Verolainsäädännöllä ei saa pakottaa pankkeja rikkomaan tietosuojasääntelyä ja yksityisyydensuojaa
- FA pitää hallituksen esitystä ongelmallisena erityisesti tietosuojasääntelyn ja perustuslaissa säädetyn yksityisyydensuojan näkökulmasta.
- Esitetyt vertailutietotarkastukset mahdollistaisivat laajojen, yksilöimättömien data-aineistojen keräämisen kansalaisista, mikä ei ole oikeasuhtaista tavoiteltuun päämäärään nähden.
- Laajojen tietojen kerääminen vaatii pankeilta kalliita kehitystöitä ja/tai tapauskohtaista konsulttityötä alihankkijan tuntilaskutuksella, minkä vuoksi pankeille tulee maksaa korvaus laajojen ja massaluonteisten tietojen luovutuksesta Verohallinnolle.
HE 141/2025 vp
Verolainsäädännöllä ei saa pakottaa pankkeja rikkomaan tietosuojasääntelyä ja yksityisyydensuojaa
- FA pitää hallituksen esitystä ongelmallisena erityisesti tietosuojasääntelyn ja perustuslaissa säädetyn yksityisyydensuojan näkökulmasta.
- Esitetyt vertailutietotarkastukset mahdollistaisivat laajojen, yksilöimättömien data-aineistojen keräämisen kansalaisista, mikä ei ole oikeasuhtaista tavoiteltuun päämäärään nähden.
- Laajojen tietojen kerääminen vaatii pankeilta kalliita kehitystöitä ja/tai tapauskohtaista konsulttityötä alihankkijan tuntilaskutuksella, minkä vuoksi pankeille tulee maksaa korvaus laajojen ja massaluonteisten tietojen luovutuksesta Verohallinnolle.
Finanssiala ry (FA) yhtyy hallituksen kantaan, jonka mukaan asian merkityksellisyyden vuoksi olisi suotavaa, että perustuslakivaliokunta antaisi asiassa lausunnon. FA korostaa, ettei sen näkemyksen mukaan toimialan aiempaa lausuntopalautetta tai tietosuojavaltuutetun toimiston sekä oikeusministeriön lausuntojen kritiikkiä esitysluonnokseen ole riittävällä tavalla huomioitu lopullisessa hallituksen esityksessä ja että lakiesitys on edelleen puutteellinen.
FA kannattaa harmaan talouden torjuntaa, mutta korostaa, että sääntelyn tulee olla perusoikeuksia kunnioittavaa ja tietosuojasääntelyn mukaista. Finanssialan toimijat ehkäisevät jo nykyisellään aktiivisesti talousrikollisuutta ja keräävät laajalti Verohallinnon tarvitsemia tietoja. Finanssialan toimijat ovat sitoutuneita harmaan talouden torjuntaan, mutta sen on välttämättä tapahduttava noudattaen muuta sääntelyä.
Hallituksen esityksessä sääntelymuutosta perustellaan oikeustilan epävarmuudella, joka liittyy korkeimman hallinto-oikeuden ja tietosuojaviranomaisen tulkintoihin. Ongelma ei kuitenkaan ole tiedonantovelvollisten ja Verohallinnon tulkintaerimielisyys, vaan se, että Verohallinto ei ole vertailutietotarkastuksissa huomioinut riittävästi voimassa olevaa tietosuojasääntelyä ja oikeuskäytäntöä. Nykytilanne johtuu siitä, että Verohallinto on viime vuosina alkanut tulkita verotusmenettelylain 21 §:ää mahdollistamaan massaluonteiset tietopyynnöt rajattujen pyyntöjen sijaan, minkä viimeksi Helsingin hallinto-oikeus on syyskuussa 2025 katsonut rikkovan tietosuojasääntelyä.
Nyt ehdotettu uusi säännös ei ole aiempaa säännöstä tarkkarajaisempi, vaan pikemminkin laajempi ja epämääräisempi mahdollistaen täten Verohallinnolle hyvin laajat tietopyynnöt tarkemmin niiden käyttötarkoitusta avaamatta. Finanssiala on aiemmin katsonut, että tällaisessa Verohallinnon toiminnassa on kyse voimassa olevan lain näkökulmasta kielletystä tietojen ”kalastelusta”. Tilannetta voi verrata siihen, että poliisi ehdottaisi itselleen oikeutta käsitellä teleoperaattoreilta saatavia kaikkien suomalaisten puhelutietoja — ilman yksilöityä epäilyä tai kohdentamista — sillä perusteella, että se haluaa ”seuloa” puhelutietoja tietyllä itse määrittämällään ”riskialueella”, koska se ei pysty etukäteen rajaamaan tietojen käsittelyä henkilötasolla. Tällainen ajattelutapa on perusoikeuksien näkökulmasta sangen haasteellinen eikä sovi suomalaiseen oikeusvaltioon.
