi kommunikoida ja esittää oikeuksiaan koskevia pyyntöjä robotille, joka ei ymmärrä puhetta.

Lisäksi seuraamuskollegio katsoo, että rekisterinpitäjän saatavilla oleva tietosuojaryhmän ohje suostumuksesta on tarjonnut rekisterinpitäjälle myös ohjeistusta tapaan, jolla suostumus tulee kerätä.

Tietosuojavaltuutetun päätöksestä ilmenee, että automatisoiduilla soittojärjestelmillä harjoitettu suoramarkkinointi on ollut rekisterinpitäjän vakiintunut tapa harjoittaa suoramarkkinointia noin puolentoista vuoden ajan. Tietosuojavaltuutetun tiedossa on, että ainakin sata rekisteröityä on vastaanottanut rekisterinpitäjän lukuun harjoitettua ei-toivottua suoramarkkinointia. Kanteluiden ja kilpailu- ja kuluttajaviraston toimittaman koonnin mukaan useat rekisteröidyt ovat yrittäneet esittää oikeuksiaan koskevia pyyntöjä saamatta näihin kuitenkaan vastausta. Yleisen tietosuoja-asetuksen 28 artiklan 1 kohta on yksiselitteinen rekisterinpitäjän vastuun osalta. Rekisterinpitäjän tulee sen lukuun harjoitetussa henkilötietojen käsittelyssä, tässä tapauksessa suoramarkkinoinnissa, varmistua siitä, että henkilötietoja käsitellään yleisen tietosuoja-asetuksen edellyttämällä tavalla. Edellä mainittu rekisterinpitäjän rikkomus ilmentää yleisen tietosuoja-asetuksen järjestelmällistä rikkomista ja asianmukaisten käytäntöjen puutetta.

Mitä tulee rekisterinpitäjän rikkomukseen, joka on koskenut henkilötietojen käsittelysopimuksen puuttumista, seuraamuskollegio katsoo yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan a alakohdan olevan selkeä velvoittaessaan rekisterinpitäjää laatiman henkilötietojen käsittelyä koskevan sopimuksen tai muun oikeudellisen asiakirjan henkilötietojen käsittelijän kanssa.

Arvioitaessa hallinnollisen seuraamusmaksun määräämistä huomioon on myös otettava, ovatko rekisteröidyt kärsineet vahinkoa. Henkilötietojen käsittelyssä voi aiheutua henkilöiden oikeuksiin ja vapauksiin liittyviä riskejä. Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 75 mukaan luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat riksit voivat olla fyysisiä, aineellisia tai aineettomia vahinkoja ja riskit voivat aiheutua esimerkiksi silloin, kun rekisteröidyiltä saatetaan evätä heidän oikeuksiaan ja vapauksiaan tai estää heitä valvomasta omia henkilötietojaan. Rekisterinpitäjän harjoittamassa suoramarkkinoinnissa rekisteröidyt eivät ole pystyneet valvomaan omia henkilötietojaan, sillä useille rekisteröidyille on ollut epäselvää millä perusteella heihin kohdistetaan suoramarkkinointia, ja mistä rekisterinpitäjä on saanut henkilötiedot. Rekisteröidyt eivät siten ole voineet odottaa rekisterinpitäjän käsittelevän heitä koskevia henkilötietoja suoramarkkinointitarkoituksissa. Rekisterinpitäjän vakiintunut toimintatapa ei myöskään ole mahdollistanut rekisteröidyn oikeuksien käyttämisen.

