12.6.2017 7/2017

Luottokelpoisuuden arvioiminen - Huolellisuusvelvoite - Tarpeellisuusvaatimus - Virheettömyysvaatimus - Rekisterinpitäjä

Tietosuojalautakunta velvoitti tietosuojavaltuutetun hakemuksen johdosta kulutusluottoja tarjoavan rekisterinpitäjän henkilötietolain 44 §:n 2 momentin nojalla muuttamaan luotonhakijoiden luottokelpoisuuden arvioimisprosessinsa sellaiseksi, että se noudattaa henkilötietolain 5, 6 ja 9 §:ää. Hakija käsitteli osana luottokelpoisuuden arvioimiskäytäntöään yhtäältä tarpeettomia ja toisaalta riittämättömiä tietoja. Tietosuojalautakunta katsoi lisäksi, että hakijan luottokelpoisuuden arvioimisprosessi ei henkilötietojen käsittelyn osalta kaikilta osin noudattanut henkilötietolain vaatimuksia esimerkiksi informoinnin ja suostumuksen keräämisen osalta. Näin ollen rekisterinpitäjä ei ollut toiminut henkilötietolain 5, 6 ja 9 §:ssä säädettyjä velvoitteita noudattaen. 

HAKIJA  

Tietosuojavaltuutettu
 

REKISTERINPITÄJÄ

4finance Oy (jäljempänä rekisterinpitäjä)

HAKEMUS

Tietosuojavaltuutettu pyytää, että tietosuojalautakunta velvoittaa rekisterinpitäjää henkilötietolain 44 §:n 2 momentin nojalla, sopivaksi katsomaansa määräaikaan mennessä ja tarvittaessa uhkasakolla päätöstään tehostaen, muuttamaan luotonhakijoiden luottokelpoisuuden arvioimisprosessinsa sellaiseksi, että se noudattaa henkilötietolain 5, 6 ja 9 §:ää.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS

Tietosuojalautakunta velvoittaa henkilötietolain 44 §:n 2 kohdan nojalla rekisterinpitäjän muuttamaan luotonhakijoiden luottokelpoisuuden arvioimisprosessinsa sellaiseksi, että siinä noudatetaan henkilötietolain 5, 6 ja 9 §:n vaatimuksia.

Rekisterinpitäjän on ilmoitettava 29.9.2017 mennessä tietosuojavaltuutetulle, mihin toimenpiteisiin se on ryhtynyt tämän päätöksen noudattamiseksi.

Tietosuojalautakunta ei määrää asiassa uhkasakkoa, koska tietosuojavaltuutetun hakemuksessa ei ole esitetty vaatimuksia niin yksilöidysti, että niiden tehosteeksi voitaisiin tässä vaiheessa asettaa uhkasakko.

HAKEMUKSEN TAUSTA JA PERUSTELUT

Tietosuojavaltuutetun toimisto on lokakuussa 2014 alkanut selvittää, onko rekisterinpitäjän menettely luottokelpoisuuden arviointiin liittyvässä henkilötietojen käsittelyssä asiallisesti perusteltua siten kuin henkilötietolain 6 §:ssä säädetään.

Rekisterinpitäjä tarjoaa kulutusluottoja. Jotta luotonhakija voi saada siltä luoton, hänen on syötettävä verkkopankkitunnuksensa ruotsalaisen palveluntarjoajan Instantor AB:n (jäljempänä Instantor) palveluun. Luotonhakijan on suostuttava siihen, että Instantor pääsee luotonhakijan pankkitilille ja kopioi sekä tallentaa sieltä tiedot luotonhakijan edellisen 3–6 kuukauden tilitapahtumista. Tietojen perusteella Instantor tuottaa analyysin luotonhakijan maksuvarasta. Instantor säilyttää tiedot ja käyttää niitä myös itse esimerkiksi oman palvelunsa edelleen kehittämiseen sekä uusien palveluiden kehittämiseen.

Rekisterinpitäjän antaman selvityksen mukaan Instantorin harjoittama henkilötietojen käsittely perustuu luotonhakijan vapaaehtoiseen suostumukseen. Suostumus on määritelty henkilötietolain 3 §:n 7 kohdassa vapaaehtoiseksi, yksilöidyksi ja tietoiseksi tahdon ilmaisuksi, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Jos luotonhakija ei anna suostumustaan tarkistuksen tekemiseksi Instantorin palvelussa, rekisterinpitäjä ei tee luottosopimusta luotonhakijan kanssa. Suostumuksen vapaaehtoisuus on näin ollen kyseenalainen. Samoin on epäselvää, onko luotonhakijoiden palvelussa antama tahdonilmaisu tietoinen.

