Henkilötietojen käsittely yhtiön tarjoamissa yrityshakemistopalveluissa

Dnro 66/44/2009

Asian kuvaus:

X Oy vastasi tietosuojavaltuutetun selvityspyyntöön, joka kohdistui henkilötietojen käsittelyyn yhtiön tarjoamissa yrityshakemistopalveluissa.

Vastauksen mukaan X Oy käytti yhtä tietorekisteriä kolmen palvelun tarjoamisen yhteydessä. Yritykset, joiden tietorekisteriin tallennetut tiedot sisältävät henkilötietoja, voitiin jakaa kahteen ryhmään: 1) yrityksiin, joiden kanssa Oy oli tehnyt sopimuksen yhteystietopalveluiden julkaisemiseksi ja 2) yrityksiin, jotka eivät olleet sopimussuhteessa yhtiöön ja joiden henkilötietoja sisältävät tiedot yhtiö oli saanut suoraan Patentti- ja rekisterihallituksen yritystietojärjestelmästä. Ensin mainitun ryhmän osalta X Oy ilmoitti henkilötietojen käsittelyn perusteeksi henkilötietolain 8.1.5. §:ssä tarkoitetun asiakassuhteen ja jälkimmäisen ryhmän osalta henkilötietolain 8.1.8. §:n.

Tietosuojavaltuutetun vastaus:

Henkilötietolain 6 §:n ja 9 §:n asettamista vaatimuksista

Jotta rekisterinpitäjä voisi käsitellä henkilötietoja, olemassa tulee olla henkilötietojen käsittelyyn oikeuttava peruste. Henkilötietolain 6 § edellyttää lisäksi, että henkilötietojen käsittelyn tulee kaikissa tapauksissa olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Asiallisesti perusteltua ei ole esim. sellainen henkilötietojen käsittely, joka rikkoo jotain muuta lakia tai loukkaa henkilön jotakin muuta oikeutta (esim. sananvapauteen liittyvää oikeutta olla vastaanottamatta viestejä).

Siltä osin kun X Oy:n kolmen palvelun tarjoamiseksi suorittama henkilötietojen käsittely perustuu henkilötietolain 8.1.5. §:n tarkoittamaan asiakassuhteeseen, henkilötietoja käsiteltäessä tulee varmistua mm. siitä, että asiakassuhteen perustaminen tapahtuu/on tapahtunut laillisesti. Ellei asiakassuhteen olemassa oloon ole laillista perustetta, henkilötietoja ei voida käsitellä henkilötietolain 8.1.5. §:n nojalla.

Henkilötietolain 8.1.8. § mahdollistaa henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevien tietojen käsittelyn rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi.

X Oy:n mahdollisuuksia käsitellä yleisesti saatavilla olevia henkilötietoja henkilötietolain 8.1.8 §:n perusteella rajoittaa kuitenkin se, jos rekisteröity henkilö ei halua yhteystietojaan olevan saatavilla kyseisessä kolmessa yhtiön palvelussa. Koska henkilöllä on oikeus vaikuttaa häneen kohdistettavaan viestintään, katsoi tietosuojavaltuutettu, ettei X Oy:llä ole henkilötietolain 6 §:n edellyttämää asiallista perustetta jatkaa yrityshakupalveluissaan henkilötietolain 8.1.8. §:n nojalla sellaisten henkilötietojen käsittelyä (mm. julkaisemista), joita voidaan käyttää yhteydenottotarkoituksissa ja jotka rekisteröity henkilö pyytää poistamaan ko. palveluista omia oikeuksiaan loukkaavina. Käytännössä tällaisia yhteystietoja voivat olla esim. posti- ja käyntiosoitteet, sähköpostiosoitteet sekä puhelin- ja faksinumerot.

X Oy:n oikeus käsitellä henkilötietoja henkilötietolain 8.1.8. §:n nojalla rajoittuu siis 1) henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaaviin yleisesti saatavilla oleviin tietoihin, 2) joita käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi ja 3) jotka eivät ole yhteystietoja, joiden käsittely johtaisi rekisteröidyn henkilötietolain 1 §:ssä tarkoitettujen oikeuksien loukkaamiseen.

Henkilötietolain 9 §:ssä säädetty huomioon ottaen X Oy:n tulee rekisterinpitäjänä huolehtia siitä, etteivät sen käsittelemät henkilötiedot ole virheellisiä, epätäydellisiä tai vanhentuneita. Henkilötietolain 29.1. §:n velvoittaa yhtiötä ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaisemaan, poistamaan tai täydentämään rekisterissä olevan, käsittelyn tarkoituksen kannalta virheellisen, tarpeettoman, puutteellisen tai vanhentuneen henkilötiedon. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan. Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, sen on henkilötietolain 29.2. §:n mukaan annettava asiasta kirjallinen todistus rekisteröidylle. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty.

Toiminnassa muodostuvista henkilörekistereistä

Henkilötietolain 3 §:n mukaan henkilörekisteri muodostuu samaan käyttötarkoitukseen käsiteltävistä henkilötiedoista.

Tietosuojavaltuutettu katsoi, että X Oy:lle muodostuu kaksi erillistä henkilörekisteriä yrityshakemiston, numeropalvelun ja mobiilipalvelun tarjoamiseen liittyen. Ensimmäisen rekisterin muodostavat henkilötiedot, joita yhtiö käsittelee yrityshakemistopalvelujen tuottamisen tarkoituksessa. Tähän rekisteriin tulevat kuuluviksi em. palveluissa tarjottavat henkilötiedot, joita X Oy käsittelee paitsi henkilötietolain 8.1.8. §:n nojalla, myös rekisteröidyn suostumukseen perustuen (8.1.1. §) sen johdosta, että yhtiö pitää asiakkaan henkilötietoja saatavilla asiakkaan pyynnöstä asiakassuhteen synnyttyä (8.1.5. §).

Hakemistopalvelun tuottamiseen liittyvän henkilörekisterin lisäksi X Oy:lle muodostuu erillinen asiakasrekisteri niistä henkilötiedoista, joita se käsittelee asiakassuhteen hoitamisen tarkoituksissa (mikä käyttötarkoitus on eri, kuin hakemistopalvelun tuottaminen). Asiakassuhteen hoitamiseen liittyviä henkilötietoja voivat olla mm. sopimuksen sisältöä koskevat tiedot, laskutustiedot ja mahdolliset asiakaspuhelunauhoitteet .

Tietosuojavaltuutettu katsoi myös, että X Oy:n tulee laatia kummastakin edellä mainitusta henkilörekisteristä oma henkilötietolain 10 §:n mukainen rekisteriselosteensa. Vaihtoehtoisesti kummastakin henkilörekisteristä voidaan laatia myös ns. tietosuojaselosteet eli yhdistetyt rekisteriseloste- ja informointiasiakirjat.

Henkilötietolain 26.1. §:n mukaan pääsääntöisesti jokaisella on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä, mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan. Tarkastusoikeuden rajoituksista on säädetty henkilötietolain 27 §:ssä. Lähtökohtana siis on, että kummankin edellä mainitun X Oy:lle muodostuvan henkilörekisterin tiedot kuuluvat rekisteröidyn tarkastusoikeuden piiriin.

 
Julkaistu 2.12.2013