Lausunto asunto-omaisuuteen liittyvät kuluttajaluotot -työryhmän mietinnöstä

Dnro 3215/05/2015

18.12.2015

Viite

Oikeusministeriön lausuntopyyntö OM 4/471/2005

Lausunto

Oikeusministeriö on pyytänyt tietosuojavaltuutetun lausuntoa otsikon mukaisesta esityksestä. Kiitän mahdollisuudesta lausua asiassa.

Henkilötietojen suojasta säätäminen

Yksityiselämän suoja on perusoikeus. Suomen perustuslain 10 §:n 1 momentti sisältää lainsäädäntötoimeksiannon, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Eduskunnan perustuslakivaliokunta ja hallintovaliokunta ovat lausunnoissaan ottaneet kantaneet siihen, minkälaisista henkilötietojen käsittelyyn liittyvistä asioista tulee säätää lain tasolla.

Eduskunnan perustuslakivaliokunta on lausunnoissaan PeVL 14/1998, 12/2002 sekä 14/2002 vp todennut, että tämän henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat ainakin:

  • rekisteröinnin tavoite,
  • rekisteröitävien henkilötietojen sisältö,
  • tietojen sallitut käyttötarkoitukset,
  • tietojen luovutettavuus teknisen käyttöyhteyden avulla tai muuten,
  • henkilörekisterien yhdistäminen ja
  • tietojen säilytysaika sekä
  • rekisteröidyn oikeusturva samoin kuin
  • näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla.

Laki asunto-omaisuuteen liittyvien kuluttajaluottojen välittäjistä

Henkilötietojen suojaamisesta huolehtimisesta varmentuminen

Ehdotetun 5 §:n 2 momentin 5 kohdan mukaan kuluttajaluottojen välittäjäksi ryhtyvän on sisällytettävä Finanssivalvonnalle tekemäänsä rekisteri-ilmoitukseen selvitys siitä, miten ilmoituksen tekijä aikoo huolehtia henkilötietojen suojaamisesta. Saman lain 6 §:n mukaan kyseessä on rekisteröinnin edellytys.

Yksityiskohtaisten perustelujen mukaan selvityksenä voisi toimia esimerkiksi tietosuojavaltuutetulle henkilötietolain 36 §:n 1 momentin mukaisesti tehty ilmoitus. Henkilötietolain tuossa momentissa säädetty ilmoitusvelvollisuus ei kuitenkaan koskisi kuluttajaluottojen välittäjiä eikä neuvontapalveluiden antajia. Jos kuluttajaluottojen välittäjä tai neuvontapalveluiden tarjoaja toimisi kuluttajan lukuun ja kuluttajan henkilötietojen käsittelemisen peruste olisi asiakassuhde, minkäänlaista ilmoitusvelvollisuutta tietosuojavaltuutetulle ei olisi. Jos taas toiminnanharjoittaja toimisi luotonantajan tms. lukuun ja käsittelisi kuluttajan henkilötietoja rekisterinpitäjän toimeksiannosta, rekisterinpitäjällä (luotonantajalla) olisi velvollisuus tehdä ilmoitus tietojenkäsittelyn ulkoistamisesta (henkilötietolain 36 § 1 mom.) ja toimeksisaajalla toiminnastaan (henkilötietolain 36 § 3 mom.). Toimeksiannosta henkilötietoja käsittelevällä ei ole velvollisuutta laatia käsittelemästään rekisteristä rekisteriselostetta. Henkilötietolaista seuraavat ilmoituksen tekemisen velvoitteet saattavat kuitenkin pian, EU:n tietosuoja-asetuksen hyväksymisen myötä, muuttua.

Rekisteröityjen perusoikeuksien toteutumisen kannalta on erittäin hyvä, että valvova viranomainen saa selvityksen henkilötietojen suojaamisesta jo ennen rekisteröinnin tekemistä, yhtä lailla kuin vaikkapa asiakasvarojen säilyttämisestä. Viittaus henkilötietolain 36 § 1 momenttiin ei kuitenkaan auta ilmoituksen tekijöitä selvityksen tuottamisessa, vaan perustelut on syytä muotoilla tältä osin toisin.