Rekisterinpitäjä on ilmoittanut, että myös Instantor toimii luotonhakijoiden tietojen rekisterinpitäjänä, ja Instantor on vahvistanut tämän 27.4.2016 tietosuojavaltuutetulle antamassaan selvityksessä. Rekisterinpitäjä on kertonut, että sen ja Instantorin välisen palvelusopimuksen mukaan Instantorilla on velvollisuus huolehtia siitä, että se noudattaa toiminnassaan Suomen lakia. Instantor ei kuitenkaan ole tehnyt tietosuojavaltuutetulle luottotietolaissa säädettyä luottotietotoiminnan harjoittajan ilmoitusta. Tietosuojavaltuutetun toimistolle 17.8.2015 antamansa selvityksen mukaan Instantor noudattaa Ruotsin lakia.

Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä asiaan liittyen useita selvityksiä ja lähettänyt sille 3.10.2014 sekä 19.11.2015 päivätyt ohjaukset. Ensiksi mainitussa ohjauksessa todettiin, ettei sellainen henkilötietojen käsittely, joka edellyttää toimimista vastoin lain säännöstä tai verkkopankkitunnuksia koskevia sopimusehtoja voi olla asiallisesti perusteltu siten kuin henkilötietolain 6 §:ssä säädetään.

Tietosuojavaltuutetun rekisterinpitäjälle 19.11.2015 lähettämässä ohjauksessa todettiin, että sellainen henkilötietojen käsittely, jossa hakijan on luottoa saadakseen käytettävä luotonantajan osoittamaa palvelua, joka käsittelee tietoja hakijan kaikista maksutapahtumista tietyllä aikavälillä, ei ole asiallisesti perusteltua eikä siten henkilötietolain 6 §:n mukaista. Tällaisen palvelun käyttäminen kaikkien asiakkaiden kohdalla johtaa tarpeettomien tietojen käsittelemiseen henkilötietolain 9 §:n vastaisella tavalla. Lisäksi se aiheuttaa riskin arkaluonteisten henkilötietojen käsittelemiselle ilman siihen oikeuttavaa perustetta.

Kuluttajansuojalain 7 luvun 14 §:ssä säädetään velvollisuudesta arvioida kuluttajan luottokelpoisuus. Rekisterinpitäjän tietosuojavaltuutetun toimistolle toimittamassa aineistosta ei ole ilmennyt, että se kysyisi luotonhakijalta tietoja tämän tulojen määrästä ja perusteesta, menoista, veloista ja varoista tai mahdollisista takausvastuista, kuten ei myöskään työ- tai virkasuhteen laadusta. Sen tapa kerätä tietoa kuluttajien maksuvarasta tilianalyysin perusteella poikkeaa siitä, mitä lainsäätäjä on kuluttajansuojalain 7 luvun 14 §:ää säätäessään pitänyt tarpeellisena. Sen lisäksi, että mahdollisesti tarpeellisia tietoja jää ilmeisesti hankkimatta, rekisterinpitäjän menetelmä vaikuttaa näennäisestä kattavuudestaan huolimatta epäluotettavalta. Instantor tutkii yhden pankkitilin tapahtumat, vaikka monilla ihmisillä on käytössään useita pankkitilejä.

Tietosuojavaltuutetun käsityksen mukaan rekisterinpitäjän toimintamalli ei ole selvitysten ja ohjausten myötä muuttunut sillä tavoin, että sen tapa käsitellä henkilötietoja osana luottokelpoisuuden arviointiprosessiaan olisi edelleenkään asiallisesti perusteltu. Usean kuukauden tilitapahtumatietojen käsitteleminen korkeakorkoisen kuluttajaluoton myöntämisen edellytyksenä ei tietosuojavaltuutetun käsityksen mukaan voi olla oikeasuhtaista, vaan ainakin osa käsiteltävistä tiedoista on väistämättä henkilötietojen käsittelyn tarkoituksen kannalta tarpeettomia.

Muun maussa informoinnin puutteet sekä tietojen käyttäminen alun perin toimeksisaajaksi esitetyn tahon omassa toiminnassa piirtävät kuvan menettelystä, joka ei ole henkilötietolain 5, 6 ja 9 §:n mukaista. Asiassa osapuolina olevien yhtiöiden erilaiset näkemykset sovellettavasta lainsäädännöstä ovat myös omiaan luomaan käsityksen siitä, että henkilötietojen käsittely ei ole asiallisesti perusteltua tai huolellista siten kuin henkilötietolain 5 §:ssä edellytetään.

KUULEMINEN

Rekisterinpitäjän selitys 10.3.2017

Tietosuojalautakunta on varannut rekisterinpitäjälle mahdollisuuden selityksen antamiseen tietosuojavaltuutetun hakemuksen johdosta. Rekisterinpitäjä on antanut tietosuojalautakunnalle selityksen.

Yleistä

Selityksessään rekisterinpitäjä vaatii tietosuojavaltuutetun vaatimusten hylkäämistä kaikilta osin. Mikäli tietosuojalautakunta kuitenkin velvoittaisi rekisterinpitäjän muuttamaan luottokelpoisuuden arvioimisprosessiaan, rekisterinpitäjä vaatii, että tietosuojalautakunta myöntää rekisterinpitäjälle kohtuullisen ajan tällaisten muutosten toteuttamiseksi, eikä aseta rekisterinpitäjälle uhkasakkoa.

Rekisterinpitäjä on suomalainen lyhytaikaisia kuluttajaluottoja tarjoava yritys, joka on rekisteröity Etelä-Suomen aluehallintoviraston luotonantajarekisteriin. Rekisterinpitäjä on aloittanut luotonhakijan luottokelpoisuusarviointiin liittyvän henkilötietojen käsittelyn uudelleenarvioinnin vuoden 2017 alussa. Uudelleenarviointi keskittyy erityisesti tietosuojavaltuutetun aiemmin antamaan ohjaukseen sekä toukokuussa 2018 sovellettavaksi tulevaan Euroopan unionin yleiseen tietosuoja-asetukseen (EU) 2016/679. Oman uudelleenarviointinsa pohjalta tehtävien muutosten lisäksi rekisterinpitäjä on valmis muuttamaan sen luottokelpoisuusarviointiin liittyviä henkilötietojen käsittelytapoja niin tietosuojalautakunnan kuin tietosuojavaltuutetun antaman ohjauksen mukaisesti.

Rekisterinpitäjä toteaa, että yksittäisen luottokelpoisuusarvion osan, kuten tilastotietoihin pohjautuvien menetelmien käytön, sallittavuuden arvioiminen ei kuulu tietosuojavaltuutetun tai tietosuojalautakunnan toimivaltaan. Tällaisen sallittavuuden arviointi on ennen kaikkea Kilpailu- ja kuluttajaviraston toimivallan alainen asia.

Luottokelpoisuusarvion vaiheet

Rekisterinpitäjä kuvaa selityksessään luottokelpoisuusarvion vaiheet. Lainanhakuprosessi alkaa luotonhakijan tietojen rekisteröinnistä, minkä jälkeen luotonhakija tunnistetaan TUPAS-tunnistautumisen avulla. Onnistuneen tunnistautumisen jälkeen luotonhakija kirjautuu verkkopankkiinsa Instantorin palvelun avulla luottokelpoisuuden arvioinnissa tarvittavien tietojen keräämiseksi.

Instantor kokoaa luotonhakijan tiedoista koosteen, jonka se toimittaa rekisterinpitäjälle lainahakemuksen luottoriskiluokan määrittämistä sekä maksukyvyn arviointia varten. Instantorin toimittamaan tilitietokoostetta käytetään syötteenä rekisterinpitäjän kehittämässä luottoriskiluokituksen määräytymisjärjestelmässä. Rekisterinpitäjän käyttää siten luotonmyöntämisprosessissaan Ruotsiin rekisteröidyn Instantorin tarjoamaa palvelua. Palvelun avulla luottoa hakevan henkilön maksuvara voidaan mahdollisimman tehokkaasti ja luotettavasti varmentaa osana ennen luoton myöntämistä tehtävää luotonhakijan luottokelpoisuusarviointia.

Instantorin palvelun päätarkoitus on luotonhakijan luottokelpoisuuden arvioinnin ja maksukyvyn selvittämisen edistäminen. Instantorin palvelun avulla luottohakemuksen luottoriskiä voidaan arvioida nopealla ja luotonhakijan kannalta helpolla tavalla.

Instantorin ohella rekisterinpitäjä toimii yhteistyössä Bisnode Finland Oy:n kanssa arvioidessaan luotonhakijan luottokelpoisuutta. Bisnode Finland Oy toimittaa rekisterinpitäjälle tietoja luotonhakijan henkilöluottotiedoista, kuten luottotietomerkinnöistä.

Luotonantajan oikeus käsitellä luotonhakijan tietoja

Luotonantajalla on lainsäädännön mukaan oikeus käsitellä laajasti luotonhakijan taloudellista asemaa koskevaa informaatiota. Tältä osin rekisterinpitäjä viittaa muun ohella kuluttajansuojalain 7 luvun 14 §:ään. Sen lisäksi, että kyseinen säännös mahdollistaa verrattain laajan oikeuden käsitellä luotonhakijan henkilötietoja, asettaa se luotonantajalle velvollisuuden selvittää, onko luotonhakija luottokelpoinen. Luottopäätösten on mainitun säännöksen mukaan perustuttava sellaiselle tiedolle, joka antaa tarpeeksi tarkan kuvan kuluttajan maksukyvystä ja -halukkuudesta, ja näin ollen myös tämän luottokelpoisuudesta.

Rekisterinpitäjä viittaa selityksessään myös kuluttajansuojalain 7 luvun esitöihin, joissa todetaan, että luotonantajalla on velvollisuus kohtuullisin toimenpitein pyrkiä varmistamaan kuluttajan antamien tietojen oikeellisuus. Lisäksi esitöiden mukaan tietoja kuluttajan tuloista ja muista taloudellisista olosuhteista tulisi hankkia myös rahamäärältään pienempiä luottoja myönnettäessä.

Henkilötietojen käsittely

Rekisterinpitäjä käsittelee henkilötietoja sen ja luottoa hakevan tai saavan henkilön välisen asiakassuhteen hoitamiseksi sekä liiketoimintansa kehittämiseksi. Rekisterinpitäjä käsittelee henkilötietoja siten asiakassuhteeseen liittyvien oikeuksiensa ja velvollisuuksiensa toteuttamiseksi. Osana asiakkuuden hoitamista rekisterinpitäjä käsittelee henkilötietoja luottoa hakevan henkilön luottokelpoisuuden arvioimiseksi rekisterinpitäjää velvoittavien kuluttaja- ja luotonantosäännösten velvollisuuksiensa mukaisesti.

Rekisterinpitäjä katsoo, että henkilötietojen käsittely on henkilötietolain 6 §:n nojalla asiallisesti perusteltua sen toiminnan kannalta, koska se käsittelee luotonhakijan henkilötietoja luottokelpoisuusarvion toteuttamiseksi sekä luottopäätöksen tekemiseksi. Sen lisäksi, että luottopäätöksen pohjana käytettävien tietojen tulee olla luotettavasta lähteestä, kuluttajansuojalain säännösten ja lakia koskevien esitöiden mukaan luottopäätöksen perusteena olevien tietojen tulee olla sellaisia, että ne antavat totuudenmukaisen kuvan kuluttajan tuloista ja muista taloudellisista olosuhteista.

Jotta luottopäätös perustuisi lainsäädännön vaatimalla tavalla luotettavaan tietoon, on perusteltua, että tietoa kerätään sellaiselta luotonhakua edeltävältä – kuten kuuden kuukauden – ajalta, joka antaa luotonhakijan taloudellisen tilan pysyvyydestä mahdollisimman totuudenmukaisen kuvan. Rekisterinpitäjä käsittelee luotonhakijan luottokelpoisuusarvioinnissaan vain luoton myöntämisen arvioimiseksi tarpeellisia henkilötietolain 9 §:n mukaisia henkilötietoja.

Rekisterinpitäjä voi käyttää luottokelpoisuusarviointiin liittyvässä henkilötietojen käsittelyssä palveluntarjoajia. Rekisterinpitäjän käyttäessä palveluntarjoajaa käsittelee palveluntarjoaja henkilötietoja rekisterinpitäjän lukuun henkilötietolain 8 §:n 1 momentin 7 kohdan mukaisesti rekisterinpitäjän toimeksiannosta tapahtuvaa tietojenkäsittelyä varten.

Suhde Instantoriin

Osana aloittamaansa tietojen käsittelyn uudelleenarviointia rekisterinpitäjä ja Instantor käyvät läpi osapuolten välistä yhteistyösuhdetta sekä siitä seuraavia henkilötietolain mukaisia rooleja ja vastuutaan. Rekisterinpitäjä ja Instantor ovat lähtökohtaisesti itsenäisiä rekisterinpitäjiä. Näin ollen Instantor vastaa kaikesta henkilötietojen käsittelystä, jota se suorittaa rekisterinpitäjän roolissaan.

Koska Instantor on lähtökohtaisesti itsenäinen rekisterinpitäjä, Instantorin toiminta ei ole Suomen tietosuojalainsäädännön alaista. Sikäli kun Instantor käsittelee henkilötietoja rekisterinpitäjän lukuun, toimii Instantor Suomen lainsäädännön alla ja sen toimintaan käsittelijänä sovelletaan Suomen tietosuojalainsäädäntöä.

Rekisterinpitäjä tarkastaa jatkuvasti, että luottokelpoisuusarviointiin liittyvässä henkilötietojen käsittelyssä toimitaan lain sekä rekisterinpitäjän ja Instantorin välisen sopimuksen mukaisesti. Mikäli tällaisten tarkastusten aikana rekisterinpitäjä havaitsee käytänteitä tai laiminlyöntejä, jotka eivät ole lain ja sopimuksen mukaisia, rekisterinpitäjä ryhtyy tarvittaessa toimiin niiden korjaamiseksi.

Tällaisten tarkastusten johdosta rekisterinpitäjä on huomauttanut Instantorille sen informointikäytäntöihin liittyvistä puutteista ja pyytänyt sitä varmistamaan, että lain vaatimus lainanhakijan suostumuksen tietoisuudesta täyttyisi asianmukaisesti. Rekisterinpitäjä katsoo, että sillä ei ole syytä epäillä Instantorin antamia tietoja tietojen keräämisen lainmukaisuudesta. Selvittäessään asiaa Instantorin kanssa sekä puuttuessaan havaitsemiinsa epäkohtiin rekisterinpitäjä katsoo toimineensa henkilötietolain 5 §:n mukaisesti huolellisesti valitessaan ja valvoessaan palveluntarjoajiaan ja yhteistyökumppaneitaan.