Hallituksen esitys on erittäin ongelmallinen tietosuojan ja yksityisyyden suojan näkökulmasta erityisesti siksi, että se mahdollistaisi laajan, yksilöimättömien datamassojen keruun kansalaisista tavalla, joka ei ole oikeasuhtaista. Vaikka esitysluonnoksessa käytetty termi ”massadata-aineisto” on poistettu esitetystä säännöksestä ja säännös edellyttää tietopyyntöjen rajaamista sekä tarkkaa kohdentamista verovalvonnassa välttämättömiin tietoihin, laajentaa ehdotettu säännös edelleen Verohallinnon tiedonsaantioikeutta erittäin laajojen tietoaineistojen käsittelyyn. Tällaisen käsittelyn yhteydessä ei ole mahdollista rajoittaa henkilötietojen määrää vain siihen, mikä olisi välttämätöntä käsittelyn tarkoituksen kannalta.
Lakimuutos tarkoittaisi toteutuessaan, että Verohallinto saisi käsitellä suuria määriä myös verovalvonnan kannalta tarpeettomia henkilötietoja. Käteisenkäyttö on Suomessa erittäin vähäistä ja pankkitilien perusteella voikin saada erittäin yksityiskohtaisen kuvan ihmisten yksityiselämästä mukaan lukien myös arkaluonteiset tiedot (terveydentila, uskonto, poliittinen toiminta jne.).
Ehdotettu sääntely asettaisi pankit mahdottomaan asemaan, jossa ne joutuisivat rikkomaan joko verolainsäädäntöä tai ankarasti sanktioitua tietosuojasääntelyä. FA haluaa nostaa esille, että mikäli Verohallinto tulee esityksen voimaantulon jälkeen tekemään tietopyynnön, jota tiedonantovelvolliset noudattavat, mutta jonka sisällön tietosuojavaltuutettu katsoisi myös uuden sääntelyn valossa tietosuojasääntelyn vastaiseksi, kohdistuisivat kaikki seuraamukset näihin yksityisen sektorin tiedonantovelvollisiin. Pankkien tulee aina noudattaa tietosuoja-asetusta ja niiden on huolehdittava siitä, että tietojenluovutukset ovat tietosuoja-asetuksen mukaisia. Julkinen sektori ei ole tällä hetkellä tietosuojasääntelyn seuraamusmaksujen piirissä, jolloin sanktiot asetuksen vastaisista luovutuksista kohdistuisivat vain pankkeihin.
Säilytysajat tulee rajata tiukemmin
Esityksen mukaan Verohallinnon tulee hävittää tiedot heti, kun ne todetaan verotuksessa tarpeettomiksi ja tiedot, joita ei ole käytetty verotustoimenpiteissä tulee hävittää kuitenkin viimeistään kahden vuoden kuluttua. FA katsoo, että kahden vuoden säilytysaika laajoille data-aineistoille, jotka suurella todennäköisyydellä sisältävät myös erityisiä henkilötietoja ja täten hyvinkin sensitiivistä yksityiselämän suojan piiriin kuuluvaa tietoa, on edelleen rekisteröidyn näkökulmasta kohtuuttoman pitkä säilytysaika.
FA huomauttaa, että pelkkä tietojen luovutus ja säilyttäminen on tietosuoja-asetuksen mukaista henkilötietojen käsittelyä. Täten ei voida pitää perusteltuna, että Verohallinnolle annetaan käsiteltäväksi sellaisia tietoja, joita se ei tarvitse lakisääteisten tehtäviensä toteuttamiseksi. FA esittää, että esitykseen tulee kirjata Verohallinnolle selkeämpi velvoite rajata tietopyynnöt välttämättömään ennen tietojen luovutusta. Edelleen lakiehdotusta tulee tarkentaa siten, että Verohallinnon tulee hävittää tiedot heti välittömästi, kun ne todetaan verotuksessa tarpeettomiksi.
Aiheutuvat kustannukset on korvattava
Laajojen tietojen kerääminen vaatii pankeilta kalliita kehitystöitä ja/tai tapauskohtaista konsulttityötä alihankkijan tuntilaskutuksella, minkä vuoksi pankeille tulee maksaa korvaus samoin kuin esimerkiksi teleyhtiöt saavat korvauksen niiden poliisille luovuttamista teletiedoista. On kohtuutonta siirtää verovalvonnan kustannuksia yksityisen toimijan ja sitä kautta sen asiakkaiden ja omistajien maksettavaksi – verovalvonnan kustannukset kuuluvat valtion budjetista maksettaviksi.
