- Pankin velvollisuutena on rekisterinpitäjänä varmistaa tietojenluovutuksen lainmukaisuus EU:n yleisen tietosuoja-asetuksen 6 artiklan mukaisesti. Kyselyn tekeminen virkavastuulla ei anna pankille luottamuksensuojaa, vaan se voi joutua vastuuseen viranomaisen virheellisestä tai lainvastaisesta menettelystä.
- Viranomaisten tiedonsaantioikeuksien yhteensopivuutta yleisen tietosuoja-asetuksen vaatimusten kanssa ei ole kaikilta osin arvioitu. Luovutettavien tietojen luonne huomioon ottaen FA pitää tarpeellisena, että tiedonsaantioikeuksien välttämättömyys, oikeasuhtaisuus ja tarkkarajaisuus varmistetaan jatkovalmistelun yhteydessä.
- Viranomaisen tietopyynnön ehdotettu sisältö on suppea ja vastaamiselle asetettu määräaika tiukka, mikä ei anna pankille todellista mahdollisuutta arvioida pyynnön välttämättömyyttä ja oikeasuhtaisuutta. FA pitää välttämättömänä asiakkaiden ja pankin oikeusturvan kannalta, että tietopyyntöjen sisältö mitoitetaan niin, että pankilla on edellytykset täyttää lakiin perustuvat velvoitteensa.
- Jatkovalmistelussa tulee myös varmistaa tietopyyntöjen, tiedonluovutusten ja valvontajärjestelmän teknisten ominaisuuksien yhteensopivuus.
VN/4818/2024
Sisäministeriö on 10.10.2024 pyytänyt Finanssiala ry:n (FA) lausuntoa otsikossa mainitusta luonnoksesta hallituksen esitykseksi. Esitämme lausuntonamme seuraavaa.
Yleiset kommentit
- Lakimuutoksen tarkoituksena on edistää viranomaisten automaattista tiedonsaantia pankki- ja maksutileistä ja sähköistä tiedonsaantia saldo- ja tilitapahtumista sekä parantaa luovutettavien henkilötietojen tietoturvaa. Pykälän perustelujen mukaan tietopyyntöjen käsittely luottolaitoksissa ja muissa tiedonluovuttajissa kuitenkin perustuisi tapauskohtaiseen arviointiin. Ottaen huomioon viranomaisten tietopyyntöjen suppea tietosisältö ja niihin vastaamiselle asetettu tiukka määräaika (seuraava pankkipäivä klo 16.15 mennessä), jää epäselväksi, millä tavoin tiedonluovuttaja tosiasiallisesti voi tehdä tapauskohtaisen arvion luovutuksen välttämättömyydestä ja oikeasuhtaisuudesta määräajan puitteissa.
- Luottolaitosten ja muiden tiedonluovuttajien on rekisterinpitäjänä velvollisuus varmistaa kaiken käsittelyn lainmukaisuus EU:n yleisen tietosuoja-asetuksen (2016/679) 6 artiklan mukaisesti. FA pitää tärkeänä, että jatkovalmistelun yhteydessä varmistetaan, että viranomaisten tietopyyntöjen minimisisältö on riittävän yksityiskohtainen, jotta tiedonluovuttaja voi täyttää yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuutensa.
- FA:n käsityksen mukaan viranomaisten tiedonsaantioikeuksia koskevat pykälät eivät kaikilta osin ole riittävän täsmällisiä ja tarkkarajaisia. Ellei viranomaisten tiedonsaantioikeuksia sekä niiden käyttöä ja valvontaa koskevia hallinnollisia vaatimuksia tarkenneta samassa aikataulussa HE-luonnoksen jatkovalmistelun kanssa, FA pitää todennäköisenä, etteivät lakimuutoksen tavoitteet kaikilta osin toteudu.
Määritelmät (2 §)
- Pykälään ehdotetaan lisättäväksi kohta 15, jonka mukaisesti saldolla tarkoitettaisiin pankki- ja maksutilillä kyselyn vastaushetkellä olevaa rahamäärää. Pykälän perustelujen mukaan tilin saldossa tulisi kuitenkin huomioida mahdolliset tiliä koskevat katevaraukset ja panttaukset.
