06.09.2011 11/2011

Tietosuojavaltuutetun hakemus - Lainanhakija - Vahva tunnistaminen - Henkilötieto - Pikaluotto - Pikavippi

Tietosuojalautakunta katsoi saadun selvityksen perusteella Mikrovippi Oy:n todentavan luottoa hakevan henkilöllisyyden huolellisesti ja sillä olevan käytössä vahvaa sähköistä tunnistamista edellyttävä lainanhakumenettely. Näin ollen lautakunta katsoi Mikrovippi Oy:n käsittelevän henkilötietoja luottohakemuksien käsittelyn yhteydessä henkilötietolain ja kuluttajansuojalain 7 luvun 15 §:n mukaisesti. Lautakunta hylkäsi tietosuojavaltuutetun hakemuksen.

Ks. myös tietosuojalautakunnan päätökset T : 5/2011, T: 6/2011, T: 7/2011, T: 8/2011, T: 9/2011, T: 10/2011, T: 12/2011, T: 13/2011, T 14/2011, T: 15/2011

ASIA
Henkilötietolain 44 §:n mukainen hakemus 0

HAKIJA
Tietosuojavaltuutettu

REKISTERINPITÄJÄ

Mikrovippi Oy

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta velvoittaa rekisterinpitäjän henkilötietolain 44 § 2 kohdan nojalla sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakon nojalla muuttamaan luotonhakijoiden tunnistamiseen liittyvää toimintatapaansa siten, ettei väärien henkilöiden henkilötietojen käsittely luottohakemuksien käsittelyn yhteydessä olisi mahdollista puutteellisen tunnistamisen seurauksena.

Hakemus kohdistuu rekisterinpitäjän suorittamaan ns. pikaluottojen tarjoamiseen. Näitä koskevia tietoja on löydettävissä ainakin www.mikrovippi.fi internet -sivuilta.

Tietosuojavaltuutetun hakemuksen perustelut 6.10.2010

Tietosuojavaltuutetulla käytettävissä olevien tietojen perusteella näyttää siltä, ettei rekisterinpitäjä tällä hetkellä tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset. Tunnistamiseen/todentamiseen liittyvät velvoitteet koskevat paitsi ns. uusia asiakkaita, myös niitä uutta pikaluottoa hakevia vanhoja asiakkaita, joiden kanssa luotonmyöntäjä on asioinut ennen helmikuuta 2010.

Henkilötietolain kannalta arvioituna tunnistamisen laiminlyönti mahdollistaa sen, että pikaluoton hakijoiksi voi tulla rekisteröidyksi sellaisia henkilöitä, jotka eivät todellisuudessa ole hakeneet luottoa. Tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta sekä lain 9.2 §:ssä säädettyä virheettömyysvaatimusta. Menettelyn ei myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:n säätämiä velvoitteita. Tällöin rekisteröidyn yksityisyyden suoja ei tule henkilötietolain edellyttämällä tavalla turvatuksi. Myös korkein hallinto-oikeus on katsonut näin päätöksessään 8.1.2010 (1568/1/09), jonka mukaan pikaluottoja myönnettäessä tulee käyttää sellaista tunnistamistapaa, jolla voidaan varmistaa, ettei väärää henkilöä rekisteröidä luotonhakijaksi.

TAUSTAA

Tietosuojavaltuutetun ja Kuluttajaviraston yhteinen valvontakampanja

Tietosuojavaltuutetun toimiston on toteuttanut hakemusta edeltäneen vuoden aikana oma-aloitteisen tarkastuksen, joka kohdistui henkilötietojen käsittelyyn pikaluottotoiminnassa. Tarkastus oli osa tietosuojavaltuutetun ja Kuluttajaviraston yhteistä valvontakampanjaa, jolla selvitettiin alan toimintatapojen lainmukaisuutta sekä tietosuojan että kuluttajansuojan näkökulmasta.

Tietosuojavaltuutetun toimisto selvitti toimialan menettelytapoja kohdistamalla kirjallisen selvityspyynnön 81 yritykselle. Tämän lisäksi toimisto tutustui alan yritysten internet-sivustoihin, joilla pikaluottoja tarjotaan. Tarkastus kohdistui tekstiviestien ja internetin välityksellä haettaviin pikaluottoihin.

Sekä tietosuojavaltuutettu että Kuluttajavirasto kiinnittivät tarkastuksessa huomiota erityisesti siihen, tunnistaako/todentaako pikaluottoja myöntävä yritys luotonhakijat lainsäädännön edellyttämällä tavalla. Luotonhakijan huolelliseen tunnistamiseen/todentamiseen velvoittavia säännöksiä sisältyy sekä henkilötietolakiin että kuluttajansuojalakiin.

KUULEMINEN

Mikrovippi Oy:n vastine 8.12.2010

Tietosuojalautakunta varasi Mikrovippi Oy:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. Mikrovippi Oy toimitti 8.12.2010 selityksensä tietosuojalautakunnalle.

Mikrovippi Oy ilmoitti katsovansa, että se noudattaa tarkasti henkilötietolain 5 §, 6 § sekä 9 § asettamia vaatimuksia käsitellessään asiakkaitaan [asiakkaidensa henkilötietoja]. Mikrovippi Oy ilmoitti, että se ei myönnä luottoja asiakkaille, jonka henkilötietoja se ei pysty varmuudella tunnistamaan.

