Hallituksen esitys laeiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain ja rahanpesun selvittelykeskuksesta annetun lain muuttamisesta

HE 163/2021

Hallintovaliokunta on 4.4.2022 pyytänyt Finanssiala ry:n lausuntoa hallituksen esityksestä laeiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain ja rahanpesun selvittelykeskuksesta annetun lain muuttamisesta. Esitämme lausuntonamme seuraavaa.

1        Yleistä

Finanssiala ry (FA) kannattaa viranomaisten toimivaltuuksiensa puitteissa tekemien pankkikyselyjen sähköistämistä siinä laajuudessa kuin se asiakkaan, pankin ja mahdollisten kolmansien osapuolien oikeudet ja niiden suojaaminen huomioon ottaen on mahdollista.

EU:n rahoitustietodirektiivin[1] toimeenpanon kannalta välttämättömien säännösten ohella hallituksen esitys laajentaisi pankki- ja maksutilien valvontajärjestelmän (PMJ) käyttäjien ja käyttötarkoitusten piiriä olennaisesti nykyiseen pankki- ja maksutilien valvontajärjestelmästä annettuun lakiin (PMJ-laki) ja rahoitustietodirektiivin vaatimuksiin verrattuna.

Määräaika rahoitustietodirektiivin kansalliselle toimeenpanolle umpeutui 1.8.2021 ja FA pitää tärkeänä, että rahoitustietodirektiivin toimeenpanon kannalta välttämättömät lakimuutokset toteutettaisiin mahdollisimman pian.

Kansallisten laajennusten ja muiden ehdotettujen muutosten osalta hallituksen esitykseen liittyy FA:n näkemyksen mukaan niin vakavia puutteita, että ne tulisi palauttaa jatkovalmisteluun ja niihin tulisi palata vasta sitten, kun niihin liittyvät tietosuojaa koskevat vaikutustenarvioinnit ja muut tarvittavat selvitykset on asianmukaisesti toteutettu ja ehdotusten yhteensopivuus vireillä olevien EU:n rahanpesun ja terrorismin rahoituksen torjuntaa koskevien sääntelyhankkeiden kanssa on varmistettu.

2        Pankki- ja maksutilikyselyjen sähköistämisestä

Pankki- ja maksutilikyselyjä sähköistettäessä ja etenkin niitä koskevaa sääntelyä laadittaessa on erityisesti varmistettava yleisten tietoturvaperiaatteiden, oletusarvoisen tietosuojan, tietoturvallisuuden ja pankkisalaisuuden toteutuminen yleisen tietosuoja-asetuksen[2], luottolaitoslain[3] ja muun lainsäädännön edellyttämällä tavalla.

Hallituksen esitys näyttää lähtevän siitä, ettei tilikyselyjen sähköistämiseen liity erityisiä tietosuojaongelmia, koska esityksen mukaisilla toimivaltaisilla viranomaisilla jo nykyisellään on lakiin perustuva oikeus saada PMJ:ssä olevia tietoja luottolaitoksilta. Lähtökohta sivuuttaa täysin yleisen tietosuoja-asetuksen johdanto-osan 6 ja 7 kohdissa esille tuodut teknologisen kehityksen perustavanlaatuiset vaikutukset henkilötietojen käsittelyyn, käsittelyn kohteena olevien henkilöiden etuihin ja oikeuksiin sekä näihin kohdistuviin riskeihin.

FA haluaa edelleen kiinnittää huomiota siihen, että sisäministeriö on hallituksen esityksen antamisen jälkeen käynnistänyt esiselvityshankkeen tilitapahtumatietojen lisäämiseksi PMJ:n tietosisältöön, mikä entisestään korostaa huolellisen ja perusteellisen lainvalmistelun tarvetta.

Edellä esitetyn perusteella FA pitää välttämättömänä, että tilikyselyjen sähköistämiseen liittyvät vaikutukset, riskit ja niiden hallintakeinot arvioidaan perusteellisesti ennen esitettyjen kansallisten laajennusten ja muutosten toteuttamista. FA pitää hyvän lainvalmistelun periaatteiden kannalta ongelmallisena menettelyä, jossa laajaa ja periaatteellisilta vaikutuksiltaan merkittävää sääntelykokonaisuutta viedään eteenpäin pilkkomalla se pienempiin kokonaisuuksiin. FA:n näkemyksen mukaan esitettyjen muutosten oikeusturvavaikutusten sekä kustannusten ja hyötyjen asianmukainen punninta on mahdollista vain kokonaisuuden tasolla.

