Finlex - Etusivulle
Tietosuojavaltuutettu

17.12.2024

Tietosuojavaltuutettu

Tietosuojavaltuutetun ratkaisuja EU:n yleisen tietosuoja-asetuksen, rikosasioiden tietosuojalain ja henkilötietolain tulkinnasta

Tietoturvaloukkauksesta ilmoittaminen lainanvertailupalvelun asiakkaille

Asiasanat
Tietoturvaloukkaus, Määräys
Tapausvuosi
2024
Antopäivä
Diaarinumero
TSV/12501/2024
Säädösperusta
EU:n yleisen tietosuoja-asetuksen mukainen päätös

Apulaistietosuojavaltuutetun päätös

Asia

Yleisen tietosuoja-asetuksen (EU) 2016/679 34 artiklan mukainen henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidyille

Rekisterinpitäjä

Sambla Group Oy

Asian tausta ja tietoturvaloukkauksen kuvaus

Asiassa on kyse rekisterinpitäjän menettelystä, jonka seurauksena lainaparkki.fi- ja rahoitu.fi-lainakilpailutussivustoilla (jäljempänä Palvelut ) lainanhakijoiden täyttämien lainahakemusten tiedot ovat olleet kolmansien saatavilla lainanhakijoille tarkoitettujen yksilöllisten verkko-osoitteiden eli URL-osoitteiden kautta.

Tietosuojavaltuutetun toimistolle on 23.12.2022 tehty rekisterinpitäjästä kantelu. Asian vireillesaattajan mukaan lainaparkki.fi-palvelussa täytetty lainahakemus on ollut saatavilla lainanhakijalle henkilökohtaisesti jaetun linkin kautta. Hakemuksen URL-osoite on vakiomuotoinen, ja kenellä tahansa on ollut pääsy hakemukseen, jos on tiennyt hakemuksen URL-osoitteen.

Tietosuojavaltuutetun toimisto on sille tehdyn ilmoituksen myötä ryhtynyt selvittämään asiaa 25.9.2023 pyytämällä rekisterinpitäjältä selvitystä. Tietosuojavaltuutetun toimistossa 20.3.2024 tehdyssä teknisessä selvityksessä on havaittu, että rekisterinpitäjän palvelussa on vakavia tietoturvapuutteita, jotka merkittävällä tavalla vaarantavat rekisteröityjen henkilötietojen suojan. Teknisen selvityksen perusteella Palveluiden lyhyitä URL-osoitteita on systemaattisesti käyty läpi kolmansien toimesta ja niissä olevia henkilötietoja on joutunut kolmansien haltuun.

Apulaistietosuojavaltuutettu on 25.3.2024 antanut väliaikaisen päätöksen TSV/132/2022, jossa rekisterinpitäjää on kielletty yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohdan nojalla käsittelemästä lainaparkki.fi-palvelussa olevia lainanhakijoiden täyttämien lainahakemusten tietoja siten, että lainanhakijoiden täyttämien lainahakemusten tiedot ovat kolmansien osapuolten saatavilla lainanhakijoille tarkoitettujen yksilöllisten URL-osoitteiden kautta. Kielto on koskenut myös rekisterinpitäjän vastaavia muita palveluita eri verkkotunnuksilla, joissa lainahakemusten tiedot ovat olleet saatavilla vastaavalla tavalla.

Apulaistietosuojavaltuutettu on määrännyt rekisterinpitäjän toimittamaan viimeistään 26.4.2024 tiedon siitä, mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt päätöksen johdosta. Rekisterinpitäjä on 5.4.2024 ja 26.4.2024 toimittanut tarkemman selvityksen tekemistään toimenpiteistä. Rekisterinpitäjän ilmoituksen mukaan se on poistanut lainanhakijoiden henkilötietoja sisältävät URL-osoitteet käytöstä.

Apulaistietosuojavaltuutettu on arvioinut rekisterinpitäjän menettelyn yleisen tietosuoja-asetuksen mukaisuutta päätöksessä TSV/132/2022 17.12.2024. Apulaistietosuojavaltuutetun päätöksestä ilmenevin tavoin rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdassa, 25 artiklan 1 ja 2 kohdassa ja 32 artiklan 1 ja 2 kohdassa säädettyä. Apulaistietosuojavaltuutettu on antanut päätöksessään rekisterinpitäjälle näiden säännösten rikkomisesta huomautuksen. Tietosuojalain (1050/2018) 24 §:ssä tarkoitettu seuraamuskollegio on päätöksellään TSV/132/2022 17.12.2024 määrännyt rekisterinpitäjälle näiden rikkomisten johdosta 950 000 euron suuruisen hallinnollisen seuraamusmaksun.

Rekisterinpitäjän kuuleminen

Tietosuojavaltuutetun toimisto on pyytänyt asiasta selvitystä rekisterinpitäjältä ja kuullut rekisterinpitäjää apulaistietosuojavaltuutetun päätöksessä TSV/132/2022 17.12.2024 kuvatusti.

Asiassa ei ole ollut tarpeen kuulla tai pyytää rekisterinpitäjältä erikseen selvitystä tietoturvaloukkauksesta ja rekisteröidyille ilmoittamisesta, koska riittävä tieto on saatu asian käsittelyn TSV/132/2022 yhteydessä.

Sovellettava lainsäädäntö

Yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan mukaan ’henkilötiedoilla’ tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Yleisen tietosuoja-asetuksen 4 artiklan 12 kohdan mukaan ’henkilötietojen tietoturvaloukkauksella’ tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Tietosuojatyöryhmän ohjeiden mukaan henkilötietojen häviäminen on tulkittava siten, että tiedot saattavat yhä olla olemassa, mutta ne eivät ole rekisterinpitäjän valvonnassa tai sillä ei enää ole pääsyä niihin.

Yleisen tietosuoja-asetuksen 34 artiklan 1 kohdan mukaan, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

Yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 33 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet.

Yleisen tietosuoja-asetuksen 34 artiklan 3 kohdan alakohtien mukaan ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:

a. Rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietotur-valoukkauksen kohteena oleviin henkilötietoihin on sovel-lettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sel-laisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta.
b. Rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oi-keuksiin ja vapauksiin kohdistuva korkea riski ei enää to-dennäköisesti toteudu.
c. Se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.

Yleisen tietosuoja-asetuksen 34 artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin yleisen tietosuoja-asetuksen 34 artiklan 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan e alakohdan perusteella valvontaviranomainen voi määrätä rekisterinpitäjän ilmoittamaan tietoturvaloukkauksesta rekisteröidyille.

Oikeudellinen kysymys

Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen ja tietosuojalain pohjalta.

Apulaistietosuojavaltuutetun on ratkaistava, aiheuttaako ylempänä kuvattu henkilötietojen tietoturvaloukkaus korkean riskin sen kohteena olleiden luonnollisten henkilöiden oikeuksille ja vapauksille. Lisäksi on ratkaistava, onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan e alakohdan mukainen määräys ilmoittaa tietoturvaloukkauksesta rekisteröidyille.

Apulaistietosuojavaltuutetun päätös ja perustelut

Henkilötietojen tietoturvaloukkaus aiheuttaa korkean riskin sen kohteena olleiden luonnollisten henkilöiden oikeuksille ja vapauksille.

Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan e alakohdan nojalla rekisterinpitäjän ilmoittamaan ilman aiheetonta viivytystä tietoturvaloukkauksesta rekisteröidyille. Ilmoituksen tekemisessä on noudatettava, mitä yleisen tietosuoja-asetuksen 34 artiklan 2 kohdassa on selostettu.

Perustelut

Rekisterinpitäjän velvollisuuden ilmoittaa tietoturvaloukkauksesta rekisteröidylle ratkaisee se, aiheuttaako tietoturvaloukkaus todennäköisesti korkean riskin henkilöiden oikeuksille ja vapauksille. Tällainen riski on olemassa, jos tietoturvaloukkaus voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja henkilöille, joiden tietosuojaa on loukattu. Yleisen tietosuoja-asetuksen johdanto-osan 76 perustelukappaleen mukaan rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus on määriteltävä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan.

Euroopan tietosuojaneuvostoa edeltänyt tietosuojatyöryhmä on henkilötietojen tietoturvaloukkauksesta ilmoittamista koskevassa ohjeessaan ottanut kantaa siihen, mitä seikkoja loukkauksen kohteena olevalle rekisteröidylle aiheutuvan riskin arvioinnissa tulee ottaa huomioon (Tietosuojatyöryhmä WP29: Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, WP250rev.01, annettu 3. lokakuuta 2017, viimeksi tarkistettu ja hyväksytty 6.2.2018.). Riskiä arvioitaessa keskeinen tekijä on ensinnäkin tietoturvaloukkauksen vaarantamien henkilötietojen luonne, arkaluonteisuus ja määrä. Lisäksi on otettava huomioon tietoturvaloukkauksen erityiset olosuhteet, mahdollisten vaikutusten vakavuus ja niiden toteutumisen todennäköisyys.

