17.12.2024

Asia

Lainanhakijoiden tietojen saatavilla olo lainaparkki.fi- ja rahoitu.fi-palveluissa

Rekisterinpitäjä

Sambla Group Oy

Selvityspyyntö 25.9.2023

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä asiassa 25.9.2023 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 20.10.2023.

Rekisterinpitäjän näkemyksen mukaan kysymys ei ole ollut henkilötietojen tietoturvaloukkauksesta. Rekisterinpitäjän mukaan rekisteröityjen henkilötietoja ei missään vaiheessa ole vahingossa tai lainvastaisesti tuhottu, hävitetty, muutettu tai luovutettu luvattomasti, eivätkä tiedot ole olleet luvattoman pääsyn kohteena.

Rekisterinpitäjä esittää selvityksessään, että lainahakemuksen tiedot ovat olleet näkyvissä ainoastaan asian vireillesaattajalle, jolle on tämän pyynnöstä lähetetty linkki lainahakemukseen tekstiviestitse. Toisen IP-osoitteen käyttäjä ei olisi nähnyt henkilötietoja.

Lisäselvityspyyntö 20.10.2023

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä lisäselvitystä asiassa 20.10.2023 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 17.11.2023.

Rekisterinpitäjän kertoman mukaan kaikille lainahakemuksen täyttäneille henkilöille, jotka haluavat saada lainahakemuksen jaettavaksi puhelinnumeroonsa tai sähköpostiinsa, lähetetään henkilökohtainen ja yksilöllinen linkki lainahakemukseen. Lainahakemuksen täyttäneet henkilöt näkevät heille lähetetyn linkin kautta vain omat peitetyt tietonsa. Rekisterinpitäjä ei kertomansa mukaan jaa lainanhakijoiden tietoja muille.

Rekisterinpitäjän mukaan linkki lainahakemukseen on henkilökohtainen ja yksilöllinen, eikä sitä ole tarkoitettu jaettavaksi. Koska linkki ei ole julkisesti saatavilla, kolmansilla osapuolilla ei ole pääsyä sen takana olevaan tietoon, ellei rekisteröity itse jaa linkkiä.

Rekisterinpitäjä katsoo, että kolmannen osapuolen ei ole mahdollista tunnistaa lainanhakijaa sivustolla näkyvien osin peitettyjen tietojen perusteella suoraan tai välillisesti. Tunnistaminen ei rekisterinpitäjän mukaan ole mahdollista myöskään sivuston URL-osoitteen sisällön perusteella.

Rekisterinpitäjä katsoo, että se on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen henkilötietojen asianmukaisen turvallisuuden. Tämä on tehty tunnistamalla ne todennäköisimmät riskit, joilla on vakavimmat vaikutukset rekisteröidylle ja toteuttamalla riskiä vastaavat tekniset toimenpiteet riskien toteutumisen minimoimiseksi. Nämä ovat henkilökohtaisen ja yksilöllisen linkin lähettäminen niille lainanhakijoille, jotka tätä toivovat, sekä lainahakemuksessa annettujen tietojen peittäminen. Rekisterinpitäjän mukaan linkin takana olevat lainanhakijaa koskevat tiedot eivät ole kolmansien osapuolten saatavilla ilman, että rekisteröity itse jakaa rekisterinpitäjän hänelle lähettämän henkilökohtaisen linkin.

Rekisterinpitäjä esittää, että se on oletusarvoisesti rajoittanut tietoihin pääsyä luomalla yksilöllisen ja henkilökohtaisen linkin asiakkaan lainahakemuksen tietoihin siten, ettei asiakasta pysty tunnistamaan linkin sisällön perusteella. Lisäksi rekisterinpitäjä on rajoittanut tietoihin pääsyä jakamalla linkin sähköpostitse tai tekstiviestitse rekisteröidyn ilmoittamaan numeroon tai sähköpostiosoitteeseen ja peittämällä asiakkaan lainahakemuksessa ilmeneviä tietoja.

Rekisterinpitäjän mukaan peittämättömät tiedot ovat näkyvissä ainoastaan VPN-yhteyden kautta niille rekisterinpitäjän työntekijöille, joilla on järjestelmänvalvojan käyttöoikeudet. Rekisterinpitäjä esittää, että sillä on palomuuri, joka estää ulkopuolisten mahdolliset yritykset päästä tähän tietoon käsiksi.

Selvitys väliaikaisen päätöksen jälkeen tehdyistä toimenpiteistä

Apulaistietosuojavaltuutettu on väliaikaisessa 25.3.2024 antamassaan päätöksessä TSV/132/2022 määrännyt rekisterinpitäjän toimittamaan tiedon siitä, mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt päätöksen johdosta. Rekisterinpitäjä on antanut toimenpiteistään kirjallisen selvityksen 5.4.2024 ja 26.4.2024.

Rekisterinpitäjän ilmoituksen mukaan se on 28.3.2024 muuttanut lainaparkki.fi-palvelun ja muiden vastaavien palveluidensa toimintaa siten, että lainanhakijan tiedot automaattisesti sivustolle täyttänyt toiminnallisuus on poistettu käytöstä. Yksilöllistä URL-osoitetta käyttäen sivustolle tulevat käyttäjät ohjautuvat tällä hetkellä tyhjälle hakemussivulle. Käyttäjän ei ole mahdollista saada käyttäjän aiemmin lainanhakulomakkeelle täyttämiä tietoja esille sivustolla, vaan käyttäjän on täytettävä tyhjä hakemus uudestaan. Toiminnallisuus tulee olemaan poissa käytöstä niin kauan, kunnes rekisterinpitäjä on saanut toteutettua tarvittavat muutostoimenpiteet, joilla se pystyy varmistamaan, että ulkopuolisten ei ole mahdollista päästä käsiksi lainanhakijan henkilötietoihin. Lisäksi rekisterinpitäjä on lyhentänyt käyttäjäkohtaisten yksilöllisten URL-osoitteiden voimassaoloaikaa siten, että URL-osoite lakkaa toimimasta 45 päivän jälkeen siitä, kun se on lähetetty lainanhakijalle. Tämä vaikuttaa takautuvasti myös jo asiakkaille aiemmin lähetettyihin yksilöllisiin URL-osoitteisiin.

Pidemmällä aikavälillä rekisterinpitäjä kertoo ottavansa käyttöön kaksivaiheisen tunnistautumisen yksilöllisissä URL-osoitteissa. Muutos tulee koskemaan kaikkia niitä rekisterinpitäjän palveluita, joissa on aiemmin ollut käytössä käyttäjän yksilöivät URL-osoitteet. Tämä koskee takautuvasti myös jo aiemmin käytössä olleita URL-osoitteita. Jatkossa URL-osoite ei rekisterinpitäjän mukaan enää ohjaa käyttäjää suoraan esitäytettyyn lainahakemukseen, vaan käyttäjä ohjautuu kirjautumissivustolle, johon käyttäjän tulee täyttää yksilöivä tunnus. Yksilöivänä tunnuksena käytetään käyttäjän henkilötunnusta. Tämän jälkeen järjestelmä lähettää kertakäyttöisen salasanan siihen sähköpostiosoitteeseen tai puhelinnumeroon, jonka syötetyn henkilötunnuksen haltija on ilmoittanut lainahakemuksessaan. Käyttäjän tulee kirjautua sivustolle tällä kertakäyttöisellä salasanalla. Salasana on voimassa ainoastaan 10 minuuttia, ja järjestelmään on mahdollista yrittää syöttää salasana korkeintaan viisi kertaa 10 minuutin ajanjakson aikana. Salasanan mekaanisen murtamisen vaikeuttamiseksi järjestelmä sallii käyttäjän pyytää uutta kertakäyttöistä salasanaa aikaisintaan minuutin kuluttua edellisestä salasanapyynnöstä. Lainanhakijan aiemmin hakemukseensa täyttämät tiedot täyttyvät hakemukselle sen jälkeen, kun henkilöllisyys on vahvistettu kertakäyttöisen salasanan avulla.

Rekisterinpitäjä on selvityksessään esittänyt lisäksi tarkentavia huomioita apulaistietosuojavaltuutetun väliaikaisesta päätöksestä. Rekisterinpitäjän mukaan lainanhakijoiden tiedot eivät ole tosiasiallisesti olleet yleisesti saatavilla internetin välityksellä. Palvelimen palomuurit on suunniteltu estämään uudet kirjautumisyritykset, jos IP-osoitteesta yritetään 24 tunnin sisällä ottaa yhteys yli kymmeneen yksilölliseen URL-osoitteeseen. Kaikkien mahdollisten 4,2 miljardin yhdistelmän läpikäyminen väsytystekniikalla (ns. brute force -tekniikka) kymmenen yrityksen päivävauhdilla veisi miljoonia vuosia. Tietojen kalastelu brute force -hyökkäyksellä ei käytännössä olisi mahdollista. Rekisterinpitäjän näkemyksen mukaan todennäköisyys sille, että tiedot päätyvät väärin käsiin on siksi huomattavasti alhaisempi kuin apulaistietosuojavaltuutetun 25.3.2024 antamassa päätöksessä on arvioitu.

Rekisterinpitäjä on todennut, että lainahakemusten tietojen piilottamista *-merkillä ei ollut tarkoitettu yksinomaiseksi turvatoimenpiteeksi. Tietojen piilottamisella pyrittiin ainoastaan osaltaan rajoittamaan tietojen näkyvyyttä siinä tilanteessa, että käyttäjä käsittelisi tietoja tilassa, jossa ulkopuolisten saattaisi olla mahdollista nähdä käyttäjän näyttö. Tietojen piilottamisella pyrittiin myös estämään tietojen välitön päätyminen vääriin käsiin, jos käyttäjä olisi epähuomiossa antanut yksilöllisen URL-osoitteensa ulkopuoliselle.

Rekisterinpitäjän mukaan Google-hauilla löytyneet yksilölliset URL-osoitteet selittyvät todennäköisesti sillä, että lainanhakija on vastaanottanut yksilöllisen URL-osoitteen verkkopohjaisen tekstiviestipalvelun välityksellä ja tällaisen tekstiviestipalvelun salaus ei ole ollut riittävällä tasolla. Rekisterinpitäjä katsoo, että se ei omin toimenpitein pysty täysin poistamaan riskiä linkkien näkyvyydestä näiltä osin. Rekisterinpitäjän toteuttamien suojaustoimenpiteiden myötä linkin löytävät ulkopuoliset tahot eivät kuitenkaan jatkossa tule pääsemään käsiksi lainahakemusten tietoihin.

Rekisterinpitäjä on lisäksi todennut, että sen tiedossa ei ole mitään siihen viittaavaa, että lainanhakijoiden tietoja olisi päätynyt vääriin käsiin yksilöllisten URL-osoitteiden kautta.

Lisäselvityspyyntö 8.5.2024

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä asiassa 8.5.2024 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 24.5.2024.

Rekisterinpitäjän mukaan yksilöllisiin URL-osoitteisiin perustuva toiminnallisuus on otettu käyttöön 24.2.2017. Rekisterinpitäjän mukaan yrityksissä avata lainanhakijoiden yksilöllisiä URL-osoitteita ei ole havaittu mitään tavanomaisesta poikkeavaa aktiviteettia. Rekisterinpitäjän mukaan sen toimet tietojen systemaattisen kalastelun estämiseksi ovat olleet toimivia.

Yksilöllisiin URL-osoitteisiin perustuva toiminnallisuus on ollut käytössä rekisterinpitäjän hallinnoimilla verkkosivustoilla lainaparkki.fi ja rahoitu.fi. Rekisterinpitäjän mukaan toiminnallisuus on apulaistietosuojavaltuutetun väliaikaisen päätöksen jälkeen otettu pois käytöstä molemmilta sivustoilta. Sama toiminnallisuus on rekisterinpitäjän mukaan poistettu käytöstä myös sellaisilta rekisterinpitäjän yhteistyökumppaneiden verkkosivustoilta, joiden kautta on ollut mahdollista tehdä hakemus suoraan rekisterinpitäjän järjestelmään samalla tavalla kuin asiakkaan asioidessa lainaparkki.fi- ja rahoitu.fi-sivustoilla.

Rekisterinpitäjä on todennut, että apulaistietosuojavaltuutetun väliaikaisen päätöksen jälkeen tehtyjen muutosten myötä asiakkaan tiedot haetaan saataville vasta sen jälkeen, kun asiakkaan henkilöllisyys on varmistettu kaksivaiheisen tunnistautumisen kautta. Istunnon tietoja ei myöskään tallenneta session storage -muuttujaan niin, että niihin olisi mahdollista päästä käsiksi käyttäjän suljettua istuntonsa.

Rekisterinpitäjän mukaan brute force -eston toimivuus on todennettavissa verkkolokeista. Rekisterinpitäjän mukaan palomuurin tilastot osoittavat, että kun palomuuri on havainnut yhteyslaitteen, joka yrittää ottaa yhteyttä sivuston eri osoitteisiin, se on estänyt uuden yhdistämisyrityksen kymmenen yrityksen jälkeen.

Lisäselvityspyyntö 31.5.2024

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä lisäselvitystä asiassa 31.5.2024 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 12.7.2024.

Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle lokeja lainaparkki.fi- ja rahoitu.fi-sivustoista. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjää toimittamaan http-palvelimien access- ja error-lokit eli käyttö- ja virhelokit. Rekisterinpitäjä ei ole toimittanut pyydettyjä lokeja. Sen sijaan rekisterinpitäjä on toimittanut Palveluiden lyhyisiin URL-osoitteisiin kohdistuneita lokeja vuosilta 2017–2024 siten, että rivillä on aikaleima, lyhyt URL-osoite, IP-osoite, josta kutsu on tullut, ja user-agent-arvo eli käyttäjäagentti, joka kyseistä lyhyttä URL-osoitetta on kutsunut. Rekisterinpitäjän mukaan lokeihin sisältyvät yhteydenottoyritykset, joissa käytetty yksilöllinen URL-osoite on liittynyt tiettyyn lainahakemukseen ja käyttäjälle on avautunut tämän esitäytetyn lainahakemuksen tiedot. Rekisterinpitäjä on toimittanut myös lokit epäonnistuneista kirjautumisyrityksistä eli tilanteista, joissa käytetty yksilöllinen URL-osoite ei ole liittynyt mihinkään lainahakemukseen ja yhteys on siksi epäonnistunut. Lokit on toimitettu myös niistä yhteydenottoyrityksistä, joissa yhteydenotto IP-osoitteesta on estetty sen seurauksena, että IP-osoitteesta on yritetty ottaa yhteyttä yli kymmeneen yksilölliseen URL-osoitteeseen 24 tunnin sisällä.

[Salassa pidettävää tekstiä poistettu]

Rekisterinpitäjä on lisäksi kertonut, että se tulee ottamaan verkkosivustoilla käyttöön kaksivaiheisen tunnistautumismenetelmän siten, että jatkossa henkilötunnuksen sijaan käytetään asiakkaan syntymäaikaa. Asiakkaan yksiköllinen URL-osoite vie siis asiakkaan kirjautumissivulle, johon asiakkaan tulee täyttää syntymäaikansa. Syntymäaika yksilöi hakijan ja vertaamalla hakijan syöttämää syntymäaikaa hakemuksen yhteydessä annettuun syntymäaikaan. Hakijan oikeus saada lainahakemuksen tiedot näkyviin varmistetaan tämän jälkeen kaksivaiheisella tunnistautumisella siten, että järjestelmä lähettää kertakäyttöisen kirjautumissalasanan asiakkaan hakemusvaiheessa ilmoittamaan sähköpostiosoitteeseen tai puhelinnumeroon.

Lisäselvityspyyntö 23.7.2024

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä lisäselvitystä asiassa 23.7.2024 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 14.8.2024.

Rekisterinpitäjä on kertonut, että se ei ota erikseen talteen varsinaisia http access- ja error-lokeja. Nämä lokit ovat saatavissa rekisterinpitäjän käytössä olevilta palvelimilta ainoastaan sen ajan, kun kyseinen palvelin on käytössä.

Rekisterinpitäjällä on käytössä automaattinen palvelintilan hallinta (Autoscaling Group). Rekisterinpitäjällä ei sen kertoman mukaan ole käytössä vakioitua määrää palvelinkapasiteettia vaan rekisterinpitäjän käyttöön on allokoitu aina tarpeellinen määrä verkkopalvelimia. Palvelimen access- ja error-lokit poistetaan rekisterinpitäjän mukaan automaattisesti aina, kun palvelin siirtyy pois rekisterinpitäjän käytöstä, joten rekisterinpitäjällä ei ole näitä lokeja käytössään.

[Salassa pidettävää tekstiä poistettu]

Rekisterinpitäjä ei ole toimittanut tietosuojavaltuutetun toimiston pyytämiä palomuurin asetuksia vaan ainoastaan viitannut niiden osalta palomuurin vakioasetuksiin.

Rekisterinpitäjän 22.8.2024 toimittamat lisätiedot

Rekisterinpitäjä on 22.8.2024 toimittanut tietosuojavaltuutetun toimistolle lainaparkki.fi-sivustoa koskevia lokeja, joita ei ollut toimitettu aiemmin toimitettujen lokien yhteydessä.

Kuuleminen ja lisäselvityspyyntö 30.8.2024

Rekisterinpitäjän lausuma 31.10.2024

Tietosuojavaltuutetun toimisto on 15.10.2024 lähettänyt rekisterinpitäjälle tiedoksi asian teknisen selvityksen johdosta päivitetyt tosiseikat ja varannut rekisterinpitäjälle mahdollisuuden lausua niistä sekä asiakirjojen salassapidosta. Rekisterinpitäjä on toimittanut lausumansa 31.10.2024.

Rekisterinpitäjä on kertonut, että sivustojen henkilötietojen kalasteluyrityksiltä suojaavan toiminnallisuuden toimintaa seuraavat lokit ovat kirjautuneet omaan erilliseen lokiinsa vasta lokakuusta 2022 alkaen, jolloin toiminnallisuuden lokitus muutettiin nykyiseen muotoonsa. Toiminnallisuus on kuitenkin ollut toiminnassa samalla tavalla koko sivustojen olemassaolon ajan. Toisin kuin rekisterinpitäjä on aiemmissa selvityksissään esittänyt, rekisterinpitäjän mukaan tietojen kalasteluyrityksiltä suojaava toiminnallisuus on perustunut ohjelmistokoodiin eikä kyse ole ollut palomuurin toiminnallisuudesta.

Rekisterinpitäjän mukaan alkuperäisessä muodossaan toiminnallisuus oli toteutettu niin, että jos IP-osoitteesta oli yritetty ottaa yhteyttä yli kymmeneen toimimattomaan osoitteeseen sivustoilla saman päivän aikana, uudet yhteydenottoyritykset epäonnistuivat riippumatta siitä, yritettiinkö IP-osoitteesta ottaa yhteyttä toimivaan vai toimimattomaan sivustoon. Tämän vuoksi rekisterinpitäjän mukaan vanhemmissa lokeissa näkyy IP-osoitteita, joista on tullut yli kymmenen epäonnistunutta yhteydenottoyritystä saman päivän aikana.

Lokakuussa 2022 tehdyn muutoksen jälkeen lokeista on rekisterinpitäjän mukaan havaittavissa, että yksittäisestä IP-osoitteesta ei saman päivän aikana ole tullut kuin korkeintaan 11 epäonnistunutta yritystä ja enemmät yritykset on kirjattu estettyjen yritysten lokiin.

Rekisterinpitäjä on todennut, että sen toimittamat lokit eivät ole puutteellisia, vaikka niissä on 1.7.2020–31.12.2020 vain hajanaisia merkintöjä, koska tuolloin luottojen suoramarkkinointi kuluttajille oli kiellettyä Suomessa. Koska rekisterinpitäjä ei tuona aikana ole voinut lähettää käyttäjille suoramarkkinointiviestejä, sivustoilla ei ole ollut aktiviteettia.

Rekisterinpitäjän mukaan Google käyttää erilaisia verkkobotteja myös muihin tarkoituksiin kuin pelkästään verkkosivujen kartoittamiseen hakukoneita varten. Verkkobotteja käytetään muun muassa Chrome-selaimen toimintaan liittyvien ominaisuuksien optimointiin. Rekisterinpitäjä katsoo, että Googlebottien sivustoille tekemät kutsut ovat lokien perusteella yhteydessä käyttäjien normaaliin toimintaan eikä lokeista ole havaittavissa viitteitä epänormaalista liikenteestä. Merkittävä osa liikenteestä sivustolle on rekisterinpitäjän mukaan peräisin Googlen apupalvelimelta, jonka kautta Chrome kierrättää verkkoliikenteen optimoidakseen selaimen toimintaa.

[Salassa pidettävää tekstiä poistettu]

Palvelukuvaus

Sambla Group Oy on finanssiteknologiayritys, joka tarjoaa lainojen ja vakuutusten vertailu- ja välityspalveluita kuluttajille.

Liikevaihto

Rekisterinpitäjältä 16.9.2024 saadun tiedon mukaan konsernin liikevaihto vuodelta 2023 on 1 601 604 000 kruunua eli noin 140 000 000 euroa (.

Palveluissa saatavilla olleet lainahakemukset

Rekisterinpitäjältä saadun tiedon mukaan rahoitu.fi- ja lainaparkki.fi-palveluissa on ollut saatavilla yhteensä noin [salassa pidettävää tekstiä poistettu] lainanhakijan tiedot 24.2.2017 lähtien.

Päätös

Rekisterinpitäjän menettely, jonka johdosta lainanhakijoiden täyttämien lainahakemusten tietoja on ollut saatavilla kolmansille lainaparkki.fi- ja rahoitu.fi-palveluissa, on ollut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 25 artiklan 1 ja 2 kohdassa ja 32 artiklan 1 ja 2 kohdassa säädetyn vastainen.

Rekisterinpitäjälle annetaan edellä kohdassa 82 todetun menettelyn osalta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 25 artiklan 1 ja 2 kohdan ja 32 artiklan 1 ja 2 kohdan rikkomisesta.

Hallinnollinen seuraamusmaksu

Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Seuraamusmaksua koskeva asia saatetaan seuraamuskollegion ratkaistavaksi. Seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu apulaistietosuojavaltuutetun antaman huomautuksen lisäksi.

Päätöksen perustelut

Tietosuojavaltuutetun toimistossa on laadittu tekninen selvitys asian vireillesaattajalta saadusta lainahakemuksen URL-osoitteesta ja rekisterinpitäjän toimittamista lokeista.

Lainaparkki.fi- ja rahoitu.fi-palveluissa (jäljempänä Palvelut ) tehdyt lainahakemukset ovat olleet saatavilla lainanhakijoille lähetettyjen yksilöllisten verkko-osoitteiden eli URL-osoitteiden kautta. Yksilöllisiin URL-osoitteisiin perustuva toiminnallisuus on otettu palveluissa käyttöön 24.2.2017. Asiassa saadun selvityksen perusteella yksilöllisistä URL-osoitteista on ollut saatavilla noin [salassa pidettävää tekstiä poistettu] lainanhakijan tiedot 28.3.2024 saakka.

Palvelut ovat palauttaneet asiakkaalle URL-osoitteen lyhyessä muodossa (jäljempänä lyhyt URL-osoite ), joka on ohjautunut pidempään URL-osoitteeseen, jossa on ollut saatavilla lainahakemukseen sisältyneet henkilötiedot. Lyhyen URL-osoitteen yksilöivä osa on ollut vain kahdeksanmerkkinen. Siinä on ollut ainakin pieniä kirjaimia sekä numeroita. URL-osoitteen käyttö ei ole edellyttänyt tunnistautumista. Apulaistietosuojavaltuutettu toteaa, että lyhyet URL-osoitteet ovat olleet tietoturvallisuuden kannalta heikkotasoinen ratkaisu, koska lyhyisiin URL-osoitteisiin on niiden pienen merkkimäärän vuoksi ollut helppoa kokeilla erilaisia yksilöiviä osuuksia. Internetissä eri URL-osoitteiden kokeileminen tietojen kalastelutarkoituksessa on hyvin tyypillistä, ja siihen on olemassa erilaisia palveluita ja ohjelmia. Kolmansien on ollut täysin mahdollista käydä järjestelmällisesti läpi Palveluiden lyhyet URL-osoitteet ja saada pääsy lainahakemusten henkilötietoihin.

Tietosuojavaltuutetun toimistossa asian vireille saattaneen henkilön lainahakemuksen URL-osoitteessa on ollut selaimen perusnäkymässä saatavilla henkilötunnus osittain peitettynä siten, että siitä on ollut kolme ensimmäistä ja kaksi viimeistä merkkiä nähtävissä. Myös sähköpostiosoite on ollut osittain peitetty siten, että sen alkuosasta on ollut nähtävissä kolme ensimmäistä merkkiä, @-merkki ja @-merkin jälkeisestä osasta ensimmäinen merkki ja neljä viimeistä merkkiä. Vireillesaattajan puhelinnumerosta on ollut saatavilla kaksi ensimmäistä ja kaksi viimeistä numeroa. Peittämättöminä ovat lisäksi olleet saatavilla tiedot lainanhakijan kuukausituloista, tulonlähteistä, mahdollisesta rinnakkaishakijasta, siviilisäädystä, mahdollisen puolison kuukausituloista, mahdollisista lapsista, ammatista, kansalaisuudesta, koulutuksesta, asepalveluksen suorittamisesta, asumismuodosta, asumismenoista ja mahdollisen kesämökin omistamisesta.

Lainahakemuksen henkilötiedot ovat kokonaisuudessaan olleet selaimessa sivun niin sanotun session storagen muuttujan __LSM__ -arvona. Tämä on sisältänyt seuraavat tiedot: lainanhakijan henkilötunnus, sähköpostiosoite, tilinumero, kotiosoite, kansalaisuus, puhelinnumero, kuukausitulot, tulonlähteet, mahdollinen rinnakkaishakija, siviilisääty, mahdollisen puolison kuukausitulot, mahdolliset lapset, ammatti, koulutus, mahdollinen asepalveluksen suorittaminen, asumismuoto, asumismenot ja kesämökin omistaminen. Lisäksi selaimen kutsuissa on ollut saatavilla lainanhakijan sähköpostiosoite selkokielisenä.

Sivuston session storage ja selaimen kutsut ovat helposti nähtävissä lähes joka selaimessa olevilla niin sanotuilla kehittäjän työkaluilla. Todettakoon, että tietosuojavaltuutetun toimiston IT-erityisasiantuntijalta kului noin kaksi minuuttia aikaa löytää session storagen __LSM__ -muuttuja ja sen arvot. Kenellä tahansa tietotekniikasta kiinnostuneella henkilöllä olisi voinut olla mahdollisuus päästä tarkastelemaan näitä tietoja. Lisäksi Google-haulla on löytynyt joitain yksittäisiä linkkejä https://lainaparkki.fi/s/”yksilöllinen id”, joista on saanut henkilötiedot näkyviin. Edellä kuvattu osoittaa, että selaimen kehittäjän työkaluilla nähtävissä olevat tiedot ovat olleet helposti löydettävissä. Lainahakemusten tiedot ovat näin ollen olleet kaikkien niiden kolmansien saatavilla, joilla on pääsy yleiseen internetin ja riittävä tekninen osaaminen.

Rekisterinpitäjän Palveluissa saatavilla olleiden lainahakemusten tiedot ovat kuvanneet rekisteröityjen taloudellista asemaa. Vaikka osa lainahakemusten tiedoista on rekisterinpitäjän esittämällä tavalla julkisista lähteistä löydettävissä, lainahakemusten sisältämät tiedot eivät ole yhteen koottuna mistään julkisesta lähteestä saatavilla. Ihmiset eivät myöskään tyypillisesti jaa tällaisia tietoja laajasti. Perustuslakivaliokunta on katsonut, että henkilön taloudellista asemaa kuvaavat tiedot voivat rinnastua arkaluonteisiin tietoihin. Perustuslakivaliokunnan mukaan tällaisten tietojen käsittelyyn saattaa liittyä erityisiä riskejä (Ks. esimerkiksi PeVL 8/2022 vp ja PeVL 28/2022 vp). Apulaistietosuojavaltuutettu katsoo, että tietojen puutteellinen suojaus ja riittämättömästi rajoitettu pääsy tietoihin internetissä ovat vaarantaneet rekisteröityjen yksityisyyden suojan ja aiheuttaneet korkean riskin rekisteröityjen oikeuksille ja vapauksille. Rekisteröityjen henkilötietojen saatavilla olo Palveluissa yksilöllisten URL-osoitteiden kautta on lisäksi aiheuttanut riskin identiteettivarkauksille ja siten esimerkiksi petosten kautta aiheutuville taloudellisille menetyksille.

Tietosuojavaltuutetun toimistossa laaditun teknisen selvityksen perusteella Palveluiden lyhyitä URL-osoitteita on systemaattisesti käyty läpi kolmansien toimesta ja niissä olevia henkilötietoja on joutunut kolmansien haltuun. Toisin kuin rekisterinpitäjä on esittänyt, tietosuojavaltuutetun toimistossa tehty selvitys osoittaa, että rekisterinpitäjän tietojen systemaattisia kalasteluyrityksiä estävä tietoturvamekanismi ei ole toiminut rekisterinpitäjän kuvaamalla tavalla siten, että se olisi estänyt IP-osoitteet, joista tehdään saman päivän aikana yli 10 kutsua eri lainahakemuksiin. Rekisterinpitäjän toimittamista lokeista käy ajalta 24.2.2017–28.3.2024 (yleisen tietosuoja-asetuksen soveltaminen on alkanut 25.5.2018, ja rekisterinpitäjän menettelyä arvioidaan päätöksessä vasta siitä lähtien) ilmi kymmeniä tuhansia tilanteita, joissa samasta IP-osoitteesta on tehty yli kymmenen kutsua eri lyhyt URL-osoitteisiin saman päivän aikana. Tämä tarkoittaa sitä, että kymmenissä tuhansissa tilanteissa samasta IP-osoitteesta on vierailtu yli kymmenessä lainahakemuksen sisältäneessä URL-osoitteessa saman päivän aikana. Enimmillään yksittäisestä IP-osoitteesta on tehty 22 193 kutsua yhden päivän aikana. Lokeista on havaittavissa, että sellaisia IP-osoitteita, joista on tehty yli 1000 kutsua saman päivän aikana, on yhteensä 2095. Edellä kuvatun perusteella on selvää, että Palveluissa tehtyihin lainahakemuksiin sisältyneitä henkilötietoja on merkittävissä määrin päätynyt kolmansien saataville.

Lokeista on lisäksi havaittavissa, että Palveluihin on kohdistunut myös muita kuin normaaleja tavallisten internetin käyttäjien www-selainten kutsuja. Lokien user-agentit viittaavat siihen, että joukossa on ohjelmallisesti tehtyjä hakuja, kuten Python request -user-agentilla tehtyjä kutsuja. Lisäksi hakukonebotit, esimerkiksi Googlebot, ovat indeksoineet rekisterinpitäjän lyhyitä URL-osoitteita. Lokeihin sisältyy kokonaisuudessaan 3 330 563 Googlebotilla tehtyä kutsua. Googlen verkkosivujen mukaan Google käyttää indeksointirobotteja ja hakijoita tuotteidensa toimien suorittamiseen. Indeksointirobotti on yleinen termi mille tahansa ohjelmalle, jota käytetään automaattisesti löytämään ja tarkistamaan verkkosivustoja seuraamalla linkkejä verkkosivulta toiselle. Googlebot on yleisesti Googlen tuotteissa käytetty indeksointirobotti (https://developers.google.com/search/docs/crawling-indexing/overview-google-crawlers, vierailtu 17.12.2024.).

Rekisterinpitäjä on esittänyt, että se on estänyt Palveluissa hakukoneiden indeksointi- ja vastaavien sivustojen kartoitusbottien toiminnan ja että Palveluiden alasivut eivät ole olleet indeksoitavissa eivätkä hakukoneilla löydettävissä. Rekisterinpitäjän mukaan Googlebottien tekemät kutsut selittyvät sillä, että Google käyttää erilaisia verkkobotteja muun muassa Chrome-selaimen toimintaan liittyvien ominaisuuksien optimointiin. Rekisterinpitäjän esittämästä huolimatta voidaan todeta, että kun Googlen palvelimet tekevät kutsuja, tarkoittaa se sitä, että URL-osoitteiden sisältämä tieto päätyy Googlelle. Vähintään siis URL-osoitteiden sisältämät henkilötiedot ovat päätyneet Googlen haltuun, vaikka kyse olisi rekisterinpitäjän esittämällä tavalla ollut verkkobottien käyttämisestä Chrome-selaimen toimintaan liittyvien ominaisuuksien optimoinnissa.

Rekisterinpitäjä on esittänyt, että lokitukseen lokakuussa 2022 tehdyn muutoksen jälkeen yksittäisestä IP-osoitteesta ei saman päivän aikana ole tullut kuin korkeintaan 11 epäonnistunutta yritystä ja enemmät yritykset on kirjattu estettyjen yritysten lokiin. Tietosuojavaltuutetun toimistossa laaditun teknisen selvityksen perusteella lokeissa ei ole sellaista määrää estettyjä yhteydenottoyrityksiä, joka vastaisi rekisterinpitäjän toimittamia lokeja, jotka kuvaavat onnistuneita lyhyitä URL-osoitteita koskevia kutsuja. Rekisterinpitäjän esittämä ei siten voi pitää paikkaansa.

Rekisterinpitäjä on esittänyt, että sen palomuuri olisi 13.4.2024 estänyt esimerkiksi IP-osoitteen 38.54.115.105 kutsut. Blocked-lokista on kuitenkin havaittavissa, että kyseessä on ollut tietomurtoyritys, jossa on aluksi testattu pääsyä palvelimen http://rahoitu.fi/s/settings.json -tiedostoon. Mainitulta IP-osoitteelta on yritetty murtautua järjestelmään saman blocked-lokin mukaan jo 12.4.2024. Tietosuojavaltuutetun toimistossa laaditun teknisen selvityksen perusteella IP-osoite on estetty ennemminkin sen haitallisuuden perusteella kuin rekisterinpitäjän säännön mukaan, jonka perusteella samasta IP-osoitteesta voisi tehdä vain 10 kutsua päivässä. IP-osoite on joka tapauksessa yrittänyt murtautua palvelimelle, koska kutsut on selkeästi kohdistettu esimerkiksi /etc/passwd -tiedoston hakuun tai muiden vastaavien tunnettujen tiedostojen hakuun eikä niinkään henkilötietoja sisältäneisiin satunnaisiin lyhyisiin URL-osoitteisiin. Rekisterinpitäjän esittämä väite sen tietoturvamekanismin toimivuudesta ei siten ole uskottava.

Käsillä olevassa asiassa lainanhakijoiden tietoja on voinut päätyä ja on lokien perusteella tosiasiallisesti myös merkittävissä määrin päätynyt kolmansien saataville. Apulaistietosuojavaltuutettu katsoo, että tätä ei voida pitää käsittelynä, jossa henkilötiedot olisi yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa edellytetyllä tavalla suojattu luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta asianmukaisten teknisten tai organisatoristen toimenpiteiden avulla.

Koska lainahakemuksiin sisältyviä henkilötietoja on päätynyt kolmansien saataville, apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjältä on puuttunut kyky taata yleisen tietosuoja-asetuksen 32 artiklan 1 alakohdan b alakohdassa edellytetty käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus.

Apulaistietosuojavaltuutettu toteaa, että rekisterinpitäjällä ei myöskään ole ollut käytössään yleisen tietosuoja-asetuksen 32 artiklan 1 kohdan d alakohdan mukaista menettelyä, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi, sillä se on tullut tietoiseksi Palveluidensa tietoturvapuutteista vasta siinä vaiheessa, kun apulaistietosuojavaltuutettu on antanut sille väliaikaisen päätöksen 25.3.2024.

Palveluissa ei ole ollut riittävää teknistä tai organisatorista rajoitusta, joka olisi estänyt kolmansien pääsyn sellaisiin tietoihin, joihin heidän ei kuulu päästä. Palveluiden käyttäjien lainahakemusten tiedot ovat olleet rajoittamattoman henkilömäärän saatavilla. Apulaistietosuojavaltuutettu katsoo, että lainanhakijoiden tietojen avoin saatavilla olo internetissä yksilöllisten URL-osoitteiden kautta ja tietojen päätyminen kolmansien saataville osoittaa sen, että rekisterinpitäjä ei ole toteuttanut yleisen tietosuoja-asetuksen 25 artiklan 1 ja 2 kohdassa ja 32 artiklan 1 ja 2 kohdassa tarkoitettuja asianmukaisia teknisiä ja organisatorisia toimenpiteitä lainanhakijoiden tietojen suojaamiseksi luvattomalta ja laittomalta käsittelyltä.

Päätöksen on tehnyt apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa ja sen on esitellyt ylitarkastaja Emma Särkkä.

Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.

Rekisterinpitäjä

Sambla Group Oy (Y-tunnus 2521965-8)

Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen hallinnollisen seuraamusmaksun määräämisestä.

