06.09.2011 12/2011

Tietosuojavaltuutetun hakemus - Lainanhakija - Vahva tunnistaminen - Henkilötieto - Pikaluotto - Pikavippi

Tietosuojalautakunta määräsi Urgens Oy:n tietosuojavaltuutetun hakemuksesta muuttamaan välittömästi pikaluottojen myöntämisessä noudattamaansa luotonhakijoiden tunnistamistapaansa sellaiseksi, että se vastaa kuluttajansuojalain 7 luvun 15 §:n vaatimuksia, jotta väärää henkilöä ei rekisteröidä luotonhakijaksi. Tietosuojalautakunta katsoi päätöksessään Urgens Oy:n tunnistaneen lainanhakijoita tavalla, joka ei täyttänyt laissa asetettuja edellytyksiä.

Ks. myös tietosuojalautakunnan päätökset T : 5/2011, T: 6/2011, T: 7/2011, T: 8/2011, T: 9/2011, T: 10/2011, T: 11/2011, T: 13/2011, T 14/2011, T: 15/2011

ASIA
Henkilötietolain 44 §:n mukainen hakemus

HAKIJA
Tietosuojavaltuutettu

REKISTERINPITÄJÄ

Urgens Oy

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta velvoittaa rekisterinpitäjän henkilötietolain 44 § 2 kohdan nojalla sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakon nojalla muuttamaan luotonhakijoiden tunnistamiseen liittyvää toimintatapaansa siten, ettei väärien henkilöiden henkilötietojen käsittely luottohakemuksien käsittelyn yhteydessä olisi mahdollista puutteellisen tunnistamisen seurauksena.

Hakemus kohdistuu rekisterinpitäjän suorittamaan ns. pikaluottojen tarjoamiseen. Näitä koskevia tietoja on löydettävissä internet -sivuilta www.supervippi.fi, www.1-vippi.fi, www.eurovippi.fi ja www.laina-automaatti.fi.

Tietosuojavaltuutetun hakemuksen perustelut 6.10.2010

Tietosuojavaltuutetulla käytettävissä olevien tietojen perusteella näyttää siltä, ettei rekisterinpitäjä tällä hetkellä tunnista ainakaan kaikkia pikaluoton hakijoita tavalla, jonka voitaisiin katsoa täyttävän henkilötietolain 5 §:n, 6 §:n ja 9 §:n asettamat vaatimukset. Tunnistamiseen/todentamiseen liittyvät velvoitteet koskevat paitsi ns. uusia asiakkaita, myös niitä uutta pikaluottoa hakevia vanhoja asiakkaita, joiden kanssa luotonmyöntäjä on asioinut ennen helmikuuta 2010.

Henkilötietolain kannalta arvioituna tunnistamisen laiminlyönti mahdollistaa sen, että pikaluoton hakijoiksi voi tulla rekisteröidyksi sellaisia henkilöitä, jotka eivät todellisuudessa ole hakeneet luottoa. Tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta sekä lain 9.2 §:ssä säädettyä virheettömyysvaatimusta. Menettelyn ei myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:n säätämiä velvoitteita. Tällöin rekisteröidyn yksityisyyden suoja ei tule henkilötietolain edellyttämällä tavalla turvatuksi. Myös korkein hallinto-oikeus on katsonut näin päätöksessään 8.1.2010 (1568/1/09), jonka mukaan pikaluottoja myönnettäessä tulee käyttää sellaista tunnistamistapaa, jolla voidaan varmistaa, ettei väärää henkilöä rekisteröidä luotonhakijaksi.

TAUSTAA

Tietosuojavaltuutetun ja Kuluttajaviraston yhteinen valvontakampanja

Tietosuojavaltuutetun toimisto on toteuttanut hakemusta edeltäneen vuoden aikana oma-aloitteisen tarkastuksen, joka kohdistui henkilötietojen käsittelyyn pikaluottotoiminnassa. Tarkastus oli osa tietosuojavaltuutetun ja Kuluttajaviraston yhteistä valvontakampanjaa, jolla selvitettiin alan toimintatapojen lainmukaisuutta sekä tietosuojan että kuluttajansuojan näkökulmasta.

Tietosuojavaltuutetun toimisto selvitti toimialan menettelytapoja kohdistamalla kirjallisen selvityspyynnön 81 yritykselle. Tämän lisäksi toimisto tutustui alan yritysten internet-sivustoihin, joilla pikaluottoja tarjotaan. Tarkastus kohdistui tekstiviestien ja internetin välityksellä haettaviin pikaluottoihin.

Sekä tietosuojavaltuutettu että Kuluttajavirasto kiinnittivät tarkastuksessa huomiota erityisesti siihen, tunnistaako/todentaako pikaluottoja myöntävä yritys luotonhakijat lainsäädännön edellyttämällä tavalla. Luotonhakijan huolelliseen tunnistamiseen/todentamiseen velvoittavia säännöksiä sisältyy sekä henkilötietolakiin että kuluttajansuojalakiin.

