9.11.2021

Lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen luovuttaminen luottotietorekisteriin

Asia

Lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen luovuttaminen luottotietoyhtiöille

Rekisterinpitäjä

Oikeusrekisterikeskus

Asian taustaa

Tietosuojavaltuutetun toimistossa on ollut käsiteltävänä maksuhäiriömerkintöjen korjaamista koskevat asiat 834/532/18 ja 4356/532/19, joissa hakija on vaatinut riita-asioissa annettuihin tuomioihin perustuvien maksuhäiriömerkintöjen poistamista luotto-tietorekistereistä.

Asioissa hakija perusteli vaatimustaan sillä, että velallisella tulisi olla oikeus saada tuomioistuimen arvio maksuvelvollisuudesta ilman riskiä maksuhäiriömerkinnästä. Hakijan mukaan maksuhäiriömerkinnän pelko vähentää vastaajan mahdollisuuksia ja halua puolustaa asiaansa oikeudessa. Hakijan mukaan luottotietolaki (527/2007) määrittää maksuhäiriömerkinnän peruskriteeriksi sen, että merkinnän on kuvattava velallisen maksukykyä tai maksuhalukkuutta. Lisäksi hakija viittaa eduskunnan oikeusasiamiehen ratkaisuun 945/2016, jossa oli kyse riita-asioissa annettujen tuomioiden aiheuttamista maksuhäiriömerkinnöistä.

Tietosuojavaltuutetun toimisto pyysi luottotietoyhtiöiltä selvitystä hakijan asioissa sekä yleisesti tuomioistuimen lainvoimaisiin tuomioihin perustuviin maksuhäiriömerkintöihin (luottotietolain 13 §:n 1 momentin 3 kohta) liittyvistä käytännöistä.

Asioissa antamissaan selvityksissä luottotietoyhtiöt kertovat, että saatuaan maksuhäiriötiedot rekisterinpitäjältä ne arvioivat, kuvaavatko tuomiot henkilön maksukykyä tai -halukkuutta. Arviointimenettelyn johdosta osaa rekisterinpitäjän luovuttamista maksu-häiriötiedoista ei merkitä maksuhäiriömerkinnäksi luottotietorekisteriin. Saadun selvityksen mukaan luottotietoyhtiöillä on käytössä niiden omia arviointikriteereitä, joiden tarkoituksena on varmistaa rekisteröityjen yhdenvertainen kohtelu. Arviointi edellyttää kuitenkin tapauskohtaista harkintaa.

Rekisterinpitäjältä saatu selvitys

Luottotietoyhtiöiltä asiassa saadun selvitysten johdosta apulaistietosuojavaltuutettu pyysi rekisterinpitäjältä selvitystä käytännöistä, joiden mukaisesti se luovuttaa maksuhäiriötietoja luottotietoyhtiöille. Apulaistietosuojavaltuutettu pyysi rekisterinpitäjää esittämään näkemyksensä luottotietoyhtiöiden asiassa antamasta selvityksestä sekä antamaan selvitystä luottotietolain 13 §:n 1 momentin 3 kohdan mukaisten lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen luovuttamisesta luottotietoyhtiöille.

Rekisterinpitäjältä kysyttiin, luovuttaako se luottotietoyhtiöille päätöstietoina tietoja käsittelyn aikana riitautetuista asioista. Lisäksi pyydettiin selvitys siitä, miten lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen luovuttamista koskeva menettely eroaa yksipuolisiin tuomioihin perustuvien maksuhäiriötietojen luovuttamismenettelystä. Selvitystä pyydettiin myös siitä, millä tavoin rekisterinpitäjä arvioi, onko lainvoimaisessa tuomiossa kyse maksuhäiriöstä, joka kuvaa henkilön maksukykyä tai maksuhalukkuutta ja josta tieto voidaan luovuttaa luottotietoyhtiöille.

Rekisterinpitäjän antaman selvityksen mukaan se toimii oikeushallinnon valtakunnallisen tietojärjestelmän rekisterinpitäjänä sitä koskevan lain (372/2010, jäljempänä tietojärjestelmälaki) 7.1 § nojalla. Viitaten lakia koskevaan hallituksen esitykseen HE 102/2009 vp rekisterinpitäjä toteaa selvityksessä kyseisen tietojärjestelmän olevan ensisijaisesti tarkoitettu lainkäyttöasioiden täytäntöönpanoon sekä oikeushallinnon suunnittelu-, tutkimus- ja tilastointitehtäviä varten.

Selvityksessä rekisterinpitäjä toteaa, että tietojärjestelmälain 6 §:n nojalla tuomioistuimen on salassapitosäännösten estämättä talletettava tekemänsä ratkaisu tai tiedot sen lopputuloksesta oikeushallinnon valtakunnallisen tietojärjestelmän ratkaisu- ja päätösilmoitusjärjestelmään. Tuomioistuimen on kyseisen säännöksen nojalla tehtävä järjestelmään ratkaisemastaan asiasta ne merkinnät, jotka ovat välttämättömiä sille laissa säädetyn ilmoitusvelvollisuuden täyttämiseksi taikka toimitettava edellä tarkoitetut tiedot rekisterinpitäjälle muulla tavalla tietojärjestelmään merkitsemistä varten tai tietojen välittämiseksi toiselle viranomaiselle.

