PWC Uutishuone
PWC Uutishuone

Maksupalvelun tarjoaja, onko keräämäsi suostumus riittävä sekä maksupalveludirektiivin että tietosuoja-asetuksen näkökulmasta?

Euroopan tietosuojaneuvosto (European Data Protection Board, EDPB) vastasi heinäkuussa Euroopan parlamentin jäsenen esittämiin kysymyksiin EU:n tietosuoja-asetuksen (GDPR) ja maksupalveludirektiivin (PSD2) alaisuudessa tapahtuvasta henkilötietojen käsittelystä ja näiden kahden sääntelyn aiheuttamista mahdollisista ristiriidoista. Maksupalveluiden tarjoamista koskeva maksupalveludirektiivi on implementoitu Suomessa voimassa olevaksi lainsäädännöksi maksupalvelulain muutoksilla, jotka tulivat voimaan tammikuussa 2018. Henkilötietojen käsittelyä koskevaa EU:n tietosuoja-asetusta alettiin soveltaa 25.5.2018. Sekä maksupalveludirektiivissä että tietosuoja-asetuksessa säädetään suostumuksesta henkilötietojen käsittelyn edellytyksenä.

Tietosuojaneuvosto otti kirjelmässään kantaa maksupalveludirektiivin ja tietosuoja-asetuksen suostumusta koskevien vaatimusten keskinäiseen suhteeseen. Tietosuojaneuvosto otti kantaa myös maksutoimeksianto- ja tilitietopalvelun tarjoajien oikeuteen käsitellä maksupalvelun käyttäjien henkilötietojen lisäksi myös maksupalvelun käyttäjän vastapuolen henkilötietoja eli oikeutta käsitellä sellaisten kolmansien osapuolten tietoja, joilta maksutoimeksianto- ja tilitietopalvelun tarjoaja ei ole saanut suostumusta ja jonka kanssa sillä ei ole sopimussuhdetta.

Tietosuoja-asetuksen mukainen suostumus

Tietosuoja-asetuksen mukaan henkilötietojen käsittelyn tulee perustua johonkin asetuksessa mainittuun perusteeseen, joista yksi on rekisteröidyn itsensä antama vapaaehtoinen, tietoinen ja yksiselitteinen suostumus. Suostumuksen tulee olla aidosti vapaaehtoinen, ja rekisteröidyn tulee tietää, mitä tietoja suostumus koskee ja mihin tarkoituksiin tietoja käsitellään. Yksiselitteisyydellä tarkoitetaan, että suostumus annetaan ilmoitettuun tarkoitukseen ilman ehtoja.

Eräissä tilanteissa henkilötietojen käsittelyn edellytyksenä on rekisteröidyn antama nimenomainen suostumus. Tällaisia tilanteita voivat olla esimerkiksi terveyteen liittyvien tietojen käsittely, tietojen siirtäminen kolmansiin maihin tai kansainvälisiin järjestöihin tai rekisteröityä koskevien päätösten tekeminen automaattisen tietojen käsittelyn avulla. Tietosuoja-asetuksessa nimenomaisuudella viitataan suostumuksen antamisen tapaan, joka voi olla esimerkiksi allekirjoitus tai kaksivaiheinen varmistus.

Maksupalveludirektiivin ja -lain mukainen suostumus

Maksupalveludirektiivin 94 artikla (maksupalvelulain 86 §) edellyttää, että maksupalvelun tarjoajat keräävät nimenomaisen¹ suostumuksen asiakkailta eli maksupalvelujen käyttäjiltä henkilötietojen käsittelemiseksi. Nimenomaisella suostumuksellakin maksupalveluntarjoajat voivat saada, käsitellä ja säilyttää ainoastaan sellaisia henkilötietoja, jotka ovat tarpeen maksupalvelujen tarjoamiseksi. Suostumus voidaan antaa samalla kun sopimus hyväksytään, mutta tällöin sopimuksen tulee sisältää ehdot henkilötietojen käsittelystä. Tätä suostumusta on tietosuojaneuvoston tulkinnan mukaisesti pidettävä sopimusperusteisena suostumuksena. Maksupalvelun käyttäjän on siten selvästi ymmärrettävä tietojen käsittelyn tarkoitukset sopimuksentekohetkellä ja selkeästi hyväksyttävä nämä ehdot.

Tietosuojaneuvoston kannanotto suostumuskysymykseen

Tietosuoja-asetuksen mukaan henkilötietojen käsittely voi perustua suostumuksen lisäksi myös sopimukseen, rekisterinpitäjän lakisääteiseen velvoitteeseen, rekisteröidyn elintärkeiden etujen suojaamiseen, rekisterinpitäjän yleistä etua koskevaan tehtävään tai julkisen vallan käyttämiseen tai rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun. Suostumus on siten vain yksi tietosuoja-asetuksen sisältämistä henkilötietojen käsittelyn oikeusperusteista, ja asetuksen perusteella maksupalveluntarjoajalla voi siten olla mahdollisuus käsitellä henkilötietoja myös muulla perusteella.

Tietosuojaneuvoston kirjelmän mukaan maksupalveluntarjoaja voisi tietosuoja-asetuksen näkökulmasta käsitellä henkilötietoja myös sopimuksen perusteella. Maksupalveludirektiivi kuitenkin edellyttää, että maksupalvelun käyttäjiltä kerätään nimenomainen suostumus henkilötietojen käsittelyyn maksupalvelujen tarjoamiseksi. Maksupalveludirektiivin mukaisen nimenomaisen suostumuksen sopimusperusteisuuden vuoksi Euroopan tietosuojaneuvosto totesi, ettei PSD2:n mukaista nimenomaista suostumusta voida rinnastaa tietosuoja-asetuksen mukaiseen suostumukseen, vaan suostumuksen tulee olla maksupalveludirektiivin tarkoittamalla tavalla nimenomainen. Jos maksupalveluntarjoaja haluaa käyttää kerättyjä henkilötietoja myös muuhun kuin maksupalveluiden tarjoamiseen tai haluaa kerätä enemmän tietoja kuin maksupalvelun tarjoaminen edellyttää, sovelletaan toimintaan tältä osin tietosuoja-asetusta.

Tietosuojaneuvoston kannanotto kolmannen osapuolen tietojen käsittelyyn

Tietosuojaneuvosto otti kantaa myös maksutoimeksianto- ja tilitietopalvelun tarjoajien oikeuteen käsitellä maksupalvelun käyttäjien henkilötietojen lisäksi myös maksupalvelun käyttäjän vastapuolen henkilötietoja. Kysymys liittyy tilanteisiin, joissa nimenomainen suostumus käsitellä henkilötietoja palvelun tuottamiseksi on saatu ainoastaan maksupalvelun käyttäjältä eikä palveluntarjoajalla ole sopimussuhdetta maksupalvelun käyttäjän vastapuolen kanssa. Esimerkiksi voidaan mainita tilanne, jossa palveluntarjoajalle suostumuksen henkilötietojensa käsittelyyn antanut maksupalvelun käyttäjä A siirtää maksupalvelun kautta rahaa B:lle, jolla ei ole minkäänlaista sopimusta kyseisen palveluntarjoajan kanssa. B ei siten myöskään ole antanut palveluntarjoajalle suostumusta henkilötietojensa käsittelyyn. Epäselvyyttä oli siitä, voiko tämänkaltaista kolmannen osapuolen eli tässä tapauksessa B:n henkilötietojen käsittelyä pitää hyväksyttävänä palvelun tuottamiseksi ja mikäli voidaan, onko palveluntarjoajan oikeutettu etu hyväksyttävä oikeusperuste henkilötietojen käsittelylle.

Tietosuojaneuvosto totesi, että palveluntuottajan oikeutettu etu voi tiettyjen edellytysten täyttyessä olla riittävä peruste kolmannen osapuolen henkilötietojen käsittelylle ilman tämän nimenomaista suostumusta. Tietosuojaneuvoston mukaan kaiken tietosuoja-asetuksen alaisen henkilötietojen käsittelyn tulee olla välttämätöntä ja oikeasuhtaista esimerkiksi tarkoitussidonnaisuuteen ja tietojen minimointiin nähden. Lisäksi tämän kaltaista henkilötietojen käsittelyä voidaan pitää hyväksyttävä ainoastaan silloin, kun käsittely ei syrjäytä rekisteröidyn etuja tai perusoikeuksia ja -vapauksia. Kolmannen osapuolen tietoja ei myöskään saa käyttää muuhun tarkoitukseen kuin maksupalvelun toteuttamiseen. Lisäksi tietosuojaneuvosto peräänkuulutti tietosuojaviranomaisten ja finanssialaa valvovien toimijoiden tiiviimpää yhteistyötä maksupalveluiden käyttäjien oikeuksien turvaamiseksi.

Tietosuoja-asetuksen saaman huomion vuoksi niin maksupalveluita käyttävät kuluttajat kuin palveluntarjoajien kanssa yhteistyötä tekevät yrityksetkin ovat yhä tietoisempia rekisteröityjen oikeuksista ja rekisterinpitäjien velvollisuuksista. Näin ollen maksupalveludirektiivin alaisuudessa toimivien maksutoimeksianto- ja tilitietopalvelun tarjoajien tulisi viimeistään nyt arvioida täyttyvätkö tietosuoja-asetuksen vaatimukset niiden toiminnassa.

 

¹ Hallituksen esityksessä (HE 132/2017, s. 55) on selitetty tarkemmin, mitä tällaiselta nimenomaiselta suostumukselta vaaditaan:

“Lähtökohtana on, että suostumuksen nimenomaisuudella tarkoitetaan momentissa samaa kuin muualla maksupalvelulaissa ja yleensä yksityisoikeudessa. Momentissa tarkoitettu nimenomainen suostumus voidaan antaa esimerkiksi hyväksymällä suostumuksen sisältävät vakioehdot. Koska maksupalveludirektiivi edellyttää suostumukselta nimenomaisuutta, ei pelkkää hiljaista — esimerkiksi sopimuksen tarkoituksesta pääteltyä — suostumusta kuitenkaan voida katsoa riittäväksi.