Lausunto luonnoksesta hallituksen esitykseksi eduskunnalle verotusmenettelystä annetun lain 21 §:n muuttamisesta annetun hallituksen esityksen (HE 141/2025 vp) täydentämisestä.

VN/35626/2025

Finanssiala ry:n näkemyksen mukaan täydentävä esitys ei vastaa riittävällä tavalla perustuslakivaliokunnan esittämään kritiikkiin

• FA pitää uutta rajatumpaa soveltamisalaa esitykselle hyvänä, mutta katsoo muutoksista huolimatta sääntelyn perusasetelman säilyvän ennallaan.
• Verohallinnolle annetaan edelleen laaja harkintavalta määritellä, milloin vertailutietotarkastus on sallittu, mitä pidetään taloudellisesti merkittävänä riskinä, milloin tietojen käsittely on välttämätöntä ja miten tietopyynnöt rajataan.
• Sääntely ei täytä perusoikeuksien, tarkkarajaisuuden eikä tietosuojan vaatimuksia, koska keskeiset käsitteet (kuten ”taloudellisesti merkittävä riski” ja ”välttämättömyys”) jäävät avoimiksi ilman konkreettisia raja-arvoja tai riippumatonta ennakkovalvontaa.
• Luonnollisten henkilöiden tietosuoja ei toteudu riittävästi, sillä rajat ylittävät maksutapahtumat voivat edelleen paljastaa laajasti yksityiselämän ydinalueeseen kuuluvia tietoja, eikä esitys sisällä riittävän tehokkaita suojamekanismeja tai rekisteröityjen oikeuksia turvaavia keinoja. Yksityisyydensuojan näkökulmasta FA ehdottaa, että soveltamisalasta rajataan luonnollisten henkilöiden osalta kokonaan maksukorttitapahtumat pois ja soveltamisalaan jäävät vain muut ulkomailta Suomeen/Suomesta ulkomaille suuntautuvat tilitapahtumat kuten tilisiirrot.
• Esityksen vaikutusarviot ovat puutteellisia ja yksipuolisia, sillä ne nojaavat heikosti perusteltuihin verotuotto-oletuksiin eivätkä huomioi tiedonantovelvollisille aiheutuvia merkittäviä IT-, työ- ja kustannusvaikutuksia.
• Vertailutietotarkastusten viimesijaisuus ja suhteellisuus eivät toteudu, koska esitys mahdollistaa päällekkäisen tiedonkeruun ilman selkeää velvollisuutta hyödyntää ensisijaisesti jo olemassa olevia tietolähteitä.

Finanssiala ry (FA) kiittää mahdollisuudesta lausua asiassa ja viittaa etenkin henkilötietojen käsittelyyn liittyvien haasteiden osalta asiaa koskevaan ensimmäiseen lausuntoonsa koskien lausuntopyyntöä VN/1205/202 sekä talousvaliokunnalle antamaansa lausuntoon koskien hallituksen esitystä HE 141/2025 vp, jota nyt lausuttavana oleva esitys täydentää. Edelleen FA korostaa, että se yhtyy perustuslakivaliokunnan antamaan lausuntoon PeVL 48/2025 vp – HE 141/2025 vp ja katsoo, että nyt lausuttavana oleva esitys HE 141/2025 vp:n täydentämiseksi ei riittävällä tavalla vastaa perustuslakivaliokunnan esittämiin huoliin tai poista sääntelyn keskeisiä perustuslaillisia ja tietosuojasääntelyllisiä ongelmia. Viittaamme lisäksi Eduskunnan oikeusasiamiehen kanslian, Apulaisoikeusasiamies Mikko Sarjan esitysluonnoksesta 9.3.2026 antamaan lausuntoon lausuntopalvelussa. Sarjan mukaan täydentävä esitysluonnos tulee palauttaa kokonaisuutenaan perusteelliseen jatkovalmisteluun yhdessä alkuperäisen esityksen kanssa. Mikäli esitystä ei ole jatkovalmistelussa mahdollista saada vastaamaan kaikkiin perustuslakivaliokunnan huoliin, tulee se FA:n näkemyksen mukaan tällöin vetää pois kokonaan käsittelystä.

1       Yleistä

FA kiinnittää huomiota siihen, että HE 141/2025 vp:n täydentämisestä annetun esityksen valmistelussa on hallituksen esitysluonnoksen (s.3) mukaan olleet ainoastaan Valtiovarainministeriö (VM) ja Verohallinto (VH). Esitysluonnoksesta ei ilmene, että laajasti huolia esiin nostaneet tahot kuten Oikeusministeriö (OM) ja Tietosuojavaltuutetun toimisto (TSV) olisi otettu täydentävän esityksen valmisteluun mukaan, vaikka perustuslakivaliokunnan korostamat muutosvaatimukset osuvat pääosin niiden vastuualueelle. Täydentävän esityksen valmistelussa ei myöskään ole konsultoitu sidosryhmiä finanssialalta.  FA pitää valitettavana, että jatkovalmistelussa ei ole huomioitu laajemmin yhteistyössä sidosryhmiä ja hyödynnetty muiden ministeriöiden sekä viranomaisten osaamista.

FA pitää yksipuolisena sitä, että esityksen valmistelua on jatkettu tiiviissä yhteistyössä Verohallinnon kanssa. Näin siitä huolimatta, että kyseisen viranomaisen toiminta vertailutietotarkastusten ja laajamittaisen tietojen käsittelyn osalta ei ole ollut aiemmin lainmukaisia, kuten on katsottu sekä korkeimman hallinto-oikeuden (KHO 2020:8) että tietosuojavaltuutetun päätöksillä (Dnro 3681/186/21). Tämä lähtökohta herättää kysymyksen siitä, missä määrin esityksen valmistelussa on pystytty ottamaan riittävästi huomioon perustuslakivaliokunnan tunnistamat rakenteelliset ongelmat. FA:n näkemyksen mukaan perusoikeusherkän sääntelyn valmistelussa on perusteltua kiinnittää huomiota riippumattoman arvioinnin ja ulkopuolisen valvonnan rooliin, jotta lainvalmistelun laatu ja hyväksyttävyys voidaan asianmukaisesti turvata silloin, kun esityksessä tarkastellaan viranomaisen toimivaltuuksien laajentamista.

FA tunnistaa, että täydennysesityksessä sääntelyä on täsmennetty muodollisesti useilla tavoilla. Vertailutietotarkastuksen edellytyksiä on kirjoitettu aiempaa yksityiskohtaisemmin lakiin, sääntely on jaettu kahteen pykälään (21 § ja uusi 21 a §), ja tietopyynnöille on asetettu uusia perustelu- ja dokumentointivaatimuksia. Lisäksi luonnollisten henkilöiden kotimaiset maksutilien maksutapahtumat on rajattu vertailutietotarkastusten ulkopuolelle silloin, kun valvonnan kohteena ovat luonnollisten henkilöiden verovelvoitteet.

