Apulaistietosuojavaltuutettu on määrännyt Euroclear Finland Oy:n muuttamaan osakasluettelon tietojen luovuttamista koskevan toimintansa tietosuojasääntelyä vastaavaksi. Osakasluettelon tietojen luovuttamista puhelinpalvelun kautta ei ole katsottu lainmukaiseksi. Yritys ole myöskään noudattanut rekisterinpitäjän velvollisuuksia tai mahdollistanut rekisteröidyn oikeuksien toteutumista luovuttaessaan osakasluettelon tietoja suoramarkkinointitarkoituksiin.
Tietojen luovuttaminen puhelinpalvelussa ei ollut lainmukaista
Yritys on kertonut ylläpitävänsä laissa vaadittuja julkisia osakasluetteloita ja katsonut puhelinpalvelun rinnastuvan osakasluetteloiden julkiseen nähtävillä pitoon toimipisteillä. Osakeyhtiöiden ja osuuskuntien osakasluetteloiden julkisuuden toteuttamisen tavoista on kuitenkin säädetty laissa nimenomaisesti, eikä puhelinpalvelu kuulu näihin tietojen luovuttamistapoihin. Yrityksen tapa käsitellä henkilötietoja ei ole vastannut yleisessä tietosuoja-asetuksessa kohtuulliselle tietojenkäsittelylle asetettuja vaatimuksia. Yritys ei ole myöskään ymmärtänyt toimivansa rekisterinpitäjän asemassa.
Yritys ei ole arvioinut tietosuoja-asetuksen mukaista rooliaan oikein
Yritys on katsonut toimivansa puhtaasti henkilötietojen käsittelijänä, ja rekisterinpitäjänä puolestaan on yrityksen näkemyksen mukaan toiminut osakeyhtiö tai osuuskunta. Yritys on kuitenkin tehnyt sellaisia henkilötietojen käsittelyä koskevia päätöksiä, jotka kuuluvat rekisterinpitäjälle.
Osakasluettelosta saatujen tietojen luovuttaminen suoramarkkinointiin on yrityksen mukaan ollut mahdollista, koska osakeyhtiölain mukaan osakasluettelosta tai sen osasta voi luovuttaa jäljennöksiä, eikä laissa rajata sitä, mihin tarkoituksiin tietoja voidaan luovuttaa.
Henkilötietojen käsittelijä ei kuitenkaan voi itsenäisesti päättää tietojen luovutuksesta, vaan sen tulee käsitellä henkilötietoja rekisterinpitäjän antaman ohjeistuksen mukaisesti. Käsittelijä on näin tässä kohtaa muuttunut oman toimintansa myötä rekisterinpitäjäksi ja sen olisi pitänyt alkaa toteuttaa yleisen tietosuoja-asetuksen mukaisia rekisterinpitäjän velvollisuuksia.
Rekisteröityä on informoitava tietojen luovutuksesta suoramarkkinointiin
Yritys ei ole katsonut velvollisuudekseen informoida rekisteröityjä tietojen luovutuksesta suoramarkkinointitarkoituksiin, vaikka rekisterinpitäjän roolissa sillä olisi ollut informointivelvollisuus.
Informointi suoramarkkinoinnista on yrityksen mukaan hoidettu kertomalla suoramarkkinointikiellosta sen verkkosivuilla ja arvo-osuusrekisterin rekisteriselosteessa. Pelkkä maininta suoramarkkinoinnista verkkosivuilla tai rekisteriselosteessa ei kuitenkaan lähtökohtaisesti riitä, jos tätä tietoa ei ole tuotu esille samassa yhteydessä, kun henkilötietoja on kerätty. Asianmukaisen informoinnin puuttuessa rekisteröidyt eivät ole voineet käyttää heille kuuluvaa henkilötietojen käsittelyn vastustamisoikeutta.
Apulaistietosuojavaltuutettu antoi yritykselle huomautuksen tietosuoja-asetuksen rikkomisesta ja määräsi sen saattamaan henkilötietojen käsittelytoimet lainmukaisiksi. Ei lainvoimainen.
Lähde: www.tietosuoja.fi