Apulaistietosuojavaltuutetun päätöksestä ilmenevin tavoin rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 25 artiklan 1 ja 2 kohdassa ja 32 artiklan 1 ja 2 kohdassa säädettyä. Apulaistietosuojavaltuutettu on antanut päätöksessään rekisterinpitäjälle näiden säännösten rikkomisesta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen.

Ottaen huomioon rikkomisen vakavuuden asiassa ei ole kysymys yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa tarkoitetusta vähäisestä rikkomisesta. Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että nyt käsillä olevassa asiassa apulaistietosuojavaltuutetun yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan nojalla antama huomautus ei ole riittävä seuraamus asiassa, kun otetaan huomioon yleisen tietosuoja-asetuksen 83 artiklan 2 kohdassa säädetty.

Asiassa on määrättävä hallinnollinen seuraamusmaksu lainahakemusten tietojen saatavilla oloa koskevista rikkomisista, jotka on todettu apulaistietosuojavaltuutetun päätöksessä. Rekisterinpitäjän lainaparkki.fi- ja rahoitu.fi-palveluissa (jäljempänä Palvelut ) tehdyt lainahakemukset ovat apulaistietosuojavaltuutetun päätöksen kohdassa 87–92 esitetysti olleet avoimesti saatavilla lainanhakijoille jaettujen yksilöllisten URL-osoitteiden kautta. Lainahakemusten tiedot ovat olleet kaikkien niiden saatavilla, joilla on pääsy yleiseen internetiin ja riittävä tekninen osaaminen. Seuraamusmaksun määräämistä tukee erityisesti se, että Palveluissa on avoimesti ollut saatavilla yhteensä [salassa pidettävää tekstiä poistettu] rekisteröidyn taloudellista asemaa kuvaavat tiedot 28.3.2024 saakka.

Käsillä oleva asia kuuluu yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan a alakohdan mukaiseen korkeampaan seuraamusmaksuluokkaan. Rikkomisen osalta määrättävän seuraamusmaksun suuruus voi olla enintään joko 20 000 000 euroa, tai neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

Hallinnollisen seuraamusmaksun määräämisessä tulee ottaa huomioon se, onko rekisterinpitäjä osa konsernia. Yleisen tietosuoja-asetuksen 4 artiklan 19 kohdan mukaan konsernilla tarkoitetaan määräysvaltaa käyttävää yritystä ja sen määräysvallassa olevia yrityksiä. Yleisen tietosuoja-asetuksen johdanto-osan 37 perustelukappaleessa todetaan seuraavasti:

Konsernin olisi katettava sekä määräysvaltaa käyttävä yritys että sen määräysvallassa olevat yritykset niin, että määräysvaltaa käyttävä yritys on se, jolla on määräysvalta toiseen yritykseen nähden esimerkiksi omistuksen, rahoitukseen osallistumisen tai yrityksen sääntöjen perusteella tai jolla on toimivalta panna täytäntöön henkilötietojen suojaa koskevat säännöt. Yritys, joka hallinnoi henkilötietojen käsittelyä siihen yhteydessä olevissa yrityksissä, olisi voitava katsoa konserniksi.

Yleisen tietosuoja-asetuksen 83 artiklan 4–6 kohdasta käy ilmi, että jos hallinnollisen seuraamusmaksun kohteena on Euroopan unionin toiminnasta tehdyn sopimuksen 101 ja 102 artiklassa tarkoitettu yritys tai osa sitä, hallinnollisen seuraamusmaksun enimmäismäärä lasketaan yrityksen edellisen tilikauden maailmanlaajuisen vuotuisen kokonaisliikevaihdon perusteella (. Yleisen tietosuoja-asetuksen johdanto-osan 150 perustelukappaleessa todetaan vastaavasti, että silloin kun hallinnollisia seuraamusmaksuja määrätään yritykselle, yritys olisi ymmärrettävä Euroopan unionin toiminnasta tehdyn sopimuksen 101 ja 102 artiklan mukaiseksi yritykseksi.

Käsillä olevassa asiassa rekisterinpitäjän asemassa on Sambla Group Oy, joka on osa Ihsus TopCo AB -konsernia. Asiassa määrättävän hallinnollisen seuraamusmaksun määrä lasketaan siten konsernin kokonaisliikevaihdon mukaan.

Rekisterinpitäjä on ilmoittanut, että sen kokonaisliikevaihto vuodelta 2023 on 1 601 604 000 kruunua eli noin 140 000 000 euroa (. Nyt käsillä olevassa asiassa rekisterinpitäjälle määrättävä hallinnollinen seuraamusmaksu saa siten olla enintään 20 000 000 euroa. Seuraamuskollegio määrää edellä mainitun apulaistietosuojavaltuutetun antaman huomautuksen lisäksi yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla rekisterinpitäjän maksamaan valtiolle määrältään 950 000 (yhdeksänsataaviisikymmentätuhatta) euron suuruisen hallinnollisen seuraamusmaksun. Ottaen huomioon rikkomisen vakavuuden ja muut tapauksen olosuhteet, kuten jäljempänä seuraamuskollegion perusteluista tarkemmin ilmenee, seuraamuskollegio katsoo 950 000 euron suuruisen hallinnollisen seuraamusmaksun olevan tehokas, oikeasuhtainen ja varoittava.

Perustelut hallinnollisen seuraamusmaksun määräämiselle

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksiin voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Valitusosoitus on liitteenä.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös on lainvoimainen.