20.11.1989 23/1989

Pankkitoiminta - Asiakashäiriörekisteri - Yhteysvaatimus - Arkaluonteiset tiedot - Valitus

Useat pankit pyysivät yhteisessä hakemuksessaan lupaa saada kerätä ja tallettaa entisiä asiakkaitaan koskevia saamisen maksun viivästymistietoja ja pankkien palveluihin kohdistuneita väärinkäytöstietoja asiakashäiriörekistereihin sekä luovuttaa väärinkäytöstietoja muille luottolaitoksille. Hakijat tarvitsivat luvan poiketa yhteysvaatimuksesta ja arkaluonteisten tietojen rekisteröintikiellosta. Lupaa ei myönnetty väärinkäytöstietojen käyttämiseen pankkeja kohtaan suunnattujen rikosten ehkäisemiseksi ja tekijöiden kiinnisaamiseksi, eikä tietojen luovuttamiseen muille pankeille. Muilta osin lupa myönnettiin määräaikaisena ja lupaan asetettiin useita lupamääräyksiä.

KHO 6.3.1991 T:770: Asia palautettiin tietosuojalautakunnalle uudelleen käsiteltäväksi käyttötarkoitusrajoituksen ja luovutuksen osalta.

Lautakunnan uusi päätös 13/21.5.1991.

ASIA
Henkilötietojen keräämistä, tallettamista ja käyttämistä sekä henkilötietojen luovuttamista koskeva poikkeuslupahakemus

HAKIJA
Osuuspankkien Keskusliitto osuuspankkien ja Osuuspankkien Keskuspankki Oy:n puolesta, Suomen Pankkiyhdistys jäsenpankkiensa puolesta ja Suomen Säästöpankkiliitto säästöpankkien ja Säästöpankkien Keskus-Osake-Pankin puolesta sekä Postipankki Oy.

HAKEMUS
Hakijat pyytävät henkilörekisterilain 37 §:ssä tarkoitettua poikkeuslupaa saada:

1) Tallettaa asiakashäiriörekistereihinsä entisiä asiakkaitaan koskevia saamisen maksun viivästymistietoja enintään 5 vuoden ajan henkilörekisterilain 5 §:ssä tarkoitetun yhteysvaatimuksen katkeamisesta, jos erääntynyt velka on ollut maksamatta yli 30 päivää siitä, kun pankki on lähettänyt viivästymisestä ensimmäisen kirjallisen ilmoituksen.

Hakijat ovat suullisesti selittäneet, että asiakkuutta arvioidaan toimintokohtaisesti ja tarkentaneet hakemustaan siten, että poikkeuslupaa maksuviivästystietojen tallettamiseen pyydetään viideksi vuodeksi siitä, kun tapahtuma on selvitetty.

2) Kerätä ja tallettaa asiakashäiriörekistereihinsä sekä käyttää tietoja sellaisista pankin omiin pankkipalveluihin kohdistuneista väärinkäytöksistä, joista pankilla olisi perusteita tehdä rikosilmoitus.

Hakijat katsovat, että väärinkäytökset voivat kohdistua mihin tahansa pankkipalveluihin, eikä niiden tyhjentävä luetteleminen ole mahdollista.

1) ja 2)-kohdissa tarkoitetuista tiedoista talletettaisiin asiakashäiriörekistereihin seuraavat tiedot:

- Tieto häiriön ajankohdasta
- Tiedon tallennusajankohta
- Koodi, joka ilmaisee, että kysymyksessä on 1-kohdassa
tarkoitettu tieto sekä mahdollinen luoton numero.
Koodiin tehtäisiin lisämerkintä, jos saaminen on
hoidettu ilman oikeudellisia perimistoimia.
- Koodi, joka ilmaisee, että kysymyksessä on 2-kohdassa
tarkoitettu tieto.
- Väärinkäyttäjän nimi, henkilötunnus, osoite ja ammatti.
- Velan tai vaatimuksen määrä tuhansina markkoina.
- Tieto siitä, kuka on ilmoittanut tallennettavan tiedon.

1) ja 2)-kohdassa tarkoitettuja tietoja on tarkoitus käyttää väärinkäytösten estämiseksi sekä pankin luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.

Hakemuksen liitteenä olevassa rekisteriselosteen luonnoksessa käyttötarkoitusta on täsmennetty siten, että tietoja on tarkoitus käyttää asiakkaan luotettavuuden ja luottokelpoisuuden arvioimiseen erityisesti luoton- ja sitoumustenannon ja tilinavaamisen yhteydessä sekä pankkeja kohtaan suunnattujen rikosten ja rikossarjojen ehkäisemiseen ja katkaisemiseen sekä tekijöiden kiinnisaamiseen.

3) Luovuttaa 2)-kohdassa tarkoitettuja väärinkäytöstietoja toisille pankeille jos tiedon luovuttaminen on tarpeen pankkeja kohtaan suunnattujen rikosten ja rikossarjojen ehkäisemiseksi ja katkaisemiseksi sekä tekijöiden kiinnisaamiseksi tai pankkien luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi. Tietoa velan tai vaatimuksen markkamäärästä ei kuitenkaan luovutettaisi.

Tiedot luovutettaisiin teknisen käyttöyhteyden avulla tai puhelimitse.

KUULEMINEN

Tietosuojalautakunta on kuullut asiassa tietosuojavaltuutettua kokouksessaan 9.10.1989 ja hakijoiden edustajia kokouksessaan 23.10.1989.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Rekisterinpitäjä

Rekisterinpitäjällä tarkoitetaan henkilörekisterilain 2 §:ssä henkilöä, yhteisöä tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.

Hakemuksen mukaan kullakin hakijalla olisi oma asiakashäiriörekisterinsä, joka sisältäisi hakemuksessa tarkoitettuja tietoja. Rekisterien teknisen ylläpidon hoitaisi Luottokontrolli Oy eli nykyinen Suomen Asiakastieto Oy, jolla ei olisi käyttöoikeutta rekistereihin. Ylläpitotiedot asiakasrekistereihin saadaan pankin sisältä ja viranomaisilta, kuten poliisilta ja tuomioistuimilta. Rekisterissä oleva virhe korjataan normaalin ylläpitomenettelyn yhteydessä.

Tietosuojalautakunta katsoo, että kukin juridisesti itsenäinen pankki on oman asiakashäiriörekisterinsä henkilörekisterilain 2 §:n 3 kohdassa tarkoitettu rekisterinpitäjä.

Poikkeusluvan myöntämisen edellytykset

Henkilörekisterilain 37 §:ssä tarkoitetun poikkeusluvan myöntämisen edellytyksenä on, että luvan myöntämiseen on painava syy. Lisäedellytyksenä on, että rekisteröidyn yksityisyyden sekä hänen etujensa ja oikeuksiensa ja valtion turvallisuuden vaarantuminen voidaan estää.

Tietosuojalautakunnan on luvan myöntäessään liitettävä siihen rekisteröidyn yksityisyyden suojan sekä hänen etujensa ja oikeuksiensa samoin kuin valtion turvallisuuden suojaamiseksi tarpeelliset määräykset.

A) Maksun viivästymistä koskevien tietojen tallettaminen

Yhteysvaatimus

Henkilörekisterilain 5 §:n 1 momentissa säädetyn yhteysvaatimuksen mukaan henkilörekisteriin saa kerätä ja tallettaa tietoja vain sellaisista henkilöistä, joilla esimerkiksi asiakassuhteen vuoksi on asiallinen yhteys rekisterinpitäjän toimintaan, jollei rekisterin pitäminen johdu rekisterinpitäjälle säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä. Yhteysvaatimuksen puuttumisen voi korvata rekisteröidyn suostumus tai tietosuojalautakunnan myöntämä henkilörekisterilain 37 §:ssä tarkoitettu poikkeuslupa.

Tietosuojalautakunta katsoo, että yhteysvaatimus ei täyty hakijoiden rekisterinpidossa siltä osin, kuin saamisen maksun viivästymistietoja on tarkoitus tallettaa henkilöistä, joiden asiakassuhde pankkiin on katkennut.

Koska mainittujen maksun viivästymistä koskevien tietojen tallettaminen ei johdu hakijoille lain tai asetuksen nojalla määrätystä tehtävästä eivätkä rekisteröitävät ole antaneet suostumustaan tietojen tallettamiseen, tarvitsevat hakijat tietojen tallettamiseen henkilörekisterilain 37 §:ssä tarkoitetun poikkeusluvan yhteysvaatimuksesta.

Päätös

Tietosuojalautakunta katsoo, että saamisen maksun viivästymistä koskevilla tiedoilla on merkitystä arvioitaessa henkilön taloudellista asemaa, sitoumusten hoitokykyä ja luotettavuutta.