3        Tietosuojaa koskevat vaikutustenarvioinnit

Kuten hallituksen esityksessä todetaan, merkittävä osa esitetyistä muutoksista on sellaisia että ne jäisivät sekä rahoitustietodirektiivin että poliisin tietosuojalailla[4] toimeenpannun poliisidirektiivin[5] soveltamisalan ulkopuolelle. Rahoitustietodirektiivin johdanto-osan 8 kappaleen mukaisesti kansallisten viranomaisten pääsy pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin muissa kuin rahoitustietodirektiivin tarkoituksissa tai liittyen muihin kuin sen soveltamisalaan kuuluviin rikoksiin ei kuulu rahoitustietodirektiivin soveltamisalaan. Sikäli kuin nämä tarkoitukset eivät kuulu poliisin tietosuojalailla toimeenpannun poliisidirektiivin soveltamisalaan, niihin sovelletaan yleistä tietosuoja-asetusta.

Euroopan tietosuojavaltuutetun linjausten mukaisesti EU:n rahanpesun ja terrorismin rahoituksen torjuntaa koskevaan sääntelyyn nojalla kerättäviä henkilötietoja tai perustettavia rekistereitä voidaan käyttää vain rahanpesun ja terrorismin rahoituksen torjuntaan liittyviin käyttötarkoituksiin. Mikäli käyttöä halutaan laajentaa muihin tarkoituksiin, kunkin käyttötarkoituksen osalta on tehtävä yleisen tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi. Vaikutusarvioinnin avulla muun muassa varmistetaan käsittelytoimien tarpeellisuus ja oikeasuhteisuus tarkoituksiin nähden, arvioidaan rekisteröityjen oikeuksia ja vapauksia koskevia riskejä sekä kuvataan toimenpiteet riskeihin puuttumiseksi. Arvioinnin yhteydessä turvallisuustoimet ja mekanismit on kuvattava tavalla, jotka varmistavat henkilötietojen suojan ja osoittavat, että yleistä tietosuoja-asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

Hallituksen esityksen mukaan kukin esityksen mukainen toimivaltainen viranomainen tekisi tietosuoja-asetuksen mukaisen vaikutustenarvioinnin koostavan sovelluksen kautta välitettyjen ja tallentamiensa tietojen osalta.

FA pitää selvänä, ettei tietosuojan vaikutustenarviointien tekemistä voida lykätä esitettyjen lakimuutosten hyväksymisen ja mahdollisen koostavan sovelluksen toteuttamisen jälkeiseen aikaan, vaan niiden tulee olla käytettävissä ennen kuin päätös PMJ:n käyttäjien tai käyttötarkoitusten piirin laajentamisesta rahoitustietodirektiiviä pidemmälle on mahdollista tehdä.

Koostavan sovelluksen osalta vaikutustenarviointia käsitellään hallituksen esityksen kohdassa 4.2.4. FA:n käsityksen mukaan kuvailu voimassa olevan lainsäädännön sisällöstä, koostavan sovelluksen kaavailluista teknisistä ominaisuuksista tai viranomaisten itsevalvonnan menettelyistä ei kuitenkaan riitä täyttämään yleisen tietosuoja-asetuksen 35 artiklan 7 kohdassa säädettyjä tietosuojaa koskevan vaikutustenarvioinnin vähimmäisvaatimuksia.

Kohdassa 4.2.4. todetaan edelleen seuraavaa: ”Pankki- ja maksutilien valvontajärjestelmän kautta saatavien henkilötietojen perusteella ei ole mahdollista saada kattavaa kuvaa esimerkiksi henkilön taloudellisesta tilasta, koska järjestelmän kautta ei ole mahdollista saada yksityiskohtaisempia tietoja, kuten tilitapahtumatietoja.” Kuten edellä on todettu ja myös eri viranomaisten hallituksen esityksen luonnokseen antamista lausunnoista ilmenee, tilitapahtumatietojen poisjättäminen tästä hallituksen esityksestä ei tarkoita sitä että tavoitteesta olisi luovuttu, minkä vuoksi FA pitää edellä olevaa lausumaa harhaanjohtavana.

4        Taloudellisten ja toiminnallisten vaikutusten arviointi

Viranomaisten tekemien kyselyjen määrien osalta FA haluaa tuoda esille sen, että toimivaltaisten viranomaisten tekemät pankkitiedustelut vain harvoin rajautuvat pelkästään sen selvittämiseen, onko kohdeyrityksellä tai -henkilöllä tiliä pankissa, vaan tyypillisesti samalla pyydetään tietoja esimerkiksi tileillä olevista varoista tai tilitapahtumista. Epäselväksi jääkin, miltä osin PMJ-lakiin ehdotetut kansalliset käyttäjien ja käyttötarkoitusten laajennukset aidosti vähentäisivät pankkitiedustelujen tarvetta.

FA:n alustavien selvitysten perusteella on kuitenkin selvää, että useiden viranomaisten osalta pankkitiedustelut ovat satunnaisia ja niiden määrät jäävät niin alhaisiksi, että todellista tarvetta niiden sähköistämiseen tuskin on.

