21.05.1991 13/1991

Pankkitoiminta - Yhteysvaatimus - Arkaluonteinen tieto - Luovuttaminen

Korkeimman hallinto-oikeuden palautettua asian tietosuojalautakunnalle uudelleen käsiteltäväksi, tietosuojalautakunta myönsi useille pankeille luvan poiketa yhteysvaatimuksesta ja arkaluonteisten tietojen rekisteröintikiellosta sekä luvan tietojen luovuttamiseen. Pankit saivat siten käyttää ns. väärinkäytöstietoja myös väärinkäytösten estämiseen ja luovuttaa tietoja muille hakijapankeille käytettäväksi väärinkäytösten estämiseen ja luoton- ja sitoumustenantoon liittyvien riskien pienentämiseen.

Ks. 23/20.11.1989 ja KHO 6.3.1991 t 770.

ASIA
Ns. väärinkäytöstietojen käyttämistä ja luovuttamista koskeva poikkeuslupahakemus

HAKIJAT
Osuuspankkien Keskusliitto osuuspankkien ja Osuuspankkien Keskuspankki Oy:n puolesta, Suomen Pankkiyhdistys jäsenpankkiensa puolesta ja Suomen Säästöpankkiliitto säästöpankkien ja Säästöpankkien Keskus-Osake-Pankin puolesta sekä Postipankki Oy.

TIETOSUOJALAUTAKUNNAN AIEMPI PÄÄTÖS

Tietosuojalautakunta myönsi päätöksessä nro 23/20.11.1989 hakijoille luvan poiketa henkilörekisterilain säännöksistä seuraavasti:

A) tallettaa asiakashäiriörekistereihinsä hakemuksessa mainittuja entisiä asiakkaita koskevia saamisen maksun viivästystietoja käytettäväksi pankin luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi päätöksestä tarkemmin ilmenevin lupaehdoin.

B) kerätä ja tallettaa asiakashäiriörekistereihinsä hakemuksessa tarkoitettuja tietoja sellaisista pankin omiin pankkipalveluihin kohdistuvista väärinkäytöksistä, joista pankilla olisi perusteita tehdä rikosilmoitus, käytettäväksi pankin luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi seuraavin lupaehdoin:

1) Tietoa ei saa rekisteröidä, ennen kuin hakija
on tehnyt asiasta rikosilmoituksen.

2) Tieto on poistettava välittömästi, kun asianomainen
on alioikeuden tuomiolla todettu syyttömäksi
syytteessä tarkoitettuun tekoon tai
oikeusprosessista on luovuttu.

3) Tieto on poistettava 3 vuoden kuluttua tuomion
lainvoimaiseksi tulosta tai silloin kun rekisteröinnin
aiheuttaneesta teosta on kulunut 5
vuotta, riippuen siitä, kumpi ajankohta on
myöhäisempi.

4) Tiedon tallettamisesta ja sen käyttötarkoituksesta
on välittömästi kirjallisesti ilmoitettava
rekisteröidylle.

Tietosuojalautakunta hylkäsi hakemuksen saada kerätä ja tallettaa edellä mainittuja ns. väärinkäytöstietoja käytettäväksi väärinkäytösten estämiseksi eli pankkeja kohtaan suunnattujen rikosten ja rikossarjojen ehkäisemiseksi ja katkaisemiseksi sekä tekijöiden kiinnisaamiseksi.

C) Tietosuojalautakunta hylkäsi hakemuksen saada luovuttaa B) kohdassa tarkoitettuja asiakashäiriörekisterien väärinkäytöstietoja toisten pankkien käytettäväksi.

KORKEIMMAN HALLINTO-OIKEUDEN PÄÄTÖS

Hakijoiden valituksen johdosta korkein hallinto-oikeus kumosi päätöksellään 6.3.1991 taltio nro 770 lautakunnan päätöksen siltä osin kun lautakunta oli hylännyt

B) kohdassa hakemuksen saada käyttää tietoja väärinkäytösten estämiseen ja

C) kohdassa hakemuksen luovuttaa tietoja toisille pankeille

sekä palautti päätöksen näiltä osin lautakunnalle uudelleen käsiteltäväksi.

Korkein hallinto-oikeus lausui muun ohella,

että B) kohdassa tarkoitettujen tietojen käyttämiseen myös väärinkäytösten estämiseksi on henkilörekisterilain 37 §:ssä tarkoitettu painava syy ja että samaan päätöskohtaan sisältyvät ehdot 1-4 huomioon ottaen tietojen käyttämisellä väärinkäytösten estämiseksi ei vaaranneta yksityisyyttä;

että C) kohdassa tarkoitettuun luovutukseen on myös olemassa painava syy ja että lautakunnan päätöksen B) kohtaan sisältyvät ehdot huomioon ottaen luovuttamisella ei vaaranneta yksityisyyttä sillä tavoin, ettei tietoja voitaisi luovuttaa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

B) Väärinkäytöstietojen kerääminen, tallettaminen ja käyttäminen

Yhteysvaatimus

Hakijat ovat saaneet lautakunnan aiemmalla päätöksellä luvan kerätä ja tallettaa väärinkäytöstietoja käytettäväksi pankin luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi. Kun tietojen tallettaminen käytettäväksi väärinkäytösten estämiseksi ei johdu hakijoille säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä eivätkä rekisteröitävät ole myöskään antaneet suostumustaan väärinkäytöstietojen tallettamiseen tätä tarkoitusta varten, tarvitsevat hakijat myös tältä osin luvan poiketa henkilörekisterilain 5 §:n 1 momentissa tarkoitetusta yhteysvaatimuksesta.

Arkaluonteiset tiedot

Pankkien asiakashäiriörekistereihin on tarkoitus tallettaa väärinkäytöksistä koodi, joka ilmaisee, että kysymyksessä on väärinkäytös, josta pankilla olisi perusteita tehdä rikosilmoitus. Koodi kertoo siis, että rekisteröity on pankin käsityksen mukaan syyllistynyt rikolliseen tekoon. Väärinkäytöstiedot ovat näin ollen henkilörekisterilain 6 §:n 2 momentin 3 kohdassa tarkoitettuja arkaluonteisia tietoja.

Arkaluonteisia henkilötietoja ei pääsääntöisesti saa kerätä ja tallettaa ilman rekisteröidyn kirjallista suostumusta tai tietosuojalautakunnan henkilörekisterilain 37 §:n nojalla myöntämää poikkeuslupaa. Arkaluonteisten tietojen rekisteröintikiellon poikkeuksista on säädetty henkilörekisterilain 7 §:ssä.

Koska hakijoilla ei ole rekisteröitävien kirjallista suostumusta väärinkäytöstietojen keräämiseen ja tallettamiseen ja koska muutkaan henkilörekisterilain 7 §:ssä arkaluonteisten tietojen rekisteröimiselle säädetyt edellytykset eivät täyty palautetun päätöksen osalta, tarvitsevat hakijat luvan poiketa henkilörekisterilain 6 §:n 1 momentin arkaluonteisten tietojen rekisteröintikiellosta.

C) Väärinkäytöstietojen luovuttaminen muille pankeille

Luovuttamisen edellytykset

Henkilörekisterilain 18 §:ssä säädetään henkilötiedon luovuttamisesta henkilörekisteristä. Tietosuojalautakunta katsoo, että henkilörekisterilain 18 §:n 1 momentissa säädetyt edellytykset eivät täyty väärinkäytöstietojen luovuttamisessa. Väärinkäytöstietoa ei voida myöskään pitää lainkohdassa tarkoitettuna henkilöluottotietona, joten tietojen luovuttaminen ei ole sallittua myöskään henkilörekisterilain 18 §:n 3 momentin nojalla.

Hakijat tarvitsevat näin ollen henkilörekisterilain 37 §:ssä tarkoitetun poikkeusluvan väärinkäytöstietojen luovuttamiseen.

POIKKEUSLUVAN EDELLYTYKSET

Tietosuojalautakunta voi henkilörekisterilain 37 §:n 1 momentin nojalla myöntää luvan poiketa henkilörekisterilain säännöksistä. Poikkeusluvan myöntämisen edellytyksenä on, että luvan myöntämiseen on painava syy ja rekisteröidyn yksityisyyden sekä hänen etujensa ja oikeuksiensa ja valtion turvallisuuden vaarantuminen voidaan estää.

Lupa voidaan lain 37 §:n 2 momentin mukaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojan sekä hänen etujensa ja oikeuksiensa samoin kuin valtion turvallisuuden suojaamiseksi tarpeelliset määräykset.

PÄÄTÖS

Korkein hallinto-oikeus on edellä mainitussa päätöksessä katsonut, että hakemuksessa tarkoitettujen tietojen käyttämiseen väärinkäytösten estämiseksi sekä niiden hakemuksen mukaiseen luovuttamiseen pankkien välillä on olemassa henkilörekisterilaissa tarkoitettu painava syy ja ettei tällainen tietojen käyttö ja luovutus ottaen huomioon väärinkäytöstietoja koskevat lupaehdot vaaranna rekisteröidyn yksityisyyttä.

Korkein hallinto-oikeus on katsonut, ettei hakemusta ole voitu näiltä osin hylätä lautakunnan päätöksessä mainituilla perusteilla ja palauttanut asian näiltä osin lautakunnalle uudelleen käsiteltäväksi.

Tietosuojalautakunta myöntää hakijoille poikkeusluvan saada käyttää hakemuksessa tarkoitettuja väärinkäytöstietoja väärinkäytösten estämiseksi ja luovuttaa hakemuksessa tarkoitetulla tavalla tietoja muille hakijoiden edustamille pankeille käytettäväksi väärinkäytösten estämiseksi ja luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.

Lupaehdot

Rekisteröidyn yksityisyyden suojan sekä hänen etujensa ja oikeuksiensa turvaamiseksi tietosuojalautakunta asettaa myös nyt puheena olevilta osin väärinkäytöstietojen käytölle samoin kuin niiden luovutukselle edellä mainitut lautakunnan aikaisemman päätöksen B) kohdan mukaiset ehdot. Johtuen hakijoille myönnetystä luvasta luovuttaa tietoja, täsmennetään kuitenkin lupaehto 4 kuuluvaksi kokonaisuudessaan seuraavasti:

4) Tiedon tallettamisesta ja sen käyttötarkoituksesta sekä mahdollisuudesta luovuttaa tieto toisille pankeille on välittömästi kirjallisesti ilmoitettava rekisteröidylle.

POIKKEUSLUVAN MÄÄRÄAIKAISUUS

Tietosuojalautakunnan päätöksellä nro 23/20.11.1991 myöntämä poikkeuslupa on määräaikainen siten, että se on voimassa kolme vuotta päätöksen lainvoimaiseksi tulemisesta. Lupa myönnettiin määräaikaisena, jotta asia voitaisiin käsitellä uudestaan kun on saatu kokemuksia asetettujen määräyksien riittävyydestä ja niiden noudattamisesta.

Jotta poikkeuslupa-asia voitaisiin kokonaisuudessaan saattaa uuteen käsittelyyn määräajan päätyttyä, tietosuojalautakunta myöntää tässä päätöksessä myönnetyn luvan määräaikaisena päättymään kolmen vuoden kuluttua korkeimman hallinto-oikeuden päätöksen taltio nro 770 antopäivästä 6.3.1991 lukien eli siis 6.3.1994.

SOVELLETUT SÄÄNNÖKSET

Laki tietosuojalautakunnasta ja tietosuojavaltuutetusta 3 §
Henkilörekisterilaki 5 §
Henkilörekisterilaki 6 §
Henkilörekisterilaki 18 §
Henkilörekisterilaki 37 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.