23.08.1999 16/1999

Luottolaitos - Rahoituslaitos - Sijoituspalveluyritys - Yhteysvaatimus - Väärinkäytöstieto - Arkaluonteinen tieto - Luovuttaminen - Rekisterinpitäjän oikeutettu etu - Tärkeä yleinen etu

Luottolaitoksille ja eräille muille yhteisöille myönnettiin lupa saada tallettaa asiakashäiriörekistereihinsä entisiä asiakkaitaan koskevia saamisen maksuviivästymistietoja ja tietoja välittömästi yhteisöjen toimintaan kohdistuneista väärinkäytöksistä. Lupa myönnettiin myös väärinkäytöstietojen luovuttamiseen muille hakijoina oleville yhteisöille. Lupaan sisällytettiin useita lupamääräyksiä.

Ks. myös päätökset 23/20.11.1989 (KHO 6.3.1991 t 770), 13/21.5.1991, 19/6.6.1994, 20/14.8.1995, 15/6.6.1996 ja 37/14.12.1998

ASIA
Henkilötietojen käsittelyä koskeva lupahakemus

HAKIJAT
Suomen Pankkiyhdistys ry valtakirjalla hakemuksen liitteessä 1 mainittujen hakijoiden puolesta, Osuuspankkikeskus-OPK osuuskunta (jälj. OPK) jäsenpankkiensa ja valtakirjalla hakemuksen liitteessä 2 mainittujen yhteisöjen puolesta, Säästöpankkiliitto ry jäsenpankkiensa puolesta ja Paikallisosuuspankkiyhdistys ry jäsenpankkiensa puolesta.

Hakijat ovat myöhemmin luopuneet hakemuksesta Handelsbanken Rahastoyhtiö Oy:n, Aktia Rahastoyhtiö Oy:n ja OP-Rahastoyhtiö Oy:n osalta.

Aktia Pankkiiriliike Oy:n osalta hakemus on siten ehdollinen, että yhtiö ryhtyy käsittelemään hakemuksessa tarkoitettuja henkilötietoja vain, jos sille myönnetään toimilupa.

HAKEMUS
Hakijat pyytävät, että hakijoille myönnettäisiin uusi, toistaiseksi voimassa oleva henkilörekisterilain 37 §:ssä tarkoitettu poikkeuslupa jäljempänä esitetyin poikkeuksin samansisältöisenä kuin tietosuojalautakunnan myöntämä 31.8.1999 asti voimassa oleva poikkeuslupa nro 19/6.6.1994 dnro 15/72/94.

Muutokset hakijoissa verrattuna voimassa olevan luvan hakijoihin johtuvat luottolaitoksissa tapahtuneista yhtiöoikeudellisista muutoksista sekä erillisen luvan hakeneiden luottolaitosten yhtymisestä yhteiseen hakemusmenettelyyn. Hakijat ovat asiallisesti samat kuin voimassa olevan luvan haltijat, mutta hakemus on päivitetty vastaamaan muuttuneita olosuhteita.

Hakijoiden vaatimukset verrattuna voimassa olevaan poikkeuslupaan ja vaatimusten perustelut

Muutosvaatimukset on kursivoitu jäljempänä.

Luvan käyttötarkoituksen täsmentäminen

Voimassa oleva poikkeuslupa koskee luottolaitosten palveluihin kohdistuneita väärinkäytöksiä. Luottolaitosten palveluilla on lupaa haettaessa tarkoitettu kaikkia luottolaitoslain 20 §:ssä mainittuja luottolaitoksen toimintoja. Rekisteröintioikeuteen liittyvien tulkintaongelmien välttämiseksi sanamuotoa on syytä täsmentää.

Lupamääräykset tulisi muotoilla siten, että niistä on aiempaa helpommin havaittavissa, että rekisteröintioikeus koskee muitakin kuin perinteisiä pankkeihin kohdistuneita rikoksia, joita ovat esimerkiksi maksuvälinepetokset. On tärkeää, ettei hakijoiden kannalta vahingollisimpien rikosten, kuten velallisten rikosten ja arvopaperirikosten, rekisteröintioikeudesta ole mitään epäselvyyttä.

Poikkeusluvan käsitettä väärinkäytöstieto tulisi siksi täsmentää siten, että luvan määriteltäisiin koskevan sellaisten hakijoiden (omiin poist.) palveluihin tai liiketoimintaan kohdistuneiden väärinkäytösten rekisteröintiä, joissa hakija on asianomistaja.