FA:n käsityksen mukaan luottolaitosten ja viranomaisten pankkitiedusteluihin liittyvä yhteistoiminta sujuu nykyisellään varsin hyvin. Luottolaitokset pyrkivät vastaamaan kyselyihin kattavasti ja niin nopeasti kuin mahdollista. Samalla luottolaitosten asiantuntijat varmistavat, että kyselyt ovat muodollisesti ja asiallisesti asianmukaisia, mikä on sekä tiedustelun tehneen viranomaisen, vastauksen antavan luottolaitoksen että tiedustelun kohteena olevan tahon laillisten etujen ja oikeuksien mukaista.

Edellä mainitusta syystä FA kyseenalaistaa täysin hallituksen esityksessä ehdotetun ratkaisun, jossa luottolaitosten mahdollisuudet valvoa tilikyselyjen asianmukaisuutta estettäisiin ja korvattaisiin esityksessä mainittujen viranomaisten omavalvonnalla ja lokitietoihin perustuvalla jälkivalvonnalla.

Nykyisin lähes kaikki luottolaitosten perusteettomiksi toteamat pankkitiedustelut tulevat viranhaltijoilta, joilla on muodollinen oikeus tiedustelujen tekemiseen, joten käyttövaltuushallinnan keinoin tämäntyyppisten virheiden tai väärinkäytösten torjuminen on vain rajoitetusti mahdollista. Perusteettomia tiedusteluja voidaan mahdollisesti havaita jälkikäteen viranomaisen oma- tai jälkivalvonnassa, mutta niiden ennalta ehkäisemiseksi hallituksen esityksessä ehdotetut tekniset ja hallinnolliset järjestelyt ovat riittämättömiä täyttämään yleisen tietosuoja-asetuksen sisäänrakennetun ja oletusarvoisen tietosuojan, tietoturvallisuuden ja pankkisalaisuuden vaatimukset.

5        Pankki- ja maksutilien valvontajärjestelmään liittyvät tekniset ja hallinnolliset kysymykset

Yleisen tietosuoja-asetuksen 4 artiklan 2 kohdan mukaisesti henkilötietojen käsittelynä pidetään esimerkiksi tietojen hakua, kyselyä, käyttöä tai luovuttamista siirtämällä, joten PMJ-lain 4 §:ssä säädetyt pankki- ja maksutilien tiedonhakujärjestelmät, 5 §:n mukainen pankki- ja maksutilirekisteri sekä HE-luonnoksen 7 a §:ssä esitetty koostava sovellus kuuluvat PMJ-lakiin esitettyjen kansallisten laajennusten osalta yleisen tietosuoja-asetuksen soveltamisalaan.

PMJ-lain 5 §:n nojalla Tulli toimii pankki- ja maksutilirekisterin rekisterinpitäjänä ja HE-luonnoksessa ehdotetun 7a §:n mukaisesti se toimisi myös koostavalla sovelluksella käsiteltävien henkilötietojen rekisterinpitäjänä. Lain 4 § asettaa luottolaitoksille velvoitteen ylläpitää tiedonhakujärjestelmää, muttei erikseen määrittele, ketä on pidettävä rekisterinpitäjänä sen kautta kyseltävien tai siirrettävien henkilötietojen osalta.

Yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan perusteella rekisterinpitäjänä pidetään henkilöä tai tahoa, jolla on oikeus yksin tai yhdessä määritellä henkilötietojen käsittelyn tarkoitukset ja keinot. Sellaista vaihtoehtoa yleinen tietosuoja-asetus ei tunnista, ettei henkilötietojen käsittelystä vastaava rekisterinpitäjää olisi.

Rekisterinpitäjän keskeisimpiin yleisen tietosuoja-asetuksen mukaisiin tehtäviin kuuluu varmistaa, että henkilötietojen käsittely tapahtuu lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi, että henkilötietoja käsitellään vain tiettyä, nimenomaista ja laillista tarkoitusta varten ja että käsiteltävien henkilötietojen määrä rajataan käsittelyn tarkoitusta vastaavaksi.

Lainsäädännöllisesti PMJ on kokonaisuus, joka koostuu pankki- ja maksutilien tiedonhakujärjestelmästä ja pankki- ja maksutilirekisteristä ja PMJ-lain 4 §:n 5 momentin perusteella Tullin tehtävänä on antaa määräykset pankki- ja maksutilien tiedonhakujärjestelmän teknisistä vaatimuksista. Yleisen tietosuoja-asetuksen IV luvun säännösten ja periaatteiden mukaisesti FA pitää selvänä, että Tullin rooli rekisterinpitäjänä jo nykyisellään kattaa myös tiedonhakujärjestelmän siltä osin kuin kyse muista kuin luottolaitosten omissa järjestelmissä olevista henkilötiedoista tai niissä tapahtuvasta henkilötietojen käsittelystä. Viime kädessä Tullin lakisääteisenä velvoitteena on varmistaa, että pankki- ja maksutilien tiedonhakujärjestelmässä ja pankki- ja maksutilirekisterissä tapahtuva henkilötietojen käsittely tapahtuu yleisen tietosuoja-asetuksen edellyttämällä tavalla.

