06.06.1996 15/1996
Luottolaitos - Väärinkäytöstieto - Yhteysvaatimus - Arkaluonteinen tieto - Luovuttaminen
| Diaarinumero: | 29/72/96 |
|---|---|
| Antopäivä: | 06.06.1996 |
| Taltio: | 15/1996 |
Luottolaitos pyysi lupaa saada tallettaa entisiä asiakkaitaan koskevia saamisen maksuviivästymistietoja ja hakijan palveluihin kohdistuneita väärinkäytöstietoja asiakashäiriörekisteriinsä sekä luovuttaa väärinkäytöstietoja muille luottolaitoksille. Hakija tarvitsi luvan poiketa yhteysvaatimuksesta ja arkaluonteisten tietojen rekisteröintikiellosta sekä luvan tietojen luovuttamiseen. Lupa myönnettiin määräaikaisena ja siihen asetettiin useita lupamääräyksiä.
Ks. tietosuojalautakunta 23/20.11.1989 ja KHO 6.3.1991 T:770, 13/21.5.1991, 19/6.6.1994 ja 20/14.8.1995
ASIA
Henkilötietojen keräämistä, tallettamista ja käyttämistä sekä henkilötietojen luovuttamista koskeva poikkeuslupahakemus
HAKIJA
Interbank Osakepankki
HAKEMUS
Hakija pyytää henkilörekisterilain 37 â:ssä tarkoitettua poikkeuslupaa saada:
A) Tallettaa asiakashäiriörekisteriinsä entisiä asiakkaitaan koskevia saamisen maksuviivästymistietoja.
B) Kerätä ja tallettaa asiakashäiriörekisteriinsä sekä käyttää tietoja sellaisista hakijoiden omiin palveluihin kohdistuneista väärinkäytöksistä, joista hakijalla olisi perusteita tehdä rikosilmoitus.
A ja B -kohdissa tarkoitetuista tiedoista talletettaisiin asiakashäiriörekisteriin seuraavat tiedot:
- tieto häiriön ajankohdasta
- tieto tallennusajasta
- koodi, joka ilmaisee, että kysymyksessä on
A- kohdassa tarkoitettu tieto sekä mahdollinen
luoton numero. Koodiin tehtäisiin lisämerkintä,
jos saaminen on hoidettu ilman oikeudellisia
perimistoimia.
- koodi,joka ilmaisee, että kysymyksessä on B-kohdassa
tarkoitettu tieto
- väärinkäyttäjän nimi, henkilötunnus, osoite
ja ammatti
- velan tai vaatimuksen määrä tuhansina markkoina
- tieto siitä, kuka on ilmoittanut tallennettavan
tiedon.
Tietoja on tarkoitus käyttää väärinkäytösten estämiseksi sekä hakijan luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.
C) Luovuttaa B -kohdassa tarkoitettuja väärinkäytöstietoja toisille luottolaitoksille, jos luovuttaminen on tarpeen näitä kohtaan suunnattujen rikosten ja rikossarjojen ehkäisemiseksi ja katkaisemiseksi sekä tekijöiden kiinnisaamiseksi tai luottolaitosten luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi. Tietoa velan tai vaatimusten markkamäärästä ei kuitenkaan luovutettaisi.
Tietosuojalautakunta on päätöksillään Nro 19/6.6.1994 ja Nro 20/14.8.1995 myöntänyt päätöksissä mainituille luottolaitoksille henkilörekisterilain 37 â:n 1 momentin nojalla luvan poiketa henkilörekisterilain säännöksistä. Suomen Pankkiyhdistys pyytää, että hakijalle myönnettäisiin edellä mainittujen päätösten mukainen poikkeuslupa.
TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT
Rekisterinpitäjä
Rekisterinpitäjällä tarkoitetaan henkilörekisterilain 2 â:ssä henkilöä, yhteisöä tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä.
Hakijalla on asiakashäiriörekisteri, jonka teknisen ylläpidon hoitaa Suomen Asiakastieto Oy. Hakija on asiakashäiriörekisterinsä henkilörekisterilain 2 â:n 3 kohdassa tarkoitettu rekisterinpitäjä.
Poikkeusluvan myöntämisen edellytykset
Henkilörekisterilain 37 â:ssä tarkoitettu lupa voidaan myöntää painavasta syystä ja edellyttäen, että rekisteröidyn yksityisyyden sekä hänen etujensa ja oikeuksiensa ja valtion turvallisuuden vaarantuminen voidaan estää.
Tietosuojalautakunnan on liitettävä lupaan rekisteröidyn yksityisyyden suojan sekä hänen etujensa ja oikeuksiensa samoin kuin valtion turvallisuuden suojaamiseksi tarpeelliset määräykset.
A. Maksun viivästymistä koskevien tietojen tallettaminen
Yhteysvaatimus
Henkilörekisterilain 5 â:n 1 momentissa säädetyn yhteysvaatimuksen mukaan henkilörekisteriin saa kerätä ja tallettaa tietoja vain sellaisista henkilöistä, joilla esimerkiksi asiakassuhteen vuoksi on asiallinen yhteys rekisterinpitäjän toimintaan, jollei rekisterin pitäminen johdu rekisterinpitäjälle säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä. Yhteysvaatimuksen puuttumisen voi korvata rekisteröidyn suostumus tai tietosuojalautakunnan myöntämä henkilörekisterilain 37 â:ssä tarkoitettu poikkeuslupa.
Tietosuojalautakunta katsoo, että yhteysvaatimus ei täyty hakijan rekisterinpidossa siltä osin, kuin saamisen maksun viivästystietoja on tarkoitus tallettaa henkilöistä, joiden asiakassuhde luottolaitokseen on katkennut.
Koska mainittujen maksun viivästymistä koskevien tietojen tallettaminen ei johdu hakijalle lain tai asetuksen nojalla määrätystä tehtävästä eivätkä rekisteröitävät ole antaneet suostumustaan tietojen tallettamiseen, tarvitsee hakija henkilörekisterilain 37 â:ssä tarkoitetun poikkeusluvan yhteysvaatimuksesta.
Päätös
Tietosuojalautakunta katsoo, että saamisen maksun viivästymistä koskevilla tiedoilla on merkitystä arvioitaessa henkilön taloudellista asemaa, sitoumusten hoitokykyä ja luotettavutta.
Luottolaitoksille, jotka harjoittavat laajamittaista luotonantoa ja joiden taloudelliset riskit luotonannossa saattavat olla huomattavat, on tärkeätä säilyttää maksun viivästymistietoja jonkin aikaa asiakassuhteen katkeamisen jälkeenkin, koska asianomainen voi lyhyessäkin ajassa hakeutua uudestaan luottolaitoksen asiakkaaksi. Tietosuojalautakunta katsoo, että poikkeusluvan myöntämiseen on painava syy.
Tietosuojalautakunta myöntää hakijalle poikkeusluvan tallettaa hakemuksessa tarkoitettuja entisiä asiakkaita koskevia saamisen maksun viivästymistietoja luottolaitosten luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.
Lupamääräykset
1) Tiedon saa tallettaa vain, jos erääntynyt saaminen on ollut maksamatta yli 60 päivää eräpäivästä.
2) Tietoa ei saa tallettaa, jos asiakkaan kanssa on 1-kohdassa mainitun ajan kuluessa sovittu maksujärjestelyistä.
3) Tämän poikkeusluvan nojalla ei tietoa saa tallettaa, jos maksun suorittamisesta on kulunut 2 vuotta.
4) Tämän poikkeusluvan nojalla talletettu tieto on hävitettävä 1 vuoden kuluessa asiakassuhteen katkeamisesta.
5) Tämän poikkeusluvan nojalla talletetusta tiedosta ja sen käyttötarkoituksesta on ilman aiheetonta viivytystä ilmoitettava kirjallisesti rekisteröidylle.
Määräysten perustelut
1) Lupamääräyksellä halutaan varmistaa, ettei rekisteriin talleteta tilapäisistä maksuvaikeuksista, esimerkiksi rekisteröitävän sairaudesta johtuvia maksuhäiriöitä. Lupamääräyksellä halutaan varmistaa myös, että rekisteröitävä ehtii sopia maksujärjestelyistä luottolaitoksen kanssa.
2) Lupamääräys on asetettu, jotta tietoa sellaisesta maksun viivästymisestä, jonka hoitamisesta on sovittu asiakkaan ja luottolaitoksen välillä, ei talletettaisi rekisteriin.
3 ja 4) Lupamääräykset on asetettu, jottei maksun viivästymisen vaikutus ulottuisi kohtuuttoman pitkälle ajalle ja koska rekisteröidyn luottokelpoisuus saattaa kohentua lyhyessäkin ajassa.
5) Lupamääräyksellä halutaan varmistaa rekisterinpidon avoimuuden periaatteen toteutuminen. Rekisteröitävillä tulee olla tieto siitä, että heistä talletetaan hakemuksessa tarkoitettuja maksuviivästystietoja ja siitä, että näitä tietoja voidaan käyttää heitä koskevassa päätöksenteossa. Tämän vuoksi tulee tiedon tallettamisesta ilmoittaa rekisteröidylle asiakassuhteen päättyessä.
B. Väärinkäytöstietojen kerääminen, tallettaminen ja käyttäminen
Yhteysvaatimus
Tietosuojalautakunta katsoo, että henkilörekisterilain 5 â:n 1 momentissa tarkoitettu yhteysvaatimus toteutuu luottolaitoksen ja rekisteröitävän välillä, koska luottolaitoksen palveluihin kohdistuneeseen väärinkäytökseen epäillyn ja luottolaitoksen välillä vallitsee lainkohdassa tarkoitettu muu asiallinen yhteys, vaikkei asiakassuhdetta olisikaan olemassa. Yhteysvaatimus voi kuitenkin katketa esimerkiksi sen jälkeen kun asia on ratkaistu tuomioistuimen lainvoimaisella päätöksellä ja mahdollinen saatava on suoritettu.
Väärinkäytöstietojen tallettaminen ei johdu hakijalle säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä. Koska rekisteröitävät eivät myöskään ole antaneet suostumustaan väärinkäytöstietojen tallettamiseen, tarvitsee hakija poikkeusluvan yhteysvaatimuksesta siltä osin kuin ko. tietoja talletettaisiin henkilörekisterilain 5 â:n 1 momentissa tarkoitetun asiallisen yhteyden katkeamisen jälkeen.
Arkaluonteiset tiedot
Arkaluonteisilla tiedoilla tarkoitetaan henkilörekisterilain 6 â:n 2 momentin 3 kohdassa henkilötietoja, jotka on tarkoitettu kuvaamaan muun muassa rikollista tekoa. Rikollisella teolla tarkoitetaan sellaista lainvastaista menettelyä, josta on säädetty rangaistus.
Hakijan asiakashäiriörekisteriin on tarkoitus tallettaa väärinkäytöksistä koodi, joka ilmaisee, että kysymyksessä on väärinkäytös, josta hakijalla olisi perusteita tehdä rikosilmoitus. Koodi kertoo siis, että rekisteröity on hakijan käsityksen mukaan syyllistynyt rikolliseen tekoon. Väärinkäytöstiedot ovat näin ollen rikollista tekoa koskevia eli arkaluonteisia tietoja.
Arkaluonteisia henkilötietoja ei pääsääntöisesti saa kerätä ja tallettaa ilman rekisteröidyn kirjallista suostumusta tai tietosuojalautakunnan poikkeuslupaa. Arkaluonteisten tietojen rekisteröintikiellon poikkeuksista on säädetty henkilörekisterilain 7 â:ssä.
Koska hakijalla ei ole rekisteröitävien kirjallista suostumusta väärinkäytöstietojen keräämiseen ja tallettamiseen ja koska muutkaan henkilörekisterilain 7 â:ssä säädetyt edellytykset eivät täyty, tarvitsee hakija väärinkäytöstietojen keräämiseen ja tallettamiseen poikkeusluvan.
Päätös
Tietosuojalautakunta katsoo, että vaikka väärinkäytöksiä koskevilla tiedoilla sinänsä ei ole välitöntä yhteyttä henkilön taloudelliseen asemaan ja sitoumusten hoitokykyyn, saattaa tiedoilla nimenomaan luottolaitoksen palveluihin kohdistuneista väärinkäytöksistä olla merkitystä arvioitaessa henkilön luotettavuutta luottolaitoksen luoton-ja sitoumustenannon yhteydessä. Väärinkäytöstietojen rekisteröinnillä voidaan lisäksi katsoa olevan merkitystä luottolaitosten pyrkiessä estämään väärinkäytöksiä eli ehkäisemään ja katkaisemaan luottolaitoksiin suunnattuja rikoksia ja rikossarjoja sekä tekijöiden kiinnisaamisessa. Tietosuojalautakunta katsoo, että luvan myöntämiseen on painava syy.
Tietosuojalautakunta myöntää hakijalle poikkeusluvan yhteysvaatimuksesta ja arkaluonteisten tietojen rekisteröintikiellosta ja oikeuttaa hakijan keräämään, tallettamaan ja käyttämään hakemuksessa tarkoitettuja tietoja luottolaitosten luoton- ja sitoumustenantoon liittyvien riskien pienentämiseen ja väärinkäytösten estämiseen.
Lupamääräykset
Rekisteröidyn yksityisyyden suojan ja hänen etujensa ja oikeuksiensa turvaamiseksi tietosuojalautakunta asettaa väärinkäytöstietojen keräämiselle, tallettamiselle ja käyttämiselle seuraavat lupamääräykset:
1) Tietoa ei saa rekisteröidä ennen kuin asiasta on tehty rikosilmoitus.
2) Tieto on poistettava välittömästi, kun asianomainen on alioikeuden tuomiolla todettu syyttömäksi syytteessä tarkoitettuun tekoon tai oikeusprosessista on luovuttu.
3) Tieto on poistettava 5 vuoden kuluttua rekisteröintihetkestä.
4) Rekisteröidylle on ilmoitettava väärinkäytöstietojen käytöstä päätöksenteossa sekä siitä, mistä rekisteristä väärinkäytöstiedot ovat peräisin, jos luoton epääminen tai muu rekisteröidylle kielteinen päätös pääasiallisesti johtuu asiakashäiriörekisterissä olevista tiedoista.
Määräysten perustelut
1) Väärinkäytöstietojen rekisteröiminen pelkästään sillä perusteella, että luottolaitos katsoo olevan perusteita tehdä rikosilmoitus, vaarantaa rekisteröidyn oikeusturvaa. Rekisteröidyn oikeusturva edellyttää, että rekisteröitävä väärinkäytös saatetaan viranomaisten tutkittavaksi. Rekisteröidyn oikeusturva ei kuitenkaan edellytä, että hakija tekee rikosilmoituksen tapauksissa, joissa hakija on asianomistaja ja joku muu on jo tehnyt rikosilmoituksen.
2) Rekisterinpitäjän on huolehdittava siitä, että henkilörekisterissä oleva, rekisterin käyttötarkoituksen kannalta virheellinen tieto poistetaan. Väärinkäytöstietojen laatu huomioon ottaen tieto on poistettava välittömästi.
3) Tieto on poistettava asetetussa määräajassa, koska tiedon voidaan arvioida tässä ajassa menettäneen merkityksensä kyseessä olevan käyttötarkoituksen kannalta.
4) Lupamääräys on asetettu, jotta rekisteröity saisi tiedon rekisterimerkinnän käyttämisestä häntä koskevassa päätöksenteossa. Koska väärinkäytöstiedot ovat rinnastettavissa luottotietoihin, on väärinkäytöstietojen käytöstä ilmoittamisessa perusteltua noudattaa samaa menettelyä, joka on luottotietojen osalta säädetty henkilörekisterilain 24 â:n 1 momentissa.
C. Väärinkäytöstietojen luovuttaminen muille luottolaitoksille
Luovuttamisen edellytykset
Henkilörekisterilain 18 â:n 1 momentin mukaan henkilörekisterissä olevia tai sitä varten kerättyjä henkilötietoja saa luovuttaa rekisteröidyn suostumuksella tai rekisteröidyn toimeksiannosta. Tietoja saa luovuttaa myös lain tai asetuksen taikka niiden nojalla annetun määräyksen mukaisesti. Tietoja saa lisäksi luovuttaa sellaisissa olosuhteissa, joissa tiedon luovuttaminen kuuluu tavanomaisena osana sellaisen toiminnan harjoittamiseen, eikä kysymys ole arkaluonteisista tiedoista. Luovuttaminen on sallittua myös tieteellistä tutkimusta ja tilastointia varten.
Mainitun pykälän 3 momentin mukaan henkilöluottotiedon saa luovuttaa luottotietotoimintaa harjoittavalle rekisterinpitäjälle sekä sille, joka tarvitsee tietoa luoton myöntämistä tai luoton valvontaa varten taikka muuhun tähän verrattavaan tarkoitukseen.
Henkilörekisterilain 18 â:n 1 momentin edellytykset eivät täyty väärinkäytöstietojen luovuttamisessa.
Henkilöluottotiedolla tarkoitetaan henkilörekisterilain 2 â:n 6 kohdassa henkilön taloudellisen aseman, sitoumusten hoitokyvyn tai luotettavuuden arvioimisessa käytettäväksi tarkoitettuja henkilötietoja. Tietosuojalautakunta katsoo, että lainkohdassa tarkoitettu henkilöluottotieto voi olla vain sellainen tieto, jonka käyttäminen luottotietona on lain nojalla sallittu. Tämän vuoksi väärinkäytöstietojen luovuttaminen ei ole sallittua myöskään henkilörekisterilain 18 â:n 3 momentin nojalla.
Hakija tarvitsee näin ollen henkilörekisterilain 37 â:ssä tarkoitetun poikkeusluvan väärinkäytöstietojen luovuttamiseen.
Päätös
Väärinkäytöstietojen luovuttaminen toisille luottolaitoksille helpottaa merkittävästi luottolaitoksiin kohdistuvien väärinkäytösten estämistä ja hakijan luoton- ja sitoumustenantoon liittyvien riskien pienentämistä. Tietosuojalautakunta katsoo, että luvan myöntämiseen on lain edellyttämä painava syy.
Tietosuojalautakunta myöntää hakijalle luvan luovuttaa väärinkäytöstietoja hakemuksen mukaisesti muille luottolaitoksille.
POIKKEUSLUVAN MÄÄRÄAIKAISUUS
Lupa on voimassa 31.8.1999 asti. Lupa myönnetään määräaikaisena, jotta luvan tarve ja lupamääräysten riittävyys voidaan ottaa saatujen kokemusten perusteella uudelleen arvioitavaksi.
SOVELLETUT SÄÄNNÖKSET
Henkilörekisterilaki 2 â
Henkilörekisterilaki 5 â 1 mom
Henkilörekisterilaki 6 â
Henkilörekisterilaki 7 â
Henkilörekisterilaki 18 â
Henkilörekisterilaki 37 â