Uutiskirjeen tilaamisesta tonnin korvaus? EU-tuomioistuin tukki porsaanreiän

EU-tuomioistuin (EUT) antoi eilen 19.3.2026 ennakkoratkaisun asiassa Brillen Rottler GmbH & Co. KG v. TC (C-526/24).

Tapauksen taustalla on Itävallassa asuva yksityishenkilö (TC), joka tilasi saksalaisen perheyrityksenä toimivan optikkoliikkeen Brillen Rottlerin uutiskirjeen syöttämällä henkilötietonsa yhtiön verkkosivujen lomakkeeseen. Kolmetoista päivää myöhemmin hän esitti GDPR:n 15 artiklan mukaisen tietopyynnön. Brillen Rottler hylkäsi pyynnön ja vetosi julkisesti saatavilla oleviin tietoihin, joiden mukaan kyseinen henkilö tilaa järjestelmällisesti eri yritysten uutiskirjeitä, esittää tietopyyntöjä ja vaatii tämän jälkeen vahingonkorvauksia.

TC pysytti tietopyyntönsä ja esitti yleisen tietosuoja-asetuksen 82 artiklan mukaisen määrältään 1 000 euron korvausvaatimuksen aineettomasta vahingosta, joka hänen mukaansa oli aiheutunut siitä, ettei yhtiö antanut hänelle oikeutta tutustua henkilötietoihinsa. Brillen Rottler nosti Amtsgericht Arnsbergissä (Arnsbergin alioikeus, Saksa) kanteen, jossa se vaati toteamaan, ettei TC:llä ole oikeutta minkäänlaiseen korvaukseen. TC esitti vastakanteen. Arnsbergin alioikeus (Amtsgericht Arnsberg) esitti EUT:lle kahdeksan ennakkoratkaisukysymystä, jotka EUT yhdisti kolmeksi tuomiolauselmaksi kysymysten päällekkäisyyden vuoksi. Tuomiolauselmat koskevat tietopyynnön kohtuuttomuutta, korvausoikeuden edellytyksiä ja aineettoman vahingon arviointia.

Ratkaisu kohdistuu suoraan nk. GDPR bounty hunting -ilmiöön. Yksityishenkilö vierailee sivustolla, jolla ei ole aiemmin käynyt, ja jonne on upotettu esim. Google Fonts, Google Analytics tai muita seurantateknologioita ilman toimivaa evästebanneria, tai tilaa uutiskirjeen ja esittää tämän jälkeen tietopyynnön. Kun yritys ei vastaa ajoissa tai riittävän kattavasti, seuraa vahingonkorvausvaatimus. Tiedonsaantioikeutta käytetään tulonlähteenä tai omien päämäärien tavoittelemiseen eikä omien henkilötietojen suojaamiseen. Saksassa bounty hunting on tuottanut satoja kanteita pk-yrityksiä vastaan. Suomessa ilmiö on toistaiseksi pienempi.

Kohteiden löytäminen on helppoa, sillä verkkosivuja voi skannata sekunneissa ja tunnistaa automaattisesti kaikki evästeet ja seurantateknologiat, joiden tallentaminen käyttäjän päätelaitteelle edellyttäisi suostumusta. Brillen Rottler -tapauksen TC noudatti samaa kaavaa järjestelmällisesti eri yrityksiin. Yksittäiset korvaussummat ovat pieniä, tyypillisesti 500–1 500 euroa, mutta sarjamaisuus tekee mallista kannattavan. Kohteet ovat usein pk-yrityksiä, joilla ei ole resursseja tietopyyntöjen käsittelyyn tai joiden tietosuojakäytäntöjä ei ole auditoitu.

Milloin tietopyynnön voi hylätä väärinkäytön perusteella

GDPR:n 15 artiklan 1 kohdassa taataan rekisteröidyn oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua näihin tietoihin ja niihin liittyviin tietoihin. Pyyntö on lähtökohtaisesti maksuton ja siihen on vastattava kuukauden kuluessa. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi tietyissä tilanteissa periä kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea.

Todistustaakka kohtuuttomuudesta on aina rekisterinpitäjällä.
EUT oli käsitellyt tiedonsaantioikeuden rajoja aiemmin FT v. DW -tapauksessa (C-307/22), jossa se totesi, ettei rekisteröidyn tarvitse perustella tietopyyntöään eikä vedota tiettyyn tarkoitukseen, kuten käsittelyn lainmukaisuuden tarkistamiseen (kohdat 38 ja 43). Tietopyyntö voidaan esittää mistä syystä tahansa, myös vahingonkorvauskanteen valmistelemiseksi (ks. kohta 52). Österreichische Datenschutzbehörde -tapauksessa (C-416/23) EUT kuitenkin katsoi, ettei oikeutta voida käyttää rajattomasti. Pyynnön kohtuuttomuuden toteaminen edellyttää väärinkäyttötarkoituksen osoittamista kaikki olosuhteet huomioon ottaen (kohdat 49–50).

