Perintäyhtiölle seuraamusmaksu vakavista tietosuojarikkomuksista – yritys ei vastannut yksityishenkilöiden pyyntöihin tarkastaa omat tietonsa
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt perintäyritys Alektum Oy:lle 750 000 euron suuruisen seuraamusmaksun. Perintäyhtiö ei ollut vastannut rekisteröidyn oikeuksia koskeviin pyyntöihin. Yritys myös vaikeutti ja hidasti asian tutkintaa välttelemällä valvontaviranomaista.
Tietosuojavaltuutetun toimisto aloitti asian tutkinnan saatuaan kolme kantelua yksityishenkilöiltä. Kahdessa kantelussa kerrottiin, että Alektum Oy ei ollut vastannut pyyntöihin saada tutustua omiin tietoihin. Yksi kantelijoista oli saanut Alektum Oy:ltä vastauksen, mutta hänelle ei silti toimitettu pyydettyä jäljennöstä henkilötiedoista.
”Oikeus tutustua omiin henkilötietoihin on keskeinen tietosuojaoikeus. Jos henkilöllä ei ole pääsyä omiin tietoihinsa, hänellä ei ole mahdollisuutta esimerkiksi oikaista virheellisiä tietoja tai valvoa henkilötietojen käsittelyn lainmukaisuutta”, apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa toteaa.
Tietosuojavaltuutetun toimiston tutkinnassa kävi ilmi, että Alektum Oy oli säännönmukaisesti jättänyt vastaamatta rekisteröidyn tietosuojaoikeuksia koskeviin pyyntöihin. Henkilötietoja käsittelevällä organisaatiolla on velvollisuus vastata rekisteröidyn oikeuksia koskeviin pyyntöihin kuukauden kuluessa. Jos pyyntöjä on monta tai ne ovat monimutkaisia, rekisterinpitäjänä toimiva organisaatio voi ilmoittaa tarvitsevansa lisäaikaa enintään kaksi kuukautta.
Yhden kantelijan kohdalla Alektum Oy selitti vastaamatta jättämistä sillä, ettei se kertomansa mukaan enää käsitellyt rekisteröidyn henkilötietoja. Silloinkin yrityksen olisi pitänyt vastata pyyntöön ja kertoa, että yritys ei enää käsittele rekisteröidyn henkilötietoja. Seuraamuskollegio katsoo, että yritys ei ollut perehtynyt riittävästi tietosuojalainsäädännön vaatimuksiin ja toiminta on ilmentänyt piittaamattomuutta lainsäädännöstä.
Yritys ei noudattanut velvollisuutta tehdä yhteistyötä valvontaviranomaisen kanssa
Tutkinnan aikana tietosuojavaltuutetun toimisto pyrki monin eri keinoin kuulemaan Alektum Oy:tä. Seuraamuskollegio katsoo, että yritys on ollut haluton antamaan selvitystä toiminnastaan ja toimimaan yhteistyössä tietosuojavaltuutetun toimiston kanssa. Tietosuoja-asetuksen mukaan rekisterinpitäjänä toimivan organisaation on tehtävä yhteistyötä valvontaviranomaisen kanssa ja toimitettava tietosuojaviranomaisen pyytämät tiedot.
Seuraamuskollegio otti arvioinnissaan huomioon, että asiassa oli kyse myös henkilöiden oikeusturvasta. Perintäkulut voidaan viime kädessä panna täytäntöön viranomaisen pakkokeinoin, ja velallisella on oikeus tietää perintään liittyvän oikeudellisen vaatimuksen uhasta.
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset eivät ole vielä lainvoimaisia. Niihin voi hakea muutosta valittamalla hallinto-oikeuteen.
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset (pdf)
Lisätietoja:
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa, helja-tuulia.pihamaa(at)om.fi, puh. 029 566 6787
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.