Tietoturva
Teksti: Jyri Paasonen

Pois pois postin tieltä, posti se kulkee keskellä tietä

Posti Group Oyj (Posti) on ollut esillä henkilötietojen käsittelyyn liittyen, kun tietosuojavaltuutetun toimistoon tehtiin kahdeksan kantelua koskien Postin muuttoilmoitustietoja aikavälillä 24.2.2017–15.1.2020.

Otsikon hokema on historiaa siitä, että postitorven käyttäjille piti antaa vapaa kulku teillä. Postitorven käyttöön liittyi muitakin etuuksia, kuten lauttureiden piti kuljettaa posti maksutta jokien yli ja kaupunkien portit piti avata postinkuljettajille öisinkin. 

Posti Group Oyj (Posti) on ollut esillä henkilötietojen käsittelyyn liittyen, kun tietosuojavaltuutetun toimistoon tehtiin kahdeksan kantelua koskien Postin muuttoilmoitustietoja aikavälillä 24.2.2017–15.1.2020. Näistä asioista kuusi on saatettu vireille henkilötietolain voimassaoloaikana ja kaksi yleisen tietosuoja-asetuksen soveltamisen aloittamisen jälkeen.  

Kussakin asiassa on ollut kysymys siitä, että tehdyn osoitteenmuutosilmoituksen jälkeen rekisteröity on saanut yhteydenottoja ja suoramarkkinointia eri yrityksiltä. Tietosuojarikkomukseksi katsottiin vuosina 2017–2019 tehdyt osoitteenmuutosilmoitukset, joiden aikana rekisteröidyille ei ollut informoitu tuote-ehtoja eivätkä ne tulleet aidosti rekisteröidyn hyväksyttäväksi, koska rekisteröidyt eivät tienneet oikeudesta kieltää tietojensa luovuttamista.  

Apulaistietosuojavaltuutettu ja seuraamuskollegio antoivat vuonna 2020 Postille 100 000 euron hallinnollisen seuraamusmaksun osoitetietojen automaattisesta luovuttamisesta ostopalveluna suoramarkkinointiyrityksille.  

Hallinto-oikeuden päätös 

Posti valitti päätöksestä hallinto-oikeuteen. Helsingin hallinto-oikeus on antamallaan päätöksellä 2.11.2021 (nro H5413/2021) hylännyt Postin valituksen apulaistietosuojavaltuutetun päätöksestä ja kumonnut yhtiön valituksen seuraamuskollegion päätöksen hallinnollisen seuraamusmaksun määräämisestä.  

Hallinto-oikeuden päätöksen perusteluissa on seuraamusmaksua koskevan ratkaisun osalta todettu, että kyseessä oleva rikkominen on koskenut suurta määrää rekisteröityjä ja jatkunut varsin pitkään. Hallinto-oikeus on kuitenkin päätöksessä kuvatulla tavalla todennut kyseessä olevan rikkomisen olleen osin tulkinnanvarainen.  

Hallinto-oikeuden mukaan seuraamusmaksun määrääminen Postille annetun huomautuksen lisäksi oli tehokasta ja varoittavaa. Hallinto-oikeus on päätöksessä kuvattujen seikkojen punninnan perusteella kuitenkin katsonut, että seuraamusmaksun määräämistä ei rikkomisen laatu ja sen rekisteröityihin kohdistuvat vaikutukset huomioiden kokonaisuutenakaan arvioiden voida pitää oikeasuhteisena seuraamuksena.  

Tähän nähden hallinto-oikeus on katsonut yleisen tietosuoja-asetuksen 83 artiklan 1 ja 2 kohtien perusteella, että seuraamuskollegiolla ei ole tässä tapauksessa ollut perusteita määrätä Postille seuraamusmaksua.

Korkeimman hallinto-oikeuden päätös 

Tietosuojavaltuutettu pyysi korkeimmalta hallinto-oikeudelta lupaa valittaa Helsingin hallinto-oikeuden päätöksestä. Tietosuojavaltuutettu vaati valituksessaan, että hallinto-oikeuden päätös kumotaan siltä osin kuin seuraamuskollegion päätös seuraamusmaksun määräämisestä on kumottu ja seuraamuskollegion päätös saatetaan voimaan.  

