06.09.2011 8/2011

Tietosuojavaltuutetun hakemus - Lainanhakija - Vahva tunnistaminen - Henkilötieto - Pikaluotto - Pikavippi

Tietosuojalautakunta katsoi päätöksessään Wired-Bit Oy:n asiassa antamien selvityksien ja Wired-Bit Oy:n ylläpitämiltä internet -sivuilta saatavien tietojen perusteella, että Wired-Bit Oy käsittelee henkilötietoja luottohakemuksien käsittelyn yhteydessä henkilötietolain ja kuluttajansuojalain 7 luvun 15 §:n mukaisesti. Wired-Bit Oy menettely oli muuttunut luotonhakijoiden tunnistamisessa käyttämiään menettleyitä tietosuojavaltuutetun esittämän hakemuksen jälkeen. Näin ollen tietosuojalautakunta hylkäsi hakemuksen.

Ks. myös tietosuojalautakunnan päätökset T : 5/2011, T: 6/2011, T: 7/2011, T: 9/2011, T: 10/2011, T: 11/2011, T: 12/2011, T: 13/2011, T 14/2011, T: 15/2011

ASIA

Henkilötietolain 44 §:n mukainen hakemus

HAKIJA

Tietosuojavaltuutettu

REKISTERINPITÄJÄ

Wired-Bit Oy

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta velvoittaa rekisterinpitäjän henkilötietolain 44 § 2 kohdan nojalla sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakon nojalla muuttamaan luotonhakijoiden tunnistamiseen liittyvää toimintatapaansa siten, ettei väärien henkilöiden henkilötietojen käsittely luottohakemuksien käsittelyn yhteydessä olisi mahdollista puutteellisen tunnistamisen seurauksena.

Hakemus kohdistuu rekisterinpitäjän suorittamaan ns. pikaluottojen tarjoamiseen.

Tietosuojavaltuutetun hakemuksen perustelut 6.10.2010

Tietosuojavaltuutetulla käytettävissä olevien tietojen perusteella näyttää siltä, ettei rekisterinpitäjä hakemuksenteko hetkellä tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset. Tunnistamiseen/todentamiseen liittyvät velvoitteet koskevat paitsi ns. uusia asiakkaita, myös niitä uutta pikaluottoa hakevia vanhoja asiakkaita, joiden kanssa luotonmyöntäjä on asioinut ennen helmikuuta 2010.

Henkilötietolain kannalta arvioituna tunnistamisen laiminlyönti mahdollistaa sen, että pikaluoton hakijoiksi voi tulla rekisteröidyksi sellaisia henkilöitä, jotka eivät todellisuudessa ole hakeneet luottoa. Tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta sekä lain 9.2 §:ssä säädettyä virheettömyysvaatimusta. Menettelyn ei myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:n säätämiä velvoitteita. Tällöin rekisteröidyn yksityisyyden suoja ei tule henkilötietolain edellyttämällä tavalla turvatuksi. Myös korkein hallinto-oikeus on katsonut näin päätöksessään 8.1.2010 (1568/1/09), jonka mukaan pikaluottoja myönnettäessä tulee käyttää sellaista tunnistamistapaa, jolla voidaan varmistaa, ettei väärää henkilöä rekisteröidä luotonhakijaksi.

TAUSTAA

Tietosuojavaltuutetun ja Kuluttajaviraston yhteinen valvontakampanja

Tietosuojavaltuutetun toimisto on toteuttanut hakemusta edeltäneen vuoden aikana oma-aloitteisen tarkastuksen, joka kohdistui henkilötietojen käsittelyyn pikaluottotoiminnassa. Tarkastus oli osa tietosuojavaltuutetun ja Kuluttajaviraston yhteistä valvontakampanjaa, jolla selvitettiin alan toimintatapojen lainmukaisuutta sekä tietosuojan että kuluttajansuojan näkökulmasta.

Tietosuojavaltuutetun toimisto selvitti toimialan menettelytapoja kohdistamalla kirjallisen selvityspyynnön 81 yritykselle. Tämän lisäksi toimisto tutustui alan yritysten internet-sivustoihin, joilla pikaluottoja tarjotaan. Tarkastus kohdistui tekstiviestien ja internetin välityksellä haettaviin pikaluottoihin.

Sekä tietosuojavaltuutettu että Kuluttajavirasto kiinnittivät tarkastuksessa huomiota erityisesti siihen, tunnistaako/todentaako pikaluottoja myöntävä yritys luotonhakijat lainsäädännön edellyttämällä tavalla. Luotonhakijan huolelliseen tunnistamiseen/todentamiseen velvoittavia säännöksiä sisältyy sekä henkilötietolakiin että kuluttajansuojalakiin.

KUULEMINEN

Wired-Bit Oy:n selitys 22.11.2010 sekä lisäselitykset 8.12.2010 ja 10.12.2010

Tietosuojalautakunta varasi Wired-Bit Oy:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. Wired-Bit Oy toimitti lautakunnalle 22.11.2010 selityksensä. Wired-Bit Oy ilmoitti, että sillä on käytössä vahva sähköinen tunnistaminen kaikissa pikaluottopalveluissa ja lainanhakemisen edellyttävän aina sähköistä pankkitunnistamista. Wired-Bit Oy myös kertoi tarkastavansa tämän lisäksi mm. puhelinliittymän omistajan tiedot / luottotiedot / osoitetiedot.

Wired-Bit Oy katsoi sillä käytössä olevien henkilöntunnistusmenetelmien olevan lain vaatimusten mukaiset.

Lisäselitykset 8.12.2010 ja 10.12.2010

Lautakunta esitti Wired-Bit Oy:lle tunnistamista koskevia tarkentavia kysymyksiä. Wired-Bit Oy vahvisti 8.12.2010 antamassaan vastauksessa, että ensilainan hakijat tunnistetaan kertaalleen Tupas-palvelun avulla ja että myös vanhat asiakkaat tunnistetaan kertaalleen Tupas-palvelun avulla. Lisäksi Wired-Bit Oy kertoi ottavansa käyttöön palvelun, jolla annetaan lainanhakijoille mahdollisuus saada PIN-koodi postitse kotiin. Tämän palvelun yhteydessä lainanhakijan katuosoite ja postinumero varmistetaan.

Tämän jälkeen lautakunta pyysi Wired-Bit Oy:tä vielä tarkentamaan, voidaanko kertaalleen Tupas-palvelun avulla tunnistetut vanhat asiakkaat tunnistaa jollakin muulla menettelyllä kuin PIN-koodin avulla. Wired-Bit Oy ilmoitti 10.12.2010 toimittamassaan vastauksessa, että asiakkaat tunnistetaan aina PIN-koodin avulla ja vahvisti, että heillä ei ole käytössä muita menettelyitä. PIN-koodin asiakas saa tunnistauduttuaan kertaalleen Tupas-palvelun avulla.

Tietosuojavaltuutetun vastaselitys 10.1.2011

Tietosuojalautakunta varasi tietosuojavaltuutetulle hallintolain 34 §:n mukaisen tilaisuuden antaa selitys Wired-Bit Oy:n antaman selityksen johdosta.

Tietosuojavaltuutettu totesi vastaselityksessään muun muassa seuraavaa:

Rekisterinpitäjä kertoo antamissaan selityksissä, että nykyisin kaikissa sen pikaluottopalveluissa on käytössä vahva sähköinen tunnistautuminen (Tupas), minkä myötä asiakas saa PIN-koodin. Rekisterinpitäjän mukaan niin ensilainanhakijat kuin vanhatkin asiakkaat tunnistetaan kertaalleen Tupas-palvelun avulla. Sähköisen pankkitunnistautumisen lisäksi rekisterinpitäjä kertoo tarkastavansa mm. puhelinliittymän omistaja/luottotiedot/osoitetiedot.

Yksinomaan rekisterinpitäjän antamien kirjallisten selitysten perusteella arvioituna vaikuttaisi siltä, että luotonhakijoiden tunnistamisessa on saatettu siirtyä käyttämään sellaisia menettelytapoja, jotka ovat riittävän huolellisia henkilötietolain 5 §:n, 6 §:n ja 9.2 §:n kannalta arvioituina.

Valtuutettu totesi kuitenkin pitävänsä keskeisenä, että rekisterinpitäjän toimintatapoja luotonhakijoiden tunnistamisessa arvioidaan lisäksi ainakin tutustumalla niihin internet -sivustoihin, joissa se tarjoaa pikaluottoja.

Valtuutettu oli rekisterinpitäjän toimintatapojen tarkemmaksi selvittämiseksi tutustunut vastaselityksen antamispäivänä sivustoihin www.gsmlaina.fi, www.bonuslaina.fi, www.fastcash.fi ja www.hansalaina.fi. Valtuutettu totesi, että hänen tekemien havaintojen perusteella vaikuttaa siltä, että rekisterinpitäjällä ei ole käytössään sellaista toimintatapaa, jonka valtuutettu voisi suoralta kädeltä todeta riittävän huolelliseksi henkilötietolain 5 §:n, 6 §:n ja 9.2 §:n kannalta arvioituna.