Henkilötietojen pitämisestä yleisesti saatavilla tietoverkossa

Asunto-omaisuuteen liittyvien kuluttajaluottojen välittäjistä pidettävään rekisteriin merkittäisiin seuraavia henkilötietoja:

  • yksityisen elinkeinonharjoittajan täydellinen nimi ja henkilötunnus
  • niiden henkilöiden täydellinen nimi ja henkilötunnus tai tämän puuttuessa syntymäaika, joiden luotettavuus on rekisteröinti-ilmoitusta käsiteltäessä selvitetty
  • niiden ylimpään johtoon kuuluvien henkilöiden täydellinen nimi ja henkilötunnus tai tämän puuttuessa syntymäaika, joiden luottotoimintaa koskeva asiantuntemus on rekisteröinti-ilmoitusta käsiteltäessä selvitetty.

Lisäksi rekisteriin olisi merkittävä

  • välittäjälle määrätyt julkiset varoitukset sekä sellaiset kiellot, joiden tehosteeksi on asetettu uhkasakko
  • rekisteristä poistamisen syy ja ajankohta.
  • tiedot niistä, joille on määrätty 18 §:n 1 momentissa tarkoitettu kielto harjoittaa asunto-omaisuuteen liittyvien kuluttajaluottojen välitystä tai tällaisiin luottoihin liittyvien neuvontapalvelujen tarjoamista ilman rekisteröintiä.

Em. kieltotieto sekä tieto em. sanktioista olisi poistettava rekisteristä viiden vuoden kuluttua sen vuoden päättymisestä, jona kielto tai muu sanktio on määrätty.

Esityksen mukaan Finanssivalvonnan olisi pidettävä rekisteriin merkityt tiedot yleisesti saatavilla sähköisen tietoverkon avulla lukuun ottamatta henkilötunnuksia. Tarkoitus näyttäisi olevan säätää kaikkien tietojen yleisesti saatavilla pitäminen Finanssivalvonnan velvollisuudeksi ilman, että se voisi käyttää harkintaa siitä silloinkaan, kun tietojen saatavilla pitäminen olisi luonnollisen henkilön kannalta kohtuutonta.

Perustuslaissa annetun lainsäädäntötoimeksiannon mukaisesti henkilötietojen suojasta säädetään tarkemmin lailla. Tärkeisiin sääntelykohteisiin kuuluu mm. rekisteröinnin tavoite.

Yleislakien kunnioittamisen periaatteen mukaan yleislaista poikkeamiseen tarvitaan aina erityinen, painava syy. Henkilötietolaki ja laki viranomaisten toiminnan julkisuudesta ovat hallinnon yleislakeja.

Nyt käsillä olevasta esityksestä ei ilmene tavoitetta tai perusteita sille, miksi yleislakien säännöksistä poiketen muita henkilötietoja kuin nimet, esimerkiksi tietoja rangaistuksen luonteisista hallinnollisista seuraamuksista, olisi tarpeen pitää yleisesti saatavilla tietoverkossa. Rekisteröidyn oikeusturvasta tietojen julkaisemisen suhteen ei myöskään ole säädetty. Esimerkiksi lakiin vakuutusedustuksesta (15.7.2005/570), jonka mukaisen rekisterin sisältö on samantyyppinen, ei ole otettu tämänkaltaisia julkisuuslaista poikkeavia säännöksiä tietojen pitämisestä yleisesti saatavilla.

Asuntoluottodirektiivin 29 artiklassa säädetään, että

Jäsenvaltioiden on varmistettava, että luotonvälittäjien rekisteri pidetään ajan tasalla ja että se on verkossa julkisesti saatavilla.

