- Toimivaltaisilla viranomaisilla tulee olla mahdollisuus saada pankeilta lakisääteisten tehtäviensä edellyttämät tiedot laissa määriteltyihin käyttötarkoituksiin oikeasisältöisinä, ajantasaisina ja ilman aiheetonta viivytystä.
- Asiakkaan tilitapahtumista voi ilmetä arkaluonteisia henkilötietoja, minkä lisäksi pankilla on yleisen tietosuoja-asetuksen nojalle osoitusvelvollisuus siitä, että tietojen luovutus ja jatkokäsittely viranomaisessa tapahtuvat tietosuoja-asetuksen mukaisesti. Jatkovalmistelussa tulee varmistaa, että viranomaisten tiedonsaantioikeudet täyttävät tietosuoja-asetuksen vaatimukset.
- Myös pankki- ja maksutilien valvontajärjestelmään esitettävien kansallisten laajennusten yhteensopivuus eurooppalaisen rahanpesusääntelyn kanssa tulisi varmistaa jatkovalmistelun yhteydessä.
- Esiselvitysluonnoksessa kuvatut hallinnolliset ja taloudelliset hyödyt toteutuvat vain, jos tiedonsaantioikeuksia sekä kyselyjen tekemistä, vastaamista ja valvontaa koskevat säännökset ja menettelyt ovat asianmukaisia ja riittäviä. Muussa tapauksessa hyödyt jäävät näennäisiksi.
VN/1365/2022-SM-30
Sisäministeriö on 4.4.2023 pyytänyt Finanssiala ry:n (FA) lausuntoa esiselvitysluonnoksesta tilitapahtumatietojen kyselymahdollisuuden lisäämiseksi pankki- ja maksutilien valvontajärjestelmään.
FA pitää tärkeänä, että toimivaltaisilla viranomaisilla (käsittäen myös asianajajayhdistyksen) on mahdollisuus saada pankeilta lakisääteisten tehtäviensä edellyttämät tiedot laissa määriteltyihin käyttötarkoituksiin oikeasisältöisinä, ajantasaisina ja ilman aiheetonta viivytystä. Pankki- ja maksutilien valvontajärjestelmä tarjoaa tähän käyttökelpoisen ratkaisun edellyttäen, että teknisten kysymysten ohella myös asiaan liittyvät sääntelytarpeet saadaan ratkaistua asianmukaisella tavalla.
Luovuttaessaan tietoja pankki- ja maksutilien valvontajärjestelmän kautta pankilla on osoitusvelvollisuus siitä, että luovutus tapahtuu yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan tietosuojaperiaatteiden mukaisesti. Tilitapahtumatietojen osalta keskeisimmät periaatteet koskevat luovutuksen lainmukaisuutta, kohtuullisuutta ja käyttötarkoitussidonnaisuutta sekä luovutettavien tietojen minimointia, säilytyksen rajoittamista ja luottamuksellisuutta. Käytännössä osoitusvelvollisuuden täyttäminen on jo nykyisin haasteellista, koska pankilla ei ole tosiasiallista mahdollisuutta arvioida tietojen luovutuksen lainmukaisuutta eli esimerkiksi sitä, pyydetäänkö tiedot tiettyä, nimenomaista ja laillista käyttötarkoitusta varten.
Rahanpesulaki ja laki pankki- ja maksutilien valvontajärjestelmästä perustuvat harmonisoituun eurooppalaiseen lainsäädäntöön. EU:n rahanpesudirektiivien lähtökohtana on, että niissä säädettyjä keskitettyjä rekistereitä ja tiedonhakujärjestelmiä (pankki- ja maksutilirekisteri ja edunsaajarekisteri) saa käyttää vain rahanpesun ja terrorismin rahoituksen estämiseen tai sen kanssa yhteensopivaan käyttötarkoitukseen – mihin myös Euroopan tietosuojavaltuutettu on kiinnittänyt huomiota. Rahoitustietodirektiivillä pankki- ja maksutilirekistereiden käyttöoikeus on mahdollistettu myös viranomaisille, joilla on toimivalta vakavien rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa.
