Lausunto
Rahamuulit Asiakkaan tunteminen Pääomamarkkinaunioni Maksaminen ja maksujärjestelmät Kyberturvallisuus ja tietosuoja Rahanpesun torjunta VEROTUS DIGI- JA MAKSUPALVELUT EU TURVALLISUUS

Hallituksen esitys laeiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain ym. muuttamisesta

Eduskunnan talousvaliokunta (TaV)

  • FA tukee viranomaisten sähköisen tiedonsaannin ja henkilötietojen suojan parantamista. Järjestelmän toiminnalliset ja taloudelliset hyödyt voivat kuitenkin toteutua vain sen laajan käyttöönoton myötä
  • Viranomaisten ennen yleistä tietosuoja-asetusta säädetyt laajat tiedonsaantioikeudet tulisi arvioida ja saattaa ajan tasalle. Viranomaiskyselyjen suppeus, käsittelyrajoitukset ja puutteellinen luottamuksensuoja altistavat tiedonluovuttajan ankarille seuraamuksille myös viranomaisen virkavastuulla tekemistä virheistä
  • Luovutettavat tiedot tulisi määritellä täsmällisesti, tarvittaessa asetuksella, ja eri viranomaisten soveltamat tietoturva- ja tietosuojamenettelyt tulisi yhdenmukaistaa
  • Sääntelyn yhteensopivuuden varmistamiseen EU-sääntelyn kanssa tulisi kiinnittää erityistä huomiota.

HE 25/2025 vp

Talousvaliokunta on 22.4.2025 pyytänyt Finanssiala ry:n kirjallista asiantuntijalausuntoa otsikossa mainitusta hallituksen esityksestä. Esitämme lausuntonamme seuraavaa. 