Selvityksen mukaan oikeushallinnon valtakunnalliseen tietojärjestelmään kuuluu Tuomas -järjestelmä, jonka avulla tuomioistuimet noudattavat mainitun tietojärjestelmälain 6 § mukaista velvollisuuttaan toimittaa tietoja valtakunnalliseen tietojärjestelmään ja edelleen välitettäväksi. Tarkemmin tietojen merkitsemisestä säädetään asetuksessa tietojen merkitsemisestä oikeushallinnon valtakunnallisen tietojärjestelmän ratkaisu- ja päätösilmoitusjärjestelmään (1024/2010).

Antamassaan selvityksessä rekisterinpitäjä toteaa, että tietojärjestelmälain 14.1 §:n mukaan se tekee päätöksen tietojen luovuttamisesta. Tietojärjestelmälain 15.1 §:n nojalla rekisterinpitäjä saa salassapitosäännösten estämättä luovuttaa ratkaisu- ja päätösilmoitusjärjestelmästä luottotietotoiminnan harjoittajalle, luotto- ja vakuutuslaitoksille ja muille, jotka tarvitsevat tietoja luoton myöntämistä ja valvontaa varten, luottotietoina käytettäviksi sellaiset tiedot maksun laiminlyönnistä, jotka lain mukaan saadaan tallettaa luottotietorekisteriin.

Rekisterinpitäjä luovuttaa Tuomas-järjestelmästä luottotietoyhtiöille luottotietorekisteriin henkilöluottotietoina talletettavaksi luottotietolain 13 § 1momentin § 3 kohdan mukaisia lainvoimaisiin tuomioihin perustuvia tietoja maksun laiminlyönnistä. Luovutus tapahtuu teknisen rajapinnan kautta tietojärjestelmälain 17.1 § 3 kohdan nojalla kerran vuorokaudessa. Rekisterinpitäjän mukaan näitä tietoja luovutetaan kahdelle luottotietoyhtiölle, Suomen Asiakastieto Oy:lle ja Bisnode Finland Oy:lle. Luovutettavat tiedot sisältävät tietoja riidattomissa velkomusasioissa tuomioistuinratkaisuista, jotka ratkaistaan koodeilla 01 (yksipuolinen tuomio) ja 03 (hakemus hyväksytty kokonaan/osittain).

Selvityksessä rekisterinpitäjä toteaa, että tietoja perustellusti riitautettuina käsitellyistä asioista ei luovuteta. Kun asia on riitautettu, käytetään ratkaisukoodina ”36 Riitainen summ. hyväksytty”, eikä tietoa välitetä eteenpäin luottotietoyhtiöille. Rekisterinpitäjän mukaan koodia käytetään, kun riitautunut summaarinen asia ratkaistaan tuomiolla hyväksymällä se kokonaan tai osittain riippumatta siitä ratkaistaanko riitautunut asia kirjallisessa valmistelussa, valmisteluistunnossa tai pääkäsittelyssä. Kyseistä koodia käytetään myös silloin, kun riitauttanut vastaaja häviää asian.

Ratkaisukoodi ”36” on lisätty Tuomas-järjestelmään tietojärjestelmäkehityksen jälkeen 28.4.2017. Ennen kyseistä päivämäärää on ollut mahdollista, että myös käsittelyn aikana riitautetuista asioista on toimitettu tietoja luottotietoyhtiöille. Lisäksi rekisterinpitäjä viittaa selvitykseen, jonka Oikeusministeriö on antanut luottotietoyhtiöille luovutettavista maksuhäiriömerkinnöistä eduskunnan oikeusasiamiehelle 26.10.2016.

Rekisterinpitäjän mukaan yksipuolisten tuomioiden ratkaisutiedot luovutetaan luottotietoyhtiöille heti ratkaisupäivänä, kun lainvoimaisten ratkaisujen osalta tiedot luovutetaan vasta valitusaikojen kuluttua, ratkaisun saatua lainvoiman. Selvityksen mukaan teknisesti luovutus toteutetaan samalla tavalla.

Rekisterinpitäjä luovuttaa luottotietoyhtiöille tiedot edellä avattujen tuomioistuinten kirjaamien ratkaisukoodien perusteella. Ratkaisukoodien perusteella luovutettavat tiedot sisältävät luottotietolain 13.1 §:n 3 kohdan mukaisia viranomaisen toteamia maksuhäiriötietoja. Selvityksessä rekisterinpitäjä toteaa, että se ei arvioi oikeudellisesti tuomioistuinten ratkaisuja, vaan tietojen luovutus on tekninen toimenpide, joka perustuu tuomioistuimen ilmoittamiin ratkaisutietoihin maksun laiminlyönnistä.

Rekisterinpitäjä kertoo antaneensa tuomioistuimille tekniset ohjeet tietojärjestelmän käyttämiseksi ja ohjetta ylläpidetään Notes Tuomas -ohjeet tietokannassa, johon kaikilla Tuomas järjestelmän käyttäjillä tulee olla pääsy. Selvityksessä rekisterinpitäjä toteaa, että se ei puutu hallintoviranomaisena lainkäyttötoimintaan, eikä ota kantaa oikeudellisesti tuomioistuimen ratkaisuun. Tuomioistuinten noudattaessa ratkaisutoiminnassaan annettuja teknisiä ohjeita, ei luottotietoyhtiöille välity vääriä maksuhäiriömerkintöjä. Lisäksi rekisteripitäjä kertoo tuottavansa edellä mainitun ohjeistuksen lisäksi toisen tason teknistä tukipalvelua Tuomas-sovelluksen käyttöön liittyen.