Luotonvälittäjien rekisterin on sisällettävä vähintään seuraavat tiedot:

a) johtoon kuuluvien välitystoiminnasta vastaavien henkilöiden nimet. Jäsenvaltiot voivat vaatia kaikkien sellaisten luonnollisten henkilöiden rekisteröintiä, jotka hoitavat asiakastehtäviä luotonvälitystä harjoittavassa yrityksessä;

b) jäsenvaltiot, joissa luotonvälittäjä harjoittaa toimintaa sijoittautumisvapautta tai palvelujen tarjoamisen vapautta koskevien sääntöjen nojalla ja joista luotonvälittäjä on ilmoittanut kotijäsenvaltion toimivaltaiselle viranomaiselle 32 artiklan 3 kohdan mukaisesti;

c) tieto siitä, onko luotonvälittäjä sidoksissa oleva luotonvälittäjä vai ei.

Esityksestä ei ilmene, millä perusteella artikla olisi päädytty panemaan täytäntöön juuri esitetyssä muodossa, niin että melkein mutta ei aivan kaikki rekisteriin kerättävät tiedot olisi pidettävä yleisesti saatavilla tietoverkossa. Artikla ei näyttäisi toimivan perusteena valitulle julkisuuslinjalle.

Henkilötietojen luovuttaminen ja julkaiseminen

Lähtökohtana on, että henkilötietoja voidaan luovuttaa, esimerkiksi julkaista internetissä, jos asiasta on laissa tai EU:n asetuksessa nimenomainen säännös. Tällaista säännöstä laadittaessa on tärkeää ottaa huomioon eduskunnan perustuslakivaliokunnan linjaukset henkilötietojen suojasta säätämisestä, rekisteröinnin tavoitteesta alkaen.

Sillä, ovatko tiedot vain julkisia vai pidetäänkö ne yleisesti saatavilla tietoverkossa, on niin käytännössä kuin julkisuuslakia sovellettaessa merkittävä ero. Henkilötietojen pitäminen yleisesti saatavilla tietoverkossa merkitsee, että henkilötietoja luovuttava rekisterinpitäjä ei voi enää hallita tietojen käyttöä. Kysymyksessä on henkilötietojen luovutus, ja luovutuksensaajia ovat kaikki, jotka voivat internetiä käyttää. Luovutuksensaajien käyttötarkoitusta ei voida selvittää. Näistä syistä julkisuuslain 16 § 3 momentin edellytykset henkilötietojen luovutukselle eivät täyty. Erityisesti tietojen sallitut käyttötarkoitukset, tietojen säilytysaika sekä rekisteröidyn oikeusturva herättävät kysymyksiä tilanteessa, jossa viranomaisella on velvollisuus luovuttaa tietoa sanktionluonteisista hallinnollisista seuraamuksista kenelle tahansa.

Henkilötietojen pitäminen yleisesti saatavilla tietoverkossa merkitsee tosiasiallisesti sitä, että henkilötiedot ovat saatavissa myös EU:n alueen ulkopuolelta. Henkilötietolain 23 §:ssä lainsäätäjä on päätynyt rajaamaan henkilötietojen ko. lakiin perustuvaa siirtämistä EU:n ulkopuolelle niin, että siirron on oltava "tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi".

Kun perusteita yleisöjulkisuuteen ja yleislaista poikkeamiseen ei ole esitetty, niiden painavuutta ei voida tässä arvioida. Esitetty 10 § ei vaikuta yhteensopivalta perustuslakivaliokunnan linjausten kanssa ainakaan rekisteröinnin tavoitteiden suhteen siltä osin, että yleisöjulkisuuden tavoitteet eivät ilmene esityksestä. Perusoikeusmyönteinen ratkaisu olisi, että rekisteriin merkittäviä luonnollisten henkilöiden tietoja luovutettaisiin direktiivissä edellytettyjä nimiä lukuun ottamatta vain pyynnöstä julkisuuslain mukaisesti.

Yksi vai kaksi rekisteriä?