Pankeille, jotka harjoittavat laajamittaista luotonantoa ja joiden taloudelliset riskit luotonannossa saattavat olla huomattavat, on tärkeätä säilyttää maksun viivästymistietoja jonkin aikaa asiakassuhteen katkeamisen jälkeenkin, koska asianomainen voi lyhyessäkin ajassa hakeutua uudestaan pankin asiakkaaksi. Tietosuojalautakunta katsoo, että siltä osin, kuin tietoja on tarkoitus käyttää pankin luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi poikkeusluvan myöntämiseen on painava syy.

Tietosuojalautakunta myöntää hakijoille poikkeusluvan tallettaa hakemuksessa tarkoitettuja entisiä asiakkaita koskevia saamisen maksun viivästymistietoja pankin luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.

Lupaehdot

Jotta rekisteröidyn edut ja oikeudet voitaisiin turvata lautakunta asettaa seuraavat lupaehdot tietojen tallettamiselle:

1) Tiedon saa tallettaa vain, jos erääntynyt saaminen on ollut maksamatta yli 60 päivää eräpäivästä.

2) Tietoa ei saa tallettaa, jos asiakkaan kanssa on 1-kohdassa mainitun ajan kuluessa sovittu maksujärjestelyistä.

3) Tämän poikkeusluvan nojalla ei tietoa saa tallettaa, jos maksun suorittamisesta on kulunut 2 vuotta.

4) Tämän poikkeusluvan nojalla talletettu tieto on hävitettävä 1 vuoden kuluessa asiakassuhteen katkeamisesta.

5) Tämän poikkeusluvan nojalla talletetusta tiedosta ja sen käyttötarkoituksesta on ilman aiheetonta viivytystä ilmoitettava kirjallisesti rekisteröidylle.

Lupaehtojen perustelut

1) Lupaehdolla halutaan varmistaa, ettei rekisteriin talleteta tilapäisistä maksuvaikeuksista, esimerkiksi rekisteröitävän sairaudesta johtuvia maksuhäiriöitä. Lupaehdolla halutaan varmistaa myös, että rekisteröitävä ehtii sopia maksujärjestelyistä pankin kanssa.

2) Lupaehto on asetettu, jotta tietoa sellaisesta maksun viivästymisestä, jonka hoitamisesta on sovittu asiakkaan ja pankin välillä, ei talletettaisi rekisteriin.

3 ja 4) Lupaehdot on asetettu, jottei maksun viivästymisen vaikutus ulottuisi kohtuuttoman pitkälle ajalle ja koska rekisteröidyn luottokelpoisuus saattaa kohentua lyhyessäkin ajassa.

5) Lupaehdolla halutaan varmistaa rekisterinpidon avoimuuden periaatteen toteutuminen. Rekisteröitävillä tulee olla tieto siitä, että heistä talletetaan hakemuksessa tarkoitettuja maksuviivästystietoja ja siitä, että näitä tietoja voidaan käyttää heitä koskevassa päätöksenteossa. Tämän vuoksi tulee tiedon tallettamisesta ilmoittaa rekisteröidylle asiakassuhteen päättyessä.

B) Väärinkäytöstietojen kerääminen, tallettaminen ja käyttäminen

Yhteysvaatimus

Tietosuojalautakunta katsoo, että henkilörekisterilain 5 §:n 1 momentissa tarkoitettu yhteysvaatimus toteutuu pankin ja rekisteröitävän välillä, koska pankin pankkipalveluihin kohdistuneeseen väärinkäytökseen epäillyn ja pankin välillä vallitsee lainkohdassa tarkoitettu muu asiallinen yhteys, vaikkei asiakassuhdetta olisikaan olemassa. Yhteysvaatimus voi kuitenkin katketa esimerkiksi sen jälkeen kun asia on ratkaistu tuomioistuimen lainvoimaisella päätöksellä ja mahdollinen saatava on suoritettu.

Väärinkäytöstietojen tallettaminen ei johdu hakijoille säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä. Koska rekisteröitävät eivät myöskään ole antaneet suostumustaan väärinkäytöstietojen tallettamiseen, tarvitsevat hakijat poikkeusluvan yhteysvaatimuksesta siltä osin kuin väärinkäytöstietoja talletettaisiin henkilörekisterilain 5 §:n 1 momentissa tarkoitetun asiallisen yhteyden katkeamisen jälkeen.

Arkaluonteiset tiedot

Arkaluonteisilla tiedoilla tarkoitetaan henkilörekisterilain 6 §:n 2 momentin 3 kohdassa henkilötietoja, jotka on tarkoitettu kuvaamaan muun muassa rikollista tekoa. Rikollisella teolla tarkoitetaan sellaista lainvastaista menettelyä, josta on säädetty rangaistus.

