Yritykselle seuraamusmaksu sähköisen suoramarkkinoinnin harjoittamisesta ilman ennalta annettua suostumusta ja rekisteröidyn oikeuksien laiminlyönnistä
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Acc Consulting Varsinais-Suomelle (Independent Consulting Oy) hallinnollisen seuraamusmaksun sähköisten suoramarkkinointiviestien lähettämisestä ilman ennalta annettua suostumusta ja rekisteröidyn oikeuksien noudattamatta jättämisestä. Yritys ei ollut vastannut rekisteröityjen oikeuksia koskeviin pyyntöihin tai toteuttanut niitä, eikä se pystynyt osoittamaan käsitelleensä henkilötietoja lainmukaisesti.
Tietosuojavaltuutetun toimistoon saapui kevään ja kesän 2019 aikana vireille yksitoista kantelua yrityksen sähköisestä suoramarkkinoinnista ja rekisteröidyn yleisen tietosuoja-asetuksen mukaisten oikeuksien toteuttamatta jättämisestä. Suoramarkkinoinnin aiheena olivat erilaiset kurssit, kuten tulityö ja asbestinpurku.
Huomautus suostumuksen puuttumisesta sähköistä suoramarkkinointia varten
Rekisteröidyt ilmoittivat kanteluissa saaneensa yritykseltä suoramarkkinointiviestejä ilman, että he ovat antaneet siihen suostumustaan. Sähköisen viestinnän palveluista annetun lain (917/2014) 200 §:n mukaan suoramarkkinointia saa kohdistaa vain sellaisiin luonnollisiin henkilöihin, jotka ovat antaneet siihen suostumuksensa. EU:n yleisen tietosuoja-asetuksen 4 artiklan 11 kohdan mukaan suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu.
Osa rekisteröidyistä on vastannut tekstiviestitse lähetettyyn markkinointiviestiin rekisterinpitäjän pyytämällä tavalla kieltääkseen suoramarkkinoinnin. Kiellosta huolimatta rekisteröidyt ovat kuitenkin edelleen saaneet suoramarkkinointiviestejä rekisterinpitäjältä. Rekisterinpitäjä ei siten ole toteuttanut rekisteröityjen yleisen tietosuoja-asetuksen mukaista vastustamisoikeutta suoramarkkinointiin.
Rekisterinpitäjä on katsonut kohdistaneensa sähköistä suoramarkkinointia yhteisöihin, jolloin sähköisen viestinnän palveluista annetun lain mukaan sähköiseen suoramarkkinointiin ei vaadita ennalta annettua suostumusta. Rekisterinpitäjä on kertonut, että rekisteröityjen puhelinnumerot ovat olleet sen yrityksen käytössä, jossa rekisteröity työskentelee, ja että nämä yritykset kuuluvat rekisterinpitäjän asiakassegmenttiin.
Apulaistietosuojavaltuutettu kuitenkin toteaa, että rekisterinpitäjän olisi ennen suoramarkkinoinnin kohdistamista tullut erikseen selvittää kyseisen henkilön asema yhteisössä ja arvioida etenkin, liittyvätkö markkinoidut kurssit olennaisesti henkilön työtehtäviin. Rekisterinpitäjän luonnollisiin henkilöihin kohdistaman suoramarkkinoinnin ei siis voida katsoa olleen yhteisölle kohdistettua, ja rekisterinpitäjän olisi pitänyt pyytää rekisteröidyltä sähköiseen suoramarkkinointiin suostumus.
Rekisterinpitäjälle on annettu huomautus sen käsiteltyä henkilötietoja ilman yleisen tietosuoja-asetuksen mukaista suostumusta. Lisäksi apulaistietosuojavaltuutettu velvoittaa rekisterinpitäjän korjaamaan toimintatapansa yhteisölle kohdistetun suoramarkkinoinnin osalta.
Laiminlyöntejä rekisteröidyn oikeuksien toteuttamisessa ja osoitusvelvollisuuden noudattamisessa
Osassa kanteluista on ollut lisäksi kyse siitä, että rekisteröidyt ovat esittäneet rekisterinpitäjälle yleisen tietosuoja-asetuksen mukaisia oikeuksiaan koskevia pyyntöjä. Rekisterinpitäjä ei kuitenkaan ole vastannut pyyntöihin yleisen tietosuoja-asetuksen määräämällä tavalla ilman aiheetonta viivettä ja enintään kuukauden kuluessa pyynnön vastaanottamisesta. Rekisterinpitäjä ei ole myöskään toteuttanut näitä oikeuksia koskevia pyyntöjä.
Apulaistietosuojavaltuutetun mukaan rekisterinpitäjä ei myöskään näytä järjestäneen toimintatapojaan henkilötietojen käsittelyssä niin, että se pystyisi kertomaan, onko se toteuttanut rekisteröityjen oikeudet tai vastaanottanut oikeuksia koskevia pyyntöjä. Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjä ei ole tämän vuoksi pystynyt osoittaman käsitelleensä henkilötietoja lainmukaisesti.
Apulaistietosuojavaltuutettu antoi yritykselle huomautuksen rekisteröidyn oikeuksien laiminlyömisestä ja toteuttamatta jättämisestä. Lisäksi apulaistietosuojavaltuutettu määräsi yrityksen muuttamaan toimintatapojaan ja toteuttamaan rekisteröidyn oikeudet yleisen tietosuoja-asetuksen mukaisesti.
Yritykselle määrättiin seuraamusmaksu
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi yritykselle 7000 euron suuruisen seuraamusmaksun edellä mainittujen korjaavien toimenpiteiden lisäksi. Seuraamuskollegio katsoo, että seuraamus on varoittava, tehokas ja oikeasuhtainen rikkomusten luonteeseen nähden.
Ankaroittavina seikkoina päätöksessä on otettu huomioon erityisesti teon tahallisuus, samanlaisten rikkomusten määrä lyhyellä aikavälillä, rekisterinpitäjän välinpitämättömyys tehdä yhteistyötä valvontaviranomaisen kanssa ja se, ettei rekisterinpitäjä ole osoittanut ryhtyneensä asioiden selvittämisen aikana korjaaviin toimenpiteisiin suoramarkkinoinnin ja rekisteröidyn oikeuksien toteuttamisen osalta.
Seuraamusmaksun määrää lieventävänä tekijänä on huomioitu se, että asian valmistelun yhteydessä ei ole käynyt ilmi, että rekisteröidyille olisi aiheutunut taloudellista tai muuta aineellista vahinkoa.
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksistä voi valittaa hallinto-oikeuteen, eivätkä ne ole vielä lainvoimaisia.
Apulaistietosuojavaltuutetun päätökset ovat luettavissa Finlexissä.
Lisätietoja:
Seuraamuskollegion päätös: tietosuojavaltuutettu Reijo Aarnio, puh. 029 566 6730, reijo.aarnio(at)om.fi
Apulaistietosuojavaltuutetun päätökset: apulaistietosuojavaltuutettu Jari Råman, puh. 029 566 6757, jari.raman(at)om.fi
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.