FA pitää muutoksia positiivisina, mutta katsoo muutoksista huolimatta sääntelyn perusasetelman säilyvän ennallaan. Verohallinnolle annetaan edelleen laaja harkintavalta määritellä, milloin vertailutietotarkastus on sallittu, mitä pidetään taloudellisesti merkittävänä riskinä, milloin tietojen käsittely on välttämätöntä ja miten tietopyynnöt rajataan. Ulkopuolinen, riippumaton ennakkovalvonta puuttuu edelleen kokonaan. FA:n näkemyksen mukaan juuri tämä vallan keskittyminen yhdelle viranomaiselle oli perustuslakivaliokunnan keskeisen kritiikin ytimessä (PeVL 48/2025 vp, kohdat 12–15 ja 22–23).

Perustuslakivaliokunta korosti lausunnossaan, että viranomaisen toimivaltuuksien on oltava laissa täsmällisesti ja tarkkarajaisesti määriteltyjä, erityisesti silloin kun puututaan yksityiselämän ydinalueeseen kuuluviin tietoihin. Lisäksi PeV:in lausunnon kohdissa 12–15 on erikseen korostettu, että laista tulee ilmetä mihin harkintaan Verohallinto perustaa toimivaltansa käytön sekä ne kriteerit, jotka määrittelevät tietojen välttämättömyyden. Täydennysesityksessä käytetyt keskeiset käsitteet, kuten ”taloudellisesti merkittävä riski”, ”korkeariskinen ilmiö” ja ”välttämättömyys”, ovat kuitenkin avoimia oikeudellisia käsitteitä, joiden konkreettinen sisältö jää Verohallinnon itsensä määriteltäväksi ilman numeerisia kynnyksiä tai konkreettisia riskiluokituksia. FA katsoo, etteivät kyseiset termit ilman tarkempia määritelmiä voi täyttää tarkkarajaisuuden ja täsmällisyyden vaatimuksia.

Sen lisäksi, että avointen ja epäselvien termien säätäminen on lakiteknisesti heikkoa, se mahdollistaa nyt käsillä olevien tarkastusten käytön laajentamisen osaksi rutiinivalvontaa, mikä rikkoo tietosuoja-asetuksen vaatimusta selkeästä laillisesta käsittelyperusteesta (Art. 6) henkilötiedoille. FA haluaa tässä vaiheessa muistuttaa, että tietosuojasääntelyn alla pelkkä henkilötietojen luovuttaminen toimijalta toiselle katsotaan henkilötietojen käsittelyksi, jolle tulee olla lakisääteinen peruste.

Vaikka täydentävässä esitysluonnoksessa tietopyyntöjen perusteluvelvoitetta on täsmennetty, tämä ei tosiasiallisesti rajoita Verohallinnon toimivaltaa, vaan siirtää perusoikeusarvioinnin viranomaisen omaan sisäiseen dokumentaatioon. FA:n näkemyksen mukaan tämä ei täytä perustuslakivaliokunnan edellytystä siitä, että toimivallan rajat ilmenevät nimenomaisesti laista (PeVL 48/2025 vp, kohdat 12–15). FA katsoo, että mikäli esitys toteutuu nykymuodossaan, tulee Verohallinnon toimelle asettaa selkeämmin jokin mekanismi tarkistamaan toiminnan laillisuutta aiempien soveltamishaasteiden välttämiseksi.

2       Vaikutusten arvioinneista ja korvattavista kustannuksista

FA korostaa, että samoin kuin alkuperäisen hallituksen esityksen 141/2025 vp:n, myös täydentävän esityksen mukaiset vaikutustenarviot mahdollisten verotuottojen osalta (s.4) on heikosti perusteltu. Täydentävässä esityksessä on arvioitu esityksen tuovan Verohallinnolle 60–90 miljoonaa euroa verotuloja verrattuna aiempaan 100 miljoonaan euroon. Vaikka varsinaisten verotulojen arviota on muutettu alkuperäisestä esityksestä merkittävästi alaspäin, on tästä huolimatta arvioitu ns. tehostetun valvonnan synnyttävän lisätuottoja 20 miljoonaa euroa molemmissa esityksissä.

FA pitää huomionarvoisena, ettei tehostetun valvonnan osalta tuotoissa nähdä eroa kokonaisverotuottojen merkittävästä tiputuksesta huolimatta eikä asiaa ole millään tavalla avattu tarkemmin esityksen perusteluissa. Taloudellisten vaikutusten osalta FA toteaa, ettei esitys näytä perustavan arviotaan todelliseen tutkittuun tietoon vaan enemmänkin VH:n arvailuihin.

Vaikutustenarvioinnissa ei ole myöskään riittävällä tavalla huomioitu vaikutuksia yksityiselämän ja henkilötietojen suojaan tai tiedonantovelvollisille. Täydentävässä esityksessä todetaan, että sen esittämä rajaus huomioi perustuslakivaliokunnan lausunnossa (PeVL 48/2025 vp) esitetyt perustuslain 10 §:n 1 momentissa säädettyä yksityiselämän ja henkilötietojen suojaa koskevat huomautukset. FA ei ole tästä samaa mieltä. Vaikka täydentävä esitys rajaa soveltamisalansa pääasiassa yrityksiin eikä luonnollisiin henkilöihin, on alkuperäisen esityksen tietosuojaa ja yksityisyyden suojaa koskevat ongelmat edelleen identtiset ulkomaan maksutapahtumien osalta. Ulkomaiset maksutapahtumat kattavat edelleen merkittävän määrän yksityisten henkilöiden maksutapahtumia ja voivat paljastaa paljonkin henkilön yksityiselämästä.  Lisäksi tietosuojasääntelyssä yksityistä elinkeinonharjoittajaa koskevia tietoja voidaan pitää rekisteröityä koskevina henkilötietoina, eivätkä tietosuojasääntelyn näkökulmasta aiemmin esitetyt haasteet täten poistu kokonaan uudella rajauksella. FA käsittelee esityksen soveltamisalaa ja tietosuojanäkökulmia tarkemmin lausunnon kohdissa 3. ja 5.  

FA huomauttaa, että täydentävän hallituksen esityksen 21 a §:n 2 momentti edellyttää ”hakuehtoja, euromääräisiä rajoja tai muita vastaavia pyyntöä rajaavia tosiseikkoja”, mutta lainkohta ei määrittele mitä nämä ovat. Verohallinnolla on laaja harkintavalta määritellä, mitkä rajaukset ovat ”riittäviä”. Tämä aiheuttaa FA:n näkemyksen mukaan merkittävän riskin sille, että VH toteuttaa vähintäänkin vahingossa tarkoitustaan laajempia massiivisia tietopyyntöjä, jotka muodollisesti täyttävät vaatimukset, mutta käytännössä keräävät liiallisia tietomääriä. Liialliset tietomäärät myös sisältävät todennäköisemmin tarpeettomia henkilötietoja.