Mikrovippi Oy:n 15.3.2011 antama lisäselitys

Lautakunta esitti Mikrovippi Oy:lle tarkentavia kysymyksiä 16.2.2011 päivätyllä lisäselvityspyynnöllä viitaten www.mikrovippi.fi -sivuilla esiintyviin tietoihin. Lautakunta pyysi lisäselvitystä tunnistamismenettelystä, salaisen numeron luomisesta sekä Mikrovippi Oy:n tarjoamasta mobiilipassi -menettelystä

Mikrovippi Oy:n antaman lisäselityksen mukaan Mikrovippi Oy:llä on käytössä Osuuspankin, Säästöpankin sekä Sampo-pankin Tupas-tunnistautuminen. Tunnistautumisen jälkeen asiakkaat luovat henkilökohtaisen PIN-koodin Mikrovippi Oy:n järjestelmään. Mikrovippi Oy:n antaman selityksen mukaan myös vanhojen lainanhakijoiden on tunnistauduttava oman pankkinsa verkkopankkitunnuksilla, tämän jälkeen he luovat järjestelmään oman henkilökohtaisen PIN-koodin, jota käyttämällä he voivat jatkossa hakea lainaa. Lainanhakijat tunnistetaan heti lainanhaun alkuvaiheessa vahvalla Tupas-tunnistusmenetelmällä.

Salaista numeroa koskevaan tiedusteluun Mikrovippi Oy vastasi asiakkaiden voivan luoda salaisen numeron halutessaan matkapuhelinoperaattorinsa kautta, Mikrovippi Oy ei tarjoa salaisia numeroja. Mikrovippi Oy myös kertoi, että heidän tarjoamastaan palvelusta voi hakea lainaa salaisesta numerosta tai prepaid-liittymästä, koska kaikki asiakkaat joutuvat tunnistautumaan Tupas-tunnistuksen kautta.

Lisäksi Mikrovippi Oy ilmoitti, että sillä ei ole enää käytössä mobiilipassi -tunnistautumista.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain (523/1999) 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 9 §:n 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Kuluttajansuojalain (38/1978) 7 luvun 15 §:n (746/2010) 1 momentin mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 8 §:ssä säädetyt vaatimukset.

Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annetun lain 8 §:n 1 momentissa määritellään tunnistamismenetelmälle asetettavat vaatimukset. Pykälän mukaan tunnistusmenetelmän on täytettävä seuraavat vaatimukset: 1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkistettavissa; 2) menetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija; 3) menetelmällä voidaan riittävällä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä; ja 4) menetelmä on riittävän turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat.

Pykälän 2 momentin mukaan mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

Perustelut

Tietosuojavaltuutettu on tietosuojalautakunnalle osoittamassaan hakemuksessa katsonut näyttävän siltä, että kyseessä oleva yritys ei tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n huolellisuusvelvoitteen, 6 §:n suunnitteluvelvoitteen ja 9 §:n virheettömyysvaatimuksen asettamat vaatimukset.

Internet -sivuille www.mikrovippi.fi on tehty muutoksia valtuutetun tietosuojalautakunnalle osoittaman hakemuksen jälkeen.

Mikrovippi Oy:n antaman selvityksen ja www.mikrovippi.fi -sivuilta saatujen tietojen perusteella lainanhakijan on tunnistauduttava vahvaa sähköistä tunnistamista käyttäen ennen lainahakemuksen tekemistä. Kaikilta lainaa tekstiviestillä hakevilta edellytetään PIN-koodia, jonka asiakas saa tunnistautuessaan ensin Tupas-tunnuksilla. Mikrovippi Oy on ilmoittanut myös vanhoilta asiakkailta vaadittavan vahvaa tunnistautumista. Sekä Mikrovippi Oy:n antaman selvityksen että www.mikrovippi.fi -sivuilta saatavien tietojen perusteella lautakunta katsoo, että Mikrovippi Oy:n käyttämä lainanhakumenettely edellyttää, että asiakas tunnistautuu vahvaa tunnistamista käyttäen.

Saadun selvityksen perusteella lautakunta katsoo Mikrovippi Oy:n todentavan luottoa hakevan henkilöllisyyden huolellisesti ja sillä olevan käytössä vahvaa sähköistä tunnistamista edellyttävä lainanhakumenettely. Mikrovippi Oy:n internet -sivuilta ilmenevä lainahakumenettely tukee Mikrovippi Oy:n tietosuojalautakunnalle esittämiä tietoja.

Näin ollen lautakunta katsoo Mikrovippi Oy:n käsittelevän henkilötietoja luottohakemuksien käsittelyn yhteydessä henkilötietolain ja kuluttajansuojalain 7 luvun 15 §:n mukaisesti.

Päätös
Edellä mainituista syistä tietosuojalautakunta hylkää tietosuojavaltuutetun hakemuksen.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki_1_§

Henkilötietolaki_5_§

Henkilötietolaki_9_§_2_mom.

Henkilötietolaki_44_§_2_mom.

Kuluttajansuojalaki_7_luku_15_§

Vahvasta_sähköisestä_tunnistamisesta_ja_sähköisestä_allekirjoituksesta_annettu_laki _8_§

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.