KUULEMINEN

Urgens Oy:n vastine 8.12.2010

Tietosuojalautakunta varasi Urgens Oy:lle tilaisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. Urgens Oy toimitti 8.12.2010 selityksensä tietosuojalautakunnalle.

Urgens Oy ilmoitti tietosuojalautakunnalle toimittamassaan sähköpostissa katsovansa, että se noudattaa tarkasti henkilötietolain 5 §, 6 § sekä 9 § asettamia vaatimuksia käsitellessään asiakkaitaan [asiakkaidensa henkilötietoja]. Urgens Oy myös huomautti, että se ei myönnä pikalainoja asiakkaille, jonka henkilötietoja se ei pysty varmuudella ja lain vaatimalla tavalla tunnistamaan.

Tietosuojalautakunnan lisäselvityspyyntö 16.2.2011

Lautakunta esitti Urgens Oy:lle tarkentavia kysymyksiä 16.2.2011 päivätyllä lisäselvityspyynnöllä. Lautakunta pyysi Urgens Oy:tä selvittämään tyhjentävästi ja mahdollisimman yksityiskohtaisesti kaikki käytettävissä olevat menettelyt ensilainahakijan tunnistamiseen ja kuvailemaan kyseiset menettelyt yksityiskohtaisesti. Lisäksi Urgens Oy:tä pyydettiin selvittämään kaikki käytettävissä olevat menettelyt vanhojen lainanhakijoiden tunnistamiseen ja kuvailemaan kyseiset menettelyt mahdollisimman yksityiskohtaisesti. Lautakunta pyysi myös tarkentamaan missä lainanhakumenettelyn vaiheessa lainanhakija tunnistetaan ja mitä menettelyä käyttäen. Lisäksi Urgens Oy:tä pyydettiin kuvailemaan käytettävissä oleva mobiilipassi -menettely yksityiskohtaisesti.

Urgens Oy:n 18.3.2011 tietosuojalautakunnalle toimittama lisäselitys

Urgens Oy ilmoitti, että sillä on käytössä Tupas-tunnistepalvelu Osuuspankissa sekä

Säästöpankissa ja että ensilainanhakijan tulee tunnistautua omilla verkkopankkitunnuksillaan palveluun. Verkkopankkitunnuksilla tunnistautumisen jälkeen asiakas luo itselleen henkilökohtaisen nelinumeroisen PIN-koodin, jota käytetään lainanhaun yhteydessä. Urgens Oy myös selvensi, että vanhoja asiakkaita koskevat samat menettelyt kuin uusiakin asiakkaita. Vanhat asiakkaat joutuvat tunnistautumaan verkkopankkitunnuksillaan Urgens Oy:n palveluun sekä luomaan henkilökohtaisen PIN-koodin, jota käytetään lainanhaun yhteydessä. Urgens Oy myös selvensi, että lainanhakumenettely alkaa lainanhakijan tunnistautumisella ja että asiakas voi hakea lainaa tekstiviestillä sen jälkeen, kun asiakas on tunnistautunut pankkitunnuksilla sekä luonut itselleen PIN-koodin. Luottoa on mahdollista hakea luottokelpoisen yli 18 -vuotiaan Suomessa asuvan Suomen kansalaisen, jolla on puhelinliittymä käytössä. Urgens Oy myös ilmoitti, että sillä ei ole enää mobiilipassi -palvelua käytössä.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain (523/1999) 1 §:n mukaan lain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 9 §:n 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Kuluttajansuojalain (38/1978) 7 luvun 15 §:n (746/2010) 1 momentin mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 8 §:ssä säädetyt vaatimukset.

Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta annetun lain 8 §:n 1 momentissa määritellään tunnistamismenetelmälle asetettavat vaatimukset. Pykälän mukaan tunnistusmenetelmän on täytettävä seuraavat vaatimukset: 1) menetelmän perustana on 17 §:n mukainen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen 24 §:n mukaisesti tarkistettavissa; 2) menetelmällä voidaan yksiselitteisesti tunnistaa tunnistusvälineen haltija; 3) menetelmällä voidaan riittävällä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä; ja 4) menetelmä on riittävän turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat.

Pykälän 2 momentin mukaan mitä 1 momentissa säädetään, ei estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja.

Viestintävirasto voi antaa tarkempia teknisiä määräyksiä 1 momentissa tarkoitetuista vaatimuksista.

Perustelut

Henkilötietolain 1 §:n mukaan henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Tähän pyritään lain kaikki säännökset huomioon ottavan huolellisuusvelvoitteen sekä hyvän tietojenkäsittelyn avulla.

Huolellisuusvelvoite velvoittaa rekisterinpitäjän pyrkimään oma-aloitteisesti huolehtimaan siitä, että henkilötietojen käsittely toteutetaan ottaen huomioon yksityisyyden suojaa turvaavat säännökset ja periaatteet. Hyvään tietojenkäsittelytapaan sisältyvät muun muassa yksityisyyttä tukevat menettelytavat henkilötietoja käsiteltäessä

Tietosuojalautakunta on saanut asiassa selvitystä Urgens Oy:ltä. Tämän lisäksi lautakunta on perehtynyt internet -sivuihin www.supervippi.fi, www.1-vippi.fi, www.eurovippi.fi ja www.laina-automaatti.fi. Urgens Oy:ltä saatujen tietojen mukaan kaikkien asiakkaiden on tunnistauduttava vahvaa sähköistä tunnistamista käyttäen. Ensitunnistamisen yhteydessä lainanhakijalle luodaan PIN-koodi, jota lainanhakija käyttää myöhemmin lainaa hakiessaan. Internet -sivuilta saadut tiedot vastaavat pääosiltaan Urgens Oy:n tietosuojalautakunnalle antamaa selitystä. Sivuilla www.eurovippi.fi/tunnistautuminen.php kuitenkin todetaan, että tunnistautumisen jälkeen voit hakea lainaa kätevästi lyhythakemuksella. Riittää, että lähetät vain viestin: EURO LAINASUMMA SOTU numeroon 16402. Kyseisillä sivuilla annettujen ohjeiden mukaan lainanhakija voi siis ensitunnistamisen jälkeen hakea lainaa ilman PIN-koodia.

Kuluttajansuojalain 7 luvun 15 §:n mukaan luotonantajan on ennen kuluttajaluottosopimuksen päättämistä todennettava luottoa hakevan henkilöllisyys huolellisesti. Jos henkilöllisyys todennetaan sähköisesti, luotonantajan on käytettävä tunnistusmenetelmää, joka täyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa säädetyt vaatimukset. Saman pykälän 2 momentin mukaan niissä tapauksissa, joissa luotonantaja on jo aiemmin todentanut kuluttajan henkilöllisyyden 1 momentissa tarkoitetulla tavalla, kuluttajan henkilöllisyys voidaan todentaa myös hänelle ensitunnistamisen jälkeen luodun henkilökohtaisen tunnisteen avulla.

Internet -sivuilta www.eurovippi.fi ilmenevien tietojen perusteella Urgens Oy:n toiminta ei näyttäisi täyttävän kuluttajansuojalain 7 luvun 15 §:ssä asetettuja edellytyksiä sen tarjotessa pikavippejä vanhoille asiakkaille tunnistaen nämä ainoastaan puhelinnumeron perusteella. Luotonantajan todentaessa muulla tavoin kuin kuluttajansuojalain 7 luvun 15 §:ssä määriteltyjen edellytysten mukaisesti luottoa hakevan henkilöllisyyden, ei luotonantajan voida katsoa toimivan myöskään henkilötietolain 5 §:ssä säädetyn huolellisuusvelvoitteen mukaisesti käsitellessään asiakkaiden henkilötietoja tarkoituksenaan asiakkaan tunnistaminen.

Virheettömyysvaatimus edellyttää, että rekisterinpitäjän tulisi jo tietojen keräämisvaiheessa mahdollisimman hyvin pyrkiä varmistamaan, että kaikki tiedot ovat virheettömiä. Rekisterinpitäjän on huolehdittava siitä, ettei rekisteriin merkitä virheellisiä, kuten vääriä henkilöitä koskevia tietoja. Rekisterinpitäjän jättäessä noudattamatta kuluttajansuojalain 7 luvun 15 §:ssä säädetyt velvoitteensa ei rekisterinpitäjän voida katsoa myöskään toimineen henkilötietolain virheettömyysvaatimuksen edellyttämällä tavalla.

Päätös
Tietosuojalautakunta määrää henkilötietolain 44 §:n 2 kohdan nojalla Urgens Oy:n välittömästi muuttamaan pikaluottojen myöntämisessä noudattamaansa luotonhakijoiden tunnistamistapaansa sellaiseksi, että se vastaa kuluttajansuojalain 7 luvun 15 §:n vaatimuksia, jotta väärää henkilöä ei rekisteröidä luotonhakijaksi.

Urgens Oy:n tulee viipymättä ilmoittaa tietosuojavaltuutetulle, mihin toimenpiteisiin se on ryhtynyt tämän päätöksen noudattamiseksi.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki_1_§

Henkilötietolaki_5_§

Henkilötietolaki_9_§_2_mom.

Henkilötietolaki_44_§_2_mom.

Kuluttajansuojalaki_7_luku_15_§

Vahvasta_sähköisestä_tunnistamisesta_ja_sähköisestä_allekirjoituksesta_annettu_laki_8_§

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.