FA kiinnittää huomiota siihen, että Verohallinto pystyy arvioimaan esityksessä mainitulla tasolla verokertymät eri verolajeista ja tämä lienee ainoa pohja esityksen mahdollisille vaikutuksille. Täten FA katsoo, että suhteessa näihin arvioituihin verotuloihin VH:n tulee kyetä asettamaan myös vertailutietotarkastukselle euromääräinen tai muuten puhtaan harkinnanvaran poistava raja, jotta vertailutietotarkastuksen toteuttamisen suhteellisuutta saavutettavaan verokertymään olisi edes missään määrin mahdollista arvioida. Verotusintressin euromääräisen arvon tulee olla riittävän suuri, että se mahdollistaa esityksen mukaisten tietojen pyytämisen, keräämisen, vuosien säilyttämisen ja analysoinnin. Riittävän yksiselitteinen rajaus myös nostaa kynnystä siihen, ettei Verohallinto käytä vertailutietotarkastusta liian kevyin perustein täten edistäen perusoikeuksien ja tietosuojasääntelyn vaatimusten toteutumista. Edelleen tarkemmat rajaukset täyttävät selkeämmin PeV:in vaatimukset tarkkarajaisuudesta ja täsmällisyydestä sekä vähentäisivät yksinomaan VH:n harkinnanvaraa (PeVL 48/2025 vp, kohta 14).

Sekä alkuperäisessä, että täydentävässä esityksessä arvioidaan verotuottoja, mutta pankkien järjestelmämuutosten kustannuksia ei arvioida riittävästi – tai oikeastaan ollenkaan. Täydentävässä esityksessä todetaan vain, että muutokset aiheuttavat ’vähäisessä määrin lisätyötä’, mikä on pankkien näkökulmasta räikeä aliarvio. Ehdotetut muutokset edellyttävät merkittäviä investointeja pankkien IT-järjestelmiin. Kotimaisten/ulkomaisten maksutapahtumien erottelu, anonymisointi sekä hakuehtojen toteutus vaativat uusia toiminnallisuuksia. Esityksessä ei arvioida kustannuksia riittävästi eikä määritellä riittävää siirtymäaikaa. Lain on tarkoitus tulla voimaan 1.7.2026. Mikäli tämä toteutuu, antaa esitys parhaassakin tapauksessa vain noin 4 kuukautta aikaa järjestelmämuutoksille.

Esitys edellyttää pankeilta ja muilta tiedonantovelvollisilta merkittäviä teknisiä ja organisatorisia toimenpiteitä laajojen tietopyyntöjen toteuttamiseksi, mukaan lukien tietojen rajaaminen, anonymisointi ja erilliskäsittely. FA:n jäsenyhtiöiden nykyjärjestelmillä Verohallinnon edellyttämät massakyselyt eivät ole mahdollisia ilman merkittävää järjestelmäkuormaa ja tietojärjestelmien riskejä esimerkiksi jatkuvuudelle ja palveluiden saatavuudelle. FA:n jäsenyhtiöiden omassa teknisessä analyysissa todettiin, että pyyntöjen toteuttaminen edellyttäisi järjestelmien läpikäyntiä tapahtumatasolla erittäin laajoilla hakuajoilla, mikä ei ole realistista eikä turvallista. Esimerkiksi maksupalveludirektiivi- sekä muut API-kanavat eivät mahdollista Verohallinnon kyselyitä.

Konkreettisesti asiaa voidaan kuvata esimerkillä, jossa Verohallinto yksilöi ulkomaiset verkkokauppiaat ja pyytää pankkeja toimittamaan kaikki tapahtumat, joissa kyseinen toimija on maksun saajana, ilman maksajan yksilöintitietoja. Lausunnolla oleva täydentävä esitysluonnos vaikuttaa lähtevän siitä oletuksesta, että nämä tiedot ovat helposti pankkien saatavilla. Tosiasiallisesti tällaiseen pyyntöön vastaaminen voi edellyttää kaikkien maksutapahtumien läpikäyntiä useista eri järjestelmistä, tiedot ovat hajautuneina tili- ja korttijärjestelmiin ja mahdollisiin yritystilijärjestelmiin. Lisäksi mikään nykyisistä API- tai operatiivisista kyselyrajapinnoista ei mahdollista suodatusta “maksun saajan mukaan ilman maksajaa” tai datamäärä voi olla teknisesti erittäin suuri ja vaatisi järjestelmätason erikoisajoja, joilla olisi riskejä tuotantoympäristölle.

Tiedonantovelvollisiin kohdistuvista vaikutuksista HE-luonnoksessa todetaan, että täydentävän hallituksen esityksen muutosehdotusten vaikutukset olevan pääosin myönteisiä, koska uuden sääntelyn myötä esimerkiksi tulkintaerimielisyydet vähenisivät. FA korostaa, ettei sidosryhmiä ole kuultu sen osalta, mitä vaikutuksia – taloudellisia tai muita – esityksen uuden rajauksen myötä syntyisi eikä täten ole selvää, mihin hallituksen esityksen arvio pääosin myönteisistä vaikutuksista tiedonantovelvollisille perustuu. FA:n näkemyksen mukaan myös täydentävän ehdotuksen muotoilu on tulkinnanvarainen ja aiheuttaisi tulkintaerimielisyyksien lisäksi finanssialan toimijoille lisää työtä ja kustannuksia. Vaikutustenarvioinnissa ei ole esimerkiksi huomioitu sitä, kuinka paljon työtä yksittäisten henkilötietojen piilottaminen maksutapahtumista pankeille maksaisi tai kuinka työlästä tämä olisi.

FA ei täten yhdy täydentävän esityksen arvioon siitä, että vaikutukset olisivat pääosin myönteisiä. Kuten alkuperäinen esitys, myös täydentävä esitys jättää täysin huomioimatta vaikutustenarvioinnissa negatiiviset kustannusvaikutukset sekä työmäärän lisääntymisen tiedonantovelvollisille. Kustannusvaikutusten osalta FA viittaa aiempaan lausuntoonsa koskien lausuntopyyntöä VN/1205/202 sekä talousvaliokunnalle antamaansa lausuntoon koskien hallituksen esitystä HE 141/2025 vp. Tilanne ei ole muuttunut täydentävän esityksen myötä. FA katsoo, että Verohallinnon tulisi korvata tiedonantovelvollisille aiheutuneet välilliset ja välittömät kustannukset täysimääräisesti tai vähintään niiltä osin, kun tiedonantovelvolliset joutuvat ostamaan VH:n pyytämää teknistä poimintaa ja datankäsittelypalveluita kolmannelta osapuolelta täyttääkseen Verohallinnon tietopyynnön.

Perustuslakivaliokunnan lausunnossa on erikseen korostettu vaatimusta siitä, että vertailutietotarkastuksia tulee käyttää ainoastaan viimesijaisena keinona VH:n tiedonsaantioikeuksien toteuttamiseksi. FA:n näkemyksen mukaan etenkin ulkomaille ja ulkomailta tulevien maksutapahtumien osalta, VH:lla on jo muun kansainvälisen verosääntelyn perusteella oikeus saada haluamansa tiedot. Kansainväliset tiedonvaihtokanavat voivat olla ajallisesti hitaampia tietojenvaihdon toteutuksen osalta, mutta pitkä odotusaika tietojen saamiselle ei FA:n näkemyksen mukaan täytä vaatimusta vertailutietotarkastusten käyttämiseen kansallisesti “viimesijaisena” keinona. Mikäli VH pyytää tiedonantovelvollisilta sellaisia tietoja, jotka se voisi saada muun sääntelyn nojalla, mutta tästä huolimatta pyytää niitä suoraan pankeilta nopeuttaakseen tietojen saantia ja täten aiheuttaa ylimääräistä työtä, tulee kulut korvata tiedonantovelvollisille tällaisesta ei-viimesijaisesta tietopyynnöstä.

