Helsingin hallinto-oikeus on päätöksellään (linkki päätökseen tulee kunhan julkistetaan) kumonnut Postille vuoden 2020 keväällä annetun 100 000 euron ns. GDPR-sakon, joka on ollut suuruudeltaan suurin Suomessa annettu seuraamusmaksu GDPR:n nojalla. Tapauksessa oli kysymys informoinnin eri toteutustapojen arvioinnista, ei rekisteröityjen informoinnin laiminlyönnistä sinänsä. Hallinto-oikeuden päätöksestä voi tavanomaiseen tapaan hakea valituslupaa korkeimpaan hallinto-oikeuteen.
ASML:n blogissa aikoinaan aprikoin, että voiko ensimmäisten sakkotapausten äärellä olla ns. esimerkkitapauksen antamisen painetta: “Saako ”varoittavan esimerkin antaminen” tai joku muu oikeudellisen arvioinnin ulkopuolinen seikka merkitystä caseissa?” Nyt voi sitten kukin tahollaan arvioida, että oliko tässä tapauksessa lainkaan tämän tyyppistä kontekstia. Mutta siirrytään itse päätöksen sisältöön.
Päätöksen pääelementtejä
Alla on tiiviisti listattuna liuta päätöksen pääelementtejä. Hallinto-oikeus
1. katsoi että “seuraamuskollegiolla ei ole tässä tapauksessa ollut perusteita määrätä Postille seuraamusmaksua” ja katsoi, että seuraamuskollegion päätös seuraamusmaksusta on kumottava;
2. katsoi, että seuraamusmaksua ei “…rikkomisen laatu ja sen rekisteröityihin kohdistuvat vaikutukset kokonaisuutenakaan arvioiden” voitu pitää oikeasuhtaisena seuraamuksena;
3. hylkäsi TSV:n seuraamuskollegion pyynnön ennakkoratkaisupyynnön esittämisestä EU-tuomioistuimelle;
4. katsoi, että apulaistietosuojavaltuutettu tai seuraamuskollegio eivät ole voineet perustella huomautuksen antamista tai seuraamusmaksun määräämistä ennen GDPR:n voimaantuloa tapahtuneella Postin toiminnalla;
5. katsoi, että käsiteltävää rikkomusta voitiin pitää tulkinnanvaraisena, koska GDPR:ssä ei ole suoraan säädetty millä tavalla ja missä muodossa rekisteröityjen informointi on toteutettava;
6. katsoi, että rikkomusta ei voida pitää tahallisena;
7. katsoi lieventäväksi seikoiksi tai Postin eduksi, että Posti ei ollut aiemmin vastaavien valvontatoimien kohteena ja että Posti oli ilmoittanut halustaan korjata toimintaansa;
8. katsoi, että Posti ei ollut tavoitellut taloudellista hyötyä ja mahdollinen hyöty oli ollut enimmilläänkin pieni;
9. piti voimassa apulaistietosuojavaltuutetun aiemmin antaman huomautuksen informointiin liittyen.
Informoinnin tulkintaa, hmm?
Informoinnin tulkinnan äärellä hallinto-oikeus lausuu päätöksessä “…Hallinto-oikeus toteaa asiassa esitetyn selvityksen perusteella, että osoitteenmuutospalvelun käyttäjälle eli rekisteröidylle ei palvelussa ole ilman rekisteröidyn omia toimenpiteitä, kuten tietosuojaselosteeseen tai tuote-ehtoihin ohjaavien linkkien avaamista, annettu tietoa henkilötietojen vastaanottajista tai vastaanottajaryhmistä…”. Lisäksi hallinto-oikeus lausui “…Tietosuojatyöryhmän suuntaviivoissa esitetyn tulkintaohjeen valossa hallinto-oikeus katsoo, että 13 artiklan vaatimusta tietojen toimittamisesta voidaan tulkita siten, että se edellyttäisi aktiivisia toimia, joilla tiedot saatetaan rekisteröidylle, eikä riittävää ole se, että rekisteröidyn on itse etsittävä näitä tietoja.”
Teksti ja linkki informaatioon ei hallinto-oikeuden mukaan täyttänyt tässä tapauksessa GDPR 5 ja 12 artiklan läpinäkyvyysvaatimusta. Tämä on mielenkiintoinen ja melko erikoinen tulkinta, koska EU:n tietosuojaneuvosto EDPB on läpinäkyvyyttä koskevassa linjauksessaan (WP260 rev.01) nimenomaisesti listannut riittävästä informoinnista seuraavaa (alleviivaukset kirjoittajan): “Tämä voidaan varmistaa esimerkiksi toimittamalla tiedot suoraan rekisteröidylle, tarjoamalla linkki tietoihin, ohjaamalla rekisteröity tietoihin selkeästi tai antamalla tiedot vastauksina luonnollisella kielellä laadittuihin kysymyksiin.” … Tietosuojatyöryhmä suosittelee hyvänä käytäntönä sitä, että kun henkilötietoja kerätään verkossa, tietojen keräämisen yhteydessä annetaan linkki tietosuojaselosteeseen tai tiedot annetaan samalla sivulla, jolla henkilötietoja kerätään.”
Hallinto-oikeuden informointitavan tiukan tulkinnan oikeellisuuden voi perustellusti vähintään keskusteluttaa EDPB:n linjauksen sisällön perusteella? Informoinnin asettaminen saataville linkin kautta on rekisterinpitäjän aktiivinen toimi ja on EDPB:n linjauksen mukainen. EDPB on muutoinkin yleisesti suositellut ja esitellyt “layered approach”-tyyppistä informointia, jossa hyödynnetään linkkien avulla tapahtuvaa informointia rekisteröidyille. Mainittakoon, että tuote-ehtojen aktiivinen hyväksyttäminen on hallinto-oikeuden lausuman mukaan aktiivinen toimenpide tietojen toimittamiseksi rekisteröidyille (GDPR ei edellytä tällaista).
GDPR-sakon määräämisprosessista ja toimivaltuuksien käytöstä
Hallinto-oikeus lausui päätöksessään, että seuraamusmaksun “…oikeasuhteisuutta arvioitaessa ottaa huomioon myös se, että viranomainen ei ole ennen hallinnollisen seuraamusmaksun määräämistä käyttänyt muita korjaavia toimivaltuuksiaan, kuten varoituksen, huomautuksen tai määräyksen antamista. Kun rikkomista voidaan pitää … vähäisenä, hallinto-oikeus katsoo edellä kuvattujen seikkojen punninnan perusteella, …[seuraamusmaksua] ei kuitenkaan rikkomisen laatu ja sen rekisteröityihin kohdistuvat vaikutukset kokonaisuutenakaan arvioiden voida nyt kyseessä olevassa tapauksessa pitää oikeasuhteisena seuraamuksena.” Tämä hallinto-oikeuden painottama kevyempien korjaavien toimivaltuuksien käytön puuttuminen on mielenkiintoinen ja tärkeä osa hallinto-oikeuden päätöstä.