Talletettavat tiedot

Hakijat pyytävät, että asiakashäiriörekistereihin voitaisiin tiedon tallennusajan sijasta tallettaa tieto rekisteröintipäivästä. Sen sijaan, että rekisteriin talletettaisiin tieto siitä, kuka on ilmoittanut talletettavan tiedon, hakijat pyytävät että rekisteriin voitaisiin tallettaa tieto siitä, mikä luvan saaneista yhteisöistä on ilmoittanut tallennettavan tiedon. Lisäksi hakijat pyytävät, että rekisteriin tulisi voida tallettaa väärinkäyttäjän nimi, henkilötunnus tai sen puuttuessa syntymäaika sekä osoite ja ammatti, jos ne ovat tiedossa.

Hakijat katsovat, että poikkeusluvassa tulee luopua henkilötunnuksen tallettamisen vaatimisesta, jos henkilöllä ei ole suomalaista henkilötunnusta. Koska myös ulkomaalaisen tekemiä rikoksia tulee voida torjua samalla tavalla kuin suomalaisten tekemiä rikoksia, rekisteröinnin tulee olla mahdollista, vaikkei henkilöllä olisi suomalaista henkilötunnusta. Näissä tapauksissa nimen ja syntymäajan käyttäminen varmistaa, ettei erehdyksen mahdollisuutta ole.

Oikeus rekisterimerkinnän tekemiseen

Nykyisessä poikkeusluvassa tietojen keräämiselle, tallettamiselle ja käyttämiselle on annettu mm. seuraavat lupamääräykset:

1) Tietoa ei saa rekisteröidä ennen kuin asiasta on tehty rikosilmoitus. 2) Tieto on poistettava välittömästi, kun asianomainen on alioikeuden
tuomiolla todettu syyttömäksi syytteessä tarkoitettuun
tekoon tai oikeusprosessista on luovuttu.

Hakijat vaativat, että lupamääräyksiä täsmennetään seuraavasti:

1) Hakijalla tulee olla oikeus tehdä merkintä rekisteriin, jos
asiasta on tehty rikosilmoitus, tutkintapyyntö tai syytepyyntö
taikka rikosprosessi on saatettu muulla tavoin vireille tai
alioikeus on antanut asiassa päätöksen. 2) Hakijoilla tulee olla oikeus tehdä merkintä rekisteriin, jos
ylempi oikeusaste tuomitsee henkilön, jonka alempi oikeusaste
on vapauttanut. Tällöin ylemmän oikeusasteen tuomion perusteella
tehtyä rekisterimerkintää pidettäisiin uutena rekisterimerkintänä.
Jos ylempi oikeusaste vapauttaa alemman oikeusasteen
tuomitseman henkilön, tieto on poistettava välittömästi.

Rekisterimerkintä tulisi voida tehdä myös tutkintapyynnön ja syytepyynnön perusteella, koska ne vastaavat asiallisesti rikosilmoitusta.

Nykyisessä luvassa käsitellään vain alioikeuksien tuomioita. Koska vapauttavan päätöksen tai tuomion voi antaa myös ylempi oikeusaste, lupaa tulisi tarkentaa.

Poikkeusluvan voimassaolo

Hakijat vaativat, että poikkeuslupa myönnettäisiin toistaiseksi voimassa olevana.

Poikkeuslupa on myönnetty kaksi kertaa määräaikaisena, jotta luvan tarve ja lupamääräysten riittävyys voitaisiin ottaa saatujen kokemusten perusteella uudelleen arvioitavaksi.

Asiakashäiriörekisteri on ollut käytössä vuodesta 1991 lukien. Rekisterinpito voidaan jo katsoa vakiintuneeksi eikä rekisterin käytöstä ole aiheutunut yksityisyyden suojaan ongelmia. Hakijat katsovat, että luvan määräaikaisuudelle ei ole enää tarvetta.

Asiakashäiriörekisteri on osoittautunut hakijoille tärkeäksi välineeksi pyrittäessä estämään väärinkäytöksiä ja luoton- ja sitoumustenantoon liittyviä riskejä. Poikkeusluvan piirissä olevien hakijoiden asiakashäiriörekistereihin oli 1.4.1999 rekisteröitynä yhteensä 2 012 henkilöä.