Arvioitaessa vahingon syntymistä on otettava huomioon korkeimman oikeuden päätös (KKO 1998:85), jonka mukaan käsiteltäessä henkilötietoja ilman suostumusta niissä tilanteissa, joissa sitä lain mukaan edellytetään, voidaan katsoa, että tällainen oikeudeton käsittely loukkaa rekisteröidyn oikeutta tietää ja päättää itseään koskevien tietojen käytöstä. Tällainen yksityisyyden suojan loukkaaminen merkitsee vahingon tai haitan aiheuttamista, mikä voidaan ottaa huomioon rekisteröidyille aiheutetun haitan tai vahingon arvioinnissa

Seuraamuskollegio katsoo rekisterinpitäjän rikkomusten olleen luonteeltaan vakavaa ja pitkäkestoista sekä vaikuttaneen suureen määrään rekisteröityjä, jotka ovat kärsineet vahinkoa. Edellä mainitut seikat tukevat hallinnollisen seuraamusmaksun määräämistä.

Rikkomuksen tahallisuus tai tuottamuksellisuus

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista, kun taas tahattomuudella tarkoitetaan sitä, että rikkominen ei ole ollut tahallista, vaikka rekisterinpitäjä rikkoisikin laissa edellytettyjä huolellisuusvelvoitteita. Tahallista rikkomista, joka ilmentää piittaamattomuutta lainsäädännöstä, pidetään edellä mainitun ohjeen mukaan yleisesti vakavampana kuin tahatonta rikkomista.

Tahallisuutta ja tuottamuksellisuutta koskevat päätelmät tehdään määrittämällä tapauksen tosiseikaistoihin perustuvat, toimintaan liittyvät objektiiviset seikat. Lisäksi asetuksen soveltamisalaan kuuluvaa tietosuojaa koskevan muodostumassa olevan oikeuskäytännön ja muun käytännön perusteella voidaan tulevaisuudessa päätellä selkeämmin, missä olosuhteissa rikkomista on pidettävä tahallisena.

Rekisterinpitäjä on katsonut automatisoituihin soittojärjestelmiin perustuvan teknologian käytön olleen varsin uutta eikä oikeuskäytännössä ole ollut ohjeita niin sanottujen robottipuheluiden käyttämisestä. Kuitenkin jo edellä todetusti suoramarkkinointiin vaadittavasta suostumuksesta on yksiselitteisesti säädetty sähköisen viestinnän palveluista annetun lain 200 §:n 1 momentissa, sekä suostumuksesta ja sen käytön edellytyksistä on ollut ohjeistusta saatavilla. Lisäksi rekisterinpitäjän on jo edellä todetusti tullut ymmärtää, etteivät rekisteröidyt pysty käyttämään yleisen tietosuoja-asetuksen mukaisia oikeuksia suoramarkkinointipuhelun aikana, jos markkinointipuhelut ovat robottien toteuttamia. Tältä osin seuraamuskollegio katsoo rekisterinpitäjän tietoisesti kohdistaneensa suoramarkkinointia henkilöihin, jotka eivät ole antaneet yleisen tietosuoja-asetuksen mukaista suostumusta suoramarkkinointiin, ja käyttäneen suoramarkkinoinnissa sellaista menetelmää, joka ei mahdollista rekisteröidyn oikeuksien käyttämistä ja toteutumista. Seuraamuskollegio katsoo rekisterinpitäjän rikkomuksen ollen tältä osin tietoista eli tahallista ja tämä seikka otetaan huomioon arvioinnissa hallinnollisen seuraamusmaksun määrää raskauttavana tekijänä.

Todettakoon vielä, että yleisen tietosuoja-asetuksen taustalla vaikuttaa periaate riskiperusteisesta lähestymistavasta. Rekisterinpitäjän on itse oma-aloitteisesti arvioitava, liittyykö sen toimintaan henkilötietojen käsittelyä koskevia riskejä. Rekisterinpitäjä vastaa siitä, että sen toiminta on yleisessä tietosuoja-asetuksessa säädetyn mukaista.