Jos PMJ-lakiin esitetyt kansalliset laajennukset valvontajärjestelmän käyttäjiin ja käyttötarkoituksiin päätettäisiin toteuttaa, on huomattava, että näihin liittyvät käyttövaltuudet nojaisivat muista laeista löytyviin ja sangen laveasti määriteltyihin toimivaltaperusteisiin. Tämän vuoksi FA ei pidä poissuljettuna vaihtoehtoa, että eräissä tilanteissa myös kyselyn tekevä viranomainen voitaisiin katsoa Tullin rinnalla yleisen tietosuoja-asetuksen 26 artiklassa tarkoitetuksi yhteisrekisterinpitäjäksi.

Luottolaitosten kannalta kysymys pankki- ja maksutilien tiedonhakujärjestelmän rekisterinpitäjästä on keskeinen, koska käytännössä on havaittu, etteivät Tullin määrittelemän rajapinnan kautta tulevien viranomaiskyselyjen tiedot kaikilta osin ole riittäviä siihen, että luottolaitokset pystyisivät rekisterinpitäjältä edellytetyllä tavalla yksilöimään esimerkiksi sitä, kuka asiakkaan tietoja on kysynyt, mihin käyttötarkoitukseen ja millä perusteella tietoja on kysytty ja/tai kenelle tietoja on luovutettu.

Kysymys ei ole vain periaatteellisesti tärkeä, vaan asia liittyy välittömästi sekä pankkisalaisuuteen että yleisen tietosuoja-asetuksen 12–23 artiklassa säädettyihin rekisteröidyn oikeuksiin, joihin liittyvät laiminlyönnit katsotaan vakaviksi rikkomuksiksi, jotka altistavat rekisterinpitäjän asetuksen 83 artiklan 5 kohdassa säädetylle enimmäisseuraamukselle.

Mikäli lainsäätäjä kuitenkin katsoisi mahdolliseksi, että luottolaitoksia pidettäisiin rekisterinpitäjänä myös pankki- ja maksutilien tiedonhakujärjestelmän kautta tehtävien viranomaiskyselyjen osalta, FA pitää välttämättömänä, että PMJ-lakiin tehdään tarkentavat muutokset, joilla varmistetaan, että luottolaitos ennen vastauksen antamista voi varmistua, että kysely kaikilta osin täyttää yleisen tietosuoja-asetuksen ja muun sovellettavan lainsäädännön asettamat vaatimukset. Lisäksi on edellytettävä, että kyselyihin oikeutetut viranomaiset toteuttavat asianmukaiset hallinnolliset ja tekniset ratkaisut ja todentamisprosessit, joilla varmistetaan, että vain siihen valtuutetut henkilöt voivat tehdä kyselyitä tai muulla tavoin käsitellä pankki- ja maksutilien valvontajärjestelmän tietoja.

Luottolaitoksen tulee kaikissa oloissa pystyä todentamaan, kuka tietoja on kysynyt, mihin tarkoitukseen ja millä perusteella kysely on tehty ja mikä on kysyjän asema, jotta pystytään varmistumaan siitä, että kysyjällä on oikeus saada tietoja. Luottolaitoksen tulee myös pystyä jälkikäteen osoittamaan, että se on tarkistanut ja varmistunut ennen tietojen luovuttamista, että niitä pyytäneellä taholla on lakiin perustuva oikeus ja tarve saada henkilötietoja. Mikäli luottolaitos ei voi varmistua siitä, että tietojen vastaanottaja käsittelee tietoja yleisen tietosuoja-asetuksen tai muun sitovana sovellettavan normiston mukaisesti, sen on tarvittaessa pidättäydyttävä luovuttamasta pyydettyjä tietoja.

6        Käyttö- ja kyselyvaltuuksien rajaaminen

FA haluaa kiinnittää huomiota siihen, että HE-luonnoksen lähtökohtana näyttää olevan se, että PMJ-lain 3 §:ssä esitettyyn pankki- ja maksutilien valvontajärjestelmän käyttäjiä ja käyttötarkoituksia koskevaan kansalliseen laajennukseen perustuva käyttöoikeus antaisi asianomaiselle viranomaiselle automaattisesti pääsyn kaikkeen tiettyä asiakasta, tiliä tai tallelokeroa tai vastaavaa koskeviin valvontajärjestelmän tietoihin.