Rekisterinpitäjältä saatu lisäselvitys ja luottotietoyhtiöiltä saatu selvitys

Saadun selvityksen johdosta asiassa pyydettiin rekisterinpitäjältä ja luottotietoyhtiöiltä tarkempaa selvitystä maksuhäiriötietojen luovuttamisesta ja merkitsemisestä maksuhäiriömerkinnäksi luottotietorekisteriin. Rekisterinpitäjää pyydettiin toimittamaan tietosuojavaltuutetun toimistoon 20 ensimmäistä tuomioistuinratkaisua, jotka se on luovuttanut luottotietoyhtiöille 5.11.2019 lähtien lainvoimaisiin tuomioihin perustuvina maksuhäiriötietoina. Rekisterinpitäjä toimitti pyydetyt tiedot tietosuojavaltuutetun toimistoon.

Lisäksi luottotietoyhtiöitä pyydettiin toimittamaan 20 ensimmäistä tuomioistuinratkaisua, jotka rekisterinpitäjä on luovuttanut niille 5.11.2019 lähtien lainvoimaisiin tuomioihin perustuvina maksuhäiriötietoina. Lisäksi luottotietoyhtiöitä pyydettiin toimittamaan 5 ensimmäistä tuomioistuinratkaisua, jotka ne 5.11.2019 lähtien ovat seuloneet pois henkiluottotietorekisteriin maksuhäiriömerkinnän aiheuttavien maksuhäiriötietojen joukosta.

Asiakastieto toimitti tietosuojavaltuutetun toimistoon pyydetyt 20 lainvoimaista tuomioistuinratkaisua, jotka rekisterinpitäjä on annetun selvityksen mukaan luovuttanut sille 6.11.2019. Kaikissa tietosuojavaltuutetun toimistoon toimitetuissa ratkaisuissa vastaaja on myöntänyt kanteen oikeaksi. Pois seulottujen tuomioistuinratkaisujen osalta Asiakastiedon antamassa selvityksessä todettiin, että ratkaisut toimitetaan tietosuojavaltuutetun toimistoon heti kun tällaisia tapauksia ilmenee, sillä niitä ilmenee harvoin. Selvityksen mukaan arviolta kymmenen tuomiota rekisterinpitäjän luovuttamista maksuhäiriötiedoista jätetään vuosittain rekisteröimättä.

Bisnode toimitti tietosuojavaltuutetun toimistoon pyydetyt 20 lainvoimaista tuomioistuinratkaisua, jotka rekisterinpitäjä on annetun selvityksen mukaan luovuttanut sille 5.11.2019. Kyseisissä ratkaisuissa vastaaja on myöntänyt kanteen oikeaksi. Lisäksi Bisnode toimitti tiedot kymmenestä ratkaisusta, jotka se on seulonut pois rekisterinpitäjän luovuttamien tietojen joukosta aikavälillä 5.11.2019-13.11.2019.

Rekisterinpitäjän vastine

Apulaistietosuojavaltuutettu pyysi rekisterinpitäjää esittämään näkemyksensä luottotietoyhtiöiden asiassa antamasta selvityksestä sekä lausumaan erityisesti kuudesta ratkaisusta, jotka asiassa saadun selvityksen perusteella on luovutettu luottotietoyhtiöille luottotietorekisteriin merkittäväksi.

Vastineessaan rekisterinpitäjä totesi kahden luottotietoyhtiöille luovutetun ratkaisun osalta, että asiat on ratkaistu käräjäoikeudessa väärää ratkaisukoodia käyttäen. Toisessa asiassa kantaja on peruuttanut kanteensa ja asiassa on tehty päätös asian käsittelyn silleensä jäämisestä. Toisessa asiassa käräjäoikeus on antanut päätöksen asian lepäämään jättämisestä.

Neljän ratkaisun osalta rekisterinpitäjä toteaa, että asiat on ratkaistu käyttäen ratkaisukoodia 03 Hyväksytty kokonaan/osittain, jota tulee käyttää, kun vastaaja on myöntänyt kanteen ja annetaan tuomio myönnetyssä asiassa. Lisäksi rekisterinpitäjä toistaa jo selvityksenä antamansa seikat tuomioistuimille annetuista Tuomas-tietojärjestelmän käyttämisestä koskevista teknisistä ohjeista, joissa on ohjeistettu ratkaisukoodien käyttämistä. Lisäksi rekisterinpitäjä totesi tiedottavansa esimerkiksi sähköpostitse käräjäoikeuksia tarpeen mukaan koodien käyttämisestä. Tämä tulee kyseeseen muun muassa koodien muuttuessa.

Oikeudellinen kysymys

Asiassa on arvioitava rekisterinpitäjän yleistä toimintatapaa lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen luovuttamisessa luottotietoyhtiöille.

