POP Pankille huomautus puutteellisesta tiedotuksesta

Apulaistietosuojavaltuutettu on antanut POP Pankille huomautuksen, joka liittyy keväällä 2019 tapahtuneeseen tietoturvaloukkaukseen. Huomautuksen syynä on se, että pankki antoi verkkosivuillaan ja Facebook-sivullaan puutteellista tietoa siitä, oliko kaikkia tietoturvaloukkauksen kohteeksi joutuneita henkilöitä informoitu henkilökohtaisesti vai ei.

Tietoturvaloukkauksessa oli kyse pankin käyttämistä sähköisistä lomakkeista, joiden sisältämiin tietoihin ulkopuolisella verkkopalveluita ylläpitävällä taholla oli tarpeettoman laaja pääsy. Tietoturvaloukkauksen tultua ilmi pankki muutti lomakkeita niin, etteivät niiden sisältämät henkilötiedot tallennu tietokantaan. Lomakkeille aiemmin tallennettujen tietojen osalta varmistettiin, että tiedot ovat vain pankin hallussa.

Tietoturvaloukkauksen jälkeen pankki otti yhteyttä osaan tietoturvaloukkauksen kohteeksi joutuneista henkilöistä. Koska pankilla ei ollut käytettävissä kaikkien tietoturvaloukkauksen kohteeksi joutuneiden riittäviä yhteystietoja, se julkaisi julkisen tiedonannon loukkauksesta verkkosivuillaan ja Facebook-sivullaan. Tiedonannosta saattoi kuitenkin saada käsityksen, että kaikkiin tietoturvaloukkauksen kohteeksi joutuneisiin oli oltu yhteydessä myös henkilökohtaisesti. Apulaistietosuojavaltuutetun mukaan pankin kanssa asioineet saattoivat perustellusti uskoa, ettei tietoturvaloukkaus koske heitä, jos he eivät olleet saaneet asiasta pankilta henkilökohtaista ilmoitusta.

Bonustilin kaikki tiedot saa luovuttaa vain tilin omistajalle

Apulaistietosuojavaltuutettu on ottanut kantaa tietojen tarkastusoikeuteen tapauksessa, jossa OP-bonustilin tietoja oli pyytänyt tarkastettavakseen tilin omistajan puoliso. Vaikka puoliso on tilin osallinen, hänellä on oikeus saada nähtäväkseen vain omaa bonuksia kerryttänyttä asiointiaan koskevat tiedot, ei koko tilin tietoja.

Hakija oli pyytänyt saada nähtäväkseen tiedot OP-bonustilistä, jonka käyttäjinä olivat hakija itse ja hänen puolisonsa. OP Ryhmä oli kuitenkin toimittanut vain tiedot hakijan omista, bonusta kerryttäneistä asioinneista. Perusteluissaan pankki totesi rajoittavansa hakijan oikeutta päästä tietoihin, koska tämä ei ollut kyseisen bonustilin omistaja ja koska hakijan puolison nauttimaa pankkisalaisuuden suojaa ei voida rikkoa.

Hakija kanteli asiasta tietosuojavaltuutetun toimistoon. Apulaistietosuojavaltuutettu Anu Talus toteaa päätöksessään, että tiedot, jotka on saatu luottolaitostoiminnan yhteydessä ja jotka koskevat yksityishenkilöiden taloudellista asemaa tai heidän henkilökohtaisia olojaan, kuuluvat pankkisalaisuuden piiriin. Hakijan puolison OP-bonuksia kerryttävä asiointi sekä bonustilin kokonaissumma, josta puolison asioinnin määrän voi päätellä, ovat tällaisia taloudellista asemaa koskevia seikkoja. Koko tilin tietojen antaminen hakijalle vaikuttaisi haitallisesti hakijan puolison oikeuksiin. Tästä syystä apulaistietosuojavaltuutettu toteaa OP Ryhmän toimineen asiassa tietosuojalainsäädännön mukaisesti.

OP-bonuksia kertyy yksityistalouteen liittyvästä pankki-, varallisuudenhoito- ja vakuutusasioinnista, ja ne oikeuttavat alennukseen bonussääntöjen tarkoittamista OP:n tuotteista ja palveluista. Perhekokonaisuuden muodostavien henkilöiden asioinnista kertyvät bonukset kirjataan heidän suostumuksellaan vain yhden perheenjäsenen bonustilille. Tämä henkilö on bonustilin sekä sille kertyneiden bonusten ainoa omistaja, ja muut perhekokonaisuuteen kuuluvat ovat bonustilin osallisia.