Ehdotetuista tietopyynnöistä aiheutuvia kustannuksia ei esityksen mukaan korvattaisi millään tavoin. Pankit luovuttavat merkittävän määrän tietoja muunkin lainsäädännön perusteella korvauksetta viranomaisille. Vuosien kuluessa tehtyjen tietopyyntöjen sisältö ja luovutettavan datan määrä on merkittävästi kasvanut siitä, mitä se on vastaavien tiedonsaantioikeuksien osalta alun perin ollut. Nykyään luovutettavan tiedonmäärä on eksponentiaalinen verrattuna 15 vuotta sitten luovutettaviin tietoihin – samoin ovat kasvaneet niiden keräämiseen liittyvät kustannukset. Tämän myötä periaatetta siitä, että syntyneitä kuluja ei korvata tiedonantovelvollisille, tulee tarkastella laajemmin. FA katsoo perinteen aikansa eläneeksi ja korvausvelvoitetta tulee päivittää tähän päivään vastaamaan mm. EU:n datasääntelyssä (datasäädös (EU) 2023/2854) käyttöön otettuja periaatteita siitä, että myös viranomaisen tulee korvata kohtuulliset kustannukset saamastaan datasta yksityiselle toimijalle.

FA pitää korvausvelvollisuuden puutetta ongelmallisena sekä kohtuullisuuden että oikeasuhtaisuuden näkökulmasta. Lisäksi toteamme, että laillisuusvalvonta tässä asiassa jää tiedonantovelvollisen vastuulle ja kustannuksiksi, mikäli tietopyynnöistä joudutaan valittamaan. Tämä tarkoittaa käytännössä sitä, että mahdolliset muutoksenhakuprosessit ja niiden aiheuttamat kulut kohdistuvat tiedonantovelvolliseen, eivät viranomaiseen. Näin ollen sääntely lisää tiedonantovelvollisen vastuuta sekä taloudellista riskiä tilanteissa, joissa tietopyyntöjen laillisuudesta syntyy erimielisyyttä.

3       Täydentävän esityksen soveltamisalasta

Perustuslakivaliokunta piti erityisen ongelmallisena sääntelyä, joka mahdollistaa massamuotoisen ja yksilöimättömän henkilötietojen keräämisen. Täydennysesityksessä merkittävin muutos tältä osin on luonnollisten henkilöiden kotimaisten maksutapahtumien rajaaminen tietopyyntöjen ulkopuolelle.

FA:n arvion mukaan tämä rajaus on ei poista keskeistä ongelmaa, sillä rajat ylittävät maksutapahtumat voivat olla yhtä lailla erittäin paljastavia ja kuulua yksityiselämän ydinalueeseen kuin Suomen rajojen sisällä pysyvät maksutapahtumat, kuten perustuslakivaliokunta on aiemmin todennut pankkitilitietojen osalta. Digitaalisessa ja kansainvälistyneessä toimintaympäristössä suuri osa yksityishenkilöiden taloudellisesta toiminnasta liittyy ulkomaisiin toimijoihin. Näin ollen kokonaiskuvan muodostamisen riski ei poistu, vaan ainoastaan muuttaa muotoaan. Lisäksi 21 a § mahdollistaa edelleen laajoihin henkilöjoukkoihin kohdistuvat tietopyynnöt, kunhan ne rajataan hakuehdoilla tai euromääräisillä kynnysarvoilla. Tämä vastaa juuri sitä seulontamallia, jota perustuslakivaliokunta piti ongelmallisena.

Edelleen täydentävässä esityksessä ei ole määritelty, mitkä tili- ja maksutapahtumat koskevat luonnollisia henkilöitä ja mitkä oikeushenkilöitä. FA on tunnistanut haastaviksi rajatapauksiksi esimerkiksi toiminimiyrittäjät ja kevytyrittäjät, jotka käyttävät yhtä tiliä yritystoiminnalle ja yksityisten asioiden hoitamiseen. Tiedonantovelvollisten ei välttämättä ole mahdollista erotella yrityksen maksutapahtumia yksityisistä, eikä täydentävä esitys millään tapaa ota kantaa siihen, miten tällaisia rajatapauksia tulee kohdella.

FA ehdottaa, että ehdotuksessa rajataan tarkemmin, miten luonnollinen henkilö ja oikeushenkilö voidaan erottaa toisistaan. Yksi tällainen keino voisi esimerkiksi olla rajata luonnollisten henkilöiden osalta soveltamisalaan vain tilit, jotka on avattu henkilötunnuksella ja y-tunnuksella avatut tilit oikeushenkilöitä koskeviksi tileiksi. Tämä voisi mahdollistaa erottelun pankin toimesta selkeämmin etenkin kevyt- ja toiminimiyrittäjien osalta. Yksityisyydensuojan näkökulmasta FA ehdottaa, että soveltamisalasta rajataan luonnollisten henkilöiden osalta kokonaan maksukorttitapahtumat pois ja soveltamisalaan jäävät vain muut tilitapahtumat kuten tilisiirrot. Näin ollen laajan ja yksityiskohtaisen kuvan saaminen henkilön yksityiselämästä olisi tosiasiallisesti vaikeampaa, kun jokainen korttimaksu ei ole osa tiedonantovelvollisuutta.

Edelleen FA:n näkemyksen mukaan tiedonantovelvollisilla ei ole mahdollista olla tietoinen VML 21 a.3 §:ssa edellytetyistä olosuhteista muun muassa sen osalta, mikä taho ei ole valvonnan kohteena ja vaikuttaako toisen osapuolen henkilöllisyys suoraan verovalvonnan kohteena olevan verovelvollisen verotukseen. Täten tiedonantovelvollisten ei välttämättä ole mahdollista toteuttaa kyseisen pykälän vaatimusta poistaa luonnollisia henkilöitä koskevat nimi- ja muita yksilöintitietoja luovutettavasta materiaalista.

4       Verohallinnon tiedonsaantioikeuksista muun sääntelyn alla

4.1       Päällekkäiset sääntelyvelvoitteet ja tiedonsaantioikeudet

FA kiinnittää huomiota siihen, että esityksen perusteluissa ei riittävästi arvioida nykysääntelyn puitteissa sitä, mitä tietoja Verohallinto kerää pankeilta jo tällä hetkellä usean eri raportointivelvoitteen kautta, jotka lisääntyvät jatkuvasti. Esityksessä viitataan vain pintapuolisesti yksittäisiin säännöksiin. Näin ylätason viittaus herättää huolen siitä, onko todellista vertailua ja arviota nykysääntelystä tehty. Tämän arvion tekeminen on tärkeää, jotta vertailutietotarkastuksen viimesijaisuuden vaatimus (PeVL 48/2025 vp, kohta 16) toteutuu käytännössä.

