Onko teleyrityksen pystyttävä selvittämään asiakkaan salaisten yhteystietojen muuttumista julkisiksi?

Dnro 1186/452/2010

Asian kuvaus:

Erään henkilön yhteystiedot olivat olleet vuosia siten salaiset, etteivät ne olleet saatavilla numerotiedotuspalveluissa. Henkilö otti tietosuojavaltuutetun toimistoon yhteyttä havaittuaan, että tiedot olivat jostain syystä tulleet julkisiksi hänen teleoperaattorinsa rekisterissä ja päätyneet saataville numerotiedotuspalveluun. Teleyritys muutti tiedot takaisin salaisiksi, muttei kuitenkaan kyennyt selvittämään tietojen julkiseksi tulemisen ajankohtaa ja syytä. Henkilö pyysi tietosuojavaltuutettua ottamaan kantaa siihen, tulisiko teleyrityksen pystyä selvittämään nämä seikat.

Tietosuojavaltuutetun vastaus:

Liittymäsopimuksen tehneellä kuluttajalla on oikeus päättää, julkaistaanko hänen tietojaan luettelo- ja numerotiedotuspalveluissa. Sähköisen viestinnän tietosuojalain 25.4. §:n mukaan teleyrityksen on annettava tilaajana olevalle luonnolliselle henkilölle mahdollisuus maksutta kieltää tietojensa merkitseminen kokonaan tai osittain puhelinluetteloon, muuhun tilaajaluetteloon ja numerotiedotuspalveluun. Teleyrityksen sekä tilaajaluettelopalvelua ja numerotiedotuspalvelua tarjoavan yrityksen, joka on saanut yhteystiedot viestintämarkkinalain 58 §:n nojalla, on tilaajana olevan luonnollisen henkilön pyynnöstä maksutta poistettava ja korjattava virheelliset tiedot.

Teleyrityksen tulee käsitellä kuluttaja-asiakkaidensa henkilötietoja huolellisesti ja huolehtia niiden suojaamisesta (vrt. henkilötietolain 5 § ja 32 §).

Rekisterinpitäjälle säädetystä suojaamisvelvoitteesta huolehtiminen edellyttää mm. sitä, että teleyrityksen on ensinnäkin tullut määritellä, keillä sen työntekijöillä on oikeus käsitellä asiakkaiden henkilötietoja ja millä tavoin (katsella, tallentaa, muuttaa, tuhota jne.). Yrityksen tulee varmistaa esim. käyttäjätunnus- ja salasanajärjestelmän avulla, että tietoja pääsevät käsittelemään vain ne työntekijät, joilla on siihen työtehtäviensä johdosta oikeus.

Asiakasrekisteriin talletettujen henkilötietojen käsittelyn tulisi olla todennettavissa. Teleyrityksen on siis luotava menettelytavat, joiden avulla sen asiakasrekisterin tietojen käsittelyä voidaan seurata (esim. kuka on käsitellyt tietoja ja mitä toimenpiteitä hän on suorittanut). Todentaminen voidaan mahdollistaa lokitietojärjestelmällä.

Edellä todetut seikat huomioon ottaen tietosuojavaltuutettu katsoi, että teleyrityksellä tulisi lähtökohtaisesti olla edellytykset selvittää, kuka sen edustaja on tehnyt tiettyä henkilöä koskeviin asiakasrekisteritietoihin muutoksia siten, että tiedot ovat ns. muuttuneet salaisista julkisiksi ja päätyneet saataville luettelo- tai numerotiedotuspalveluun. Myös kyseisen muutoksen tekemisen ajankohdan tulisi lähtökohtaisesti olla selvitettävissä.

Sovelletut säännökset:

Henkilötietolaki 5 § ja 32 §, sähköisen viestinnän tietosuojalaki 25 §

 
Julkaistu 2.12.2013