Brillen Rottler -tapauksessa EUT laajensi tätä tulkintaa. GDPR:n johdanto-osan 4 perustelukappaleen mukaisesti oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin perusoikeuksiin (kohta 33). EUT totesi, että kohtuuttomuutta on arvioitava laadullisesti eikä pelkästään määrällisesti, joten pyyntöjen lukumäärä ei yksinään ratkaise (kohta 34). Tällä perusteella jo ensimmäinen tietopyyntö voi olla kohtuuton, joskin kynnys on korkea ja säännöstä on tulkittava suppeasti (kohta 35).

EUT katsoi 12 artiklan 5 kohdan olevan ilmaus unionin oikeuden yleisestä periaatteesta, jonka mukaan yksityiset eivät saa vedota unionin oikeussääntöihin vilpillisesti tai väärinkäyttönä pidettävällä tavalla (kohta 30). EUT rinnasti kohtuuttomuuden suoraan oikeuksien väärinkäyttöön (kohta 23). Väärinkäytön toteaminen edellyttää kahta osatekijää. Objektiivinen osatekijä tarkoittaa sellaista objektiivisten olosuhteiden kokonaisuutta, josta ilmenee, että vaikka säännöstössä vahvistettuja edellytyksiä on muodollisesti noudatettu, säännöstöllä tavoiteltua päämäärää ei ole saavutettu. Subjektiivinen osatekijä koskee rekisteröidyn tahtoa saada unionin säännöstöstä johtuva etu toteuttamalla keinotekoisesti edellytykset tämän edun saamiseksi (kohta 36).

EU-maiden kansalliset tietosuojaviranomaiset ovat tähän asti suhtautuneet torjuvasti väärinkäyttöargumenttiin. Siitä huolimatta EUT vahvisti, että ensimmäinenkin tietopyyntö voidaan hylätä, mikäli se on tehty väärinkäyttötarkoituksessa. Euroopan komissio on tunnistanut saman ongelman ja ehdottanut marraskuussa 2025 osana Digital Omnibus -hanketta, että GDPR:n 12 artiklan 5 kohtaan lisätään nimenomainen maininta tietopyyntöjen väärinkäytöstä.

EUT totesi, että julkisesti saatavilla olevat tiedot rekisteröidyn järjestelmällisistä tietopyynnöistä ja korvausvaatimuksista voidaan ottaa huomioon väärinkäyttötarkoituksen arvioinnissa edellyttäen, että muut merkitykselliset seikat tukevat sitä. Huomioon on otettava erityisesti se, onko rekisteröity antanut henkilötietojaan ilman pakkoa, näiden tietojen antamisen päämäärä, niiden antamisen ja tietopyynnön välillä kulunut aika sekä kyseisen henkilön toiminta (kohdat 42–43). Julkisasiamies Szpunar katsoi varovaisemmin, ettei tieto aiemmista korvausvaatimuksista sellaisenaan riitä osoittamaan väärinkäyttöä, koska 82 artikla nimenomaisesti antaa oikeuden vaatia korvausta (ratkaisuehdotuksen kohdat 51–52). EUT omaksui sallivamman kannan.

TC:n tapauksessa väärinkäyttötarkoitus oli helppo osoittaa. Brillen Rottler vetosi mediaraportteihin, blogikirjoituksiin ja asianajajien selvityksiin, joista ilmeni, että TC esittää tietopyyntöjä järjestelmällisesti eri yrityksille noudattaen samaa kaavaa (kohta 15). Tyypillisemmissä tilanteissa rekisteröity tai tämän asiamies ei paljastaisi todellista tarkoitustaan. EUT:n soveltama kokonaisarviointi mahdollistaa tarkoituksen päättelyn myös välillisistä olosuhteista. Hylkäämisen edellytykset ovat silti tiukat, ja aiheeton hylkäys itsessään muodostaa 15 artiklan rikkomisen.

Vahingonkorvaus tietopyynnön hylkäämisestä

GDPR:n 82 artiklan 1 kohdan mukaan, jos henkilölle aiheutuu asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta. Korvausoikeus edellyttää kolmen kumulatiivisen edellytyksen täyttymistä: rikkomista, vahinkoa ja näiden välistä syy-yhteyttä (Österreichische Post, C-300/21, kohdat 31–33). EUT totesi Brillen Rottler -tapauksessa, että 82 artiklan 1 kohdan käsitteitä aineellinen tai aineeton vahinko ja korvaus aiheutuneesta vahingosta on tulkittava unionin oikeuden itsenäisinä käsitteinä yhdenmukaisesti kaikissa jäsenvaltioissa (kohta 58).

