Henkilötietojen käsittely toisen rekisterinpitäjän palvelujen markkinoimiseksi
- Asiasanat
- suoramarkkinointi
- Tapausvuosi
- 2023
- Antopäivä
- Diaarinumero
- TSV/35/2022
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun päätös
Asia
Opiston opiskelijoiden henkilötietojen käsittely toisen rekisterinpitäjän tarjoamien kurssien markkinoimiseksi
Rekisterinpitäjä
Opiston ylläpitäjä
Vireillesaattajan vaatimukset perusteluineen
Tietosuojavaltuutetun toimistossa saatettiin 20.4.2022 vireille asia, joka koski opiskelijan henkilötietojen käsittelyä opistossa. Vireillesaattaja kertoi, että hän oli ilmoittautunut opiston järjestämälle kurssille, jonka järjestäminen oli 10.2.2022 peruutettu. Hän oli sen jälkeen saanut opiston käyttämän tietojärjestelmän kautta sähköpostiviestin, jossa pahoiteltiin kevään kurssien peruuntumista ja mainostettiin ulkopuolisen tahon tarjoamia kursseja hintoineen. Vireillesaattaja kertoi, ettei hän ollut antanut tällaiseen tietojensa luovuttamiseen suostumustaan.
Rekisterinpitäjän selvitys
Tietosuojavaltuutetun toimisto pyysi rekisterinpitäjältä selvitystä 4.7.2023 päivätyllä selvityspyynnöllä. Rekisterinpitäjä antoi asiassa 10.8.2023 selvityksen.
Rekisterinpitäjän antaman selvityksen mukaan opisto, josta lähetetystä viestistä asiassa oli kyse, on kaupungin ylläpitämä oppilaitos. Opiston tehtävänä on järjestää toimialueellaan vapaan sivistystyön koulutusta. Toimintaa ohjaa vapaasta sivistystyöstä annettu laki (632/1998). Osallistuminen koulutuksiin edellyttää ilmoittautumista kursseille ja siinä yhteydessä henkilötietojen antamista.
Selvityksen mukaan vireillesaattaja antoi itse sähköpostiosoitteensa opiston kurssille ilmoittautumisen yhteydessä. Opistossa viestin lähettämisaikaan työskennellyt tuntiopettaja lähetti omalle opetusryhmälleen opiston tietojärjestelmästä sähköpostiviestin, joka lähti jokaiselle ryhmän jäsenelle erikseen. Selvityksessä kerrottiin, että viestissä kyseisen ryhmän tuntiopettaja mainosti omaa kesäaikaista opetustoimintaa toisen työnantajan palveluksessa. Selvityksessä todettiin, että kyseisen viestin lähettäminen ei liittynyt opiston toimintaan. Rekisterinpitäjä totesi, että viesti oli lähetetty vastoin opiston ohjeita. Rekisterinpitäjä kertoi selvityksessään, että henkilökuntaa on ohjeistettu ja koulutettu tietosuoja-asioissa ja tapahtumaa on selvitetty työntekijän kanssa.
Vireillesaattajan vastine
Tietosuojavaltuutetun toimisto pyysi 22.8.2023 vireillesaattajalta vastinetta rekisterinpitäjän antamasta selvityksestä. Vireillesaattaja totesi 25.8.2023 antamassaan vastineessa, että opiston ohjeista huolimatta hänen henkilötietojaan on käytetty kolmannen osapuolen toiminnan markkinointiin.
Sovellettavasta lainsäädännöstä
Henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus), joka on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Tietosuoja-asetus sisältää kansallista liikkumavaraa, minkä perusteella kansallisella lainsäädännöllä voidaan täydentää ja täsmentää asetuksessa nimenomaan määriteltyjä seikkoja. Tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018).
Rekisterinpitäjällä tarkoitetaan tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti (lainmukaisuus). Henkilötiedot on saman artiklan 1 kohdan b alakohdan mukaisesti kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla (käyttötarkoitussidonnaisuus). Tietosuoja-asetuksen 4 artiklan 10 kohdan mukaan kolmannella osapuolella tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta toimielintä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää ja henkilöä, joilla on oikeus käsitellä henkilötietoja suoraan rekisterinpitäjän tai henkilötietojen käsittelijän välittömän vastuun alaisena.
Tietosuoja-asetuksen 86 artikla mahdollistaa virallisten asiakirjojen julkisuuden ja tietosuoja-asetuksen mukaisen oikeuden henkilötietojen suojaan yhteensovittamisen. Tietosuojalain 28 §:n mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Viranomaisen henkilörekisteristä saa viranomaisten toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) 16 §:n 3 momentin mukaan luovuttaa henkilötietoja suoramarkkinointia ja mielipide- tai markkinatutkimusta varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa.
Julkisuuslaki on säädetty ennen kuin tietosuoja-asetusta alettiin soveltaa. Silloin henkilörekisteri oli määritelty tietosuojalailla kumotun henkilötietolain (523/1999) 3 §:n 3 kohdassa. Opiskelijarekisteri, johon myös tiedot opiskelijan antamista yhteystiedoista merkitään, oli henkilötietolaissa määritelty henkilörekisteri. Tietosuoja-asetuksessa ei ole vastaavaa henkilörekisterin määritelmää. Apulaistietosuojavaltuutettu katsoo, että vaikka julkisuuslain 16 §:n 3 momentin soveltaminen on edellä mainitusta syystä jossain määrin tulkinnanvaraista, asialla ei kuitenkaan ole ratkaisevaa merkitystä käsillä olevan asian arvioinnissa. Henkilötietojen luovuttaminen on tietosuoja-asetuksen 4 artiklan 2 kohdan perusteella henkilötietojen käsittelyä.
Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (osoitusvelvollisuus). Lainmukaisuuden ja käyttötarkoitussidonnaisuuden periaatteet ovat artiklan 1 kohdan mukaisia tietosuojaperiaatteita.
Oikeudellinen kysymys
Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti tietosuoja-asetuksen (EU) 2016/679, tietosuojalain ja vapaasta sivistystyöstä annetun lain pohjalta. Asiassa on ratkaistava, onko rekisterinpitäjä (koulutuksen järjestäjä) noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohtaa (lainmukaisuuden periaate) ja b alakohtaa (käyttötarkoitussidonnaisuus) sekä 2 kohtaa, kun sen käyttämästä tietojärjestelmästä on lähetetty oppilaitoksen opiskelijoille sähköpostiviesti, jossa on kerrottu kolmannen osapuolen järjestämistä kursseista.
Apulaistietosuojavaltuutetun päätös
Päätös
Kaupungin ylläpitämän opiston (vapaan sivistystyön oppilaitos) käyttämästä tietojärjestelmästä lähetettiin sen kurssille ilmoittautuneille sähköpostiviesti, jossa kerrottiin toisen organisaation järjestämistä kursseista hintatietoineen. Apulaistietosuojavaltuutettu katsoo, että opiston opiskelijoiden henkilötietoja on käytetty käyttötarkoitussidonnaisuuden vastaisesti, kun heille on lähetetty opistosta tällainen viesti, joka ei liity mitenkään opiston toimintaan. Opiston opiskelijoiden henkilötietoja on käsitelty myös lainvastaisesti, kun viestinnän tavoitteena on ollut kolmannen osapuolen tarjoamien liikuntapalveluiden kysynnän edistäminen. Vaikka henkilötietoja ei ole tosiasiallisesti luovutettu toiselle organisaatiolle, ne on saatettu toisen organisaation käyttöön ilman lainmukaista perustetta. Kyse on luovutukseen verrattavasta tapahtumasta.
Rekisterinpitäjä (opisto) ei ole noudattanut tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohtaa (lainmukaisuuden periaate) eikä b alakohtaa (käyttötarkoitussidonnaisuuden periaate) eikä 5 artiklan 2 kohdassa säädettyä, kun sen opiskelijoiden henkilötietoja on käytetty edellä kerrotun sähköpostiviestin lähettämiseen.
Huomautus
Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen siitä, että se ei ole noudattanut tietosuoja-asetusta edellä mainituin osin, kun sen opiskelijoiden henkilötietoja on käytetty sähköpostiviestiviestintään, jonka tavoitteena on ollut toisen organisaation liikuntapalveluiden kysynnän edistäminen.
Perustelut
Käsillä oleva asia liittyy opiston opiskelijoiden henkilötietojen käsittelyyn. Opiston toimintaan sovelletaan rekisterinpitäjän selvityksen mukaan vapaasta sivistystyöstä annettua lakia (632/1998). Kaupunki on oppilaitoksen ylläpitäjä (vapaasta sivistystyöstä annetun lain 4 §) ja samalla myös tietosuoja-asetuksen 4 artiklan 7 kohdan mukainen rekisterinpitäjä. Rekisterinpitäjän vastuusta säädetään yleisellä tasolla tietosuoja-asetuksen 24 artiklassa, jota tulkitaan yhdessä muiden rekisterinpitäjän velvollisuuksia koskevien säännösten kanssa.
Vireillesaattaja antoi rekisterinpitäjältä saadun tiedon mukaan sähköpostiosoitteensa ilmoittautuessaan opiston kurssille. Osallistuminen koulutuksiin edellyttää rekisterinpitäjän selvityksen mukaan toiminnassa tarpeellisten henkilötietojen käsittelyä. Rekisterinpitäjän tulee tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaisesti määritellä henkilötietojen käsittelyn tarkoitukset. Henkilötietoja ei saa myöhemmin käsitellä rekisterinpitäjän määrittelemien käyttötarkoitusten vastaisesti (kts. myös tietosuoja-asetuksen 6 artiklan 4 kohta).