Valtuutettu totesi, että rekisterinpitäjän internet -sivustoihin tutustuessaan hän kiinnitti huomiota siihen, että pikaluoton hakuprosessin alkuvaiheeseen ei kuulu luotonhakijan tunnistaminen Tupas-tunnisteita/PIN-koodia hyödyntäen. Kaikilla sivustoilla luotonhakijaa ohjeistetaan lähettämään ensin lainahakemus tekstiviestillä siten, että viestissä ilmoitetaan haettava lainasumma, sukunimi, lähiosoite, postinumero, postitoimipaikka, henkilötunnus, pankkitilinumero ja sähköpostiosoite.

Rekisterinpitäjän ohjeistuksen mukaan vasta siinä vaiheessa, kun henkilö on saanut myönteisen lainapäätöksen puhelimeen, hänen tulee hyväksyä laina ja sähköpostiin toimitetut lainaehdot PIN-koodilla, jonka saa tunnistautumalla Tupas-tunnisteilla.

Valtuutettu totesi internet -sivustoilta ilmenevien tietojen perusteella näyttävän siltä, että rekisterinpitäjä käsittelee luotonhakijoiden henkilötietoja ja tekee luottopäätöksiä jo ennen, kuin tunnistaa luotonhakijat Tupas-tunnisteilla/PIN-koodilla. Luottopäätöstä edeltävään henkilötietojen käsittelyyn kuuluu ilmeisesti ainakin rekisterinpitäjän mainitsema luotto-, osoite- ja puhelinliittymätietojen tarkastaminen sekä luotonhakijan tietojen tallettaminen rekisterinpitäjän luottoasiakasrekisteriin (jonka rekisteriseloste on löydettävissä kaikilta internet-sivustoilta).

Henkilötietolain 5 §:ssä, 6 §:ssä ja 9 §:n 2 momentissa säädetty huomioon ottaen, valtuutettu ei pidä riittävänä, että rekisterinpitäjä käyttää Tupas-tunnistautumista/PIN-koodia vain niissä tapauksissa, joissa se on jo tehnyt myönteisen luottopäätöksen tiettyä henkilöä koskien. Edellä mainitut henkilötietolain säännökset koskevat myös luottopäätöksen tekemistä edeltävää henkilötietojen käsittelyä (kuten tietojen tallettamista luottoasiakasrekisteriin sekä luottotietojen tarkistamista) sekä niitä tilanteita, joissa rekisterinpitäjä tekee kielteisen luottopäätöksen. Kaiken rekisterinpitäjän suorittaman luotonhakijoiden henkilötietojen käsittelyn tulee olla huolellista, asiallisesti perusteltua ja suunniteltua. Rekisterinpitäjän on huolehdittava käsittelemiensä tietojen virheettömyydestä sekä muusta laadusta kaikkien luotonhakijoiden kohdalla sekä nykyistä laajemmin koko hakuprosessin ajan.

Valtuutettu toteaa käytettävissä olevien tietojen perusteella, ettei voi edelleenkään pitää rekisterinpitäjän toimintatapaa riittävän huolellisena henkilötietolain 5 §:n, 6 §:n ja 9.2 §:n kannalta arvioituna. Valtuutettu katsoo olevan yhä mahdollista, että rekisterinpitäjä saattaa käsitellä luotonhakijoiden tunnistamisen laiminlyönnin johdosta sellaisten henkilöiden tietoja, jotka eivät todellisuudessa ole hakeneet pikaluottoa.

Wired-Bit Oy:n vastaselitys ja lisäselvitys 15.3.2011

Tietosuojalautakunta varasi 16.2.2011 päivätyllä selityspyynnöllä hallintolain 34 §:n nojalla Wired-Bit Oy:lle tilaisuuden vastaselityksen antamiseen tietosuojavaltuutetun selityksestä.

Wired-Bit Oy toimitti lautakunnalle 15.3. vastaselityksen ja lisäselvityksen. Wired-Bit Oy oli ottanut huomioon tietosuojavaltuutetun esittämät huomiot, jotka koskivat lainanmyöntämismenettelyä. Wired-Bit Oy ilmoitti olevansa uudistamassa ja ottamassa käyttöön uutta lainanmyöntämismenettelyä 31.3.2011. Uusi menettely etenee seuraavasti: 1) Lainanhakija tunnistetaan (Tupas/PIN-koodi) 2) Lainahakemuksen käsittely 3) Lainapäätös 4) Rahojen toimittaminen pankkisiirrolla.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain (523/1999) 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 9 §:n 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Henkilötietolain 48 §:n mukaan joka tahallaan tai törkeästä huolimattomuudesta tämän lain vastaisesti antaa tietosuojaviranomaiselle henkilötietojen käsittelyä koskevassa asiassa väärän tai harhaanjohtavan tiedon ja siten vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan, on tuomittava, jollei teosta ole muualla laissa säädetty ankarampaa rangaistusta, henkilörekisteririkkomuksesta sakkoon.

Kuluttajansuojalain (38/1978) 7 luvun 15 §:n (746/2010) 1 momentin mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 8 §:ssä säädetyt vaatimukset.

Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annetun lain 8 §:ssä määritellään tunnistamismenetelmälle asetettavat vaatimukset. Pykälän mukaan tunnistusmenetelmän on täytettävä seuraavat vaatimukset: 1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkistettavissa; 2) menetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija; 3) menetelmällä voidaan riittävällä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä; ja 4) menetelmä on riittävän turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat.

Pykälän 2 momentin mukaan mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

Perustelut

Wired-Bit Oy on kaikissa tietosuojalautakunnalle toimittamissaan selvityksissä kertonut tunnistavansa kaikki lainanhakijat PIN-koodin avulla, koodin lainanhakija saa tunnistauduttuaan ensin vahvaa tunnistamista käyttäen.

Wired-Bit Oy on ilmoittanut muuttavansa lainanmyöntämismenettelyään valtuutetun viimeisen vastineen jälkeen. Wired-Bit Oy on muuttanut menettelyään siten, että asiakkaat tunnistetaan ennen lainahakemuksen käsittelyä. Tätä ennen Wired-Bit Oy edellytti Tupas-tunnistautumista ja PIN-koodia lainanhakijoilta, mutta tunnistaminen tapahtui vasta siinä vaiheessa kun asiakkaan tuli vahvistaa myönteinen lainapäätös. Tietosuojavaltuutettu oli kiinnittänyt vastineessaan huomiota tähän menettelyyn.

Lautakunta on perehtynyt Wired-Bit Oy:n ylläpitämiin internet -sivuihin www.bonuslaina.fi, www.gsmlaina.fi, www.fastcash.fi ja www.hansalaina.fi. Kyseisiltä sivuilta saatujen tietojen perusteella asiakkaalla on oltava PIN-koodi, jotta hän voi hakea lainaa. PIN-koodi on annettava luotonantajalle luotonhakumenettelyn ensivaiheessa. Lautakunta on samassa yhteydessä kiinnittänyt huomiota sivuilla tarjottavaan palveluun, jonka avulla lainanhakija voi tilata unohtuneen PIN-koodin matkapuhelimeensa tai sähköpostiinsa.

Wired-Bit Oy on tietosuojalautakunnalle toimittamassaan selvityksissä todennut tunnistavansa luotonhakijat ensin vahvaa sähköistä tunnistamista käyttäen ja tämän jälkeen PIN-koodilla. Lisäksi Wired-Bit Oy on ilmoittanut tarkistavansa luotonhakijan tiedot tämän ohella myös muista rekistereistä. Wired-Bit Oy on myös ilmoittanut tunnistavansa kaikki vanhat asiakkaat kertaalleen Tupas-tunnistautumista käyttäen. Wired-Bit Oy:n ylläpitämiltä internet -sivuilta saatavat tiedot tukevat Wired-Bit Oy:n antamia selvityksiä.

Näin ollen tietosuojalautakunta katsoo Wired-Bit Oy:n asiassa antamien selvityksien ja Wired-Bit Oy:n ylläpitämiltä internet -sivuilta saatavien tietojen perusteella, että Wired-Bit Oy käsittelee henkilötietoja luottohakemuksien käsittelyn yhteydessä henkilötietolain ja kuluttajansuojalain 7 luvun 15 §:n mukaisesti. Lautakunta kuitenkin kiinnittää huomiota palveluun, jonka avulla PIN-koodin saa uudistettua tavalla, joka ei näytä aivan asianmukaiselta.

Päätös

Edellä mainituista syistä tietosuojalautakunta hylkää tietosuojavaltuutetun hakemuksen.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki 1 §
Henkilötietolaki 5 §
Henkilötietolaki 9 § 2 mom.
Henkilötietolaki 44 § 2 mom.

Kuluttajansuojalaki 7 luku 15 §

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annettu laki 8 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.