16.12.2021

Tietojen turvallinen käsittely ja rekisteröidyn oikeuksien toteuttaminen matkatoimistoyrityksen toiminnassa

Asia

Käsittelyn turvallisuus, eheyden ja luottamuksellisuuden periaate, sisäänrakennettu ja oletusarvoinen tietosuoja, oikeus tietojen poistamiseen

Tietosuojavaltuutetun ja seuraamuskollegion päätökset

Tietosuojavaltuutetun toimistossa on 30.9.2019 saatettu vireille henkilötietojen tietoturvallista käsittelyä ja rekisteröidyn oikeutta tulla unohdetuksi koskeva kantelu. Vireillesaattaja on kertonut epäilevänsä, ettei matkatoimisto käsittele sähköisen viisumitilauslomakkeen tietoja tietosuojasääntelyn edellyttämällä tavalla. Lomake on salaamattoman HTTP-yhteyden takana ja generoi avoimeen verkkoon tiedoston, jossa on hakijan henkilötietoja. Vireillesaattaja on pyytänyt myös tietojensa poistamista, mutta rekisterinpitäjä ei ole reagoinut tähän pyyntöön.

Matkatoimisto on asetettu konkurssiin tammikuussa 2021. Käräjäoikeus on antanut päätöksen konkurssin raukeamisesta heinäkuussa 2021.

Tietosuojavaltuutetun päätös käsittelyn turvallisuutta, eheyden ja luottamuksellisuuden periaatetta ja oikeutta saada tietonsa poistetuksi koskevassa asiassa

Rekisterinpitäjältä saatu selvitys ja kuuleminen
Selvityspyyntö

Tietosuojavaltuutetun toimistosta on 17.12.2019 lähetetty selvityspyyntö matkatoimistolle. Selvityspyyntöön ei kuitenkaan saapunut vastausta, ja 19.5.2020 tietosuojavaltuutetun toimiston ylitarkastaja on sähköpostitse tiedustellut tilannetta ja pyytänyt vastausta selvityspyyntöön 26.5.2020 mennessä. Vastausta ei ole annettu.

Ensimmäinen kuuleminen

Selvityspyyntöön vastaamatta jättämisen jälkeen matkatoimistolle on varattu hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta ja antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Rekisterinpitäjälle on samalla varattu mahdollisuus tuoda esiin sellaisia yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa tarkoitettuja seikkoja, jotka rekisterinpitäjän näkemyksen mukaan olisi otettava huomioon ratkaisua tehtäessä. Rekisterinpitäjälle on tätä tarkoitusta varten lähetetty 25.6.2020 sähköisesti ja maapostina kuulemispyyntö, johon sitä on pyydetty vastaamaan 15.7.2020 mennessä. Tietosuojavaltuutetun toimiston tarkastaja on ollut 14.7.2020 puhelimitse yhteydessä rekisterinpitäjään, ja muistuttanut sitä antamaan vastauksen viimeistään seuraavana päivänä. Rekisterinpitäjän edustaja on tuolloin todennut, ettei sähköpostitse lähetettyä kuulemispyyntöä ole huomattu (lähetetty rekisterinpitäjän molempiin toimipisteisiin, Imatralle ja Lappeenrantaan), eikä kirjepostia ole noudettu pitkään aikaan, koska yrityksen toimistot ovat olleet maaliskuusta saakka kiinni. Rekisterinpitäjän edustajaa on autettu löytämään kuulemispyyntö sähköpostista, mutta asiassa ei ole annettu vastausta selvityspyyntöön tai 25.6.2020 toimitettuun kuulemispyyntöön. Kuulemispyynnössä rekisterinpitäjän tietoon on saatettu, että asia voidaan ratkaista, vaikka rekisterinpitäjä ei toimittaisi vastaustaan määräajan päättymiseen mennessä.

Toinen kuuleminen

Matkatoimistolle osana XX Oy:n konsernia on 15.11.2021 toimitettu toinen kuulemispyyntö koskien matkatoimistoon liittyvän yritysryppään arviointia konsernina ja yhtenä taloudellisena yksikkönä. Rekisterinpitäjälle on näin varattu myös näiltä osin hallintolain (434/2003) 34 §:ssä tarkoitettu tilaisuus tulla kuulluksi sekä lausua mielipiteensä asiasta ja antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Yritysryppääseen kuuluva XX Oy on vastannut kuulemispyyntöön 30.11.2021.

Vastauksessaan XX Oy on esittänyt, että se on omistanut matkatoimiston osakeannista 40 %, eikä sillä ole ollut määräysvaltaa matkatoimistossa. XX Oy:n mukaan kirjanpitolain 5 §:n 1 momentin 3 kohta ei anna tukea tulkinnalle, jonka mukaan konsernisääntely olisi laajennettavissa kaikkiin tilanteisiin, joissa yrityksillä on sama johto tai muita yritysyhteyksiä.

XX Oy esittää, ettei se ole tosiasiallisesti hallinnoinut matkatoimistoliiketoimintaa harjoittaneen matkatoimiston henkilötietojen käsittelyä, ja matkatoimisto on ollut XX Oy:stä erillinen toiminnallinen yksikkö, jolla on ollut omat toimipisteensä, erillinen henkilökunta, sekä erilliset tietojärjestelmät ja asiakasrekisterit. XX Oy katsoo, että yleisen tietosuoja-asetuksen mukaista konsernisuhdetta voitaisiin soveltaa vain tapauksiin, joissa yrityksillä on selkeästi ja todennetusti yhteinen asiakastietojärjestelmä tai muu henkilötietojen käsittelymenetelmä. YY Oy on XX Oy:stä irrallinen yritys.

XX Oy pitää seuraamusmaksuharkintaa kohtuuttomana. Matkatoimisto on välittömästi poistanut asiakkaan pyynnöstä tätä koskevat henkilötiedot ja ryhtynyt korjaamaan tietojärjestelmävirhettä, jonka johdosta asiakastietoja näkyi avoimessa verkossa. Matkatoimistolla ei ole ollut lainkaan henkilökuntaa, joka olisi voinut asioida asiakkaan kanssa tämän pyydettyä toimenpiteitä.

Muu asiaan liittyvä selvitys

Verkkohaku www.[matkatoimiston nimi].fi on keväästä 2021 lähtien toisen matkanjärjestäjän, ZZ Oy:n verkkosivuille, minkä vuoksi tietosuojavaltuutetun toimisto on pyytänyt asiassa selvitystä myös ZZ Oy:ltä. ZZ Oy:n 26.7.2021 antaman selvityksen mukaan kyse on ollut ainoastaan siitä, että ZZ Oy on ostanut matkatoimiston verkkotunnuksen matkatoimiston konkurssipesältä, eikä asiaan liity esimerkiksi asiakkaiden henkilötietojen luovuttamista. ZZ Oy on toimittanut tietosuojavaltuutetun toimistolle 11.3.2021 päivätyn laskuasiakirjan, josta käy ilmi [matkatoimiston nimi] -verkkotunnuksen oikeuden myynti matkatoimiston konkurssipesältä ZZ Oy:lle.

Tietosuojavaltuutetun toimisto on pyrkinyt kuulemaan asiassa myös matkatoimiston konkurssipesää. Kuulemista varten matkatoimiston konkurssipesälle on toimitettu tietosuojavaltuutetun toimiston kuulemispyyntö 13.7.2021. Konkurssipesä on todennut tietosuojavaltuutetun toimistolle 13.7.2021, että matkatoimiston konkurssimenettely on rauennut ja konkurssipesä on lakannut, eikä konkurssipesä voi tämän vuoksi antaa lausumaa asiassa.

Matkatoimiston toimitusjohtaja AA on ollut puhelimitse yhteydessä tietosuojavaltuutetun toimistoon 17.11.2021. AA:n mukaan kaikki vireillesaattajan tiedot on poistettu tiedostoista lukuun ottamatta linkin takana olevia tietoja, jotka ovat mahdollisesti edelleen poistamatta. AA on tässä yhteydessä nostanut esille, että mikäli linkin takana on vireillesaattajan passikopio, passi on jo vanhentunut. AA:n kanssa on keskusteltu puhelun aikana myös siitä, että tietosuojavaltuutetun toimiston esittelijä auttoi puhelimitse AA:n vaimoa löytämään ensimmäisen kuulemispyynnön sähköpostista heinäkuussa 2020 ja että AA oli aiemmassa, 5.10.2020 käydyssä puhelinkeskustelussa asian esittelijän kanssa kertonut, että vaimo oli tuolloin näyttänyt hänelle kuulemispyynnön. AA on myös kertonut puhelun aikana, että maininta yritystoiminnan harjoittamisesta konsernimuodossa on nyt poistettu verkkosivuilta.

Taustatietoja

Palvelunkuvaus

Matkatoimisto tarjoaa sivustonsa kautta mahdollisuuden hakea sähköisesti useita erityyppisiä viisumeja: yhden, kahden ja kolmen vuoden monikertaviisumeja, kerta- ja kaksikertaviisumeja, sekä viisumeja asiakkaan omalla kutsulla. Sivustolla tarjotaan myös alaikäisten viisumeja, mutta niiden hakeminen ei tapahdu ainakaan suoraan verkkolomakkeen kautta, vaan hakijaa pyydetään olemaan yhteydessä rekisterinpitäjään. Myös ryhmäviisumit edellyttävät ensisijaisesti yhteydenottoa rekisterinpitäjään. Ryhmäviisumit liittyvät verkkosivuilla tarjottaviin ryhmämatkapalveluihin Venäjälle, ja ryhmämatkasta pyydetään tarjous lähettämällä sähköpostiviesti rekisterinpitäjälle. Muita viisumityyppejä kuin ryhmäviisumeja ja alaikäisten viisumeja haetaan täyttämällä verkkolomake.

Viisuminhakulomakkeeseen täytettävät henkilötiedot

Sähköiseen viisuminhakulomakkeeseen täytetään sukunimi, etunimet, sähköpostiosoite, puhelinnumero, passin numero, työnantaja/opiskelupaikka, toimi/virka, kotiosoite, matkan tarkoitus, matkavakuutusnumero ja toivottu viisumin voimassaoloaika. Verkkolomaketietojen lähettämisen jälkeen asiakkaan tulee tulostaa tilauslomake ja lähettää tai tuoda se matkatoimistolle passin, passivalokuvan ja matkavakuutustodistuksen kanssa.

Asian alustavaa tietoteknistä arviointia

Matkatoimiston verkkosivuja, mukaan lukien viisuminhakulomakkeet, ei ole salattu, vaan rekisterinpitäjä käsittelee henkilötietoja salaamattomalla HTTP-protokollalla. Näin ollen sivullisten pääsyä henkilötietoihin ei ole estetty, ja lomakkeelle välitettävät tiedot kulkevat internetissä avoimesti.

Sivuston omistajuus ja toiminta-aika

Traficomin verkkotunnusrekisteristä saatujen tietojen mukaan verkkotunnus [matkatoimiston nimi].fi on rekisteröity helmikuussa 2006 ja se on ollut samalla käyttäjällä siitä lähtien. Itse verkkosivuille on tehty copyright-merkintä 2013.

Liikevaihto ja asiakasmäärä

Matkatoimiston liikevaihto on tilikaudella 1.7.2019 – 30.6.2020 ollut 688 357,57 euroa.

Koska rekisterinpitäjä ei ole tehnyt valvontaviranomaisen kanssa minkäänlaista yhteistyötä, asiakasmäärää ei ole ollut mahdollista selvittää.

Matkatoimiston omistus

Kaupparekisteritietojen mukaan matkatoimiston toimitusjohtaja ja hallituksen varsinainen jäsen on AA. AA on myös matkatoimisto WW Oy:n toimitusjohtaja ja hallituksen jäsen, XX Oy:n toimitusjohtaja ja hallituksen jäsen, sekä kuljetusliike YY Oy:n toimitusjohtaja ja hallituksen jäsen.

Matkatoimiston elinkeinotoiminnan veroilmoituksen mukaan matkatoimiston osakkaita ovat XX Oy (100 osaketta), BB (100 osaketta) ja CC (50 osaketta).

XX Oy:n elinkeinotoiminnan veroilmoituksessa yhtiön ainoaksi osakkaaksi on merkitty AA. YY Oy:n elinkeinotoiminnan veroilmoituksessa yhtiön ainoaksi osakkaaksi on merkitty XX Oy.

YY Oy:n verkkosivujen mukaan XX Oy:n konserniin kuuluvat XX Oy ja matkatoimisto.

YY OY:n sosiaalisessa mediassa vuonna 2015 julkaistun päivityksen mukaan XX Oy ja YY Oy kuuluvat samaan yritysryppääseen.

Matkatoimiston konkurssi

Matkatoimisto on asetettu konkurssiin tammikuussa 2021. Käräjäoikeus on antanut päätöksen konkurssin raukeamisesta heinäkuussa 2021. Käräjäoikeuden päätöksen perustelujen mukaan konkurssipesän varat eivät riitä konkurssimenettelyn kustannusten suorittamiseen.

Sovellettavasta lainsäädännöstä

Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018), jota on sovellettu 1.1.2019 alkaen. Tietosuojalailla kumottiin aiemmin voimassa ollut henkilötietolaki (523/1999).

Yleisen tietosuoja-asetuksen 5(1)(f) artiklassa säädetään eheyden ja luottamuksellisuuden periaatteesta. Periaate edellyttää, että henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia.

Yleisen tietosuoja-asetuksen 17(1) artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin artiklankohdassa luetelluista perusteista täyttyy.

Yleisen tietosuoja-asetuksen 25(1) artiklan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Yleisen tietosuoja-asetuksen 32(1) artiklan mukaan ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet. Artiklan 2 kohdan mukaan asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.