Hakijoilta saatu lisäselvitys

Hakijoilta hakijoina olevien yhteisöjen oikeudellisesta asemasta saadun kirjallisen lisäselvityksen mukaan Den Danska Bank Aktieselskab, Helsingin sivukonttori on Tanskassa toimiluvan saaneen luottolaitoksen Suomessa toimiva sivukonttori ja Skandinaviska Enskilda Banken Ab (publ), Helsingin sivukonttori ja Svenska Handelsbanken Ab (julk), Suomen sivukonttori ovat Ruotsissa toimiluvan saaneiden luottolaitosten Suomessa toimivia sivukonttoreita. Merita Capital Oy ja OP-Rahoitus Oy ovat luottolaitostoiminnasta annetun lain 3 §:ssä tarkoitettuja rahoituslaitoksia. Leonia Oyj on mainitun lain 4 §:ssä tarkoitettu omistusyhteisö ja Merita Pankkiiriliike Oy, Opstock Oy ja Aktia Pankkiiriliike Oy ovat sijoituspalveluyrityksiä, joiden toimintaa sääntelee laki sijoituspalveluyrityksistä. Muut hakijoina olevat yhteisöt ovat luottolaitostoiminnasta annetun lain 2 §:ssä tarkoitettuja luottolaitoksia.

Aktia Pankkiiriliike Oy:n toimilupahakemuksen käsittely on vielä kesken, joten hakemus on sen osalta sikäli ehdollinen, että yhtiö ryhtyy käyttämään rekisteriä vain, jos toimilupa myönnetään.

Rahoituslaitoksilla ja sijoituspalveluyrityksillä on hakijoiden mukaan merkittäviä asiakasriskejä ja niillä on tarve rekisteröidä väärinkäytöstietoja. Leonia Oyj:n toimialaan kuuluu huolehtia konserniin kuuluvien yhtiöiden riskienhallinnasta ja -valvonnasta ja muista keskitetysti hoidettavista konsernihallinnollisista tehtävistä kuten sisäisestä tarkastuksesta. Hakijat katsovat, että näin ollen myös Leonia Oyj:llä on tarve väärinkäytöstietojen rekisteröintiin.

Hakemuksen sisältö, kun otetaan huomioon aikaisemmin myönnetyn poikkeusluvan 19/6.6.1994 sisältö ja siihen vaaditut muutokset

Hakijat pyytävät henkilörekisterilain 37 §:ssä tarkoitettua poikkeuslupaa saada

A) Tallettaa asiakashäiriörekistereihinsä entisiä asiakkaitaan
koskevia saamisen maksun viivästymistietoja.

B) Kerätä ja tallettaa asiakashäiriörekistereihinsä sekä käyttää
tietoja sellaisista hakijoiden palveluihin tai liiketoimintaan
kohdistuneista väärinkäytöksistä, joissa hakija on asianomistaja.

A ja B-kohdissa tarkoitetuista tiedoista talletettaisiin asiakashäiriörekistereihin seuraavat tiedot: - tieto häiriön ajankohdasta - tieto rekisteröintipäivästä - koodi, joka ilmaisee, että kysymyksessä on A-kohdassa tarkoitettu
tieto sekä mahdollinen luoton numero. Koodiin tehtäisiin
lisämerkintä, jos saaminen on hoidettu ilman oikeudellisia perimistoimia. - koodi, joka ilmaisee, että kysymyksessä on B-kohdassa tarkoitettu
tieto. - väärinkäyttäjän nimi, henkilötunnus tai sen puuttuessa syntymäaika
sekä osoite ja ammatti, jos ne ovat tiedossa. - velan tai vaatimuksen määrä tuhansina markkoina. - tieto siitä, mikä luvan saaneista yhteisöistä on ilmoittanut
tallennettavan tiedon.

Tietoja on tarkoitus käyttää väärinkäytösten estämiseksi sekä hakijoiden luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.

C) Luovuttaa B kohdassa tarkoitettuja väärinkäytöstietoja toisille luottolaitoksille, jos luovuttaminen on tarpeen näitä kohtaan suunnattujen rikosten ja rikossarjojen ehkäisemiseksi ja katkaisemiseksi sekä tekijöiden kiinnisaamiseksi tai luottolaitosten luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi. Tietoa velan tai vaatimuksen markkamäärästä ei kuitenkaan luovutettaisi.

Hakijat pyytävät, että lupa myönnettäisiin edellä esitettyjä poikkeuksia lukuun ottamatta samansisältöisenä kuin voimassa oleva lupa nro 19/6.6.1994 dnro 15/72/94.

