06.09.2011 6/2011

Tietosuojavaltuutetun hakemus - Lainanhakija - Vahva tunnistaminen - Henkilötieto - Pikaluotto - Pikavippi

Tietosuojalautakunta määräsi EC-Finland Oy:n tietosuojavaltuutetun hakemuksesta muuttamaan välittömästi pikaluottojen myöntämisessä noudattamaansa luotonhakijoiden tunnistamistapaansa sellaiseksi, että se vastaa kuluttajansuojalain 7 luvun 15 §:n vaatimuksia. Tietosuojalautakunta katsoi päätöksessään EC-Finland Oy:n tunnistaneen lainanhakijoita tavalla, joka ei täyttänyt laissa asetettuja edellytyksiä.

Ks. myös tietosuojalautakunnan päätökset T: 5/2011, T: 7/2011, T: 8/2011, T: 9/2011, T: 10/2011, T: 11/2011, T: 12/2011, T: 13/2011, T 14/2011, T: 15/2011

ASIA

Henkilötietolain 44 §:n mukainen hakemus

HAKIJA

Tietosuojavaltuutettu

REKISTERINPITÄJÄ

EC-Finland Oy

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta velvoittaa rekisterinpitäjän henkilötietolain 44 § 2 kohdan nojalla sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakon nojalla muuttamaan luotonhakijoiden tunnistamiseen liittyvää toimintatapaansa siten, ettei väärien henkilöiden henkilötietojen käsittely luottohakemuksien käsittelyn yhteydessä olisi mahdollista puutteellisen tunnistamisen seurauksena.

Hakemus kohdistuu rekisterinpitäjän suorittamaan ns. pikaluottojen tarjoamiseen.

Tietosuojavaltuutetun hakemuksen perustelut 6.10.2010

Tietosuojavaltuutetulla käytettävissä olevien tietojen perusteella näyttää siltä, ettei rekisterinpitäjä tällä hetkellä tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset. Tunnistamiseen/todentamiseen liittyvät velvoitteet koskevat paitsi ns. uusia asiakkaita, myös niitä uutta pikaluottoa hakevia vanhoja asiakkaita, joiden kanssa luotonmyöntäjä on asioinut ennen helmikuuta 2010.

Henkilötietolain kannalta arvioituna tunnistamisen laiminlyönti mahdollistaa sen, että pikaluoton hakijoiksi voi tulla rekisteröidyksi sellaisia henkilöitä, jotka eivät todellisuudessa ole hakeneet luottoa. Tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta sekä lain 9.2 §:ssä säädettyä virheettömyysvaatimusta. Menettelyn ei myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:n säätämiä velvoitteita. Tällöin rekisteröidyn yksityisyyden suoja ei tule henkilötietolain edellyttämällä tavalla turvatuksi. Myös korkein hallinto-oikeus on katsonut näin päätöksessään 8.1.2010 (1568/1/09), jonka mukaan pikaluottoja myönnettäessä tulee käyttää sellaista tunnistamistapaa, jolla voidaan varmistaa, ettei väärää henkilöä rekisteröidä luotonhakijaksi.

TAUSTAA

Tietosuojavaltuutetun ja Kuluttajaviraston yhteinen valvontakampanja

Tietosuojavaltuutetun toimisto on toteuttanut hakemusta edeltäneen vuoden aikana oma-aloitteisen tarkastuksen, joka kohdistui henkilötietojen käsittelyyn pikaluottotoiminnassa. Tarkastus oli osa tietosuojavaltuutetun ja Kuluttajaviraston yhteistä valvontakampanjaa, jolla selvitettiin alan toimintatapojen lainmukaisuutta sekä tietosuojan että kuluttajansuojan näkökulmasta.

Tietosuojavaltuutetun toimisto selvitti toimialan menettelytapoja kohdistamalla kirjallisen selvityspyynnön 81 yritykselle. Tämän lisäksi toimisto tutustui alan yritysten internet-sivustoihin, joilla pikaluottoja tarjotaan. Tarkastus kohdistui tekstiviestien ja internetin välityksellä haettaviin pikaluottoihin.

Sekä tietosuojavaltuutettu että Kuluttajavirasto kiinnittivät tarkastuksessa huomiota erityisesti siihen, tunnistaako/todentaako pikaluottoja myöntävä yritys luotonhakijat lainsäädännön edellyttämällä tavalla. Luotonhakijan huolelliseen tunnistamiseen/todentamiseen velvoittavia säännöksiä sisältyy sekä henkilötietolakiin että kuluttajansuojalakiin.

KUULEMINEN

EC-Finland Oy:n selitys 23.11.2010

Tietosuojalautakunta varasi EC-Finland Oy:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. EC-Finland Oy toimitti 23.11.2010 selityksensä lautakunnalle.

EC-Finland Oy ilmoitti, että kaikki ensilainaa hakevat luotonhakijat tunnistetaan Tupas-järjestelmää käyttäen. EC-Finland Oy totesi tämän täyttävän heidän käsityksensä mukaan vahvan sähköisen tunnistamisen määritelmän. Lisäksi EC-Finland Oy kertoi, että asiakkaan on tunnistauduttava uudelleen, mikäli hänen tietonsa ovat muuttuneet (tilinro, osoite, tms).

EC-Finland Oy:n 16.3.2011 toimittama lisäselvitys

Tietosuojalautakunta on 6.12.2010 päivätyllä kirjeellä pyytänyt EC-Finland Oy:ltä lisäselvitystä, joka on koskenut vanhojen asiakkaiden tunnistamista. Lautakunta on pyytänyt toimittamaan vastauksen 31.12.2010 mennessä. EC-Finland Oy ei toimittanut lautakunnalle pyydettyä lisäselvitystä.

Lautakunta on tämän jälkeen esittänyt uuden, 16.2.2011 päivätyn, lisäselvityspyynnön. EC-Finland Oy toimitti 16.3.2011 lisäselvityksen lautakunnalle.

EC-Finland Oy kertoi lisäselityksessään, että vain vanhat asiakkaat voivat hakea eCreditiltä lainaa tekstiviestillä. Vanhoiksi asiakkaiksi katsotaan ne, jotka ovat aikaisemmin hakeneet lainaa eCreditiltä. Jos asiakas on hakenut ensilainansa 1.2.2010 jälkeen, on hänet tunnistettu Tupas-järjestelmää käyttäen. Lisäksi EC-Finland Oy kertoi, että tunnistamiseen käytetään puhelinnumeroa ja lainan hakeminen tekstiviestillä on mahdollista vain silloin kun asiakkaan tiedot eivät ole muuttuneet.

Lautakunnan tiedusteluun siitä, missä lainanhakuvaiheessa ensilainan hakijat tunnistetaan Tupas-järjestelmää käyttäen, EC-Finland Oy vastasi, että ilman tunnistamista hakemus hylätään. Lisäksi EC-Finland Oy kertoi, että ensilainaa voi hakea vain verkkohakemuksella ecredit.fi sivujen kautta. EC-Finland Oy:n mukaan tunnistaminen tapahtuu Tupasta käyttäen ja tunnistaminen suoritetaan ennen kuin muita henkilötietoja on kerätty. Kyseistä menettelyä EC-Finland Oy kuvaili seuraavasti:

a. Valitaan laina
b. Valitaan tunnistautuminen
Jatka tunnistautumiseen = Uudet ja vanhat asiakkaat
Jatka ilman tunnistautumista = Vain vanhat asiakkaat

Mikäli uusi asiakas, jatka tunnistaumiseen Tupasta käyttäen.

Lisäksi EC-Finland Oy kertoi, että vanhat asiakkaat tunnistetaan lainaa tekstiviestillä haettaessa puhelinnumeron perusteella. Mikäli tiedoissa on tapahtunut muutoksia, pyydetään asiakasta tunnistautumaan uudestaan. EC-Finland Oy myös kertoi, että haettaessa lainaa verkkohakemuksella, tunnistetaan asiakas henkilötunnuksen perusteella. Mikäli asiakas ilmoittaa hakemuksessaan tietoja, jotka poikkeavat EC-Finland Oy:n tiedossa olevista tiedoista, on asiakkaan tunnistauduttava Tupasta käyttäen ja vahvistettava muutokset. Lisäksi vanhoilla asiakkailla on mahdollisuus tunnistautua PIN-koodilla, jonka asiakas saa Tupas-tunnistautumista käyttäen. EC-Finland Oy huomautti myös, että aina asiakkaan esimerkiksi muuttaessa tilinumeroa, jolle laina maksetaan, vaatii EC-Finland Oy Tupas-tunnistautumista.

Lautakunta tiedusteli EC-Finland Oy:ltä myös, käsitelläänkö lainanhakijoiden henkilötietoja ennen asiakkaan tunnistamista vahvalla sähköisellä tunnistamismenetelmällä. EC-Finland Oy kertoi, että hakiessaan lainaa verkkohakemuksella asiakkaalla on mahdollisuus valita joko tunnistautuminen, jolloin Tupas-tunnistus suoritetaan välittömästi ennen kuin muita henkilötietoja käsitellään tai jatkaa ilman tunnistautumista. Valitessaan jälkimmäisen vaihtoehdon, asiakkaalta kysytään henkilötunnus, nimi- ja osoitetiedot. Mikäli asiakas todetaan uudeksi asiakkaaksi, hakemus hylätään. Henkilötietoja käytetään vain sen todentamiseen, onko kyseessä uusi asiakas vai vanha asiakas.

EC-Finland Oy ilmoitti myös katsovansa että se ei toimi henkilötietolain vastaisesti missään lainanhakuvaiheessa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain (523/1999) 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 9 §:n 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Kuluttajansuojalain (38/1978) 7 luvun 15 §:n (746/2010) 1 momentin mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 8 §:ssä säädetyt vaatimukset.

Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annetun lain 8 §:n 1 momentissa määritellään tunnistamismenetelmälle asetettavat vaatimukset. Pykälän mukaan tunnistusmenetelmän on täytettävä seuraavat vaatimukset: 1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkistettavissa; 2) menetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija; 3) menetelmällä voidaan riittävällä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä; ja 4) menetelmä on riittävän turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat.

Pykälän 2 momentin mukaan mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

Perustelut

Henkilötietolain 1 §:n mukaan henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Tähän pyritään lain kaikki säännökset huomioon ottavan huolellisuusvelvoitteen sekä hyvän tietojenkäsittelyn avulla.

Huolellisuusvelvoite velvoittaa rekisterinpitäjän pyrkimään oma-aloitteisesti huolehtimaan siitä, että henkilötietojen käsittely toteutetaan ottaen huomioon yksityisyyden suojaa turvaavat säännökset ja periaatteet. Hyvään tietojenkäsittelytapaan sisältyvät muun muassa yksityisyyttä tukevat menettelytavat henkilötietoja käsiteltäessä.

Tietosuojalautakunta on saanut asiassa selvitystä EC-Finland Oy:ltä. Tämän lisäksi tietosuojalautakunta on perehtynyt EC-Finland Oy:n ylläpitämiin internet-sivuihin www.ecredit.fi. Saadun selvityksen perusteella EC-Finland Oy tunnistaa lainaa tekstiviestillä hakevat puhelinnumeron perusteella. EC-Finland Oy on selventänyt, että ainoastaan niin kutsutut vanhat asiakkaat voivat hakea lainaa tekstiviestillä. Kaikki eCreditiltä aiemmin lainaa hakeneet katsotaan vanhoiksi asiakkaiksi. Internet-sivuilla ecredit.fi on annettu kahdet erilaiset ohjeet lainanhakemiseen tekstiviestillä. Kummassakaan näistä tapauksista ei edellytetä, että lainanhakija käyttää PIN-koodia.

Saadun selvityksen mukaan haettaessa lainaa verkkohakemuksella, [vanha] asiakas tunnistetaan henkilötunnuksen perusteella. Internet-sivuilla ecrdit.fi lainanhakijan on mahdollista valita verkkohakemusta tehdessään "jatka ilman tunnistautumista" -vaihtoehto. Tällöin lainanhakija syöttää kenttään ensin henkilötietoja ja seuraavassa vaiheessa hänet tunnistetaan puhelinnumeron perusteella. Saadun selvityksen ja internet-sivuilta saatujen tietojen perusteella ennen 1.2.2010 ensilainansa ottaneita vanhoja asiakkaita ei ole tunnistettu lainkaan vahvaa tunnistamista käyttäen. Internet-sivuilta saatavien tietojen perusteella kaikkien vanhojen lainanhakijoiden on mahdollista hakea lainaa ilman PIN-koodia.

Kuluttajansuojalain 7 luvun 15 §:n mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa säädetyt vaatimukset. Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Lautakunnan saaman selvityksen ja EC-Finland Oy:n ylläpitämiltä ecredit.fi -sivuilta saatujen tietojen perusteella EC-Finland Oy:n toiminta ei täytä kuluttajansuojalain 7 luvun 15 §:ssä asetettuja edellytyksiä sen myöntäessä pikavippejä [vanhoille] asiakkaille tunnistaen nämä ainoastaan henkilötunnuksen tai puhelinnumeron perusteella. Luotonantajan todentaessa muulla tavoin kuin kuluttajansuojalain 7 luvun 15 §:ssä määriteltyjen edellytysten mukaisesti luottoa hakevan henkilöllisyyden, ei luotonantajan voida katsoa toimivan myöskään henkilötietolain 5 §:ssä säädetyn huolellisuusvelvoitteen mukaisesti käsitellessään asiakkaiden henkilötietoja tarkoituksenaan asiakkaan tunnistaminen.

Virheettömyysvaatimus edellyttää, että rekisterinpitäjän tulisi jo tietojen keräämisvaiheessa mahdollisimman hyvin pyrkiä varmistamaan, että kaikki tiedot ovat virheettömiä. Rekisterinpitäjän on huolehdittava siitä, ettei rekisteriin merkitä virheellisiä, kuten vääriä henkilöitä koskevia tietoja. Rekisterinpitäjän jättäessä noudattamatta kuluttajansuojalain 7 luvun 15 §:ssä säädetyt velvoitteensa, ei rekisterinpitäjän voida katsoa myöskään varmistaneen riittävällä tavalla henkilötietoja kerätessään, että tiedot olisivat virheettömiä henkilötietolain virheettömyysvaatimuksen edellyttämällä tavalla.

Päätös

Tietosuojalautakunta määrää henkilötietolain 44 §:n 2 kohdan nojalla EC-Finland Oy:n välittömästi muuttamaan pikaluottojen myöntämisessä noudattamaansa luotonhakijoiden tunnistamistapaansa sellaiseksi, että se vastaa kuluttajansuojalain 7 luvun 15 §:n vaatimuksia, jotta väärää henkilöä ei rekisteröidä luotonhakijaksi.

EC-Finland Oy:n tulee viipymättä ilmoittaa tietosuojavaltuutetulle, mihin toimenpiteisiin se on ryhtynyt tämän päätöksen noudattamiseksi.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki 1 §
Henkilötietolaki 5 §
Henkilötietolaki 9 § 2 mom.
Henkilötietolaki 44 § 2 mom.

Kuluttajansuojalaki 7 luku 15 §

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annettu laki 8 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.