10.4.2014 3/2014

Luottotiedot - Uhkasakko - Rekisteri - Häiriömerkinnät - Tietojen jakelu

ASIA            Henkilötietolain 44 §:n mukainen hakemus

HAKIJA      Tietosuojavaltuutettu

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta antaisi henkilötietolain 44 §:ssä tarkoitetun määräyksen, jossa velvoitetaan rekisterinpitäjä uhkasakon nojalla oikaisemaan toimintaansa siltä osin kuin rekisterinpitäjä rajoittaa Suomen Pienlainayhdistyksien sille ilmoittamien kulutushäiriöitä koskevien luottotietomerkintöjen jakelun vain Suomen Pienlainayhdistyksen jäsenyrityksille.

Henkilötietolain vastainen menettely ilmenee tässä tapauksessa mm. siten, että rekisterinpitäjän voidaan luottotietojen jakelun rajoittamista koskevalla toiminnallaan katsoa vaarantavan rekisteröityjen oikeuden tulla arvioiduksi oikeiden tietojen perusteella.

Asian taustaa ja edeltävät toimenpiteet

Tietosuojavaltuutetun toimistolle on välitetty tieto siitä, että Suomen Asiakastieto Oy ylläpitää rekisteriä, josta se jakaa OPL-koodilla merkittyjä luottotietomerkintöjä vain Suomen Pienlainayhdistyksen jäsenyrityksille. Tietosuojavaltuutettu on pyytänyt rekisterinpitäjältä sähköpostitse 7.3.2012 selvitystä siitä, pitääkö väite paikkansa. Asiassa rekisterinpitäjältä saadun myöntävän vastauksen johdosta tietosuojavaltuutettu on 21.3.2012 ottanut asian oma-aloitteena käsiteltäväkseen.

Luottotietolakia (527/2007) ja henkilötietojen käsittelyä valvovana viranomaisena tietosuojavaltuutettu on 27.3.2012 pyytänyt asiassa rekisterinpitäjältä tarkempaa selvitystä.

Rekisterinpitäjältä asiassa saadun selvityksen mukaan Suomen Asiakastieto Oy ylläpitää rekisteriä, johon rekisteröidään koodilla OPL Suomen Pienlainayhdistyksen jäsenyrityksien rekisterinpitäjälle ilmoittamia kulutusluottohäiriöitä luottotietolain 13 §:n 1 momentin 5 kohdan perusteella. Kyseessä olevat häiriömerkinnät ovat osa sen ylläpitämää henkilöluottotietorekisteriä, mutta OPL -koodilla merkittyjä häiriömerkintöjä ei kuitenkaan jaeta kaikille rekisterinpitäjän asiakkaille, vaan ainoastaan pienlainyhdistyksen jäsenyrityksille, jotka saavat tältä osin enemmän tietoa muihin rekisterinpitäjän asiakkaisiin verrattuna. Toiminta perustuu rekisterinpitäjän ja Suomen pienlainayhdistyksen ja sen jäsenyrityksien väliseen sopimukseen, joka on tietosuojavaltuutetun pyynnöstä toimitettu tietosuojavaltuutetulle nähtäväksi. Rekisterinpitäjä kertoo katsovansa, ettei luottotietolaki sinällään estä tällaista tiedon jakelun rajoittamista, kunhan tiedot ovat sellaisia, joita voidaan lain mukaan luottotietorekisteriin rekisteröidä. 

Tietosuojavaltuutettu on antanut asiassa 15.5.2012 kannanoton rekisterinpitäjälle, jossa se on todennut, ettei sen tiedossa ole lainsäännöstä tai oikeusperustetta, jonka nojalla rekisterinpitäjä voi rajoittaa luottotietolain 13 §:n 1 momentin 5 kohdan perusteella käsittelemiensä kulutusluottoja koskevien maksuhäiriötietojen jakelun tietyiltä osin ainoastaan Suomen Pienlainayhdistyksen jäsenyrityksille. Tietosuojavaltuutettu on kannanotossaan katsonut, että luottotietolain mukaiseen luottotietotoimintaan kuuluu keskeisesti luotettavien luottotietojen saatavuus, kun esimerkiksi otetaan huomioon kuluttajasuojalaissa (1978/38) luotonantajille säädetty velvollisuus vastuulliseen luotonantoon, jossa luottotiedoilla on keskeinen merkitys. Tietosuojavaltuutettu onkin katsonut, että luottotietolain nojalla kerättyjen luottotietojen jakelun rajoittaminen vain tietyille luotonantajille ei mahdollista kaikkien luotonantajien osalta mm. kuluttajasuojalain edellyttämää vastuullista luotonantoa ja asettaa luotonantajat ja siten myös luotonhakijat eriarvoiseen asemaan. Tämä ei tietosuojavaltuutetun käsityksen mukaan ole luottotietolain sääntelemän ns. yleisen luottotietotoiminnan tarkoitus.

Tietosuojavaltuutettu on todennut, että henkilötietolain 6 § edellyttää, että henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Lain 9 §:n mukaan rekisterinpitäjän tulee huolehtia siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä. Tietosuojavaltuutetun käsityksen mukaan luottotietolain nojalla kerättyjen luottotietojen jakelun rajoittaminen vain tietyille toimijoille voi myös vaarantaa rekisteröityjen oikeuden tulla arvioiduksi oikeiden ja asianmukaisten tietojen perusteella niissä tarkoituksissa, joissa luottotietoja on lain mukaan oikeus käyttää rekisteröityä koskevassa päätöksenteossa.

Tietosuojavaltuutettu on kannanottonsa lisäksi antanut asiassa rekisterinpitäjälle 28.6.2012 luottotietolain 35 §:n 3 kohdan mukaisen määräyksen, jossa se on velvoittanut rekisterinpitäjän ryhtymään toimenpiteisiin luottotietolain 3 luvussa säädettyjen velvollisuuksiensa hoitamiseksi, joita tietosuojavaltuutettu katsoo rekisterinpitäjän nyt ko. toiminnallaan laiminlyöneen.

Tietosuojavaltuutettu katsoo päätöksessään, että tyhjentäväksi säädetyn luottotietolain keskeisempiä tavoitteita on turvata luotettavien luottotietojen saatavuus, jota on toteutettu mm. säätämällä luottotietolakiin luottotietotoiminnan harjoittamisen yleisistä edellytyksistä (luottotietolain 3 luku). Luottotietolaki koskee nk. yleistä luottotietotoimintaa, kun taas toimialakohtaisten tiedonvaihtojärjestelmien, eli nk. erityisten luottotietorekisterien ylläpitäminen perustuu tietosuojalautakunnan lupaan. Yleistä luottotietotoimintaa harjoittava yritys ei voi ilman laillista perustetta (kuten esim. tietosuojalautakunnan lupa) rajoittaa luottotietolain nojalla käsittelemiensä luottotietojen käyttämistä luottotietolain mahdollistamissa/edellyttämissä tilanteissa rikkomatta yleiselle luottotietotoiminnalle lain asettamia vaatimuksia. Tietosuojavaltuutettu on myös päätöksessään todennut, ettei sopimus oikeuta ohittamaan tai kiertämään lainsäädännön toiminnalle asettamia vaatimuksia.

Rekisterinpitäjä on samana päivänä kuin em. päätös on annettu toimittanut tietosuojavaltuutetulle 27.6.2012 päivätyn kirjeen. Rekisterinpitäjän käsityksen mukaan luottotietolain 10 §:ssä tarkoitetun yleiseen käyttöön perustetun luottotietorekisterin osa voi olla sellainen, että se ei ole tarkoitettu yleiseen käyttöön, vaan rajoitettu tiedon luovuttajan vaatimuksesta johtuen. Rekisterinpitäjä katsoo, ettei se ole kieltäytynyt luovuttamasta yleiseen käyttöön tarkoitettuja tietoja eri tahoille. Jakelun rajoittaminen vain tietyille eri toimijoille ei ole rekisterinpitäjän mukaan vaarantanut rekisteröityjen yhdenvertaista kohtelua tai oikeutta tulla arvioiduksi oikeiden ja asianmukaisten tietojen perusteella.

Rekisterinpitäjä on ilmoittanut tietosuojavaltuutetulle lopettavansa OPL merkintöjen rekisteröimisen henkilöluottorekisteriinsä viimeistään 31.9.2012 mennessä. Rekisterinpitäjä kuitenkin toteaa, että kannassa jo olevat merkinnät se pitää edelleen vain Pienlainayhdistyksen jäsenten käytössä (merkintöjen säilyttämisaika on 2 vuotta). Tietoja ei voida avata muiden asiakkaiden käyttöön, koska Pienlainayhdistyksen kanssa tehty sopimus estää tämän. Rekisterinpitäjä kertoo muuttavansa rekisteriselosteen sisältöä niin, että merkkityyppi OPL tulee niissä paremmin huomioiduksi.

Hakemuksen perustelut

Rekisterinpitäjän tietosuojavaltuutetulle antaman tiedon mukaan rekisterinpitäjä on lopettanut OPL koodilla merkittyjen maksuhäiriötietojen keräämisen 31.9.2012, mutta se aikoo Suomen Pienlainayhdistyksen ja sen jäsenyrityksien kanssa solmimaansa sopimukseen vedoten yhä jatkaa tietojen jakelun rajoittamista jo keräämiensä tietojen osalta merkintöjen säilyttämisen ajan. Tämä tietosuojavaltuutetun käsityksen mukaan käytännössä tarkoittaa sitä, että yleiseen henkilöluottorekisteriin kerättyjen tietojen jakelun rajoitus tietyille toimijoille kestää pitkälle vuoteen 2014 saakka merkintöjen laissa säädetyn säilyttämisajan ollessa kaksi vuotta.

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaen huolellisuutta ja hyvää tietojenkäsittelytapaa. Lain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Henkilötietolain 9 §:n mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä. Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Henkilötietolain 24 § edellyttää informointia henkilötietojen käsittelystä. Henkilötietoja kerätessään rekisterinpitäjän tulee huolehtia siitä, että rekisteröity voi saada tiedon rekisterinpitäjästä, henkilötietojen käsittelyn tarkoituksesta ja siitä, mihin tietoja säännönmukaisesti luovutetaan.

Jotta henkilötietojen käsittely on yleisessä luottotietotoiminnassa asiallisesti perusteltua henkilötietolain 6 §:n edellyttämällä tavalla, tulee toiminnan tietosuojavaltuutetun käsityksen mukaan olla luottotietolain mukaista. Tietosuojavaltuutettu katsoo, että rekisterinpitäjän toiminta, jossa se rajoittaa yleisen luottotietotoiminnan tarkoituksessa käsittelemiensä henkilöluottotietojen jakelua ilman laillista perustetta vain tietyille toimijoille on luottotietolain vastaista toimintaa, joka samalla rikkoo myös henkilötietolain 5 §, 6 § ja 9 §:n säännöksiä. Yleiseen henkilöluottotietorekisteriin kerättyjen tietojen jakelun rajoittaminen vain tietyille toimijoille voi vaarantaa rekisteröityjen oikeuden tulla arvioiduksi oikeiden ja asianmukaisten tietojen perusteella niissä tarkoituksissa, joissa luottotietoja voi/tulee lain mukaan käsitellä rekisteröityä koskevassa päätöksenteossa.

Tietosuojavaltuutettu on myös kiinnittänyt rekisterinpitäjän huomiota siihen, että henkilötietojen käsittely edellyttää toiminnan läpinäkyvyyttä. Toiminnan läpinäkyvyyttä ilmentävät mm. henkilötietolain 24 §:n mukainen informointivelvollisuus ja henkilötietolain 10 §:n mukaan kaikkien saatavilla pidettävä rekisteriseloste.         

Asian selvittämisen yhteydessä saadun tiedon perusteella tietosuojavaltuutetulla on myös perusteltu syy epäillä, ettei rekisteröityjä ole informoitu henkilötietolain 24 §:n edellyttämällä tavalla kyseisestä henkilötietojen käsittelyyn liittyvästä järjestelystä rekisterinpitäjän ja Suomen Pienlainayhdistyksen välillä.

Rekisterinpitäjä on kertonut, että OPL koodilla merkityt maksuhäiriötiedot ovat osa sen henkilöluottorekisteriä. Rekisterinpitäjän kotisivuilla olevan henkilöluottotietorekisterin rekisteriselosteesta ei käy ilmi, että rekisterinpitäjä käsittelee kulutusluottohäiriöitä muulla kuin OSP koodilla. Rekisterinpitäjä on tietosuojavaltuutetulle 27.6.2012 lähettämässään kirjeessä kertonut muuttavansa henkilöluottotietorekisteriä koskevan rekisteriselostetta siten, että OPL maksuhäiriömerkintätyyppi tulee niissä selvemmin huomioiduksi. Todettakoon, ettei rekisterinpitäjä ole tältä osin millään tavalla muuttanut kotisivuillaan olevaa rekisteriselostetta. Tämänkin voidaan katsoa ilmentävän henkilötietojen käsittelyyn liittyvien velvoitteiden laiminlyöntiä.    

KUULEMINEN

Suomen Asiakastieto Oy:n selitys 11.2.2013

Suomen Asiakastieto Oy on tietosuojalautakunnalle toimittamassaan selityksessä todennut muun muassa seuraavaa.

Tietosuojavaltuutetun hakemuksessa antamaa kuvausta tapahtumista voidaan pitää pääpiirteissään oikeana. Asiakastieto on tallentanut rekisteriinsä Luottotietolain 13 § 1 momentin 5 kohdassa tarkoitettuja kulutusluottohäiriöitä. Nämä Pienlainayhdistys ry:n jäsenyrityksiltä saadut maksuhäiriötiedot on rekisteröity niin, että niiden jakelu on rajoitettu vain niille tahoille, jotka tietoja toimittavatkin. Vaatimus jakelun rajoittamiseen on tullut luovuttavilta tahoilta, mihin vaatimukseen Asiakastieto on yksityisoikeudellisella sopimuksella suostunut.

Asiaa harkittaessa ja asiasta päättäessään Asiakastieto on huomioinut seuraavaa. Kyseisessä lainkohdassa (luottotietolaki 13 § 1 mom. 5 kohta) tarkoitettujen maksuhäiriötietojen luovuttaminen on tietoja rekisteriin luovuttavalle taholle (kulutusluottoja myöntäneelle yritykselle) vapaaehtoista. Laki ei anna rekisterinpitäjälle mahdollisuutta pakottaa luotonmyöntäjiä näiden tietojen luovutukseen. Useat kulutusluottoja myöntävät yritykset kieltäytyvät tietojen luovuttamisesta haluten kuitenkin saada hyväkseen ja käyttöönsä muiden yhtiöiden luovuttamat tiedot. Tämä luovuttavien tahojen rajoittuneisuus oli myös Pienlainayhdistys ry:n jäsenten tiedossa. Yhtiöt katsoivat, että heillä ei ole syytä antaa tietoja kaikkien luotonantajien käytettäväksi, kun useat tahot kuitenkin itse laiminlyövät tietojen ilmoittamisen yhteiseen käyttöön. On huomioitava, että mikäli Asiakastieto ei olisi suostunut tietojen jakelun rajoittamiseen, tiedot eivät olisi siinä tapauksessa lainkaan tulleet rekisteröitäväksi Asiakastiedon henkilöluottotietorekisteriin; nämä yritykset olisivat yksinkertaisesti kieltäytyneet tietojen luovuttamisesta. Toimimalla kerrotulla tavalla tiedot ovat kuitenkin olleet edes osaksi estämässä uutta luotonantoa henkilölle, joilla on vaikeuksia velvoitteidensa hoidossa. Asiakastiedolla ei tietenkään olisi ollut mitään sitä vastaan, että tiedot annetaan kaikkien käyttöön.

Juridisesti Asiakastieto perustelee toimintaansa Luottotietolain 10 §:n sanamuodolla. Lainkohdan mukaan ”Luottotietotoiminnan harjoittaja ei saa kieltäytyä antamasta yleiseen käyttöön perustetusta luottotietorekisteristä luottotietoja sille, …” Lainkohdasta tai lain perusteluista ei käy ilmi mitä lainsäätäjä tarkoittaa sanonnalla yleiseen käyttöön. Luottotietolain perustelut ovat yleisestikin erittäin niukat ja useassa kohdassa jopa olemattomat sisältäen vain kuvauksen siitä mistä lainkohdassa säädetään. Kun lainkohdassa on käytetty sanaa yleiseen käyttöön, voi asiasta tehdä Asiakastiedon näkemyksen mukaan vastakohtaispäätelmän: voi olla myös ei-yleisiä (ei kaikkien käytössä) luottotietorekistereitä kunhan sinne rekisteröitävät tiedot kuitenkin ovat sellaisia, että  niitä voidaan luottotietolain säännösten mukaan tallettaa rekisteriin. Tällä perusteella Asiakastieto katsoi, että tietojen jakelua voidaan rajoittaa eikä Asiakastieto myöskään katsonut asiassa vaadittavan tietosuojalautakunnan poikkeuslupaa. Kun tietojen luovuttaminen on vapaaehtoista, Asiakastieto on katsonut oikeutetuksi jakelun rajoittamisen vain tahoille, jotka tietoja myös toimittavat. Näin toimiminen on tässä tapauksessa mahdollistanut tietojen saamisen käyttöön edes osaksi. Muulla tavoin toimiminen voisi edesauttaa sitä, että ”vapaamatkustaminen” tietojen käyttämisen osalta olisi yhä yleisempää.

Hakemuksessaan tietosuojavaltuutettu käyttää useassa kohtaa määritelmää ”yleinen luottotietotoiminta”. Luottotietolaissa ei kuitenkaan ole määritelty sitä mitä on pidettävä yleisenä luottotietotoimintana.

Suomen Asiakastieto Oy toteaa vielä sen, että tietojen jakelun rajoittamista ei ole luottotietolaissa kielletty. Rajoittaminen on perustunut osapuolten väliseen sopimukseen, jonka tekemiseen on näin ollen ollut mielestämme oikeus.

Hakemuksessaan tietosuojavaltuutettu katsoo, että tietojen jakelun rajoittaminen kuvatulla tavalla voi vaarantaa rekisteröityjen oikeuden tulla arvioiduksi oikeiden ja asianmukaisten tietojen perusteella. Kun on selvää, että kyseiset tiedot eivät missään tapauksessa olisi tulleet yleiseen jakeluun, koska tietojen luovuttajat eivät olisi tietoja lainkaan rekisteriin luovuttaneet, ei tämä rekisteröidyn oikeus ole vaarantunut. Tiedot eivät olisi muulla tavoin toimittaessa olleet kenenkään käytettävissä. Jakelun ulkopuolelle jääneiden yritysten asema ei ole muuttunut käytännön johdosta, eikä pelkästään jakelun rajoittaminen ole rekisteröityjen oikeutta vaarantanut. Tämä tietosuojavaltuutetun esittämä argumentti on Asiakastiedon mukaan muutenkin perusteeton, koska niin kauan kuin luotonantajilla ei ole velvollisuutta ilmoittaa kulutusluottojen laiminlyöntiin perustuvia viivästymisiä rekisteriin, on jossain määrin aina vallalla tilanne, jossa rekisteröity ei tule arvioiduksi oikeiden ja asianmukaisten tietojen perusteella. Kaikki viivästymiset eivät ole koskaan luotonantajien tiedossa.

Tietosuojalautakunta on pyytänyt erityisesti selvittämään miten velvollisuudesta informoida rekisteröityjä on huolehdittu. Asiakastieto ilmoittaa tältä osin, että rekisteröidyille lähetettävässä ensirekisteröintikirjeessä on koko nyt kyseessä olevan toiminnan ajan nimenomaisesti todettu, että kyseessä on ollut erityinen pienlainan laiminlyöntiin perustuva merkintä. Rekisteröityjen kanssa käydyissä puhelinkeskusteluilla ja muissa yhteydenotoissa on avoimesti kerrottu myös se ominaisuus, että merkinnän jakelu on rajoitettu vain näille yhtiöille. Asiakastiedossa on lokakuussa 2012 laadittu uusi rekisteriseloste, jossa on erityinen maininta tästä merkinnästä. Tämä rekisteriseloste on viety Asiakastiedon kotisivuille joulukuussa 2012. Rekisteriseloste on toimitettu tietosuojavaltuutetulle. Tietosuojavaltuutettu on ilmoittanut vastaanottaneensa selosteen eikä siinä yhteydessä tehnyt huomautuksia selosteen sisällön suhteen. Uuden rekisteriselosteen vieminen kotisivuille ja toimittaminen tietosuojavaltuutetulle viivästyi inhimillisen virheen takia. Rekisteriseloste on kuitenkin ollut sitä pyytävien saatavilla, kuten laki vaatii. Tietosuojavaltuutettu on hakemuksessaan kiinnittänyt huomiota siihen, ettei seloste ole ollut saatavilla internet-kotisivuilla. Asiakastieto huomauttaa, ettei laki nimenmaan tällaista julkistamistapaa edellytä.  