Asiassa on ratkaistava:

1. onko rekisterinpitäjä tuomioistuimen lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen käsittelyn yhteydessä noudattanut yleisen tietosuoja-asetuksen 24 artiklan 1 ja 2 kohtaa, 25 artiklan 1 kohtaa sekä luottotietolain 5 §:n 1 momentin 3 alakohtaa ja

2. onko rekisterinpitäjälle annettava yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus. Apulaistietosuojavaltuutetun on niin ikään arvioitava, tuleeko asiassa käyttää muita yleisen tietosuoja-asetuksen 58 artiklan kohdan mukaisia korjaavia toimivaltuuksia.

Apulaistietosuojavaltuutetun päätös ja perustelut

1. Rekisterinpitäjän vastuun, sisäänrakennetun tietosuojan ja hyvän luottotietotavan toteutuminen rekisterinpitäjän toiminnassa

Apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän toimintatapa lainvoimaisiin tuomioihin perustuvien maksuhäiriötietojen käsittelyn osalta ei täytä yleisen tietosuoja-asetuksen 24 artiklan 1 ja 2 kohdassa sekä 25 artiklan 1 kohdassa säädettyä eikä luottotietolain 5 §:n 1 momentin 3 alakohtaa.

Perustelut

Rekisterinpitäjän vastuusta

Yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan 7 alakohdan mukaan yleisessä tietosuoja-asetuksessa ’rekisterinpitäjällä’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

Tietojärjestelmälain 6 § 1 momentin mukaan Tuomioistuimen on salassapitosäännösten estämättä talletettava tekemänsä ratkaisu tai tiedot sen lopputuloksesta oikeushallinnon valtakunnallisen tietojärjestelmän ratkaisu- ja päätösilmoitusjärjestelmään sekä tehtävä siihen ratkaisemastaan asiasta ne merkinnät, jotka ovat välttämättömiä sille laissa säädetyn ilmoitusvelvollisuuden täyttämiseksi taikka toimitettava edellä tarkoitetut tiedot Oikeusrekisterikeskukselle muulla tavalla tietojärjestelmään merkitsemistä varten tai tietojen välittämiseksi toiselle viranomaiselle.

Tietojärjestelmälain 7 §:n 1 momentin mukaan Oikeusrekisterikeskus toimii oikeushallinnon valtakunnallisen tietojärjestelmän rekisterinpitäjänä.

Tietojärjestelmälain 7 §:n 3 momentin mukaan Oikeushallinnon valtakunnalliseen tietojärjestelmään tietoja tallettanut viranomainen on velvollinen huolehtimaan siitä, että sen tallettamat tiedot vastaavat viranomaisen ratkaisuja ja sen omiin rekistereihin tekemiä merkintöjä; oikeushallinnon valtakunnalliseen tietojärjestelmään on tehty tarpeelliset merkinnät tietojen oikeaksi välittämiseksi; ja merkinnät on tehty rekisterinpitäjän asettamien teknisten vaatimusten mukaisesti.

Rekisterinpitäjän antaessa asiassa selvitystä tietosuojavaltuutetun toimistolle, asiassa arvioitavia tietojen luovutuksia säänteli edellä viitattu tietojärjestelmälaki, joka oli voimassa 31.12.2020 saakka. Laki kumottiin lailla oikeushallinnon valtakunnallisesta tietovarannosta (955/2020, jäljempänä tietovarantolaki), joka on ollut voimassa 1.1.2021 lähtien. Tässä päätöksessä apulaistietosuojavaltuutettu arvioi asiassa saadun selvityksen perusteella rekisterinpitäjän toimintaa soveltaen asiassa tietojärjestelmälakia.

Tietojärjestelmälakia koskevan hallituksen esityksen HE 102/2009 vp säännöskohtaisten perusteluiden mukaan Oikeusrekisterikeskukselle rekisterinpitäjänä kuuluisivat kaikki ne tehtävät, jotka johtuvat henkilötietolaissa rekisterinpitäjälle säädetyistä velvoitteista. Näihin kuuluvat yleinen huolenpito tietojenkäsittelyn lainmukaisuudesta ja tietojen laadusta sekä tähän liittyvä rekisteritoiminnan ohjaus ja neuvonta. Oikeusrekisterikeskus vastaisi tietojen luovuttamistehtävistä, tietojen poistamisesta ja tietojenkäsittelyn lainmukaisuuteen liittyvistä tehtävistä, jollei ehdotetussa laissa toisin osoitettaisi.

Tietojärjestelmälain säätämisen aikaan voimassaollut henkilötietolaki (523/1999) on kumottu 1.1.2019 lähtien EU:n yleisen tietosuoja-asetuksen nojalla säädetyllä tietosuojalailla (1050/2018). Tietosuoja-asetuksen ja sitä täydentävä tietosuojalain säännökset määrittävät henkilötietolakia vastaavalla tavalla rekisterinpitäjän vastuita ja velvoitteita.

Yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan 7 alakohdan mukaan, jos henkilötietojen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Euroopan tietosuojaneuvoston antamien suuntaviivojen 07/2020 mukaan, jos rekisterinpitäjä on tällä tavoin nimenomaisesti määritelty laissa, on tämä ratkaisevaa rekisterinpitäjän määrittämisessä. Tämä edellyttää, että lainsäätäjä on nimennyt rekisterinpitäjäksi yksikön, jolla on todellinen kyky hallita henkilötietojen käsittelyä.