Asunto-omaisuuteen liittyvien kuluttajaluottojen välittäjistä pidettävällä rekisterillä näyttäisi olevan kahtalainen käyttötarkoitus: toisaalta Finanssivalvonnan valvontatehtävän hoitaminen, toisaalta yleisön tiedontarpeen palveleminen tms. Henkilötietolain mukaan henkilörekisterillä tarkoitetaan käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa. Ottaen huomioon, että nyt suunnitellulla henkilörekisterillä on kaksi toisistaan poikkeavaa käyttötarkoitusta, joissa tiedontarvekin lienee erilainen, olisi luontevaa mieltää olevan kyse kahdesta eri rekisteristä. Tätä tukee myös se ristiriita, että rekisteriin on tarkoitus merkitä myös rekisteristä poistamisen ajankohta.

Edellä selostetut perustuslakivaliokunnan linjaukset olisi helpointa ottaa huomioon, jos säädettäisiin Finanssivalvonnan velvollisuudesta pitää laajempaa rekisteriä omia valvontatarpeitaan varten, sekä julkaista suppeaa luotonvälittäjien perustietoja sisältävää rekisteriä, josta poistaminen ei tarkoittaisi samaa kuin Finanssivalvonnan valvontarekisteristä poistaminen.

Jos muidenkin henkilötietojen kuin nimien pitämiselle yleisesti saatavilla tietoverkossa kuitenkin ilmenisi hyväksyttävät ja painavat perusteet, olisi vähintäänkin syytä säätää keinoista, joilla vähennetään riskejä tietojen lainvastaiseen käsittelyyn ja muihin tietoihin yhdistämiseen. Internetissä julkaistavan tiedon elinkaarta on vaikeaa hallita etenkin, jos se päätyy hakukoneiden indeksoitavaksi. Niinpä tietoja ei tule julkaista niin, että ne voidaan hakukoneindeksoida.

Laki eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä

Tällä lailla ehdotetaan säädettäväksi rekisteristä, jota Etelä-Suomen aluehallintovirasto pitäisi eräistä luotonantajista ja vertaislainojen välittäjistä. Rekisteri olisi osin jatkumoa nykyiselle luotonantajarekisterille. Tämän ja edellisen lakiehdotuksen samankaltaisuuden vuoksi edellä esitetty tietosuojavaltuutetun näkemys on soveltuvin osin voimassa tämänkin ehdotuksen kohdalla.

Yhtenä olennaisena erona näissä ehdotuksissa on, että siinä missä Finanssivalvonnan olisi pidettävä sanktionkaltaisetkin tiedot yleisesti saatavilla tietoverkossa ilman tapauskohtaista harkintaa, Etelä-Suomen aluehallintovirasto saisi pitää niitä saatavilla, kuten nykyisenkin lain mukaan. Perusteita kaikkien rekisteritietojen, henkilötunnuksia lukuun ottamatta, saatavilla pitämiseen ei nytkään ole esitetty. Rekisteröidyn oikeusturvasta tietoja julkaistaessa ei ole esitetty säädettävän. Etelä-Suomen aluehallintoviraston kohtuullisuus- tai muun harkinnan käyttämiselle henkilötietojen yleisesti saatavilla pitämisen suhteen ei ole esitetty raameja.

Tällä hetkellä Etelä-Suomen aluehallintovirasto julkaisee verkkosivuillaan luotonantajista seuraavat tiedot: toiminimi, käyntiosoite, Y-tunnus, henkilöt joiden luottotoiminnan tuntemus on selvitetty (suku- ja etunimi) sekä aluehallintoviraston rekisteröintitunnus. Kun esityksessä ei perustella, miksi muita henkilötietoja kuin nimet olisi tarpeen pitää yleisesti saatavilla, voitaneen uusi laki säätää tietojen saatavilla pitämisen osalta uudella tavalla. Perusoikeusmyönteinen ratkaisu olisi, että tietojen julkisuus perustuisi yleislain säännöksiin.