Asiakastieto toteaa, että se minkälaisia lyhenteitä rekisterinpidon yhteydessä käytetään, ei ole relevanttia. Lyhennettä ei käytetä rekisteröidyille lähetettävässä ensirekisteröintikirjeessä. Merkinnän yhteydessä käytetään pitempää tekstiä, josta merkinnän juridinen perusta ilmenee. (Kertaluottoon liittyvä maksuhäiriö, pienlaina). 

Rekisteröityjen tarkistaessa omia tietojaan annetaan rekisteröidylle lista eri merkintätyypeistä. Myös tässä listassa on ollut maininta tästä merkintätyypistä (OPL Kertaluottoon (pienlaina) liittyvä maksuhäiriö).

Informaatiovelvollisuuden toteutumisen osalta on huomautettavaa, että rekisteröityjen kannalta on tosiasiallisesti ollut merkityksellistä se, että heille on yhteydenotoissa puhelimitse ja sähköpostilla avoimesti kerrottu, keille tätä tietoa jaetaan. Vaikka tietosuojalainsäädännössä annetaan rekisteriselosteelle informaatiokeinona suuri merkitys, tosiasia on se, että rekisteröidyt eivät osaa tietoa rekisteriselosteista hakea. Niiden merkitys rekisteröityjen tietojensaannin kannalta ei tosiasiassa ole suuri. Merkityksellisempää on suoraan rekisteröidylle annettu informaatio. Kun informaatiota on muussa materiaalissa ja välineillä annettu, ei pelkän puutteellisuuden rekisteriselosteessa voi katsoa ilmentävän henkilötietojen käsittelyyn liittyvien velvoitteiden laiminlyöntiä. Asiakastieto katsoo, että asiasta on annettu rekisteröidyille täysin avoimesti tieto näistä merkinnöistä.

Tietosuojavaltuutettu esittää vaatimuksenaan, että nämä tiedot tulisi nyt avata kaikkien käyttöön. Asiakastieto vastustaa tätä vaatimusta. Tällaisten uusien merkintöjen tallentaminen on lopetettu jo syyskuussa 2012 ja tietojen ajankohtaisuus ja käyttökelpoisuus on siis jo vähentynyt. Näiden tietojen avaaminen kaikille voisi kuitenkin yht’äkkisenä toimenpiteenä vaikeuttaa huomattavasti sellaisten rekisteröityjen asemaa, joilla tällainen merkintä on ainoa merkintä. Asiakastieto katsoo, että oikeampi ratkaisu on poistaa tiedot. Kyseessä olevat tiedot tulee luottotietolain 18 §:n 1 momentin 5 kohdan mukaan poistaa kahden vuoden kuluttua siitä kun tiedot on talletettu rekisteriin. Lain perusteluissa kohdassa käytetään sanaa määritelmää ”viimeistään kahden vuoden kuluttua”. Tallennusaika voi siis olla lyhyempikin, vaikka laki ei lausu siitä, milloin lyhyempää tallennusaikaa voi käyttää. Asiakastieto katsoo, että nyt kyseessä olevassa tilanteessa voidaan perustella lyhyemmän tallennusajan käyttöä ja tietojen poistoa niiden jakelun laajentamisen sijaan. Poistamista voidaan perustella myös luottotietolain 31 §:n säännöksellä. Lainkohdassa säädetään rekisterissä olevan virheen korjaamisesta. Jos näiden tietojen nyt katsotaan olevan virheellisiä, puutteellisia, vanhentuneita tai muutoin harhaanjohtavia, kuten tietosuojavaltuutettu väittää, on tiedot korjattava. Tietojen korjaus voi tässä tilanteessa merkitä vain tietojen poistoa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA SEN PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain 2 §:n 2 momentin mukaan henkilötietolakia sovelletaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun henkilötietojen käsittelyyn sovelletaan tätä lakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.

Henkilötietolain 44 §:n mukaan tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta 1) kieltää henkilötietolain tai sen nojalla annettujen säännösten ja määräysten vastaisen henkilötietojen käsittelyn, 2) velvoittaa muissa kuin 40 §:n 2 momentissa tarkoitetuissa asioissa asianomaisen määräajassa oikaisemaan sen, mitä on oikeudettomasti tehty tai laiminlyöty, 3) määrätä rekisteritoiminnan lopetettavaksi sekä 4) peruuttaa 43 §:ssä tarkoitetun luvan.

