06.09.2011 10/2011

Tietosuojavaltuutetun hakemus - Lainanhakija - Vahva tunnistaminen - Henkilötieto - Pikaluotto - Pikavippi

Tietosuojalautakunta katsoi saadun selvityksen perusteella Buencali Oy:n todentavan luottoa hakevan henkilöllisyyden huolellisesti ja sillä olevan käytössä vahvaa sähköistä tunnistamista edellyttävä lainanhakumenettely. Näin ollen lautakunta katsoi Buencali Oy:n käsittelevän henkilötietoja luottohakemuksien käsittelyn yhteydessä henkilötietolain ja kuluttajansuojalain 7 luvun 15 §:n mukaisesti. Lautakunta hylkäsi tietosuojavaltuutetun hakemuksen.

Ks. myös tietosuojalautakunnan päätökset T : 5/2011, T: 6/2011, T: 7/2011, T: 8/2011, T: 9/2011, T: 11/2011, T: 12/2011, T: 13/2011, T 14/2011, T: 15/2011

ASIA

Henkilötietolain 44 §:n mukainen hakemus 5/933/2010

HAKIJA

Tietosuojavaltuutettu

REKISTERINPITÄJÄ

Buencali Oy

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta velvoittaa rekisterinpitäjän henkilötietolain 44 § 2 kohdan nojalla sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakon nojalla muuttamaan luotonhakijoiden tunnistamiseen liittyvää toimintatapaansa siten, ettei väärien henkilöiden henkilötietojen käsittely luottohakemuksien käsittelyn yhteydessä olisi mahdollista puutteellisen tunnistamisen seurauksena.

Hakemus kohdistuu rekisterinpitäjän suorittamaan ns. pikaluottojen tarjoamiseen.

Tietosuojavaltuutetun hakemuksen perustelut 6.10.2010

Tietosuojavaltuutetulla käytettävissä olevien tietojen perusteella näyttää siltä, ettei rekisterinpitäjä tällä hetkellä tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset. Tunnistamiseen/todentamiseen liittyvät velvoitteet koskevat paitsi ns. uusia asiakkaita, myös niitä uutta pikaluottoa hakevia vanhoja asiakkaita, joiden kanssa luotonmyöntäjä on asioinut ennen helmikuuta 2010.

Henkilötietolain kannalta arvioituna tunnistamisen laiminlyönti mahdollistaa sen, että pikaluoton hakijoiksi voi tulla rekisteröidyksi sellaisia henkilöitä, jotka eivät todellisuudessa ole hakeneet luottoa. Tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta sekä lain 9.2 §:ssä säädettyä virheettömyysvaatimusta. Menettelyn ei myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:n säätämiä velvoitteita. Tällöin rekisteröidyn yksityisyyden suoja ei tule henkilötietolain edellyttämällä tavalla turvatuksi. Myös korkein hallinto-oikeus on katsonut näin päätöksessään 8.1.2010 (1568/1/09), jonka mukaan pikaluottoja myönnettäessä tulee käyttää sellaista tunnistamistapaa, jolla voidaan varmistaa, ettei väärää henkilöä rekisteröidä luotonhakijaksi.

TAUSTAA

Tietosuojavaltuutetun ja Kuluttajaviraston yhteinen valvontakampanja

Tietosuojavaltuutetun toimisto on toteuttanut hakemusta edeltäneen vuoden aikana oma-aloitteisen tarkastuksen, joka kohdistui henkilötietojen käsittelyyn pikaluottotoiminnassa. Tarkastus oli osa tietosuojavaltuutetun ja Kuluttajaviraston yhteistä valvontakampanjaa, jolla selvitettiin alan toimintatapojen lainmukaisuutta sekä tietosuojan että kuluttajansuojan näkökulmasta.