Esityksen perusteluissa ei oteta kantaa, johtaako ehdotettu vertailutietotarkastus käytännössä päällekkäisten tietojen keräämiseen, jotka toimitetaan jo esimerkiksi CESOP-, TRACE (ja tulevaisuudessa FASTER-), FATCA/CRS-raportoinnin sekä muun kv. tietojenvaihdon (erityisesti alustatalouden tulot ja kryptovaluuttavoitot) yhteydessä. Täydentävä hallituksen esityksen soveltamisala on rajattu yrityksiin ja luonnollisten henkilöiden osalta rajattu koskemaan vain ulkomaan maksutapahtumia, mutta tästä huolimatta esityksessä ei mainita CESOP-järjestelmää, joka kerää jo nyt automaattisesti rajat ylittäviä maksutietoja ALV-valvontaan.

Muun sääntelyn tiedonsaantioikeuksien arvioinnin puute antaa sellaisen vaikutelman, että lakimuutoksella ei pyritä niinkään tarkkarajaisten tietojen keräämiseen, vaan enemmänkin laajojen tietoaineistojen kokoamiseen ns. ilmiövalvonnan nimissä. Vertailutietotarkastuspyynnön perusteet hallituksen esityksen mukaan vaikuttavat räikeimmillään lähes hakuammunnalta, jos tiedonantovelvollisen velvoite luovuttaa tiettyjä tietoja perustuu verottajan arvailuun. Tämä tapahtuu pankkien kustannuksella eikä pankeilla ole mitään keinoja varmistua siitä, että tietojen luovutukselle on lailliset edellytykset. Täydentävä esitys ei ota lainkaan kantaan tähän asiaan tiedonantovelvollisten tai rekisteröityjen oikeuksien näkökulmasta tai arvioi esitettyjen toimenpiteiden oikeasuhtaisuutta tavoiteltuun päämäärään.

FA:n näkemyksen mukaan ehdotettu VH:n tarkastusoikeus kohdistuu samoihin rajat ylittäviin maksuihin, jotka raportoidaan jo CESOP:iin[1]. Sen lisäksi, että päällekkäinen tiedonkeruu on täysin tarpeetonta, FA huomauttaa sen myös rikkovan tietosuoja-asetuksen tietojen minimointiperiaatetta (Art. 5(1)c). PeVL:n vaatima viimesijaisuusperiaate ei toteudu, mikäli olemassa olevaa CESOP-dataa ei hyödynnetä ensin. Edelleen päällekkäisten velvoitteiden takia tiedonantovelvollisille aiheutuisivat kaksinkertaiset järjestelmäkustannukset ja tietosuoja-asetuksen mukaiset vastuut henkilötietojen luovuttamisen osalta eikä tätä voida pitää tarkoituksenmukaisena. Päällekkäiset raportointimenettelyt sekä niiden kustannukset jäävät pankkien kannettavaksi tilanteessa, jossa kyse ei ole tietojen antajien verotukseen liittyvistä, vaan kolmannen osapuolen verotukseen liittyvistä sekoista.

Lisäksi FA haluaa nostaa esille, että Verohallinto saa jo nykysääntelyn mukaan pankeilta laajoja tietoaineistoja vuosi-ilmoitusten yhteydessä. Nyt ehdotetun, mitä ilmeisemmin Verohallinnon erillisen ilmiövalvontaan räätälöidyn raportointimallin luominen ei voi olla perusteltua, kun huomioidaan sen aiheuttamat kustannukset pankeille ja vaikutukset yksilön perusoikeuksille. Aiempien vertailutietotarkastusten osalta FA toteaa, että pyydettyjä raportointeja ei ole saatavilla pankkien järjestelmistä valmiina ”napista painamalla”, vaan niissä vaadittujen tietojen kokoaminen vaatii useamman järjestelmän sisältämien tietojen yhdistelyä, joka on täysin manuaalinen sekä aikaa vievä prosessi.

4.2       Viimesijaisuuden toteutumisen ongelmat

Verohallinto vastaanottaa ja itse toimittaa eteenpäin keräämiään verotustietoja sekä EU-/ETA-alueen sisällä, että verosopimusmaiden kesken. On epäselvää, miten näitä keinoja hyödynnetään ensisijaisena keinona ennen vertailutietotarkastukseen turvautumista. Prosessin monimutkaisuus tai byrokraattisuus ei kuitenkaan ole riittävä perustelu laajojen ja toistuvien tietoaineistopyyntöjen vaatimiseksi pankeilta, mikäli tiedot on ensisijaisesti mahdollista saada verovelvolliselta itseltään tai verovelvollisen kotivaltion veroviranomaiselta. Jotta perustuslakivaliokunnan esiin nostama vaatimus vertailutietotarkastusten käyttämisestä viimesijaisena keinon toteutuisi, tulee olemassa olevia verohallinnon tiedonsaantioikeuksia arvioida esityksen perusteluissa tarkemmin suhteessa esityksen mukaisiin tiedonsaantioikeuksiin.

Vaikuttaa siltä, että Verohallinnon tavoitteena on saada avoin valtakirja jatkaa aiempia vertailutietotarkastuksiaan ilmiövalvonnan nimissä ilman tarkempia rajauksia esimerkiksi euromääristä tai ilman tietopyyntöjen ajallista rajausta. FA katsoo, että jotta tietosuojasääntelyn ja perustuslakivaliokunnan vaatimukset tarkkarajaisuudesta, täsmällisyydestä ja minimointiperiaatteesta toteutuisivat, tulee rajana vähintään olla samalle maksunsaajalle suoritettujen maksujen lukumäärä esimerkiksi kvartaalissa, kuten CESOP-raportoinnissa on (yli 25 rajat ylittävää maksua samalle maksunsaajalle).

Perustuslakivaliokunta edellytti, että vertailutietotarkastus on viimesijainen keino verovelvollista koskevien tietojen saamiseksi. Tämä on ollut selvää myös nykyisen VML 21 §:n osalta. Verohallinto ei ole pyynnöissään viimesijaisuutta mitenkään todistanut, eikä tämän varmistamisesta esitetä myöskään minkäänlaista prosessia Valtiovarainministeriön ja Verohallinnon yhteistyössä luonnostellussa täydentävässä hallituksen esityksessä. Voimassa olevan lain mukaan sivullisen erityinen tiedonantovelvollisuus on vasta toissijainen keino suhteessa verovelvollisen omaan verotusmenettelylain 2 luvussa säädettyyn ilmoittamisvelvollisuuteen sekä muuhun verovelvollisen omaan tiedonanto- ja myötävaikutusvelvollisuuteen verrattuna. Sivullisen erityinen tiedonantovelvollisuus on toissijaista myös verotusmenettelylain 3 luvun 15–18 §:ssä säädettyyn sivullisen ja viranomaisen yleiseen tiedonantovelvollisuuteen verrattuna.

Esityksessä Verohallinnolle ei aseteta minkäänlaista todistusvelvollisuutta siitä, että se on käyttänyt kaikki muut käytössään olevat keinot ennen vertailutietotarkastuksen aloittamista. FA katsoo, että aiemman soveltamis- ja oikeuskäytännön valossa on pidettävä erittäin epätodennäköisenä, että vaativampiin toimiin ryhdyttäisiinkään, mikäli vertailutietotarkastus on käytössä ilman minkäänlaista etu- tai jälkikäteisvalvontaa.

