06.09.2011 5/2011

Tietosuojavaltuutetun hakemus - Lainanhakija - Vahva tunnistaminen - Henkilötieto - Pikaluotto - Pikavippi

Tietosuojalautakunta määräsi JN Finance Oy:n tietosuojavaltuutetun hakemuksesta muuttamaan välittömästi pikaluottojen myöntämisessä noudattamaansa luotonhakijoiden tunnistamistapaansa sellaiseksi, että se vastaa kuluttajansuojalain 7 luvun 15 §:n vaatimuksia. Tietosuojalautakunta katsoi päätöksessään JN Finance Oy:n tunnistaneen lainanhakijoita tavalla, joka ei täyttänyt laissa asetettuja edellytyksiä.

Ks. myös tietosuojalautakunnan päätökset T : 6/2011, T: 7/2011, T: 8/2011, T: 9/2011, T: 10/2011, T: 11/2011, T: 12/2011, T: 13/2011, T 14/2011, T: 15/2011

ASIA

Henkilötietolain 44 §:n mukainen hakemus

HAKIJA

Tietosuojavaltuutettu

REKISTERINPITÄJÄ

JN Finance Oy

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta velvoittaa rekisterinpitäjän henkilötietolain 44 § 2 kohdan nojalla sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakon nojalla muuttamaan luotonhakijoiden tunnistamiseen liittyvää toimintatapaansa siten, ettei väärien henkilöiden henkilötietojen käsittely luottohakemuksien käsittelyn yhteydessä olisi mahdollista puutteellisen tunnistamisen seurauksena.

Hakemus kohdistuu rekisterinpitäjän suorittamaan ns. pikaluottojen tarjoamiseen.

Tietosuojavaltuutetun hakemuksen perustelut 6.10.2010

Tietosuojavaltuutetulla käytettävissä olevien tietojen perusteella näyttää siltä, ettei rekisterinpitäjä tällä hetkellä tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset. Tunnistamiseen/todentamiseen liittyvät velvoitteet koskevat paitsi ns. uusia asiakkaita, myös niitä uutta pikaluottoa hakevia vanhoja asiakkaita, joiden kanssa luotonmyöntäjä on asioinut ennen helmikuuta 2010.

Henkilötietolain kannalta arvioituna tunnistamisen laiminlyönti mahdollistaa sen, että pikaluoton hakijoiksi voi tulla rekisteröidyksi sellaisia henkilöitä, jotka eivät todellisuudessa ole hakeneet luottoa. Tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta sekä lain 9.2 §:ssä säädettyä virheettömyysvaatimusta. Menettelyn ei myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:n säätämiä velvoitteita. Tällöin rekisteröidyn yksityisyyden suoja ei tule henkilötietolain edellyttämällä tavalla turvatuksi. Myös korkein hallinto-oikeus on katsonut näin päätöksessään 8.1.2010 (1568/1/09), jonka mukaan pikaluottoja myönnettäessä tulee käyttää sellaista tunnistamistapaa, jolla voidaan varmistaa, ettei väärää henkilöä rekisteröidä luotonhakijaksi.

TAUSTAA

Tietosuojavaltuutetun ja Kuluttajaviraston yhteinen valvontakampanja

Tietosuojavaltuutetun toimisto on toteuttanut hakemusta edeltäneen vuoden aikana oma-aloitteisen tarkastuksen, joka kohdistui henkilötietojen käsittelyyn pikaluottotoiminnassa. Tarkastus oli osa tietosuojavaltuutetun ja Kuluttajaviraston yhteistä valvontakampanjaa, jolla selvitettiin alan toimintatapojen lainmukaisuutta sekä tietosuojan että kuluttajansuojan näkökulmasta.

Tietosuojavaltuutetun toimisto selvitti toimialan menettelytapoja kohdistamalla kirjallisen selvityspyynnön 81 yritykselle. Tämän lisäksi toimisto tutustui alan yritysten internet-sivustoihin, joilla pikaluottoja tarjotaan. Tarkastus kohdistui tekstiviestien ja internetin välityksellä haettaviin pikaluottoihin.

Sekä tietosuojavaltuutettu että Kuluttajavirasto kiinnittivät tarkastuksessa huomiota erityisesti siihen, tunnistaako/todentaako pikaluottoja myöntävä yritys luotonhakijat lainsäädännön edellyttämällä tavalla. Luotonhakijan huolelliseen tunnistamiseen/todentamiseen velvoittavia säännöksiä sisältyy sekä henkilötietolakiin että kuluttajansuojalakiin.

KUULEMINEN

Tietosuojalautakunnan 21.10.2010 päivätty selityspyyntö

Tietosuojalautakunta varasi JN Finance Oy:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. Selitys pyydettiin toimittamaan tietosuojalautakunnalle 17.11.2010 mennessä.

JN Finance Oy ei toimittanut tietosuojalautakunnalle pyydettyä selitystä.

Tietosuojalautakunnan 9.12.2010 päivätty selityspyyntö

Tietosuojalautakunta varasi JN Finance Oy:lle toistamiseen tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. Selitys pyydettiin toimittamaan tietosuojalautakunnalle 30.12.2010 mennessä. Selityspyynnössä ilmoitettiin, että määräajan noudattamatta jättäminen ei estä asian ratkaisua.