Tietosuojavaltuutettu on hakemuksessaan kyseenalaistanut luotonhakijan suostumuksen tietoisuuden ja vapaaehtoisuuden. Rekisterinpitäjä katsoo, että koska luotonhakijalla on tosiasiallinen mahdollisuus milloin tahansa kääntyä minkä tahansa muun luotontarjoajan puoleen ja hakea tältä lainaa rekisterinpitäjän sijaan, ei suostumuksen antamatta jättämisellä voida katsoa olevan sellaisia negatiivisia vaikutuksia, joiden vuoksi suostumusta ei olisi pidettävä vapaaehtoisena. Sen sijaan rekisterinpitäjä ja Instantor ovat tietosuojavaltuutetun ohjauksesta ryhtyneet yhdessä selvittämään, kuinka luotonhakijan informointia tulisi parantaa, jotta suostumusta voitaisiin pitää lainmukaisesti tietoisena. Rekisterinpitäjä ymmärtää, että tällaiset muutokset ovat tarpeen, jotta Instantor voisi jatkaa luotonhakijan henkilötietojen käsittelyä suostumuksen perusteella.

Tietosuojavaltuutetun lausunto 20.4.2017

Tietosuojalautakunta on varannut tietosuojavaltuutetulle mahdollisuuden antaa lausuntonsa rekisterinpitäjän 10.3.2017 antamasta selityksestä asiassa. Tietosuojavaltuutettu on antanut tietosuojalautakunnalle lausunnon.

Tarpeellisuus

Rekisterinpitäjä kertoo selityksessään esimerkkejä tiedoista, joita sen suorittamassa luottokelpoisuusarvioinnissa käytetään. Henkilötietolain 9 §:n 1 momentin mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia. Hallituksen esityksen 96/1998 yksityiskohtaisten perustelujen mukaan henkilötietoja voidaan pitää käsittelyn tarkoituksen kannalta tarpeellisina silloin, kun ne ovat asianmukaisia ja olennaisia eivätkä liian laajoja siihen tarkoitukseen, mihin ne on kerätty ja missä niitä myöhemmin käsitellään.

Kuuden kuukauden tilitapahtumat muodostavat erittäin laajan aineiston arvioitaessa luottokelpoisuutta pienlainaa varten. Tarpeellisuuden arvioiminen saattaisi olla joka tapauksessa mahdotonta, sillä tilitapahtumatietoja keräävä ei voi etukäteen tietää, mitä tietoja sille kertyy.

Rekisterinpitäjän vastuu sen hyväksi tapahtuvan tietojenkäsittelyn kokonaisuudesta

Instantorin palvelu on niin olennainen osa rekisterinpitäjän luotonantoprosessia, että luottoa ei voi saada käyttämättä sitä. Rekisterinpitäjän luotonhakijoiden maksukyvyn arvioiminen näyttää selkeästi henkilötietojen käsittelyltä rekisterinpitäjän lukuun, eikä järjestelylle mahdollisesti annettava muu nimi voi vaikuttaa järjestelyn juridiseen arviointiin.

Huolellinen henkilötietojen käsitteleminen edellyttää aina myös sitä, että yhteistyö- kumppanit valitaan huolellisesti. Rekisterinpitäjä tietää, että Instantor varaa oikeuden käyttää saamiaan henkilötietoja omiin tarkoituksiinsa Suomen lakia noudattamatta ja Suomen viranomaisten toimivaltaa tunnustamatta. Tietosuojavaltuutetun käsityksen mukaan rekisterinpitäjä ei toimi huolellisesti, jos se ohjaa viranomaiset Instantorin puoleen ja katsoo voivansa jatkaa yhteistyötä ilman, että viranomaisten antama ohjaus aiheuttaisi olennaisia muutoksia sen menettelytapoihin.

Menettelytavan asiallisesti perusteltavuus ja huolellisuus

Henkilötietolain 5 §:ssä säädetään, että rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun. Lain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta.

Tietosuojavaltuutetun käsityksen mukaan ei voi olla asiallisesti perusteltua ja huolellista, että luotonantaja ohjaa kaikki suomalaiset luotonhakijansa käyttämään palvelua, jonka tarjoaja ei noudata Suomen lakia, ja johon liittyvän informoinnin ei ole väitettykään vastaavan henkilötietolain 24 §:n vaatimuksia. Tietosuojavaltuutetun tiedossa ei ole, millaista informaatiota Instantorin palveluun kirjautuville luotonhakijoille annetaan, vai annetaanko sitä lainkaan.