Tietosuojavaltuutetun toimisto selvitti toimialan menettelytapoja kohdistamalla kirjallisen selvityspyynnön 81 yritykselle. Tämän lisäksi toimisto tutustui alan yritysten internet-sivustoihin, joilla pikaluottoja tarjotaan. Tarkastus kohdistui tekstiviestien ja internetin välityksellä haettaviin pikaluottoihin.

Sekä tietosuojavaltuutettu että Kuluttajavirasto kiinnittivät tarkastuksessa huomiota erityisesti siihen, tunnistaako/todentaako pikaluottoja myöntävä yritys luotonhakijat lainsäädännön edellyttämällä tavalla. Luotonhakijan huolelliseen tunnistamiseen/todentamiseen velvoittavia säännöksiä sisältyy sekä henkilötietolakiin että kuluttajansuojalakiin.

KUULEMINEN

Buencali Oy:n selitys 8.12.2010

Tietosuojalautakunta varasi Buencali Oy:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. Buencali Oy toimitti 8.12.2010 selityksensä tietosuojalautakunnalle.

Buencali Oy ilmoitti katsovansa, että se noudattaa tarkasti henkilötietolain 5 §, 6 § sekä 9 § asettamia vaatimuksia käsitellessään asiakkaitaan [asiakkaidensa henkilötietoja]. Buencali Oy ilmoitti, että ei myönnä luottoja asiakkaille, jonka henkilötietoja se ei pysty varmuudella tunnistamaan.

Buencali Oy:n lisäselitys 17.12.2010

Tietosuojalautakunta pyysi sähköpostitse Buencali Oy:tä tarkentamaan, kuinka ensilainan hakijat tunnistetaan ja onko Buencali Oy:llä mahdollisesti Tupas-tunnistatumisen lisäksi muita vaihtoehtoisia tunnistamistapoja ensilainaa hakeville. Lisäksi lautakunta tiedusteli, miten vanhat asiakkaat tunnistetaan ja pyysi kuvailemaan käytetyn menettelyn mahdollisimman tarkasti.

Buencali Oy ilmoitti sähköpostitse 17.12.2010, että lainanhakijat tunnistetaan Tupas-tunnisteen avulla, eikä yrityksellä ole muita vaihtoehtoisia tunnistamistapoja käytössä. Lisäksi Buencali Oy ilmoitti, että myös vanhat asiakkaat tunnistautuvat vahvaa Tupas-tunnistetta käyttäen.

Tietosuojalautakunnan lisäselvityspyyntö 16.2.2011

Lautakunta esitti Buencali Oy:lle tarkentavia kysymyksiä 16.2.2011 päivätyllä lisäselvityspyynnöllä viitaten www.vippiraha.fi -sivuilla esiintyviin tietoihin. Tietosuojalautakunta pyysi Buencali Oy:tä selvittämään tyhjentävästi ja mahdollisimman yksityiskohtaisesti, missä käsittelyvaiheessa lainahakija tunnistetaan Tupas-menettelyllä ja käsitteleekö Buencali Oy lainahakijoiden henkilötieoja ennen lainanhakijoiden Tupas-tunnistautumista. Lisäksi lautakunta pyysi selvittämään millaisia tunnistamispalveluja vanhojen asiakkaiden käytössä on sekä kuvailemaan kuinka mobiilitunnistautuminen tapahtuu ja mitä tarkoitetaan mahdollisuudella hakea lainaa salaisella numerolla.

Buencali Oy:n lisäselitys 15.3.2011

Buencali Oy toimitti tietosuojalautakunnalle 15.3.2011 sähköpostitse lisäselityksensä.

Buencali Oy ilmoitti, että lainanhakija tunnistetaan Tupas-menettelyllä lainanhaun alkaessa ensimmäisenä, eikä Buencali Oy käsittele lainanhakijoiden henkilötietoja ennen Tupas-tunnistautumista. Lisäksi Buencali Oy vahvisti, että sekä uudet että vanhat asiakkaat joutuvat tunnistautumaan vahvaa Tupas-tunnistetta käyttäen. Muita tunnistautumistapoja Buencali Oy:llä ei ole käytössä. Buencali Oy myös ilmoitti, että sillä ei ole mobiilitunnistautumista käytössä, vaan Säästöpankin sekä Osuuspankin verkkopankin kautta toimivat Tupas-tunnisteet. Salaista numeroa koskevaan tiedusteluun Buencali Oy vastasi, että mahdollisuus hakea salaisella numerolla lainaa perustuu Tupas-tunnisteen vahvuuteen. Kun asiakas on tunnistautunut Tupas-tunnisteen kautta, voi lainanhaku tapahtua myös salaisesta tai prepaid-liittymästä.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain (523/1999) 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 9 §:n 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Kuluttajansuojalain (38/1978) 7 luvun 15 §:n (746/2010) 1 momentin mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 8 §:ssä säädetyt vaatimukset.

Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annetun lain 8 §:n 1 momentissa määritellään tunnistamismenetelmälle asetettavat vaatimukset. Pykälän mukaan tunnistusmenetelmän on täytettävä seuraavat vaatimukset: 1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkistettavissa; 2) menetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija; 3) menetelmällä voidaan riittävällä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä; ja 4) menetelmä on riittävän turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat.

Pykälän 2 momentin mukaan mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

Perustelut

Tietosuojavaltuutettu on tietosuojalautakunnalle osoittamassaan hakemuksessa katsonut näyttävän siltä, että kyseessä oleva yritys ei tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n huolellisuusvelvoitteen, 6 §:n suunnitteluvelvoitteen ja 9 §:n virheettömyysvaatimuksen asettamat vaatimukset.

Buencali Oy on 6.4.2010 tietosuojavaltuutetulle toimittamassaan selvityksessä ilmoittanut tarjoavansa pikaluottoja internet -osoitteessa www.vippiraha.fi. Internet -sivuille www.vippiraha.fi on tehty muutoksia valtuutetun tietosuojalautakunnalle osoittaman hakemuksen jälkeen.

Buencali Oy:n antaman selvityksen ja www.vippiraha.fi -sivuilta saatujen tietojen perusteella lainanhakijan on tunnistauduttava vahvaa sähköistä tunnistamista käyttäen ennen lainahakemuksen tekemistä. Verkkohakemus alkaa vahvalla sähköisellä tunnistautumisella ja kaikilta lainaa tekstiviestillä hakevilta edellytetään PIN-koodia, jonka asiakas saa tunnistautuessaan ensin Tupas-tunnuksilla. Buencali Oy on myös kertonut, että sillä ei ole muita tunnistautumistapoja käytössä. Lisäksi Buencali Oy on ilmoittanut myös vanhoilta asiakkailta vaadittavan vahvaa tunnistautumista.

Saadun selvityksen perusteella lautakunta katsoo Buencali Oy:n todentavan luottoa hakevan henkilöllisyyden huolellisesti ja sillä olevan käytössä vahvaa sähköistä tunnistamista edellyttävä lainanhakumenettely. Buencali Oy:n internet-sivuilta ilmenevä lainahakumenettely tukee Buencali Oy:n tietosuojalautakunnalle esittämiä tietoja.

Näin ollen lautakunta katsoo Buencali Oy:n käsittelevän henkilötietoja luottohakemuksien käsittelyn yhteydessä henkilötietolain ja kuluttajansuojalain 7 luvun 15 §:n mukaisesti.

Päätös

Edellä mainituista syistä tietosuojalautakunta hylkää tietosuojavaltuutetun hakemuksen.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki 1 §
Henkilötietolaki 5 §
Henkilötietolaki 9 § 2 mom.
Henkilötietolaki 44 § 2 mom.

Kuluttajansuojalaki 7 luku 15 §

Vahvasta sähköisestä tnnistamisesta ja sähköisestä allekirjoituksesta annettu laki 8 §

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.