Korkein hallinto-oikeus myönsi valitusluvan ja antoi päätöksensä 12.9.2023 (KHO:2023:81). Korkein hallinto-oikeus katsoi, että yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa ja 13 artiklan 1 ja 2 kohdassa, joissa käytetään ilmaisua ”tietojen toimittaminen”, edellytettiin rekisterinpitäjältä aktiivisia toimenpiteitä sanotuissa kohdissa tarkoitettujen tietojen saattamiseksi rekisteröityjen tietoon.  

Postin ei ole voitu katsoa saattaneen tietoja edellä tarkoitetusta tietojen luovuttamisesta tietyille organisaatioille ja oikeudesta kieltää mainittu yhteystietojen luovuttaminen aktiivisin toimenpitein selkeästi niille sähköisen muuttoilmoituksen tehneille henkilöille, jotka eivät olleet saaneet postinohjauspalveluiden tuote-ehtoja hyväksyttäväkseen.  

Korkein hallinto-oikeus katsoi lisäksi, että seuraamuskollegio oli yleisen tietosuoja-asetuksen rikkomisen takia voinut määrätä Postille 100 000 euron suuruisen hallinnollisen seuraamusmaksun. Korkein hallinto-oikeus korosti seuraamusmaksun edellytysten arvioinnissaan, että Postin sähköisellä osoitteenmuutospalvelulla oli erittäin paljon käyttäjiä, joiden tietotekniset valmiudet vaihtelivat.

Hallinnolliset seuraamusmaksut herättävät keskustelua 

Hallinnolliset seuraamusmaksut ovat olleet viime vuosien aikana vilkkaan akateemisen tarkastelun kohteena. Eräs keskeinen impulssi tähän keskusteluun on ollut muun muassa Euroopan ihmisoikeustuomioistuimen (EIT) oikeuskäytäntö koskien ne bis in idem -kieltoa (”ei kahdesti samassa asiassa”) tilanteessa, jossa sopimusvaltiossa on määrätty rikosoikeudellisen seuraamuksen ohella jokin muu seuraamus, jota valtion sisäisessä oikeudessa on pidetty muuna kuin rikosoikeudellisena seuraamuksena.  

Ne bis in idem -kiellon soveltamisala ei rajoitu vain rikosoikeudellista rangaistusta koskeviin tuomioihin, vaan se ulottuu myös rangaistusluonteisiin hallinnollisiin seuraamuksiin. 

Tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhtaista ja varoittavaa.  

Artiklan 2 kohdan mukaan hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti. Tämän takia on tärkeää, että päätöksistä valitetaan ja saadaan ennakkopäätöksiä, kuten Postin tapauksessa. 

Euroopan tietosuojaneuvostossa on tunnistettu haasteet, kun seuraamusmaksujen määräämiskäytäntö ei ole ollut yhdenmukaista. Tämän takia he ovat laatineet muun muassa ohjeen hallinnollisten seuraamusmaksujen laskemiseen, jonka tarkoituksena on yhdenmukaistaa kansallisten tietosuojaviranomaisten tapoja tietosuoja-asetuksen perusteella määrättyjen seuraamusmaksujen suuruuden laskennassa.  

Ylipäätään Euroopassa tietosuojavalvontaviranomaiset ovat määränneet entistä enemmän seuraamusmaksuja, kun niiden kokonaismäärä on kasvanut 50 prosentin vuositasolla. Tämä on herättänyt keskustelua useissa valtioissa siitä, että organisaatiot ovat yhä varovaisempia ilmoittamaan tietosuojarikkomuksesta, koska pelkäävät sakkoja ja korvausvaatimuksia.  

Tietosuojan kannalta tietoturvallisuuden kontrollien tehokkuudella sekä organisaatioiden riskienhallinnan sekä sääntelyn toimivuudella on merkitystä, jotta henkilötietoja voidaan suojata tehokkaasti. Tietorikoksilla voidaankin vahingoittaa laajasti yhteiskuntaa, kuten Psykoterapiakeskus Vastaamon tapaus osoittaa. 


Lue lisää Turvallisuus & Riskienhallinta -lehden numerosta 2/2024.

Tilaa lehti! 


 

Pysy ajan tasalla turvallisuudesta ja riskienhallinnasta.

Tilaa uutiskirje