Pankki- ja maksutilien valvontajärjestelmästä annetussa laissa järjestelmän käyttäjäpiiriä ja käyttötarkoituksia on laajennettu viidettä rahanpesudirektiiviä ja rahoitustietodirektiiviä pidemmälle. Tilitapahtumatietojen kyselymahdollisuuden lisääminen kasvattaisi kansallisen ja EU-sääntelyn välistä eroa merkittävästi, minkä vuoksi asiaan liittyvät eurooppaoikeudelliset näkökohdat ja kansallinen liikkumavara tulee selvittää ja arvioida huolellisesti jatkovalmistelun yhteydessä. FA pitää hyvänä, että asia on tuotu esille myös arviomuistioluonnoksessa.
FA haluaa kiinnittää huomiota siihen, että osa arviomuistiossa ehdotetuista tilitapahtumien kyselyoikeuksista näyttäisi liittyvän vain heikosti tai ei lainkaan rahanpesu- ja rahoitustietodirektiivien mukaisiin käyttötarkoituksiin. Ottaen lisäksi huomioon arviomuistioluonnoksessa viitatut perustuslakivaliokunnan lausunnot ja sen, että tilitapahtumista voi ilmetä myös arkaluonteisia henkilötietoja, tällaisten kyselyoikeuksien tarpeellisuus ja oikeasuhtaisuus tulisi arvioida erityisen huolellisesti jatkovalmistelun yhteydessä.
FA pitäisi suhteellisuusperiaatteen mukaisena ratkaisua, jossa tilitapahtumien kyselyoikeus rajattaisiin ensivaiheessa rahanpesun ja terrorismin rahoituksen torjuntaan sekä vakavien rikosten ennalta estämiseen, paljastamiseen, tutkimiseen ja niihin liittyviin syytetoimiin. Kyselyoikeuden laajentamisesta voitaisiin päättää saatujen kokemusten perusteella myöhemmin, jolloin myös tulevan EU-sääntelyn sisältö on tarkentunut. Tämä vastaisi myös ratkaisua, johon eduskunnan talousvaliokunta päätyi rahanpesulain osittaisuudistukseen (HE 236/2021) sisältyneen ns. adverse media -tietojen käsittelyä koskevan ehdotuksen osalta.
FA haluaa kiinnittää huomiota edelleen siihen, että useiden viranomaisten osalta tiedonsaantioikeuksia koskevat säännökset ovat ajalta ennen yleisen tietosuoja-asetuksen voimaantuloa eikä niiden yhdenmukaisuutta tietosuoja-asetuksen vaatimusten kanssa ole arvioitu. FA pitää tärkeänä, että tällainen arviointi ja mahdolliset tarkentavat lainsäädäntötoimet toteutetaan tämän hankkeen yhteydessä ja ennen tilitapahtumakyselymahdollisuuden käyttöönottoa.
FA pitää tiedonsaantioikeuksien arviointia, selkeyttämistä ja tarkentamista välttämättömänä, asiakkaiden ja pankkien oikeusturvan sekä järjestelmän sujuvan käytön varmistamiseksi. Yleisluontoisesti ja epätarkasti muotoillut tiedonsaantioikeudet eivät automaattisesti takaa laajaa tiedonsaantia, vaan voivat johtaa siihen, että pankin on tapauskohtaisesti arvioitava, täyttääkö luovutus yleisen tietosuoja-asetuksen 5 artiklassa säädetyt henkilötietojen käsittelyn vaatimukset. Jotta tällaiset selvittelyt voidaan minimoida, tilitapahtumatietojen kyselyjä ja luovutuksia koskevien sääntöjen tulee olla selkeitä, tarkkarajaisia ja osapuolia sitovia.
Salassapitovaatimusten vuoksi asiakkaalla ei yleensä olisi mahdollista saada tietoa eikä näin ollen myöskään kyseenalaistaa itseään koskevan tilitapahtumakyselyn oikeellisuutta tai asianmukaisuutta. FA pitääkin tärkeänä, ettei suojakeinoissa mainittu lokitietojen valvonta rajoitu tilanteisiin, joissa epäily väärinkäytöstä on saatu pankilta, asiakkaalta tai muun laillisuusvalvonnan yhteydessä, vaan kyselyjä tekevillä viranomaisilla tulisi olla asianmukaiset hallinnolliset ja tekniset valmiudet havaita tilanteita, joissa kyselyoikeuksia tai niiden perusteella saatuja tietoja käytetään muihin kuin lain sallimiin tarkoituksiin. Myös saatujen tietojen säilyttämistä, edelleen luovutusta tai muuta jatkokäsittelyä sekä poistamista koskevat periaatteet ja menettelyt tulisi määritellä yksiselitteisesti vähintään kunkin viranomaisen sisäisellä ohjeistuksella.