Pankkien asiakashäiriörekistereihin on tarkoitus tallettaa väärinkäytöksistä koodi, joka ilmaisee, että kysymyksessä on väärinkäytös, josta pankilla olisi perusteita tehdä rikosilmoitus. Koodi kertoo siis, että rekisteröity on pankin käsityksen mukaan syyllistynyt rikolliseen tekoon. Väärinkäytöstiedot ovat näin ollen rikollista tekoa koskevia eli arkaluonteisia tietoja.

Arkaluonteisia henkilötietoja ei pääsääntöisesti saa kerätä ja tallettaa ilman rekisteröidyn kirjallista suostumusta tai tietosuojalautakunnan henkilörekisterilain 37 §:n nojalla myöntämää poikkeuslupaa. Arkaluonteisten tietojen rekisteröintikiellon poikkeuksista on säädetty henkilörekisterilain 7 §:ssä.

Koska hakijoilla ei ole rekisteröitävien kirjallista suostumusta väärinkäytöstietojen keräämiseen ja tallettamiseen ja koska muutkaan henkilörekisterilain 7 §:ssä arkaluonteisten tietojen rekisteröimiselle säädetyt edellytykset eivät täyty, tarvitsevat hakijat väärinkäytöstietojen keräämiseen ja tallettamiseen poikkeusluvan.

Päätös

Tietosuojalautakunta katsoo, että vaikka väärinkäytöksiä koskevilla tiedoilla sinänsä ei ole välitöntä yhteyttä henkilön taloudelliseen asemaan ja sitoumusten hoitokykyyn, saattaa tiedoilla nimenomaan pankkipalveluihin kohdistuneista väärinkäytöksistä olla merkitystä arvioitaessa henkilön luotettavuutta pankin luoton- ja sitoumustenannon yhteydessä. Lautakunta katsoo, että siltä osin, kuin tietoja on tarkoitus käyttää pankin luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi, poikkeusluvan myöntämiseen on painava syy.

Siltä osin kuin väärinkäytöstietoja on tarkoitus käyttää väärinkäytösten estämiseksi eli pankkeja kohtaan suunnattujen rikosten ja rikossarjojen ehkäisemiseksi ja katkaisemiseksi sekä tekijöiden kiinnisaamiseksi, tietosuojalautakunta toteaa, että mainittujen tavoitteiden toteuttaminen ei kuulu pankkien, vaan poliisin toimialaan, eikä luvan myöntämiseen tällä perusteella ole painavaa syytä.

Tietosuojalautakunta myöntää hakijoille poikkeusluvan yhteysvaatimuksesta ja arkaluonteisten tietojen rekisteröintikiellosta ja oikeuttaa hakijat keräämään, tallettamaan ja käyttämään hakemuksessa tarkoitettuja väärinkäytöstietoja pankin luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.

Lupaehdot

Rekisteröidyn yksityisyyden suojan sekä hänen etujensa ja oikeuksiensa turvaamiseksi tietosuojalautakunta asettaa väärinkäytöstietojen keräämiselle, tallettamiselle ja käyttämiselle seuraavat lupaehdot:

1) Tietoa ei saa rekisteröidä, ennen kuin hakija on tehnyt asiasta rikosilmoituksen.

2) Tieto on poistettava välittömästi, kun asianomainen on alioikeuden tuomiolla todettu syyttömäksi syytteessä tarkoitettuun tekoon tai oikeusprosessista on luovuttu.

3) Tieto on poistettava 3 vuoden kuluttua tuomion lainvoimaiseksi tulosta tai silloin kun rekisteröinnin aiheuttaneesta teosta on kulunut 5 vuotta, riippuen siitä, kumpi ajankohta on myöhäisempi.

4) Tiedon tallettamisesta ja sen käyttötarkoituksesta on välittömästi kirjallisesti ilmoitettava rekisteröidylle.

Lupaehtojen perustelut

1) Väärinkäytöstietojen rekisteröiminen pelkästään sillä perusteella, että pankki katsoo olevan perusteita tehdä rikosilmoitus, vaarantaa rekisteröidyn oikeusturvaa. Rekisteröidyn oikeusturva edellyttää, että rekisteröitävä väärinkäytös saatetaan viranomaisten tutkittavaksi.

2) Rekisterinpitäjän on huolehdittava siitä, että henkilörekisterissä oleva, rekisterin käyttötarkoituksen kannalta virheellinen tieto poistetaan. Väärinkäytöstietojen laatu huomioon ottaen tieto on poistettava välittömästi.

