Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Acc Consulting Varsinais-Suomelle (Independent Consulting Oy) hallinnollisen seuraamusmaksun sähköisten suoramarkkinointiviestien lähettämisestä ilman ennalta annettua suostumusta ja rekisteröidyn oikeuksien noudattamatta jättämisestä. Yritys ei ollut vastannut rekisteröityjen oikeuksia koskeviin pyyntöihin tai toteuttanut niitä, eikä se pystynyt osoittaman käsitelleensä henkilötietoja lainmukaisesti.
Tietosuojavaltuutetun toimistoon saapui kevään ja kesän 2019 aikana vireille yksitoista kantelua yrityksen sähköisestä suoramarkkinoinnista ja rekisteröidyn yleisen tietosuoja-asetuksen mukaisten oikeuksien toteuttamatta jättämisestä. Suoramarkkinoinnin aiheena olivat erilaiset kurssit, kuten tulityö ja asbestinpurku.
Huomautus suostumuksen puuttumisesta sähköistä suoramarkkinointia varten
Rekisteröidyt ilmoittivat kanteluissa saaneensa yritykseltä suoramarkkinointiviestejä ilman, että he ovat antaneet siihen suostumustaan. Sähköisen viestinnän palveluista annetun lain (917/2014) 200 §:n mukaan suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen suostumuksensa. EU:n yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu.
Osa rekisteröidyistä on vastannut tekstiviestitse lähetettyyn markkinointiviestiin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Kiellosta huolimatta rekisteröidyt ovat kuitenkin edelleen saaneet suoramarkkinointiviestejä rekisterinpitäjältä. Rekisterinpitäjä ei siten ole toteuttanut rekisteröityjen yleisen tietosuoja-asetuksen mukaista vastustamisoikeutta suoramarkkinointiin.
Rekisterinpitäjä on katsonut kohdistaneensa sähköistä suoramarkkinointia yhteisöihin, jolloin sähköisen viestinnän palveluista annetun lain mukaan sähköiseen suoramarkkinointiin ei vaadita ennalta annettua suostumusta. Rekisterinpitäjä on kertonut, että rekisteröityjen puhelinnumerot ovat olleet sen yrityksen käytössä, jossa rekisteröity työskentelee, ja että nämä yritykset kuuluvat rekisterinpitäjän asiakassegmenttiin.
Apulaistietosuojavaltuutettu kuitenkin toteaa, että rekisterinpitäjän olisi ennen suoramarkkinoinnin kohdistamista tullut erikseen selvittää kyseisen henkilön asema yhteisössä ja arvioida etenkin, liittyvätkö markkinoidut kurssit olennaisesti henkilön työtehtäviin. Rekisterinpitäjän luonnollisiin henkilöihin kohdistaman suoramarkkinoinnin ei siis voida katsoa olleen yhteisölle kohdistettua, ja rekisterinpitäjän olisi pitänyt pyytää rekisteröidyltä sähköiseen suoramarkkinointiin suostumus.
Rekisterinpitäjälle on annettu huomautus sen käsiteltyä henkilötietoja ilman yleisen tietosuoja-asetuksen mukaista suostumusta. Lisäksi apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän korjaamaan toimintatapansa yhteisölle kohdistetun suoramarkkinoinnin osalta.
Laiminlyöntejä rekisteröidyn oikeuksien toteuttamisessa ja osoitusvelvollisuuden noudattamisessa
Osassa kanteluista on ollut lisäksi kyse siitä, että rekisteröidyt ovat esittäneet rekisterinpitäjälle yleisen tietosuoja-asetuksen mukaisia oikeuksiaan koskevia pyyntöjä. Rekisterinpitäjä ei kuitenkaan ole vastannut pyyntöihin yleisen tietosuoja-asetuksen määräämällä tavalla ilman aiheetonta viivettä ja enintään kuukauden kuluessa pyynnön vastaanottamisesta. Rekisterinpitäjä ei ole myöskään toteuttanut näitä oikeuksia koskevia pyyntöjä.
Apulaistietosuojavaltuutetun mukaan rekisterinpitäjä ei myöskään näytä järjestäneen toimintatapojaan henkilötietojen käsittelyssä niin, että se pystyisi kertomaan, onko se toteuttanut rekisteröityjen oikeudet tai vastaanottanut oikeuksia koskevia pyyntöjä. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole tämän vuoksi pystynyt osoittaman käsitelleensä henkilötietoja lainmukaisesti.
Apulaistietosuojavaltuutettu antoi yritykselle huomautuksen rekisteröidyn oikeuksien laiminlyömisestä ja toteuttamatta jättämisestä. Lisäksi apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan toimintatapojaan ja toteuttamaan rekisteröidyn oikeudet yleisen tietosuoja-asetuksen mukaisesti.
Yritykselle määrättiin seuraamusmaksu
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi yritykselle 7 000 euron suuruisen seuraamusmaksun edellä mainittujen korjaavien toimenpiteiden lisäksi. Seuraamuskollegio katsoo, että seuraamus on varoittava, tehokas ja oikeasuhtainen rikkomusten luonteeseen nähden.
Ankaroittavina seikkoina päätöksessä on otettu huomioon erityisesti teon tahallisuus, samanlaisten rikkomusten määrä lyhyellä aikavälillä, rekisterinpitäjän välinpitämättömyys tehdä yhteistyötä valvontaviranomaisen kanssa ja se, ettei rekisterinpitäjä ole osoittanut ryhtyneensä asioiden selvittämisen aikana korjaaviin toimenpiteisiin suoramarkkinoinnin ja rekisteröidyn oikeuksien toteuttamisen osalta.
Seuraamusmaksun määrää lieventävänä tekijänä on huomioitu se, että asian valmistelun yhteydessä ei ole käynyt ilmi, että rekisteröidyille olisi aiheutunut taloudellista tai muuta aineellista vahinkoa.
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksistä voi valittaa hallinto-oikeuteen, eikä se ole vielä lainvoimainen.
Apulaistietosuojavaltuutetun päätökset julkaistaan Finlexissä.
Lisätietoja:
Seuraamuskollegion päätös: tietosuojavaltuutettu Reijo Aarnio, puh. 029 566 6730, reijo.aarnio(at)om.fi
Apulaistietosuojavaltuutetun päätökset: apulaistietosuojavaltuutettu Jari Råman, puh. 029 566 6757, jari.raman(at)om.fi
Apulaistietosuojavaltuutetun päätökset:
Dnro 3425/157/2019
Dnro 3578/157/2019
Dnro 3846/157/2019
Dnro 3871/157/2019
Dnro 3891/152/2019
Dnro 3918/157/2019
Dnro 4338/157/2019
Dnro 4666/157/2019
Dnro 5973/157/2019
Dnro 6773/157/2019
Dnro 7022/157/2019
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.
Tietosuojavaltuutetun toimisto valvoo henkilötietojen käsittelyn lainmukaisuutta ja ihmisten tietosuojaoikeuksien toteutumista Suomessa sekä tekee yhteistyötä muiden EU-maiden tietosuojaviranomaisten kanssa. Tietosuojavaltuutettu edustaa Suomea Euroopan tietosuojaneuvostossa. Tietosuojavaltuutetun ja kahden apulaistietosuojavaltuutetun lisäksi toimistossa työskentelee noin 40 asiantuntijaa.
© Koodiviidakko Oy - Y-tunnus 1939962-1