Tämän takia FA katsoo, että esitystä tulee tarkentaa sen osalta siten, että vaatimus viimesijaisuudesta on selkeämmin osa varsinaisen pykälän tekstiä. Nykyinen luonnoksen muotoiltu ”ei voi saada”, pitäisi olla ”ei ole saanut”, jotta aktiivisen toimimisen edellytys VH:lle korostuu ja vertailutietotarkastuksen viimesijaisuus tietojen hankintakeinona toteutuu. FA korostaa, että viimesijaisuuden lisääminen osaksi itse lakitekstiä on tärkeää, jotta sääntely toteutuu lakitekstin tasolla eikä asia ole vain sivumainintana perusteluissa.

5       Tietosuojanäkökulmat

5.1       Satunnaisuus ja toistuvien tarkistusten lisäedellytykset

FA katsoo, että täydentävässä esityksessä on tehty tarpeellisia muutoksia, mutta se ei tästä huolimatta pysty vastaamaan riittävästi perustuslakivaliokunnan esittämään kritiikkiin tai täyttämään tietosuojasääntelyn asettamia vaatimuksia.

Ongelmallisena pidetään muun muassa, että täydentävä esitys ei rajaa tietopyyntöjen ajallista ulottuvuutta mitenkään. Tämä siitäkin huolimatta, että täydentävässä esityksessä esitetään keinoja pyydettyjen tietojen määrän minimoimiseksi. Mikäli tietoja on mahdollista pyytää rajoittamattomalta ajanjaksolta, ei tietopyyntö voi täyttää minimointiperiaatteen vaatimuksia. Edelleen täydentävässä esityksessä ei ole esitetty nimenomaista mekanismia, jolla estetään tietopyyntöjen toistuvuus tietosuoja-asetuksen johdanto-osan 31 kappaleen edellyttämällä tavalla. Täten ehdotus eroaa nyt voimassa olevan lainkohdan esitöistä, joissa nimenomaisesti kielletään vuosi-ilmoituksiin rinnastuva vuosittainen tiedonantovelvollisuus.

Täydentävän esityksen 21 §:n 2 momentti sallii toistuvat tarkastukset samaan tiedonantovelvolliseen saman velvoitteen noudattamisen valvomiseksi, jos riski velvoitteen laiminlyönnistä ei ole poistunut. Lisäksi edellytyksenä on, että velvoitteen laiminlyönti muodostaa edelleen taloudellisesti merkittävän riskin verotulojen lainmukaiselle kertymiselle tai merkittävän riskin verovelvollisten yhdenvertaisuuden toteutumiselle, ja että uusi vertailutietotarkastus on välttämätön kyseisen velvoitteen noudattamisen valvonnassa. Käytännössä tämä voi kuitenkin tarkoittaa jatkuvaa, säännöllistä tiedonkeruuta samoista lähteistä, mikä muodostaa riskin systemaattisesta seurannasta ja jatkuvasta massavalvonnasta. Toisin sanoen esityksen mukaan on yksin Verohallinnon päätettävissä, milloin esimerkiksi riski ”velvoitteen laiminlyönnistä” ei ole poistunut, mikä voisi johtaa rajattomasti toistuviin tietopyyntöihin. Yksilön kannalta tällainen on kohtuuton valvontatoimenpide, varsinkin kun Verohallinto itse päättäisi riskien muodostumisesta taikka tarkastuksen välttämättömyydestä.

FA katsoo, että täydentävässä esityksessä on tiukennettava toistuvuuden rajaa vastaamaan tietosuoja-asetuksen vaatimuksia ja rajoitetta tietopyyntöjen määrää sekä aikaväliä, jotta perustuslakivaliokunnan vaatimukset toistuvien pyyntöjen lisäedellytyksistä (PeVL 48/2025 vp kohta 18) täyttyvät selkeämmin. Nyt esitetyt lisäedellytykset toistuvien pyyntöjen välttämiseksi perustuvat nimenomaisesti niihin määrittelemättömiin ja tulkinnanvaraisiin termeihin, jotka jättävät Verohallinnolle yksinomaisen harkintavallan PeV:in lausunnon vaatimusten vastaisesti (kohdat 12–15).

5.2       Luonnollisen henkilön ja oikeushenkilön määrittely

FA huomauttaa, että esityksessä ei ole määritelty luonnollista henkilöä. Luonnollisen henkilön määritelmällä on ainakin kaksi keskeistä vaikutusta: 1) Mihin toimijoihin ja tileihin vertailutietotarkastus voidaan ulottaa Suomen sisäisten maksujen osalta; 2) Mitä tietoja tiedonantovelvollisen tulee poistaa annettavista tiedoista ehdotetun 21 a §:n 3 momentin mukaan. Rajaus on lähtökohtaisesti selkeä silloin, kun tilin omistajana on y-tunnuksellinen toimija. On kuitenkin epäselvää, katsotaanko esim. toiminimellä toimivat ja yksityiset elinkeinonharjoittajat tässä yhteydessä luonnollisisiksi henkilöiksi. Tietosuojasääntelyssä yksityistä elinkeinonharjoittajaa koskevia tietoja voidaan pitää rekisteröityä koskevina henkilötietoina.

Esityksessä luonnollisten henkilöiden verovalvonnassa heitä koskevien maksutilien kotimaiset maksutapahtumat olisi rajattu kokonaan tietopyynnön ulkopuolelle. Tätä muutosta on perusteltu sillä, että se turvaisi sen, ettei sääntely voi mahdollistaa liian laajaa maksutapahtumatietojen pyytämistä esimerkiksi siten, että maksutapahtumien perusteella olisi mahdollista muodostaa kokonaiskuva henkilön yksityiselämästä.

FA toivottaa tervetulleeksi rajauksen kotimaisten maksutapahtumien osalta, mutta pitää täydentävässä hallituksen esityksessä esitetyn virheellisesti, ettei rajat ylittävistä maksutapahtumista voisi saada kattavaa kuvaa luonnollisten henkilöiden yksityiselämästä. FA pitää tätä oletusta täysin virheellisenä. Täydentävässä esityksessä näytetään lähtevän joko siitä lähtökohdasta, että rajat ylittäviä maksuja on marginaalisesti vähemmän tai vaihtoehtoisesti siitä, että ulkomaille maksavilla henkilöillä ei ole oikeutta vastaavaan yksityisyyden suojaan kuin Suomessa asuvilla.

Tosiasiallisesti rajaus pitäisi edelleen sisällään esimerkiksi henkilöt, jotka oleskelevat joko väliaikaisesti tai pysyvästi ulkomailla. Tällaisia henkilöitä ovat muun muassa rajaseudulla asuvat henkilöt, ulkomailla täysipäiväisesti opiskelevat tai harjoittelussa tai korkeakouluvaihdossa olevat opiskelijat, sekä toisessa maassa työssä käyvät henkilöt taikka säännöllisesti töiden vuoksi matkustavat henkilöt, jotka käyttävät Suomessa myönnettyä maksukorttia ja tekevät sillä säännöllisesti maksuja sekä maksavat säännöllisesti suomalaiselta pankkitililtään ulkomailla laskuja kuten vuokra ja sähkö. Soveltamisalan piiriin kuuluisi myös Suomessa oleskelevien osalta kaikki ulkomaisista verkkokaupoista tehdyt ostokset, joita tehdään nykyään merkittäviä määriä yksityishenkilöiden toimesta eikä kyse ole välttämättä harvinaisista tapahtumista.