Asiakashäiriörekistereihin merkittävät väärinkäytökset

Tietosuojavaltuutettu on toimittanut tietosuojalautakunnalle kirjeellään 22.12.1998 tiedoksi Suomen Pankkiyhdistyksen tietosuojavaltuutetulle antaman 23.9.1997 päivätyn lausunnon asiakashäiriörekistereihin merkittävistä väärinkäytöksistä. Lausunnon mukaan 23.9.1997 rekistereihin merkittiin seuraavat eri rikosnimikkeiden mukaiset väärinkäytökset: 1) Maksuvälinepetos 2) Kätkemisrikos 3) Maksuvälinepetoksen valmistelu 4) Petos 5) Väärennys 6) Rahanväärennys 7) Velallisen rikokset 8) Kavallus 9) Vakuusoikeuden loukkaus 10) Varkaus 11) Lahjominen elinkeinotoiminnassa 12) Lahjuksen ottaminen elinkeinotoiminnassa 13) Luottamusaseman väärinkäyttö 14) Ryöstö 15) Kiskonta 16) Kiristys

Tietosuojavaltuutettu on lähettänyt tietosuojalautakunnalle lähettämänsä kirjeen 22.12.1998 tiedoksi Suomen Pankkiyhdistys ry:lle.

KUULEMINEN

Tietosuojalautakunta on pyytänyt tietosuojavaltuutetun lausunnon hakemuksesta. Lausuntoa on pyydetty erityisesti siitä, minkälaisia kokemuksia on saatu poikkeusluvassa 19/6.6.1994 dnro 15/72/94 asetettujen lupamääräysten riittävyydestä.

Lausunnossaan 22.6.1999 tietosuojavaltuutettu toteaa, että henkilötietolain 43 §:n 2 momentin mukaan arkaluonteisten tietojen osalta lupa voidaan myöntää ainoastaan tärkeää yleistä etua koskevasta syystä.

Tietosuojavaltuutettu katsoo, että alioikeuden vapauttavan päätöksen jälkeen poistettua merkintää ei enää tulisi ylemmän oikeusasteen langettavan päätöksen perusteella merkitä uudelleen.

Koska merkinnän säilyttämisaika on sidottu rekisteröintipäivään tietosuojavaltuutettu ehdottaa, että lautakunta asettaisi määräajan, minkä sisällä merkintä väärinkäyttäjärekisteriin tulisi rikosilmoituksesta tai muusta rekisteröintioikeuden laukaisevasta kriteeristä tehdä.

Tietosuojavaltuutettu katsoo, että mahdollinen lupa tulee edelleenkin myöntää määräaikaisena, koska tarve tällaiseen henkilötietojen käsittelyyn on syytä määräajoin arvioida uudelleen. Viitaten henkilötietolain 12 §:n 2 momenttiin, tietosuojavaltuutettu esittää enintään viiden vuoden määräaikaa.

Hakijoiden antama selitys tietosuojavaltuutetun lausunnosta

Hakijat ovat antaneet tietosuojalautakunnalle selityksensä tietosuojavaltuutetun lausunnosta.

Selityksessään hakijat viittaavat arkaluonteisten tietojen rekisteröinnin edellytyksenä olevan tärkeän yleistä etua koskevan syyn osalta talousrikollisuuden ja harmaan talouden torjunnan tärkeyteen, jota hakijoiden mukaan on viime aikoina korostettu enenevässä määrin. Hakijat toteavat, että koska talousrikollisuuden ja harmaan talouden aiheuttamat tappiot koko yhteiskunnalle ovat merkittävät, valtiovalta on lisännyt rikollisuuden ja harmaan talouden torjuntaan käytettäviä resursseja. Lausunnossa katsotaan, että samoin on tärkeää, että pankeilla on käytössä asiakashäiriörekisteri talousrikosten torjumiseksi. Rekisteröinnin tärkeys ilmenee lausunnon mukaan myös edelliseen poikkeuslupahakemukseen liitetyistä Keskusrikospoliisin 9.2.1994 ja Rahoitustarkastuksen 28.2.1994 antamista lausunnoista.

Hakijat katsovat, että on tarpeen voida rekisteröidä ylemmän oikeusasteen antama langettava tuomio tapauksissa, joissa merkintä on poistettu alioikeuden vapauttavan päätöksen jälkeen. Merkinnän tekemättä jättäminen suojelisi nimenomaan järjestäytyneitä talousrikollisia, joiden tekemät rikokset ovat niin suunnitelmallisia, että niistä riittävän näytön saaminen on erittäin vaikeaa ja vahingot ovat kuitenkin suuria. Siksi on tarpeen voida rekisteröidä ylemmän oikeusasteen antama tuomio. Hakijat toteavat, että laajat talousrikossyytteet käsitellään pääsääntöisesti kaikissa oikeusasteissa.