FA esittää, että katevarauksen huomioiminen sisällytettäisiin pykälän sanamuotoon esimerkiksi seuraavasti:
“15) saldolla pankki- ja maksutilillä kyselyn vastaushetkellä olevaa rahamäärää, josta on vähennetty mahdollinen katevaraus;”.
FA kiinnittää huomiota siihen, ettei tieto tilin panttauksesta ole euromääräinen tieto, joten sitä ei voi ilmoittaa tilin saldotietona tai vaihtoehtoisesti tilin saldotietona olisi aina 0 euroa. Jos tieto tilin panttauksesta nähdään tarpeelliseksi, se tulisi voida antaa erillisenä kyllä/ei-tyyppisenä tietona.
Pankki- ja maksutilien tiedonhakujärjestelmästä luovutettavat tilitiedot (4 §)
- FA kiinnittää huomiota siihen, että pykälän 2 momentin sanamuotoa on muutettu useampaan kertaan lain voimaantulon jälkeen. Muutosten myötä pykälän sisältö on hämärtynyt, mikä aiheuttaa epävarmuutta tulkintaan. FA pitäisi tarpeellisena, että jatkovalmistelun yhteydessä varmistetaan pykälän selkeys ja johdonmukaisuus.
- FA ehdottaakin, että selvyyden vuoksi tilinhaltijan ja tallelokeron vuokraajan ja käyttöoikeudenhaltijaa koskevien tietojen erottelemista esimerkiksi seuraavasti:
“1) Tilistä:
tilinhaltijan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus sekä asiakkuuden alkamis- ja päättymispäivä tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä asiakkuuden alkamis- ja päättymispäivä; ja
kunkin käyttöoikeudenhaltijan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus sekä tilin käyttöoikeuden alkamis- ja päättymispäivä tai jos käyttöoikeudenhaltija on yleinen edunvalvoja, edunvalvojan nimen, syntymäajan ja henkilötunnuksen sijasta palveluntuottajan yksilöintitiedot, edunvalvojan nimike sekä, jos palveluntuottajalla on useampi kuin yksi yleinen edunvalvoja, edunvalvojan järjestysnumero.
2) Tallelokerosta:
tallelokeron vuokraajan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus sekä tallelokeron yksilöintitieto ja vuokra-ajan pituus tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä tallelokeron yksilöintitieto ja vuokra-ajan pituus; ja
tallelokeron käyttöoikeutetun täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus sekä tai jos käyttöoikeudenhaltija on yleinen edunvalvoja, edunvalvojan nimen, syntymäajan ja henkilötunnuksen sijasta palveluntuottajan yksilöintitiedot, edunvalvojan nimike sekä, jos palveluntuottajalla on useampi kuin yksi yleinen edunvalvoja, edunvalvojan järjestysnumero.”
Ehdotettu muutos ei vaikuttaisi pykälän sisältöön, mutta se kuvaisi selkeämmin ja yksinkertaisemmin, mitä tietoja tileistä ja tallelokeroista on annettava.
- Pykälän 2 momentin 1 kohdan perusteella oikeushenkilön tilin käyttöoikeudenhaltijoista on toimitettava luonnollista henkilöä koskevat ”edellä mainitut tiedot”. Pykälässä lueteltujen henkilötietojen ohella tämä sanatarkasti tulkittuna tarkoittaisi myös asiakkuuden alkamis- ja päättymispäivän ilmoittamista.
FA kiinnittää kuitenkin huomioita siihen, että vaikka käyttöoikeudenhaltija toimii asiakkaan edustajana itsenäisesti tai yhdessä jonkun toisen kanssa (tyypillinen järjestely esimerkiksi yritystileissä), hän ei aina ole pankin asiakas. Tämän vuoksi käyttöoikeudenhaltijan osalta merkityksellinen tieto ei ole pankkiasiakkuuden alkamis- ja päättymispäivä, vaan tilin käyttöoikeuden alkamis- ja päättymispäivä.
