Lainanhakijoiden tietojen saatavilla olo lainakilpailutuspalvelussa
- Keywords
- Väliaikainen päätös, Tietoturvallisuus
- Year of case
- 2024
- Date of Issue
- Register number
- TSV/132/2022
- Legal basis
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun väliaikainen päätös
Asia
Lainanhakijoiden tietojen saatavilla olo lainakilpailutuspalvelussa
Rekisterinpitäjä
Sambla Group Oy
Asian tausta
1. Tietosuojavaltuutetun toimiston tietoon on 23.12.2022 saatettu, että rekisterinpitäjän lainakilpailutuspalvelussa täytetyt lainahakemukset ovat saatavilla lainanhakijalle henkilökohtaisesti jaetun linkin kautta. Hakemuksen url-osoite on vakiomuotoinen, ja kenellä tahansa on ollut pääsy hakemukseen, jos tietää url-osoitteen.
2. Hakemuksen tiedoista henkilötunnus, sähköpostiosoite ja puhelinnumero ovat osin peitetyt. Tietosuojavaltuutetun toimistolle ilmoituksen tehneen henkilön mukaan hän on kuitenkin nähnyt tiedot kokonaisuudessaan hakemuksen täytettyään. Tilanteessa sivusto on näyttänyt virhekoodia 505 bad gateway ja selaimella on tämän jälkeen palattu edelliseen näkymään, jossa tiedot ovat olleet nähtävissä kokonaisuudessaan.
3. Tietosuojavaltuutetun toimisto on sille tehdyn ilmoituksen myötä ryhtynyt toimenpiteisiin rekisterinpitäjän verkkosivustolla oleviin lainahakemuksiin liittyvän henkilötietojen käsittelyn selvittämiseksi. Tietosuojavaltuutetun toimistossa 20.3.2024 tehdyssä teknisessä selvityksessä on havaittu, että rekisterinpitäjän palvelussa on vakavia tietoturvapuutteita, jotka merkittävällä tavalla vaarantavat rekisteröityjen henkilötietojen suojan.
Rekisterinpitäjältä saatu selvitys
4. Tietosuojavaltuutetun toimisto on pyytänyt asiassa rekisterinpitäjältä selvitystä. Rekisterinpitäjä on 20.10.2023 ja 17.11.2023 vastauksissaan tietosuojavaltuutetun toimiston selvityspyyntöihin todennut seuraavaa.
5. Rekisterinpitäjän näkemyksen mukaan kysymys ei ole ollut henkilötietojen tietoturvaloukkauksesta. Rekisteröityjen henkilötietoja ei missään vaiheessa ole vahingossa tai lainvastaisesti tuhottu, hävitetty, muutettu tai luovutettu luvattomasti, eivätkä tiedot ole olleet luvattoman pääsyn kohteena.
6. Kaikille lainahakemuksen täyttäneille henkilöille, jotka haluavat saada lainahakemuksen jaettavaksi puhelinnumeroonsa tai sähköpostiinsa, lähetetään henkilökohtainen ja yksilöllinen linkki lainahakemukseen. Lainahakemuksen täyttäneet henkilöt näkevät heille lähetetyn linkin kautta vain omat peitetyt tietonsa. Rekisterinpitäjä ei jaa lainanhakijoiden tietoja muille.
7. Linkki lainahakemukseen on henkilökohtainen ja yksilöllinen eikä sitä ole tarkoitettu jaettavaksi. Koska linkki ei ole julkisesti saatavilla, kolmansilla osapuolilla ei ole pääsyä sen takana olevaan tietoon, ellei rekisteröity itse jaa linkkiä.
8. Rekisterinpitäjä katsoo, että kolmannen osapuolen ei ole mahdollista tunnistaa lainanhakijaa sivustolla näkyvien osin peitettyjen tietojen perusteella suoraan tai välillisesti. Tunnistaminen ei ole mahdollista myöskään sivuston url-osoitteen sisällön perusteella.