Brillen Rottler -tapauksessa keskeinen kysymys oli, edellyttääkö korvaus nimenomaisesti henkilötietojen käsittelyä. GDPR:n 82 artiklan 1 kohdassa viitataan vahinkoon, joka on aiheutunut asetuksen rikkomisesta, kun taas 2 kohta rajaa vastuun käsittelystä, joka rikkoo tätä asetusta. EUT totesi, ettei 1 kohdan sanamuodossa viitata "käsittelyyn", joten oikeutta korvaukseen ei voida rajoittaa henkilötietojen käsittelystä aiheutuneisiin vahinkoihin (kohta 48). Kun rekisterinpitäjä kieltäytyy perusteettomasti tietopyynnöstä, kyse ei ole varsinaisesta käsittelytoimesta vaan toimimatta jättämisestä. Jos korvausoikeus edellyttäisi aina käsittelyä, tiedonsaantioikeuden loukkaus jäisi ilman tehokasta oikeussuojakeinoa (kohta 51).

Julkisasiamies Szpunar meni pidemmälle ja katsoi, että korvausoikeus syntyy, jos vahinko aiheutuu joko asetuksen vastaisesta tietojenkäsittelystä tai muusta GDPR:n rikkomisesta (ratkaisuehdotuksen kohta 73). EUT totesi perusteluissaan laajasti, että rekisteröity voi vedota 82 artiklaan myös sellaisen rikkomisen yhteydessä, johon ei liity tietojenkäsittelyä (kohta 54). Tuomiolauselmassa EUT kuitenkin rajasi vastauksensa tiedonsaantioikeuden loukkaukseen (kohta 55). Muiden menettelyllisten rikkomusten korvattavuus jää siten tuomiolauselman tasolla avoimeksi, vaikka perustelut viittaavat laajempaan soveltamisalaan.

EUT jätti myös neljänteen ennakkoratkaisukysymykseen vastaamatta tarpeettomana, eli siihen, onko tietopyyntö tai siihen vastaaminen itsessään käsittelyä GDPR:n 4 artiklan 2 kohdassa tarkoitetulla tavalla (kohta 56).

Milloin syy-yhteys katkeaa?

GDPR:n 82 artiklan mukainen vahingonkorvausvastuu edellyttää syy-yhteyttä rikkomisen ja vahingon välillä. EUT totesi Brillen Rottler -ratkaisussa, että väitetyn rikkomisen ja väitetyn vahingon välinen syy-yhteys voi katketa rekisteröidyn käyttäytymisen vuoksi, kun tämä käyttäytyminen osoittautuu kyseisen vahingon ratkaisevaksi syyksi (kohta 65). EUT viittasi WS ym. v. Frontex -tapaukseen (C-679/23 P, kohdat 151–152), jossa vastaava periaate oli vahvistettu EU:n sopimussuhteen ulkopuolisen vastuun yhteydessä. Brillen Rottler soveltaa periaatetta suoraan GDPR:n vahingonkorvausvaatimuksiin. Rekisteröidylle ei voida myöntää korvausta vahingoista silloin, kun syy-yhteys on katkennut kyseisen henkilön käyttäytymisen vuoksi, koska hallitsemiskyvyn menettäminen tai epätietoisuus on aiheutunut henkilön päätöksestä antaa tiedot rekisterinpitäjälle tarkoituksena luoda keinotekoisesti säännöksen soveltamiseksi vaadittavat edellytykset (kohta 66).

Korvausvaatimus ei menesty myöskään silloin, kun väitettyä vahinkoa ei voida osoittaa. Henkilötietojen hallinnan menettäminen voi sellaisenaan olla aineetonta vahinkoa (Agentsia po vpisvaniyata, C-200/23, kohta 144–145), mutta pelkkä rekisteröidyn väite pelosta, joka aiheutuu siitä, että hän menettää kykynsä hallita henkilötietojaan, ei voi johtaa vahingonkorvaukseen (PS, C-590/22, kohdat 33–35). Rekisteröidyn on osoitettava yhtäältä, että hänelle on tosiasiallisesti aiheutunut vahinko, vaikka se olisi vähäinen, ja toisaalta, että rikkomisesta aiheutuneet seuraukset muodostavat vahingon, joka eroaa pelkästä asetuksen säännösten rikkomisesta (kohta 62). Kun henkilö on itse luovuttanut tietonsa vapaaehtoisesti ja tarkoituksella, hallintakyvyn menettämistä koskeva väite on lähtökohtaisesti heikko.

Lopuksi

Rekisterinpitäjillä on nyt keino puuttua tietopyyntöihin, joiden tarkoituksena on jokin muu kuin henkilötietojen suoja. Sama koskee bounty huntereiden ohella myös irtisanomisriidassa tietopyynnöillä painostavaa entistä työntekijää ja sarjavalittajia. Todistustaakka on rekisterinpitäjällä ja kynnys korkea, joten väärinkäyttöön vetoavan on kyettävä osoittamaan se konkreettisilla seikoilla. Myös kun rekisteröity on itse luonut olosuhteet, joihin korvausvaatimus perustuu, syy-yhteys katkeaa eikä vahingonkorvaus välttämättä menesty. Ratkaisusta huolimatta tehokkain suoja yleisen tietosuoja-asetuksen nojalla tehtyihin vahingonkorvausvaatimuksia vastaan on edelleen se, että tietosuoja-asiat on hoidettu kuntoon.

Artikkelin laadintaan osallistui juristiharjoittelijamme Niko Hannolainen, CIPP/E.