Luottotietolain 1 §:n mukaan lakia sovelletaan luottotietojen keräämiseen, tuottamiseen, tallettamiseen, luovuttamiseen, käyttöön ja muuhun käsittelyyn. Pykälän toisen momentin mukaan luonnollista henkilöä koskevien tietojen käsittelyyn sovelletaan henkilötietolakia, jollei luottotietolaissa toisin säädetä.

Luottotietolain 35 §:n mukaan tietosuojavaltuutetulla on oikeus antaa rekisterinpitäjälle rekisteröidyn hakemuksesta määräys rekisteröidyn tarkastusoikeuden toteuttamisesta tai virheellisen tiedon oikaisemisesta, velvoittaa luottotietotoiminnan harjoittaja määräajassa oikaisemaan, mitä yritysluottotietojen käsittelyssä on oikeudettomasti tehty tai laiminlyöty sekä velvoittaa luottotietotoiminnan harjoittaja ryhtymään toimenpiteisiin 3 luvussa säädettyjen velvollisuuksiensa hoitamiseksi. Luottotietolain 3 luvussa säädetään muun muassa palveluja koskevista velvoitteista, kuten siitä, että luottotietotoiminnan harjoittaja ei saa kieltäytyä antamasta yleiseen käyttöön perustetusta luottotietorekisteristä luottotietoja sekä rekisteröityjen yhdenvertaisesta kohtelusta.

Luottotietolain 41 §:n mukaan tietosuojavaltuutetun 35 §:n nojalla tekemään päätökseen haetaan muutosta valittamalla noudattaen, mitä hallintolainkäyttölaissa säädetään.

Tietosuojalautakunnan toimivalta

Luottotietolain 35 §:ssä annetaan tietosuojavaltuutetulle oikeus antaa määräyksiä. Pykälän kolmannen kohdan mukaan tietosuojavaltuutetulla on oikeus velvoittaa luottotietotoiminnan harjoittaja ryhtymään toimenpiteisiin 3 luvussa säädettyjen velvollisuuksien hoitamiseksi. Luottotietolain 1 §:n 2 momentissa tarkennetaan, että luonnollista henkilöä koskevien tietojen käsittelyyn sovelletaan henkilötietolakia, jollei luottotietolaissa toisin säädetä.

Tietosuojavaltuutettu on antanut käsiteltävänä olevassa asiassa päätöksen luottotietolain nojalla. Päätöksessä on ollut valitusosoitus Helsingin hallinto-oikeuteen, mutta päätöksestä ei ole valitettu.

Tietosuojalautakunta voi antaa tietosuojavaltuutetun hakemuksesta henkilötietolain 44 §:ssä tarkoitetun määräyksen. Hallituksen esityksessä 241/2006 ei käsitellä luottotietolain ja henkilötietolain välistä suhdetta. Luottotietolaissa ei ole määräyksiä tietosuojalautakunnan tehtävistä.  

Tietosuojavaltuutettu on perustellut tietosuojalautakunnalle osoittamaansa hakemusta henkilötietolain 5 §, 6 § ja 9 §:n nojalla. Tietosuojavaltuutettu on hakemuksessaan katsonut, että rekisterinpitäjän toiminta, jossa se rajoittaa yleisen luottotietotoiminnan tarkoituksessa käsittelemiensä henkilöluottotietojen jakelua ilman laillista perustetta vain tietyille toimijoille, on luottotietolain vastaista toimintaa, joka samalla rikkoo myös henkilötietolain 5 §, 6 § ja 9 §:n säännöksiä.

Ottaen huomioon luottotietolain soveltamisala sekä se, että luottotietolaissa on nimenomaisesti annettu tietosuojavaltuutetulle oikeus velvoittaa luottotietotoiminnan harjoittaja ryhtymään tuossa laissa mainittuihin toimenpiteisiin, ei tietosuojalautakunta voi ratkaista tietosuojavaltuutetun hakemusta henkilötietolain yleisten säännösten nojalla siltä osin kuin varsinainen asiakysymys tulee ratkaista luottotietolain perusteella.

Päätös          Tietosuojalautakunta jättää asian toimivaltaansa kuulumattomana tutkimatta.

SOVELLETUT SÄÄNNÖKSET

Tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki 2 §:n 1 kohta

Henkilötietolaki 2 §, 44 §

Luottotietolaki 1 §, 35 §, 41 §
 

Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Leena Linnainmaa, Lea Mäntyniemi, Eila Ratasvuori, Pertti Saloranta ja Ahti Saarenpää.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.