FA esittääkin, että 2 momentin 1 kohdan sanamuoto tarkennettaisiin muotoon:
”.kaikki tilin käyttöoikeudenhaltijat ja näiden luonnollista henkilöä koskevat edellä mainitut tiedot sekä tilin käyttöoikeuden alkamis- ja päättymispäivä tai…”
FA esittää myös, että HE-luonnoksen sivulla 71 esitetty käyttöoikeudenhaltijan määritelmä muutetaan muotoon:
”Tilin käyttöoikeudenhaltija on asiakkaan edustaja, joka toimii itsenäisesti tai yhdessä toisen kanssa tilinhaltijan lukuun.” - FA kiinnittää huomiota siihen, ettei laista löydy käyttöoikeuden tai käyttöoikeudenhaltijan määritelmiä ja ehdottaa, että niitä tarpeen mukaan tarkennettaisiin jatkovalmistelun yhteydessä (esimerkiksi pitääkö käyttöoikeudenhaltijan pystyä siirtämään varoja tililtä ja onko käyttöoikeuden laajuudella (yksin tai yhdessä toisen käyttöoikeuden haltijan kanssa merkitystä).
Mallina voitaisiin käyttää esimerkiksi Ruotsin Skatteverketin tulkintaa siitä, millaiset käyttöoikeudet tulee toimittaa Tullin koostavaa sovellusta vastaavan sovelluksen kautta:
“Av 2 § lagen om konto- och värdefackssystem framgår bland annat att Mekanismen ska ge tillgång till uppgifter om fullmaktshavare. Med fullmaktshavare avses normalt den eller de personer som företräder konto- eller värdefacksinnehavaren i frågor som rör kontot eller värdefacket. Det kan dock finnas olika nivåer av behörigheter som kan vara kopplade till ett konto som kan disponeras av någon annan än kontohavaren. Skatteverket uppfattar att bedömningen av vilka som ska anses ingå i begreppet fullmaktshavare i lagens mening beror på hur långt denna behörighet sträcker sig när det gäller att agera i kontohavarens namn.
Dessa ingår i begreppet fullmaktshavare
Skatteverket anser att den som innehar ett kort som endast ger innehavaren rätt att disponera medlen som finns på kontot har en sådan behörighet som gör att personen får anses uppfylla kravet på att vara en fullmaktshavare i lagens mening. Det vill säga innehavaren saknar till exempel rätt att ta del av uppgifter rörande kontot.
Dessa ingår inte i begreppet fullmaktshavare
Skatteverket anser att den som endast har behörighet att ta del av kontosaldo och transaktioner på ett konto inte uppfyller lagens krav på vem som ska redovisas som fullmaktshavare i Mekanismen. Inte heller kan en person som endast har rätt att förbereda en betalning som senare kommer att verkställas av en annan behörig person anses uppfylla lagens krav. Slutligen anser Skatteverket att om en person har rätt att verkställa en betalning men saknar rätt att besluta om vad medlen på kontot ska användas till, uppfyller denna inte heller kravet på att vara en fullmaktshavare i lagens mening.”
Toimivaltaisten viranomaisten oikeus saada saldotietoja (17 a §)
- HE-luonnoksen pykälää koskevissa perusteluissa (s. 76) todetaan:
“Käytännössä tämä tarkoittaisi, että Verohallinto arvioi saldotiedon tarpeellisuuden verotusmenettelystä annetun lain 19 §:n mukaisella perusteella, mutta pankki- ja maksutilien valvontajärjestelmän käytön tulee olla välttämätöntä tiedonhankinnan toteuttamiseksi. Verohallinnon virkailija arvioisi pankki- ja maksutilien valvontajärjestelmän käytön välttämättömyyttä ottaen huomioon sen, mikä merkitys saldotiedolla on valvottavassa veroasiassa ja onko asiassa tarvittavat tiedot saatavissa muulla tavoin. Harkintaa ohjaavat lisäksi yleisten hallintomenettelyä koskevat periaatteet ja verotuksessa noudatettavat periaatteet. Tämä harkinta on kuitenkin sidottu aina yksittäisen tapauksen tosiseikkoihin, joka määrittää sen ovatko tiedot välttämättömiä kyseisessä asiassa. Saldotietoja pyydettäisiin niissä tilanteissa, joissa ei olisi välttämätöntä pyytää tilitapahtumatietoja.”
