Tietosuojavaltuutettu: luottokorttilaskun e-laskutilaus pelkällä viitenumerolla tietosuojalainsäädännön vastaista
Tietosuojavaltuutetun toimisto tiedottaa tietosuojavaltuutetun päätöksestä, jossa pankki on määrätty muuttamaan e-laskutuskäytäntöään. Pankin luottokorttilaskun e-laskun tilaaminen on ollut mahdollista pelkällä laskun viitenumerolla. E-laskussa on nähtävillä henkilötietoja. Tietosuojavaltuutettu katsoo, ettei pankin menettely ole ollut yleisen tietosuoja-asetuksen mukaista.
Luottokorttilaskun e-laskun tilaaminen pelkällä laskun viitenumerolla on voinut johtaa siihen, että henkilö on tilannut itselleen toisen henkilön laskun, esimerkiksi näppäilyvirheen seurauksena. Luottokorttilaskusta on mahdollista nähdä henkilötietoja, kuten osittain peitetty korttinumero, tietoja luottokortin luottorajasta ja ostotapahtumista.
Yleinen tietosuoja-asetus edellyttää rekisterinpitäjää huolehtimaan henkilötietojen riittävän suojaamisen varmistamisesta. Rekisterinpitäjän tulee jatkuvasti arvioida suojaustoimenpiteiden riittävyyttä suhteessa käsillä oleviin riskeihin sekä huolehtia riittävistä toimenpiteistä henkilötietojen suojaamiseksi.
Tietosuojavaltuuttu pitää epäasianmukaisena sitä, että yksittäinen näppäilyvirhe mahdollistaa sivullisen pääsyn toisen henkilön henkilötietoihin. Pankki oli ilmoittanut tietosuojavaltuutetun toimistolle erillisestä tietoturvaloukkauksesta, jossa asiakas oli juurikin näppäillyt viitenumeronsa väärin ja sen seurauksena tilannut toisen henkilön e-laskun.
Tietosuojavaltuutettu on määrännyt pankin muuttamaan toimintatapojaan tietosuojalainsäädännön mukaiseksi. Tämän lisäksi tietosuojavaltuutettu antoi pankille huomautuksen yleisen tietosuoja-asetuksen vastaisesta henkilötietojen käsittelystä.
Tietosuojavaltuutetun toimiston tiedotteen pääset lukemaan täältä. Tietosuojavaltuutetun päätös on saatavilla täällä.
Kuva: Ulvi Safari sivustolta Unsplash
Kirjoittajat