JN Finance Oy ei ole toimittanut tietosuojalautakunnalle pyydettyä selitystä.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain (523/1999) 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 9 §:n 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Kuluttajansuojalain (38/1978) 7 luvun 15 §:n (746/2010) 1 momentin mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 8 §:ssä säädetyt vaatimukset.

Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annetun lain 8 §:ssä määritellään tunnistamismenetelmälle asetettavat vaatimukset. Pykälän mukaan tunnistusmenetelmän on täytettävä seuraavat vaatimukset: 1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkistettavissa; 2) menetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija; 3) menetelmällä voidaan riittävällä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä; ja 4) menetelmä on riittävän turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat.

Pykälän 2 momentin mukaan mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

Perustelut

Henkilötietolain 1 §:n mukaan henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvä tietojenkäsittelytavan kehittämistä ja noudattamista. Tähän pyritään lain kaikki säännökset huomioon ottavan huolellisuusvelvoitteen sekä hyvän tietojenkäsittelyn avulla.

Huolellisuusvelvoite velvoittaa rekisterinpitäjän pyrkimään oma-aloitteisesti huolehtimaan siitä, että henkilötietojen käsittely toteutetaan ottaen huomioon yksityisyyden suojaa turvaavat säännökset ja periaatteet. Hyvään tietojenkäsittelytapaan sisältyvät muun muassa yksityisyyttä tukevat menettelytavat henkilötietoja käsiteltäessä.

Tietosuojavaltuutettu on hakemuksensa perusteluissa kertonut pyytäneensä rekisterinpitäjältä selvitystä mm. siitä, mitä vahvaa sähköistä tunnistusmenetelmää rekisterinpitäjä käyttää pikaluotonhakijan henkilöllisyyden todentamisessa tarjotessaan pikaluottoja, jotka ovat haettavissa tekstiviestin ja/tai internetin välityksellä. Valtuutettu on hakemuksessaan todennut hänellä käytettävissä olevien tietojen perusteella näyttävän siltä, ettei rekisterinpitäjä hakemuksenteko hetkellä tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset.

JN Finance Oy ei ole toimittanut tietosuojalautakunnalle lautakunnan pyytämiä selityksiä. Lautakunta on perehtynyt JN Finance Oy:n ylläpitämiin internet -sivustoihin www.kaveriluotto.fi ja www.iskuvippi.fi. Näiltä sivustoilta saatavista tiedoista ilmenee, että lainanhakijan on mahdollista hakea pikavippiä joko tekstiviestillä tai verkkohakemuksella. Haettaessa lainaa tekstiviestillä, ohjeistetaan lainanhakijaa molemmilla internet -sivustoilla lähettämään henkilötunnus, tilinumero ja lainasumma tiettyyn puhelinnumeroon. Lainanhakijalta ei edellytä PIN-koodin lähettämistä. Lainanhakijan ei ole edes mahdollista tunnistautua vahvaa tunnistamista käyttäen iskuvippi.fi -sivuilla. Tietosuojalautakunta katsoo, että lainansaaminen ei edellytä näissä tapauksissa kuluttajasuojalain 7 luvun 15 §:ssä säädettyä vahvaa sähköistä tunnistamista. Tästä myös seuraa, että pikaluoton hakijoiksi voi tulla rekisteröidyksi henkilöitä, jotka eivät ole todellisuudessa hakeneet luottoa. JN Finance Oy ei ole näin ollen näyttänyt, että se tunnistaisi lainanhakijat kuluttajansuojalain edellyttämällä tavalla.

Virheettömyysvaatimus edellyttää, että rekisterinpitäjän tulisi jo tietojen keräämisvaiheessa mahdollisimman hyvin pyrkiä varmistamaan, että kaikki tiedot ovat virheettömiä. Rekisterinpitäjän on käyttämällä luotettavia tietolähteitä sekä muutoinkin huolehdittava, ettei henkilörekisteriin merkitä virheellisiä, kuten vääriä henkilöitä koskevia, tietoja. Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä merkitys rekisteröityjen yksityisyyden suojalle. Koska JN Finance Oy:n lainanhakijoiden tunnistamisessa noudattama toimintatapa näyttää mahdollistavan JN Finance Oy:n internet -sivuilta saatujen tietojen perusteella väärän henkilön rekisteröimisen lainanhakijaksi, tietosuojalautakunta katsoo, että virheettömyysvaatimus ei toteudu.

Päätös

Tietosuojalautakunta määrää henkilötietolain 44 §:n 2 kohdan nojalla JN Finance Oy:n välittömästi muuttamaan pikaluottojen myöntämisessä noudattamaansa luotonhakijoiden tunnistamistapaansa sellaiseksi, että se vastaa kuluttajansuojalain 7 luvun 15 §:n vaatimuksia, jotta väärää henkilöä ei rekisteröidä luotonhakijaksi.

JN Finance Oy:n tulee viipymättä ilmoittaa tietosuojavaltuutetulle, mihin toimenpiteisiin se on ryhtynyt tämän päätöksen noudattamiseksi.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki 1 §
Henkilötietolaki 5 §
Henkilötietolaki 9 § 2 mom.
Henkilötietolaki 44 § 2 mom.

Kuluttajansuojalaki 7 luku 15 §

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annettu laki 8 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.