Rekisterinpitäjän rikkomus, joka on koskenut yleisen tietosuoja-asetuksen 28 artiklan 3 kohdan mukaista velvoitetta laatia henkilötietojen käsittelysopimus, on katsottava niin ikään rekisterinpitäjän tietoiseksi rikkomukseksi. Jokaisen rekisterinpitäjän on tullut huolehtia ja varmistua yleisen tietosuoja-asetuksen soveltamisen alettua siitä, että se noudattaa yleisen tietosuoja-asetuksen mukaisia rekisterinpitäjän velvollisuuksia. Mainittu vaatimus laatia henkilötietojen käsittelysopimus on yksiselitteinen eikä sen soveltamiseen liity seuraamuskollegion mukaan tulkinnanvaraisuutta. Myös tämä seikka voidaan ottaa huomioon arvioinnissa hallinnollisen seuraamusmaksun määrää raskauttavat tekijänä.

Rekisterinpitäjän toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi ja vastuun aste, ottaen huomioon rekisterinpitäjän 25 ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet

Tietosuojaryhmän ohjeessa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että rekisterinpitäjän olisi tehtävä kaikki voitavansa lieventääkseen rikkomuksesta asianomaisille aiheutuvia seurauksia. Valvontaviranomainen voi ohjeen mukaan ottaa seuraamusmaksua laskiessaan huomioon tällaisen rekisterinpitäjän vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen. Yleisen tietosuoja-asetuksen 25 artiklassa edellytetään, että rekisterinpitäjä ottaa toiminnassaan huomioon ”uusimman tekniikan ja toteuttamiskustannukset sekä käsitellyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille”.

Rekisterinpitäjä on kertonut 16.5.2019 tapahtuneen yrityskaupan jälkeen uusien omistajien ryhtyneen tarkastelemaan rekisterinpitäjän harjoittamaa toimintaa, ja lopettaneensa 26.5.2019 automatisoiduilla soittojärjestelmillä harjoitetun suoramarkkinoinnin. Rekisterinpitäjän suoramarkkinointi on mainitun päivämäärän jälkeen toteutettu luonnollisen henkilön suorittamana. Lisäksi rekisterinpitäjä on kertonut toteuttaneensa itse suoramarkkinoinnin. Rekisterinpitäjä on siten oma-aloitteisesti tehnyt muutoksia suoramarkkinoinnin harjoittamista koskevaan toimintatapaan ja pyrkinyt saattamaan sen harjoittaman henkilötietojen käsittelyn yleisen tietosuoja-asetuksen mukaiseksi. Tietosuojavaltuutetun toimiston tietoon ei ole saatettu kanteluita, jotka olisivat koskeneet rekisterinpitäjän toimintaa yrityskaupan jälkeen. Tämä seikka otetaan huomioon arvioinnissa hallinnollisen seuraamusmaksun määrää lieventävänä tekijänä.

Seuraamuskollegio toteaa, ettei rekisterinpitäjä ole kuitenkaan oma-aloitteisesti muuttanut tapaa, jolla se on kerännyt suostumuksen rekisterinpitäjän verkkosivuilla lehtitilauksen yhteydessä, eikä rekisterinpitäjä ole oma-aloitteisesti tehnyt muutoksia sen suoramarkkinointia koskevaan informointiin.

Aiemmat vastaavat rikkomiset

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että valvontaviranomaisen olisi arvioitava rikkomiseen syyllistyneen yksikön historiatietoja. Valvontaviranomaisten olisi otettava huomioon, että tältä osin arviointi voi olla hyvin laaja, sillä minkä tahansa tyyppinen rikkominen, vaikka se poikkeaisi luonteeltaan valvontaviranomaisen nyt tutkimasta rikkomisesta, voi olla merkityksellinen arvioinnin kannalta, sillä se saattaa antaa yleisellä tasolla viitteitä riittämättömistä tiedoista tai tietosuojasäännösten noudattamatta jättämisestä.

