25.3.2024

Asia

Lainanhakijoiden tietojen saatavilla olo lainakilpailutuspalvelussa

Rekisterinpitäjä

Sambla Group Oy

Asian tausta

1. Tietosuojavaltuutetun toimiston tietoon on 23.12.2022 saatettu, että rekisterinpitäjän lainakilpailutuspalvelussa täytetyt lainahakemukset ovat saatavilla lainanhakijalle henkilökohtaisesti jaetun linkin kautta. Hakemuksen url-osoite on vakiomuotoinen, ja kenellä tahansa on ollut pääsy hakemukseen, jos tietää url-osoitteen.

2. Hakemuksen tiedoista henkilötunnus, sähköpostiosoite ja puhelinnumero ovat osin peitetyt. Tietosuojavaltuutetun toimistolle ilmoituksen tehneen henkilön mukaan hän on kuitenkin nähnyt tiedot kokonaisuudessaan hakemuksen täytettyään. Tilanteessa sivusto on näyttänyt virhekoodia 505 bad gateway ja selaimella on tämän jälkeen palattu edelliseen näkymään, jossa tiedot ovat olleet nähtävissä kokonaisuudessaan.

3. Tietosuojavaltuutetun toimisto on sille tehdyn ilmoituksen myötä ryhtynyt toimenpiteisiin rekisterinpitäjän verkkosivustolla oleviin lainahakemuksiin liittyvän henkilötietojen käsittelyn selvittämiseksi. Tietosuojavaltuutetun toimistossa 20.3.2024 tehdyssä teknisessä selvityksessä on havaittu, että rekisterinpitäjän palvelussa on vakavia tietoturvapuutteita, jotka merkittävällä tavalla vaarantavat rekisteröityjen henkilötietojen suojan.

Rekisterinpitäjältä saatu selvitys

4. Tietosuojavaltuutetun toimisto on pyytänyt asiassa rekisterinpitäjältä selvitystä. Rekisterinpitäjä on 20.10.2023 ja 17.11.2023 vastauksissaan tietosuojavaltuutetun toimiston selvityspyyntöihin todennut seuraavaa.

5. Rekisterinpitäjän näkemyksen mukaan kysymys ei ole ollut henkilötietojen tietoturvaloukkauksesta. Rekisteröityjen henkilötietoja ei missään vaiheessa ole vahingossa tai lainvastaisesti tuhottu, hävitetty, muutettu tai luovutettu luvattomasti, eivätkä tiedot ole olleet luvattoman pääsyn kohteena.

6. Kaikille lainahakemuksen täyttäneille henkilöille, jotka haluavat saada lainahakemuksen jaettavaksi puhelinnumeroonsa tai sähköpostiinsa, lähetetään henkilökohtainen ja yksilöllinen linkki lainahakemukseen. Lainahakemuksen täyttäneet henkilöt näkevät heille lähetetyn linkin kautta vain omat peitetyt tietonsa. Rekisterinpitäjä ei jaa lainanhakijoiden tietoja muille.

7. Linkki lainahakemukseen on henkilökohtainen ja yksilöllinen eikä sitä ole tarkoitettu jaettavaksi. Koska linkki ei ole julkisesti saatavilla, kolmansilla osapuolilla ei ole pääsyä sen takana olevaan tietoon, ellei rekisteröity itse jaa linkkiä.

8. Rekisterinpitäjä katsoo, että kolmannen osapuolen ei ole mahdollista tunnistaa lainanhakijaa sivustolla näkyvien osin peitettyjen tietojen perusteella suoraan tai välillisesti. Tunnistaminen ei ole mahdollista myöskään sivuston url-osoitteen sisällön perusteella.

9. Rekisterinpitäjä katsoo, että se on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen henkilötietojen asianmukaisen turvallisuuden. Tämä on tehty tunnistamalla ne todennäköisimmät riskit, joilla on vakavimmat vaikutukset rekisteröidylle ja toteuttamalla riskiä vastaavat (ensisijaisesti luvaton pääsy henkilötietoihin) tekniset toimenpiteet riskien toteutumisen minimoimiseksi. Nämä ovat henkilökohtaisen ja yksilöllisen linkin lähettäminen niille lainanhakijoille, jotka tätä toivovat, sekä lainahakemuksessa annettujen tietojen peittäminen. Linkin takana olevat lainanhakijaa koskevat tiedot eivät ole kolmansien osapuolten saatavilla ilman, että rekisteröity itse jakaa rekisterinpitäjän hänelle lähettämän henkilökohtaisen linkin.

10. Rekisterinpitäjä on oletusarvoisesti rajoittanut tietoihin pääsyä luomalla yksilöllisen ja henkilökohtaisen linkin asiakkaan lainahakemuksen tietoihin siten, ettei asiakasta pysty tunnistamaan linkin sisällön perusteella, jakamalla linkki sähköpostitse tai tekstiviestitse rekisteröidyn ilmoittamaan numeroon tai sähköpostiosoitteeseen ja peittämällä asiakkaan lainahakemuksessa ilmeneviä tietoja.

11. Peittämättömät tiedot ovat näkyvissä ainoastaan niille rekisterinpitäjän työntekijöille, joilla on järjestelmänvalvojan käyttöoikeudet ja vain VPN-yhteyden kautta. Rekisterinpitäjällä on palomuuri estääkseen ulkopuolisten mahdolliset yritykset päästä tähän tietoon käsiksi.

Asianosaisten kuuleminen

12. Hallintolain (434/2003) 34 §:n 1 momentin mukaan asianosaiselle on ennen asian ratkaisemista varattava tilaisuus tulla kuulluksi ja antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Pykälän 2 momentin 4 kohdan mukaan asian saa ratkaista kuulematta, jos kuuleminen saattaa vaarantaa päätöksen tarkoituksen toteuttamisen.

13. Tietosuojavaltuutetun toimistossa on 20.3.2024 laadittu tekninen selvitys, jossa on havaittu, että lainanhakijoiden tiedot ovat julkisesti saatavilla verkossa jäljempänä päätöksen perusteluissa kuvatulla tavalla.

14. Edellä kappaleessa 4 kuvatusti rekisterinpitäjälle on varattu tilaisuus antaa selvitys asiasta. Tietosuojavaltuutetun toimiston laatimassa teknisessä selvityksessä havaitut puutteet ovat laadultaan siinä määrin vakavia, että päätöksen tarkoitus voi estyä ja rekisteröityjen oikeusturva vaarantua vakavasti, mikäli rekisterinpitäjää kuultaisiin tässä yhteydessä vielä erikseen teknisestä selvityksestä ennen väliaikaista päätöstä. Väliaikaisen päätöksen antamisen jälkeen rekisterinpitäjällä on mahdollisuus toimittaa tietosuojavaltuutetun toimistolle selvitystä asiassa, ja tietosuojavaltuutetun toimisto tulee kuulemaan rekisterinpitäjää asian jatkokäsittelyn yhteydessä.

15. Edellä sanotusta johtuen asia ratkaistaan väliaikaisella päätöksellä asianosaista kuulematta hallintolain 34 §:n 2 momentin 4 kohdan perusteella.

16. Tietosuojavaltuutetun toimiston työjärjestyksen 14 §:n toisen kohdan mukaan tietosuojavaltuutetun toimiston seuraamuskollegio käsittelee yleisen tietosuoja-asetuksen (EU) 2016/679 58 artiklan 2 kohdan f alakohdassa säädetyn käsittelyn kieltämistä koskevan asian.

17. Tietosuojavaltuutetun toimiston seuraamuskollegio on käsitellyt asian 21.3.2024 järjestetyssä kokouksessa. Apulaistietosuojavaltuutettu on tehnyt asiassa päätöksen seuraamuskollegiota kuultuaan. Seuraamuskollegio oli asiassa yksimielinen.

Sovellettavasta lainsäädännöstä

18. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa säädetyn eheyden ja luottamuksellisuuden periaatteen mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).

19. Yleisen tietosuoja-asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa koskevan 25 artiklan 1 kohdan mukaan ottaen huomioon uusimman teknologian, toteuttamiskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on sekä käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

20. Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

21. Yleisen tietosuoja-asetuksen johdanto-osan 78 kappaleen mukaan palveluja kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä on huomioitava, että rekisterinpitäjän tulee pystyä täyttämään tietosuojavelvoitteensa.

22. Yleisen tietosuoja-asetuksen käsittelyn turvallisuutta koskevan 32 artiklan 1 kohdan mukaan ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten

a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.

23. Tietosuojalain (1050/2018) 25 §:n 3 momentin nojalla tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

Oikeudellinen kysymys

24. Asiassa on ratkaistava:

1. onko rekisterinpitäjä noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 25 artiklan 1 ja 2 kohdassa ja 32 artiklan 1 kohdassa säädettyä siltä osin kuin lainanhakijoiden täyttämien lainahakemusten tiedot ovat saatavilla rekisterinpitäjän lainakilpailutuspalvelussa lainanhakijoille jaettujen yksilöllisten url-osoitteiden kautta.

2. tuleeko rekisterinpitäjää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla väliaikaisesti kieltää käsittelemästä kysymyksessä olevassa lainakilpailutuspalvelussa sekä muissa vastaavissa palveluissa olevia lainanhakijoiden täyttämien lainahakemusten tietoja siten, että lainahakemusten tiedot ovat saatavilla rekisterinpitäjän sähköisessä palvelussa lainanhakijoille jaettujen yksilöllisten url-osoitteiden kautta.

Päätös

25. Rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 25 artiklan 1 ja 2 kohdassa ja 32 artiklan 1 kohdassa säädettyä siltä osin kuin lainanhakijoiden täyttämien lainahakemusten tiedot ovat kolmansien saatavilla rekisterinpitäjän lainakilpailutuspalvelussa lainanhakijoille jaettujen yksilöllisten url-osoitteiden kautta.

26. Apulaistietosuojavaltuutettu kieltää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla rekisterinpitäjää käsittelemästä lainakilpailutuspalvelussa olevia lainanhakijoiden täyttämien lainahakemusten tietoja siten, että lainanhakijoiden täyttämien lainahakemusten tiedot ovat kolmansien saatavilla lainanhakijoille tarkoitettujen yksilöllisten url-osoitteiden kautta. Lisäksi mikäli rekisterinpitäjällä on vastaavia muita palveluja eri domaineilla, joissa lainahakemusten tiedot ovat saatavilla vastaavalla tavalla, rekisterinpitäjää kielletään käsittelemästä näitä tietoja.

27. Käsittelykielto tulee voimaan 5.4.2024. Kyse on väliaikaisesta päätöksestä, joka on voimassa kuusi kuukautta, 5.10.2024 saakka.

28. Tässä päätöksessä on arvioitu ainoastaan väliaikaisen käsittelykiellon edellytysten täyttymistä. Asian käsittely ja laajempi oikeudellinen arviointi jatkuu tietosuojavaltuutetun toimistossa. Asian käsittely tullaan saattamaan päätökseen tietosuojavaltuutetun toimistossa ennen väliaikaisen päätöksen voimassaolon päättymistä.

29. Apulaistietosuojavaltuutettu määrää tietosuojalain 25 §:n 3 momentin nojalla rekisterinpitäjää noudattamaan käsittelykieltoa koskevaa määräystä muutoksenhausta huolimatta.

30. Apulaistietosuojavaltuutettu määrää rekisterinpitäjän toimittamaan tietosuojavaltuutetun toimistolle viimeistään 26.4.2024 tiedon siitä, mihin toimenpiteisiin se ryhtyy tämän päätöksen johdosta.

31. Rekisterinpitäjä voi toimittaa tietosuojavaltuutetun toimistolle myös muita tietoja, joiden se katsoo vaikuttavan tässä päätöksessä esitettyyn arviointiin. Apulaistietosuojavaltuutettu voi näiden tietojen perusteella arvioida uudelleen käsittelykiellon tarpeellisuutta.

Tietosuojavaltuutetun toimistossa laadittu tekninen selvitys

Oikeudellinen arviointi

46. Edellä esitetyn teknisen selvityksen perusteella rekisterinpitäjän palvelu on tietoturvallisuudeltaan erittäin heikko. Palvelussa tehdyt lainahakemukset ovat käytännössä kaikille avoimesti saatavilla yksilöityjen url-osoitteiden kautta niiden lainanhakijoiden osalta, jotka ovat pyytäneet saada lainahakemuksen jaettavaksi puhelinnumeroonsa tai sähköpostiinsa. Teknisen selvityksen perusteella on havaittavissa, että kolmansien on täysin mahdollista ja todennäköistäkin käydä järjestelmällisesti kaikki lyhyet url-osoitteet läpi ja päästä käsiksi palvelussa oleviin henkilötietoihin.

47. Lainahakemusten tiedot ovat palvelussa saatavilla kaikille ilman minkäänlaista kirjautumista. Henkilötiedot ovat kokonaisuudessaan nähtävissä selaimessa sivun niin sanotussa session storagen muuttujan __LSM__ -arvona. Sivuston session storage on helposti nähtävissä lähes joka selaimessa olevalla niin sanotulla kehittäjän työkaluilla. Lisäksi Google-haulla löytyy joitain yksittäisiä linkkejä, joista niin ikään saa henkilötiedot näkyviin. Lisäksi selaimen kutsuissa on saatavilla lainanhakijan sähköpostiosoite selkokielisenä. Tieto on nähtävissä selaimen kehittäjän työkaluilla.

48. Toisin kuin rekisterinpitäjä on esittänyt, ovat tiedot siten kaikkien niiden saatavilla, joilla on pääsy yleiseen internetiin ja riittävä tekninen osaaminen. Palvelussa ei ole riittävää teknistä tai organisatorista rajoitusta, joka estäisi ulkopuolisten pääsyn tietoihin, joihin heidän ei kuulu päästä. Palvelun käyttäjien lainahakemusten tiedot ovat rajoittamattoman henkilömäärän saatavilla niiden lainanhakijoiden osalta, jotka ovat pyytäneet saada lainahakemuksen jaettavaksi puhelinnumeroonsa tai sähköpostiinsa. Laaja pääsy lainanhakijoiden tietoihin lähetetyn sähköposti- tai tekstiviestilinkin kautta osoittaa jo itsessään, että tietoturvasta ei ole huolehdittu yleisen tietosuoja-asetuksen edellyttämällä tavalla.

49. Edellä kuvatulla tavalla saatavilla ovat tiedot lainanhakijan henkilötunnuksesta, sähköpostiosoitteesta, tilinumerosta, kotiosoitteesta, kansalaisuudesta, puhelinnumerosta, kuukausituloista, tulolähteistä, mahdollisesta rinnakkaishakijasta, siviilisäädystä, mahdollisen puolison kuukausituloista, mahdollisista lapsista, ammatista, kansalaisuudesta, koulutuksesta, asepalveluksen suorittamisesta, asumismuodosta, asumismenoista ja mahdollisen kesämökin omistamisesta.

50. Palvelussa avoimesti saatavilla olevat tiedot on tarkoitettu lainahakemusten tekemiseen. Ne kuvaavat rekisteröidyn taloudellista asemaa. Kyse on tiedoista, joita ihmiset eivät tyypillisesti jaa laajasti. Lisäksi kyse on tiedoista, joita ei ole julkisista lähteistä saatavilla. Tietojen puutteellinen suojaus ja riittämättömästi rajoitettu saatavuus internetissä vaarantavat rekisteröityjen yksityisyyden suojan ja aiheuttavat korkean riskin rekisteröityjen oikeuksille ja vapauksille. Palvelussa olevien rekisteröityjen henkilötietojen saatavilla olo aiheuttaa lisäksi riskin identiteettivarkauksille ja siten esimerkiksi petosten kautta aiheutuville taloudellisille menetyksille.