Lausunto
Asiakkaan tunteminen Kyberturvallisuus ja tietosuoja Rahanpesun torjunta DIGI- JA MAKSUPALVELUT EU TURVALLISUUS

Lausunto arviomuistiosta poliittisesti vaikutusvaltaisten henkilöiden henkilötietojen käsittelystä keskitetyn kansallisen tietojärjestelmän avulla

VM - valtiovarainministeriö

  • Pidämme hyvänä, että VM on laatinut arviomuistion ns. PEP-henkilöiden henkilötietojen käsittelystä keskitetyn kansallisen tietojärjestelmän avulla.
  • Tarve luotettavalle PEP-rekisterille on rahanpesulain voimaantulon jälkeen selvästi kasvanut mm. ilmoitusvelvollisten compliance-velvoitteiden sekä kansallisen ja kansainvälisen toiminta- ja turvallisuusympäristön kiristymisen myötä.
  • PEP-rekisterin tietojen kattavuus, luotettavuus ja ajantasaisuus tulisi varmistaa. PEP-henkilöiden ohella rekisteristä tulisi löytyä rahanpesulain vaatimat tiedot heidän perheenjäsenistään ja yhtiökumppaneistaan.
  • Tieto siitä, että henkilö toimii merkittävässä julkisessa tehtävässä ei FA:n käsityksen mukaan voi olla arkaluonteinen, minkä vuoksi PEP-rekisteriin tulee soveltaa samantasoisia sääntöjä kuin muihinkin samoja tietoja sisältäviin julkisiin tai kaupallisiin tietolähteisiin.

Diaarinro VN/24616/2022

Valtiovarainministeriö on pyytänyt Finanssiala ry:n lausuntoa arviomuistiosta poliittisesti vaikutusvaltaisten henkilöiden henkilötietojen käsittelystä keskitetyn kansallisen tietojärjestelmän avulla.

Kuinka tarpeellisena näette poliittisesti vaikutusvaltaisten henkilöiden tai tällaisten henkilöiden perheenjäsenten tai yhtiökumppanien henkilötietojen käsittelyn keskitetyn kansallisen tietojärjestelmän avulla?

  1. Finanssiala ry (FA) pitää hyvänä, että valtiovarainministeriö on käynnistänyt ja toteuttanut hankkeen arviomuistion laatimiseksi merkittävissä julkisissa tehtävissä toimivien eli ns. PEP-henkilöiden henkilötietojen käsittelystä keskitetyn kansallisen tietojärjestelmän avulla.

  2.  FA esitti viranomaisten ylläpitämän kansallisen PEP-rekisterin perustamista direktiivin (EU) 2015/849 (neljäs rahanpesudirektiivi) säätämisen ja kansallisen toimeenpanon yhteydessä. FA:n tavoitteena oli ja on luoda ilmoitusvelvollisten käyttöön viranomaisten ylläpitämä, luotettava ja ajantasainen tietolähde, jonka avulla kotimaisten PEP-henkilöiden (ja mahdollisesti heidän perheenjäsentensä ja yhtiökumppaneidensa) osalta rahanpesulain (444/2017) edellyttämät tiedot pystyttäisiin selvittämään, varmistamaan ja ylläpitämään rahanpesulain ja asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) edellyttämällä tavalla.

  3.  FA:n arvion mukaan tarve luotettavalle ja ajantasaiselle kansalliselle PEP-rekisterille (tai Tanskan mallin mukaiselle PEP-luettelolle) on rahanpesulain voimaantulon jälkeen selvästi kasvanut mm. ilmoitusvelvollisten compliance-velvoitteiden sekä kansallisen ja kansainvälisen toiminta- ja turvallisuusympäristön kiristymisen myötä.

  4. Ilmoitusvelvollisten on tarpeen tietää yksiselitteisesti, mitkä kaikki tehtävät PEP-rekisteri kattaa. Lisäksi FA pitää tärkeänä sitä, että rekisteri sisältäisi PEP-henkilöiden ohella tarpeelliset tiedot myös heidän perheenjäsenistään ja yhtiökumppaneistaan. Tietojen kerääminen ja ylläpitäminen tulee suunnitella ja varmistaa niin, että ilmoitusvelvollinen voi luottaa rekisterin tietoihin eikä sen tarvitse enää hankkia lisätietoja asiakkaalta itseltään tämän PEP-aseman selvittämiseksi.