Rekisterinpitäjältä asiassa saadun selvityksen mukaan tuomioistuimessa asioille edellä avattujen tietojärjestelmälain 6 §:n ja 7 §:n mukaisten velvoitteiden nojalla valittava ratkaisukoodi määrittää sen, luovutetaanko ratkaisua koskevat tiedot maksuhäiriötietona luottotietoyhtiöille luottotietorekisteriin merkittäväksi. Rekisterinpitäjä katsoo, että tuomioistuimet vastaavat oikean ratkaisukoodin antamisesta asialle niitä koskevan tietojentoimittamisvelvollisuuden nojalla ja mikäli tuomioistuimet noudattavat niille annettua teknistä ohjeistusta, ei luottotietoyhtiöille luovuteta virheellisiä maksuhäiriötietoja. Antamassaan selvityksessä rekisterinpitäjä toteaa, että kyseessä oleva henkilötietojen luovutus on tekninen toimenpide, joka perustuu tuomioistuimien käyttämiin ratkaisukoodeihin.

Apulaistietosuojavaltuutettu katsoo, että edellä mainitut tuomioistuimille tietojärjestelmälaissa säädetyt velvollisuudet eivät ole olleet omiaan johtamaan siihen, että rekisterinpitäjän vastuuta tulisi käsillä olevassa asiassa tulkita suppeammin, kuin yleisessä tietosuoja-asetuksessa on tarkoitettu. Tuomioistuimille tietojärjestelmälain 6 ja 7 §:ssä säädetyt velvoitteet eivät kavenna rekisterinpitäjän vastuuta siten, ettei rekisterinpitäjä olisi velvollinen toteuttamaan yleisen tietosuoja-asetuksen mukaisten rekisterinpitäjän velvoitteiden edellyttämiä toimenpiteitä, kuten tietojen virheettömyyden ja täsmällisyyden varmistamiseen tähtääviä toimenpiteitä.

Lainvoimaiseen tuomioon perustuvan maksuhäiriötiedon käsittelyn rekisteröidylle aiheuttamasta riskistä

Apulaistietosuojavaltuutettu katsoo, että oikeushallinnon valtakunnallisesta tietojärjestelmästä luovutettavien maksuhäiriötietojen käsittelyssä on kyse laajamittaisesta henkilötietojen käsittelystä, jolla on merkittäviä vaikutuksia rekisteröidyn oikeuksille ja vapauksille. Tiedot luovutetaan valtakunnallisesta tietojärjestelmästä teknisen rajapinnan kautta päivittäin valtakunnallisesti luottotietotoimintaa harjoittaville rekisterinpitäjille luottotietorekisteriin merkittäväksi.

Luovutuksen seurauksena aiheutuvalla maksuhäiriömerkinnällä on tyypillisesti merkittäviä ja laaja-alaisia vaikutuksia rekisteröidyn oikeuksille ja vapauksille. Luovutuksen seurauksena aiheutuvan maksuhäiriömerkinnän johdosta esimerkiksi rekisteröidyn luottokorttia voidaan vaatia palautettavaksi sekä uuden luoton, vuokra-asunnon ja kotivakuutuksen saanti todennäköisesti vaikeutuu. Myös työpaikan saanti voi vaikeutua, mikäli työtehtävään liittyy taloudellista vastuuta.

Maksuhäiriömerkinnästä rekisteröidylle aiheutuvat vaikutukset ovat niin laajoja, että lainvoimaisesta tuomiosta asian vastaajalle mahdollisesti aiheutuva maksuhäiriömerkintä voi vähentää vastaajan mahdollisuuksia ja halua puolustaa asiaansa oikeudessa. Mahdollisuus saada riita-asiassa tuomioistuimen arvio maksuvelvollisuudesta voi vaarantua, mikäli mahdollinen langettava tuomio voi johtaa maksuhäiriömerkintään.

Rekisterinpitäjän toimintatavan lainmukaisuuden arviointi

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”).

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”).

Yleisen tietosuoja-asetuksen 24 artiklan 1 ja 2 kohtien mukaan ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa. Kun se on oikeasuhteista käsittelytoimiin nähden, 1 kohdassa tarkoitettuihin toimenpiteisiin kuuluu, että rekisterinpitäjä panee täytäntöön asianmukaiset tietosuojaa koskevat toimintaperiaatteet.

Yleisen tietosuoja-asetuksen 25 artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin.

Tietojärjestelmälain 15 §:n 1 momentin mukaan sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa säädetään, Oikeusrekisterikeskus saa salassapitosäännösten estämättä luovuttaa ratkaisu- ja päätösilmoitusjärjestelmästä luottotietotoiminnan harjoittajalle, luotto- ja vakuutuslaitoksille ja muille, jotka tarvitsevat tietoja luoton myöntämistä ja valvontaa varten, luottotietoina käytettäviksi sellaiset tiedot maksun laiminlyönnistä, jotka lain mukaan saadaan tallettaa luottotietorekisteriin.