Luottotietolain 3 §:n mukaan luottotietotoiminnan harjoittamisella tarkoitetaan itsenäisenä elinkeinotoimintana tapahtuvaa tietojen keräämistä, tuottamista, tallettamista, luovuttamista ja muuta käsittelyä luottotietoina käytettäviksi. Instantorin toiminnassa näyttää olevan kyse tällaisesta elinkeinotoiminnasta. Tietosuojavaltuutettu onkin sekä kirjeellä ja kasvotusten pyytänyt Instantoria tekemään luottotietolain 38 §:n mukaisen luottotietotoiminnan harjoittajan ilmoituksen. Luottotietolain mukaan ilmoitus on tehtävä kolme kuukautta ennen toiminnan aloittamista. Rekisterinpitäjä tietänee, että Instantor ei yhäkään ole tehnyt ilmoitusta. Se on kertonut selvityksessään 16.2.2015, että ilmoituksen tekemättä jättäminen on tullut sen tietoon vasta helmikuussa 2015.

Tietosuojavaltuutetun käsityksen mukaan henkilötietojen käsittely ei voi olla henkilötietolain 6 §:ssä tarkoitetulla tavalla asiallisesti perusteltua, jos siinä rikotaan jotakin lakia. Tietosuojavaltuutetun mukaan rekisterinpitäjä ei myöskään käsittele henkilötietoja laillisesti ja huolellisesti, jos se teettää suomalaisten luotonhakijoiden henkilötietoja koskevat analyysit yhtiöllä, joka ei tietoja käsitellessään noudata Suomen lakia.

Rekisterinpitäjä perustelee selityksessään, että sen käsittelemät tiedot ovat teknisesti virheettömiä ja peräisin luotettavasta lähteestä. Henkilötietolain 9 § 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä. Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle. Tämä tarkoittaa muun ohella sitä, että esimerkiksi käsiteltäessä henkilötietoja tutkimus- tai tilastotarkoituksiin velvoite ei edellyttäisi yhtä laajoja toimia kuin jos kysymys on sellaisesta henkilötietojen käsittelystä, jossa tietoja käytetään yksityistä henkilöä koskevassa päätöksenteossa.

Tilitapahtumia analysoimalla voi saada tietoja vain sellaisista luotoista, jotka on nostettu kyseiselle tilille raportointijaksolla tai joita on lyhennetty tällä ajanjaksolla. Tilitapahtumatiedot ovat epätäydellisiä suhteessa tarkoitukseen koostaa luotettava ja oikeusvaikutuksia tuottava raportti luotonhakijan maksuvarasta. Kokonaisvaltaista käsitystä luotonhakijan maksukyvystään suhteessa hänen velkaantumiseensa ei välttämättä synny. Sen lisäksi, että käsiteltävien tietojen tarpeellisuutta ei voida todeta, kerättävät tiedot vaikuttavat olevan henkilötietojen käsittelyn tarkoituksen kannalta epätäydellisiä.  Kysymys on käsittelystä, jossa tietoja käytetään henkilöä koskevassa päätöksenteossa, jolloin edellytetään laajoja toimia tietojen virheettömyyden varmistamiseksi.

Rekisterinpitäjä pyytää selityksessään tuekseen yksityiskohtaistakin ohjausta muutoksista, joita sen tulisi menettelytapoihinsa tehdä, jotta tietojen käsittely olisi tehokasta ja täyttäisi Suomen tietosuojalainsäädännön vaatimukset. Tietosuojavaltuutetun toimivaltaan kuuluu yleisen ohjauksen antaminen. Tässä rekisterinpitäjän esittämä pyyntö ylittää tietosuojavaltuutetun toimivallan ja on siten lakiin perustumaton. Pyyntö osoittaa kuitenkin, ettei rekisterinpitäjä ole kyennyt menettelemään henkilötietolain 5 §:ssä säädetyllä tavalla.

Rekisterinpitäjän selvitys tietosuojavaltuutetun lausunnon johdosta 24.5.2017

Tietosuojalautakunta on varannut rekisterinpitäjälle mahdollisuuden selvityksen antamiseen tietosuojavaltuutetun lausunnon johdosta. Rekisterinpitäjä on toimittanut tietosuojalautakunnalle selvityksen.

Lausunnossaan rekisterinpitäjä kertoo muun muassa, että sen aiemmassa selityksessä kuvaaman mukaisesti Instantor on vakuuttanut sen kanssa käytyjen keskustelujen yhteydessä ja niiden seurauksena rekisterinpitäjälle, että Instantorin tarjoama ja käyttämä henkilötietojen keräyksen mahdollistama teknologia ei edellytä luotonhakijan toimivan vastoin verkkopankkeihin liittyviä lain tai sopimusten ehtoja.