9. Rekisterinpitäjä katsoo, että se on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen henkilötietojen asianmukaisen turvallisuuden. Tämä on tehty tunnistamalla ne todennäköisimmät riskit, joilla on vakavimmat vaikutukset rekisteröidylle ja toteuttamalla riskiä vastaavat (ensisijaisesti luvaton pääsy henkilötietoihin) tekniset toimenpiteet riskien toteutumisen minimoimiseksi. Nämä ovat henkilökohtaisen ja yksilöllisen linkin lähettäminen niille lainanhakijoille, jotka tätä toivovat, sekä lainahakemuksessa annettujen tietojen peittäminen. Linkin takana olevat lainanhakijaa koskevat tiedot eivät ole kolmansien osapuolten saatavilla ilman, että rekisteröity itse jakaa rekisterinpitäjän hänelle lähettämän henkilökohtaisen linkin.
10. Rekisterinpitäjä on oletusarvoisesti rajoittanut tietoihin pääsyä luomalla yksilöllisen ja henkilökohtaisen linkin asiakkaan lainahakemuksen tietoihin siten, ettei asiakasta pysty tunnistamaan linkin sisällön perusteella, jakamalla linkki sähköpostitse tai tekstiviestitse rekisteröidyn ilmoittamaan numeroon tai sähköpostiosoitteeseen ja peittämällä asiakkaan lainahakemuksessa ilmeneviä tietoja.
11. Peittämättömät tiedot ovat näkyvissä ainoastaan niille rekisterinpitäjän työntekijöille, joilla on järjestelmänvalvojan käyttöoikeudet ja vain VPN-yhteyden kautta. Rekisterinpitäjällä on palomuuri estääkseen ulkopuolisten mahdolliset yritykset päästä tähän tietoon käsiksi.
Asianosaisten kuuleminen
12. Hallintolain (434/2003) 34 §:n 1 momentin mukaan asianosaiselle on ennen asian ratkaisemista varattava tilaisuus tulla kuulluksi ja antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Pykälän 2 momentin 4 kohdan mukaan asian saa ratkaista kuulematta, jos kuuleminen saattaa vaarantaa päätöksen tarkoituksen toteuttamisen.
13. Tietosuojavaltuutetun toimistossa on 20.3.2024 laadittu tekninen selvitys, jossa on havaittu, että lainanhakijoiden tiedot ovat julkisesti saatavilla verkossa jäljempänä päätöksen perusteluissa kuvatulla tavalla.
14. Edellä kappaleessa 4 kuvatusti rekisterinpitäjälle on varattu tilaisuus antaa selvitys asiasta. Tietosuojavaltuutetun toimiston laatimassa teknisessä selvityksessä havaitut puutteet ovat laadultaan siinä määrin vakavia, että päätöksen tarkoitus voi estyä ja rekisteröityjen oikeusturva vaarantua vakavasti, mikäli rekisterinpitäjää kuultaisiin tässä yhteydessä vielä erikseen teknisestä selvityksestä ennen väliaikaista päätöstä. Väliaikaisen päätöksen antamisen jälkeen rekisterinpitäjällä on mahdollisuus toimittaa tietosuojavaltuutetun toimistolle selvitystä asiassa, ja tietosuojavaltuutetun toimisto tulee kuulemaan rekisterinpitäjää asian jatkokäsittelyn yhteydessä.
15. Edellä sanotusta johtuen asia ratkaistaan väliaikaisella päätöksellä asianosaista kuulematta hallintolain 34 §:n 2 momentin 4 kohdan perusteella.
Asian käsittely tietosuojavaltuutetun toimiston seuraamuskollegiossa
16. Tietosuojavaltuutetun toimiston työjärjestyksen 14 §:n toisen kohdan mukaan tietosuojavaltuutetun toimiston seuraamuskollegio käsittelee yleisen tietosuoja-asetuksen (EU) 2016/679 58 artiklan 2 kohdan f alakohdassa säädetyn käsittelyn kieltämistä koskevan asian.
17. Tietosuojavaltuutetun toimiston seuraamuskollegio on käsitellyt asian 21.3.2024 järjestetyssä kokouksessa. Apulaistietosuojavaltuutettu on tehnyt asiassa päätöksen seuraamuskollegiota kuultuaan. Seuraamuskollegio oli asiassa yksimielinen.