Tietojärjestelmälain 17 §:n 1 momentin 3 kohdan mukaan sen lisäksi, mitä muualla laissa säädetään, Oikeusrekisterikeskus voi luovuttaa tietoja oikeushallinnon valtakunnallisesta tietojärjestelmästä teknisen käyttöyhteyden avulla tai muutoin sähköisesti ratkaisu- ja päätösilmoitusjärjestelmästä 15 §:n 1 momentissa tarkoitetuissa tapauksissa niille, jotka säännönmukaisesti tarvitsevat tietoja luoton myöntämistä ja valvontaa varten tai jotka harjoittavat luottotietotoimintaa.

Luottotietolain 5 §:n 1 momentin 3 alakohdan mukaan luottotietotoiminnan harjoittajan, luottotiedon käyttäjän ja luottotietoja muutoin käsittelevän on noudatettava toiminnassaan huolellisuutta sekä pidettävä huolta siitä, että rekisteröityjen oikeutta tulla arvioiduiksi oikeiden ja asiamukaisten tietojen perusteella ei vaaranneta.

Luottotietolain 6 §:n 1 momentin mukaan luottotietoina saa käyttää ja muutoin käsitellä vain sellaisia tietoja, jotka on saatu luotettavista lähteistä ja jotka ovat tarpeellisia ja asianmukaisia kuvaamaan rekisteröidyn maksukykyä tai maksuhalukkuutta taikka kykyä vastata sitoumuksistaan.

Luottotietolain 13 §:n 1 momentin 3 kohdan mukaan luottotietorekisteriin saa henkilöluottotietoina tallettaa viranomaisen toteamina maksuhäiriötietoina tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla.

Asiassa saadun selvityksen perusteella luottotietoyhtiöille luovutettavien maksuhäiriötietojen luovutusperuste on tietojärjestelmälain 15 §:n 1 momentti, joka mahdollistaa ainoastaan luottotietolain mukaisten maksuhäiriömerkinnän edellytykset täyttävien maksuhäiriötietojen luovutuksen luottotietoyhtiöille. Tietojen luovuttamisesta teknisen käyttöyhteyden avulla säädetään tietojärjestelmälain 17 §:ssä.

Luottotietolain mukaan lainvoimainen tuomio on yksi luottotietolakiin merkittävien maksuhäiriömerkintöjen perusteista (lain 13 §:n 1 momentin 3 kohta). Kuitenkaan lainvoimainen tuomio ei kaikissa tilanteissa kuvaa henkilön maksukykyä tai maksuhalukkuutta luottotietolain 6 §:n edellyttämällä tavalla. Tämä tulee kyseeseen riita-asioissa annettujen tuomioiden kohdalla, joissa tarve saada tuomioistuimen arvio maksuvelvollisuudesta voi liittyä myös moniin muihin seikkoihin kuin vastaajan maksukykyyn tai maksuhalukkuuteen. Tästä johtuen lainvoimaista tuomiota koskevat tiedot tulee luovuttaa luottotietoyhtiöille luottotietorekisteriin merkittäväksi ainoastaan rajatuissa tapauksissa.

Ratkaisussa EOAK/945/2016 eduskunnan oikeusasiamies katsoi, että tapauksissa, joissa maksuvelvollisuus on perustellusti riitautettu siten, että sillä voi olla vaikutusta asiaan, merkintä ei oikeusasiamiehen käsityksen mukaan täytä maksuhäiriömerkinnän tekemisen perusteena olevaa edellytystä siitä, että merkinnän on osoitettava rekisteröidyn maksukyvyttömyyttä tai maksuhaluttomuutta. Apulaistietosuojavaltuutettu yhtyy eduskunnan oikeusasiamiehen näkemykseen ja katsoo, että tällaisissa tapauksissa maksuhäiriömerkinnän rekisteröimiselle ei ole lainmukaista perustetta.

Asiassa rekisterinpitäjältä pyydettiin selvitystä siitä, millä tavoin se arvioi, onko lainvoimaisessa tuomiossa kyse maksuhäiriöstä, joka kuvaa henkilön maksukykyä tai maksuhalukkuutta ja josta tieto voidaan luovuttaa luottotietoyhtiöille. Antamassaan selvityksessä rekisterinpitäjä totesi, että tuomioistuimet vastaavat oikean ratkaisukoodin antamisesta asialle niitä koskevan tietojentoimittamisvelvollisuuden nojalla ja mikäli tuomioistuimet noudattavat niille annettua teknistä ohjeistusta, ei luottotietoyhtiöille luovuteta virheellisiä maksuhäiriötietoja. Antamassaan selvityksessä rekisterinpitäjä toteaa, että se ei arvioi oikeudellisesti tuomioistuimien ratkaisuja, vaan luovutus on tekninen toimenpide, joka perustuu tuomioistuimien käyttämiin ratkaisukoodeihin. Rekisterinpitäjän mukaan sen kysymyksen arviointi, onko tapauksessa kysymys perustellusti riitautetusta summaarisesta asiasta, kuuluu asian ratkaisevalle tuomioistuimelle.

Apulaistietosuojavaltuutettu katsoo, että kyseessä olevien maksuhäiriötietojen luovutuksiin liittyvien menettelytapojen osalta rekisterinpitäjä ei ole onnistunut panemaan täytäntöön yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaista lainmukaisuuden periaatetta eikä 5 artiklan 1 kohdan d alakohdan mukaista henkilötietojen täsmällisyyden periaatetta 25 artiklan 1 kohdan mukaisen sisäänrakennettua tietosuojaa koskevan velvoitteen sekä 24 artiklan mukaisen rekisterinpitäjän vastuun edellyttämällä tavalla.