FA:n näkemyksen mukaan esityksessä ei esitetä mitään keinoja, joilla turvata edellä esitettyjen esimerkkien mukaisten henkilöiden yksityisyyden suoja perustuslain ja tietosuojasääntelyn edellyttämällä tavalla. Ehdotuksessa ei olla myöskään riittävästi arvioitu tältä osin rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia riskiä. Edelleen FA haluaa korostaa, ettei esitys sisällä myöskään keinoja suojata heikommassa asemassa olevia kuten lapsia, vaikka tietosuojavaltuutettu on päätöksessä 3681/186/21 nostanut tämän esiin yhtenä puutteena.

Edellä kuvattujen esimerkkien osalta FA viittaa niin omaan aiempaan lausuntoonsa koskien lausuntopyyntöä VN/1205/202 sekä tietosuojavaltuutetun lausuntoon, joissa on yksilöity tarkemmin tietosuojasääntelyä koskevia argumentteja. FA katsoo, että TSV:n, OM:n, PeVL:n taikka FA:n omia tietosuojaa koskevia huolia ei ole riittävästi huomioita ulkomaan maksutapahtumien osalta.

5.3       Tietopyyntöjen rajaaminen välttämättömiin tietoihin

FA huomauttaa, että täydentävässä esityksessä on jätetty tietopyynnöissä määriteltävät hakukriteerit avoimiksi. Tiedonantovelvollisilla ei ole mahdollista valmistautua pyyntöihin, jos hakukriteereitä ei ole etukäteen määritelty. Ehdotettu 21 a § 1 momentissa edellytetään, että: ”Tietopyynnön on oltava perusteltu ja tarkasti kohdennettu valvottavan velvoitteen noudattamisen valvonnassa välttämättömiin tietoihin.”

Tästä huolimatta 3 momentissa edellytetään tiedonantovelvollisia poistamaan ns. tarpeettoman toisen osapuolen nimi- ja yksilöintiedot, jos tämä toinen osapuoli on luonnollinen henkilö, eikä toisen osapuolen henkilöllisyys vaikuta suoraan verovalvonnan kohteena olevan verovelvollisen verotukseen. FA katsoo, että tämä on ristiriidassa 1 momentin vaatimuksen kanssa, koska Verohallinnon tulisi tietopyynnössään pyytää ainoastaan välttämättömiä tietoja, jolloin sen pitäisi toisin sanoen osata olla pyytämättä tietoja, joilla ei ole vaikutusta ja joiden ei siten voida myös katsoa olevan välttämättömiä verovalvonnassa. Tiedonantovelvollinen ei voi lisäksi tietää tai pysty arvioimaan, millä tiedoilla on vaikutusta ja millä ei. Tällaisen arvion tekemisvelvollisuus voidaan katsoa jopa olevan tahaton julkisen vallan siirto Verohallinnolta sivulliselle.

Edelleen FA haluaa nostaa esille, että tiedonantovelvollisten ei ole esimerkiksi mahdollista hakea tilitapahtumista tietoja pelkistä palkkatuloista, koska erityisesti rajat ylittävissä maksuissa eri toimijoiden käytännöissä (esim. käytetäänkö syykoodia; viestikentän teksti) voi olla vaihtelua. Saapuvissa maksuissa ei ole mahdollista tunnistaa maksun tosiasiallista saajaa, jos maksu suoritetaan yhteisomisteiselle tilille. Korttimaksuissa maksun vastaanottaja voi sijaita ulkomailla, vaikka maksu tapahtuisi Suomessa. Tämä lisää riskiä siitä, että tietopyyntöjen avulla voidaan kerätä laajasti luonnollisen henkilön yksityiselämää kuvaavia tietoja.

5.4       Ennakollinen ja jälkikäteinen valvonta

FA kiinnittää huomiota tietopyyntöjen laillisuusvalvontamekanismeihin sekä nostaa esiin tuoreen Euroopan ihmisoikeustuomioistuimen ratkaisun Ferrieri and Bonassisa v. Italy of 08.01.2026 (Application nos. 40607/19 and 34583/20). Ratkaisussa tuomioistuin muun muassa vahvisti, että viranomaisten pääsy pankkien hallussa olevaan tietoon puuttuu oikeuteen nauttia 8 artiklan mukaista yksityiselämän kunnioitusta ja kiinnitti huomiota riittävien oikeussuojakeinojen olemassaoloon etenkin silloin, kun viranomaisilla on rajoittamaton harkintavalta verotarkastuksien toteuttamisen osalta. Tässä yhteydessä on todettava, että on tiedonantovelvollisen kannalta ongelmallista, jos rekisteröity pyytää tietosuojavaltuutettua tarkistamaan tietojen lainmukaisuuden ja asiassa ilmeneekin, että tietojen luovutuksessa on rikottu tietosuoja-asetusta. Tällöin nousee esiin kysymys siitä, mikä on tietoja luovuttaneen tahon eli tiedonantovelvollisen asema. Esitutkintalaissa pakkokeinoille myönnetty ennakkolupajärjestelmä mahdollistaisi kuitenkin laillisuusvalvonnan ja turvaisi kaikkien tahojen asemaa.

Täydennysesityksessä on parannettu rekisteröidyn jälkikäteistä tiedonsaantioikeutta säätämällä velvollisuudesta tallettaa tieto henkilötietojen käsittelystä vertailutietotarkastuksessa. FA pitää tätä myönteisenä, mutta riittämättömänä toimenpiteenä. Esitys ei sisällä mitään riippumatonta ennakkovalvontaa, lupamenettelyä tai ulkopuolista kontrollia, joka voisi varmistaa, että tietopyynnöt ovat lainmukaisia tai estää suhteettomat tietopyynnöt ennen tietojen luovuttamista. Perustuslakivaliokunta korosti, että jälkikäteinen oikeusturva ei ole riittävä silloin, kun etukäteisvalvonta puuttuu. Tämä keskeinen huoli jää täydennysesityksessä ratkaisematta.

FA toteaa, että täydentävän esityksen 21 a §:n 3 momentti velvoittaa pankin poistamaan ei-kohdeosapuolen nimi- ja yksilöintitiedot, jos kyseessä on luonnollinen henkilö. Laajamittaisissa ja massaluonteisissa tietopyynnöissä anonymisointi edellyttää automaatiota, mikä on teknisesti monimutkaista ja virhealtista. Esitys jättää epäselväksi, kumpi kantaa tietosuoja-asetuksen mukaisen vastuun virheellisestä anonymisoinnista: Verohallinto (joka määrittelee pyynnön)[2] vai pankki (joka toteuttaa sen). Jos maksutapahtuman ”vastapuoli vaikuttaa suoraan verotukseen”, anonymisointia ei tehdä. Tämä esitetty poikkeus on FA:n näkemyksen mukaan hyvin laaja. Lopulta myös maksutiedoissa on väistämättä sensitiivistä henkilötietoa, vaikka tiedot muuten olisivatkin anonymisoitu, esimerkiksi poliittisille järjestöille tai ammattijärjestöille menevien maksujen osalta. FA ehdottaa, että esitystä täydennetään sen osalta, miten vastuunjako toteutuu tietosuojasääntelyn vaatimukset huomioiden ja mitkä ovat teknisen toteutuksen vaatimusten yksityiskohdat.

