17.4.2013 1/2013

Tarkastusoikeus - Sähköinen palvelu - Henkilörekisteri - Uhkasakko

Tietosuojavaltuutetun hakemus                                                   

ASIA            Henkilötietolain 44 §:n mukainen hakemus

HAKIJA      Tietosuojavaltuutettu

REKISTERINPITÄJÄ    Suomen Asiakastieto Oy

HAKEMUS

Tietosuojavaltuutettu pyytää tietosuojalautakuntaa

1) antamaan henkilötietolain 44 §:ssä tarkoitetun määräyksen, jossa velvoitetaan Suomen Asiakastieto Oy uhkasakon uhalla toteuttamaan henkilötietolain 26 §:n 2 momentissa tarkoitettu tarkastusoikeus yhtiön sähköisessä palvelussa

2) lisäksi pyydetään määräystä, jonka perusteella yhtiö velvoitetaan palauttamaan tarkastusoikeuden käytöstä oikeudettomasti perityt maksut niille, jotka esittävät tällaisen vaatimuksen ja joiden osalta maksun perimiselle ei ole ollut laillista perustetta.

Tietosuojavaltuutetun esittämät perustelut

Tietosuojavaltuutetun hakemuksessa on pääasiassa kyse siitä, että Suomen Asiakastieto Oy ei tarjoa rekisteröidyille mahdollisuutta henkilötietojen tarkastamiseen sähköisesti. Tietosuojavaltuutettu on esittänyt hakemuksensa perusteluissa muun muassa seuraavaa.

Sähköisen palvelun kuvaus

Suomen Asiakastieto Oy (myöhemmin Asiakastieto) avasi sähköisen asiointipalvelun osoitteessa omatieto.fi vuoden 2008 alussa. Keskeisenä palveluna tarjottiin ja tarjotaan edelleen Minun luottotietoni -osiossa palvelunkäyttäjälle häntä itseään koskevat luottotiedot. Rekisterinpitäjänä Asiakastieto on perustellut palvelua luottotietolain 10 §:n 3 momentissa tarkoitetulla rekisteröidyn oikeudella saada kohtuullista korvausta vastaan ote luottotiedoistaan. Tämän itseään koskeviin tietoihin kohdistuvan erityisen tiedonsaantioikeuden lisäksi luonnollisella henkilöllä on luottotietolain 30 §:n 2 momentissa tarkoitettu tarkastusoikeus. Keskeiset erot tarkastusoikeuden ja otteen saamisen välillä liittyvät käyttäjätietojen saamiseen ja tarkastusoikeuden maksuttomuuteen henkilötietolain 26 §:n 3 momentin perusteella.

Tarkastusoikeuden käyttäminen ei kuitenkaan onnistu omatieto.fi -palvelussa vaan sitä varten on joko mentävä henkilökohtaisesti Asiakastietoon tai lähetettävä pyyntö kirjallisesti postitse tai faksaamalla.

Tarkastusoikeuden sähköisestä toteuttamisesta

Tietosuojavaltuutettu toteaa, että vaatimus siitä, että tietoverkon käytöstä tarkastusoikeuden käytössä tulisi säätää, ei vastaa henkilötietolain välineneutraalia sääntelytapaa. Valtuutettu toteaa, että Asiakastiedon keskeinen peruste kieltäytymiselle liittyy siihen, ettei omien tietojen tarkastaminen verkon yli ole laissa säädetty vaatimus.

Tietosuojavaltuutettu toteaa, että henkilötietolaissa ei ole pyrittykään sääntelemään sitä, mitä välineitä käyttämällä tällaiset tiedonsaantioikeudet on toteutettava. Tarkastuspyynnölle asetetut keskeiset oikeudelliset vaatimukset liittyvät henkilön tunnistamiseen ja pyynnön henkilökohtaisuuteen, jotka henkilötietolain 28 §:n 1 momentin mukaan täyttyvät sillä, että pyyntö on esitetty omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa. Henkilötietolain säätämisen yhteydessä tarkastusoikeuden toteuttamista koskevaa säännöstä täsmennettiin siten, että pyyntö voidaan tehdä myös luotettavaa sähköistä allekirjoitusta käyttämällä. Näin ollen tarkastusoikeuspyyntö voidaan tehdä sähköisesti käyttäen esimerkiksi HST-korttia, joka perustuu siihen, että vastaanottaja voi varmistua lähettäjästä mikäli hän kykenee avaamaan viestin lähettäjän julkisella avaimella, jonka hän saa varmentajan eli Väestörekisterikeskuksen hakemistopalvelusta.