3) Tieto on poistettava asetetussa määräajassa, jottei rekisteröidylle kasautuisi teon johdosta jatkuvasti haitallisia seuraamuksia luottokelpoisuuden menettämisen muodossa.

4) Lupaehdolla halutaan varmistaa rekisterinpidon avoimuuden periaatteen toteutuminen. Rekisteröitävillä tulee olla tieto siitä, että heistä talletetaan hakemuksessa tarkoitettuja väärinkäytöstietoja ja siitä, että näitä tietoja voidaan käyttää heitä koskevassa päätöksenteossa.

Lupaehdolla halutaan myös varmistaa, että rekisteröitävä voi valvoa oikeuksiaan ja vaatia virheellisen tiedon poistamista.

C) Väärinkäytöstietojen luovuttaminen muille pankeille

Luovuttamisen edellytykset

Henkilörekisterilain 18 §:n 1 momentin mukaan henkilörekisterissä olevia tai sitä varten kerättyjä henkilötietoja saa luovuttaa vain:

1) rekisteröidyn suostumuksella tai rekisteröidyn toimeksiannosta;

2) lain tai asetuksen taikka niiden nojalla annetun määräyksen mukaisesti;

3) sellaisissa olosuhteissa, joissa henkilötiedon luovuttaminen kuuluu tavanomaisena osana sellaisen toiminnan harjoittamiseen; luovuttamisen edellytyksenä on tällöin kuitenkin muun muassa, että kysymys ei ole arkaluonteisista tiedoista; tai

4) tieteellistä tutkimusta tai tilastointia varten.

Henkilörekisterilain 18 §:n 3 momentin mukaan henkilöluottotiedon saa luovuttaa luottotietotoimintaa harjoittavalle rekisterinpitäjälle sekä sille, joka tarvitsee tietoa luoton myöntämistä tai luoton valvontaa varten taikka muuhun tähän verrattavaan tarkoitukseen.

Henkilörekisterilain 18 §:n 1 momentissa säädetyt edellytykset eivät täyttyisi väärinkäytöstietojen luovuttamisessa.

Henkilöluottotiedolla tarkoitetaan henkilörekisterilain 2 §:n 6 kohdassa henkilön taloudellisen aseman, sitoumusten hoitokyvyn tai luotettavuuden arvioimisessa käytettäväksi tarkoitettuja henkilötietoja. Tietosuojalautakunta katsoo, että lainkohdassa tarkoitettu henkilöluottotieto voi olla vain sellainen tieto, jonka käyttäminen luottotietona on lain nojalla sallittu. Tämän vuoksi väärinkäytöstietojen luovuttaminen ei ole sallittua myöskään henkilörekisterilain 18 §:n 3 momentin nojalla.

Hakijat tarvitsevat näin ollen henkilörekisterilain 37 §:ssä tarkoitetun poikkeusluvan väärinkäytöstietojen luovuttamiseen.

Päätös

Rikollista tekoa kuvaavien väärinkäytöstietojen rekisteröiminen sisältää tavanomaista suuremman riskin kansalaisten yksityisyydelle ja oikeusturvalle. Tietosuojalautakunta katsoo, että tällaisten tietojen luovuttaminen kaikkien hakijoina olevien pankkien käytettäväksi lisäisi mainittua riskiä etenkin, kun suuri osa väärinkäytöstiedoista koskisi tekoja, joista lopullista tuomiota ei ole annettu.

Tietosuojalautakunta katsoo, ettei poikkeusluvan myöntämiseen ole painavaa syytä ja hylkää tietojen luovuttamista koskevan hakemuksen.

POIKKEUSLUVAN MÄÄRÄAIKAISUUS

Siltä osin kuin poikkeuslupa on edellä myönnetty, se on voimassa kolme vuotta tämän päätöksen lainvoimaiseksi tulosta.

Lupa myönnetään määräaikaisena, jotta asia voitaisiin käsitellä uudelleen kun on saatu kokemuksia asetettujen määräysten riittävyydestä ja niiden noudattamisesta.

SOVELLETUT SÄÄNNÖKSET

Henkilörekisterilaki 2 §
Henkilörekisterilaki 5 § 1 mom
Henkilörekisterilaki 6 § 1 mom
Henkilörekisterilaki 6 § 2 mom 3 kohta
Henkilörekisterilaki 7 §
Henkilörekisterilaki 9 §
Henkilörekisterilaki 15 §
Henkilörekisterilaki 18 §
Henkilörekisterilaki 37 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.