  1. Lakimuutoksen tarkoituksena on edistää viranomaisten sähköistä tiedonsaantia pankki- ja maksutileistä ja saldo- ja tilitapahtumista sekä parantaa luovutettavien henkilötietojen tietoturvaa. Pidämme lakiehdotusta perusteltuna ja yhdymme näihin tavoitteisiin.  
  1. Hallituksen esityksessä esille tuotujen kustannussäästöjen osalta toteamme, että ne voivat toteutua vain, jos saldo- ja tilitapahtumajärjestelmä otetaan laajasti käyttöön viranomaisissa. Muussa tapauksessa tiedonluovuttajien mittavat panostukset tulevat jäämään turhiksi. 
  1. Tiedonluovuttajan päällimmäiset haasteet eivät liity saldo- ja tilitapahtumajärjestelmän tekniseen toteutukseen, vaan eräiden järjestelmän käyttäjiksi esitettyjen viranomaisten laajoihin ja ennen yleisen tietosuoja-asetuksen (2016/679) voimaantuloa säädettyihin tiedonsaantioikeuksiin. 
  1. Esimerkkinä mainitsemme verotusmenettelylain (1558/1995) 19 §:n, johon hallituksen esityksen verotusmenettelyä koskevat pykäläehdotukset viittaavat. Pykälä vaatii, että pankki tai muu sivullinen antaa Verohallinnon kehotuksesta tietoja, jotka ”saattavat olla tarpeen” muun verovelvollisen verotusta tai muutoksenhakua koskevan asian käsittelyä varten. Pidämme varsin todennäköisenä, ettei pykälä täytä tietosuoja-asetuksen tai perustuslakivaliokunnan arkaluontoisten tietojen käsittelylle asettaman täsmällisyyden ja tarkkarajaisuuden vaatimuksia.  
  1. Tiedonsaantioikeuksien täsmällistä ja tarkkarajaista määrittelyä tarvitaan, koska tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisesti tiedonluovuttajan on voitava varmistua viranomaisen tietopyynnön, siihen annettavan vastauksen ja luovutettujen henkilötietojen jatkokäsittelyn lainmukaisuudesta, mikä tietopyynnön sisällön suppeuden ja ehdotetun pankki- ja maksutilien valvontajärjestelmästä annetun lain 1 b §:n 2 momentin käsittelykiellon vuoksi on erittäin haasteellista (kielto estää mm. tiedonluovuttajan omissa järjestelmissä olevien tietojen käytön tietopyynnön lainmukaisuuden arviointiin). 
  1. Tietosuoja-asetuksen 5 artiklan 2 kohdan velvoite on tiedonluovuttajalle ankara ja voi johtaa tuntuviin hallinnollisiin seuraamuksiin ja kielteiseen julkisuuteen sellaisessakin tilanteessa, jossa luovuttajalla ei ole ollut mahdollisuutta päättää tai vaikuttaa henkilötietojen käsittelyyn viranomaisessa. Edes tilanteessa, jossa saldo- ja tilitapahtumatietoja on käsitelty virkavastuulla, tiedonluovuttaja ei saa automaattisesti hyväkseen luottamuksensuojaa. 
  1. Hallituksen esityksessä keskeisinä valvontamekanismeina mainitaan virkavastuun ohella käyttöoikeushallinta, lokien jälkikäteinen tarkastelu sekä sisäinen laillisuusvalvonta, jotka ovat osa organisaatioiden normaaleja tietoturvallisuus- ja tietosuojakäytäntöjä. Kiinnitämme huomiota siihen, etteivät ne riitä estämään tietosuoja-asetuksen vastaista toimintaa tilanteissa, joissa viranomainen tietoisesti toteuttaa valitsemaansa toimintalinjaa. 
  1. Esimerkkinä viittaamme hallituksen esityksen sivulla 30 käsiteltyihin vertailutietotarkastuksiin, joita koskevissa ratkaisuissaan Tietosuojavaltuutettu arvioi Verohallinnon tietopyynnöt ylimitoitetuiksi. Ainoa tapa tämänkaltaisten tilanteiden ehkäisemiseksi on viranomaisten tiedonsaantioikeuksien täsmällisempi ja tarkempi määrittely lain tasolla. Esitämmekin, että valiokunta edellyttäisi vastuuministeriöiden selvittävän ja tarvittaessa valmistelevan lainsäädäntömuutokset, joilla varmistetaan saldo- ja tilitapahtumajärjestelmää käyttävien viranomaisten tiedonsaantioikeuksien asianmukaisuus ennen järjestelmän käytön aloittamista. 
  1. Keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä saatavista tilitapahtuma- ja arvopaperitiedoista säädettäisiin pankki- ja maksutilien valvontajärjestelmästä annetun lain 17 d §:ssä. Kommentoimme pykälää seuraavasti: 
  • Pykälän sanamuoto viittaisi siihen, että 1 momentin 1–6 kohdissa mainitut tiedot sisältyvät aina tilitapahtumakyselyihin ja niihin annettaviin vastauksiin, kun taas 7 kohdassa mainitut muut tilitapahtumaan liittyvät tiedot pyydetään erikseen. Toisaalta pykälän perustelujen maininta ”1 momentin 1–6 kohdassa olisi eritelty keskeisimmät tilitapahtumatietoon liittyvät tunnistetiedot” näyttäisi viittaavaan siihen, että luettelo olisi esimerkinomainen ja tietojen tarpeellisuus tulee arvioida tapauskohtaisesti. Hallituksen esitys ei tältä osin ole yksiselitteinen ja toivomme, että valiokunta tarkentaisi asian pykälän perusteluissa. 
  • Pykälä luettelee nimenomaisesti vain osan luovutettavista tiedoista (1 momentin 1–6 kohdat). Koska kyse ei ole teknisestä vaan sisällöllisestä vaatimuksesta, Tullilla ei tulkintamme mukaan ole oikeutta antaa asiasta tarkentavaa määräystä. Pidämme myös ongelmallisena ratkaisua, jossa järjestelmää käyttävät viranomaiset, tiedonluovuttajat ja Tulli joutuisivat keskenään sopimaan, mitä tietoja 17 d §:n 1 momentin 7 kohdassa tarkoitetaan. Esitämmekin valiokunnalle pohdittavaksi vaihtoehtoa, jossa kyseiset tiedot määriteltäisiin valtioneuvoston tai valtiovarainministeriön asetuksella  
  • Pykälän 1 momentin 4 kohdassa luovutettavaksi tiedoksi säädettäisiin tapahtuman viesti ja viitenumero. Tapahtuman viesti on vapaa tekstikenttä, johon maksaja voi sallitun merkkimäärän puitteissa kirjoittaa haluamansa viestin, ja yksittäisissä tapauksissa se voi sisältää myös tietosuoja-asetuksen 9 artiklassa tarkoitettuja arkaluonteisia tietoja. Ehdotamme valiokunnalle harkittavaksi, että 1 momentin 4 kohdasta poistetaan maininta tapahtuman viestistä ja se muutettaisiin 7 kohdan mukaiseksi muuksi tilitapahtumaan liittyväksi tiedoksi, jonka viranomainen voi tarvittaessa pyytää erikseen. 
  1. Hallituksen esityksen perusteella viranomaisten sisäiset käytännöt kyselyjen toteuttamiseksi näyttävät poikkeavan toisistaan. Sen varalta, etteivät kaikki viranomaiset sitä jo noudattaisi, ehdotamme, että saldo- ja tilitapahtumakyselyissä tulisi aina noudattaa ns. kahden silmäparin periaatetta, jolloin kysely ja sen perusteet hyväksytettäisiin aina etukäteen vastuullisella esihenkilöllä.  
  1. Hallituksen esityksen sivulla 29 todetaan: ”Tulli laatii vuosittain toimintaraportin tietosuojavaltuutetulle. Raporttiin liitetään toimivaltaisten viranomaisten Tullille toimittamat yleisluonteiset raportit järjestelmän käyttöön kohdistuneista laillisuusvalvontatoimenpiteistä.”  Pidämme perusteltuna, että Tulli velvoitettaisiin seuraamaan saldo- ja tilitapahtumakyselyjen määrien kehittymistä viranomaiskohtaisesti ja julkaista kyselyjä koskevia yhteenvetotilastoja vähintään vuositasolla. Tiedonluovuttajilla tulisi myös olla mahdollisuus saada tietoja viranomaisten tietopyyntöihin liittyvän laillisuusvalvonnan havainnoista ja tuloksista, jotta niiden olisi mahdollista arvioida tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuutensa toteutumista. 
  1. Tarve saldo- ja tilitapahtumatietojen hyödyntämiselle ei ole vain kansallinen ja pidämme selvänä, että pankki- ja maksutilien valvontajärjestelmää koskevan sääntelyn yhteensopivuus unionin lainsäädännön kanssa tulee arvioitavaksi ennen pitkää. Toivomme, että nämä näkökohdat huomioidaan tarkasti lakiehdotuksen eduskuntakäsittelyn yhteydessä. 


FINANSSIALA RY 
Taina Ahvenjärvi 

FA_Lausunto_28042025_TaV_HE25_2025_PMJ_lain_muuttamisestaLataa

Jäikö kysyttävää?

|

Ota yhteyttä aiheen asiantuntijaan

Infra ja turvallisuus

Mika Linna

Johtava asiantuntija

+358 20 793 4269
Rahanpesun, terrorismin rahoittamisen ja tietoverkkorikosten torjunta, kyberturvallisuus, finanssialan varautuminen