Tietosuojavaltuutetun toimiston tietoon ei ole saatettu rekisterinpitäjän aiempia vastaavia rikkomuksia. Kuitenkin huomioon on otettava, että nyt käsillä olevassa asiassa on kyse useista yleisen tietosuoja-asetuksen mukaisten säännösten rikkomisista, joita on tapahtunut pitkällä aikavälillä, ja jotka ovat vaikuttaneet koko tämän ajan rekisteröidyn henkilötietojen suojaa koskeviin oikeuksiin.

Yhteistyön aste valvontaviranomaisen kanssa ja tapa, jolla rikkomus tuli valvontaviranomaisen tietoon

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että yhteistyön aste voidaan ottaa ”asianmukaisesti huomioon”, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Ohjeen mukaan merkityksellisenä seikkana voidaan ottaa huomioon se, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin kyseisen tapauksen tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä.

Yleisen tietosuoja-asetuksen 31 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän sekä tarvittaessa rekisterinpitäjän tai henkilötietojen käsittelijän edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Tietosuojaryhmän ohjeen hallinnollisten sakkojen soveltamisesta ja määräämisestä mukaan ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.

Rikkomukset on saatettu tietosuojavaltuutetun toimiston tietoon rekisteröidyn kanteluilla sekä kuluttaja-asiamiehen toimesta. Rekisterinpitäjä on vastannut tietosuojavaltuutetun toimiston selvityspyyntöihin ja kuulemispyyntöön määräajassa, tai määräajan pidennyksen jälkeen uuteen määräpäivään mennessä. Rekisterinpitäjä on jo ennen tietosuojavaltuutetun ensimmäisen selvityspyynnön saatuaan muuttanut sen suoramarkkinoinnin harjoittamista koskevia toimintatapoja siten, että sillä on rajoitettu yksilöiden oikeuksiin kohdistuvaa riskiä.

Henkilötietoryhmät, joihin rikkominen vaikuttaa

Rikkomisen kohteena on ollut yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan mukaiset henkilötiedot, joista luonnollinen henkilö on tunnistettavissa. Käsittelyn kohteena ei ole ollut 9 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvia henkilötietoja.

Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät

Tietosuojaryhmän ohjeessa hallinnollisten sakkojen soveltamisesta ja määräämisestä todetaan, että tällaiset mahdolliset muut tekijät voivat olla esimerkiksi rikkomisella saatu hyöty tai taloudellinen etu. Rekisterinpitäjä on markkinoinut suoramarkkinointipuheluissa lehteä. Rekisteröidyt eivät ole pystyneet vastustamaan rekisterinpitäjän harjoittamaa suoramarkkinointia. Riippumatta siitä, onko rekisterinpitäjä saanut suoramarkkinointipuheluiden johdosta taloudellisen hyödyn, rekisterinpitäjän voidaan katsoa hyötyneen siitä, etteivät rekisteröidyt ole pystyneet vastustamaan lehden suoramarkkinointia. Se seikka, että rekisterinpitäjä on pyrkinyt hyötymään yleisen tietosuoja-asetuksen rikkomisesta, puoltaa hallinnollisen seuraamusmaksun määräämistä.

Yhteenveto hallinnollisen seuraamusmaksun määräämisestä

Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdassa on säädetty, että asetuksen rikkomisesta määrättävien hallinnollisten seuraamusmaksujen määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhteista ja varoittavaa.

Yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaan hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Tietosuojavaltuutettu on päätöksessään kieltänyt pysyvästi käsittelemästä verkkosivuilla tapahtuneen lehtitilauksen yhteydessä kerätyn suostumuksen perusteella kerättyjä henkilötietoja sähköisiä suoramarkkinointitarkoituksia varten.

Yleisen tietosuoja-asetuksen 83 artiklassa rikkomukset on jaettu vakavuusluokiltaan kahteen kategoriaan. Rekisterinpitäjän rikkomukset ovat kohdistuneet pääasiassa 83 artiklan 5 kohdan a ja b alakohtien mukaisiin rikkomuksiin, jotka ovat korkeamman vakavuusluokan rikkeitä. Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että nyt käsillä olevassa asiassa erityisesti rikkomuksen vakavuus, luonne, sen kesto, rekisteröityjen määrä ja teon tahallisuus puoltavat hallinnollisen seuraamusmaksun määräämistä.