Oikeudellinen kysymys

Tietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.

Asiassa on arvioitava:

1) viisumin tilauslomakeverkkosivun osalta: onko HTTP-protokolla ilman suojausta tässä yhteydessä riittävä tekninen toimenpide yleisen tietosuoja-asetuksen 5(1)(f) artiklan eheyden ja luottamuksellisuuden periaatteen, 25 artiklan 1 kohdan (sisäänrakennettu ja oletusarvoinen tietosuoja) ja ja 32 artiklan 1 ja 2 kohdan (käsittelyn turvallisuus) vaatimusten täyttämiseksi;

2) täytetyn verkkolomakkeen tallentamisen ja ylläpitämisen osalta: täyttääkö henkilötietojen säilyttäminen internetiin avoimella verkkopalvelimella ilman pääsynvalvontaa artikloista 5(1)(f), 25(1) sekä 32(1) ja 32(2) tulevat vaatimukset; ja

3) onko rekisterinpitäjä toteuttanut asianmukaisesti rekisteröidyn yleisen tietosuoja-asetuksen 17(1) artiklan mukaisen oikeuden saada henkilötietonsa poistetuksi

Tietosuojavaltuutetun päätös

Huomautus ja määräys saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukaisen määräyksen poistaa verkosta suojaamattomat, henkilötietoja sisältävät tiedostot

Koska matkatoimiston verkkosivusto ei ole enää toiminnassa, tietosuojavaltuutettu ei katso tarkoituksenmukaiseksi antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d-alakohdan mukaista määräystä saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi viisumin tilauslomakeverkkosivun suojauksen osalta.

Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukaisen huomautuksen yleisen tietosuoja-asetuksen säännösten vastaisista käsittelytoimista koskien viisumin tilauslomakeverkkosivun puutteellista suojausta, rekisteröidyn oikeuksien toteuttamatta jättämistä ja henkilötietoja sisältävän verkkolomakkeen säilyttämistä internetiin avoimella verkkopalvelimella.

Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistolle 15.2.2022 mennessä tai viimeistään kuitenkin kuuden viikon kuluttua päätöksen tiedoksisaannista, ellei se hae muutosta tähän päätökseen.

Hallinnollinen seuraamusmaksu

Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Matkatoimistoa koskeva asia annetaan seuraamuskollegion ratkaistavaksi, ja seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu tietosuojavaltuutetun antaman huomautuksen ja määräyksen lisäksi.

Päätöksen perustelut

Matkatoimiston verkkosivuja, mukaan lukien viisuminhakulomakkeet, ei ole salattu asianmukaisesti, vaan rekisterinpitäjä käsittelee henkilötietoja salaamattomalla HTTP-protokollalla. Näin ollen sivullisten pääsyä henkilötietoihin ei ole tarkoituksenmukaisella tavalla estetty, ja lomakkeelle välitettävät tiedot kulkevat internetissä avoimesti. Lomakkeen mekaniikka myös kerää lomakkeelle kirjoitetut tiedot ja latoo ne PDF-tiedostoksi samaisen verkkopalvelimen tiedostokansioon, joka on avoin verkkoon.

Rekisterinpitäjän laiminlyöntien myötä henkilötiedot ovat erityisen alttiina hakkereille. Keskivertokäyttäjän pääsy tietoihin edellyttäisi, että hän saa haltuunsa linkin, jonka kautta on pääsy viisumilomakkeen tietoihin rekisterinpitäjän verkkopalvelimella. Tietosuojavaltuutetun toimisto on kokeillut, onko matkatoimiston verkkopalvelimeen suoraa pääsyä ja todennut, ettei näin ole. Näin ollen verkkopalvelimen tiedostokansion sisältöä ei voi suoraan selata, vaan tiedoston hakijan on tiedettävä tai arvattava PDF-tiedoston nimi tiedot saadakseen. Kuitenkaan sitä, että avoimesti internetissä käsiteltävän tiedoston nimi on keskivertokäyttäjän näkökulmasta hankalasti arvattavissa, ei voida pitää tehokkaana suojauskeinona, koska tiedoston eri nimivaihtoehtojen läpikäynti on automatisoitavissa. Avoimesti verkossa olevien tietojen saatavuus ei täten ole yksin rekisterinpitäjän hallittavissa. Rekisterinpitäjän kontrollin osalta on myös selvää, ettei rekisterinpitäjä ole ainoa taho, joka tietää kansiossa olevien tiedostojen nimet ja niiden muodostustavan: kansiot ovat olemassa nimenomaan tietojen toisille tahoille välittämistä varten.

Rekisterinpitäjä ei ole esittänyt tietosuojavaltuutetun toimistolle, että sen käytössä olisi muita suojamekanismeja, kuten esimerkiksi liikenteen rajoittaminen tai pääsynvalvonta. Näin ollen viisumitiedot ovat julkisessa internetissä vapaasti saatavilla, minkä ei voida katsoa täyttävän yleisestä tietosuoja-asetuksesta henkilötietojen suojaamiselle tulevia vaatimuksia. Lisäksi voidaan huomioida, että rekisterinpitäjän vireillesaattajalle antamista vastauksista on nähtävissä epätietoisuus oman palvelun tosiasiallisesta toiminnasta, ja rekisterinpitäjä kertoo vireillesaattajan välittämässä sähköpostikeskustelussa muun muassa, että uploads-kansio ei ole julkinen, eivätkä tiedot ole avoimessa verkossa. Rekisterinpitäjä kuvaa myös kansion verkkopolun arvaamista ”kai melko mahdottomaksi”. Asiassa on myös huomioitava, että viisuminhakulomakkeelle täytettäviin tietoihin on lukeutunut passin numero, joka erityisesti yhdistettynä keskeisiin henkilötietoihin altistaa rekisteröidyn identiteettivarkaudelle. Henkilötietotoja tulisi suojata riskiperusteisen lähestymistavan mukaisesti määräytyvillä toimenpiteillä koko niiden käsittelyn elinkaaren ajan, ja tässä tapauksessa rekisterinpitäjä on laiminlyönyt suojauksesta huolehtimisen niin tietojen säilytyksessä verkkopalvelimella, kuin tietojen siirron yhteydessäkin (siirto asiakkaalta verkkopalvelimelle ja siirto verkkopalvelimelta vastaanottavalle taholle).