Luottotietotoiminnan harjoittajan velvollisuus huolehtia tiedonsaantioikeuksista

Kun rekisterinpitäjä on rakentanut verkkopalvelun, on sitä arvioitava – ei vapaan tiedon kauppapaikkana, jossa myyjä määrittelee palvelun ehdot – vaan luonnollisten henkilöiden tiedonsaantioikeuksien toteuttamistapana. Kysymys on tällaisten sähköisten palvelujen oikeudellisesta laadusta, josta on arvioitava kokonaisvaltaisesti tiedonsaantioikeutettujen näkökulmasta. Tästä näkökulmasta Asiakastiedon toteuttamassa palvelussa on oikeudellinen virhe, joka ilmenee seuraavalla tavalla.

Tarkastusoikeus on kyseessä silloin kun käyttäjä haluaa vain tietää onko ja mitä tietoja hänestä on tallennettu luottotietorekisteriin. Otteen tilaaminen liittyy käyttäjän tarpeeseen saada itseään koskevat tiedot siinä muodossa, että hän voi toimittaa ne esim. vuokranantajalle. Tästä näkökulmasta tarkastusoikeus näyttää käyttäjän ensisijaiselta tiedonsaantioikeudelta. Kun asiakastieto ei hakemuksessa kyseessä olevassa palvelussa erittele näitä oikeuksia vaan tarjoaa ainoastaan otetta tiedonsaantiperusteena, Asiakastieto ottaa riskin siitä, että käyttäjä ei itse asiassa halua tai tarvitse otetta, vaan ainoastaan tietää mitä tietoja hänestä on tallennettu. Tällainen riski väärän tiedonsaantiperusteen soveltamisesta ei ole luottotietotoiminnan harjoittajalle sallittua, koska luottotietolain 5 §:n 1 momentin mukaan luottotietoiminnan harjoittajan on pidettävä huolta rekisteröityjen tiedonsaantioikeuksien toteutumisesta. Näin ollen palvelussa ohjataan/yllytetään ilman laillista perustetta käyttämään oikeutta saada ote, vaikka siitä ei olisikaan kysymys tiedonsaantioikeutetun kannalta.

Asiakastiedolta saatujen palvelujen käyttötilastojen mukaan omatieto.fi -palvelun kautta omia tietoja on kyselty alusta asti eli vuodesta 2008 alkaen noin 50 000 kertaa. Tarkastusoikeuden käyttö on vastaavana ajanjaksona jäänyt vuosittain vähän yli 10 000 kertaan. Kun otteen antaminen liittyy luottotietolain 10 §:n 3 momentin mukaan erityisiin tilanteisiin, joissa rekisteröity itse hankkii luottotietonsa toimitettavaksi luotonantajalle, vaikuttaa epätodennäköiseltä, että tällaista palvelua olisi alusta asti käytetty vain näissä tilanteissa. Näin ollen voidaan katsoa, että otteen antaminen on syrjäyttänyt ja tulee yhä enemmän syrjäyttämään tarkastusoikeuden käytön rekisteröidyn tiedonsaantioikeutena luottotietoihin, mitä ei voida pitää luottotietolain erityisten tiedonsaantioikeuksien säätämisen tarkoituksena.

Tarkastusoikeuden maksuttomuus

Tarkastusoikeuden käytöstä saa periä henkilötietolain 26 §:n 3 momentin mukaan maksun vain, jos edellisestä tarkastuskerrasta on kulunut vähemmän kuin vuosi, johtaa palvelun toteutus siihen, että käyttäjältä peritään todennäköisesti tarpeettomia maksuja tarkastusoikeuden käytöstä.

Muut vaatimukset ja edeltävät lainvalvontatoimenpiteet

Uhkasakon määräksi tietosuojavaltuutettu ehdottaa 100 000 euroa siten, että se voidaan määrätä maksettavaksi kuuden kuukauden kuluessa siitä kun lautakunnan päätös on annettu.

Vuonna 2008 tietosuojavaltuutettu on pyytänyt poliisilta virka-apua esitutkinnan suorittamiseksi. Valtakunnansyyttäjävirasto katsoi 27.9.2010 kuitenkin, ettei rikoslain 38 luvun 9 §:n 2 kohdan tunnusmerkistö täyty väärän tai harhaanjohtavan tiedon antamisen osalta ja lopetti esitutkinnan.