FA pitää kuitenkin selvänä, että kunkin viranomaisen oikeus saada tai käsitellä valvontajärjestelmän tietoja rajoittuu vain niihin tietoihin, joiden käsittelyyn sillä on oikeus ja lakiin perustuva todellinen käyttötarve. Esimerkiksi tilanteissa, joissa viranomaisen tarve rajoittuu henkilön pankki- ja maksutilien selvittämiseen, tiedot näiden tilien tosiasiallisista edunsaajista ja käyttöoikeuksista tai vaikkapa henkilön nimiin rekisteröidyistä tallelokeroista eivät ole tarpeellisia eikä niiden myöskään tällöin tule olla kyseisen viranomaisen saatavilla.

Luottolaitoksilla ei ole edellytyksiä tehdä tällaisia rajauksia viranomaisten tietopyyntöihin vastatessaan, vaan ne on toteutettava luottolaitosten tiedonhakujärjestelmän ja Tullin koostavan sovelluksen teknisten määrittelyjen kautta, mikä edelleen alleviivaa Tullin roolia rekisterinpitäjänä. Vastuu kyselyjen asianmukaisuudesta tulee olla viranomaisilla, ei luottolaitoksilla.

7        Pykäläkohtaiset kommentit esitykseen PMJ-lain muuttamiseksi

2 § Määritelmät. Pykälän 10 kohta koskee luottolaitosten talletustilejä, jotka eivät ole maksupalvelulain[6] 8 §:ssä tarkoitettuja maksutilejä. Hallituksen esityksessä viittaus maksupalvelulain 8 §:ään esitetään korvattavaksi viittauksella maksulaitoslain[7] 5 §:n 4 kohtaan. Maksulaitoslain 2 §:n 1 momentin 1 kohdan nojalla lakia kuitenkin sovelletaan luottolaitoslaissa tarkoitettuun luottolaitokseen vain, jos kyse on 9 §:n 1 momentin 1 kohdassa tai 2 momentissa tarkoitetusta tilinsiirtopalvelusta, joten FA:lle jää epäselväksi, mitä ehdotetulla muutoksella tavoitellaan ja esittää, että siitä luovutaan.

3 § Pankki- ja maksutilien valvontajärjestelmää käyttävät viranomaiset. FA katsoo, että tässä vaiheessa valvontajärjestelmän käyttöön oikeutettujen viranomaisten piiriä tulisi laajentaa ainoastaan rahoitustietodirektiivin kansallisen toimeenpanon edellyttämässä laajuudessa ja muilta osin esitetyistä muutoksista luovutaan. Asiaan voidaan palata sen jälkeen, kun eri viranomaisten käyttötarpeet on asianmukaisesti selvitetty, todennettu ja arvioitu myös tietosuojavaikutusten osalta.

3 a § Toimivaltaisten viranomaisten pääsy tietoihin ja niitä koskevien hakujen tekemistä koskevat edellytykset. FA:lla ei ole kommentoitavaa ehdotettuun muutokseen.

4 § Pankki- ja maksutilien tiedonhakujärjestelmä. Pykälään esitetyt muutokset menevät rahanpesulain[8] ja sen perusteena olevaa viidennen rahanpesudirektiivin[9] vaatimuksia pidemmälle ja FA esittää niistä luopumista.

