KHO:2023:81 — Dataskydd

Frågan gällde om den behandling av personuppgifter som Posti Ab utför i samband med den elektroniska adressändringstjänsten har varit klar och tydlig på det sätt som den allmänna dataskyddsförordningen förutsätter och om företaget i samband med att den elektroniska adressändringen görs har lämnat viss information åt den registrerade i rätt tid. Frågan gällde information om att de ändrade kontaktuppgifterna samtidigt uppdateras hos vissa organisationer och information om att den registrerade det vill säga den som gjort adressändringen har rätt förbjuda att nämnda kontaktuppgifter vidarelämnas.

Högsta förvaltningsdomstolen ansåg att art. 12.1 och art. 13.1 och 2 i den allmänna dataskyddsförordningen där uttrycken ”tillhandahålla” och ”lämna” information används, förutsätter aktiva åtgärder från den personuppgiftsansvariges sida att delge de registrerade den i nämnda bestämmelser avsedda informationen. Posti Ab kan inte under rådande omständigheter i det förevarande fallet anses ha delgett informationen om att kontaktuppgifterna på ovan nämnt sätt lämnas vidare till vissa organisationer och om rätten att förbjuda vidarelämningen med aktiva åtgärder och på ett tydligt sätt till de personer som gjort flyttanmälan utan att få produktvillkoren för postens vidaresändningstjänster för godkännande.

Högsta förvaltningsdomstolen ansåg ytterligare att påföljdskollegiet hade kunnat påföra Posti Ab en påföljdsavgift om 100 000 euro för försummelsen att iaktta den allmänna dataskyddsförordningen. Det centrala kriteriet i högsta förvaltningsdomstolens bedömning av förutsättningarna för att påföra avgiften var, att bolagets elektroniska adressändringstjänst, som samtidigt kan användas för att göra flyttanmälan till Myndigheten för digitalisering och befolkningsdata, har en synnerligen stor mängd användare och man kan anta att användarnas datatekniska kunskaper varierar.

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) art. 5.1, art. 12.1, art. 13.1 e och 2 b, art. 58.2 i, art. 83.1, 2 och 5

Dataskyddslagen 24 § 1 mom.

Postlagen 38 §

Ärendet har avgjorts av justitieråden Riitta Mutikainen, Mika Seppälä, Taina Pyysaari, Jaakko Autio och Robert Utter. Föredragande Mikko Rautamaa.

Asiassa oli kysymys siitä, oliko Posti Oy:n sähköisen osoitteenmuutospalvelun yhteydessä suorittama henkilötietojen käsittely ollut yleisessä tietosuoja-asetuksessa edellytetyn mukaisesti läpinäkyvää ja oliko yhtiö toimittanut sähköisten muuttoilmoitusten tekemisen yhteydessä rekisteröidyille eräät tiedot oikea-aikaisesti. Kysymys koski tietoa siitä, että muuttuneet yhteystiedot samalla päivittyivät tietyille organisaatioille, sekä tietoa siitä, että rekisteröidyllä eli muuttoilmoituksen tekijällä oli oikeus kieltää mainittu yhteystietojen luovuttaminen.

Korkein hallinto-oikeus katsoi, että yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa ja 13 artiklan 1 ja 2 kohdassa, joissa käytetään ilmaisua ”tietojen toimittaminen”, edellytettiin rekisterinpitäjältä aktiivisia toimenpiteitä sanotuissa kohdissa tarkoitettujen tietojen saattamiseksi rekisteröityjen tietoon. Posti Oy:n ei käsillä olleen asian olosuhteissa voitu katsoa saattaneen tietoja edellä tarkoitetusta tietojen luovuttamisesta tietyille organisaatioille ja oikeudesta kieltää mainittu yhteystietojen luovuttaminen aktiivisin toimenpitein ja selkeästi niille sähköisen muuttoilmoituksen tehneille henkilöille, jotka eivät olleet saaneet postinohjauspalveluiden tuote-ehtoja hyväksyttäväkseen.