Yleisen tietosuoja-asetuksen 25 artiklan 1 kohdan mukainen velvollisuus sisäänrakennetun tietosuojan toteuttamisesta edellyttää, että kyseisen lainkohdan mukaisia asianmukaisia teknisiä ja organisatorisia toimenpiteitä toteutettaessa kunkin yleisen tietosuoja-asetuksen 5 artiklan mukaisen periaatteen tehokas noudattaminen ja siitä johtuva oikeuksien ja vapauksien suojaaminen on sisällytettävä rekisterinpitäjän valitsemiin toimenpiteisiin ja suojatoimiin. Velvollisuus ei edellytetä minkään tiettyjen toimenpiteiden toteuttamista vaan sitä, että valittujen toimenpiteiden ja suojatoimien on sovelluttava tietosuojaperiaatteiden täytäntöönpanoon juuri kyseessä olevassa käsittelyssä. Se, ovatko toimenpiteet tehokkaita, määräytyy aina kulloisenkin käsittely-yhteyden mukaan.

Myös 24 artiklan 1 ja 2 kohdan mukaiset rekisterinpitäjän vastuuta koskevat velvoitteet edellyttävät, että rekisterinpitäjä toteuttaa tarvittavat henkilötietojen käsittelyyn liittyvien riskien edellyttämät tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa että käsittelyssä noudatetaan tietosuoja-asetuksen mukaisia velvoitteita sekä arvioi näiden toimenpiteiden riittävyyttä suhteessa käsittelyyn liittyviin riskeihin.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukainen lainmukaisuuden periaatteen nojalla rekisterinpitäjän on määritettävä pätevä laillinen peruste henkilötietojen käsittelylle sekä varmistettava että sen käsittelemille henkilötiedoille on löydettävissä soveltuva yleisen tietosuoja-asetuksen 6 artiklan mukainen käsittelyn oikeusperuste kaikissa henkilötietojen käsittelyn eri vaiheissa.

Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan mukainen täsmällisyyden periaate edellyttää, että rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Euroopan tietosuojaneuvoston ohjeen 4/2019 mukaan yksi keskeisitä sisäänrakennetun tietosuojan täsmällisyyttä koskevista tekijöistä on jatkuva täsmällisyys, joka edellyttää, että henkilötiedot ovat täsmällisiä kaikissa käsittelyn vaiheissa, ja kriittisissä vaiheissa tehdään täsmällisyyteen liittyviä testejä.

Vaikka tietojärjestelmässä on vuonna 2017 otettu käyttöön ratkaisukoodi, jonka tarkoituksena on estää käsittelyn aikana riitautettujen asioiden luovuttaminen luottotietoyhtiöille, ei rekisterinpitäjän maksuhäiriötietojen virheettömyyteen tähtääviä toimenpiteitä voida pitää riittävinä kyseessä olevaan henkilötietojen käsittelyn aiheuttamaan riskiin nähden. Asiassa saadun selvityksen perusteella toimenpiteet rajautuvat käytännössä kokonaan tuomioistuimille annetun teknisen ohjeen ylläpitämiseen ja siitä tiedottamiseen tarpeen mukaan.

Asiassa saadun selvityksen perusteella rekisterinpitäjä on myös koodin käyttöönoton jälkeen luovuttanut luottotietoyhtiöille tietoja, jotka eivät täytä luottotietolain mukaisia maksuhäiriömerkinnän edellytyksiä. Rekisterinpitäjä on asiassa saadun selvityksen perusteella luovuttanut luottotietoyhtiöille päätöksen asian käsittelyn sillensä jäämisestä sekä päätöksen asian lepäämään jättämisestä, koska asiat on ratkaistu käräjäoikeudessa väärää ratkaisukoodia käyttäen.

Kyseisten asioiden kohdalla rekisterinpitäjä on luovuttanut henkilötietoja luottotietoyhtiöille ilman yleisen tietosuoja-asetuksen 6 artiklan mukaista käsittelyn oikeusperustetta, koska luovutetut asiat eivät täytä luottotietolaissa säädettyjä maksuhäiriömerkinnän edellytyksiä. Apulaistietosuojavaltuutettu katsoo, että virheellisten tietojen luovuttaminen on asiassa saadun selvityksen perusteella johtunut henkilötietojen virheettömyyteen tähtäävien toimenpiteiden riittämättömyydestä eikä asiassa voida katsoa olevan kyse vain yksittäistä virheellisistä tiedoista. Tältä osin apulaistietosuojavaltuutettu kiinnittää huomiota erityisesti siihen, että asian selvittämisen yhteydessä läpi käyty otanta luottotietoyhtiöille luovutetuista tiedoista on melko suppea käsittäen muutamia kymmeniä luottotietoyhtiöille luovutettuja ratkaisuja.