Tietosuojavaltuutettu on liittänyt hakemukseensa henkilötietolain 40 §:n perusteella tietosuojavaltuutetun toimiston lähettämiä selvityspyyntöjä ja annettuja ohjeita Asiakastiedolle sekä Asiakastiedon vastauksia.

KUULEMINEN

Suomen Asiakastieto Oy:n selitys 31.8.2011

Suomen Asiakastieto Oy vastustaa määräyksen antamista. Mikäli määräys kuitenkin annettaisiin, Suomen Asiakastieto Oy vastustaa määräystä, jonka mukaan se velvoitettaisiin palauttamaan jo perityt maksut.

Perustelut:

Mahdollinen määräys voinee perustua tässä tapauksessa vain henkilötietolain 44 §:n 1. momentin 2. kohtaan. Suomen Asiakastieto Oy:n ”laiminlyönti” olisi se, että se ei ole toteuttanut sähköistä omien tietojen tarkastusta. Kun tarkastusoikeuden toteuttamista ei ole annettu luottotietotoiminnan osalta nimenomaista määräystä toteuttaa tarkastus myös sähköisesti, Suomen Asiakastieto Oy katsoo, ettei laiminlyöntiä ole tapahtunut.

Suomen Asiakastieto Oy toteaa, että henkilötietolaissa ja sähköisestä tunnistamisesta ja sähköisestä allekirjoituksista annetussa laissa olevia säännöksiä käyttää sähköisiä tunnistusvälineitä ei voida pitää velvoittavina säännöksinä toteuttaa tarkoitus näin, vaan ainoastaan oikeutuksena tehdä näin tehdä.

Henkilötietolain ja luottotietolain mukaisen omien tietojen tarkastusoikeuden taustalla on tarve varmistaa, että rekisteröidyllä on mahdollisuus kontrolloida tietojen oikeellisuutta. Suomen Asiakastieto Oy:ssä ilmaisen tarkastusoikeuden voi henkilö tehdä kahdella jo vuosia käytössä olleella eri tavalla. Laki ei vaadi sen toteuttamista kaikissa palvelukanavissa. Tietojen ilmainen tarkistamisoikeus ei ole jakelutapakohtainen vaan rekisterikohtainen. Suomen Asiakastieto Oy katsoo täyttävänsä lain vaatimuksen tarkastusoikeuden osalta nykyisillä toimintatavoillaan. Se seikka, että Suomen Asiakastieto Oy on toteuttanut lain vaatiman otteen myynnin internet palvelulla, ei ole peruste sille, että sen tulisi toteuttaa myös omien tietojen tarkastus vaaditulla tavalla.

Suomen Asiakastieto Oy tuo eri tavoin selvästi ilmi sen, että tietojen tarkastus ilmaiseksi on mahdollista.

Suomen Asiakastieto Oy toteaa, että omien tietojen tarkistuksen toteuttaminen vaaditulla tavalla aiheuttaisi sille huomattavat kustannukset. Suomen Asiakastieto Oy mm. joutuisi rakentamaan lokitiedoston, jossa seurataan kaikkia sille tehtyjä kyselyitä (ei vain rekisteröityjä henkilöitä koskien) sekä rakentamaan tarkastusoikeuden mukaisen dokumentin verkkopalvelusta saatavaksi. Tämä sen vuoksi, että vain tällä tavoin pystytään seuraamaan, että tarkastusoikeutta käytetään maksuttomana vain kerran vuodessa. Suomen Asiakastieto Oy joutuu maksamaan pankeille TUPAS-tunnistepalvelun käyttämisestä jokaisesta tunnistamisesta erillisen maksun.

Hakemuksessaan Tietosuojavaltuutetun toimisto esittää, että Suomen Asiakastieto Oy:llä on nyt toteutettua tapaa tarkempi velvollisuus selvittää mihin tarkoitukseen henkilö tietoja tarvitsee (ote vai tietojen tarkastus). Tarkempaa velvollisuutta ei Suomen Asiakastieto Oy:llä ei sen oman käsityksen mukaan ole, koska rekisterinpitäjällä ei ole kuitenkaan mahdollisuutta tarkastaa esitetyn käyttötarkoituksen oikeellisuutta. Tietojen hankkimisen tapa ja käyttötarkoitus perustuvat henkilön omaan tahdonilmaisuun.

Valtakunnansyyttäjän päätöksessä 27.9.2010, johon Tietosuojavaltuutetun toimisto hakemuksessaan viittaa, Valtakunnansyyttäjän virasto toteaa kantanaan yksiselitteisesti ”henkilötietolaki tai luottotietolaki eivät myöskään velvoita rekisterinpitäjää järjestämään tällaista sähköistä etätietopalvelua rekisteröidyn tarkastusoikeuden toteuttamiseksi”.

Tietosuojavaltuutetun vastine Asiakastieto Oy:n antamasta selityksestä

Tietosuojavaltuutettu toimitti tietosuojalautakunnalle 9.11.2011 päivätyn vastineen Asiakastieto Oy:n antamasta selityksestä. Tietosuojavaltuutettu on todennut vastineessaan muun muassa seuraavaa.

Selityksessä Suomen Asiakastieto Oy vetoaa ensinnäkin nimenomaisesti tarkastusoikeuden toteuttamista koskevan lainsäädännön puutteeseen ja siihen, ettei ole mitään velvoittavaa säännöstä, jonka yhtiö olisi laiminlyönyt. Se että, tarkastusoikeuden sähköisestä toteuttamisesta tulisi erikseen säätää, merkitsee välinesidonnaista lainsäädäntöä, eikä henkilötietolaki ja luottotietolaki ole edes tässä suhteessa välinesidonnaisia. Olennaista rekisterinpitäjän kannalta on se, että sillä on velvollisuus tunnistaa rekisteröidyn tiedolliset oikeudet ja rekisteröityjen kannalta se, että hänen päätösvaltaansa näiden oikeuksien käytössä ei voida rajoittaa sillä perusteella, että pyyntö esitetään sähköisellä viestintävälineellä.

Valtuutettu myös toteaa, että yleinen tarkastusoikeuden sähköistä toteuttamista rajoittava vaatimus on se, että tarkastusoikeuspyyntöön annettujen vastausten tulisi kattaa kaikki rekisteritiedot, mikä ei ole pitkäkestoisessa ja jatkuvassa asiakassuhteessa aina kovin helposti toteutettavissa. Luottotietorekisterinpitäjän osalta tällaista tarkastusoikeuden kattavuuteen liittyvää haastetta ei ole. Niiltä osin kun selityksessä kiinnitetään huomiota hakemuksen lausumaan ”yksittäisiä toteuttamistapoja ei nimenomaisesti määrätä”, toteaa valtuutettu, että hänen esittämänsä vaatimus tulee ymmärrettäväksi nimenomaan tilanteessa, jossa toinen tiedonsaantioikeus on päätetty toteuttaa sähköisenä etäasiointina.

Lisäksi valtuutettu toteaa, että ilmoitusta huomattavista kustannuksista valtuutettu pitää liioiteltuina. Nykyinen palvelu sisältää keskeiset verkkopalvelukomponentit ja lisättävät osiot olisivat asiakkaan tiedonsaantioikeuden selvittäminen ja vastausten tietosisällön osittaisen muuttaminen tiedonsaantipyynnön mukaan. Vaatimukset siitä, että rekisterinpitäjän tulisi erityisesti voida tarkastaa rekisteröityjen käyttötarkoituksien oikeellisuus, eivät ole siinä mielessä relevantteja, että kyse ei ole tietojen luovuttamisesta vaan rekisteröidyn tiedonsaantioikeuksista ja vastuu näin saatujen tietojen suojaamisesta jää rekisteröidylle itselleen.

SOVELLETTAVA LAINSÄÄDÄNTÖ

Henkilötietolain 26 §:n 1 momentin mukaan jokaisella on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä, mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan. Silloin kun on kysymys 31 §:ssä tarkoitetusta automatisoidusta päätöksestä, rekisteröidyllä on oikeus saada tieto myös tietojen automaattiseen käsittelyyn liittyvistä toimintaperiaatteista. Henkilötietolain 26 §:n 3 momentin mukaan rekisterinpitäjä saa periä tietojen antamisesta korvauksen vain, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Perittävän korvauksen tulee olla kohtuullinen eikä se saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia.

Henkilötietolain 28 §:n 1 momentin mukaan sen, joka haluaa tarkastaa itseään koskevat tiedot 26 §:ssä tarkoitetulla tavalla, on esitettävä tätä tarkoittava pyyntö rekisterinpitäjälle omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa tai henkilökohtaisesti rekisterinpitäjän luona. Pykälän 2 momentin mukaan rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua 26 §:ssä tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. Tiedot on annettava ymmärrettävässä muodossa. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava tästä kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi tarkastusoikeus on evätty. Tarkastusoikeuden epäämisen veroisena pidetään sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Luottotietolain 5 §:n mukaan luottotietotoiminnan harjoittajan, luottotiedon käyttäjän ja luottotietoja muutoin käsittelevän on noudatettava toiminnassaan huolellisuutta sekä pidettävä huolta siitä, että: 1) luottotietojen laadusta, rekisteröityjen tiedonsaantioikeuksien toteutumisesta sekä tietojärjestelmien tietoturvallisuudesta ja käsittelyn valvonnasta huolehditaan asianmukaisesti; 2) rekisteröityjen yksityisyyden suojaa ei rajoiteta ilman laissa säädettyä perustetta; 3) rekisteröityjen oikeutta tulla arvioiduiksi oikeiden ja asiamukaisten tietojen perusteella ei vaaranneta.

Luottotietolain 10 §:n 3 momentin mukaan rekisteröidyllä on oikeus saada kohtuullista korvausta vastaan luottotietorekisteriin hänestä talletetuista henkilöluottotiedoista ote 19 §:ssä säädettyjä tarkoituksia varten.

Luottotietolain 30 §:n 2 momentin mukaan luonnollisella henkilöllä on myös oikeus saada tietää, mistä rekisteriin talletetut tiedot ovat peräisin ja kenelle häntä koskeva henkilöluottotieto on viimeisen vuoden aikana luovutettu. Tiedonsaantioikeus ei kuitenkaan koske yrityskytkentätietojen luovuttamista. Luonnollista henkilöä koskevan tarkastusoikeuden toteuttamisen maksuttomuudesta säädetään henkilötietolaissa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA SEN PERUSTELUT

Perustelut

Tietosuojavaltuutettu on pyytänyt, että tietosuojalautakunta antaa rekisterinpitäjälle määräyksen, jolla velvoitetaan Suomen Asiakastieto Oy toteuttamaan tarkastusoikeus yhtiön sähköisessä palvelussa. Rekisterinpitäjä ei ole evännyt rekisteröidyiltä mahdollisuutta käyttää tarkastusoikeutta, mutta ei ole tarjonnut näille mahdollisuutta käyttää tarkastusoikeutta sähköisesti.

Arvioitaessa rekisterinpitäjän velvollisuutta, tulee pitää mielessä, että henkilötietojen suoja on perusoikeus. Henkilötietolaissa säädetty tarkastusoikeus on yksi rekisteröidyn oikeuksista, jonka avulla rekisteröity voi toteuttaa oikeuttaan henkilötietojen suojaan. Vaikka rekisteröidyillä ei ole mahdollisuutta Suomen Asiakastieto Oy:n palvelussa toteuttaa tarkastusoikeuttaan sähköisesti, on rekisteröidyillä kuitenkin mahdollisuus tarkastaa itseään koskevat tiedot.

Henkilötietolaissa ei olekaan säädetty rekisterinpitäjälle velvollisuutta toteuttaa tarkastusoikeutta sähköisessä muodossa. Henkilötietolain 28 §:ssä edellytetään, että rekisterinpitäjä antaa rekisteröidylle tilaisuuden tutustua tietoihin tai antaa tiedot pyydettäessä kirjallisesti. Lisäksi tiedot on annettava ymmärrettävässä muodossa. Lautakunta katsoo, että henkilötietolain 28 §:ää ei voida tulkita sillä tavoin laajentavasti, että rekisterinpitäjälle asetettaisiin muitakin velvoitteita kuin edellä mainitut. Tällaista tulkintaa ei voida pitää perusteltua myöskään hallituksen esityksen nojalla, eikä henkilötietodirektiivikään edellytä, että henkilötietolakia tulkittaisiin tällä tavoin rekisterinpitäjän velvollisuuksia laajentavasti.

Näin ollen Suomen Asiakastieto Oy on menetellyt henkilötietolain edellyttämällä tavalla.

Päätös          Tietosuojalautakunta hylkää tietosuojavaltuutetun hakemuksen.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki 26 § ja 28 §

Luottotietolaki 5 §, 10 §:n 3 mom., 30 §:n 2 mom.

Päätöksen tekemiseen ovat osallistuneet tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Leena Linnainmaa, Leena Ratasvuori, Ahti Saarenpää, Pertti Saloranta ja Tuula Sario.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.