Hallituksen esityksen perusteluissa (s.31) todetaan, että lausuntopalautteessa ei ole tuotu esille kustannusten arvioituja määriä tai arvioituja kustannusten määrien muutoksia uuden sääntelyn johdosta muutoin kuin arvioivan niiden lisääntyvän. FA huomauttaa, että sääntelyn vaikutustenarvioinnin toteuttaminen on valmistelevan ministeriön vastuulla eikä toimialalta ole pyydetty erikseen arviota näistä taloudellisista vaikutuksista. Lisäksi FA kiinnittää huomiota, että esitys sallii edelleen toistuvat samansisältöiset tietopyynnöt jopa muutaman kuukauden välein kohdennettuna samaan tiedonantovelvolliseen. Kyseinen seikka on merkityksellinen sen osalta, miten toimialan kustannusvaikutuksia sääntelyn muutoksen takia voidaan arvioida, koska esimerkiksi tietopyyntöjen määrä ja toistuvuus korreloi suoraan pankeille aiheutuvien kustannusten määrän kanssa.
Mikäli Verohallintoa ei velvoiteta korvaamaan tässä vaiheessa pankeille aiheutuvia kustannuksia, FA katsoo, että valtiovarainministeriö tulee velvoittaa selvittämään lain pohjalta toteutettujen vertailutietotarkastusten laajuutta, toistuvuutta ja niiden pankeille aiheuttamien kustannusten määrää viimeistään 3 vuoden päästä lakimuutoksen tultua voimaan. Mikäli pankkikohtaiset kustannukset tällöin näyttävät nousseen korkeiksi, Verohallinnolle pitää viimeistään siinä vaiheessa säätää velvollisuus korvata kustannukset.
Lisäksi FA huomauttaa, että esitys on tällä hetkellä ristiriidassa tietosuoja-asetuksen kanssa, jonka johdanto-osan 31 kohdassa edellytetään viranomaisten tietopyynnöiltä satunnaisuutta. Nyt esityksen perusteluissa annettu esimerkki kahden (2) kuukauden välistä tietopyyntöjen välillä ei voi täyttää satunnaisuuden vaatimusta huomioiden, että oikeuskäytännössä on nimenomaisesti katsottu myös vuosittaisen tietopyynnön olevan säännönmukainen eikä satunnainen. Tämän vuoksi FA ehdottaa, että hallituksen esitystä muutetaan siten, ettei Verohallinnon ole mahdollista tehdä toistuvia tietopyyntöjä samasta asiasta aikavälillä, joka ei täytä satunnaisuuden vaatimusta.
Verohallinnon tietoturvan taso ja virkamiesten tietosuojasääntelyn osaaminen taattava
FA kiinnittää huomiota ehdotetun lain muotoiluun, jonka mukaan vertailutietotarkastuksella saatuja tietoaineistoja saa käsitellä erityisten henkilötietojen osalta vain sellainen virkamies, joka on erityisesti nimetty ja saanut luvan tällaisten tehtävien suorittamiseen. Edelleen vaatimuksena on virkamiehen luotettavuus, korkeat ammatilliset vaatimukset ja ”asianmukainen osaaminen myös laajojen tietoaineistojen eettiseen käsittelyyn”. FA:n näkemyksen mukaan nämä vaatimukset eivät kuitenkaan takaa riittävällä tasolla tietoja käsittelevän virkamiehen osaamista tietosuojasääntelystä ja tietoturvasta. FA ehdottaa, että lakiin lisätään selkeämpi vaatimus virkamiesten edellä mainittujen osa-alueiden osaamisesta. Tietopyyntöjä toteuttavien virkamiesten tietosuojasääntelyn osaamisen taso on olennainen tekijä sen takaamisessa, että tietopyynnöt toteutetaan tavalla, joka ei saata pankkeja tilanteeseen, jossa tietosuojasääntelyn periaatteita rikotaan.
Lisäksi Verohallinnon teknisten ja organisaatioon liittyvien toimenpiteiden tietoturvan tulee vastata tietosuojasääntelyn vaatimuksia. Edellytyksenä olevien teknisten ja organisatoristen suojatoimenpiteiden esitetty sanamuoto ”teknisesti korkeatasoinen” ei kuitenkaan tarkoita mitään, sillä vanhentunut ja riskitasoon riittämätön tietoturvaratkaisu voi olla suojaamattomaan tasoon verrattuna korkeatasoinen. Vähimmäisedellytyksenä vertailutietojen käsittelylle on pidettävä vähintään tietosuojalain 6 §:n 2 momentissa tarkoitettuja toimenpiteitä, kuten säännöllistä teknisten ja organisatoristen toimenpiteiden tehokkuuden arvioimista ja yleisen tietosuoja-asetuksen 35 artiklan mukaista tietosuojaa koskevan vaikutustenarvioinnin laatimista.
Lopuksi FA huomauttaa, että ehdotettu laajamittainen tietojen luovutus voi johtaa käteisen käytön ja unionin ulkopuolisten verkkopankkien suosion kasvuun, mikä vaikeuttaisi Verohallinnon tiedonsaantia jatkossa. Käteisen käytön lisääntyessä myös riski harmaan talouden lisääntymisestä kasvaa.
FINANSSIALA RY
Hannu Ijäs
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan
