06.06.1994 19/1994

Luottolaitos - Väärinkäytöstieto - Yhteysvaatimus - Arkaluonteinen tieto

Luottolaitokset pyysivät lupaa saada kerätä ja tallettaa entisiä asiakkaitaan koskevia saamisen maksun viivästymistietoja ja luottolaitosten palveluihin kohdistuneita väärinkäytöstietoja asiakashäiriörekistereihin sekä luovuttaa väärinkäytöstietoja muille luottolaitoksille. Lautakunta katsoi, että hakijat tarvitsivat luvan poiketa yhteysvaatimuksesta ja arkaluonteisten tietojen rekisteröintikiellosta. Lupa myönnettiin määräaikaisena ja lupaan asetettiin useita lupamääräyksiä.

Ks. tietosuojalautakunta 23/20.11.1989 ja 13/21.5.1991.

ASIA
Henkilötietojen keräämistä, tallettamista ja käyttämista sekä henkilötietojen luovutusta koskeva poikkeuslupahakemus

HAKIJA
Suomen Pankkiyhdistys liitteessä 1 olevien yhteisöjen puolesta, Osuuspankkien Keskusliitto jäsenpankkiensa ja liitteessä 2 mainittujen yhteisöjen puolesta ja Säästöpankkiliitto jäsenpankkien ja liitteessä 3 mainittujen yhteisöjen puolesta

HAKEMUS
Hakija pyytää henkilörekisterilain 37 §:ssä tarkoitettua lupaa

A) saada tallettaa asiakashäiriörekistereihinsä entisiä asiakkaitaan koskevia saamisen maksun viivästymistietoja,

B) kerätä ja tallettaa asiakashäiriörekistereihinsä sekä käyttää tietoja sellaisista hakijoiden omiin palveluihin kohdistuneista väärinkäytöksistä, joista hakijoilla olisi perusteita tehdä rikosilmoitus.

A ja B kohdissa tarkoitetuista tiedoista talletettaisiin asiakashäiriörekistereihin seuraavat tiedot:

- tieto häiriön ajankohdasta
- tieto tallennusajasta
- koodi, joka ilmaisee, että kysymyksessä on A kohdassa
tarkoitettu tieto sekä mahdollinen luoton numero.
Koodiin tehtäisiin lisämerkintä, jos saaminen on hoidettu
ilman oikeudellisia perimistoimia.
- koodi,joka ilmaisee, että kysymyksessä on B kohdassa
tarkoitettu tieto
- väärinkäyttäjän nimi, henkilötunnus, osoite ja ammatti
- velan tai vaatimuksen määrä tuhansina markkoina
- tieto siitä, kuka on ilmoittanut tallennettavan tiedon.

Tietoja on tarkoitus käyttää väärinkäytösten estämiseksi sekä hakijoiden luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.

C) luovuttaa B kohdassa tarkoitettuja väärinkäytöstietoja toisille luottolaitoksille, jos luovuttaminen on tarpeen näitä kohtaan suunnattujen rikosten ja rikossarjojen ehkäisemiseksi ja katkaisemiseksi sekä tekijöiden kiinnisaamiseksi tai luottolaitosten luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi. Tietoa velan tai vaatimuksen markkamäärästä ei kuitenkaan luovutettaisi.

Hakijat pyytävät, että lupa annettaisiin hakemuksessa esitettyjä poikkeuksia lukuun ottamatta samoin ehdoin kuin lautakunnan päätöksessä nro 13/21.5.1991 dnro 18/72/88 on päätetty. Hakijat pyytävät, että lupa myönnetään olemaan voimassa toistaiseksi.

Hakijat esittävät aikaisemman luvan ehtoihin seuraavia muutoksia:

- Tieto saataisiin rekisteröidä, jos hakija on asianomistaja ja
asiasta on tehty rikosilmoitus. - Rekisteröintivaiheessa rekisteröidylle ei tulisi ilmoittaa
rekisteröinnistä eikä hänellä olisi henkilörekisterilain 11
§:ssä säädettyä tarkastusoikeutta. - Tieto tulisi poistaa viiden vuoden kuluttua rekisteröinnistä.

Hakijat ovat liittäneet hakemukseensa keskusrikospoliisin ja rahoitustarkastuksen lausunnot.

KUULEMINEN

Tietosuojavaltuutettu on antanut häneltä pyydetyn lausunnon 13.4.1994.

Valtuutettu katsoo, että on perusteltua laajentaa hakija- ja käyttäjäpiiri kattamaan hakijayhteisöjen riskien hallintatarpeet kokonaisuudessaan. Valtuutettu kuitenkin katsoo, että lupa tulisi edelleen myöntää määräaikaisena.

Hakijan esittämää rekisteröintioikeuden alkamishetkeä valtuutettu pitää perusteltuna turhien rikosilmoitusten välttämiseksi. Valtuutettu toteaa kuitenkin, että muutos ei saa johtaa siihen, että rekisteriä ryhdytään kasvattamaan kaikilla niillä rikostapauksilla, joissa pankki on ollut asianomistaja. Valtuutettu ehdottaa, että lupaehdolla varmistetaan rekisteröinti kohtuullisen ajan kuluessa toisen asianomistajan tekemästä rikosilmoituksesta.

Valtuutetun mielestä tarkastusoikeuden poissulkemiselle ei ole esitetty riittäviä perusteita. Valtuutettu ehdottaa, että lupaehdoissa määrätään asetuksen 8 §:n 2 kohdasta poikkeava ilmoitusvelvollisuus, jos lautakunta katsoo, että välitön rekisteröinti-ilmoitus haittaa säännönmukaisesti rikosten selvittämistä. Tämä voitaisiin hoitaa esim. siten, että rekisteröinnistä ilmoitetaan em. lyhyemmän määräajan kuluessa tai ilmoitus tehtäisiin tietojen käytöstä/luovutuksesta.

Valtuutettu katsoo, että säilytysajan alku voidaan kytkeä hakijoiden esittämällä tavalla rekisteröintihetkeen. Valtuutettu pitää lisäksi hakijan esittämää viiden vuoden säilytysaikaa rekisterinpitoa selkeyttävänä ja hyväksyttävänä. Rekisteröinnille tulisi kuitenkin määrätä myös takaraja.

Suomen Pankkiyhdistys on antanut 20.5.94 selityksensä valtuutetun lausunnon johdosta. Pankkiyhdistys katsoo, ettei tietosuojavaltuutettu ole esittänyt riittäviä perusteita sille, miksi lupaa ei voitaisi myöntää toistaiseksi voimassaolevana. Yhdistys toteaa, että valtuutetun ehdottamat rekisteröinnin alkamishetkeen ja säilytysaikaan liittyvät takarajat voisivat johtaa siihen, että laajoihin talousrikoksiin syyllistyneet henkilöt jäisivät merkitsemättä rekisteriin, koska teko voi paljastua vasta usean vuoden kuluttua. Tarkastusoikeuden ja ilmoitusvelvollisuuden rajoitusvaatimuksia yhdistys perusteli sillä, että yhteiskunnan kannalta on välttämätöntä, että varsinkin laajat talousrikokset saadaan selvitetyiksi ja vahingot minimoiduiksi. Yksi keskeinen tekijä tässä on estää teosta epäiltyä hävittämästä todisteita ja siirtämästä omaisuuttaan ulkopuolisille.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Rekisterinpitäjä

Rekisterinpitäjällä tarkoitetaan henkilörekisterilain 2 §:ssä henkilöä, yhteisöä tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.

Kullakin hakijana olevalla yhteisöllä on oma asiakashäiriörekisterinsä. Rekisterin teknisen ylläpidon hoitaa Suomen Asiakastieto Oy. Tietosuojalautakunta katsoo, että kukin juridisesti itsenäinen luottolaitos on oman asiakashäiriörekisterinsä henkilörekisterilain 2 §:n 3 kohdassa tarkoitettu rekisterinpitäjä.

Poikkeusluvan myöntämisen edellytykset

Henkilörekisterilain 37 §:ssä tarkoitettu lupa voidaan myöntää painavasta syystä ja edellyttäen, että rekisteröidyn yksityisyyden sekä hänen etujensa ja oikeuksiensa ja valtion turvallisuuden vaarantuminen voidaan estää.

Tietosuojalautakunnan on liitettävä lupaan rekisteröidyn yksityisyyden suojan sekä hänen etujensa ja oikeuksiensa samoin kuin valtion turvallisuuden suojaamiseksi tarpeelliset määräykset.

A. Maksun viivästymistä koskevien tietojen tallettaminen

Yhteysvaatimus

Henkilörekisterilain 5 §:n 1 momentissa säädetyn yhteysvaatimuksen mukaan henkilörekisteriin saa kerätä ja tallettaa tietoja vain sellaisista henkilöistä, joilla esimerkiksi asiakassuhteen vuoksi on asiallinen yhteys rekisterinpitäjän toimintaan, jollei rekisterin pitäminen johdu rekisterinpitäjälle säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä. Yhteysvaatimuksen puuttumisen voi korvata rekisteröidyn suostumus tai tietosuojalautakunnan myöntämä henkilörekisterilain 37 §:ssä tarkoitettu poikkeuslupa.

Tietosuojalautakunta katsoo, että yhteysvaatimus ei täyty hakijoiden rekisterinpidossa siltä osin, kuin saamisen maksun viivästystietoja on tarkoitus tallettaa henkilöistä, joiden asiakassuhde luottolaitokseen on katkennut.

Koska mainittujen maksun viivästymistä koskevien tietojen tallettaminen ei johdu hakijoille lain tai asetuksen nojalla määrätystä tehtävästä eivätkä rekisteröitävät ole antaneet suostumustaan tietojen tallettamiseen, tarvitsevat hakijat henkilörekisterilain 37 §:ssä tarkoitetun poikkeusluvan yhteysvaatimuksesta.

Päätös

Tietosuojalautakunta katsoo, että saamisen maksun viivästymistä koskevilla tiedoilla on merkitystä arvioitaessa henkilön taloudellista asemaa, sitoumusten hoitokykyä ja luotettavutta.

Luottolaitoksille, jotka harjoittavat laajamittaista luotonantoa ja joiden taloudelliset riskit luotonannossa saattavat olla huomattavat, on tärkeätä säilyttää maksun viivästymistietoja jonkin aikaa asiakassuhteen katkeamisen jälkeenkin, koska asianomainen voi lyhyessäkin ajassa hakeutua uudestaan luottolaitoksen asiakkaaksi. Tietosuojalautakunta katsoo, että poikkeusluvan myöntämiseen on painava syy.

Tietosuojalautakunta myöntää hakijoille poikkeusluvan tallettaa hakemuksessa tarkoitettuja entisiä asiakkaita koskevia saamisen maksun viivästymistietoja luottolaitosten luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.

Lupamääräykset

1) Tiedon saa tallettaa vain, jos erääntynyt saaminen on ollut maksamatta yli 60 päivää eräpäivästä.

2) Tietoa ei saa tallettaa, jos asiakkaan kanssa on 1-kohdassa mainitun ajan kuluessa sovittu maksujärjestelyistä.

3) Tämän poikkeusluvan nojalla ei tietoa saa tallettaa, jos maksun suorittamisesta on kulunut 2 vuotta.

4) Tämän poikkeusluvan nojalla talletettu tieto on hävitettävä 1 vuoden kuluessa asiakassuhteen katkeamisesta.

5) Tämän poikkeusluvan nojalla talletetusta tiedosta ja sen käyttötarkoituksesta on ilman aiheetonta viivytystä ilmoitettava kirjallisesti rekisteröidylle.

Määräysten perustelut

1) Lupamääräyksellä halutaan varmistaa, ettei rekisteriin talleteta tilapäisistä maksuvaikeuksista, esimerkiksi rekisteröitävän sairaudesta johtuvia maksuhäiriöitä. Lupamääräyksellä halutaan varmistaa myös, että rekisteröitävä ehtii sopia maksujärjestelyistä luottolaitoksen kanssa.

2) Lupamääräys on asetettu, jotta tietoa sellaisesta maksun viivästymisestä, jonka hoitamisesta on sovittu asiakkaan ja luottolaitoksen välillä, ei talletettaisi rekisteriin.

3 ja 4) Lupamääräykset on asetettu, jottei maksun viivästymisen vaikutus ulottuisi kohtuuttoman pitkälle ajalle ja koska rekisteröidyn luottokelpoisuus saattaa kohentua lyhyessäkin ajassa.

5) Lupamääräyksellä halutaan varmistaa rekisterinpidon avoimuuden periaatteen toteutuminen. Rekisteröitävillä tulee olla tieto siitä, että heistä talletetaan hakemuksessa tarkoitettuja maksuviivästystietoja ja siitä, että näitä tietoja voidaan käyttää heitä koskevassa päätöksenteossa. Tämän vuoksi tulee tiedon tallettamisesta ilmoittaa rekisteröidylle asiakassuhteen päättyessä.

B. Väärinkäytöstietojen kerääminen, tallettaminen ja käyttäminen

Yhteysvaatimus

Tietosuojalautakunta katsoo, että henkilörekisterilain 5 §:n 1 momentissa tarkoitettu yhteysvaatimus toteutuu luottolaitoksen ja rekisteröitävän välillä, koska luottolaitoksen palveluihin kohdistuneeseen väärinkäytökseen epäillyn ja luottolaitoksen välillä vallitsee lainkohdassa tarkoitettu muu asiallinen yhteys, vaikkei asiakassuhdetta olisikaan olemassa. Yhteysvaatimus voi kuitenkin katketa esimerkiksi sen jälkeen kun asia on ratkaistu tuomioistuimen lainvoimaisella päätöksellä ja mahdollinen saatava on suoritettu.

Väärinkäytöstietojen tallettaminen ei johdu hakijoille säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä. Koska rekisteröitävät eivät myöskään ole antaneet suostumustaan väärinkäytöstietojen tallettamiseen, tarvitsevat hakijat poikkeusluvan yhteysvaatimuksesta siltä osin kuin ko. tietoja talletettaisiin henkilörekisterilain 5 §:n 1 momentissa tarkoitetun asiallisen yhteyden katkeamisen jälkeen.

Arkaluonteiset tiedot

Arkaluonteisilla tiedoilla tarkoitetaan henkilörekisterilain 6 §:n 2 momentin 3 kohdassa henkilötietoja, jotka on tarkoitettu kuvaamaan muun muassa rikollista tekoa. Rikollisella teolla tarkoitetaan sellaista lainvastaista menettelyä, josta on säädetty rangaistus.

Luottolaitosten asiakashäiriörekistereihin on tarkoitus tallettaa väärinkäytöksistä koodi, joka ilmaisee, että kysymyksessä on väärinkäytös, josta luottolaitoksella olisi perusteita tehdä rikosilmoitus. Koodi kertoo siis, että rekisteröity on pankin käsityksen mukaan syyllistynyt rikolliseen tekoon. Väärinkäytöstiedot ovat näin ollen rikollista tekoa koskevia eli arkaluonteisia tietoja.

Arkaluonteisia henkilötietoja ei pääsääntöisesti saa kerätä ja tallettaa ilman rekisteröidyn kirjallista suostumusta tai tietosuojalautakunnan poikkeuslupaa. Arkaluonteisten tietojen rekisteröintikiellon poikkeuksista on säädetty henkilörekisterilain 7 §:ssä.

