On personal data protection requirements in Finland

Got a response from the Data Protection Ombudsman today (on a matter related to Marjex Oy, Document No. 3030/4511/2012). It has several interesting points of which all Finnish spammers should take note.

In late November, Marjex sent out spam, and I saw it in my spamtraps.  The entire address list was included visibly in the To: field.  It appeared that the transmission had been split into parts alphabetically so as to send to a limited number of participants at each time.  The list contained a large number of addresses for natural persons that had no obvious business connection (such as firstname.lastname@ISP type addresses).  There was no indication of the address source used, which in itself is a violation of Section 25 of the Personal Data Act.

The Data Protection Ombudsman addresses two important points: list age, and responsibility for data management regarding purchased lists.

Yrityksen edustaja on lähettämässään vastauksessa kertonut muun muassa, että suoramarkkinoinnissa käytetty rekisteri on ostettu markkinointirekisteri.fi -palvelusta keväällä 2011.

Kerrotte viestissänne, että tiedot on ostettu vuoden 2011 syksyllä. Henkilötietolain 9 §:n mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle. Rekisterinpitäjän ei siten tule käsitellä vanhentuneita henkilötietoja. Yli vuoden aiemmin saadut henkilötiedot sisältävät todennäköisesti vanhentuneita henkilötietoja, eikä niiden käsittely henkilötietolain 9 §:n mukaan ole siten sallittua eikä vanhentuneita tietoja olisi siten tullut käyttää suoramarkkinoinnin toteutuksessa.

Marjex have indicated that they have purchased a list from Markkinointirekisteri.fi in the fall of 2011. In the opinion of the DPO, using this list as an address source for direct marketing in November 2012 should not have taken place because it was probable that it would contain outdated and erroneous personal data.

(Never mind the fact that the most up-to-date address list you can purchase from any vendor of Finnish “B2B” data will contain outdated and erroneous personal data.)

Rekisterinpitäjän on henkilötietolain 10 §:n mukaan laadittava henkilörekisteristä rekisteriseloste, josta käy ilmi muun muassa rekisterinpitäjän nimi ja yhteystiedot, henkilötietojen käsittelytarkoitus ja kuvaus rekisterin suojauksen periaatteista. Rekisterinpitäjän on lähtökohtaisesti pidettävä rekisteriseloste jokaisen saatavilla. Siten ei ole riittävää, että se taho, jolta rekisterinpitäjä on saanut henkilötiedot on laatinut rekisteriselosteen itselleen, vaan rekisterinpitäjän tulee myös itse laatia henkilörekisteriä koskeva rekisteriseloste hänen omasta henkilörekisteristä.

To cut a very long story short: You can’t outsource responsibility for personal data management. If you purchase a list and send spam to it, the list becomes your own list for which you need to draft your own Description of Personal Data File and accept full responsibility for the management of the data contained therein.

The latter bit is really, really important. Just about every single B2B spam sent in Finland violates that principle at the moment.

4 Responses to On personal data protection requirements in Finland

  1. Pingback: Swedish spam ESP: Mailcom / Venamail » MainSleaze

  2. Pingback: Breaking news: Fonecta shuts down Kontaktikone » MainSleaze

  3. The DPO has clarified 3030/4511/2012 with a followup letter to Marjex on which I was cc’d. They say that it wasn’t their intention to state that personal information acquired over a year ago would automatically be erroneous or outdated or that it would be forbidden to process information over a year old, but only to focus Marjex’ attention on the fact that such information may have become erroneous or outdated due to circumstances changing, in which case it would be prohibited to process such outdated or erroneous information precisely because of the data being erroneous.

    (Yes, it’s really convoluted, isn’t it. My translation, and all bugs in the translation are mine. Original Finnish follows:

    Tarkoituksenamme ei siten ollut ilmaista, että yli vuosi aiemmin saadut henkilötiedot olisivat automaattisesti virheellisiä tai vanhentuneita tai että yli vuoden vanhoja tietoja ei saa käsitellä, vaan kiinnittää huomiotanne siihen, että tiedot ovat olosuhteiden muuttumisen myötä saattaneet käydä virheellisiksi tai vanhentua, jolloin kyseisenkaltaisten vanhentuneiden tai virheellisten tietojen käsitteleminen ei ole sallittua nimenomaan tämän tiedon virheellisyyden vuoksi.

    )

  4. Pingback: Xtravaganza.fi / kevytkauppa.fi: Do businesses really worry about weight, or eat snacks? » MainSleaze

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Go back to top