Tervetuloa mukaan Dittmar & Indreniuksen uutiskirjesarjaan, jossa keskitymme Fintech-toimijoita tiiviisti koskettaviin juridisiin kysymyksiin ja alan sääntelyyn markkinalähtöisesti.
D&I on Suomen johtava yritysjuridiikkaan erikoistunut asianajotoimisto, ja Fintech-tiimimme on alan arvostetuimpia oikeudellisia neuvonantajia Suomessa. Neuvomme asiakkaita koko yrityksen elinkaaren ajan – pankeista ja rahoituslaitoksista startup- ja kasvuyrityksiin.
Fintech-ala edellyttää paitsi syvällistä sääntelytuntemusta myös ymmärrystä alan teknisistä ratkaisuista, siksi asiantuntemuksemme kattaa koko Fintech- ja finanssisektorin, mukaan lukien maksupalvelut, toimiluvat, tietosuojan ja muun datasääntelyn, tekoälysääntelyn ja finanssialan yritysjärjestelyt. Olemme myös aktiivinen osa Fintech-ekosysteemiä Suomessa ja Pohjoismaissa: teemme tiivistä yhteistyötä Helsinki Fintech Farmin kanssa ja osallistumme jatkuvasti alan keskusteluun yritysten, viranomaisten ja alan muiden sidosryhmien kanssa.
Tutustu tiimiimme ja palveluihimme: Fintech
Milloin henkilöllisyyden vahvistaminen on paitsi sallittua, myös välttämätöntä?
Henkilön oikeus saada tutustua yrityksen käsittelemiin häntä koskeviin henkilötietoihin on yksi keskeisimmistä tietosuojasääntelyn mahdollistamista rekisteröidyn eli kuluttaja-asiakkaan tai muun yksityishenkilön oikeuksista. Tietosuojavaltuutettu on viimeaikaisessa ratkaisukäytännössään vahvistanut, että finanssilaitoksella on usein perusteltu syy pyytää lisätietoja tietopyynnön esittäjän henkilöllisyyden vahvistamiseksi.
Asian tausta ja tietosuojavaltuutetun päätös
Henkilö oli pyytänyt pankkia toimittamaan hänelle häntä koskevia henkilötietoja. Pyyntö oli esitetty sähköpostitse pankin asiakaspalveluun ja sen yhteydessä oli toimitettu sähköpostiosoitteen lisäksi henkilön nimi ja puhelinnumero, jotka pyynnön esittäjä oli katsonut riittäviksi tunnistetiedoiksi. Pankki kieltäytyi toimittamasta kyseisiä henkilötietoja annettujen tunnistetietojen perusteella ja antoi henkilölle mahdollisuuden pyytää tiedot turvaviestipalvelun kautta vahvalla sähköisellä tunnistautumisella.
Tietosuojavaltuutettu katsoi, että pankilla oli perusteltu syy pyytää lisätietoja ja vahvistaa tietopyynnön esittäjän henkilöllisyys turvaviestipalvelun avulla, koska pankki tarjoaa finanssipalveluita ja siten käsittelee asiakkaidensa taloudellista asemaa koskevia tietoja. Tällaisten tietojen antaminen pelkän sähköpostiosoitteen, nimen ja puhelinnumeron perusteella olisi omiaan luomaan riskin siitä, että ulkopuolinen taho voisi verrattain helposti saada haltuunsa toisen henkilön tietoja.
Käytännön merkitys finanssilaitoksille
Vaikka päätös ei muuta viranomaisen aiempaa tulkintalinjaa, on se tervetullut muistutus henkilötietojen tietoturvallisen käsittelyn ja tietojen minimoinnin suhteesta. Jos finanssilaitoksella on perusteltu syy epäillä tietopyynnön esittäjän henkilöllisyyttä, tulee sen pyytää lisätietoja henkilöllisyyden vahvistamiseksi. Pyydetyt lisätiedot eivät kuitenkaan saa olla ylimitoitettuja tai tarpeettomia tavoiteltuun päämäärään nähden.
Oikein suunnitellut ja koko organisaation tasolla jalkautetut tietopyyntöihin liittyvät tunnistamiskäytännöt suojaavat yhtä aikaa sekä asiakkaiden henkilötietoja että finanssilaitosta mahdollisilta väärinkäytöksiltä. Päätöksellään tietosuojavaltuutettu vahvistaa, että vahvan sähköisen tunnistautumisen käyttäminen henkilöllisyyden vahvistamiseksi on tällaisessa tilanteessa paitsi sallittua, myös perusteltua.
Tapaus myös osoittaa, että asiakastietojen käsittely finanssisektorilla on tietosuojavaltuutetun aktiivisen valvonnan kohteena. Henkilöllisyyden vahvistamisen lisäksi tietosuojavaltuutettu on viimeaikaisessa ratkaisukäytännössään myös katsonut, että finanssilaitoksen tulee lähtökohtaisesti tarjota henkilölle mahdollisuus tarkastaa omat luottotietonsa maksutta. Rekisteröidyn oikeuksien, kuten tietopyyntöjen, toteuttamisen tulee siten olla mahdollisimman vaivatonta.
Olemme avustaneet useita finanssialan toimijoita räätälöimään käytäntönsä vastaamaan liiketoiminnan tarpeita siten, että sekä tietosuojalainsäädännön asettamat vaatimukset että finanssialan erityispiirteet tulevat asianmukaisesti huomioiduiksi.
Tarvitsetko apua juridisissa kysymyksissä?
Keskustelemme mielellämme liiketoimintaasi liittyvistä kysymyksistä ja tarjoamme käytännönläheistä neuvontaa finanssialan toimijoille. Uutiskirjeen sisältö ei ole juridista neuvonantoa.
Contact authors
