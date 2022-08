OmaPosti pyytää asiakasta antamaan pääsyn koko vuoden tilitietoihin ulkopuoliselle yritykselle.

Laskuja Postin OmaPosti-palvelussa maksavia asiakkaita on kohdannut uusi lupakysely. Sen mukaan Neonomics-yhtiö saa täydelliset tilin tiedot vuoden ajalta ja oikeudet tiliin 3 kuukaudeksi.

Norjalainen Neonomics on maksutoimeksiantopalvelun tarjoaja. Se tarkoittaa, että yhtiön palveluiden avulla yritys voi tarjota asiakkailleen esimerkiksi sähköpostiin saapuneiden laskujen maksamista suoraan verkkopankkitileiltä.

Mikäli asiakas suostuu OmaPostin pyyntöön, Neonomics saa seuraavat valtuudet 90 päiväksi:

Tilinumero ja valuutta

Tilin saldo

Tilin nimi, tyyppi, status, luottolimiitti sekä viimeisin tapahtumapäivämäärä

Yksityiskohtainen tapahtumahistoria viimeiseltä 12 kuukaudelta

Luoda maksuja ja tarkastella näiden maksujen yksityiskohtia asiakkaan puolesta

Tältä näyttää lupakysely OP:n mobiilisovelluksessa. Kuvankaappaus

Tietotekniikan asiantuntija Petteri Järvinen ihmettelee lupapyyntöä Twitterissä.

– Missä tilanteessa vuoden vanhat tiedot voivat olla relevantteja verkkopankkimaksua suoritettaessa? Miksi lupa pitää saada 90 päiväksi etukäteen? Eivät muutkaan maksuvälittäjät vaadi tällaisia oikeuksia kertalaskun maksuun, Järvinen kirjoittaa.

– Pankkitiedothan ovat äärimmäisen luottamuksellisia. Jos joku analysoi kaikki pankkitiedot vuoden ajalta, niin niistähän voi profiloida äärimmäisen tarkasti luottamuksellisia asioita liittyen uskontoon, puoluekantaan, terveyteen ja muuhun, Järvinen jatkaa IS:lle.

Postin Järviselle antaman vastauksen mukaan asiakas voi peruuttaa suostumuksen ennen 90 päivän umpeutumista verkkopankissa tai ottamalla yhteyttä suoraan Neonomicsiin. Postin mukaan Neonomics käsittelee vain tietoja, jotka ovat välttämättömiä pyydetyn palvelun toimittamisen kannalta.

Vastaus ei Järviselle riitä.

– Eihän se riitä Postin vastuuksi, että kaikki delegoidaan jollekin norjalaiselle vastuuksi. Kyllä Postin on pystyttävä takaamaan, ettei niitä tietoja käytetä väärin. Ja miten se sen tekee on Postin ongelma, jos se tällaisen palvelun menee ostamaan. On täysin kohtuutonta, että vuoden ajalta analysoidaan jotain vanhoja tietoja vain, että voi maksaa yhden verkkolaskun.

Petteri Järvisen mukaan verkkomaksaminen on mennyt niin sekavaksi, että tilanne on kansalaisen kannalta kestämätön. Hänen mukaansa oikea maksaminen alkaa muistuttaa yhä enemmän nettihuijauksia.

Neonomicsin tietosuojaselosteessa (pdf) sanotaan yhtiön voivan käsitellä muun muassa tietoja ”poliittisista mieltymyksistä”. Käsiteltäviin henkilötietoihin saattavat kuulua:

Maksutiedot, mukaan lukien vastaanottajat, maksun yhteydessä mahdollisesti syöttämäsi vapaa teksti ja mahdolliset erityiset henkilötietoryhmät, kuten esimerkiksi poliittiset mieltymykset, jos olet suorittanut maksuja poliittiselle puolueelle.

Tietosuojavaltuutetun toimisto kertoo, ettei sillä ole toistaiseksi vireillä tutkintaa asiaan liittyen. Toimisto katsoo, että asia kuuluu Finanssivalvonnalle.

Finanssivalvonnassa tilannetta kummastellaan.

– On kummallista, jos tämä teema tai ongelma tulee vieläkin esiin, Finanssivalvonnan johtava lakimies Sanna Atrila sanoo kommentoimatta suoraan OmaPostin tapausta.

Yleisellä tasolla Atrila toteaa, että pääsy 12 kuukauden tilitietoihin ei voi lähtökohtaisesti olla tarpeellista yksittäisten laskujen maksamista varten. EU:n maksupalveludirektiivin mukaan palveluntarjoaja saa hankkia ja käsitellä vain maksutoimeksiannon suorittamiseksi tarpeellisia tietoja.

Hän ei kuitenkaan ota kantaa, toimiiko Neonomics lain vastaisesti. Atrila ei myöskään osaa sanoa, aletaanko tapausta tutkia Finanssivalvonnassa tarkemmin.

Tapauksessa on paljon samaa kuin maksupalveluyhtiö Klarnan närää aiheuttaneessa lupapyynnössä vuonna 2020.

Klarna pyysi 90 päivän pääsyä ostajan tilitietoihin mukaan lukien tilinumero ja valuutta, tilin saldo, tilin tyyppi ja yksityiskohtainen tapahtumahistoria kahden kuukauden ajalta. Palautteen perusteella Klarna lakkasi pyytämästä tapahtumahistoriaa. Luvan voimassaoloa lyhennettiin yhteen päivään.

Johtavan lakimiehen mukaan aiemmin vastaavia tilanteita esiintyi pääosin, koska pankkien tarjoamat rajapinnat maksujen välittämiseen olivat huonoja, minkä johdosta maksupalveluntarjoajat kehittivät omia toteutuksiaan. Tällä hetkellä rajapintojen pitäisi olla sillä tasolla, että palveluja pystyy niiden kautta hyvin tarjoamaan.

Maksutoimeksiantopalvelut hakevat kuitenkin vielä muotoaan esimerkiksi juuri ulkomaisten toimijoiden tullessa Suomeen.

– Mutta toki niiden kaikkien pitäisi noudattaa samoja sääntöjä, Atrila korostaa.

Järvinen vertaa tilannetta taksiuudistukseen.

– On tullut uusia toimijoita ja kilpailua, mutta se on asiakkaan kannalta hämmentävää ja samalla turvallisuus on kärsinyt. Tämä ei ole yksittäistapaus, vaan vastaavia on ollut aiemminkin, tosin vähän lievemmillä ehdoilla.

Järvinen ihmettelee, miksi Posti edes ryhtyi tähän touhuun.

– Ymmärrän, että joku verkkokauppa lähtisi tällaiseen, koska ne hyötyvät ymmärtääkseni taloudellisesti. Mutta Posti on aika erityisasemassa, miksi ne tekevät sopimuksen tällaisen yhtiön kanssa, ja vetäytyvät itse vastuusta, Järvinen kysyy.

Järvinen toivoo tietosuojavaltuutetun kannanottoa, koska tietoja vaaditaan vuoden ajalta.

– Sehän on niin räikeästi gdpr:n hengen vastaista, että miten se on edes Norjassa mennyt läpi. Minun mielestäni näin ei yksinkertaisesti voi toimia.

Posti ei vastannut IS:n esittämiin kysymyksiin annetussa ajassa.