06.09.2011 7/2011

Tietosuojavaltuutetun hakemus - Lainanhakija - Vahva tunnistaminen - Henkilötieto - Pikaluotto - Pikavippi

Tietosuojalautakunta määräsi m-Aurora Oy:n tietosuojavaltuutetun hakemuksesta muuttamaan välittömästi pikaluottojen myöntämisessä noudattamaansa luotonhakijoiden tunnistamistapaansa sellaiseksi, että se vastaa kuluttajansuojalain 7 luvun 15 §:n vaatimuksia. Tietosuojalautakunta katsoi päätöksessään m-Aurora Oy:n tunnistaneen lainanhakijoita tavalla, joka ei täyttänyt laissa asetettuja edellytyksiä.

Ks. myös tietosuojalautakunnan päätökset T : 5/2011, T: 6/2011, T: 8/2011, T: 9/2011, T: 10/2011, T: 11/2011, T: 12/2011, T: 13/2011, T 14/2011, T: 15/2011

ASIA

Henkilötietolain 44 §:n mukainen hakemus

HAKIJA

Tietosuojavaltuutettu

REKISTERINPITÄJÄ

m-AURORA Oy

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta velvoittaa rekisterinpitäjän henkilötietolain 44 § 2 kohdan nojalla sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakon nojalla muuttamaan luotonhakijoiden tunnistamiseen liittyvää toimintatapaansa siten, ettei väärien henkilöiden henkilötietojen käsittely luottohakemuksien käsittelyn yhteydessä olisi mahdollista puutteellisen tunnistamisen seurauksena.

Hakemus kohdistuu rekisterinpitäjän suorittamaan ns. pikaluottojen tarjoamiseen.

Tietosuojavaltuutetun hakemuksen perustelut 6.10.2010

Tietosuojavaltuutetulla käytettävissä olevien tietojen perusteella näyttää siltä, ettei rekisterinpitäjä tällä hetkellä tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset. Tunnistamiseen/todentamiseen liittyvät velvoitteet koskevat paitsi ns. uusia asiakkaita, myös niitä uutta pikaluottoa hakevia vanhoja asiakkaita, joiden kanssa luotonmyöntäjä on asioinut ennen helmikuuta 2010.

Henkilötietolain kannalta arvioituna tunnistamisen laiminlyönti mahdollistaa sen, että pikaluoton hakijoiksi voi tulla rekisteröidyksi sellaisia henkilöitä, jotka eivät todellisuudessa ole hakeneet luottoa. Tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta sekä lain 9.2 §:ssä säädettyä virheettömyysvaatimusta. Menettelyn ei myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:n säätämiä velvoitteita. Tällöin rekisteröidyn yksityisyyden suoja ei tule henkilötietolain edellyttämällä tavalla turvatuksi. Myös korkein hallinto-oikeus on katsonut näin päätöksessään 8.1.2010 (1568/1/09), jonka mukaan pikaluottoja myönnettäessä tulee käyttää sellaista tunnistamistapaa, jolla voidaan varmistaa, ettei väärää henkilöä rekisteröidä luotonhakijaksi.

TAUSTAA

Tietosuojavaltuutetun ja Kuluttajaviraston yhteinen valvontakampanja

Tietosuojavaltuutetun toimisto on toteuttanut hakemusta edeltäneen vuoden aikana oma-aloitteisen tarkastuksen, joka kohdistui henkilötietojen käsittelyyn pikaluottotoiminnassa. Tarkastus oli osa tietosuojavaltuutetun ja Kuluttajaviraston yhteistä valvontakampanjaa, jolla selvitettiin alan toimintatapojen lainmukaisuutta sekä tietosuojan että kuluttajansuojan näkökulmasta.

Tietosuojavaltuutetun toimisto selvitti toimialan menettelytapoja kohdistamalla kirjallisen selvityspyynnön 81 yritykselle. Tämän lisäksi toimisto tutustui alan yritysten internet-sivustoihin, joilla pikaluottoja tarjotaan. Tarkastus kohdistui tekstiviestien ja internetin välityksellä haettaviin pikaluottoihin.

Sekä tietosuojavaltuutettu että Kuluttajavirasto kiinnittivät tarkastuksessa huomiota erityisesti siihen, tunnistaako/todentaako pikaluottoja myöntävä yritys luotonhakijat lainsäädännön edellyttämällä tavalla. Luotonhakijan huolelliseen tunnistamiseen/todentamiseen velvoittavia säännöksiä sisältyy sekä henkilötietolakiin että kuluttajansuojalakiin.