Edellä esitetyn perusteella on katsottava, että rekisterinpitäjän toiminta rikkoo selkeästi yleisen tietosuoja-asetuksen 5 artiklaa (eheyden ja luottamuksellisuuden periaate) ja 32 artiklaa (käsittelyn turvallisuus). Eheyden ja luottamuksellisuuden periaate edellyttää, että henkilötietoja käsitellään tavalla, jolla varmistetaan niiden asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia. Rekisterinpitäjän tulisikin jatkuvasti arvioida käsittelytoimiaan ja niiden riittävyyttä henkilötietojen suojaamisen näkökulmasta. Tietoturvaa koskeva artikla 32 puolestaan edellyttää, että rekisterinpitäjä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan turvallisuustason varmistamiseksi. Asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin etenkin siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi. Tietoturvan käsite sisältää sekä eheyden (tietojen säilyminen oikeassa muodossaan) että luottamuksellisuuden (sivullisten tietoihin pääsyn estäminen) elementit, ja tietoturvallisessa käsittelyssä rekisteröityjen henkilötietojen tulisi olla vain niiden käyttöön oikeutettujen henkilöiden hyödynnettävissä, ei internetissä avoimesti saatavilla. Molemmat artiklat kytkeytyvät lisäksi sisäänrakennetun ja oletusarvoisen tietosuojan vaatimukseen (yleisen tietosuoja-asetuksen 25 artikla), jossa on kyse tietosuojakeskeisestä lähestymistavasta, ja tietosuojan huomioimisesta heti toiminnan alusta alkaen. Myös sen osalta voidaan todeta, ettei rekisterinpitäjä ole toteuttanut ennaltaehkäiseviä toimenpiteitä, jotka vastaisivat tästä artiklasta tulevia periaatteita.

Suojaustoimenpiteiden riittävyyden arvioinnin lisäksi asiassa tulee ottaa kantaa rekisteröidyn oikeuksien toteutumiseen. Sen osalta voidaan ensinnäkin todeta, että yleisen tietosuoja-asetuksen 17 artiklassa säädetään rekisteröidyn oikeudesta saada rekisterinpitäjän hallussa olevat henkilötietonsa poistetuksi, ja vireillesaattaja on esittänyt rekisterinpitäjälle asianmukaisen pyynnön poistaa verkosta hänen henkilötietojaan sisältävän, puutteellisesti suojatun tiedoston. Rekisterinpitäjän tulisi kuitenkin poistaa tällaiset suojaamattomat tiedostot jo yleisen tietosuoja-asetuksen 32 ja 5 artiklojen nojalla, ilman rekisteröidyn 17 artiklan perusteella tekemää pyyntöäkin. Rekisterinpitäjä ei ole kuitenkaan ryhtynyt toimiin oma-aloitteisesti, tai edes rekisteröidyn esittämän pyynnön toteuttamiseksi. Näin ollen se on rikkonut myös yleisen tietosuoja-asetuksen 17 artiklaa.

Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.

Seuraamuskollegion päätös hallinnollisesta sakosta (hallinnollisesta seuraamusmaksusta)

Rekisterinpitäjä

Matkatoimisto osana XX Oy:n konsernia

Seuraamuskollegion päätös

Seuraamuskollegio katsoo, että tietosuojavaltuutetun antamat, yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukainen huomautus ja d-alakohdan mukainen määräys eivät ole riittävä seuraamus ottaen huomioon rikkomisen luonne ja vakavuus.

Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio määrää rekisterinpitäjän maksamaan valtiolle määrältään 6.500 (kuusituhattaviisisataa) euron suuruisen hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla.

Hallinnollisen seuraamusmaksun kohdentaminen

Konsernirakenne

Yritystietojen mukaan matkatoimistolla on läheinen liityntä XX Oy:hyn ja YY OY:hyn, minkä vuoksi asiassa on arvioitu, muodostavatko yritykset konsernin. Yleisen tietosuoja-asetuksen 4 artiklan 19 kohdan mukaan konsernilla tarkoitetaan määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä. Yleisen tietosuoja-asetuksen johdantokappaleessa 37 todetaan seuraavasti:

Konsernin olisi katettava sekä määräysvaltaa käyttävä yritys että sen määräysvallassa olevat yritykset niin, että määräysvaltaa käyttävä yritys on se, jolla on määräysvalta toiseen yritykseen nähden esimerkiksi omistuksen, rahoitukseen osallistumisen tai yrityksen sääntöjen perusteella tai jolla on toimivalta panna täytäntöön henkilötietojen suojaa koskevat säännöt. Yritys, joka hallinnoi henkilötietojen käsittelyä siihen yhteydessä olevissa yrityksissä, olisi voitava katsoa konserniksi.

Osakeyhtiölain (624/2006) 8 luvun 12 §:n mukaan silloin, jos osakeyhtiöllä on kirjanpitolain 1 luvun 5 §:ssä tarkoitettu määräysvalta toisessa kotimaisessa tai ulkomaisessa yhteisössä tai säätiössä, osakeyhtiö on emoyhtiö ja määräysvallassa oleva on tytäryhteisö. Emoyhtiö tytäryhteisöineen muodostaa konsernin. Osakeyhtiöllä on määräysvalta toisessa yhteisössä tai säätiössä myös silloin, kun osakeyhtiöllä yhdessä yhden tai useamman tytäryhteisönsä kanssa taikka tytäryhteisöllä yksin tai yhdessä muiden tytäryhteisöjen kanssa on kirjanpitolain 1 luvun 5 §:ssä tarkoitettu määräysvalta siinä. Kirjanpitolain (1336/1997) 1 luvun 5 §:n mukaan kirjanpitovelvollisella katsotaan olevan määräysvalta toisessa kirjanpitovelvollisessa äänimäärän tai jäsenten nimittämis- ja erottamisoikeuden perusteella, tai silloin, jos kirjanpitovelvollinen muuten tosiasiallisesti käyttää määräysvaltaa kohdeyrityksessä.

Nyt tarkasteltavana olevassa tapauksessa sekä emoyhtiönä arvioitavan yrityksen (XX Oy) että sen määräysvallassa olevina yrityksinä arvioitavien (YY Oy ja matkatoimisto) toimitusjohtajana on sama henkilö, AA. Emoyhtiö XX Oy:n elinkeinotoiminnan veroilmoituksessa yhtiön ainoaksi osakkaaksi on merkitty AA. YY Oy:n elinkeinotoiminnan veroilmoituksessa yhtiön ainoaksi osakkaaksi on merkitty XX Oy, joka edellä todetusti on AA:n omistuksessa. Matkatoimiston elinkeinotoiminnan veroilmoituksen mukaan matkatoimiston osakkaita ovat XX Oy (100 osaketta), BB (100 osaketta) ja CC (50 osaketta). Matkatoimiston kaupparekisteriotteessa matkatoimiston hallituksen varsinaiseksi jäseneksi on merkitty AA ja varajäseneksi DD (ei muita jäseniä).