• Pykälän 2 momenttiin lisättäväksi esitetty aikamääre ”kuluvan vuoden ja viiden edellisen vuoden ajalta” ei sisälly viidenteen rahanpesudirektiiviin. Direktiivin lähtökohtana on, että toimivaltainen viranomainen voi valvontajärjestelmän kautta hakea senhetkiset tiedot direktiivin 32 a artiklan 3 kohdassa määritellyistä tileistä, tallelokeroista ja henkilöistä. Esitetty muutos myös poikkeaa rahanpesulain 3 luvun 3 §:n 1 momentissa säädetystä aikamääreestä ”viiden vuoden ajan vakituisen asiakassuhteen päättymisestä”. Aikamääreen säätäminen laajentaisi selvästi PMJ:n piiriin tulevien henkilöiden määrää ja vaikuttaisi suoraan heidän oikeuksiinsa. Mikäli muutos kuitenkin nähtäisiin mahdolliseksi toteuttaa, FA pitää välttämättömänä, että sen vaikutukset ja oikeasuhteisuus asiakkaiden ja toimijoiden oikeuksiin nähden arvioidaan perusteellisesti. Lisäksi ajanjakso, jonka tietojen tulee olla toimivaltaisten viranomaisten saatavilla, tulee määritellä olennaisesti hallituksen esityksen tai rahanpesulain 3 luvun 3 §:n 1 momentin aikamäärettä täsmällisemmin.
• Pykälän 2 momentin 1 kohtaan esitetty laajennus asiakkuuden alkamis- ja päättymispäivän lisäämisestä ei sisälly rahanpesulain 3 luvun 3 §:n 2 momentin 10 kohdan luetelmaan tiedoista, jotka ilmoitusvelvollisen on pankki- ja maksutilien osalta säilytettävä, joten laajennuksen toteuttaminen edellyttäisi rahanpesulain muutosta. Mikäli lisäys arvioidaan tarpeelliseksi, sen vaikutukset ja oikeasuhteisuus tulisi ensin arvioida asianmukaisesti.
• Myös pykälän 2 momentin 2 kohtaan esitetty laajennus tosiasiallisten edunsaajien asiakkuuden alkamis- ja päättymispäivän lisäämisestä edellyttäisi rahanpesulain muutosta, koska nämä tiedot eivät sisälly rahanpesulain 3 luvun 3 §:ssä lueteltujen säilytettävien tietojen piiriin. FA:lle jää myös epäselväksi, millä perusteella asiakkuuden alkamis- ja päättymispäivä ylipäätään olisi tosiasiallisen edunsaajan osalta merkityksellinen tieto.
• Tosiasiallisten edunsaajien osalta FA haluaa myös kiinnittää huomioita siihen, että yritysten ja yhteisöjen tulee lain mukaan ilmoittaa ja ylläpitää niitä koskevat tiedot Patentti- ja rekisterihallitukselle. FA:lle jää epäselväksi, miksi ilmoitusvelvollisten tulisi tämän lisäksi omalla kustannuksellaan luoda ja ylläpitää rinnakkaista kanavaa näiden tietojen luovuttamiseksi viranomaiskäyttöön. Mikäli Patentti- ja rekisterihallituksen edunsaajarekisterin tietosisältö ei vastaa viranomaisten tarpeita, ratkaisuna ei voi olla uuden massakyselymekanismin luominen, vaan edunsaajarekisterin jatkokehittäminen.

Pykälän 3 momenttiin esitetään lisäystä ”luottolaitokset vastaavat luovutettavien tietojen oikeellisuudesta sekä tietojen oikaisemisesta ilman aiheetonta viivytystä”. Lisäyksen osalta FA toteaa, että luottolaitokset luovuttavat tiedonhakujärjestelmän kautta kyselyjä vastaavat tietosisällöt tietojärjestelmistään. Luottolaitoksen lakisääteinen velvollisuus varmistaa järjestelmissään olevien tietojen oikeellisuus ja ajantasaisuus perustuu yleiseen tietosuoja-asetukseen ja luottolaitostoimintaa koskevaan sääntelyyn eikä siitä FA:n käsityksen mukaan ole mahdollista säätää PMJ-laissa.

Pykälän 3 momenttiin esitetystä velvollisuudesta oikaista tiedot tulisi luopua. Luottolaitokset ylläpitävät järjestelmissään olevia asiakkaiden tuntemistietoja ja muita tietoja jatkuvasti. Kyselypohjaisessa tiedonhakujärjestelmässä viranomaisella on aina mahdollisuus varmistua tietojensa ajantasaisuudesta tekemällä uusi kysely. Jos viranomaisella on epäilys siitä, että vastauksena saadut tiedot olisivat virheellisiä tai vanhentuneita, tilanne on aina mahdollista tarkistaa pankkikyselyllä. Ajatus siitä, että luottolaitokset lähtisivät jälkikäteen oikaisemaan tiedonhakujärjestelmän kautta annettuja tietoja ei ole toteuttamiskelpoinen.

FA haluaa kiinnittää huomiota myös siihen, että hallituksen esityksessä viitatun pankki- ja maksutilirekisterien yhteen liittämistä koskevan komission säädösehdotuksen voimaan tullessa muiden jäsenvaltioiden toimivaltaisten viranomaisten oikeuteen saada tietoja ei sovelleta PMJ-lakia, vaan luovutettavat tiedot määräytyvät viidennen rahanpesudirektiivin mukaisesti. Tämän vuoksi sekä tiedonhakujärjestelmän että mahdollisen koostavan sovelluksen teknisissä vaatimuksissa olisi varmistettava, ettei niiden kautta vahingossakaan luovuteta tietosisältöjä, joiden käsittelyyn kyselyn tehneellä ulkomaisella viranomaisella tai kyselyn toteuttamiseen Suomessa osallistuvilla viranomaisilla ei ole oikeutta.

Yhteenvetona 4 §:n osalta FA katsoo, että hallituksen esitys pyrkii laajentamaan PMJ-lain alaa tavalla, joka ei ole sen alkuperäisen tarkoituksen mukainen ja pyrkii laajentamaan luottolaitosten muualla laissa säädettyjä velvoitteita. Lisäksi se voisi vaikeuttaa komission tavoitetta liittää yhteen jäsenvaltioiden pankki- ja maksutilirekisterit tai muulla tavoin haitata EU:ssa vireillä olevien rahanpesun sääntelyn uudistamishankkeita. FA esittääkin, että pykälään ehdotetuista muutoksista luovutaan.