  5. FA pitää välttämättömänä, että PEP-rekisterin tiedot ovat yhtäläisesti ja kohtuullisin ehdoin kaikkien ilmoitusvelvollisten eli myös ulkomaisten toimijoiden sivuliikkeiden käytössä. Rekisterin tiedot tulisi myös antaa ulkomaisten tietokantapalveluiden käyttöön normaalein kaupallisin ehdoin. Tämä ratkaisu varmistaisi sen, että myös tietokantapalveluiden kautta saatavat PEP-tiedot ovat luotettavia ja ajantasaisia, mikä olisi rekisteröityjen oikeuksien kannalta tärkeää. Samalla se tarjoaisi ilmoitusvelvollisille mahdollisuuden valita itselleen tarkoituksenmukaisimman tavan hankkia PEP-tietoja ja turvaisi myös kilpailuneutraliteetin toteutumisen.

Tulisiko vielä jokin näkökulma erityisesti ottaa huomioon vaikutusten arvioinnissa?

  1. Arviomuistiossa esitetään tulkinta, jonka mukaan pelkkä tieto siitä, että henkilö toimii merkittävässä julkisessa tehtävässä taikka on tällaisen henkilön perheenjäsen tai yhtiökumppani, voisi olla yleisen tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluva tieto. FA pitää tulkintaa virheellisenä. Mainittu 9 artikla suojaa poliittisia mielipiteitä, ei merkittävässä julkisessa tehtävässä toimimista sinänsä. Rahanpesulain PEP-kriteeristön kannalta olennainen tieto on, toimiiko henkilö poliittisen puolueen johtotehtävissä. Sen sijaan tieto esimerkiksi siitä, minkä puolueen johtotehtävistä on kyse, on epärelevantti eikä sen myöskään tulisi paljastua PEP-rekisteriin tehtävistä kyselyistä.

  2. PEP-tietojen valtiosääntöisen arkaluonteisuuden osalta FA pitää myös selvänä, ettei pelkkä tieto henkilön toimimisesta merkittävässä julkisessa tehtävässä tai tällaisen henkilön lähipiiriin kuulumisesta ole arkaluonteinen. Mainitut tiedot ovat lisäksi nykyisinkin saatavilla julkisista tietolähteistä kuten kauppa-, yhdistys- ja väestörekistereistä, eikä FA:n tiedossa ole, että niiden kohdalta tietojen saatavuutta olisi missään vaiheessa kyseenalaistettu.

  3. PEP-tietojen arkaluonteisuutta koskevat pohdinnat heijastuvat laajasti arviomuistioon ja siinä käsiteltyihin vaihtoehtoihin. Erityisesti tämä koskee PEP-tietojen käsittelijän tunnistamista ja tunnistautumista. Rekisteritietoja kyselevät työntekijät hakevat tietoja ilmoitusvelvollisen edustajana ja he voivat olla rahanpesulain 9:1:ssä säädetyn suojeluvelvoitteen piirissä. Näillä perustein FA ei pidä tarkoituksenmukaisena tai edes mahdollisena, että PEP-rekisterin käytölle voitaisiin asettaa olennaisesti ankarampia vaatimuksia kuin vastaaville muille rekistereille ja tietopalveluille. Jos hakujen rekisteröinti ylipäätään nähdään välttämättömäksi, tietojen hakijana tulisi näkyä ilmoitusvelvollisen yrityksen nimi. Näin toimitaan esimerkiksi Suomen Asiakastiedolta tehtävien kyselyiden osalta. FA haluaa myös korostaa sitä, että henkilötietoja tulee joka tapauksessa käsitellä yleisen tietosuoja-asetuksen ja muun tietosuojalainsäädännön mukaisesti, ja että tietosuojavaltuutettu valvoo henkilötietojen käsittelyä.