Sovellettavasta lainsäädännöstä
18. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa säädetyn eheyden ja luottamuksellisuuden periaatteen mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”).
19. Yleisen tietosuoja-asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa koskevan 25 artiklan 1 kohdan mukaan ottaen huomioon uusimman teknologian, toteuttamiskustannukset ja käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on sekä käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi, tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten, jotta tarvittavat suojatoimet saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.
20. Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
21. Yleisen tietosuoja-asetuksen johdanto-osan 78 kappaleen mukaan palveluja kehitettäessä, suunniteltaessa, valittaessa ja käytettäessä on huomioitava, että rekisterinpitäjän tulee pystyä täyttämään tietosuojavelvoitteensa.
22. Yleisen tietosuoja-asetuksen käsittelyn turvallisuutta koskevan 32 artiklan 1 kohdan mukaan ottaen huomioon uusin teknologia, toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky taata käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
c) kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
d) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
23. Tietosuojalain (1050/2018) 25 §:n 3 momentin nojalla tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.
Oikeudellinen kysymys
24. Asiassa on ratkaistava:
1. onko rekisterinpitäjä noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 25 artiklan 1 ja 2 kohdassa ja 32 artiklan 1 kohdassa säädettyä siltä osin kuin lainanhakijoiden täyttämien lainahakemusten tiedot ovat saatavilla rekisterinpitäjän lainakilpailutuspalvelussa lainanhakijoille jaettujen yksilöllisten url-osoitteiden kautta.
2. tuleeko rekisterinpitäjää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla väliaikaisesti kieltää käsittelemästä kysymyksessä olevassa lainakilpailutuspalvelussa sekä muissa vastaavissa palveluissa olevia lainanhakijoiden täyttämien lainahakemusten tietoja siten, että lainahakemusten tiedot ovat saatavilla rekisterinpitäjän sähköisessä palvelussa lainanhakijoille jaettujen yksilöllisten url-osoitteiden kautta.
Apulaistietosuojavaltuutetun päätös ja perustelut
Päätös
25. Rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 25 artiklan 1 ja 2 kohdassa ja 32 artiklan 1 kohdassa säädettyä siltä osin kuin lainanhakijoiden täyttämien lainahakemusten tiedot ovat kolmansien saatavilla rekisterinpitäjän lainakilpailutuspalvelussa lainanhakijoille jaettujen yksilöllisten url-osoitteiden kautta.
26. Apulaistietosuojavaltuutettu kieltää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla rekisterinpitäjää käsittelemästä lainakilpailutuspalvelussa olevia lainanhakijoiden täyttämien lainahakemusten tietoja siten, että lainanhakijoiden täyttämien lainahakemusten tiedot ovat kolmansien saatavilla lainanhakijoille tarkoitettujen yksilöllisten url-osoitteiden kautta. Lisäksi mikäli rekisterinpitäjällä on vastaavia muita palveluja eri domaineilla, joissa lainahakemusten tiedot ovat saatavilla vastaavalla tavalla, rekisterinpitäjää kielletään käsittelemästä näitä tietoja.
27. Käsittelykielto tulee voimaan 5.4.2024. Kyse on väliaikaisesta päätöksestä, joka on voimassa kuusi kuukautta, 5.10.2024 saakka.
28. Tässä päätöksessä on arvioitu ainoastaan väliaikaisen käsittelykiellon edellytysten täyttymistä. Asian käsittely ja laajempi oikeudellinen arviointi jatkuu tietosuojavaltuutetun toimistossa. Asian käsittely tullaan saattamaan päätökseen tietosuojavaltuutetun toimistossa ennen väliaikaisen päätöksen voimassaolon päättymistä.
29. Apulaistietosuojavaltuutettu määrää tietosuojalain 25 §:n 3 momentin nojalla rekisterinpitäjää noudattamaan käsittelykieltoa koskevaa määräystä muutoksenhausta huolimatta.
30. Apulaistietosuojavaltuutettu määrää rekisterinpitäjän toimittamaan tietosuojavaltuutetun toimistolle viimeistään 26.4.2024 tiedon siitä, mihin toimenpiteisiin se ryhtyy tämän päätöksen johdosta.
31. Rekisterinpitäjä voi toimittaa tietosuojavaltuutetun toimistolle myös muita tietoja, joiden se katsoo vaikuttavan tässä päätöksessä esitettyyn arviointiin. Apulaistietosuojavaltuutettu voi näiden tietojen perusteella arvioida uudelleen käsittelykiellon tarpeellisuutta.
Perustelut
Tietosuojavaltuutetun toimistossa laadittu tekninen selvitys
Yleiset havainnot
32. Tietosuojavaltuutetun toimistossa on laadittu tekninen selvitys ilmoituksen tehneeltä henkilöltä saadusta url-osoitteesta.
33. Url-osoitteessa on saatavilla tietosuojavaltuutetun toimistolle ilmoituksen tehneen henkilön täyttämä lainahakemus. Sivustolla on selaimen perusnäkymässä saatavilla lainanhakijan henkilötunnus osittain peitettynä siten, että siitä on kolme ensimmäistä ja kaksi viimeistä merkkiä nähtävissä. Myös lainanhakijan sähköpostiosoite on osittain peitetty siten, että sen alkuosasta on nähtävissä kolme ensimmäistä merkkiä, @-merkki ja @-merkin jälkeisestä osasta ensimmäinen merkki ja neljä viimeistä merkkiä. Lainanhakijan puhelinnumerosta on nähtävissä kaksi ensimmäistä ja kaksi viimeistä numeroa. Lainahakemuksesta näkee lisäksi peittämättöminä tiedot lainanhakijan kuukausituloista, tulolähteistä, mahdollisesta rinnakkaishakijasta, siviilisäädystä, mahdollisen puolison kuukausituloista, mahdollisista lapsista, ammatista, kansalaisuudesta, koulutuksesta, asepalveluksen suorittamisesta, asumismuodosta, asumismenoista ja mahdollisen kesämökin omistamisesta.
34. Teknisen selvityksen teon yhteydessä on havaittu, että palvelua tuottavalla rekisterinpitäjällä on useita muitakin lainakilpailutuspalveluita internetissä. Lisäksi on havaittu, että todennäköisesti näiden palveluiden tekninen alusta on sama tai vähintään toimintalogiikaltaan sama, jossa ainoastaan ulkoasun grafiikka ja näytettävät kuvat poikkeavat toisistaan.
Url-osoite
35. Tietosuojavaltuutetun toimistolle ilmoituksen tehnyt henkilö on saattanut tietosuojavaltuutetun toimiston tietoon lainahakemustaan koskevan url-osoitteen 23.12.2022. Url -osoitetta on testattu 20.3.2024 ja url-osoite on toiminut ja palauttanut henkilötiedot. Palvelu ei ole poistanut yli kaksi vuotta vanhaa url-osoitetta ja sen palauttamaa henkilötietoa. Url-osoitteen käyttö ei ole edellyttänyt tunnistautumista. Kuka tahansa, joka arvaa tai saa ko. url-osoitteen, saa myös avattua sen.
36. Palvelu palauttaa asiakkaalle url-osoitteen lyhyessä muodossa, joka ohjautuu pidempään url-osoitteeseen, jossa on henkilötiedot.
37. Lyhytmuotoisen url-osoitteen yksilöivä osa on kahdeksanmerkkinen, jossa on ainakin pieniä kirjaimia sekä numeroita.
38. Lyhyen url-osoitteen yksilöivä osuus on vain kahdeksan merkkiä. Kun yksilöivää osuutta vertaa esimerkiksi kahdeksanmerkkiseen salasanaan, on niin kutsutun bruteforce-hyökkäyksen kesto kuusi minuuttia, mutta kuitenkin alle yksi tunti. Koska lyhyessä url-osoitteessa on aina sama etuosa, on toisen yksilöivän osuuden lisäys helppoa.
39. Tietoturvaa ajatellen kaikkien mahdollisten yksilöitävien osuuksien kokeileminen on mahdollista ja jopa todennäköistä, mikäli palvelu on ollut pitkään, esimerkiksi viikkoja tai joitain kuukausia internetissä. Internetissä eri url-kokeileminen on hyvin tyypillistä, ja url-osoitteiden kokeilemiseen on olemassa myös palveluita ja ohjelmia.