Laki kuluttajansuojalain muuttamisesta

Luottokelpoisuuden arvioiminen

Lakiesityksen 11 §:n mukaan luotonantajan on ennen luottosopimuksen tekemistä arvioitava huolellisesti kuluttajan luottokelpoisuus. Arviointi on tehtävä kuluttajan tuloja ja menoja sekä muita taloudellisia olosuhteita koskevien riittävien tietojen perusteella, joiden paikkansapitävyys on asianmukaisesti varmistettu. Yksityiskohtaisten perustelujen mukaan luottokelpoisuuden arvioinnissa on otettava huomioon kaikki tarpeelliset ja merkitykselliset tekijät, jotka voivat vaikuttaa kuluttajan kykyyn maksaa luotto takaisin luottoaikana. Pelkkien luottotietojen tarkistaminen ei olisi riittävää kuluttajan luottokelpoisuuden arvioimiseksi, vaan luotonantajan tulisi hankkia myös muita tietoja kuluttajan taloudellisesta asemasta kuluttajalta itseltään ja muista käytettävissä olevista tarkoituksenmukaisista sisäisistä tai ulkoisista lähteistä.

Esityksen 12 §:n mukaan luotonantajan on ilmoitettava kuluttajalle, mitä tietoja tämän on toimitettava luotonantajalle luottokelpoisuuden arviointia varten, sekä määräaika, jonka kuluessa tiedot on toimitettava.

Kuluttajalle on mainittava siitä, että tietojen toimittamatta jättäminen voi johtaa siihen, että luottoa ei myönnetä.

Jos kuluttaja on toimittanut 1 momentissa tarkoitetut luottokelpoisuuden arviointia varten tarvittavat tiedot luotonvälittäjälle, tämän on toimitettava tiedot asianmukaisesti luotonantajalle. joka koskee tietojen pyytämistä kuluttajalta. Yksityiskohtaisissa perusteluissa rajataan että tietoja koskevan pyynnön on oltava oikeasuhtainen ja rajoituttava siihen, mikä on tarpeen luottokelpoisuuden arvioimiseksi asianmukaisesti.

Käytännössä luotonannossa esiintyy hajontaa molempiin suuntiin: osaa luotonantajista on syytä ohjata hankkimaan ja ottamaan huomioon enemmän tietoa luottokelpoisuusarvion tekemiseksi, osaa taas kiinnittämään huomiota siihen, että vain tehtävän hoitamiseksi tarpeellisia henkilötietoja on asianmukaisesti perusteltua käsitellä. Alalla on esiintynyt pyrkimystä hyödyntää luottokelpoisuuden arvioinnissa tietoja, jotka luotonantaja on ehkä kokenut jossain määrin merkityksellisiksi luotonhakijan luottokelpoisuuden kuvaajina, mutta jotka ovat suhteettoman laajoja tavoiteltuun päämäärään nähden, tai joiden käsittelemiseen sillä ei ylipäätään ole lakiin perustuvaa oikeutta. Joskus tietoja on pyritty hankkimaan tavalla, jolla luotonantajalle kertyy väistämättä myös luottokelpoisuuden arvioimisen kannalta tarpeettomia tietoja. Tällaisia tietopyyntöjä on voitu esittää paitsi kuluttajalle itselleen, myös muille tahoille.

Vaatimus käsiteltävien tietojen tarpeellisuudesta mainitaan lain perusteluissa, mutta se on asian merkityksellisyyden vuoksi syytä kirjoittaa itse lakitekstiinkin, samoin kuin oikeasuhtaisuusvaatimus. Asuntoluottodirektiivin 20 artiklan 1 kohdan mukaan luottokelpoisuuden arviointi on suoritettava kuluttajan tuloja ja menoja sekä muita hänen taloudellista tilannettaan koskevien tarpeellisten, riittävien ja oikeasuhteisten tietojen perusteella. Vaatimuksia tarpeellisuudesta ja oikeasuhtaisuudesta ei tule jättää pois implementoivasta laista. Ajoittain on vaikuttanut siltä, että kaikki luottomarkkinoilla toimivat eivät tunne esimerkiksi luottotietolain 6 §:ää ja tiedä sen koskevan myös luotonantajia.

