Sijoituspalvelujen tarjoajalle huomautus tietosuojasäännösten vastaisesta käytännöstä tunnistamiseen tarvittavien tietojen pyytämisessä
Tietosuojaviranomaisten EU-maiden rajat ylittävässä yhteistyössä annetun päätöksen mukaan ruotsalainen sijoituspalveluja tarjoava yhtiö on rikkonut yleistä tietosuoja-asetusta, sillä se ei ollut helpottanut riittävästi rekisteröityjen oikeuksien käyttöä. Yhtiö oli pyytänyt asiakkaita toimittamaan henkilöllisyyden varmistamiseen liittyviä tietoja postitse, vaikka sillä oli käytössä myös tarkoitukseen soveltuva digitaalinen asiointikanava.
Tietosuojavaltuutetun toimistolle saatettiin vireille kaksi yhtiön tunnistamiskäytäntöjä koskevaa valitusta. Asiaa käsiteltiin eurooppalaisten tietosuojaviranomaisten välisessä yhteistyössä rajat ylittävässä menettelyssä, jossa tietosuojavaltuutetun toimisto oli mukana osallistuvana valvontaviranomaisena.
Päätöksen antoi johtavana valvontaviranomaisena toiminut Ruotsin tietosuojaviranomainen Integritetsskyddsmyndigheten (IMY). Asian käsittelyyn osallistuivat myös Norjan ja Tanskan valvontaviranomaiset.
Päätöksen mukaan rekisterinpitäjä voi ainoastaan poikkeustapauksissa tarjota tavallista postia ainoaksi yhteydenottokanavaksi henkilöllisyyden varmistamiseksi tarvittavien tietojen toimittamiseen. Tämä voi olla perusteltua esimerkiksi turvallisuussyistä. Lähtökohtaisesti tietojen toimittamiseen tulisi tarjota vaihtoehtoisia keinoja.
Sijoituspalvelujen tarjoajalla on ollut käytössä muuta asiakasviestintää varten digitaalinen palvelu tunnistautumistoiminnolla. Tietosuojaviranomaiset katsovat, että jos rekisterinpitäjällä on henkilöllisyyden todentamisen mahdollistava digitaalinen yhteydenottokanava, hankalampaa tapaa asiakkaan tietosuojaoikeuksien käyttämiseksi ei tule vaatia ilman erityistä perustetta.
Päätöksen mukaan asiassa ei esitetty sellaista näyttöä, jonka perusteella yhtiön olisi oikeutettua vaatia asiakasta lähettämään tiedot postitse. IMY antoi yhtiölle huomautuksen tietosuoja-asetuksen vastaisesta menettelystä.
Yhtiö on ilmoittanut, että tiedot vastaanotetaan nykyisin asiakaspalvelukanavan kautta verkossa muun tunnistamista edellyttävän asiakasviestinnän tavoin.
Lisätietoja:
Lisätietoa yhden luukun periaatteesta Euroopan tietosuojaneuvoston esitteessä (pdf)
Päätös on tehty tietosuoja-asetuksessa säädetyn yhteistyömenettelyn puitteissa (ns. yhden luukun periaate, engl. One-Stop-Shop). Yhteistyömenettelyssä johtava valvontaviranomainen valmistelee päätösehdotuksen ja työskentelee yhdessä osallistuvien valvontaviranomaisten kanssa yhteisymmärryksen saavuttamiseksi.