Tietosuojavaltuutetun esittämän määräajan asettaminen sille, milloin merkintä väärinkäyttäjärekisteriin tulisi rikosilmoituksesta tai muusta rekisteröintioikeuden laukaisevasta kriteeristä tehdä, vaikeuttaisi hakijoiden mukaan suurten talousrikosten rekisteröintiä. Hankalammat talousrikokset voivat paljastua pitkän ajan kuluttua teosta. Toisinaan asianomistaja saa tiedon asiasta vasta tullessaan kutsutuksi kuultavaksi esitutkinnassa. Kaikkein hankalimmissa tapauksissa pankki on saattanut tehdä asiakashäiriömerkinnän vasta syyttäjän nostettua syytteen, jos tilanne on ollut niin epäselvä, että syyttämättä jättämispäätöstä on pidetty mahdollisena. Näin rekisteriin ei ole tullut turhaa merkintää epäselvässä tapauksessa. Määräajan asettaminen lupaehtoihin estäisi tällaisen erityisen varovaisen menettelyn, koska riskinä olisi, ettei henkilöä enää voitaisi rekisteröidä, kun syyttäjä päättää nostaa syytteen. Hakijat toteavat, että suurten talousrikosten tutkinta kestää usein pitkän ajan.

Hakijat katsovat, että lupa tulisi voida myöntää toistaiseksi voimassa olevana, koska rekisterin toiminta on ollut vakiintunutta eikä siitä ole aiheutunut rekisteröidyn yksityisyyden suojan kannalta ongelmia. OPK katsoo antamassaan selityksessä, että rekisteristä ei ole aiheutunut haittaa myöskään yleiselle edulle ja pitää poikkeusluvan myöntämistä toistaiseksi voimassa olevana kaikkien pankkien riskienhallinnan kannalta tarpeellista.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Kesäkuun 1 päivänä 1999 voimaan tullut henkilötietolaki (523/1999) on kumonnut 30 päivänä huhtikuuta 1987 annetun henkilörekisterilain (471/1987) siihen myöhemmin tehtyine muutoksineen. Henkilörekisterilain 37 §:ssä tarkoitettujen poikkeuslupien myöntäminen lain säännöksistä ei enää ole mahdollista. Tämän vuoksi tietosuojalautakunta on tutkinut hakemuksen hakemuksena saada henkilötietolain 43 §:n 1 momentissa tarkoitettu lupa henkilötietojen käsittelyyn ja henkilötietolain 43 §:n 2 momentissa tarkoitettu lupa arkaluonteisten henkilötietojen käsittelyyn.

Rekisterinpitäjä

Rekisterinpitäjällä tarkoitetaan henkilötietolain 3 §:n 4 kohdassa yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty.

Hakijoilta saadun selvityksen mukaan kullakin hakijalla on oma asiakashäiriörekisterinsä. Rekisterin teknisen ylläpidon hoitaa Suomen Asiakastieto Oy. Tietosuojalautakunta katsoo, että kukin hakijayhteisö on oman asiakashäiriörekisterinsä henkilötietolain 3 §:n 4 kohdassa tarkoitettu rekisterinpitäjä.

A. Maksun viivästymistä koskevien tietojen käsittely

Henkilötietojen käsittelyllä tarkoitetaan henkilötietolain 3 §:n 2 kohdassa kaikkia henkilötietoihin kohdistuvia toimenpiteitä, mm. henkilötietojen keräämistä, tallettamista ja luovuttamista.

Henkilötietolain 8 §:ssä säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Henkilötietoja saa käsitellä ainoastaan 8 §:n 1 momentin 1-9 kohdassa mainituilla edellytyksillä.

Henkilötietoja saa käsitellä henkilötietolain 8 §:n 1 momentin 5 kohdan nojalla, jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan.

Henkilötietoja saa käsitellä henkilötietolain 8 §:n 1 momentin 9 kohdan nojalla, jos tietosuojalautakunta on antanut käsittelyyn henkilötietolain 43 §:n 1 momentissa tarkoitetun luvan.