Kuten edellä on jo tuotu esiin, rekisterinpitäjän vastuulla on edellä kuvattujen säännösten mukaisesti huolehtia sen käsittelemien henkilötietojen virheettömyydestä tuomioistuimille säädetystä tietojentoimittamisvelvollisuudesta huolimatta. Edellä esitetyillä perusteilla apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän menettelytapa ei ole täyttänyt yleisen tietosuoja-asetuksen asettamia edellytyksiä.

Menettelytapaa ei edellä esitetyin perustein voida pitää myöskään luottotietolain 5 §:ssä säädetyn hyvän luottotietotavan mukaisena. Hyvä luottotietotapa edellyttää muun muassa, että luottotietoja käsittelevän on pidettävä huolta siitä, että rekisteröityjen oikeutta tulla arvioiduiksi oikeiden ja asiamukaisten tietojen perusteella ei vaaranneta. (lain 5 §:n 1 momentin 3 alakohta). Luottotietolain esitöiden mukaan hyvään luottotietotapaan kuuluisi muun muassa huolenpito luottotiedon kohteen oikeusturvan kannalta keskeisistä tekijöistä. Lisäksi sen tarkoitus on ohjata luottotietotoiminnan harjoittajia ja muutoin luottotietoja käsitteleviä kehittämään toimintojaan ja valitsemaan erilaisista vaihtoehdoista sen, joka parhaiten edistää lain tarkoitusta.

Seuraamusharkinnasta

Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen sekä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi.

Apulaistietosuojavaltuutettu määrää rekisterinpitäjän saattamaan luottotietoyhtiöille luovutettavien maksuhäiriötietojen oikeellisuuden valvonnan asianmukaiselle tasolle. Apulaistietosuojavaltuutettu jättää rekisterinpitäjän harkintaan tarkemman asianmukaisten toimenpiteiden määrittämisen, mutta määrää toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistolle 31.1.2022 mennessä, ellei se hae muutosta tähän päätökseen.

Perustelut

Asiassa apulaistietosuojavaltuutettu on katsonut, että rekisterinpitäjän menettelytapa luottotietoyhtiöille luovutettavien tietojen virheettömyyden varmistamisessa ei ole täyttänyt tietosuojasääntelyn asettamia edellytyksiä. Apulaistietosuojavaltuutettu pitää asiassa todettuja rikkomuksia vakavina ja katsoo, että mikäli kyseessä olisi yksityisen sektorin toimija, olisi asia vietävä tietosuojalain 24 §:ssä tarkoitettuun tietosuojavaltuutetun toimiston seuraamuskollegion käsiteltäväksi. Tietosuojalain 24 §:n mukaan seuraamuskollegio tekee päätöksen yleisen tietosuoja-asetuksen 83 artiklan mukaisen hallinnollisen seuraamusmaksun määräämisestä. Koska tietosuojalain 24 §:n 4 momentin mukaan seuraamusmaksua ei voida määrätä valtion viranomaisille, ei seuraamusmaksun määräämisen harkitseminen kuitenkaan tule asiassa kyseeseen.

Koska asian vieminen seuraamuskollegion käsiteltäväksi ei ole mahdollista, on apulaistietosuojavaltuutettu katsonut aiheelliseksi antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Seuraamusharkinnassa apulaistietosuojavaltuutettu on ottanut huomioon kyseessä olevan henkilötietojen käsittelyn laajamittaisuuden sekä siitä rekisteröidyn oikeuksille ja vapauksille aiheutuvat vaikutukset. Apulaistietosuojavaltuutettu on katsonut, että rekisterinpitäjän olisi tullut valita pienemmän riskin rekisteröidyn oikeuksille ja vapauksille aiheuttava menettelytapa.

Seuraamusharkinnassa apulaistietosuojavaltuutettu on ottanut huomioon asiassa arvioitavia tietojen luovutuksia koskevassa sääntelyssä tapahtuneet muutokset. Asiassa rekisterinpitäjän menettelytapoja on arvioitu jo kumotun tietojärjestelmälain valossa. Kyseisen lain kumonnut tietovarantolaki on ollut voimassa 1.1.2021 lähtien.

Apulaistietosuojavaltuutettu katsoo, että tietojärjestelmälain kumoamisesta aiheutuneet lainsäädäntömuutokset ovat niin vähäisiä, että oikeudellisesti merkittävän toiminnan voidaan katsoa jatkuneen myös sen jälkeen, kun on ryhdytty soveltamaan tietovarantolakia. Tietovarantolain esitöiden mukaan lain on katsottu vastaavan pääosin kumottua tietojärjestelmälakia. Tässä päätöksessä sovellettaviin säännöksiin on tehty lähinnä teknisiä termien ja lain rakenteeseen liittyviä muutoksia, eikä asian ratkaisun kannalta merkittäviä säädösmuutoksia ole tehty.

Edellä esitetyin perusteluin apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän tulisi muuttaa tässä päätöksessä arvioituja maksuhäiriötietojen käsittelyä koskevia toimintatapoja maksuhäiriötietojen virheettömyyden ja luovutusten lainmukaisuuden varmistamiseksi. Apulaistietosuojavaltuutettu määrää yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan nojalla rekisterinpitäjän saattamaan luottotietoyhtiöille luovutettavien maksuhäiriötietojen oikeellisuuden valvonnan asianmukaiselle tasolle.

Sovelletut lainkohdat

Perusteluissa mainitut

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.