Apulaistietosuojavaltuutettu: osakasluettelon tietoja ei saa luovuttaa puhelinpalvelun kautta
Apulaistietosuojavaltuutettu on määrännyt Euroclear Finland Oy:n muuttamaan osakasluettelon tietojen luovuttamista koskevan toimintansa tietosuojasääntelyä vastaavaksi. Osakasluettelon tietojen luovuttamista puhelinpalvelun kautta ei ole katsottu lainmukaiseksi. Yritys ole myöskään noudattanut rekisterinpitäjän velvollisuuksia tai mahdollistanut rekisteröidyn oikeuksien toteutumista luovuttaessaan osakasluettelon tietoja suoramarkkinointitarkoituksiin.
Tietosuojavaltuutetun toimistoon saapuneessa kantelussa vireillesaattaja kertoi epäilevänsä, ettei Euroclear Finland Oy:n toiminta osakastietojen luovuttamisessa täytä tietosuojasääntelyn vaatimuksia. Yritys on tarjonnut puhelinpalvelua, jonka kautta se on luovuttanut osakeyhtiöiden ja osuuskuntien osakasluettelosta saatuja tietoja.
Tietojen luovuttaminen puhelinpalvelussa ei ollut lainmukaista
Yritys on kertonut ylläpitävänsä laissa vaadittuja julkisia osakasluetteloita ja katsonut puhelinpalvelun rinnastuvan osakasluetteloiden julkiseen nähtävillä pitoon toimipisteillä.
Osakeyhtiöiden ja osuuskuntien osakasluetteloiden julkisuuden toteuttamisen tavoista on kuitenkin säädetty laissa nimenomaisesti, eikä puhelinpalvelu kuulu näihin tietojen luovuttamistapoihin.
Yrityksen tapa käsitellä henkilötietoja ei ole vastannut yleisessä tietosuoja-asetuksessa kohtuulliselle tietojenkäsittelylle asetettuja vaatimuksia. Yritys ei ole myöskään ymmärtänyt toimivansa rekisterinpitäjän asemassa.
Yritys ei ole arvioinut tietosuoja-asetuksen mukaista rooliaan oikein
Euroclear on katsonut toimivansa puhtaasti henkilötietojen käsittelijänä, ja rekisterinpitäjänä puolestaan on Euroclearin näkemyksen mukaan toiminut osakeyhtiö tai osuuskunta. Euroclear on kuitenkin tehnyt sellaisia henkilötietojen käsittelyä koskevia päätöksiä, jotka kuuluvat rekisterinpitäjälle.
Osakasluettelosta saatujen tietojen luovuttaminen suoramarkkinointiin on Euroclearin mukaan ollut mahdollista, koska osakeyhtiölain mukaan osakasluettelosta tai sen osasta voi luovuttaa jäljennöksiä, eikä laissa rajata sitä, mihin tarkoituksiin tietoja voidaan luovuttaa.
Henkilötietojen käsittelijä ei kuitenkaan voi itsenäisesti päättää tietojen luovutuksesta, vaan sen tulee käsitellä henkilötietoja rekisterinpitäjän antaman ohjeistuksen mukaisesti. Käsittelijä on näin tässä kohtaa muuttunut oman toimintansa myötä rekisterinpitäjäksi ja sen olisi pitänyt alkaa toteuttaa yleisen tietosuoja-asetuksen mukaisia rekisterinpitäjän velvollisuuksia.
Rekisteröityä on informoitava tietojen luovutuksesta suoramarkkinointiin
Euroclear ei ole katsonut velvollisuudekseen informoida rekisteröityjä tietojen luovutuksesta suoramarkkinointitarkoituksiin, vaikka rekisterinpitäjän roolissa sillä olisi ollut informointivelvollisuus.
Informointi suoramarkkinoinnista on Euroclearin mukaan hoidettu kertomalla suoramarkkinointikiellosta sen verkkosivuilla ja arvo-osuusrekisterin rekisteriselosteessa. Pelkkä maininta suoramarkkinoinnista verkkosivuilla tai rekisteriselosteessa ei kuitenkaan lähtökohtaisesti riitä, jos tätä tietoa ei ole tuotu esille samassa yhteydessä, kun henkilötietoja on kerätty. Asianmukaisen informoinnin puuttuessa rekisteröidyt eivät ole voineet käyttää heille kuuluvaa henkilötietojen käsittelyn vastustamisoikeutta.
Apulaistietosuojavaltuutettu antoi yritykselle huomautuksen tietosuoja-asetuksen rikkomisesta ja määräsi sen saattamaan henkilötietojen käsittelytoimet lainmukaisiksi.
Päätöksestä voi valittaa hallinto-oikeuteen, joten se ei ole lainvoimainen.
Apulaistietosuojavaltuutetun päätös Finlexissä
Lisätietoja:
apulaistietosuojavaltuutettu Jari Råman, jari.raman(at)om.fi, puh. 029 566 6757