40. Yhteenvetona voidaan todeta, että on täysin mahdollista ja todennäköistäkin käydä järjestelmällisesti kaikki mahdolliset lyhyet url-osoitteet läpi ja poimia saatu henkilötieto. Url-osoitteen tietoturvan tasoa voidaan pitää olemattomana.
Palvelussa saatavilla olevat henkilötiedot
41. Lyhyt url-osoite ohjautuu pitkämuotoiseen url-osoitteeseen. Palvelun sivulle tulee näkyviin henkilön tietoja, joista osa on piilotettuna *-merkillä.
42. Pitkä url-osoite palauttaa sitä kutsuvalle selaimelle palvelun henkilötiedot kokonaisuudessaan. Ne ovat selaimessa sivun niin sanotussa session storagen muuttujan __LSM__ -arvona siten että henkilötietoryhmästä on sekä *-osainen arvo että selväkielisenä lainahakemukselle täytetyt tiedot.
43. Yleisesti selaimeen ladatun sivuston session storagen saa näkyviin lähes joka selaimessa olevalla niin sanotulla kehittäjän työkaluilla. Kehittäjätyökalut ovat kaikkien käytössä ja niitä käytetäänkin paljon, kun tutkitaan esimerkiksi, miten joku www-sivu on muodostettu ja mitä se sisältää teknisesti. Tietosuojavaltuutetun toimiston IT-erityisasiantuntijalta kului noin kaksi minuuttia aikaa löytää __LSM__ -muuttuja ja sen arvot. Tietojen voidaan katsoa olevan helposti löydettävissä. Jopa tietotekniikasta kiinnostuneella yläasteikäisellä henkilöllä on mahdollisuus päästä tarkastelemaan näitä tietoja. Lisäksi Google-haulla löytyy joitain yksittäisiä linkkejä, joista niin ikään saa henkilötiedot näkyviin.
44. Lisäksi selaimen kutsuissa on saatavilla lainanhakijan sähköpostiosoite selkokielisenä. Tieto on nähtävissä selaimen kehittäjän työkaluilla.
45. Palvelun __LSM__-parametrin arvojoukko (json avain-arvo-pareina), joka tulee sivun latautuessa selaimen session storageen, sisältää seuraavat tiedot lainanhakijan tiedoilla täytettynä:
• amount
• other_income
• co_other_income
• prefill_done
• applicationId
• repaymentperiod
• swift
• iban
• loan_reason
• bank
• accept_terms1
• accept_terms2
• accept_terms3
• last_activity_at
• cellphone
• ssn
• nationality
• email"
• education
• fullname
• firstname
• lastname
• address
• city
• zip
• netbank
• military_service
• maritalstatus
• political_worker
• maritalstatus_since_year
• have_visa_dankort_or_dankort
• co_political_worker
• co_firstname
• co_lastname
• accomodation_number_of_children
• number_of_adults
• accommodation_type
• monthly_rent
• percent_share_of_fixed_cost
• cost_of_cars
• monthly_childsupport_income
• monthly_rent_income
• has_summerhouse
• co_same_accomodation
• birthdate
• gender
• last_datetime
• ssn_masked
• email_masked
• phone_masked
• co_ssn_masked
• co_phone_masked
• iban_masked
• occupation_type_1
• occupation_income_before_taxes_1
• occupation_income_after_taxes_1
• occupation_employername_1
• employment_start_year_1
• employment_start_month_1
• occupation_options_1
• occupation_profession_1
• income_before_taxes_spouse_1
• other_loan_lender_name1
• summary_loan_amount_other
• summary_loan_monthlycost_other
• summary_loan_no_of_loans_other
• mask":true,"mask_test
• mask_test2
• ready_for_summary
• number_of_other_loans
• co_number_of_other_loans
• spouse_number_of_other_loans
• max_created_at
• max_activity_at
• max_submitted_at
• max_completed_at
• min_created_at
• min_activity_at
• min_submitted_at
• min_completed_at
• submits
• completes
• incompletes
• summary_accept_terms_autosubmit
• summary_marketing_consent
• coapplicant
• other_loan_amount
• other_loan_monthlycost
• other_loan_repayment
• other_loan_type
Oikeudellinen arviointi
46. Edellä esitetyn teknisen selvityksen perusteella rekisterinpitäjän palvelu on tietoturvallisuudeltaan erittäin heikko. Palvelussa tehdyt lainahakemukset ovat käytännössä kaikille avoimesti saatavilla yksilöityjen url-osoitteiden kautta niiden lainanhakijoiden osalta, jotka ovat pyytäneet saada lainahakemuksen jaettavaksi puhelinnumeroonsa tai sähköpostiinsa. Teknisen selvityksen perusteella on havaittavissa, että kolmansien on täysin mahdollista ja todennäköistäkin käydä järjestelmällisesti kaikki lyhyet url-osoitteet läpi ja päästä käsiksi palvelussa oleviin henkilötietoihin.