FA huomauttaa, että nykyinen ehdotus antaa oikeuden rekisteröidylle saada tietoa käsittelystä vain pyynnöstä, ei automaattisesti. Tietosuoja-asetuksen läpinäkyvyysperiaate (Art. 12–14) edellyttäisi FA:n näkemyksen mukaan proaktiivisempaa tiedottamista rekisteröidyille. Ehdotuksen muotoilu aiheuttaa sen, että rekisteröidyllä ei ole mahdollisuutta saada tietojaan käsitellyn ilman, että hän tätä erikseen kysyy. Lisäksi rekisteröidyn voi olla haastava hyödyntää tarkastusoikeuttaan edes tietosuojavaltuutetun avustuksella, jos pankki tai VH ei ilmoita, että hänestä on luovutettu tietoja. Täten oikeus jää käytännössä merkityksettömäksi ja kosmeettiseksi lisäykseksi.

5.5       Säilytysajoista ja suojatoimista

Edelleen FA nostaa esille, että esityksen mukainen 5 vuoden säilytysaika käsitellyistä tiedoista on tietosuojasääntelyn puitteissa aivan liian pitkä ilman rekisteröidyn aktiivista tiedottamista. Esitetty säilyttämisaika ei myöskään millään tavoin vastaa tietosuoja-asetuksen vaatimuksia. FA ehdottaa, että esitykseen lisätään Verohallinnolle velvollisuus tiedottaa, mitä tietoja se on kerännyt rekisteröidyistä. Ilmoitusvelvollisuuden tärkeys korostuu etenkin sellaisissa tapauksissa, jossa VH:lle luovutetut tiedot on todettu ”verotuksellisesti merkityksettömäksi” luovutuksen jälkeen ja täten VH:n ei niitä tietosuojasääntelyn näkökulmasta olisi koskaan saanutkaan käsitellä.

FA haluaa myös nostaa esille, että täydentävä esitys ei täytä PeV:in vaatimuksia tarvittavista suojatoimista. PeV nosti lausunnossaan esille (kohdat 20–21), ettei tietojen käsittelijää tai rekisterinpitäjää koskeva virkavastuu ole riittävä suojatoimi oikeudettomalta käytöltä. Täydentävässä esityksessä on todettu, että tietoja saa käsitellä vain nimetty virkahenkilö. FA pitää tätä riittämättömänä. Jotta perustuslakivaliokunnan vaatimat suojatoimet täyttyvät, tulee lisäksi syvälle yksityiselämää koskevien henkilötietojen osalta rajata myös teknisesti pääsy muilta kuin nimetyiltä virkahenkilöiltä luovutettuihin tietoihin osana suojatoimia. Näin voidaan taata, että vain nimetyt henkilöt pääsevät käsiksi ja käsittelevät henkilötietoja. Tekniset rajaukset ja oikeudet tulee yksilöidä lain tasolla velvoitteeksi Verohallinnolle.

5.6       Seuraamusmaksuista

Jotta tulevat epävarmuudet siitä, että pankit mahdollisesti rikkoisivat tietosuoja-asetuksen mukaisia velvoitteitaan VH:n tietopyynnön takia, tulee Verohallinnon tietopyynnön noudattaa vakiokaavaa. Tällaisen vakiokaavan tulee olla TSV:n ennakolta hyväksymä. Muussa tapauksessa säilyy merkittävä riski, että esityksen sanamuotojen tulkinnanvaraisuuden takia Verohallinnon tietopyyntö saattaisi olla vastoin tietosuojasääntelyä ja täten merkittävä riski pankeille. Huomioiden tietosuojasääntelyn suuret sanktiot, ei pankeille jää muuta vaihtoehtoa, kuin kieltäytyä luovuttamasta tietoja tulevaisuudessa esityksen sanamuodon jäädessä liian tulkinnanvaraiseksi.

FA nostaa täten jälleen esille, että vaikka TSV tulisi katsomaan sanktioita lieventävänä asianhaarana tiedonantovelvollisen toimineen viranomaisen pyynnöstä, ei ole oikeusvarmuuden näkökulmasta kestävää säätää lakia, jota tiedonantovelvollisen ja tietoja pyytävän tahon uskotaan jo valmisteluvaiheessa joutuvan rikkomaan. Tiedonantovelvollisia ei myöskään tule asettaa asemaan, jossa niiden tulee tehdä päätös kahden lain noudattamatta jättämisen välillä: verotusmenettelylain ja tietosuoja-asetuksen.

6       Lopuksi

FA katsoo, että täydentävä hallituksen esitys ei aidosti poista niitä perustuslaillisia ja tietosuojallisia ongelmia, joita perustuslakivaliokunta on lausunnossaan PeVL 48/2025 vp tunnistanut. Sääntelyä on muokattu sanallisesti ja rakenteellisesti, mutta sen peruslogiikka säilyy ennallaan: Verohallinnolle annetaan laaja toimivalta käsitellä yksityiselämän ydinalueeseen kuuluvia henkilötietoja massaluonteisesti ja yksilöimättömästi ilman riippumatonta ennakkovalvontaa.

Vertailutietotarkastusten laajentaminen ilman riittäviä suojamekanismeja luo infrastruktuurin, jota voidaan tulevaisuudessa laajentaa alkuperäistä tarkoitusta pidemmälle. Massamuotoinen tiedonkeruu normalisoituu asteittain, vaikka jokainen laajennus esitetään erikseen välttämättömänä ja rajattuna. FA katsoo, että esitys vaatii edelleen merkittävää uudelleenarviointia. Mikäli vertailutietotarkastuksia halutaan käyttää näin laajassa mittakaavassa, niiden tulisi olla aidosti poikkeuksellisia, tiukasti rajattuja ja riippumattoman valvonnan alaisia. Muutoin sääntely jää ristiriitaan perustuslain, EU:n tietosuojasääntelyn ja oikeusvaltioperiaatteen kanssa.

FINANSSIALA RY

Hannu Ijäs

---

[1] Laki rajat ylittäviä maksuja koskevasta maksupalveluntarjoajien tiedonantovelvollisuudesta 659/2023, 5 § Annettavat ja säilytettävät tiedot

[2] Finanssiala ry:n käsityksen mukaan oikeusministeriössä laaditaan parhaillaan esitystä, jonka perusteella tietosuojasääntelyn mukaiset seuraamusmaksut tulevat koskemaan voimaan tullessaan myös julkista sektoria. Vastuunjakoa tulee käsitellä esityksessä sekä tiedonantovelvollisten, että Verohallinnon oman edun vuoksi. Mikäli asiassa katsotaan Verohallinnon oleva vastuullinen tietosuojasääntelyn perusteena, luo esityksen nykyinen väljä muotoilu merkittävän sanktio riskin myös Verohallinnolle julkisena toimijana tulevaisuudessa.