Lisäksi rekisterinpitäjä käsittelee luotonhakijan luottokelpoisuusarvioinnissaan vain luoton myöntämisen arvioimiseksi tarpeellisia henkilötietolain 9 §:n mukaisia henkilötietoja. Jos tietosuojalautakunta katsoisi, että rekisterinpitäjän tulee muuttaa henkilötietojen käsittelytoimintaa, pyytää rekisterinpitäjä ohjausta sen tarpeelliseksi katsomista muutoksista.

TIETOSUOJALAUTAKUNNAN PÄÄTÖKSEN PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain 2 §:n 1 momentin mukaan henkilötietoja käsiteltäessä on noudatettava, mitä henkilötietolaissa säädetään, jollei muualla laissa toisin säädetä.

Henkilötietolain 5 §:ssä säädetään huolellisuusvelvoitteesta. Pykälän mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Henkilötietolain 9 §:n 1 momentin mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Pykälän 2 momentin mukaan rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Henkilötietolain 38 §:ssä säädetään tietosuojaviranomaisista. Pykälän 2 momentin mukaan tietosuojalautakunta käsittelee henkilötietojen käsittelyyn liittyviä lain soveltamisalan kannalta periaatteellisesti tärkeitä kysymyksiä ja käyttää päätösvaltaa tietosuoja-asioissa siten kuin henkilötietolaissa säädetään.

Henkilötietolain 44 §:n 2 kohdan mukaan tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta velvoittaa muissa kuin 40 §:n 2 momentissa tarkoitetuissa asioissa asianomaisen määräajassa oikaisemaan sen, mitä on oikeudettomasti tehty tai laiminlyöty.

Kuluttajansuojalain 7 luvun 14 §:ssä säädetään velvollisuudesta arvioida kuluttajan luottokelpoisuus. Pykälän 1 momentin mukaan luotonantajan on ennen luottosopimuksen tekemistä arvioitava, kykeneekö kuluttaja täyttämään luottosopimuksen mukaiset velvoitteensa (kuluttajanluottokelpoisuus). Arviointi on tehtävä kuluttajan tuloja ja muita taloudellisia olosuhteita koskevien riittävien tietojen perusteella. Pykälän 2 momentin mukaan jos osapuolet sopivat myöhemmin luoton määrän tai luottorajan korottamisesta, luotonantajan on varmistettava kuluttajaa koskevien tietojen ajantasaisuus ja, jos luoton määrää tai luottorajaa merkittävästi korotetaan, arvioitava kuluttajan luottokelpoisuus uudelleen ennen korotuksesta sopimista.

Perustelut

Rekisterinpitäjän on ennen luottosopimuksen tekemistä arvioitava luotonhakijan luottokelpoisuus kuluttajansuojalain 7 luvun 14 §:n edellyttämällä tavalla. Rekisterinpitäjän on ennen luottosopimuksen tekemistä arvioitava, kykeneekö kuluttaja täyttämään luottosopimuksen mukaiset velvoitteensa. Arviointi on tehtävä kuluttajan tuloja ja muita taloudellisia olosuhteita koskevien riittävien tietojen perusteella.

Tietoja kuluttajan tuloista ja muista taloudellisista olosuhteista tulisi edellä mainitun pykälän esitöiden (HE 78/2012 vp) hankkia myös rahamäärältään pienempiä luottoja myönnettäessä. Tämä velvollisuus koskee erityisesti sellaisia pieniä rahaluottoja, joissa luottoaika on lyhyt ja jotka on maksettava takaisin yhdessä erässä. Tarpeellisia tietoja kuluttajan maksuvaran ja siten luoton takaisinmaksukyvyn arvioimiseksi ovat kuluttajan tulojen määrän ja perusteen lisäksi tämän menot, velat ja varat sekä mahdolliset takausvastuut. Maksuvaran selvittämisessä tulisi ottaa huomioon tulojen jatkuvuuteen vaikuttavat seikat, kuten työ- tai virkasuhteen laatu, sekä myös seikat, jotka voivat todennäköisesti johtaa menojen merkittävään kasvuun, kuten luoton korkomenojen nouseminen. Tulotietojen varmistamiseksi kuluttajaa tulisi tilanteesta riippuen pyytää toimittamaan esimerkiksi palkka- tai eläketodistus.

Rekisterinpitäjä kysyy luotonhakijalta lainahakemuksen yhteydessä lainanhakijalta tämän henkilötunnusta, pankkitilinumeroa, sähköpostiosoitetta, salasanaa ja salasanan varmistusta.

Rekisterinpitäjän näkemyksen mukaan luottokelpoisuuden arvioimiseksi tarvittavat tiedot saadaan luotettavasti suoraan luotonhakijan vähittäispankista.