47. Lainahakemusten tiedot ovat palvelussa saatavilla kaikille ilman minkäänlaista kirjautumista. Henkilötiedot ovat kokonaisuudessaan nähtävissä selaimessa sivun niin sanotussa session storagen muuttujan __LSM__ -arvona. Sivuston session storage on helposti nähtävissä lähes joka selaimessa olevalla niin sanotulla kehittäjän työkaluilla. Lisäksi Google-haulla löytyy joitain yksittäisiä linkkejä, joista niin ikään saa henkilötiedot näkyviin. Lisäksi selaimen kutsuissa on saatavilla lainanhakijan sähköpostiosoite selkokielisenä. Tieto on nähtävissä selaimen kehittäjän työkaluilla.
48. Toisin kuin rekisterinpitäjä on esittänyt, ovat tiedot siten kaikkien niiden saatavilla, joilla on pääsy yleiseen internetiin ja riittävä tekninen osaaminen. Palvelussa ei ole riittävää teknistä tai organisatorista rajoitusta, joka estäisi ulkopuolisten pääsyn tietoihin, joihin heidän ei kuulu päästä. Palvelun käyttäjien lainahakemusten tiedot ovat rajoittamattoman henkilömäärän saatavilla niiden lainanhakijoiden osalta, jotka ovat pyytäneet saada lainahakemuksen jaettavaksi puhelinnumeroonsa tai sähköpostiinsa. Laaja pääsy lainanhakijoiden tietoihin lähetetyn sähköposti- tai tekstiviestilinkin kautta osoittaa jo itsessään, että tietoturvasta ei ole huolehdittu yleisen tietosuoja-asetuksen edellyttämällä tavalla.
49. Edellä kuvatulla tavalla saatavilla ovat tiedot lainanhakijan henkilötunnuksesta, sähköpostiosoitteesta, tilinumerosta, kotiosoitteesta, kansalaisuudesta, puhelinnumerosta, kuukausituloista, tulolähteistä, mahdollisesta rinnakkaishakijasta, siviilisäädystä, mahdollisen puolison kuukausituloista, mahdollisista lapsista, ammatista, kansalaisuudesta, koulutuksesta, asepalveluksen suorittamisesta, asumismuodosta, asumismenoista ja mahdollisen kesämökin omistamisesta.
50. Palvelussa avoimesti saatavilla olevat tiedot on tarkoitettu lainahakemusten tekemiseen. Ne kuvaavat rekisteröidyn taloudellista asemaa. Kyse on tiedoista, joita ihmiset eivät tyypillisesti jaa laajasti. Lisäksi kyse on tiedoista, joita ei ole julkisista lähteistä saatavilla. Tietojen puutteellinen suojaus ja riittämättömästi rajoitettu saatavuus internetissä vaarantavat rekisteröityjen yksityisyyden suojan ja aiheuttavat korkean riskin rekisteröityjen oikeuksille ja vapauksille. Palvelussa olevien rekisteröityjen henkilötietojen saatavilla olo aiheuttaa lisäksi riskin identiteettivarkauksille ja siten esimerkiksi petosten kautta aiheutuville taloudellisille menetyksille.
Sovelletut lainkohdat
Perusteluissa mainitut.