6 § Pankki- ja maksutilirekisteriin tallennettavat tiedot. FA esittää edellä 4 §:n kohdalla esitetyillä perusteilla, että pykälään ehdotetuista aikamääreestä ”kuluvan vuoden ja viiden edellisen vuoden ajalta” ja tilin avaamis- ja sulkemispäivää koskevasta laajennuksesta luovutaan.

7 § Tietojen antaminen pankki- ja maksutilirekisteristä. Pykälän 2 momentin rajoitus vaikuttaa olennaisesti rekisteröidyn yleisen tietosuoja-asetuksen mukaisiin perustavaa laatua oleviin oikeuksiin ja ulottuisi myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu viidennen rahanpesudirektiivin, poliisin tietosuojalain tai rahoitustietodirektiivin piiriin, vaan johon kaikilta osin sovelletaan yleistä tietosuoja-asetusta. FA pitää ehdottoman tärkeänä, että rajoituksen vaikutuksia punnitaan huolellisesti ja sen soveltaminen rajoitetaan vain tilanteisiin, jossa se arvioidaan välttämättömäksi ja oikeasuhteiseksi rekisteröidyn lailliset oikeudet huomioiden.

7 a § Tietojen luovuttaminen siirtämällä pankki- ja maksutilien valvontajärjestelmästä toimivaltaisille viranomaisille. Hallituksen esitykseen sisältyvät kuvaukset muun muassa koostavan sovelluksen tavoitteista, toiminnallisuuksista, toimintaperiaatteista, valvonnasta ja hallinnoinnista ovat monin kohdin vaikeaselkoisia eivätkä tällaisten kuvausten käsittely, saati hyväksyminen FA:n käsityksen mukaan kuulu lainsäätäjän tehtäviin. FA vierastaa ajatusta siitä, että lain tasolla säädettäisiin tietojärjestelmän teknisistä ominaisuuksista tai pseudonymisoinnin kaltaisista menettelyistä ja pitää lakiteknisesti parempana ratkaisuna sitä, että Tulli yksiselitteisesti määritellään koko PMJ:n rekisterinpitäjäksi. Tällöin kokonaisvastuu järjestelmän suunnittelusta, määrittelystä, toteutuksesta, toiminnasta ja ylläpidosta on selkeästi yhdellä taholla.

Pykälän 4 momenttiin ehdotetun rajoituksen osalta FA viittaa edellä 7 §:ään annettuihin kommentteihin. Siltä osin kuin henkilötiedon luovutusta viranomaiselle arvioidaan yksinomaan yleisen tietosuoja-asetuksen pohjalta, FA pitää ehdottoman tärkeänä, että rajoituksen vaikutuksia punnitaan huolellisesti ja sen soveltaminen rajoitetaan vain tilanteisiin, jossa se arvioidaan välttämättömäksi ja oikeasuhteiseksi rekisteröidyn lailliset oikeudet huomioiden.

10 § Lokitiedot. FA pitää hyvänä, että velvollisuus ylläpitää lokirekisteriä ulotetaan mahdolliseen koostavaan sovellukseen, mutta katsoo, että velvoitteen tulisi ulottua kaikkiin tietojenluovutuksiin eli myös tilanteisiin, joissa viranomainen saa tiedot luottolaitokselta suoraan tietojenhakujärjestelmän kautta ilman koostavaa sovellusta. Lokirekisterien tulisi myös olla tietosuojavaltuutetun tai mahdollisten muiden tutkinta- ja valvontaviranomaisten käytettävissä, mikäli se on tarpeen epäiltyjen väärinkäytösten, tietosuojaloukkausten tai muiden vastaavien tilanteiden selvittämiseksi.

11 § Uhkasakko ja 12 § Rikemaksu. PMJ-lain 11 ja 12 §:n osalta FA toteaa, ettei laissa ole lainkaan tarkasteltu Tullin asemaa, velvollisuuksia tai mahdollisuuksia määrätä seuraamuksia tilanteissa, joissa viranomaisen havaitaan tai epäillään käyttävän väärin pankki- ja maksutilien valvontajärjestelmää. Rekisteröityjen oikeudet huomioiden ja valvontajärjestelmään kohdistuvan yleisen luottamuksen ylläpitämiseksi FA pitää välttämättömänä, että PMJ-lakia tältä osin täydennetään Tullin toimivaltuuksia, väärinkäytöksistä määrättäviä seuraamuksia ja rekisteröidyille tarjolla olevia oikeusturvakeinoja koskevilla säännöksillä.