Henkilötietojen luovuttaminen toiselle rekisterinpitäjälle edellyttää lainmukaista perustetta. Opiston ylläpitäjänä on kaupunki, joka on julkisuuslain 4 §:n 1 momentin 4 kohdan mukaisesti laissa tarkoitettu viranomainen. Julkisuuslain 16 §:n 3 momentin mukaan henkilötietoja saa luovuttaa suoramarkkinointia varten vain, jos niin erikseen säädetään tai jos rekisteröity on antanut siihen suostumuksensa (Kts. myös sähköisen viestinnän palveluista annetun lain (917/2014) 200 §).
Sähköpostiviesti, jonka lähettämisestä asiassa on kyse, on selvityksestä saadun tiedon perusteella lähetetty opiston käyttämästä tietojärjestelmästä ja sen lähetti opiston työntekijä. Rekisterinpitäjän selvityksen mukaan viestin lähettäminen ei kuitenkaan liittynyt opiston toimintaan. Viestissä kerrottiin toisen organisaation liikuntatarjonnasta hinnoitteluperusteineen. Viestin lähettäjä toimi opettajana näissä molemmissa organisaatioissa. Viesti lähetettiin rekisterinpitäjän selvityksen mukaan vastoin opiston antamaa ohjeistusta. Rekisterinpitäjän laatimassa tietosuojaselosteessa todetaan, että rekisterissä olevia tietoja ei luovuteta ulkopuolisille tahoille suoramarkkinointiin.
Apulaistietosuojavaltuutettu toteaa, että organisaatio, jonka toiminnasta kertova viesti lähetettiin opiston kurssille ilmoittautuneille, on opistosta erillinen rekisterinpitäjä. Suoramarkkinointia ei ole määritelty tietosuoja-asetuksessa eikä julkisuuslaissa. Apulaisvaltuutettu katsoo, että käsillä olevassa asiassa opiston tietojärjestelmästä lähetetyn sähköpostiviestin tarkoituksena on ollut edistää toisen organisaation tarjoamien palveluiden kysyntää. Julkisuuslain 16 §:n 3 momentin mukaan henkilötietojen luovuttaminen suoramarkkinointiin edellyttää viranomaistoiminnassa suostumuksen pyytämistä rekisteröidyltä. Vaikka sähköpostiviestin lähettämiseksi tarvittavia sähköpostisosoitteita ei luovutettu toiselle organisaatiolle, viesti lähetettiin tosiasiallisesti tämän toisen organisaation tarjoamien liikuntapalveluiden kysynnän edistämiseksi. Kyse on vaikutuksiltaan opiskelijoiden henkilötietojen luovuttamiseen verrattavasta tapahtumasta.
Apulaistietosuojavaltuutettu katsoo, että opiston opiskelijoiden henkilötietojen käsittely kyseisen viestin lähettämiseksi on ollut tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa määritellyn käyttötarkoitussidonnaisuuden vastaista, koska henkilötietojen käsittely ei ole liittynyt mitenkään opiston toimintaan eikä käsittelylle ole ollut olemassa muitakaan lainmukaisia perusteita. Henkilötietojen käsittely on ollut myös tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädetyn lainmukaisuuden periaatteen vastaista, koska opiskelijoiden henkilötietojen luovuttamiselle ei ole ollut olemassa julkisuuslain 16 §:n 3 momentin mukaista perustetta. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdassa tarkoitetun huomautuksen, koska käsittelytoimet ovat edellä kerrotuilla tavoilla olleet tietosuoja-asetuksen säännösten vastaisia.
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätöksen on antanut apulaistietosuojavaltuutettu Annina Hautala.
Apulaistietosuojavaltuutetun ohjaus
Tietosuoja-asetuksen 25 artiklan 1 kohdan mukaan rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet. Apulaistietosuojavaltuutettu kiinnittää rekisterinpitäjän huomiota siihen, että rekisterinpitäjän on myös tietosuoja-asetuksen 32 artiklan 4 kohdan mukaan toteutettava toimenpiteet sen varmistamiseksi, että jokainen rekisterinpitäjän alaisuudessa toimiva luonnollinen henkilö, jolla on pääsy henkilötietoihin, käsittelee niitä ainoastaan rekisterinpitäjän ohjeiden mukaisesti (kts. myös tietosuoja-asetuksen 29 artikla). Osana asianmukaisia suojatoimenpiteitä rekisterinpitäjän on huolehdittava, että rekisterinpitäjän alaisuudessa toimivilla luonnollisilla henkilöillä on riittävä ymmärrys ja osaaminen henkilötietojen käsittelystä ja tietosuojasta.
Tähän ohjaukseen ei voi hakea muutosta.