Korkein hallinto-oikeus katsoi lisäksi, että seuraamuskollegio oli yleisen tietosuoja-asetuksen rikkomisen takia voinut määrätä Posti Oy:lle 100 000 euron suuruisen hallinnollisen seuraamusmaksun. Keskeisimpänä seikkana seuraamusmaksun määräämisen edellytyksiä koskevassa korkeimman hallinto-oikeuden arvioinnissa oli se, että yhtiön sähköisellä osoitteenmuutospalvelulla, jota voitiin käyttää samalla myös muuttoilmoituksen tekemiseen Digi- ja väestötietovirastolle, oli erittäin paljon käyttäjiä, ja oli oletettavaa, että käyttäjien tietotekniset valmiudet vaihtelivat.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 5 artikla 1 kohta, 12 artikla 1 kohta, 13 artikla 1 kohta d alakohta (suomenkielisen kieliversion jälkimmäinen d-alakohta) ja 2 kohta b alakohta, 58 artikla 2 kohta i alakohta ja 83 artikla 1, 2 ja 5 kohta

Tietosuojalaki 24 § 1 momentti

Postilaki 38 §

Päätös, jota muutoksenhaku koskee

Helsingin hallinto-oikeus 2.11.2021 nro H5413/2021

Korkeimman hallinto-oikeuden ratkaisu

1. Korkein hallinto-oikeus ei tutki Posti Group Oyj:n vaatimusta yhtiön Helsingin hallinto-oikeudelle toimittaman valituskirjelmän määräämisestä erään tiedon osalta salassa pidettäväksi.

Korkein hallinto-oikeus myöntää tietosuojavaltuutetulle valitusluvan ja tutkii asian.

2. Vaatimus ennakkoratkaisun pyytämisestä unionin tuomioistuimelta hylätään.

4. Posti Group Oyj:n vaatimus oikeudenkäyntikulujen korvaamisesta korkeimmassa hallinto-oikeudessa hylätään.

Asian tausta

(1)

on päätöksellään 18.5.2020 antanut rekisterinpitäjälle Posti Oy:lle (jäljempänä myös Posti) luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 58 artiklan 2 kohdan b alakohdan mukaisen

. Päätöksen mukaan rekisterinpitäjän muuttoilmoitusten yhteydessä suorittama henkilötietojen käsittely ei ole ollut läpinäkyvää yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa ja 12 artiklan 1 kohdassa säädetyn mukaisesti. Rekisterinpitäjä ei liioin ole toimittanut muuttoilmoitusten yhteydessä rekisteröidyille yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan d alakohdassa ja 2 kohdan b alakohdassa tarkoitettuja tietoja oikea-aikaisesti silloin, kun henkilötietoja on rekisteröidyiltä saatu (tilanteet, joissa asiakassuhdetta ei ole syntynyt).

(2)

muodostama

on päätöksellään 18.5.2020 yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla määrännyt rekisterinpitäjän Posti Oy:n maksamaan valtiolle 100 000 euron suuruisen

.

(3)

on päätöksellään 2.11.2021 hylännyt Posti Group Oyj:n valituksen apulaistietosuojavaltuutetun päätöksestä, mutta kumonnut yhtiön valituksesta seuraamuskollegion päätöksen hallinnollisen seuraamusmaksun määräämisestä.

$11d

(5) Vaikka seuraamusmaksun määrääminen Postille annetun huomautuksen lisäksi olisi hallinto-oikeuden mukaan sinänsä tehokasta ja varoittavaa, hallinto-oikeus on päätöksessä kuvattujen seikkojen punninnan perusteella katsonut, että seuraamusmaksun määräämistä ei kuitenkaan rikkomisen laatu ja sen rekisteröityihin kohdistuvat vaikutukset kokonaisuutenakaan arvioiden voida nyt kyseessä olevassa tapauksessa pitää oikeasuhteisena seuraamuksena. Tähän nähden hallinto-oikeus on katsonut yleisen tietosuoja-asetuksen 83 artiklan 1 ja 2 kohtien perusteella, että seuraamuskollegiolla ei ole tässä tapauksessa ollut perusteita määrätä Postille seuraamusmaksua.