8        Muita huomioita PMJ-lakiin liittyen

Hallituksen esityksessä viitataan tiedonhakujärjestelmän rakentamiseen liittyviin ongelmiin ja viivästyksiin, joiden osalta FA haluaa kiinnittää huomiota seuraaviin asioihin:

• Osa Tullin rajapintakuvaukseen tekemistä muutoksista on julkaistu lähellä käyttöönottoa. Teknisten muutosten määrittely, toteuttaminen ja testaaminen vaatii aikaa, joten Tullin tulisi lukita rajapintakuvaus hyvissä ajoin (käytännössä kuukausia ennen), jotta muutokset saadaan vietyä järjestelmiin asianmukaisella tavalla.
• Tullin teknisissä määräyksissä on vaatimus luovuttaa tiedonhakujärjestelmän kautta tieto ns. kiistetyistä tiedoista, mikäli osa tai kaikki esim. tiettyä asiakasta tai tiliä koskevat tiedot on kiistetty. Tällaista tietoa ei kuitenkaan ole mainittu viidennessä rahanpesudirektiivissä tai PMJ-laissa tietona, jonka pitäisi olla saatavilla tiedonhakujärjestelmän kautta.
• Tullin tilirekisteritiedotteessa 2.12.2021 ilmoitettiin pankki- ja maksutilirekisterissä havaitusta tietoturva- ja tietosuojapoikkeamasta, sillä rekisteriin oli vastaanotettu ja talletettu henkilö- ja muita tietoja laajemmin, kuin mihin Tullilla oli käsittelyoikeus. Poikkeama havaittiin 2.11.2021 ja se oli alkanut 1.9.2020 eli yli kahta vuotta aiemmin.

FA pitää välttämättömänä, että jatkossa varmistetaan, että Tullin tekniset määräykset rajoitetaan tiukasti niihin tietoihin, jotka luottolaitokset ovat lain perusteella velvollisia luovuttamaan. Ennen määräysten antamista on myös varmistettava, että niissä esitettävät muutokset ovat oikeudellisesti, toiminnallisesti ja taloudellisesti toteuttamiskelpoisia.

9        Rahanpesun selvittelykeskuksesta annettuun lakiin ehdotetut muutokset

FA:n käsityksen mukaan rahanpesun selvittelykeskuksesta annetun lain osalta HE-luonnos rajoittuu rahoitustietodirektiivin täytäntöönpanon kannalta välttämättömiin muutoksiin eikä niihin tässä vaiheessa ole kommentoitavaa.

10     Lopuksi

Edellä esitettyjen syiden perusteella FA pitää tarpeellisena ja johdonmukaisena, että nyt tehtävät lakimuutokset rajattaisiin vain niihin, jotka ovat välttämättömiä rahoitustietodirektiivin toimeenpanemiseksi. FA:n mielestä tämä olisi myös tarpeen sen varmistamiseksi, etteivät mahdolliset kansalliset laajennukset ole ristiriidassa tai muuten haittaa EU:ssa parhaillaan vireillä olevia rahanpesusääntelyn uudistamiseen liittyviä hankkeita.

FA kannattaa viranomaisten toimivaltuuksiensa puitteissa tekemien pankkikyselyjen sähköistämistä siinä laajuudessa kuin se asiakkaan, pankin ja mahdollisten kolmansien osapuolien oikeudet ja niiden suojaaminen huomioon ottaen on mahdollista. Jotta kyselyjen sähköistämiseen liittyvät näkökohdat ja kysymykset voitaisiin käsitellä perusteellisesti ja asian edellyttämässä laajuudessa, FA esittää, että hallituksen esitykseen sisältyvät kansalliset laajennukset käsiteltäisiin joko osana sisäministeriön tilitapahtumien lisäämistä koskevaa esiselvityshanketta tai erillisessä laajapohjaisessa työryhmässä, jossa viranomaisten ohella olisivat mukana myös pankki- ja maksutilien tiedonhakujärjestelmien ylläpidosta vastaavien luottolaitosten edustus.

FINANSSIALA RY

Taina Ahvenjärvi

---

[1] Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1153 säännöistä, joilla helpotetaan rahoitus- ja muiden tietojen käyttöä tiettyjen rikosten ennalta estämistä, paljastamista, tutkimista tai niihin liittyviä syytetoimia varten, ja neuvoston päätöksen 2000/642/YOS kumoamisesta

[2] Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)

[3] Laki luottolaitostoiminnasta (610/2014)

[4] Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018)

[5] Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta

[6] Maksupalvelulaki (290/2010)

[7] Maksulaitoslaki (297/2010)

[8] Laki rahanpesun ja terrorismin rahoittamisen estämisestä (444/2017)

[9] Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/843 rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen annetun direktiivin (EU) 2015/849 ja direktiivien 2009/138/EY ja 2013/36/EU muuttamisesta