Asiassa saadun selvityksen pohjalta ei ole mahdollista arvioida kirjapitolain 1 luvun 5.1 §:n kahden ensimmäisen kohdan mukaisten kriteerien täyttymistä. Omistusrakenne ja YY Oy:n verkkosivuilta löytyvä rekisterinpitäjän oma ilmoitus yritysten muodostamasta konsernista ovat kuitenkin vahva indisio siitä, että yritysten välinen järjestely täyttää vähintäänkin kirjanpitolain 1 luvun 5.1 §:n 3 kohdan edellytykset, ja XX Oy:llä on näin ollen määräysvalta YY Oy:ssä ja matkatoimiston osakeyhtiössä. On myös katsottava, että omistuksen ja päätösvallan kohdentuminen pääosin samalle henkilölle ja tästä seuraava henkilötietojen hallinnoinnin keskittyminen samalle taholle täyttää yleisen tietosuoja-asetuksen mukaiset edellytykset arvioida yrityksiä konsernina ja siten henkilötietojen käsittelystä vastuullisena rekisterinpitäjänä. Asiassa on lisäksi perusteltua katsoa, että samalla taholla on toimivalta panna täytäntöön henkilötietojen suojaa koskevat säännöt.

Seuraamuskollegio huomioi, ettei yritysten osalta ole tehty osakeyhtiölain 8 luvun 9 §:n mukaista konsernitilinpäätöstä. Seuraamuskollegio huomioi edelleen, että pienkonserniksi katsotaan konserni, jossa ylittyy korkeintaan yksi kirjanpitolain 1 luvun 4 a §:ssä säädetyistä raja-arvoista, eikä pienkonsernista ole tarvetta laatia konsernitilinpäätöstä. Näin ollen asian selvityksessä saatujen tietojen perusteella voidaan katsoa, että XX Oy:n ympärille rakennettu konserni on pienkonserni, jolla ei ole velvollisuutta laatia konsernitilinpäätöstä, eikä konsernitilinpäätöksen puuttumisella ole näin merkitystä asiaa ratkaistaessa.

Sakon kohdentaminen

Yleisen tietosuoja-asetuksen johdantokappaleen 150 mukaan ”Silloin kun sakkoja määrätään yritykselle, yritys olisi ymmärrettävä SEUT 101 ja 102 artiklan mukaiseksi yritykseksi”. Yleisen tietosuoja-asetuksen 83 artiklan mukaisen sakon määrittämisen ja kohdentamisen yhteydessä on nyt arvioitavana olevassa tapauksessa näin ollen perusteltua tarkastella myös kilpailuoikeudellista oikeuskäytäntöä ja erityisesti sieltä tulevaa yrityksen määritelmää ja vastuun kohdentumista.

Sopimuksessa Euroopan unionin toiminnasta (SEUT) ei määritellä yrityksen käsitettä, vaan määritelmä on muotoutunut EU-tuomioistuinten oikeuskäytännössä. Näin ollen lähtökohtaisena yrityksen perusmääritelmänä voidaan pitää taloudellista toimintaa harjoittavaa yksikköä, joka tarjoaa tavaroita tai palveluja tietyillä markkinoilla. Yrityksen käsitteellä voidaan tällöin tarkoittaa taloudellista yksikköä, vaikka taloudellisen kokonaisuuden muodostaakin useampi kuin yksi luonnollinen henkilö tai oikeushenkilö.

Sen arvioimisessa, voidaanko useat eri yritykset katsoa yhdeksi taloudelliseksi yksiköksi, sovelletaan EU-kilpailuoikeudessa niin kutsuttua Single Economic Entity -doktriinia. Tähän sisältyy keskeisenä arvio siitä, onko yhdellä yrityksellä mahdollisuus vaikuttaa toisen yrityksen päätöksentekoon siinä määrin, ettei jälkimmäisellä ole todellista autonomista asemaa sen päättäessä kaupallisesta toiminnastaan markkinoilla. Tässä arviossa voidaan tarkastella emoyhtiön omistusta tytäryhtiössä, yrityksen johtoa, sekä sitä, missä määrin emoyhtiö vaikuttaa tytäryhtiön toimintaan tai ohjeistaa tytäryhtiötä. Tarkastelussa on huomioitava myös, ettei se että kyse ei ole emoyhtiön kokonaan omistamasta tytäryhtiöstä merkitse, ettei kyse voisi olla kilpailuoikeudessa tarkoitetusta taloudellisesta kokonaisuudesta.

XX Oy:n, YY Oy:n ja matkatoimiston edustamat toimialat ja tosiasiallinen toiminta muodostavat toiminnallisen kokonaisuuden, joka palvelee Venäjälle matkustavia. Yrityksillä on yhteinen intressi, yritysten välillä on selkeitä taloudellisia ja organisatorisia yhteyksiä, ja yritysten johto, omistus ja päätöksentekovalta ovat pitkälti keskittyneet yhdelle henkilölle. Näin ollen on perusteltua katsoa, ettei matkatoimiston kohdalla ole kyse autonomisesta, itsenäisestä toimijasta, vaan matkatoimisto muodostaa XX Oy:n ja YY Oy:n kanssa taloudellista toimintaa harjoittavan yksikön. Tässä kohdin voidaan myös huomioida, että EU-tuomioistuimen ratkaisukäytännössä on korostettu ettei tytäryhtiöllä oleva erillinen oikeushenkilöllisyys riitä sulkemaan pois mahdollisuutta lukea tytäryhtiön toiminta emoyhtiön syyksi. Näin erityisesti silloin, kun tytäryhtiö – vaikka sillä olisikin eri oikeushenkilöllisyys – ei päätä itsenäisesti markkinakäyttäytymisestään, vaan noudattaa olennaisilta osin emoyhtiönsä sille antamia ohjeita.

Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo tässä tapauksessa perustelluksi tulkita eurooppalaisen lainsäätäjän tarkoituksen mukaisesti yrityksen määritelmää siten kuin se määräytyy SEUT 101 ja 102 artiklojen pohjalta. Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo edellä esitetyin perustein, että hallinnollinen seuraamusmaksu tulee kohdistaa XX Oy:n, YY Oy:n ja matkatoimiston muodostamaan taloudellista toimintaa harjoittavaan yksikköön. Myös hallinnollisen seuraamusmaksun enimmäismäärä tulee näin ollen laskea yritysten yhteenlasketun liikevaihdon pohjalta.

Asian ratkaisussa tietosuojavaltuutetun toimiston seuraamuskollegio huomioi, että matkatoimiston liikevaihto on tilikaudella 1.7.2019 – 30.6.2020 ollut 688 357,57 euroa, XX Oy:n liikevaihto on tilikaudella 1.7.2020 – 30.6.2021 ollut 0 euroa, ja YY Oy:n liikevaihto on tilikaudella 1.7.2020 – 30.6.2021 ollut 210 767,48 euroa. Yhteenlaskettu liikevaihto on näin ollen 899 125,05 euroa.

Perustelut hallinnollisen seuraamusmaksun määräämiselle

Yleisen tietosuoja-asetuksen 83 artiklassa on säädetty hallinnollisten sakkojen määräämisen yleisistä edellytyksistä. Artiklan mukaan hallinnollisten sakkojen määräämisen on oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa säädettyjen korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Hallinnollisen sakon määräämisestä ja hallinnollisen sakon määrästä päätettäessä on jokaisessa yksittäistapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa luetellut seikat.