Tietosuojalautakunta katsoo, että henkilötietolain 8 §:n 1 momentin 5 kohdassa tarkoitettu yhteysvaatimus ei täyty hakijoiden rekisterinpidossa siltä osin, kuin tarkoitus on käsitellä saamisen maksun viivästystietoja, jotka koskevat henkilöitä, joiden asiakassuhde tai muu asiallinen yhteys luottolaitokseen on katkennut esimerkiksi saatavien suorittamisen vuoksi.

Koska henkilötietolain 8 §:n 1 momentin 1-8 kohdissa säädetyt edellytykset henkilötietojen käsittelylle eivät täyty siltä osin kuin tarkoitus on käsitellä edellä mainittujen henkilöiden tietoja, tarvitsevat hakijat maksun viivästymistä koskevien tietojen käsittelyyn tietosuojalautakunnan henkilötietolain 43 §:n 1 momentissa tarkoitetun luvan.

Henkilötietolain 43 §:n 1 momentin mukaan tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn mm., jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia.

Päätös

Tietosuojalautakunta katsoo, että saamisen maksun viivästymistä koskevilla tiedoilla on merkitystä arvioitaessa henkilön taloudellista asemaa, sitoumusten hoitokykyä ja luotettavuutta.

Hakijoiden, joiden taloudelliset riskit luoton- ja sitoumustenannossa saattavat olla huomattavat, on tärkeätä säilyttää maksun viivästymistietoja jonkin aikaa asiakassuhteen katkeamisen jälkeenkin, koska asianomainen voi lyhyessäkin ajassa hakeutua uudestaan yhteisön asiakkaaksi. Tämän vuoksi tietosuojalautakunta katsoo, että hakemuksessa tarkoitettu maksun viivästymistä koskevien tietojen käsittely on tarpeen hakijoiden oikeutetun edun toteuttamiseksi.

Tietosuojalautakunta myöntää hakijoille luvan käsitellä hakemuksessa tarkoitetulla tavalla entisiä asiakkaitaan koskevia saamisen maksun viivästymistietoja luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi.

Lupamääräykset

Rekisteröidyn yksityisyyden suojaamiseksi tietosuojalautakunta asettaa maksun viivästymistietojen käsittelylle seuraavat lupamääräykset:

1) Tiedon saa tallettaa vain, jos erääntynyt saaminen on ollut
maksamatta yli 60 päivää eräpäivästä. 2) Tietoa ei saa tallettaa, jos asiakkaan kanssa on 1-kohdassa
mainitun ajan kuluessa sovittu maksujärjestelyistä. 3) Tämän luvan nojalla ei tietoa saa tallettaa ja talletettu tieto
on hävitettävä, jos maksun suorittamisesta on kulunut 2 vuotta. 4) Tämän luvan nojalla talletetusta tiedosta ja sen käyttötarkoituksesta
on ilman aiheetonta viivytystä ilmoitettava kirjallisesti
rekisteröidylle.

Määräysten perustelut

1 - 3) Lupamääräyksillä halutaan varmistaa, ettei rekisteriin talleteta tilapäisistä maksuvaikeuksista johtuvia maksuhäiriöitä. Lupamääräykset on asetettu myös sen vuoksi, ettei maksun viivästymisen vaikutus ulottuisi kohtuuttoman pitkälle ajalle ja koska rekisteröidyn luottokelpoisuus saattaa kohentua lyhyessäkin ajassa.

4) Rekisteröitävillä tulee olla tieto siitä, että heistä talletetaan hakemuksessa tarkoitettuja maksuviivästystietoja ja siitä, että näitä tietoja voidaan käyttää heitä koskevassa päätöksenteossa. Tämän vuoksi tulee tiedon tallettamisesta ilmoittaa rekisteröidylle asiakassuhteen päättyessä. Lupamääräyksellä halutaan varmistaa, sen lisäksi mitä henkilötietolain 24 §:ssä yleisestä informointivelvollisuudesta on säädetty, rekisterinpidon avoimuuden periaatteen toteutuminen.

B. Väärinkäytöstietojen käsittely

Arkaluonteisina henkilötietoina pidetään henkilötietolain 11 §:n mukaan mm. henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa. Rikollisella teolla tarkoitetaan sellaista lainvastaista menettelyä, josta on säädetty rangaistus.

Hakijoiden asiakashäiriörekistereihin on tarkoitus tallettaa väärinkäytöksistä koodi, joka ilmaisee, että kysymyksessä on sellainen hakijoiden palveluihin tai liiketoimintaan kohdistunut väärinkäytös, jossa hakija on asianomistaja. Hakemuksen mukaan merkintä väärinkäytöksestä tehtäisiin, jos asiasta on tehty rikosilmoitus, tutkintapyyntö tai syytepyyntö taikka rikosprosessi on saatettu muulla tavoin vireille tai alioikeus on antanut asiassa päätöksen. Merkintä kertoo siis, että rekisteröity on hakijan käsityksen mukaan syyllistynyt rikolliseen tekoon. Väärinkäytöstiedot ovat näin ollen rikollista tekoa koskevia eli arkaluonteisia tietoja.

Henkilötietolain 8 §:n 3 momentin mukaan arkaluonteisten henkilötietojen käsittelystä säädetään henkilötietolain 3 luvussa. Henkilötietolain 3 luvun 11 §:n mukaan arkaluonteisten henkilötietojen käsittely on kielletty. Arkaluonteisten tietojen käsittelykiellon poikkeuksista on säädetty henkilötietolain 12 §:ssä.

Arkaluonteisia henkilötietoja saa käsitellä henkilötietolain 12 §:n 1 momentin 1-13 kohdissa säädetyissä tapauksissa. Arkaluonteisia tietoja saa käsitellä 13 kohdan nojalla, jos tietosuojalautakunta on antanut käsittelyyn lain 43 §:n 2 momentissa tarkoitetun luvan. Henkilötietolain 43 §:n 2 momentin mukaan tietosuojalautakunta voi antaa luvan arkaluonteisten henkilötietojen käsittelyyn tärkeää yleistä etua koskevasta syystä.

Koska henkilötietolain 12 §:n 1 momentin 1-12 kohdissa säädetyt edellytykset arkaluonteisten henkilötietojen käsittelylle eivät täyty, tarvitsevat hakijat väärinkäytöstietojen käsittelyyn henkilötietolain 12 §:n 1 momentin 13 kohdassa tarkoitetun luvan.

Päätös

Tietosuojalautakunta katsoo, että vaikka väärinkäytöksiä koskevilla tiedoilla sinänsä ei ole välitöntä yhteyttä henkilön taloudelliseen asemaan ja sitoumusten hoitokykyyn, saattaa tiedoilla nimenomaan hakijoiden palveluihin tai liiketoimintaan kohdistuneista väärinkäytöksistä olla merkitystä arvioitaessa henkilön luotettavuutta luoton- ja sitoumustenannon yhteydessä. Väärinkäytöstietojen käsittelyllä voidaan lisäksi katsoa olevan merkitystä hakijoiden pyrkiessä estämään väärinkäytöksiä eli ehkäisemään ja katkaisemaan hakijoihin suunnattuja rikoksia ja rikossarjoja sekä tekijöiden kiinnisaamisessa. Väärinkäytöstietojen luovuttaminen toisille hakijoille helpottaa merkittävästi hakijoihin kohdistuvien väärinkäytösten estämistä ja hakijoiden luoton- ja sitoumustenantoon liittyvien riskien pienentämistä.

Tietosuojalautakunta katsoo, että tärkeä yleinen etu edellyttää, että hakijoilla on mahdollisuus käsitellä tietoja hakijoiden palveluihin ja liiketoimintaan kohdistuneista väärinkäytöksistä.

Tämän vuoksi tietosuojalautakunta myöntää hakijoille luvan käsitellä tietoja välittömästi luottolaitostoiminnasta annetun lain 20 §:ssä tai sijoituspalveluyrityksistä annetun lain 3 ja 16 §:ssä tarkoitettuihin toimintoihin kohdistuvista väärinkäytöksistä hakijoiden luoton- ja sitoumustenantoon liittyvien riskien pienentämiseksi ja väärinkäytösten estämiseksi.

Lupamääräykset

Rekisteröidyn yksityisyyden suojaamiseksi tietosuojalautakunta asettaa väärinkäytöstietojen käsittelylle seuraavat lupamääräykset:

1) Tietoa ei saa rekisteröidä ennen kuin asiasta on tehty rikosilmoitus,
tutkintapyyntö tai syytepyyntö taikka rikosprosessi on
saatettu muulla tavoin vireille. 2) Merkintä väärinkäytösrekisteriin on tehtävä viimeistään 1
vuoden kuluessa siitä, kun rekisterinpitäjä on saattanut rikosprosessin
vireille tai kun rekisterinpitäjä on saanut tiedon
siitä, että joku muu on saattanut rikosprosessin vireille,
taikka kun syyttäjä on päättänyt nostaa syytteen asiassa. 3) Tieto on poistettava välittömästi, kun asianomainen on alioikeuden
tuomiolla todettu syyttömäksi väärinkäytökseen tai oikeusprosessista
on luovuttu. Tieto on poistettava välittömästi
myös silloin, kun ylempi oikeusaste vapauttaa alemman oikeusasteen
tuomitseman henkilön. 4) Tiedon saa rekisteröidä uudelleen, jos ylempi oikeusaste
tuomitsee henkilön, jonka alempi oikeusaste on vapauttanut. 5) Tieto on poistettava viimeistään 5 vuoden kuluttua siitä, kun
väärinkäytös on ensimmäisen kerran rekisteröity. 6) Rekisteröidylle on ilmoitettava väärinkäytöstietojen käytöstä
päätöksenteossa sekä siitä, mistä rekisteristä väärinkäytöstiedot
ovat peräisin ja milloin ne on hankittu, jos luoton epääminen
tai muu rekisteröidylle kielteinen päätös johtuu asiakashäiriörekisterissä
olevista tiedoista.

Määräysten perustelut

1) Rekisteröidyn oikeusturva edellyttää, että rekisteröitävä väärinkäytös
saatetaan viranomaisten tutkittavaksi. Rekisteröidyn
oikeusturva ei kuitenkaan edellytä, että asianomistajana oleva
hakija itse tekee rikosilmoituksen, jos joku muu on jo tehnyt
rikosilmoituksen. 2) Lupamääräys on asetettu, jottei väärinkäytöksen rekisteröinnin
viivästyminen kohtuuttomasti viivästyttäisi tiedon säilyttämisajan
alkua. 3) Rekisterinpitäjän on huolehdittava siitä, että rekisterissä oleva,
tietojen käsittelyn tarkoituksen kannalta virheellinen tieto
poistetaan. Väärinkäytöstietojen laatu huomioon ottaen tieto
on poistettava välittömästi. 4-5) Tieto on poistettava asetetussa
määräajassa, koska tiedon voidaan arvioida tässä ajassa menettäneen
merkityksensä kyseessä olevan henkilötietojen käsittelyn
tarkoituksen kannalta. Tämä määräaika koskee myös tilanteita,
joissa tieto halutaan rekisteröidä uudelleen silloin, kun
ylempi oikeusaste on tuominnut henkilön, jonka alempi oikeusaste
on vapauttanut. 6) Lupamääräys on asetettu, jotta rekisteröity saisi henkilötietolain
24 §:ssä tarkoitetun yleisen informaation lisäksi tiedon
rekisterimerkinnän käyttämisestä häntä koskevassa päätöksenteossa.
Koska väärinkäytöstiedot ovat rinnastettavissa luottotietoihin,
on väärinkäytöstietojen käytöstä ilmoittamisessa perusteltua
noudattaa samaa menettelyä, joka on henkilöluottotietojen
osalta säädetty henkilötietolain 25 §:n 2 momentissa.

LUVAN VOIMASSAOLO

Lupa myönnetään olemaan voimassa toistaiseksi.

Lupamääräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on perusteltua. Tietosuojalautakunta voi peruuttaa luvan, kun edellytyksiä luvan myöntämiselle ei enää ole tai kun rekisterinpitäjä toimii luvan tai siihen liitettyjen määräysten vastaisesti.

SOVELLETUT SÄÄNNÖKSET

Henkilötietolaki 3 § 4 kohta
Henkilötietolaki 8 § 1 mom
Henkilötietolaki 11 § 3 kohta
Henkilötietolaki 12 § 1 mom 13 kohta
Henkilötietolaki 43 §
Luottolaitoslaki 2 §
Luottolaitoslaki 3 §
Luottolaitoslaki 20 §
Laki ulkomaalaisen luotto- ja rahoituslaitoksen toiminnasta
Suomessa 1 § 1 mom
Laki ulkomaalaisen luotto- ja rahoituslaitoksen toiminnasta
Suomessa 2 § 1 kohta
Laki sijoituspalveluyrityksistä 3 §
Laki sijoituspalveluyrityksistä 16 §

ILMOITUS EY:N KOMISSIOLLE

Tietosuojalautakunta tekee tästä päätöksestä yksilöiden suojelusta
henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta
annetun Euroopan parlamentin ja neuvoston direktiivin
95/46/EY 8 artiklan 6 kohdan mukaisen ilmoituksen EY:n komissiolle
päätöksen tultua lainvoimaiseksi.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.