KUULEMINEN

m-Aurora Oy:n selitys 23.11.2010

Tietosuojalautakunta varasi m-Aurora Oy:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. m-Aurora Oy toimitti lautakunnalle 23.11.2010 selityksensä.

m-Aurora Oy ilmoitti, että kaikki ensilainaa hakevat luotonhakijat tunnistetaan Tupas-järjestelmää käyttäen ja totesi tämän täyttävän heidän käsityksensä mukaan vahvan sähköisen tunnistamisen määritelmän. Lisäksi M-Auroa kertoi, että asiakkaan on tunnistauduttuva uudelleen, mikäli hänen tietonsa ovat muuttuneet (tilinro, osoite, tms).

Lisäselvityspyynnöt 6.12.2010 ja 16.2.2011

Tietosuojalautakunta pyysi 6.12.2010 päivätyllä kirjeellä m-Aurora Oy:ltä vanhojen asiakkaiden tunnistamista koskevaa lisäselvitystä. Lautakunta pyysi m-Aurora Oy:tä toimittamaan vastauksen 31.12.2010 mennessä. m-Aurora Oy ei ole toimittanut lautakunnalle pyydettyä lisäselvitystä.

Tietosuojalautakunta on tämän jälkeen esittänyt uuden, 16.2.2011 päivätyn, lisäselvityspyynnön. Lautakunta on pyytänyt m-Aurora Oy:tä tarkentamaan seuraavia asioita:

1) Missä lainanhakuvaiheessa ensiasiakkaat tunnistetaan Tupas-järjestelmää käyttäen.

2) Luettelemaan vanhojen asiakkaiden käytössä olevat tunnistamismenettelyt ja kuvailmaan nämä yksityiskohtaisesti.

3) Kuinka vanhojen asiakkaiden käytössä oleva PIN-koodi luodaan.

4) Selvittämään missä lainanhakuvaiheessa lainanhakija (sekä ensilainan hakija että vanha asiakas) tunnistetaan ja tässä yhteydessä selvittämään yksityiskohtaisesti millaista tunnistamismenettelyä kyseisessä vaiheessa käytetään. Käsitteleekö m-Aurora Oy hakijoiden henkilötietoja jo ennen kuin asiakas on tunnistautunut vahvaa sähköistä tunnistamista käyttäen.

Lautakunta on pyytänyt toimittamaan lisäselvityksen 15.3.2011 mennessä ja huomauttanut lisäselvityspyynnössä, että määräajan noudattamatta jättäminen ei estä ratkaisemasta asiaa.

m-Aurora Oy ei ole toimittanut lautakunnalle pyydettyä lisäselvitystä.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain (523/1999) 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 9 §:n 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Kuluttajansuojalain (38/1978) 7 luvun 15 §:n (746/2010) 1 momentin mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 8 §:ssä säädetyt vaatimukset.

Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annetun lain 8 §:n 1 momentissa määritellään tunnistamismenetelmälle asetettavat vaatimukset. Pykälän mukaan tunnistusmenetelmän on täytettävä seuraavat vaatimukset: 1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkistettavissa; 2) menetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija; 3) menetelmällä voidaan riittävällä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä; ja 4) menetelmä on riittävän turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat.

Pykälän 2 momentin mukaan mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

Perustelut

Henkilötietolain 1 §:n mukaan henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Tähän pyritään lain kaikki säännökset huomioon ottavan huolellisuusvelvoitteen sekä hyvän tietojenkäsittelyn avulla.

Huolellisuusvelvoite velvoittaa rekisterinpitäjän pyrkimään oma-aloitteisesti huolehtimaan siitä, että henkilötietojen käsittely toteutetaan ottaen huomioon yksityisyyden suojaa turvaavat säännökset ja periaatteet. Hyvään tietojenkäsittelytapaan sisältyvät muun muassa yksityisyyttä tukevat menettelytavat henkilötietoja käsiteltäessä.