Koska hakijoilla ei ole rekisteröitävien kirjallista suostumusta väärinkäytöstietojen keräämiseen ja tallettamiseen ja koska muutkaan henkilörekisterilain 7 §:ssä säädtyt edellytykset eivät täyty, tarvitsevat hakijat väärinkäytöstietojen keräämiseen ja tallettamiseen poikkeusluvan.

Päätös

Tietosuojalautakunta katsoo, että vaikka väärinkäytöksiä koskevilla tiedoilla sinänsä ei ole välitöntä yhteyttä henkilön taloudelliseen asemaan ja sitoumusten hoitokykyyn, saattaa tiedoilla nimenomaan luottolaitoksen palveluihin kohdistuneista väärinkäytöksistä olla merkitystä arvioitaessa henkilön luotettavuutta luottolaitoksen luoton-ja sitoumustenannon yhteydessä. Väärinkäytöstietojen rekisteröinnillä voidaan lisäksi katsoa olevan merkitystä luottolaitosten pyrkiessä estämään väärinkäytöksiä eli ehkäisemään ja katkaisemaan luottolaitoksiin suunnattuja rikoksia ja rikossarjoja sekä tekijöiden kiinnisaamisessa. Tietosuojalautakunta katsoo, että luvan myöntämiseen on painava syy.

Tietosuojalautakunta myöntää hakijoille poikkeusluvan yhteysvaatimuksesta ja arkaluonteisten tietojen rekisteröintikiellosta ja oikeuttaa hakijat keräämään, tallettamaan ja käyttämään hakemuksessa tarkoitettuja tietoja luottolaitosten luoton- ja sitoumustenantoon liittyvien riskien pienentämiseen ja väärinkäytösten estämiseen.

Lupamääräykset

Rekisteröidyn yksityisyyden suojan ja hänen etujensa ja oikeuksiensa turvaamiseksi tietosuojalautakunta asettaa väärinkäytöstietojen keräämiselle, tallettamiselle ja käyttämiselle seuraavat lupamääräykset:

1) Tietoa ei saa rekisteröidä ennen kuin asiasta on tehty rikosilmoitus.

2) Tieto on poistettava välittömästi, kun asianomainen on alioikeuden tuomiolla todettu syyttömäksi syytteessä tarkoitettuun tekoon tai oikeusprosessista on luovuttu.

3) Tieto on poistettava 5 vuoden kuluttua rekisteröintihetkestä.

4) Rekisteröidylle on ilmoitettava väärinkäytöstietojen käytöstä päätöksenteossa sekä siitä, mistä rekisteristä väärinkäytöstiedot ovat peräisin, jos luoton epääminen tai muu rekisteröidylle kielteinen päätös pääasiallisesti johtuu asiakashäiriörekisterissä olevista tiedoista.

Määräysten perustelut

1) Väärinkäytöstietojen rekisteröiminen pelkästään sillä perusteella, että luottolaitos katsoo olevan perusteita tehdä rikosilmoitus, vaarantaa rekisteröidyn oikeusturvaa. Rekisteröidyn oikeusturva edellyttää, että rekisteröitävä väärinkäytös saatetaan viranomaisten tutkittavaksi. Rekisteröidyn oikeusturva ei kuitenkaan edellytä, että hakijat tekevät rikosilmoituksen tapauksissa, joissa hakija on asianomainen ja joku muu on jo tehnyt rikosilmoituksen.

2) Rekisterinpitäjän on huolehdittava siitä, että henkilörekisterissä oleva, rekisterin käyttötarkoituksen kannalta virheellinen tieto poistetaan. Väärinkäytöstietojen laatu huomioon ottaen tieto on poistettava välittömästi.