Seuraamuskollegio katsoo rekisterinpitäjän liiketoimintaan hyvin kiinteästi kuuluvan asiakashankinnan ja siten suoramarkkinoinnin perustuneen toimintatapaan, joka ei ole täyttänyt yleisen tietosuoja-asetuksen mukaisen suostumuksen edellytyksiä. Lisäksi rekisterinpitäjän harjoittamassa toiminnassa rekisteröidyt eivät ole kyenneet käyttämään yleisen tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia. Todettakoon, että asiassa on muutoinkin kysymys yleisen tietosuoja-asetuksen III luvussa säädetyistä rekisteröityjen oikeuksista, joiden lujittaminen on ollut yksi yleisen tietosuoja-asetuksen tavoitteista. Kokonaisuudessaan voidaan todeta, ettei rekisterinpitäjä ole huolehtinut sen lukuun harjoitetussa henkilötietojen käsittelyssä siitä, että yleisen tietosuoja-asetuksen vaatimukset ja etenkin rekisteröidyn oikeuksien suojelu toteutuu.

Arvioitaessa hallinnollisen seuraamusmaksun määrää huomioon otetaan yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan mukaiset raskauttavat ja lieventävät seikat. Raskauttavana seikkana on otettu huomioon rekisterinpitäjän tietoinen toiminta ja piittaamattomuus yleisen tietosuoja-asetuksen mukaisten velvoitteiden noudattamisesta ja rekisteröityjen henkilötietojen suojaa koskevien oikeuksien ja vapauksien huomioimisesta. Lieventävä seikkana on otettu huomioon se, että rekisterinpitäjä on oma-aloitteisesti muuttanut sen suoramarkkinoinnin toteuttamista koskevaa toimintatapaa.

Rekisterinpitäjän toimittaman tilinpäätöksen mukaan sen liikevaihto aikavälillä 1.1.2019-30.4.2020 on ollut 429 782,14 euroa.

Seuraamuskollegio katsoo tehokkaaksi, oikeasuhteiseksi ja varoittavaksi määrältään 8.500 (kahdeksantuhattaviisisataa) euron suuruisen hallinnollisen seuraamusmaksun.

Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet.

Tietosuojavaltuutettu Anu Talus ­

Apulaistietosuojavaltuutettu Jari Råman

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa

Asian esitellyt ylitarkastaja Mari-Ilona Korhonen

Asiakirja on allekirjoitettu sähköisesti. Allekirjoituksen oikeellisuuden voi tarvittaessa tarkistaa tietosuojavaltuutetun toimiston kirjaamosta.

Sovelletut lainkohdat

EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artikla 7, 8 ja 11 kohta, 5 artikla 1 kohta a alakohta, 7 artikla 2 ja 4 kohta, 12 artikla 2 kohta, 21 artikla 2 kohta, 24 artikla 1 kohta, 28 artikla 1 ja 3 kohta, 58 artikla 2 kohta f ja i alakohta, 83 artikla 1, 2, 4 kohta a alakohta ja 5 kohta a ja b alakohta, 94 artikla

Tietosuojalain (1050/2018) 8 § ja 24 §

Sähköisen viestinnän palveluista annetun lain (917/2014) 200 § 1 momentti ja 305 §

Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun Euroopan parlamentin ja neuvoston direktiivin (2002/58/EY) 2 artikla 2 kohta f alakohta

Hallintolain (434/2003) 25 § ja 34 §

Osakeyhtiölain (624/2006) 5 luku 1 § 2 momentti

Konkurssilain (120/2004) 3 luku 1 § ja 14 luku 8 § 1 momentti

Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjan 4 artikla

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös on lainvoimainen

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.