Asiaa arvioitaessa otetaan huomioon myös 29 artiklan mukaisen tietosuojatyöryhmän ohjeet hallinnollisten sakkojen soveltamisesta ja määräämisestä.

Kysymyksessä olevassa pääasiassa on katsottu, että rekisterinpitäjä on rekisteröidyn oikeuksista ja verkkosivuston suojaustoimenpiteistä huolehtimatta jättämisellään rikkonut yleisen tietosuoja-asetuksen artikloja 5(1)(f) (eheyden ja luottamuksellisuuden periaate), 17(1) (oikeus tietojen poistamiseen), 25(1) (sisäänrakennettu ja oletusarvoinen tietosuoja) sekä 32(1) ja 32(2) (käsittelyn turvallisuus).

Rikkomisen luonne ja vakavuus

Rikkomisen luonnetta ja vakavuutta arvioidaan yleisen tietosuoja-asetuksen 83(2)(a) artiklan mukaisten tekijöiden valossa.

Rikkomisen luonne ja vakavuus

Asiassa ei ole kyse yleisen tietosuoja-asetuksen johdantokappaleessa 148 tarkoitetusta vähäisestä rikkomisesta, ja rekisteröidyn oikeuksien toteuttamiseen ja henkilötietojen käsittelyn turvallisuuteen kohdistuva rikkominen muodostaa nyt arvioitavana olevassa tapauksessa huomattavan riskin rekisteröidyn oikeuksille ja vaikuttaa rikottujen velvoitteiden olennaiseen sisältöön. Myös tietojenkäsittelyn laajuus ja tarkoitus puoltavat rikkomisen arvioimista siten vakavaksi, ettei yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b-alakohdan mukainen huomautus ja d-alakohdan mukainen määräys ole katsottavissa riittäväksi seuraamukseksi rekisterinpitäjälle.

Verkkotunnus [matkatoimiston nimi].fi on rekisteröity helmikuussa 2006. Asiassa on pidettävä hyvin epätodennäköisenä, että suojaustoimenpiteet olisivat olleet ennen vuotta 2019 (vireillesaattamisajankohta) nykyistä vahvemmat. Epäkohta on näin ollut olemassa selkeästi pidempään kuin yleisen tietosuoja-asetuksen soveltamisajan, eikä ajanjaksoa voida pitää lyhyenä. Rikkomisen pitkäkestoisuus on katsottava hallinnollisen seuraamusmaksun määräämistä puoltavaksi perusteeksi.

Valvontaviranomaisella ei ole käytettävissään tietoja rekisteröityjen lukumäärästä, sillä rekisterinpitäjä ei ole vastannut tietosuojavaltuutetun selvityspyyntöön eikä kuulemispyyntöön. Hakukonetulosten mukaan matkatoimistolla on useita siihen rinnastettavissa olevia kilpailijoita. Haettaessa esimerkiksi sanoilla ”viisumi Venäjälle” matkatoimiston tiedot eivät näy eri hakukoneiden hakutuloksissa tyypillisesti ensimmäisellä sivulla. Hinnoittelultaan yritys ei erotu hakukoneiden kärkituloksiin lukeutuvista kilpailijoistaan, joita on useita. Yritys ei pelkästään näiden tietojen pohjalta ole katsottavissa esimerkiksi alan johtavaksi toimijaksi tai Venäjän viisumia tarvitsevien rekisteröityjen ilmeiseksi valinnaksi. Rikkomisen luonteen, pitkän toiminta-ajan ja liikevaihtotietojen perusteella seuraamuskollegio kuitenkin katsoo, että henkilötietoja on liikkunut sivuston kautta merkittävä määrä ja että rikkominen on ollut järjestelmällistä, ei yksittäistapauksellista. Rikkomisen järjestelmällisyys ja rikkomisen vaikutus lukuisiin rekisteröityihin on katsottava hallinnollisen seuraamusmaksun määräämistä puoltavaksi perusteeksi.

Tietosuojavaltuutetun toimiston käytössä olevien tietojen mukaan rekisteröidyille ei ole aiheutunut konkreettista taloudellista tai muuta aineellista vahinkoa kysymyksessä olevan rikkomisen seurauksena. Aineellisen vahingon aiheutuminen ei kuitenkaan ole sakon määräämisen edellytys, ja rekisteröidyn on myös mahdollista esimerkiksi vaatia yleisen tietosuoja-asetuksen 82 artiklan mukaista vahingonkorvausta sakon määräämisestä riippumatta.

Rekisteröidyille aiheutuneita vahinkoja koskevassa arvioinnissa on otettava huomioon myös korkeimman oikeuden ratkaisu KKO:1998:85, jossa on korostettu tiedollista itsemääräämistä ja todettu, että sittemmin kumotun henkilörekisterilain (471/1987) 43 §:ssä tarkoitetun henkilörekisteririkoksen sanamuoto osoitti, että yksityisyyden suojan loukkaaminen tiedollisen itsemääräämisvallan vastaisena menettelynä merkitsi laissa edellytetyn vahingon tai haitan aiheuttamista. Tämä pätee edelleen. Pelkkä yksityisyyden suojan loukkaus merkitsee vahingon tai haitan aiheuttamista. Edellytyksenä ei ole taloudellisen tai muun aineellisen vahingon aiheutuminen per se, joskin tällaisten vahinkojen aiheutuminen otetaan yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a alakohdassa säädetyn mukaisesti huomioon hallinnollista seuraamusmaksua määrättäessä ja sen määrästä päätettäessä.

Rekisterinpitäjän on näin ollen katsottava rikkoneen rekisteröityjen yleisen tietosuoja-asetuksen mukaisia oikeuksia, jonka seurauksena rekisteröidyille on aiheutunut vahinkoa.

Raskauttavien ja lieventävien tekijöiden arviointi
Rikkomisen tahallisuus tai tuottamuksellisuus

Sivuston ja henkilötietojen salaukseen liittyvät ongelmat on saatettu rekisterinpitäjän tietoon todistettavasti heinäkuussa 2019, vireillesaattajan ottaessa siihen yhteyttä. Se ei tästä huolimatta ole lähtenyt toteuttamaan tarvittavia teknisiä ja organisatorisia toimenpiteitä asian korjaamiseksi. Rekisterinpitäjän vireillesaattajalle antamista vastauksista on myös nähtävissä, ettei se ole ottanut selvää henkilötietojen keruukanavana toimivan verkkosivun suojauksen vähimmäisvaatimuksista (tietojen on kerrottu olevan suojattuja ja linkin arvaamista on kuvattu ”kai melko mahdottomaksi”). Kyse vaikuttaisi tässä kohtaa olevan ymmärtämättömyydestä ja piittaamattomuudesta, minkä seurauksena henkilötiedot ovat olleet saatavilla verkossa ilman riittävää teknistä suojausta. Rekisterinpitäjä ei ole ryhtynyt toimiin myöskään valvontaviranomaisen yhteydenottojen myötä, eikä sen toiminnasta siten tältä osin löydy lieventäviä perusteita. Rekisterinpitäjän passiivisuus korjaaviin toimenpiteisiin ryhtymisessä sekä piittaamattomuus tietosuojasääntelyä kohtaan on katsottava asiassa raskauttavaksi tekijäksi.