3) Tieto on poistettava asetetussa määräajassa, koska tiedon voidaan arvioida tässä ajassa menettäneen merkityksensä kyseessä olevan käyttötarkoituksen kannalta.

4) Lupamääräys on asetettu, jotta rekisteröity saisi tiedon rekisterimerkinnän käyttämisestä häntä koskevassa päätöksenteossa. Koska väärinkäytöstiedot ovat rinnastettavissa luottotietoihin, on väärinkäytöstietojen käytöstä ilmoittamisessa perusteltua noudattaa samaa menettelyä, joka on luottotietojen osalta säädetty henkilörekisterilain 24 §:n 1 momentissa.

C. Väärinkäytöstietojen luovuttaminen muille luottolaitoksille

Luovuttamisen edellytykset

Henkilörekisterilain 18 §:n 1 momentin mukaan henkilörekisterissä olevia tai sitä varten kerättyjä henkilötietoja saa luovuttaa rekisteröidyn suostumuksella tai rekisteröidyn toimeksiannosta. Tietoja saa luovuttaa myös lain tai asetuksen taikka niiden nojalla annetun määräyksen mukaisesti. Tietoja saa lisäksi luovuttaa sellaisissa olosuhteissa, joissa tiedon luovuttaminen kuuluu tavanomaisena osana sellaisen toiminnan harjoittamiseen, eikä kysymys ole arkaluonteisista tiedoista. Luovuttaminen on sallittua myös tieteellistä tutkimusta ja tilastointia varten.

Mainitun pykälän 3 momentin mukaan henkilöluottotiedon saa luovuttaa luottotietotoimintaa harjoittavalle rekisterinpitäjälle sekä sille, joka tarvitsee tietoa luoton myöntämistä tai luoton valvontaa varten taikka muuhun tähän verrattavaan tarkoitukseen.

Henkilörekisterilain 18 §:n 1 momentin edellytykset eivät täyty väärinkäytöstietojen luovuttamisessa.

Henkilöluottotiedolla tarkoitetaan henkilörekisterilain 2 §:n 6 kohdassa henkilön taloudellisen aseman, sitoumusten hoitokyvyn tai luotettavuuden arvioimisessa käytettäväksi tarkoitettuja henkilötietoja. Tietosuojalautakunta katsoo, että lainkohdassa tarkoitettu henkilöluottotieto voi olla vain sellainen tieto, jonka käyttäminen luottotietona on lain nojalla sallittu. Tämän vuoksi väärinkäytöstietojen luovuttaminen ei ole sallittua myöskään henkilörekisterilain 18 §:n 3 momentin nojalla.

Hakijat tarvitsevat näin ollen henkilörekisterilain 37 §:ssä tarkoitetun poikkeusluvan väärinkäytöstietojen luovuttamiseen.

Päätös

Väärinkäytöstietojen luovuttaminen toisille luottolaitoksille helpottaa merkittävästi luottolaitoksiin kohdistuvien väärinkäytösten estämistä ja hakijoiden luoton- ja sitoumustenantoon liittyvien riskien pienentämistä. Tietosuojalautakunta katsoo, että luvan myöntämiseen on lain edellyttämä painava syy.

Tietosuojalautakunta myöntää hakijoille luvan luovuttaa väärinkäytöstietoja hakemuksen mukaisesti muille luottolaitoksille.

POIKKEUSLUVAN MÄÄRÄAIKAISUUS

Lupa on voimassa 31.8.1999 asti. Lupa myönnetään määräaikaisena, jotta luvan tarve ja lupamääräysten riittävyys voidaan ottaa saatujen kokemusten perusteella uudelleen arvioitavaksi.

SOVELLETUT SÄÄNNÖKSET

Henkilörekisterilaki 2 §
Henkilörekisterilaki 5 § 1 mom
Henkilörekisterilaki 6 §
Henkilörekisterilaki 7 §
Henkilörekisterilaki 18 §
Henkilörekisterilaki 37 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.