8.1.2010

Korkeimman hallinto-oikeuden päätös ns. pikavippiasiassa

Korkein hallinto-oikeus 8.1.2010
Taltio: 15

ASIA
Tietosuoja-asiaa koskeva valitus

PÄÄTÖS JOSTA VALITETAAN
Helsingin hallinto-oikeuden päätös 3.4.2009 nro 09/0330/2

ASIAN AIKAISEMPI KÄSITTELY
Tietosuojalautakunta on päätöksellään 22.1.2008 tietosuojavaltuutetun 15.3.2007 tekemän hakemuksen johdosta määrännyt henkilötietolain 44 §:n 2 kohdan nojalla X Oy:n välittömästi muuttamaan pikaluottojen myöntämisessä noudattamansa luotonhakijoiden tunnistamiseen liittyvän toimintatapansa sellaiseksi, että voidaan varmistaa, että väärää henkilöä ei rekisteröidä luotonhakijaksi. X Oy on määrätty ilmoittamaan 31.3.2008 mennessä tietosuojavaltuutetulle, mihin toimenpiteisiin se on ryhtynyt tietosuojalautakunnan päätöksen noudattamiseksi.

HALLINTO-OIKEUDEN RATKAISU
Helsingin hallinto-oikeus on valituksenalaisella päätöksellään hylännyt yhtiön valituksen tietosuojalautakunnan päätöksestä sekä vaatimuksen oikeudenkäyntikulujen korvaamisesta.

Hallinto-oikeus on perustellut päätöstään seuraavasti:

Asian aikaisemmat vaiheet
Tietosuojavaltuutetun toimisto oli selvittänyt vuoden 2006 aikana tekstiviestin välityksellä lainoja (niin sanottuja pikavippejä) myöntävien yritysten suorittamaa henkilötietojen käsittelyä ja tässä yhteydessä lähettänyt useille tekstiviestilainoja tarjoaville yrityksille, myös X Oy:lle, selvityspyynnön koskien muun muassa lainanhakijan tunnistamista.

X Oy:ltä ja muilta tahoilta saamiensa vastausten pohjalta tietosuojavaltuutettu oli laatinut 13.11.2006 päivätyn muistion pikaluottotoimintaan liittyvistä puutteista tekemistään johtopäätöksistä henkilötietolain kannalta arvioituna. Tietosuojavaltuutetun mukaan ongelmana on muun ohessa se, että lainanhakijan tunnistaminen tekstiviestilainoja tarjottaessa on puutteellista ja tämän vuoksi asiakkaaksi saatetaan rekisteröidä henkilöitä, jotka eivät todellisuudessa ole hakeneet lainaa. Muistion mukaan on olemassa erilaisia mobiileja ja ei-mobiileja tapoja tunnistaa henkilö. Mobiileina tunnistamisjärjestelminä on käytössä esimerkiksi TUPAS ja HST. Muistion mukaan yleisesti voidaan todeta, etteivät pikaluottoja tarjoavat tahot käytä niitä mahdollisuuksia, joita jo nyt olemassa olevat tunnistamiskeinot tarjoavat.

X Oy oli muistion johdosta tietosuojavaltuutetulle antamassaan vastineessa 27.12.2007 todennut, että yrityksessä oli selvitetty mahdollisuutta ottaa käyttöön TUPAS- ja/tai HST-järjestelmiin pohjautuva asiakkaan tunnistaminen. Vastineessa todetaan, että koska ainakin yksi TUPAS-palvelua tarjoava taho oli kieltäytynyt antamasta palvelua X Oy:lle, olisi palvelun käyttäminen ollut niin sanottu tynkäratkaisu, joka olisi saattanut osan X Oy:n asiakkaista eriarvoiseen asemaan toisiin nähden. Tämän vuoksi yhtiö oli luopunut TUPAS-järjestelmän käytöstä ainakin siihen saakka, kun kaikki palvelua tarjoavat tahot olisivat valmiita luovuttamaan palvelun yrityksen käyttöön. X Oy oli HST-palvelun käytön osalta muun ohella todennut, että koska pikaluottopalvelut on tarkoitettu lähinnä pienen ja tilapäisen rahan tarpeeseen, ei asiakkailta voitu edellyttää sellaisten kalliiden teknisten laitteiden hankintaa, joita he eivät muutoin normaalisti tarvitsisi. Vastineen mukaan X Oy:n näkemys oli, että ainakaan toistaiseksi TUPAS- ja HST-palvelut eivät sovi sen toimintaan.

Tämän jälkeen tietosuojavaltuutettu oli 15.2.2007 tehnyt tietosuojalautakunnalle hakemuksen, jossa valtuutettu oli pyytänyt lautakuntaa velvoittamaan X Oy:n muuttamaan luotonhakijoiden tunnistamiseen liittyvää toimintatapaansa.

X Oy on tietosuojalautakunnan suorittaman kuulemisen yhteydessä 30.5.2007 antamansa selvityksen liitteessä selostanut käyttämänsä pikalainan (100 euroa) hakemis- ja myöntämismenettelyn vaiheet. Yhtiö on sanotussa liitteessä myös ilmoittanut, että hakijan tunnistaminen perustuu olettamaan siitä, että puhelimen käyttäjä lainanhaun hetkellä on kyseisen liittymän tilaaja, kun hänellä on hallussaan liittymän tilaajan puhelinliittymä ja tiedossaan liittymän tilaajan viralliset henkilö- ja osoitetiedot. Lisäksi yhtiö on todennut, että käytetyn tunnistamismenetelmän seurauksena väärien henkilöiden henkilötietojen käsittely luottohakemuksien käsittelyn yhteydessä on mahdollista.

Tietosuojavaltuutetun tietosuojalautakunnan suorittaman kuulemisen yhteydessä antamasta 13.7.2007 päivätystä selityksestä ilmenee, että asianomaiset toimialan yritykset X Oy:tä lukuun ottamatta olivat ilmoittaneet tietosuojavaltuutetulle ryhtyvänsä toimenpiteisiin tunnistamiskäytäntöjensä muuttamiseksi.

Sovellettavista oikeusohjeista
Henkilötietolain 1 §:n mukaan henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Lain 2 §:n mukaan henkilötietoja käsiteltäessä on noudatettava, mitä henkilötietolaissa säädetään, jollei muualla laissa toisin säädetä.

Lain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.

Lain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Lain 9 §:n 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Hallintolain 31 §:n 1 momentin mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset.

Oikeudellinen arviointi
Kyseessä olevan asian selvittämisen osalta hallinto-oikeus toteaa, että tietosuojavaltuutettu on aloittanut pikaluottoyritysten henkilötietojen käsittelyä koskevan selvittelyn vuonna 2006 ja tässä yhteydessä on myös X Oy:tä kuultu. Yhtiö on antanut vastauksensa myös tietosuojavaltuutetun asiasta 13.11.2006 laatimaan muistioon. Tietosuojavaltuutettu on 15.3.2007 esittänyt tietosuojalautakunnalle yksilöidyn hakemuksen X Oy:n henkilötietojen käsittelyssä havaitsemistaan puutteista ja tietosuojalautakunta on kuullut yhtiötä hakemuksen johdosta. Hallinto-oikeus katsoo, että valituksenalaista asiaa on selvitetty siten kuin hallintolain 31 §:n 1 momentissa edellytetään.

X Oy:n käyttämä lainanhakijan tunnistaminen perustuu sen varmentamiseen, että lainanhakijan verkkohakemuksessaan ilmoittamat henkilötiedot täsmäävät sen puhelinliittymän haltijan vastaaviin tietoihin, jonka puhelinnumerosta lainahakemus on tehty. Jos nämä tiedot ovat samat, hakijan oletetaan olevan se, joka lainanhaun hetkellä on puhelimen liittymän haltija. Sanotunlainen hakijan tunnistaminen mahdollistaa sen, että X Oy:ssä käsitellään myös sellaisten henkilöiden henkilötietoja, jotka eivät ole lainaa hakeneet. Hallinto-oikeus katsoo, että tällainen menettely on vastoin henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta ja 9 §:n 2 momentissa säädettyä virheettömyysvelvoitetta. Sanotunlaisen menettelyn ei tällöin myöskään voida katsoa täyttävän henkilötietojen käsittelyn suunnittelua koskevia henkilötietolain 6 §:ssä säädettyjä edellytyksiä. Näin rekisteröidyn yksityisyyden suoja ei ole henkilötietolain edellyttämin tavoin turvattu. Koska X Oy:n lainanhakijan tunnistamisessa käyttämä toimintatapa on vastoin edellä sanottuja säännöksiä, ei sillä kysymyksellä, käyttääkö yhtiö luottohakemuksia koskevassa päätöksenteossaan tietosuojalain 31 §:ssä tarkoitettua automatisoitua päätöksentekoa vai ei, ole ratkaisevaa merkitystä asian lopputuloksen kannalta. Merkitystä ei ole myöskään sillä, onko menettelytapa aiheuttanut käytännössä ongelmia.

Rekisterinpitäjän on noudatettava henkilötietojen käsittelyssä henkilötietolain säännöksiä. Rekisterinpitäjän on siten huolehdittava, että käsittelyssä turvataan yksityisyyden suoja, noudatetaan huolellisuutta ja hyvää tietojenkäsittelytapaa ja vältetään virheellisten tietojen käsittely. Tietosuojavaltuutetun on ohjein ja neuvoin pyrittävä huolehtimaan, ettei lainvastaista menettelyä jatketa tai uusita. Näin ollen henkilötietolain tavoitteiden saavuttaminen perustuu tietosuojavaltuutetun yleisohjaukseen ja myös rekisterinpitäjän itseohjaukseen. Tietosuojalautakunta ei ole valituksenalaisella päätöksellään ottanut eikä voinutkaan ottaa kantaa tietosuojavaltuutetun ohjauksen riittävyyteen. Tietosuojalautakunta ei ole myöskään voinut puuttua X Oy:n liiketoimintaan niin yksityiskohtaisesti, että se olisi määrännyt yhtiön käyttämään tiettyjä konkreettisia tunnistamismenetelmiä.

Päätöksessä on kysymys X Oy:n käyttämän luotonhakijoiden tunnistamistavan henkilötietolain mukaisuudesta, eikä sillä seikalla, että myös muiden toimijoiden toiminnassa ja muilla toimialoilla saattaa olla riski väärien henkilöiden rekisteröimisestä luotonhakijoiksi, ole merkitystä X Oy:n käyttämän tunnistamistavan lainmukaisuuden arvioinnissa. Hyväksyttävät luotonhakijan tunnistamismenettelyt voivat vaihdella palvelualojen mukaan. Yhtiön mainitsema Rahoitustarkastuksen standardi on laadittu muita tarkoituksia ja muita kuin pikaluottoyrityksiä varten, eikä sillä ole tässä asiassa oikeudellista merkitystä. Tietosuojalautakunnan päätöstä ei ole pidettävä X Oy:tä syrjivänä valituksessa esitetyin tavoin.

Edellä mainituilla perusteilla X Oy:n valitus on hylättävä.

Oikeudenkäyntikulut
Hallinto-oikeuden ratkaisu huomioon ottaen ei ole kohtuutonta, että X Oy pitää oikeudenkäyntikulunsa vahinkonaan.

Sovelletut oikeusohjeet
Perusteluissa mainitut
Hallintolainkäyttölaki 74 § 1 momentti ja 2 momentti

KÄSITTELY KORKEIMMASSA HALLINTO-OIKEUDESSA
Yhtiö on valituksessaan vaatinut, että Helsingin hallinto-oikeuden päätös kumotaan ja tietosuojavaltuutettu velvoitetaan korvaamaan yhtiön oikeudenkäyntikulut.

Yhtiö on uudistanut asiassa aikaisemmin lausumansa sekä perustellut vaatimuksiaan muun ohella seuraavasti:

Tietosuojavaltuutetun hakemuksessa jää epäselväksi, mikä on se yhtiön ”tunnistamiseen liittyvä” toimintatapa, joka pitää muuttaa, ja mikä on se laki, säännös tai viranomaisohje, joka määrittelee ne tavat, joita käyttämällä päästään tietosuojavaltuutetun edellyttämään tavoitteeseen. Viranomaiset ovat koko ajan tietoisesti laiminlyöneet hallintolakiin perustuvan neuvontavelvollisuutensa. Yhtiö ja sen edustama toimiala asetetaan eriarvoiseen asemaan muihin vastaaviin toimialoihin nähden. Tämä on vastoin Euroopan unionin lainsäädännössä olevia elinkeinon harjoittamisen perusvapauksia.

Korkeimman hallinto-oikeuden on huolehdittava siitä, että selvitystä hankitaan siinä laajuudessa kuin käsittelyn tasapuolisuus, oikeudenmukaisuus ja asian laatu sitä vaativat ei ainoastaan yhtiön edustaman toimialan, vaan myös muiden asiakkaan tunnistamista edellyttävien toimialojen osalta. Samassa yhteydessä on selvitettävä, mikä merkitys asiassa on sillä, että valittaja ei käytä toiminnassaan automatisoitua päätöksentekoprosessia. Mikään tunnistamiseen liittyvä toimintatapa ei ole aukoton. Sen vuoksi tietosuojavaltuutetun esittämä vaatimus yhtiön toimintatavan muuttamisesta on mahdoton ja siten myös kohtuuton.

Tietosuojalautakunta ja tietosuojavaltuutettu ovat antaneet asiassa lausunnot, joissa on muun ohella esitetty valituksen hylkäämistä.

Yhtiölle on varattu tilaisuus vastaselityksen antamiseen.

KORKEIMMAN HALLINTO-OIKEUDEN RATKAISU
1. Korkein hallinto-oikeus on tutkinut asian. Valitus hylätään. Hallinto-oikeuden päätöstä ei muuteta.

2. Yhtiön oikeudenkäyntikulujen korvaamista koskeva vaatimus hylätään.

Perustelut
1. Kun otetaan huomioon edellä ilmenevät hallinto-oikeuden päätöksen perustelut ja siinä mainitut oikeusohjeet sekä korkeimmassa hallinto-oikeudessa esitetyt vaatimukset ja asiassa saatu selvitys, hallinto-oikeuden päätöksen muuttamiseen ei ole perusteita.

2. Asian näin päättyessä ja kun otetaan huomioon hallintolainkäyttölain 74 §, yhtiölle ei ole määrättävä maksettavaksi korvausta oikeudenkäyntikuluista korkeimmassa hallinto-oikeudessa.