Uunituore tuomioistuinratkaisu korostaa yrityksen oikeutta toteuttaa palvelunsa valitsemallaan tavalla
Helsingin hallinto-oikeus on 3.11.2025 antamallaan ratkaisulla kumonnut Postin OmaPosti-palvelun tietosuojapuutteista määrätyn tietosuojaviranomaisten asettaman 2,4 miljoonan euron seuraamusmaksun. Ratkaisu vahvistaa yritysten oikeutta päättää omien digitaalisten palveluidensa sisällöstä.
Ratkaisun kohteena olevassa asiassa on kyse OmaPosti-palvelun yhteydessä tapahtuvasta henkilötietojen käsittelystä. Ratkaisun kannalta keskeistä on, että Postin tarjoaman OmaPosti-palvelun avaamisen yhteydessä käyttäjille on yhtäaikaisesti luotu digipostilaatikkona toimiva OmaPosti-laatikko, johon OmaPosti-palvelun käyttäjät ovat voineet vastaanottaa sähköisiä kirjeitä sen avaamisen jälkeen.
Tiivistetysti tietosuojavaltuutettu katsoi ratkaisussaan, että Posti oli käsitellyt käyttäjiensä henkilötietoja ilman tietosuoja-asetuksen mukaista käsittelyperustetta, minkä lisäksi se ei ollut informoinut käyttäjiä riittävän selkeästi. Näiden seurauksena Postille määrättiin asiassa sekä huomautus että 2,4 miljoonan euron seuraamusmaksu.
Helsingin hallinto-oikeus oli samaa mieltä tietosuojavaltuutetun kanssa siitä, että Postin OmaPosti-palvelun avaamisen yhteydessä toteuttama henkilötietojen käsittelyä koskeva informointi ei ollut riittävää. Hallinto-oikeus kiinnitti huomiota erityisesti informoinnissa käytettyihin ehdollisiin ilmaisuihin (kuten ”voit saada”) sekä siihen, ettei informoinnissa esimerkiksi kuvattu käyttäjille OmaPosti-laatikon avautumisen ajankohtaa. Tämän perusteella käyttäjälle saattoi jäädä käsitys, että palvelun aktiivinen käyttö edellyttää lisätoimenpiteitä.
Käsittelyperusteen osalta hallinto-oikeus kuitenkin katsoi, että käyttäjät olivat voineet kohtuudella olettaa OmaPosti-laatikon luomisen olleen olennainen osa Postin tarjoamaa palvelukokonaisuutta. Siten myös henkilötietojen käsittely sopimuksen täytäntöönpanemiseksi katsottiin asianmukaiseksi käsittelyperusteeksi. Hallinto-oikeus myös vahvisti ratkaisussaan Postilla olevan elinkeino- ja sopimusvapaus huomioon ottaen oikeus paketoida sähköiset palvelunsa kokonaisuudeksi. Hallinto-oikeuden ratkaisun perusteella on tärkeä pitää mielessä, että palveluiden ja sopimusten sekä niihin liittyvän henkilötietojen käsittelyn on oltava lainsäädännön ja Euroopan unionin tuomioistuimen oikeuskäytännön vaatimusten mukaisia.
Vaikka hallinto-oikeus näin vahvisti yritysten oikeutta määrätä omien palveluidensa sisällöstä, on palveluiden suunnittelu ja lanseeraaminen syytä tehdä erityisen huolellisesti.
Ratkaisun valossa on palveluita tarjottaessa suositeltavaa huomioida ainakin:
- Informointi ja toiminnan läpinäkyvyys. Rekisteröityjen informointi henkilötietojen käsittelystä on tärkeä toteuttaa selkeästi. Informoinnissa tulee välttää erityisesti ehdollisten ilmaisujen käyttöä, jotta palveluiden toimittamiseksi toteutettava henkilötietojen käsittely tapahtuu läpinäkyvyyden periaatteen mukaisesti.
- Palveluiden määrittely. Sähköiset palvelut on mahdollista paketoida kokonaisuudeksi. Palveluiden ja sopimusten on oltava lainsäädännön vaatimusten mukaisia ja niiden toteuttamiseen liittyvän henkilötietojen käsittelyn on oltava tarpeen palveluita koskevan sopimuksen täytäntöön panemiseksi. Yrityksen on syytä kiinnittää huomiota siihen, että se viestii palvelun sisällöstä ja osakokonaisuuksista selkeästi asiakkailleen.
Vaikutustenarviointi. Vaikutustenarviointi on tarpeellinen työkalu henkilötietojen käsittelyyn liittyvien riskien tunnistamiseksi, mikä osaltaan myös tukee riittävän selvän ja läpinäkyvän informoinnin suunnittelua.
Hallinto-oikeuden antama ratkaisu ei ole lainvoimainen ja siitä on mahdollista valittaa korkeimpaan hallinto-oikeuteen. Näin ollen on mahdollista, että korkein hallinto-oikeus ratkaisee asian eri tavoin, mikäli ratkaisusta valitetaan ja korkein hallinto-oikeus myöntää asiassa valitusluvan.
Contact authors
