Lausunto

Esiselvitysluonnos tilitapahtumatietojen kyselymahdollisuuden lisäämisestä pankki- ja maksutilien valvontajärjestelmään

  • Toimivaltaisilla viranomaisilla tulee olla mahdollisuus saada pankeilta lakisääteisten tehtäviensä edellyttämät tiedot laissa määriteltyihin käyttötarkoituksiin oikeasisältöisinä, ajantasaisina ja ilman aiheetonta viivytystä.
  • Asiakkaan tilitapahtumista voi ilmetä arkaluonteisia henkilötietoja, minkä lisäksi pankilla on yleisen tietosuoja-asetuksen nojalle osoitusvelvollisuus siitä, että tietojen luovutus ja jatkokäsittely viranomaisessa tapahtuvat tietosuoja-asetuksen mukaisesti. Jatkovalmistelussa tulee varmistaa, että viranomaisten tiedonsaantioikeudet täyttävät tietosuoja-asetuksen vaatimukset.
  • Myös pankki- ja maksutilien valvontajärjestelmään esitettävien kansallisten laajennusten yhteensopivuus eurooppalaisen rahanpesusääntelyn kanssa tulisi varmistaa jatkovalmistelun yhteydessä.
  • Esiselvitysluonnoksessa kuvatut hallinnolliset ja taloudelliset hyödyt toteutuvat vain, jos tiedonsaantioikeuksia sekä kyselyjen tekemistä, vastaamista ja valvontaa koskevat säännökset ja menettelyt ovat asianmukaisia ja riittäviä. Muussa tapauksessa hyödyt jäävät näennäisiksi.

VN/1365/2022-SM-30

Sisäministeriö on 4.4.2023 pyytänyt Finanssiala ry:n (FA) lausuntoa esiselvitys­luonnoksesta tilitapahtumatietojen kyselymahdollisuuden lisäämiseksi pankki- ja maksu­tilien valvontajärjestelmään.

FA pitää tärkeänä, että toimivaltaisilla viranomaisilla (käsittäen myös asianajaja­yhdistyksen) on mahdollisuus saada pankeilta lakisääteisten tehtäviensä edellyttämät tiedot laissa määriteltyihin käyttötarkoituksiin oikeasisältöisinä, ajantasaisina ja ilman aiheetonta viivytystä. Pankki- ja maksutilien valvontajärjestelmä tarjoaa tähän käyttö­kelpoisen ratkaisun edellyttäen, että teknisten kysymysten ohella myös asiaan liittyvät sääntely­tarpeet saadaan ratkaistua asianmukaisella tavalla.

Luovuttaessaan tietoja pankki- ja maksutilien valvontajärjestelmän kautta pankilla on osoitusvelvollisuus siitä, että luovutus tapahtuu yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan tietosuojaperiaatteiden mukaisesti. Tilitapahtumatietojen osalta keskeisimmät periaatteet koskevat luovutuksen lainmukaisuutta, kohtuullisuutta ja käyttötarkoitus­sidonnaisuutta sekä luovutettavien tietojen minimointia, säilytyksen rajoittamista ja luottamuksellisuutta. Käytännössä osoitusvelvollisuuden täyttäminen on jo nykyisin haasteellista, koska pankilla ei ole tosiasiallista mahdollisuutta arvioida tietojen luovu­tuksen lainmukaisuutta eli esimerkiksi sitä, pyydetäänkö tiedot tiettyä, nimenomaista ja laillista käyttötarkoitusta varten.

Rahanpesulaki ja laki pankki- ja maksutilien valvontajärjestelmästä perustuvat harmoni­soituun eurooppalaiseen lainsäädäntöön. EU:n rahanpesudirektiivien lähtökohtana on, että niissä säädettyjä keskitettyjä rekistereitä ja tiedonhakujärjestelmiä (pankki- ja maksu­tilirekisteri ja edunsaajarekisteri) saa käyttää vain rahanpesun ja terrorismin rahoituksen estämiseen tai sen kanssa yhteensopivaan käyttötarkoitukseen – mihin myös Euroopan tietosuojavaltuutettu on kiinnittänyt huomiota. Rahoitustietodirektiivillä pankki- ja maksu­tilirekistereiden käyttöoikeus on mahdollistettu myös viranomaisille, joilla on toimivalta vakavien rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa.

Pankki- ja maksutilien valvontajärjestelmästä annetussa laissa järjestelmän käyttäjäpiiriä ja käyttötarkoituksia on laajennettu viidettä rahanpesudirektiiviä ja rahoitustietodirektiiviä pidemmälle. Tilitapahtumatietojen kyselymahdollisuuden lisääminen kasvattaisi kansallisen ja EU-sääntelyn välistä eroa merkittävästi, minkä vuoksi asiaan liittyvät eurooppaoikeudelliset näkökohdat ja kansallinen liikkumavara tulee selvittää ja arvioida huolellisesti jatkovalmistelun yhteydessä. FA pitää hyvänä, että asia on tuotu esille myös arviomuistioluonnoksessa.

FA haluaa kiinnittää huomiota siihen, että osa arviomuistiossa ehdotetuista tilitapah­tumien kyselyoikeuksista näyttäisi liittyvän vain heikosti tai ei lainkaan rahanpesu- ja rahoitustietodirektiivien mukaisiin käyttötarkoituksiin. Ottaen lisäksi huomioon arvio­muistioluonnoksessa viitatut perustuslakivaliokunnan lausunnot ja sen, että tilitapah­tumista voi ilmetä myös arkaluonteisia henkilötietoja, tällaisten kyselyoikeuksien tarpeelli­suus ja oikeasuhtaisuus tulisi arvioida erityisen huolellisesti jatkovalmistelun yhteydessä.

FA pitäisi suhteellisuusperiaatteen mukaisena ratkaisua, jossa tilitapahtumien kysely­oikeus rajattaisiin ensivaiheessa rahanpesun ja terrorismin rahoituksen torjuntaan sekä vakavien rikosten ennalta estämiseen, paljastamiseen, tutkimiseen ja niihin liittyviin syyte­toimiin. Kyselyoikeuden laajentamisesta voitaisiin päättää saatujen kokemusten perus­teella myöhemmin, jolloin myös tulevan EU-sääntelyn sisältö on tarkentunut. Tämä vastaisi myös ratkaisua, johon eduskunnan talousvaliokunta päätyi rahanpesulain osittais­uudistukseen (HE 236/2021) sisältyneen ns. adverse media -tietojen käsittelyä koskevan ehdotuksen osalta.

FA haluaa kiinnittää huomiota edelleen siihen, että useiden viranomaisten osalta tiedon­saantioikeuksia koskevat säännökset ovat ajalta ennen yleisen tietosuoja-asetuksen voimaantuloa eikä niiden yhdenmukaisuutta tietosuoja-asetuksen vaatimusten kanssa ole arvioitu. FA pitää tärkeänä, että tällainen arviointi ja mahdolliset tarkentavat lainsäädäntö­toimet toteutetaan tämän hankkeen yhteydessä ja ennen tilitapahtumakyselymahdolli­suuden käyttöönottoa.

FA pitää tiedonsaantioikeuksien arviointia, selkeyttämistä ja tarkentamista välttämät­tömänä, asiakkaiden ja pankkien oikeusturvan sekä järjestelmän sujuvan käytön varmis­tamiseksi. Yleisluontoisesti ja epätarkasti muotoillut tiedonsaantioikeudet eivät automaat­tisesti takaa laajaa tiedonsaantia, vaan voivat johtaa siihen, että pankin on tapaus­kohtaisesti arvioitava, täyttääkö luovutus yleisen tietosuoja-asetuksen 5 artiklassa säädetyt henkilötietojen käsittelyn vaatimukset. Jotta tällaiset selvittelyt voidaan mini­moida, tilitapahtumatietojen kyselyjä ja luovutuksia koskevien sääntöjen tulee olla selkeitä, tarkkarajaisia ja osapuolia sitovia.

Salassapitovaatimusten vuoksi asiakkaalla ei yleensä olisi mahdollista saada tietoa eikä näin ollen myöskään kyseenalaistaa itseään koskevan tilitapahtumakyselyn oikeellisuutta tai asianmukaisuutta. FA pitääkin tärkeänä, ettei suojakeinoissa mainittu lokitietojen valvonta rajoitu tilanteisiin, joissa epäily väärinkäytöstä on saatu pankilta, asiakkaalta tai muun laillisuusvalvonnan yhteydessä, vaan kyselyjä tekevillä viranomaisilla tulisi olla asianmukaiset hallinnolliset ja tekniset valmiudet havaita tilanteita, joissa kyselyoikeuksia tai niiden perusteella saatuja tietoja käytetään muihin kuin lain sallimiin tarkoituksiin. Myös saatujen tietojen säilyttämistä, edelleen luovutusta tai muuta jatkokäsittelyä sekä poistamista koskevat periaatteet ja menettelyt tulisi määritellä yksiselitteisesti vähintään kunkin viranomaisen sisäisellä ohjeistuksella.

FA pitää arviomuistioluonnokseen sisältyvää teknistä toteutusmallia havainnollistavana, mutta katsoo, ettei lainsäädäntöä tule sitoa tiettyyn teknologiaan tai ratkaisuun, vaan tili­tapahtumakyselyt tulisi voida esimerkiksi sääntely-ympäristön tai teknologian kehityksen myötä tarpeen mukaan joustavasti siirtää uudelle teknologia-alustalle.

Arviomuistioluonnoksen yksittäisiä kohtia FA kommentoi seuraavasti:

  • Teknistä toteutusmallia koskevassa kohdassa 3.3 todetaan, että tilitapahtumatiedot tulee toimittaa seuraavan pankkipäivän aikana. Pankilla on kuitenkin yksiselitteinen vastuu siitä, että tietoja toimitetaan vain sääntelyn sallimissa rajoissa. Jos pankki esimerkiksi sääntelyn tai kyselyn epätarkkuuden takia joutuu erikseen selvittämään ja varmistamaan tietoja pyytävän viranomaisen oikeuden saada pyydetyt tiedot tai tietoja pyytävän virkamiehen valtuuden tehdä kysely, seuraava pankkipäivä ei ole riittävän pitkä aika. FA ehdottaa, että tiedot tulisi lähtökohtaisesti toimittaa kahden pankkipäivän kuluessa sen jälkeen, kun tietopyyntö on tehty. Tietojen toimittamiseen käytössä olevan ajan tulee kuitenkin aina olla kohtuullinen ja riittävä.
  • Teknisen toteutusmallin osalta olisi myös varmistettava, että pankit saavat tarvittavat aineistot käyttöönsä englanninkielisinä, jotta tarvittavien muutosten toteutusvaihto­ehtoihin, aikatauluun ja kustannuksiin pystyttäisiin ottamaan kantaa pankkien tieto­hallintotoiminnoissa. Käännös- ja tulkintaerojen välttämiseksi olisi tarpeen, että hankkeen toteutuksesta valtionhallinnossa vastaava taho huolehtii aineistojen kääntä­misestä.
  • Henkilötietojen käsittelyä ja laillisuusvalvontaa koskevassa kohdassa 3.5 todetaan, ettei pankki saa käyttää tietoa viranomaisen tekemästä kyselystä mihinkään muuhun kuin kyseenä olevaan kyselyyn vastaamiseen. Käyttötarkoitussidonnaisuus ulottuu kuitenkin myös viranomaisiin ja on välttämättömänä, että asiaan kiinnitetään huomiota sekä tilitapahtumakyselyjä koskevassa sääntelyssä että viranomaisten sisäisissä toimintaohjeissa ja valvontamenettelyissä.
  • Muita pankki- ja maksutilijärjestelmän kautta välitettäviä tietoja koskevan kohdan 3.6 osalta on tarpeen edelleen korostaa viranomaisten tarkkarajaistesti määriteltyjen tiedonsaanti- ja kyselyoikeuksien merkitystä. Pankkisalaisuuden alaisen tiedon luovuttaminen ei voi perustua pankin vapaaseen harkintaan, vaan se edellyttää aina laissa säädetty perustetta.
  • Vaikutuksia luotto ja maksulaitoksille koskevan kohdan 5.3 osalta on tärkeää huomata, että kyselyjen automatisoinnin hallinnolliset ja taloudelliset hyödyt toteutuvat vain, jos tiedonsaantioikeuksia sekä kyselyjen tekemistä, vastaamista ja valvontaa koskevat säännökset ja menettelyt ovat asianmukaisia ja riittäviä. Mikäli näin ei ole, todennäköisenä lopputuloksena on erilaisiin selvittelyihin liittyvän asiantuntijatyön lisääntyminen, mistä aiheutuvat hallinnolliset ja taloudelliset kustannukset tulevat ylittämään kyselyjen ja vastausten automatisoinnilla saavutettavat, mutta näennäisiksi jäävät kustannushyödyt.

Alussa todetusti FA kannattaa tilitapahtumatietokyselyiden mahdollistamista pankki- ja maksutilien valvontajärjestelmän tai muulla tietoteknisellä ratkaisulla. FA pitää kuitenkin asiakkaiden ja pankkien laillisten oikeuksien turvaamisen kannalta tärkeänä, että asian jatkovalmistelussa kiinnitetään huomiota edellä esitettyihin näkökohtiin.


FINANSSIALA RY
Taina Ahvenjärvi

Jäikö kysyttävää?

|

Ota yhteyttä aiheen asiantuntijaan