m-Aurora Oy on lautakunnalle 23.11.2010 toimittamassaan selityksessä todennut, että kaikki ensilainaa hakevat luotonhakijat tunnistetaan Tupas-järjestelmää käyttäen. Asiakkaan on myös tunnistauduttava uudestaan, mikäli hänen tietonsa ovat muuttuneet (tilinro, osoite, tms). m-Aurora Oy ei ole tämän jälkeen toimittanut tietosuojalautakunnan pyytämiä lisäselvityksiä, joissa on esitetty tarkentavia kysymyksiä m-Aurora Oy:n käyttämästä tunnistamismenettelystä. m-Aurora Oy ei ole näin ollen näyttänyt, että se tunnistaisi lainanhakijat kuluttajasuojalain edellyttämällä tavalla. Helmikuussa päivätyssä lisäselvityspyynnössä todetaan, että määräajan noudattamatta jättäminen ei estä ratkaisemasta asiaa.

Tietosuojalautakunta on m-Aurora Oy:ltä saadun selvityksen lisäksi perehtynyt m-Aurora Oy:n ylläpitämiin internet-sivuihin www.hetivippi.fi. Kyseisten internet -sivujen perusteella ei ole selvää, että pikalainaa voisi hakea ainoastaan PIN-koodilla haettaessa lainaa tekstiviestillä. Lisäksi haettaessa lainaa verkkohakemuksella, on hakijan mahdollista valita "jatka ilman tunnistautumista" -vaihtoehto. Tällöin lainanhakija syöttää kenttään henkilötietoja ja tätä toimintoa seuraa puhelinnumeron vahvistaminen. m-Aurora Oy:n antaman selityksen ja hetivippi.fi -sivuilta saatujen tietojen perusteella ei myöskään vaikuta siltä, että vanhojenkin asiakkaiden olisi tunnistauduttava vahvaa tunnistamista käyttäen.

Kuluttajansuojalain 7 luvun 15 §:n mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa säädetyt vaatimukset. Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Lautakunnan saaman selvityksen ja m-Aurora Oy:n ylläpitämiltä hetivippi.fi -sivuilta saatujen tietojen perusteella m-Aurora Oy:n toiminta ei täytä kuluttajansuojalain 7 luvun 15 §:ssä asetettuja edellytyksiä sen myöntäessä pikavippejä [vanhoille] asiakkaille tunnistaen nämä ainoastaan puhelinnumeron perusteella. Luotonantajan todentaessa muulla tavoin kuin kuluttajansuojalain 7 luvun 15 §:ssä määriteltyjen edellytysten mukaisesti luottoa hakevan henkilöllisyys, ei luotonantajan voida katsoa toimivan myöskään henkilötietolain 5 §:ssä säädetyn huolellisuusvelvoitteen mukaisesti käsitellessään asiakkaiden henkilötietoja tarkoituksenaan asiakkaan tunnistaminen.

Virheettömyysvaatimus edellyttää, että rekisterinpitäjän tulisi jo tietojen keräämisvaiheessa mahdollisimman hyvin pyrkiä varmistamaan, että kaikki tiedot ovat virheettömiä. Rekisterinpitäjän on huolehdittava siitä, ettei rekisteriin merkitä virheellisiä, kuten vääriä henkilöitä koskevia tietoja. Rekisterinpitäjän jättäessä noudattamatta kuluttajansuojalain 7 luvun 15 §:ssä säädetyt velvoitteensa, ei rekisterinpitäjän voida katsoa myöskään varmistaneen riittävällä tavalla henkilötietoja kerätessään, että tiedot olisivat virheettömiä henkilötietolain virheettömyysvaatimuksen edellyttämällä tavalla.

Päätös

Tietosuojalautakunta määrää henkilötietolain 44 §:n 2 kohdan nojalla m-Aurora Oy:n välittömästi muuttamaan pikaluottojen myöntämisessä noudattamaansa luotonhakijoiden tunnistamistapaansa sellaiseksi, että se vastaa kuluttajansuojalain 7 luvun 15 §:n vaatimuksia, jotta väärää henkilöä ei rekisteröidä luotonhakijaksi.

m-Aurora Oy:n tulee viipymättä ilmoittaa tietosuojavaltuutetulle, mihin toimenpiteisiin se on ryhtynyt tämän päätöksen noudattamiseksi.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki 1 §
Henkilötietolaki 5 §
Henkilötietolaki 9 § 2 mom.
Henkilötietolaki 44 § 2 mom.

Kuluttajansuojalaki 7 luku 15 §

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annettu laki 8 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.