FA viittaa kohtaan 1 ja korostaa, ettei pankilla tietopyynnön suppeuden takia useinkaan ole todellista mahdollisuutta arvioida pyynnön välttämättömyyttä. Ellei viranomaisten tiedonsaantioikeuksia ja yksittäisten tietopyyntöjen sisältöä olennaisesti tarkenneta, pankin mahdollisuus arvioida tietopyynnön laillisuutta ja oikeasuhtaisuutta yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuutensa edellyttämällä tavalla jää kyseenalaiseksi. Tietopyynnön suppean tietosisällön vuoksi myönteinen tiedonluovutuspäätös käytännössä rinnastuisi yleisen tietosuoja-asetuksen 22 artiklassa tarkoitettuun automatisoituun yksittäispäätökseen, mikä entisestään mutkistaisi tilannetta tietoja kysyvän viranomaisen ja tiedonluovuttajan sekä saldo- ja tilitapahtumajärjestelmän riskien arvioinnin näkökulmista.
Keskitetystä saldo- ja tilitapahtumajärjestelmästä saatavat tilitapahtumatiedot (17 d §)
- Pykälän 2 momentissa säädettäisiin, että viranomainen voisi kysyä keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän kautta myös luonnollisen henkilön tai oikeushenkilön sijoituksiin, osakkeisiin, arvopapereihin, luottoihin ja vakuuksiin liittyviä tietoja. Pykälän perusteluissa todetaan lisäksi, että tietojen toimittaminen pankki- ja maksutilien valvontajärjestelmän avulla olisi luotto- ja maksulaitoksille vapaaehtoista ja mahdollista myös muulla tietoturvallisella tavalla. FA tulkitsee pykälää niin, että sekä viranomaisten pykälässä mainittuja tietoja koskevat pyynnöt että niihin annettavat vastaukset voidaan antaa joko saldo- ja tilitapahtumajärjestelmän kautta tai muulla tavalla.
- FA kiinnittää huomioita siihen, ettei keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän kautta tuleva tietopyyntö välttämättä sisällä tietoja, joiden perusteella vastaus voitaisiin toimittaa muun tietoturvallisen kanavan kautta. Järjestelmän sujuvan käytön mahdollistamiseksi esimerkiksi tilanteissa, joissa vastaus on teknisistä syistä toimitettava muuta kanavaa pitkin, olisikin tarpeen, että tarvittavat toimitustiedot sisältyvät tietopyyntöön.
- Maksajan ja maksun saajan nimitietojen osalta FA kiinnittää huomiota siihen, että tilisiirrot toteutetaan tilinumeron perusteella, minkä vuoksi pankki tietää kyllä maksajan nimen, koska kyse on pankin asiakkaasta, mutta vastaanottajasta pankki tietää vain nimen, jonka maksaja on maksutoimeksiannon yhteydessä sille ilmoittanut.
Viranomaisten pääsy keskitettyyn saldo- ja tilitapahtumajärjestelmään ja niitä koskevien hakujen tekemistä koskevat edellytykset (17 e §)
- Pykälän 1 momentin mukaan pääsy edotetun lain 17 b ja 17 d §:ssä tarkoitettuiin tietoihin ja mahdollisuus tehdä niitä koskevia hakuja olisi ainoastaan sellaisella ehdotetun lain 17 a ja 17 c §:ssä tarkoitetun viranomaisen henkilöstön jäsenellä, joka on nimetty ja valtuutettu suorittamaan näitä tehtäviä. FA pitää tärkeänä, että pykälän vaikutukset tiedonluovuttajien oikeuksiin ja velvollisuuksiin arvioitaisiin huolellisesti.