Edellä kuvattujen tietojen hankkimista ei voida pitää riittävänä siten kuin kuluttajansuojalain 7 luvun 14 §:ssä edellytetään tai virheettöminä siten kuin henkilötietolain 9 §:n 2 momentissa edellytetään. Rekisterinpitäjän toiminta ei tältä osin täytä myöskään henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta. On mahdollista, että luotonhakijalla on useita pankkitilejä eri luottolaitoksissa. Rekisterinpitäjältä saadun selvityksen mukaan se ei myöskään missään vaiheessa kysy esimerkiksi luotonhakijan työ- tai virkasuhteeseen liittyviä tietoja.

Toisaalta taas tilitietojen hankkimista useamman kuukauden, kuten kuuden kuukauden, ajalta ei voida pitää henkilötietolain 9 §:n 1 momentin mukaan tarpeellisena. Luottokelpoisuuden arvioinnin tekemisen kannalta kerättyihin tietoihin sisältyy suurella todennäköisyydellä myös tarpeettomia henkilötietoja, joista osa saattaa olla arkaluonteisia. Rekisterinpitäjän toiminta ei täytä vaatimusta siitä, että henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia. Käsittely ei tältä osin myöskään ole henkilötietolain 6 §:n tarkoittamalla tavalla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta.

Rekisterinpitäjältä saadun selvityksen mukaan lainanhakuprosessi alkaa luotonhakijan tietojen rekisteröinnistä, minkä jälkeen luotonhakija tunnistetaan TUPAS-tunnistautumisen avulla. Onnistuneen tunnistautumisen jälkeen luotonhakija kirjautuu verkkopankkiinsa Instantorin palvelun avulla luottokelpoisuuden arvioinnissa tarvittavien tietojen keräämiseksi. Luoton hakemisen edellytyksenä on Instantorin palvelun käyttäminen. Instantorin suorittamalla henkilötietojen käsittelyllä on siten kiinteä yhteys rekisterinpitäjän toimintaan.

Tietosuojalautakunta katsoo asiassa saadun selvityksen pohjalta, että tilannetta, jossa rekisterinpitäjän lainanhakuprosessin yhteydessä luotonhakijasta kerätään henkilötietoja Instantorin palvelun kautta ja Instantor kokoaa luotonhakijan tiedoista koosteen rekisterinpitäjälle lainahakemuksen luottoriskiluokan määrittämistä sekä maksukyvyn arviointia varten, on arvioitava siten, että Instantor käsittelee henkilötietoja rekisterinpitäjän lukuun.

Rekisterinpitäjä vastaa henkilötietojen käsittelyn laillisuudesta. Henkilötietolain 5 §:n mukainen huolellisuusvelvoite velvoittaa rekisterinpitäjän pyrkimään oma-aloitteisesti huolehtimaan siitä, että henkilötietojen käsittely toteutetaan ottaen huomioon yksityisyyden suojaa turvaavat säännökset ja periaatteet. Hyvään tietojenkäsittelytapaan sisältyvät muun muassa yksityisyyttä tukevat menettelytavat henkilötietoja käsiteltäessä. Lisäksi huolellisen henkilötietojen käsittelyn vaatimuksen voidaan katsoa edellyttävän, että myös rekisterinpitäjän lukuun toimivat palveluntarjoajat valitaan huolellisesti ja että niiden toiminnassa varmistutaan henkilötietojen suojaa koskevan lainsäädännön vaatimusten noudattamisesta. Rekisterinpitäjän tulee niin ikään huolehtia, etteivät sen lukuun toimivat henkilötietojen käsittelijät käsittele henkilötietoja omiin tarkoituksiinsa. Henkilötietolain 5 §:n mukainen huolellisuusvelvollisuus on myös sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

Asiassa saadun selvityksen pohjalta käy ilmi, että henkilötietojen käsittelyssä ei kaikilta osin ole noudatettu henkilötietolain vaatimuksia esimerkiksi informoinnin ja suostumuksen keräämisen osalta. Näin ollen rekisterinpitäjä ei ole toiminut henkilötietolain 5 §:ssä säädettyä huolellisuusvelvoitetta noudattaen.  

Rekisterinpitäjä on ilmoittanut tietosuojalautakunnalle toimittamassaan selityksessä, että se on aloittanut luotonhakijan luottokelpoisuusarviointiin liittyvän henkilötietojen käsittelyn uudelleenarvioinnin vuoden 2017 alussa. Tietosuojalautakunta toteaa, että rekisterinpitäjän tulee uudelleenarviointityössään huomioida edellä esiin tuodut näkökohdat.

SOVELLETUT SÄÄNNÖKSET         

Henkilötietolaki (523/1999) 2 §:n 1 momentti, 5 §, 6 §, 9 §, 38 §:n 2 momentti ja 44 §:n 2 kohta

Kuluttajansuojalaki (38/1978) 7 luvun 14 §


Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Ahti Saarenpää, Pertti Saloranta, Lea Mäntyniemi, Eila Ratasvuori, Tuula Sario ja Hannu Rautiainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.