Vaatimukset ja selvitykset korkeimmassa hallinto-oikeudessa

(6)

on pyytänyt lupaa valittaa Helsingin hallinto-oikeuden päätöksestä ja on valituksessaan vaatinut, että hallinto-oikeuden päätös kumotaan siltä osin kuin seuraamuskollegion päätös seuraamusmaksun määräämisestä on kumottu, ja seuraamuskollegion päätös saatetaan voimaan. Jos korkein hallinto-oikeus katsoo kysymyksen yleisen tietosuoja-asetuksen tulkinnasta olevan epäselvän, asiassa esitetään pyydettäväksi ennakkoratkaisu unionin tuomioistuimelta.

(7)

on selityksessään vaatinut, että tietosuojavaltuutetulle ei myönnetä valituslupaa. Jos valituslupa myönnetään, valitus on hylättävä ja hallinto-oikeuden päätös on pysytettävä voimassa. Asian ratkaiseminen ei edellytä ennakkoratkaisun pyytämistä. Yhtiö on myös vaatinut, että korkein hallinto-oikeus määrää yhtiön Helsingin hallinto-oikeudelle toimittaman valituskirjelmän selityksessä yksilöidyn tiedon osalta salassa pidettäväksi. Vielä yhtiö on vaatinut, että Suomen valtio velvoitetaan korvaamaan sen oikeudenkäyntikulut laillisine korkoineen.

(8)

on vastaselityksessään vaatinut, että Posti Group Oyj:n vaatimus oikeudenkäyntikulujen korvaamisesta hylätään.

(9)

on toimittanut tietosuojavaltuutetun vastaselityksen tiedoksi

(10)

on toimittanut omasta aloitteestaan vastineen tietosuojavaltuutetun vastaselitykseen.

(11)

on toimittanut Posti Group Oyj:n vastineen tiedoksi

(12)

on toimittanut omasta aloitteestaan vastineen Posti Group Oyj:n vastineeseen.

(13)

on toimittanut tietosuojavaltuutetun vastineen tiedoksi

Korkeimman hallinto-oikeuden ratkaisun perustelut

1. Asiakirjan määräämistä salassa pidettäväksi koskevan vaatimuksen jättäminen tutkimatta

(14) Hallinto-oikeudelle toimitettujen oikeudenkäyntiasiakirjojen ja niihin sisältyvien tietojen julkisuus ja salassa pidettävyys määräytyy oikeudenkäynnin julkisuudesta hallintotuomioistuimissa annetun lain ja viranomaisten toiminnan julkisuudesta annetun lain säännösten perusteella. Korkeimmalla hallinto-oikeudella ei ole toimivaltaa määrätä tällaisten asiakirjojen salassapidosta Posti Group Oyj:n vaatimalla tavalla.

(15) Edellä lausutun vuoksi ja kun otetaan huomioon oikeudenkäynnistä hallintoasioissa annetun lain 81 §:n 2 momentin 1 kohta, yhtiön vaatimus sen Helsingin hallinto-oikeudelle toimittaman valituskirjelmän määräämisestä erään tiedon osalta salassa pidettäväksi on jätettävä tutkimatta.

2. Ennakkoratkaisupyynnön hylkääminen

(16) Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklan mukaan unionin tuomioistuimella on toimivalta antaa ennakkoratkaisu muun ohella perussopimuksen ja unionin toimielimen säädöksen tulkinnasta. Jos tällainen kysymys tulee esille sellaisessa kansallisessa tuomioistuimessa käsiteltävänä olevassa asiassa, jonka päätöksiin ei kansallisen lainsäädännön mukaan saa hakea muutosta, tämän tuomioistuimen on saatettava kysymys unionin tuomioistuimen käsiteltäväksi. Korkein hallinto-oikeus käyttää Suomessa ylintä tuomiovaltaa hallintolainkäyttöasioissa.

(17) Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että velvollisuutta tehdä Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklassa tarkoitettu ennakkoratkaisupyyntö ei kuitenkaan ole silloin, jos kansallisessa tuomioistuimessa ei esiinny todellista epäilyä unionin tuomioistuimen olemassa olevan oikeuskäytännön soveltamismahdollisuudesta asiaan tai jos on täysin selvää, miten unionin oikeutta on kyseisessä tilanteessa asianmukaisesti sovellettava.

(18) Asiassa ei ole tullut esille sellaista kysymystä, jonka johdosta ennakkoratkaisupyynnön esittäminen olisi edellä mainittu huomioon ottaen tarpeen.

3. Pääasiaratkaisu

Kysymyksenasettelu

(19) Asiassa on kysymys siitä, onko hallinto-oikeus voinut kumota seuraamuskollegion päätöksen, jolla rekisterinpitäjä Posti Oy on yleisen tietosuoja-asetuksen perusteella määrätty maksamaan valtiolle hallinnollinen seuraamusmaksu. Jos hallinto-oikeuden päätös on kumottava, on vielä ratkaistava, onko seuraamuskollegio voinut määrätä seuraamusmaksun 100 000 euron suuruisena.

(21) Samoin arvioitavaksi tulee, onko seuraamusmaksun määrääminen ollut oikeasuhteista ja onko maksun määräämiselle ollut muutkin yleisen tietosuoja-asetuksen 83 artiklassa tarkoitetut edellytykset.

(22) Korkein hallinto-oikeus myös selvyyden vuoksi toteaa, että asiassa ei tule ratkaistavaksi, onko hallinto-oikeus voinut hylätä Posti Group Oyj:n valituksen apulaistietosuojavaltuutetun päätöksestä antaa Posti Oy:lle yleisen tietosuoja-asetuksen mukainen huomautus, koska Posti Group Oyj ei ole valittanut hallinto-oikeuden päätöksestä.

Sovellettavat ja asiaan muutoin liittyvät oikeusohjeet

Postilaki

$12a

Yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta)

Henkilötietojen käsittelyn läpinäkyvyys

(24) Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan mukaan henkilötietojen suhteen on noudatettava seuraavia vaatimuksia: a) niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”); (—).

(25) Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 13 ja 14 artiklan mukaiset tiedot ja 15 — 22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Jos rekisteröity sitä pyytää, tiedot voidaan antaa suullisesti edellyttäen, että rekisteröidyn henkilöllisyys on vahvistettu muulla tavoin.

(26) Yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan mukaan kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

(—); d) (suomenkielisen kieliversion jälkimmäinen d-alakohta) henkilötietojen vastaanottajat tai vastaanottajaryhmät; (—). Artiklan 2 kohdan mukaan edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: (—); b) rekisteröidyn oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen; (—).

$12c

Hallinnollisen sakon (seuraamusmaksun) määrääminen

(28) Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaan jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet: (—); b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia; (—); i) määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen; (—).

(29) Yleisen tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

$12d

(31) Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi: a) edellä 5, 6, 7 ja 9 artiklassa tarkoitetut käsittelyn perusperiaatteet, suostumuksen edellytykset mukaan luettuna; b) rekisteröityjen 12 — 22 artiklan mukaiset oikeudet; (—).

$12e

$12f

Tietosuojalaki

(34) Tietosuojalain 24 §:n 1 momentin ensimmäisen virkkeen mukaan tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (

) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Oikeudellinen arviointi ja johtopäätös

$131

(37) Asiakirjoista ilmenevän selvityksen perusteella tieto yhteystietojen luovuttamisesta tietyille organisaatioille ja tiedot näistä organisaatioista ovat sähköistä osoitteenmuutospalvelua käytettäessä sinänsä olleet löydettävissä Postin verkkosivuilta. Tämä on kuitenkin edellyttänyt portaittaisen linkkipolun/painikepolun läpikäymistä. Paitsi edellä mainitut tiedot, myös tieto oikeudesta kieltää yhteystietojen luovuttaminen on yksityiskohtaisesti esitetyllä tavalla ollut verkkosivuilta löydettävissä linkkipolun/painikepolun kautta. Tieto organisaatioista, joille yhteystiedot luovutetaan, on 25.5.2018 alkaen ollut lisäksi löydettävissä Postin osoitetietojärjestelmää koskevaan tietosuojaselosteeseen sisällytetyn linkin (www.posti.fi) kautta. Pääsyä tietosuojaselosteeseen muuttoilmoitusta sähköisesti tehtäessä on kuvattu kohdassa 38.

(38) Tieto oikeudesta kieltää yhteystietojen luovuttaminen on ollut löydettävissä paitsi edellä tarkoitetun linkkipolun/painikepolun kautta, myös Postin osoitetietojärjestelmää koskevasta tietosuojaselosteesta. Muuttoilmoituslomakkeen kunkin välilehden alareunassa on ollut useiden muiden linkkien/painikkeiden lisäksi tietosuojaselostetta koskeva erillinen linkki/painike, jota käyttäen seloste on auennut luettavaksi. Tietosuojaselosteessa, joka on päivätty 1.2.2020, mahdollisuudesta kieltää yhteystietojen luovuttaminen on mainittu samassa yhteydessä kuin on kuvattu yhteystietojen luovuttamista Postin kanssa sopimuksen tehneille organisaatioille. Aikaisemmassa 25.5.2018 päivätyssä tietosuojaselosteessa mahdollisuudesta kieltää yhteystietojen luovuttaminen ei ollut mainittu vastaavassa yhteydessä vaan yleisemmin.

(39) Asiakirjoista ilmenee, että yhteystietojen luovuttamisesta ja kielto-oikeudesta on kerrottu myös postinohjauspalveluiden tuote-ehdoissa. Muuttoilmoituslomakkeen kunkin välilehden alareunassa on ollut useiden muiden linkkien/painikkeiden lisäksi tuote-ehtoja koskeva linkki/painike, jota käyttäen tuote-ehdot ovat auenneet luettaviksi. Tuote-ehdot ovat kuitenkin tulleet alun perin vain niiden muuttoilmoituksen tekijöiden hyväksyttäviksi, jotka olivat tilanneet Postin lisäpalveluita. Posti on siten tehnyt valinnan siitä, että tuote-ehtoja ei ollut toimitettu niiden muuttajien hyväksyttäväksi, jotka eivät olleet tilanneet siltä maksullista lisäpalvelua. Posti on menettelyllään asettanut muuttoilmoituksen tehneet henkilöt eri asemaan sillä perusteella, oliko maksuun perustuvaa asiakassuhdetta syntynyt vai ei. Keväästä 2020 alkaen ehdot ovat tulleet myös niiden muuttoilmoituksen tekijöiden hyväksyttäviksi, jotka eivät olleet tilanneet lisäpalveluita.

(40) Yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa ja 13 artiklan 1 ja 2 kohdassa edellytetään kohdissa tarkoitettujen tietojen toimittamista rekisteröidyille. Asetuksen 12 artiklan 1 kohdassa käytetyn ilmaisun mukaan tiedot on toimitettava tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

(41) Yleisessä tietosuoja-asetuksessa ei ole erikseen määritelty, mitä tietojen ”toimittamisella” lähemmin tarkoitetaan. Tältä osin tulkinta-apuna voidaan käyttää Euroopan unionin neuvoa-antavan elimen tietosuojatyöryhmän 29.11.2017 antamia ja 11.4.2018 tarkistettuja ja hyväksyttyjä yleisen tietosuoja-asetuksen mukaista läpinäkyvyyttä koskevia suuntaviivoja (WP260 rev.01).

$132

$133

(44) Korkein hallinto-oikeus toteaa, että ilmaisun ”toimittaa” kielellinen merkitys sekä tietosuojatyöryhmän suuntaviivoissa esitetty viittaa selvästi siihen, että yleisen tietosuoja-asetuksen 12 artiklan 1 kohdassa ja 13 artiklan 1 ja 2 kohdassa rekisterinpitäjältä on tarkoitettu edellytettävän aktiivisia toimenpiteitä sanotuissa kohdissa tarkoitettujen tietojen saattamiseksi rekisteröityjen tietoon. Rekisteröidyn ei näin ollen pidä joutua aktiivisesti etsimään mainituissa artikloissa tarkoitettuja tietoja muiden tietojen joukosta.

(45) Korkein hallinto-oikeus katsoo, että Posti on saattanut tiedon, joka koskee yhteystietojen luovuttamista tietyille organisaatioille, ja tiedon rekisteröidyn oikeudesta kieltää yhteystietojen luovuttaminen, aktiivisin toimenpitein niille sähköisen muuttoilmoituksen tehneille henkilöille, jotka olivat saaneet postinohjauspalveluiden tuote-ehdot hyväksyttäväkseen. Mainitut tiedot on näin ollen toimitettu näille rekisteröidyille yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan d alakohdassa ja 2 kohdan b alakohdassa sekä 5 artiklan 1 kohdan a alakohdassa ja 12 artiklan 1 kohdassa edellytetyn mukaisesti läpinäkyvästi.

$134

(47) Edellä kuvattu sähköisen osoitteenmuutospalvelun linkkipolku/painikepolku organisaatioita ja kielto-oikeutta koskevien tietojen löytämiseksi on puolestaan ollut portaittainen ja korkeimman hallinto-oikeuden arvion mukaan teksteiltään osin vaikeaselkoinen ja epäinformatiivinen.

(48) Tietosuojatyöryhmän suuntaviivojen mukaan tietojen toimittaminen on mahdollista esimerkiksi tarjoamalla niihin suora linkki. Korkein hallinto-oikeus kuitenkin katsoo, että Postin ei edellä kuvatuissa olosuhteissa voida katsoa saattaneen tietoa yhteystietojen luovuttamisesta tietyille organisaatioille ja tietoa rekisteröidyn oikeudesta kieltää yhteystietojen luovuttaminen, aktiivisin toimenpitein niille sähköisen muuttoilmoituksen tehneille henkilöille, jotka eivät olleet saaneet postinohjauspalveluiden tuote-ehtoja hyväksyttäväkseen. Mainittuja tietoja ei näin ollen ole toimitettu näille rekisteröidyille yleisen tietosuoja-asetuksen 13 artiklan 1 kohdan d alakohdassa ja 2 kohdan b alakohdassa sekä 5 artiklan 1 kohdan a alakohdassa ja 12 artiklan 1 kohdassa edellytetyn mukaisesti läpinäkyvästi.

Hallinnollisen seuraamusmaksun määrääminen

(49) Seuraamusmaksun määräämisen edellytyksenä on se, että se on oikeasuhteista. Lisäksi maksun määräämiselle on oltava käsillä muutkin yleisen tietosuoja-asetuksen 83 artiklan 1 ja 2 kohdassa tarkoitetut edellytykset. Tässä arvioinnissa huomioon otettavia seikkoja ovat oikeasuhteisuuden lisäksi muiden ohella rikkomisen luonne, vakavuus ja kesto, niiden rekisteröityjen lukumäärä, joihin rikkominen vaikuttaa, ja heille aiheutuneen vahingon suuruus, rikkomisen tahallisuus tai tuottamuksellisuus, rekisterinpitäjän mahdolliset aiemmat vastaavat rikkomiset, yhteistyön aste valvontaviranomaisen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi sekä mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.

(50) Toisin kuin hallinto-oikeus on katsonut, seuraamusmaksun määräämisen oikeasuhteisuutta arvioitaessa ei ole merkitystä sillä seikalla, että valvontaviranomainen ei ennen maksun määräämistä ollut käyttänyt muita korjaavia toimivaltuuksiaan, kuten varoituksen, huomautuksen tai määräyksen antamista.

$135

(52) Seuraamusmaksun määräämistä koskevassa arvioinnissa on otettava huomioon, että yleisen tietosuoja-asetuksen 5, 12 ja 13 artiklan rikkomiset lukeutuvat asetuksen 83 artiklan 5 kohdan mukaiseen vakavampien rikkomusten ryhmään. Samoin on otettava huomioon, että Postin rikkomus jatkui lähes kaksi vuotta sen jälkeen, kun yleinen tietosuoja-asetus tuli 25.5.2018 alkaen sovellettavaksi. Posti ilmoitti vasta 20.3.2020 muuttavansa verkkopalveluprosessia niin, että sähköisesti tehtyjen osoitteenmuutosilmoitusten yhteydessä tuote-ehdot tulevat hyväksyttäviksi kaikissa tapauksissa eli silloinkin, kun asiakas ei tilaa lisäpalvelua. Toisaalta rikkomuksen ei asiakirjoista ilmenevän selvityksen perusteella voida arvioida olleen tahallinen vaan tuottamuksellinen eikä asiassa myöskään ole ilmennyt, että Posti olisi toiminnallaan tarkoituksellisesti pyrkinyt saavuttamaan taloudellista etua.

(53) Keskeisimpänä seikkana seuraamusmaksun määräämisen edellytyksiä koskevassa arvioinnissa on nyt käsillä olevassa asiassa pidettävä sitä, että Postin sähköisellä osoitteenmuutospalvelulla, jota voidaan käyttää samalla myös muuttoilmoituksen tekemiseen Digi- ja väestötietovirastolle, on erittäin paljon käyttäjiä. Kun kysymys on tällaisesta erittäin suuresta käyttäjäjoukosta, käyttäjien tietoteknisissä valmiuksissa on oletettavasti suurta vaihtelua. Asiakirjoista saatavan selvityksen mukaan esimerkiksi vuonna 2019 palvelussa tehtiin lähes 615 000 osoitteenmuutosilmoitusta, joista yli 161 000 oli sellaisia, joiden yhteydessä postinohjauspalveluiden tuote-ehdot eivät tulleet hyväksyttäväksi, eli joiden tekijöinä olivat henkilöt, joiden suhteen edellä tarkoitettu rikkomus on tapahtunut. Toisaalta näille henkilöille ei ole osoitettu aiheutuneen rikkomuksesta konkreettista taloudellista tai muuta aineellista vahinkoa.

(54) Edellä tarkoitettujen seuraamusmaksun määräämistä tukevien ja sitä vastaan puhuvien seikkojen (kohdat 50 — 53) kokonaisarvion perusteella korkein hallinto-oikeus katsoo, että maksun määräämiselle on ollut yleisen tietosuoja-asetuksen 83 artiklan 1 ja 2 kohdassa tarkoitetut edellytykset.

(55) Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan muun ohella asetuksen 5, 12 ja 13 artiklan rikkomisesta määrättävän hallinnollisen sakon (seuraamusmaksun) suuruus on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Asiakirjoista saatavan selvityksen mukaan Posti Group -konsernin liikevaihto vuonna 2019 oli 1 564,6 miljoonaa euroa.

(56) Edellä lausuttuun (kohdat 51 — 53) nähden ja kun otetaan huomioon yleisen tietosuoja-asetuksen 83 artiklan 1 ja 2 kohta, korkein hallinto-oikeus katsoo, että seuraamusmaksu on voitu määrätä 100 000 euron suuruisena.

(57) Edellä lausutun vuoksi hallinto-oikeuden päätös on kumottava ja seuraamuskollegion päätös seuraamusmaksun määräämisestä on saatettava voimaan.

4. Oikeudenkäyntikulujen korvaamista korkeimmassa hallinto-oikeudessa koskevan vaatimuksen hylkääminen

(58) Asian näin päättyessä ja kun otetaan huomioon oikeudenkäynnistä hallintoasioissa annetun lain 95 §, Posti Group Oyj:lle ei ole määrättävä maksettavaksi korvausta oikeudenkäyntikuluista korkeimmassa hallinto-oikeudessa.

Asian ovat ratkaisseet oikeusneuvokset Riitta Mutikainen, Mika Seppälä, Taina Pyysaari, Jaakko Autio ja Robert Utter. Asian esittelijä Mikko Rautamaa.

Apulaistietosuojavaltuutettu

huomautuksen

Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä

seuraamuskollegio

hallinnollisen seuraamusmaksun

Helsingin hallinto-oikeus

Asian ovat ratkaisseet hallinto-oikeuden jäsenet Marja Viima, Petteri Leppikorpi ja Liisa Selvenius-Hurme, joka on myös esitellyt asian.

Tietosuojavaltuutettu

Posti Group Oyj

Korkein hallinto-oikeus

Posti Group Oyj:lle

tietosuojavaltuutetulle

hallinnollinen seuraamusmaksu