Lisäksi perusteluissa olisi hyvä mainita, että tietolähteiden on oltava paitsi tarkoituksenmukaisia, myös luotettavia, ja että luotonantajalla on oltava henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää sellaisia henkilötietoja. On hyvä, että hankittavien tietojen säilyttämisaika on määritelty laissa.

Luotonvälittäjän ja neuvontapalvelun tarjoajan kerättäväksi säädettävät tiedot

Esityksen 27 §:n mukaan luotonvälittäjän on pyydettävä kuluttajalta ennen luotonvälitystä tietoja tämän taloudellisesta tilanteesta ja henkilökohtaisista olosuhteista.

Neuvontapalvelun tarjoajan on 31 §:n mukaan pyydettävä kuluttajalta ennen neuvontapalvelun antamista tietoja tämän taloudellisesta tilanteesta ja henkilökohtaisista olosuhteista sekä luottoa koskevista tarpeista ja erityisistä odotuksista. Neuvontapalvelun tarjoajan on varmistettava annettujen tietojen paikkansapitävyys asianmukaisesti.

Ilmaisu "henkilökohtaisista olosuhteista" tuottaisi luotonvälittäjälle ja neuvontapalvelun tarjoajalle varsin laajan velvollisuuden kerätä henkilötietoja. Sitä, millaisia nämä henkilökohtaisista olosuhteista kerättävät tiedot voisivat olla, ei selvennetä perusteluissa. Voisivatko tiedot koskea esimerkiksi kuluttajan terveydentilaa tai olla muulla tavoin arkaluonteisia? Olisiko tällaistenkin tietojen paikkansapitävyys tarpeen varmistaa, ja jos niin miten? Esitetyn perusteella jää avoimeksi, onko todella tarpeen ja syytä säätää luotonvälittäjälle ja neuvontapalvelun tarjoajalle velvollisuus aktiivisesti hankkia sellaista henkilökohtaisia olosuhteita koskevaa tietoa, joka ei koske kuluttajan taloudellista tilannetta. Luotonantajallakaan ei tiettävästi ole tällaista velvollisuutta. Esityksen 11 §:ssä mainitaan vain "muut taloudelliset olosuhteet", ei henkilökohtaisia olosuhteita. Pyydettävät tiedot eivät siten vastaisi niitä tietoja, jotka luotonantajan on pyydettävä kuluttajan luottokelpoisuutta arviointia varten.

Perustuslakivaliokunnan tulkintakäytännön mukaan rekisteröitävien henkilötietojen sisällöstä on säädettävä kattavasti ja yksityiskohtaisesti lain tasolla. Nyt kerättävien henkilötietojen sisältö olisi jäämässä aivan avoimeksi. Tämä on erityisen huolestuttavaa koska kyseessä ei olisi pelkästään luotonvälittäjän ja neuvontapalvelun tarjoajan oikeus, vaan suorastaan sen velvollisuus.

Jos muistakin kuluttajan henkilökohtaisista olosuhteista kuin taloudellisesta tilanteesta on syytä velvoittaa keräämään tietoa, lainkohtaa tulee selkeyttää ja rajata huomattavasti. Direktiivin 22 artiklan mukainen vaatimus "tarvittavat tiedot, necessary information" on syytä kirjoittaa lakiin, kenties pikemminkin muodossa "välttämättömät tiedot". Lisäksi on syytä säätää kerättävien tietojen oikeasuhtaisuudesta suhteessa tietojen käsittelyn tarkoitukseen.

Lisätiedot

Lisätietoja asiassa antaa tarvittaessa allekirjoittanut ylitarkastaja numerossa 029 5666794.

Tietosuojavaltuutettu Reijo Aarnio

Ylitarkastaja Johanna Järvinen

 
Julkaistu 28.12.2015