Rekisterinpitäjän toteuttamat toimet rekisteröidyille aiheutuneen vahingon lieventämiseksi

Rekisteröidyille aiheutuneita vahinkoja koskevassa arvioinnissa on otettava huomioon korkeimman oikeuden ratkaisu KKO:1998:85, jossa on korostettu tiedollista itsemääräämistä ja todettu, että sittemmin kumotun henkilörekisterilain (471/1987) 43 §:ssä tarkoitetun henkilörekisteririkoksen sanamuoto osoitti, että yksityisyyden suojan loukkaaminen tiedollisen itsemääräämisvallan vastaisena menettelynä merkitsi laissa edellytetyn vahingon tai haitan aiheuttamista. Tämä pätee edelleen. Pelkkä yksityisyyden suojan loukkaus merkitsee vahingon tai haitan aiheuttamista. Edellytyksenä ei ole taloudellisen tai muun aineellisen vahingon aiheutuminen per se, joskin tällaisten vahinkojen aiheutuminen otetaan yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a alakohdassa säädetyn mukaisesti huomioon hallinnollista seuraamusmaksua määrättäessä ja sen määrästä päätettäessä. Lajivalinnassa on näin ollen huomioitu, että rekisterinpitäjän on katsottava rikkoneen rekisteröityjen yleisen tietosuoja-asetuksen mukaisia oikeuksia, jonka seurauksena rekisteröidyille on aiheutunut vahinkoa.

Rekisterinpitäjän vahingon lieventämiseksi toteuttamien toimien osalta voidaan todeta, ettei rekisterinpitäjä ole ryhtynyt toimiin rekisteröidylle aiheutuneen vahingon lieventämiseksi. Rekisterinpitäjän passiivisuus näiltä osin on katsottava asiassa raskauttavaksi perusteeksi.

Rekisterinpitäjän vastuun aste, ottaen huomioon sen 25 ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet

Rekisterinpitäjä ei ole toteuttanut teknisiä toimenpiteitä, jotka vastaavat erityisesti sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita, eikä se ole teknisin ja organisatorisin toimenpitein varmistanut sisäänrakennetun ja oletusarvoisen tietosuojan toteutumista kaikilla organisaatiotasoilla. Rekisterinpitäjä ei ole huolehtinut siitä, että sillä on käytössään asianmukaiset menettelyt henkilötietojen käsittelyn turvallisuuden varmistamiseksi ja rekisteröidyn oikeuksien tehokkaaksi toteuttamiseksi, eikä se ole huomioinut menettelytapojen puutteellisuudesta luonnollisten henkilöiden oikeuksille ja vapauksille aiheutuvaa riskiä. Kyse on ollut rekisterinpitäjän systemaattisesta virheestä. Asianmukaisten teknisten ja organisatoristen toimenpiteiden laiminlyönti on katsottava asiassa raskauttavaksi tekijäksi.

Rekisterinpitäjän aiemmat vastaavat rikkomiset

Vastaavia rikkomisia ei ole tullut valvontaviranomaisen tietoon.

Yhteistyö valvontaviranomaisen kanssa

Rekisterinpitäjä ei ole tehnyt valvontaviranomaisen kanssa minkäänlaista yhteistyötä, vaan se on asian selvittämisen aikana jättänyt vastaamatta kaikkiin yhteydenottoihin yhtä puhelua (14.7.2020) lukuun ottamatta. Tietosuojavaltuutetun toimiston seuraamuskollegio kiinnittää tässä kohdin erityistä huomiota siihen, että rekisterinpitäjän passiivisuus on alkanut jo ennen koronapandemiaa ja konkurssimenettelyn alkamista. Rekisterinpitäjän passiivisuus asiaa selvitettäessä on katsottava raskauttavaksi tekijäksi.

Henkilötietoryhmät, joita rikkominen koskee

Hakija täyttää sähköiseen viisuminhakulomakkeeseen tiedot sukunimestä, etunimistä, sähköpostiosoitteesta, puhelinnumerosta, passin numerosta, työnantajasta/opiskelupaikasta, toimesta/virasta, kotiosoitteesta, matkan tarkoituksesta, matkavakuutusnumerosta ja toivotusta viisumin voimassaoloajasta. Verkkolomaketietojen lähettämisen jälkeen asiakkaan tulee tulostaa tilauslomake ja lähettää tai tuoda se matkatoimistolle passin, passivalokuvan ja matkavakuutustodistuksen kanssa. Puutteellisesti suojattujen tietojen kohdalla ei näin ollen ole kyse yleisen tietosuoja-asetuksen 9 tai 10 artiklojen mukaisista tiedoista, eikä viisumihakulomakkeisiin ole verkkosivuilta saatavilla olevista tiedoista päätellen sisällytetty myöskään alaikäisten henkilötietoja tai hakijoiden henkilötunnuksia. Tämä on katsottava asiassa lieventäväksi perusteeksi. Asiassa on kiinnitettävä kuitenkin erityistä huomiota siihen, että lomakkeelle täytettäviin tietoihin on sisältynyt tieto passin numerosta. Passin numero, erityisesti yhdistettynä keskeisiin henkilötietoihin, on riskitekijä, joka altistaa vääriin käsiin päätyessään rekisteröidyn identiteettivarkaudelle. Tämä seikka on katsottava asiassa raskauttavaksi tekijäksi.

Tapa, jolla tieto rikkomisesta tuli valvontaviranomaisen tietoon

Tieto on tullut valvontaviranomaiselle kantelun kautta, ei rekisterinpitäjän omasta ilmoituksesta. Rekisterinpitäjän olisi riskiperusteisen lähestymistavan mukaisesti oma-aloitteisesti arvioitava, liittyykö sen toimintaan henkilötietojen käsittelyä koskevia riskejä, eikä tätä vastuuta ole mahdollista sälyttää asiakkaille tai valvontaviranomaiselle. Lieventäviä perusteita ei tältä osin näin löydy, ja riskiperusteisen arvioinnin laiminlyönti ja tämän vastuun siirtäminen käytännössä rekisteröidyille ja valvontaviranomaiselle on katsottava asiassa raskauttavaksi tekijäksi.

Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot

Rekisterinpitäjä on säästänyt kustannuksissa jättämällä sivuston suojauksen minimitoimenpiteiden varaan. Esimerkiksi yleisesti tietoliikenteen suojaamiseen käytetyn HTTPS-protokollan edellyttämä asianmukainen sertifikaatti ja laskentakapasiteetti tuovat rekisterinpitäjälle selkeitä lisäkuluja. Lisäksi verkkopalvelun monimutkaistuminen voi edellyttää taloudellista panostusta muun muassa osaamiseen ja ylläpitoon. Rekisterinpitäjän ei voida kuitenkaan katsoa saavuttaneen toimintatavallaan taloudellista voittoa.

