Yritykselle seuraamusmaksu ilman suostumusta harjoitetusta suoramarkkinoinnista robottipuheluiden avulla
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt aikakauslehtikustantamolle hallinnollisen seuraamusmaksun suoramarkkinointiin liittyvistä tietosuojarikkomuksista. Kustannusyritys on harjoittanut lehteä koskevaa suoramarkkinointia automatisoidulla soittojärjestelmällä eli niin sanotuilla robottipuheluilla ilman puheluiden vastaanottajien suostumusta. Robottipuheluissa ei ole varmistuttu siitä, että rekisteröity pystyy käyttämään tietosuojaoikeuksiaan. Lisäksi rekisterinpitäjä ja sen lukuun suoramarkkinointipuheluita toteuttanut alihankkijayritys eivät olleet laatineet yleisen tietosuoja-asetuksen edellyttämää käsittelysopimusta suoramarkkinoinnin toteuttamiselle.
Tietosuojavaltuutetun toimisto on saanut neljä kantelua henkilöiltä, jotka ovat kertoneet saaneensa suoramarkkinointia rekisterinpitäjän kustantamasta lehdestä robottipuheluiden muodossa. Kantelijat eivät ole pystyneet käyttämään yleisen tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksiaan, sillä robotti ei esimerkiksi ole ymmärtänyt kysymystä siitä, mistä rekisteröityjen henkilötiedot on saatu.
Myös Kilpailu- ja kuluttajavirasto on saanut noin sata vastaavanlaista kantelua. Kanteluista käy ilmi, etteivät puheluita vastaanottaneet henkilöt ole myöskään pystyneet käyttämään oikeuttaan vastustaa henkilötietojen käsittelyä suoramarkkinointitarkoituksiin.
Suostumuksen on oltava vapaaehtoinen ja rekisteröidyn oikeuksia on voitava käyttää
Rekisterinpitäjä on kertomansa mukaan kerännyt suostumuksen suoramarkkinointiin muun muassa verkkosivuillaan lehtitilauksen yhteydessä. Lehden tilaajan on pitänyt hyväksyä tilaus- ja sopimusehdot, jotka ovat pitäneet sisällään suostumuksen suoramarkkinointiin. Jos suostumusta suoramarkkinointiin ei annettu, ei lehtitilausta voinut tehdä.
Suostumus ja sen keräämisen tapa eivät olleet tietosuoja-asetuksen mukaisia, sillä suostumusta ei ole pyydetty erikseen suoramarkkinointia varten, eikä yhdessä tilaus- ja sopimusehtojen kanssa kerätty suostumus ole ollut vapaaehtoinen. Lisäksi ehdoissa ei ole kerrottu läpinäkyvästi, millä tavalla henkilötietoja käsitellään suoramarkkinointiin. Rekisterinpitäjä ei ole myöskään huolehtinut siitä, että puheluita vastaanottaneet rekisteröidyt pystyvät käyttämään heille kuuluvia oikeuksia suoramarkkinoinnin yhteydessä.
Tietosuojavaltuutettu on päätöksessään kieltänyt pysyvästi edellä mainitun suostumuksen perusteella kerättyjen henkilötietojen käsittelyn sähköistä suoramarkkinointia varten. Yritys on lopettanut kyseisen lehden kustantamisen.
Henkilötietojen käsittelysopimusta ei ollut laadittu
Suoramarkkinointipuheluita rekisterinpitäjän lukuun on toteuttanut alihankkijayritys. Alihankkija on tällöin toiminut henkilötietojen käsittelijän roolissa. Osapuolet eivät kuitenkaan olleet laatineet tietosuoja-asetuksen mukaista sopimusta, jossa määritellään henkilötietojen käsittelijän suorittama henkilötietojen käsittely rekisterinpitäjän lukuun.
Tietosuojavaltuutettu antoi alihankkijana toimineelle yritykselle huomautuksen henkilötietojen käsittelijälle kuuluvan velvollisuuden laiminlyömisestä, sillä alihankkijan liiketoiminta on perustunut nimenomaisesti eri päämiesten lukuun harjoitettuun suoramarkkinointiin.
Seuraamusmaksun määräämisessä huomioitiin rekisterinpitäjän vastuu käsittelysopimuksen laatimisesta
Seuraamuskollegio määräsi rekisterinpitäjälle 8 500 euron suuruisen hallinnollisen seuraamusmaksun. Hallinnollisen seuraamusmaksun määräämistä puolsivat erityisesti rikkomusten vakavuus, luonne, kesto, rekisteröityjen määrä ja teon tahallisuus.
Seuraamuskollegio katsoi, että alihankkijayrityksen osalta sakon määrääminen olisi ollut rikkomuksen vakavuuteen nähden tehokasta ja varoittavaa, mutta se ei olisi ollut oikeasuhtaista. Päävastuu henkilötietojen käsittelysopimuksen laatimisesta on kuitenkin ollut rekisterinpitäjällä, sillä kyse on ollut rekisterinpitäjän puolesta tapahtuvasta henkilötietojen käsittelystä. Lisäksi kollegio otti arvioinnissaan huomioon yrityksen liikevaihdon ja käräjäoikeuteen vireille saatetun konkurssihakemuksen.
Päätökset eivät ole vielä lainvoimaisia ja niistä voi valittaa hallinto-oikeuteen.
Seuraamuskollegion päätös Finlexissä
Lisätietoja:
tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.