  4. PEP-asemaa koskevan tiedon tulee olla ajan tasalla koko asiakkuuden ajan. Tämän vuoksi FA pitää tärkeänä, että PEP-rekisteriin rakennetaan toiminnallisuus, joka mahdollistaa PEP-aseman muutosten automaattisen seurannan.

  5. PEP-rekisterin tietojen säilytysajan tulee olla yhdenmukainen ilmoitusvelvollisten lakisääteisten velvoitteiden kanssa. Esimerkiksi tieto aiemmasta PEP-tehtävästä tulisi olla ilmoitusvelvollisen saatavilla myös, kun uutta asiakassuhdetta ollaan perustamassa tehtävän päättymisen jälkeen vähintään niin kauan kun ilmoitusvelvollisen täytyy ottaa päättynyt PEP-tehtävä huomioon.

  6. PEP-rekisterin toteutustapaa ja rekisterinpitäjää valittaessa tulisi mahdollisuuksien mukaan hyödyntää nykyisiä järjestelmiä ja rajapintoja ja välttää uusien teknisten ratkaisujen luomista. Toteutustapaa valittaessa tulisi kiinnittää erityistä huomiota PEP-rekisterin helppokäyttöisyyteen, luotettavuuteen ja kustannustehokkuuteen.

Muuta lausuttavaa

  1. PEP-rekisterin tietosisältöä määriteltäessä on tärkeää varmistaa, että sitä voidaan tarpeen mukaan muokata muuttuvia säännöksiä vastaavaksi. Esimerkkeinä voidaan mainita EU:n rahanpesuasetukseen kaavailtu PEP-tehtävien ulottaminen suurempien alue- ja paikallishallintojen johtajiin. FA pitää tärkeänä, että asiaan kiinnitetään huomioita jatkovalmistelun yhteydessä. Samalla tulisi myös arvioida, onko PEP-rekisterin tietosisältö tarkoituksenmukaista rajata vain PEP-aseman selvittämisen kannalta välttämättömiin seikkoihin vai olisiko sitä laajennettava myös muihin tietoihin, joilla voi olla välitön merkitys rahanpesun ja terrorismin riskien arvioinnin kannalta (esim. henkilön kansalaisuustiedot).

  2. PEP-rekisteristä säädettäessä tulisi varmistua siitä, että PEP-henkilöllä itsellään on velvollisuus ilmoittaa tiedot omasta sekä perheenjäsentensä ja yhtiökumppaniensa PEP-asemasta, jos mikään muu taho ei ole siihen velvollinen tai se on laiminlyönyt ilmoitusvelvollisuutensa. Jotta PEP-rekisterin tietoihin voidaan luottaa, PEP-tiedot ja niiden muutokset tulee ilmoittaa rekisterinpitäjälle laissa säädettävän kohtuullisen ajan kuluessa.

  3. Jos tarkoituksena on, että PEP-rekisterin käyttö olisi ilmoitusvelvollisille pakollista, siitä tulee FA:n näkemyksen mukaan säätää selvästi, ja samalla on yksilöitävä missä tilanteissa ja keiden osalta rekisteriä on käytettävä. Ilmoitusvelvollisten kannalta on tärkeää tietää, missä laajuudessa rekisteriä tulee käyttää esim. muiden maiden kansalaisiin tai PEP-henkilöiden perheenjäseniin ja yhtiökumppaneihin.

  4. Lopuksi FA haluaa viitata valtiovarainministeriön esittämiin kysymyksiin 28.10.2022 ja 15.6.2023 antamiinsa vastauksiin, joissa on tuotu yksityiskohtaisesti esille finanssitoimialan näkemyksiä kansallisen PEP-rekisterin perustamiseen liittyen.

FINANSSIALA RY

Taina Ahvenjärvi



FA_Lausunto_13022024_VM_PEP_rekisterin_arviomuistioLataa

Jäikö kysyttävää?

|

Ota yhteyttä aiheen asiantuntijaan

Infra ja turvallisuus

Mika Linna

Johtava asiantuntija

+358 20 793 4269
Rahanpesun, terrorismin rahoittamisen ja tietoverkkorikosten torjunta, kyberturvallisuus, finanssialan varautuminen