Nyt käsillä olevassa tapauksessa rekisteröityjen lainahakemustiedot ovat olleet avoimesti saatavilla internetissä yksilöllisten URL-osoitteiden kautta. Lainahakemuksiin ovat sisältyneet seuraavat tiedot: lainanhakijan henkilötunnus, sähköpostiosoite, tilinumero, kotiosoite, kansalaisuus, puhelinnumero, kuukausitulot, tulonlähteet, mahdollinen rinnakkaishakija, siviilisääty, mahdollisen puolison kuukausitulot, mahdolliset lapset, ammatti, koulutus, mahdollinen asepalveluksen suorittaminen, asumismuoto, asumismenot ja kesämökin omistaminen.

Tietosuojavaltuutetun toimistossa laaditun teknisen selvityksen perusteella Palveluiden lyhyitä URL-osoitteita on systemaattisesti käyty läpi kolmansien toimesta ja niissä olevia henkilötietoja on joutunut kolmansien haltuun. Tekninen selvitys osoittaa, että rekisterinpitäjän tietojen systemaattisia kalasteluyrityksiä estävä tietoturvamekanismi ei ole toiminut rekisterinpitäjän kuvaamalla tavalla siten, että se olisi estänyt IP-osoitteet, joista tehdään saman päivän aikana yli 10 kutsua eri lainahakemuksiin. Rekisterinpitäjän toimittamista lokeista käy ilmi kymmeniä tuhansia tilanteita, joissa samasta IP-osoitteesta on tehty yli kymmenen kutsua eri lyhyt URL-osoitteisiin saman päivän aikana. Tämä tarkoittaa sitä, että kymmenissä tuhansissa tilanteissa samasta IP-osoitteesta on vierailtu yli kymmenessä lainahakemuksen sisältäneessä URL-osoitteessa saman päivän aikana.

Henkilötietojen tietoturvaloukkaus on kohdistunut rekisteröityjen taloudellista asemaa kuvaaviin tietoihin. Vaikka osa lainahakemusten tiedoista on julkisista lähteistä löydettävissä, lainahakemusten sisältämät tiedot eivät ole yhteen koottuna mistään julkisesta lähteestä saatavilla. Ihmiset eivät myöskään tyypillisesti jaa tällaisia tietoja laajasti. Perustuslakivaliokunta on katsonut, että henkilön taloudellista asemaa kuvaavat tiedot voivat rinnastua arkaluonteisiin tietoihin, joiden käsittelyyn saattaa liittyä erityisiä riskejä (Ks. esimerkiksi PeVL 8/2022 vp ja PeVL 28/2022 vp). Apulaistietosuojavaltuutettu katsoo, että tietojen puutteellinen suojaus ja riittämättömästi rajoitettu pääsy tietoihin internetissä ovat vaarantaneet rekisteröityjen yksityisyyden suojan ja aiheuttaneet korkean riskin rekisteröityjen oikeuksille ja vapauksille. Rekisteröityjen henkilötietojen saatavilla olo Palveluissa yksilöllisten URL-osoitteiden kautta voi aiheuttaa riskin identiteettivarkauksille ja siten esimerkiksi petosten kautta aiheutuville taloudellisille menetyksille.

Apulaistietosuojavaltuutettu toteaa, että henkilötietojen tietoturvaloukkaukset ovat kohdistuneet suureen määrään rekisteröityjä ja teknisen selvityksen perusteella tietoja on merkittävissä määrin päätynyt kolmansien saataville. Lisäksi tietoturvaloukkauksen kohteena olleet taloudellista asemaa kuvaavat tiedot rinnastuvat edellä kuvatusti arkaluonteisiin tietoihin. Ottaen huomioon päätöksen kohteena olevan loukkauksen sekä sen kohteena olevien henkilötietojen luonne, laatu ja laajuus, apulaistietosuojavaltuutettu katsoo, että näiden tietojen päätymisen sivulliselle voidaan objektiivisesti arvioiden katsoa aiheuttavan korkean riskin rekisteröityjen oikeuksille ja vapauksille. Tämän vuoksi apulaistietosuojavaltuutettu määrää edellä selostettujen toimivaltuuksien perusteella rekisterinpitäjän ilman aiheetonta viivytystä ilmoittamaan tietoturvaloukkauksesta rekisteröidyille. Ilmoituksen tekemisessä on noudatettava mitä tietosuoja-asetuksen 34 artiklassa on selostettu.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen.

Tiedoksianto

Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.

Päätös on lainvoimainen.

Sivun alkuun