FA pitää arviomuistioluonnokseen sisältyvää teknistä toteutusmallia havainnollistavana, mutta katsoo, ettei lainsäädäntöä tule sitoa tiettyyn teknologiaan tai ratkaisuun, vaan tilitapahtumakyselyt tulisi voida esimerkiksi sääntely-ympäristön tai teknologian kehityksen myötä tarpeen mukaan joustavasti siirtää uudelle teknologia-alustalle.
Arviomuistioluonnoksen yksittäisiä kohtia FA kommentoi seuraavasti:
- Teknistä toteutusmallia koskevassa kohdassa 3.3 todetaan, että tilitapahtumatiedot tulee toimittaa seuraavan pankkipäivän aikana. Pankilla on kuitenkin yksiselitteinen vastuu siitä, että tietoja toimitetaan vain sääntelyn sallimissa rajoissa. Jos pankki esimerkiksi sääntelyn tai kyselyn epätarkkuuden takia joutuu erikseen selvittämään ja varmistamaan tietoja pyytävän viranomaisen oikeuden saada pyydetyt tiedot tai tietoja pyytävän virkamiehen valtuuden tehdä kysely, seuraava pankkipäivä ei ole riittävän pitkä aika. FA ehdottaa, että tiedot tulisi lähtökohtaisesti toimittaa kahden pankkipäivän kuluessa sen jälkeen, kun tietopyyntö on tehty. Tietojen toimittamiseen käytössä olevan ajan tulee kuitenkin aina olla kohtuullinen ja riittävä.
- Teknisen toteutusmallin osalta olisi myös varmistettava, että pankit saavat tarvittavat aineistot käyttöönsä englanninkielisinä, jotta tarvittavien muutosten toteutusvaihtoehtoihin, aikatauluun ja kustannuksiin pystyttäisiin ottamaan kantaa pankkien tietohallintotoiminnoissa. Käännös- ja tulkintaerojen välttämiseksi olisi tarpeen, että hankkeen toteutuksesta valtionhallinnossa vastaava taho huolehtii aineistojen kääntämisestä.
- Henkilötietojen käsittelyä ja laillisuusvalvontaa koskevassa kohdassa 3.5 todetaan, ettei pankki saa käyttää tietoa viranomaisen tekemästä kyselystä mihinkään muuhun kuin kyseenä olevaan kyselyyn vastaamiseen. Käyttötarkoitussidonnaisuus ulottuu kuitenkin myös viranomaisiin ja on välttämättömänä, että asiaan kiinnitetään huomiota sekä tilitapahtumakyselyjä koskevassa sääntelyssä että viranomaisten sisäisissä toimintaohjeissa ja valvontamenettelyissä.
- Muita pankki- ja maksutilijärjestelmän kautta välitettäviä tietoja koskevan kohdan 3.6 osalta on tarpeen edelleen korostaa viranomaisten tarkkarajaistesti määriteltyjen tiedonsaanti- ja kyselyoikeuksien merkitystä. Pankkisalaisuuden alaisen tiedon luovuttaminen ei voi perustua pankin vapaaseen harkintaan, vaan se edellyttää aina laissa säädetty perustetta.
- Vaikutuksia luotto ja maksulaitoksille koskevan kohdan 5.3 osalta on tärkeää huomata, että kyselyjen automatisoinnin hallinnolliset ja taloudelliset hyödyt toteutuvat vain, jos tiedonsaantioikeuksia sekä kyselyjen tekemistä, vastaamista ja valvontaa koskevat säännökset ja menettelyt ovat asianmukaisia ja riittäviä. Mikäli näin ei ole, todennäköisenä lopputuloksena on erilaisiin selvittelyihin liittyvän asiantuntijatyön lisääntyminen, mistä aiheutuvat hallinnolliset ja taloudelliset kustannukset tulevat ylittämään kyselyjen ja vastausten automatisoinnilla saavutettavat, mutta näennäisiksi jäävät kustannushyödyt.
Alussa todetusti FA kannattaa tilitapahtumatietokyselyiden mahdollistamista pankki- ja maksutilien valvontajärjestelmän tai muulla tietoteknisellä ratkaisulla. FA pitää kuitenkin asiakkaiden ja pankkien laillisten oikeuksien turvaamisen kannalta tärkeänä, että asian jatkovalmistelussa kiinnitetään huomiota edellä esitettyihin näkökohtiin.
FINANSSIALA RY
Taina Ahvenjärvi
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan
