MainSleaze

Got a response from the Data Protection Ombudsman today (on a matter related to Marjex Oy, Document No. 3030/4511/2012). It has several interesting points of which all Finnish spammers should take note.

In late November, Marjex sent out spam, and I saw it in my spamtraps.  The entire address list was included visibly in the To: field.  It appeared that the transmission had been split into parts alphabetically so as to send to a limited number of participants at each time.  The list contained a large number of addresses for natural persons that had no obvious business connection (such as firstname.lastname@ISP type addresses).  There was no indication of the address source used, which in itself is a violation of Section 25 of the Personal Data Act.

The Data Protection Ombudsman addresses two important points: list age, and responsibility for data management regarding purchased lists.

Yrityksen edustaja on lähettämässään vastauksessa kertonut muun muassa, että suoramarkkinoinnissa käytetty rekisteri on ostettu markkinointirekisteri.fi -palvelusta keväällä 2011.

Kerrotte viestissänne, että tiedot on ostettu vuoden 2011 syksyllä. Henkilötietolain 9 §:n mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle. Rekisterinpitäjän ei siten tule käsitellä vanhentuneita henkilötietoja. Yli vuoden aiemmin saadut henkilötiedot sisältävät todennäköisesti vanhentuneita henkilötietoja, eikä niiden käsittely henkilötietolain 9 §:n mukaan ole siten sallittua eikä vanhentuneita tietoja olisi siten tullut käyttää suoramarkkinoinnin toteutuksessa.

Marjex have indicated that they have purchased a list from Markkinointirekisteri.fi in the fall of 2011. In the opinion of the DPO, using this list as an address source for direct marketing in November 2012 should not have taken place because it was probable that it would contain outdated and erroneous personal data.

(Never mind the fact that the most up-to-date address list you can purchase from any vendor of Finnish “B2B” data will contain outdated and erroneous personal data.)

Rekisterinpitäjän on henkilötietolain 10 §:n mukaan laadittava henkilörekisteristä rekisteriseloste, josta käy ilmi muun muassa rekisterinpitäjän nimi ja yhteystiedot, henkilötietojen käsittelytarkoitus ja kuvaus rekisterin suojauksen periaatteista. Rekisterinpitäjän on lähtökohtaisesti pidettävä rekisteriseloste jokaisen saatavilla. Siten ei ole riittävää, että se taho, jolta rekisterinpitäjä on saanut henkilötiedot on laatinut rekisteriselosteen itselleen, vaan rekisterinpitäjän tulee myös itse laatia henkilörekisteriä koskeva rekisteriseloste hänen omasta henkilörekisteristä.

To cut a very long story short: You can’t outsource responsibility for personal data management. If you purchase a list and send spam to it, the list becomes your own list for which you need to draft your own Description of Personal Data File and accept full responsibility for the management of the data contained therein.

The latter bit is really, really important. Just about every single B2B spam sent in Finland violates that principle at the moment.