Tapauksessa on myös huomioitava, että rekisterinpitäjällä olisi käytettävissään valtava määrä erilaisia teknisiä mahdollisuuksia asiakkaan henkilötietojen suojaamiseksi. Nyt käytössä olevat salaiset linkit ovat kuitenkin merkittävästi heikkoakin salasanaa huonompi tietoturvakontrolli.

Yhteenveto

Yleisen tietosuoja-asetuksen 83(1) artiklan mukaan sakon tulee olla tehokas, oikeasuhteinen ja varoittava. Arviointi tehdään kunkin yksittäistapauksen olosuhteiden perusteella. Yksittäistapausta tarkasteltaessa tulee arvioida, onko pyrkimyksenä pelkästään toiminnan muuttaminen lainmukaiseksi, vai onko tavoitteeksi perusteltua asettaa rekisterinpitäjän rankaiseminen lainvastaisesta toiminnasta. Sakon määrän kohdalla on puolestaan huomioitava, kohdistuuko rikkominen yleisen tietosuoja-asetuksen 83(4) artiklassa vai asetuksen 83(5) artiklassa lueteltuihin yleisen tietosuoja-asetuksen artikloihin. Porrastus kahteen eri kategoriaan muodostaa puitteet sakon enimmäismäärän asettamiselle, eikä yleisessä tietosuoja-asetuksessa ole määritelty sakkosummia esimerkiksi rikkomistyypeittäin. Rikkomisen vakavuuden arvioinnissa huomioidaan puolestaan kaikkien 83(2) artiklassa mainittujen tekijöiden yhteisvaikutus.

Rekisterinpitäjän kohdalla on perusteltua asettaa tavoitteeksi sekä toiminnan lainmukaiseksi saattaminen että rekisterinpitäjän huomion kiinnittäminen toimintatavan lainvastaisuuteen taloudellisella seuraamuksella. Koska rikkominen on ollut pitkäkestoista ja sen voi myös liikevaihtotiedot huomioiden perustellusti olettaa vaikuttaneen lukuisiin rekisteröityihin, ja koska rekisterinpitäjä ei ole ryhtynyt toimenpiteisiin tultuaan tietoiseksi epäkohdista ja rikkomisen taustalla voidaan näin ollen katsoa olevan joko rekisterinpitäjän ymmärtämättömyys tai piittaamattomuus tietosuojasääntelyn noudattamista kohtaan, pelkkää toiminnan saattamista tietosuojasääntelyn vaatimuksia vastaavaksi ei voida pitää tässä yksittäistapauksessa riittävänä. Tätä näkökantaa tukee vahvasti myös rekisterinpitäjän haluttomuus tehdä yhteistyötä valvontaviranomaisen kanssa sekä se, että kyse on ollut rekisteröidyn oikeuksia koskevan sääntelyn ja tietosuojaperiaatteiden rikkomisesta. Rekisterinpitäjä ei ole myöskään ryhtynyt minkäänlaisiin toimenpiteisiin epäkohtien korjaamiseksi.

Rekisterinpitäjän tapauksessa sakon euromääräinen yläraja muodostuu yleisen tietosuoja-asetuksen 83(5) artiklan mukaisesti, koska rikkominen kohdistuu sekä yleisen tietosuoja-asetuksen 83(4) mukaisiin (rikotut artiklat: 25 ja 32) että yleisen tietosuoja-asetuksen 83(5) mukaisiin (rikotut artiklat: 5 ja 17) säännöksiin. Artikloista 5 ja 17 tulevien velvoitteiden täyttämättä jättämistä on näin arvioitava vakavampana rikkomisena, ja kokonaisseuraamuksen määräämisessä on mahdollista soveltaa yleisen tietosuoja-asetuksen 83(5) artiklaa. Sakon määrässä on huomioitava, että se täyttää yleisen tietosuoja-asetuksen 83(1) artiklan vaatimuksen hallinnollisen sakon varoittavasta vaikutuksesta.

Raskauttavina tekijöinä on arvioinnissa huomioitava rekisterinpitäjän passiivisuus asian käsittelyssä, rekisterinpitäjän passiivisuus korjaaviin toimenpiteisiin ryhtymisessä, rekisterinpitäjän piittaamattomuus tietosuojasääntelyä kohtaan, toiminnan riskiperusteisen arvioinnin laiminlyönti, rikkomisen järjestelmällisyys, rikkomisen tahallisuus, rekisterinpitäjän passivisuus rekisteröidylle aiheutuneen vahingon lieventämistoimenpiteisiin ryhtymisessä, rekisterinpitäjän passiivisuus asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisessa, sekä rikkomisen kohdistuminen tietoihin, joiden väärinkäytöstä seuraa rekisteröidylle selkeää haittaa. Lieventävinä tekijöinä voidaan ottaa huomioon se, ettei henkilötiedoissa ole kyse artiklojen 9 ja 10 mukaisista tiedoista, eikä sivuston kautta ole myöskään kerätty alaikäisten tietoja tai hakijoiden henkilötunnuksia. Rekisterinpitäjän passiivisuuden arvioinnissa tietosuojavaltuutetun toimiston seuraamuskollegio on kiinnittänyt huomiota siihen, että rekisterinpitäjän edustama toimiala on koronaepidemian vuoksi kärsinyt poikkeuksellisista olosuhteista. Rekisterinpitäjän passiivisuus vireillesaattajan sille ilmoittamien epäkohtien korjaamisessa ja yhteistyössä valvontaviranomaisen kanssa on kuitenkin alkanut jo ennen poikkeusoloja, eikä rekisterinpitäjä ole myöskään reagoinut valvontaviranomaisen puhelimitse esittämään kehotukseen antaa asiassa selvitys. Näin ollen poikkeusolot eivät rekisterinpitäjän tapauksessa muodosta perustetta arvioida rekisterinpitäjän toimintaa toisin.

Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan b alakohdan mukaan rekisteröityjen 12–22 artiklan mukaisten oikeuksien rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotoisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Vaikka yleistä tietosuoja-asetusta on ryhdytty soveltamaan 25.5.2018, eikä henkilötietolaki ole sisältänyt vastaavaa sakkosäännöstä, sakko on mahdollista määrätä niin sanotusta jatkuvasta rikkomisesta ja näin ollen myös yleisen tietosuoja-asetuksen soveltamisen aloitusajankohtaa edeltänyt rikkominen on mahdollista huomioida.

Rekisterinpitäjälle 25.6.2020 toimitetussa kuulemispyynnössä rekisterinpitäjän tietoon on saatettu, että asia voidaan ratkaista, vaikka rekisterinpitäjä ei toimittaisi vastaustaan määräajan päättymiseen mennessä.

Hallinnollisen sakon määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksiin voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.