- Käytännössä kyse on tiedonluovuttajan luottamuksensuojasta eli voiko se luottaa siihen, että tietopyynnön tehnyt viranhaltija on oikeutettu saamaan pyytämänsä tiedot pyytämässään laajuudessa (eli järjestelmään on myönnetty käyttöoikeudet vain tietopyyntöön oikeutetuille viranhaltijoille lainmukaisessa laajuudessa) vai tuleeko luottolaitoksen nykyiseen tapaan aina tapauskohtaisesti arvioida ja varmistua, että tietopyynnön esittäjällä on laillinen oikeus saada pyytämänsä tiedot.
Keskitettyä saldo- ja tilitapahtumajärjestelmää koskevien tietojen käsittelysäännökset (17 f §)
- Pykälän 1 ja 2 momenttien perusteella saldotiedot (17 b §) ja tilitapahtumatiedot (17 d §:n 1 momentti) tulee luovuttaa vähintään viideltä edeltävältä vuodelta viimeistään seuraavana pankkipäivänä. FA:n käsityksen mukaan saldotiedon kysymisen tarkoituksena on ajankohtaisen, ei menneiden saldotietojen selvittäminen. Jos kyselyn tarkoituksena on saada tietoja aikaisemmista saldosta, kyselyssä tulee tarkentaa, mikä mahdollisesti useasta päiväsaldosta pankin tulee toimittaa (esimerkiksi alkusaldo vai loppusaldo).
Käytännössä tällaisen kyselyominaisuuden rakentaminen, toteuttaminen ja käyttäminen olisi monimutkaista. FA esittääkin, että PMJ:n kautta toteutettava saldotiedustelu rajataan 2 §:n määritelmän mukaisesti koskemaan pankki- ja maksutilillä kyselyn vastaushetkellä olevaa rahamäärää (mahdollisilla katevarauksilla ja panttaustiedolla oikaistuna) ja velvollisuus toimittaa tietoja viideltä vuodelta rajataan koskemaan vain tilitapahtumatietoja. - Pykälän perusteluissa HE-luonnoksen sivulla 84 todetaan:
“Toisessa momentissa säädettäisiin toimitettavien tietojen ajallisesta kestosta. Edellä 1 momentissa tarkoitetut tiedot saldo- ja tilitapahtumista tulisi toimittaa pyydettäessä vähintään edeltävältä viideltä vuodelta. Tämä ei tarkoittaisi sitä, että tiedot tulisi toimittaa jokaisen tietopyynnön kohdalla edellä mainitulta ajanjaksolta, vaan ajanjaksoa, jolta toimivaltaisella viranomaisella olisi oikeus saada tilitapahtumatiedot niin pyytäessään.”
FA kiinnittää huomiota 4 luvun voimaantulosäännöksen, jonka mukaan siinä säädettävän päivämäärän jälkeen saldo- ja tilitapahtumat tulisi toimittaa pyydettäessä pyyntöä edeltävältä viideltä vuodelta.
FA:n käsityksenä on ollut, että lakimuutoksen tarkoituksena on mahdollistaa tietojen saanti viideltä, ei vähintään viideltä vuodelta, ja pitää tärkeänä, että HE-luonnoksen pykäläehdotusten sanamuodot tarkennetaan tältä osin.
Keskitetyn saldo- ja tilitapahtumajärjestelmän tiedonkäsittelyyn liittyvät vastuut (17 g §) ja tiedonluovuttajan luottamuksensuoja
- 17 e §:n tavoin tämänkin pykälän osalta keskeistä on tiedonluovuttajan luottamuksensuoja. Jos viranomaisen PMJ-lain muodolliset vaatimukset täyttävään tietopyyntöön vastaaminen voi altistaa tiedonluovuttajan yleisessä tietosuoja-asetuksessa tai muussa laissa säädetyille seuraamuksilla, viittaus virkavastuulla toimimiseen on merkityksetön.
FA pitää välttämättömänä, että PMJ-laissa ja sen perusteluissa määriteltäisiin yksiselitteisesti tietoja pyytävän viranomaisen ja sekä tietoja luovuttavien toimijoiden vastuut. Laissa tulisi myös yksiselitteisesti säätää, että tietoja kysyvää viranomaista pidetään aina yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä tekemiensä kyselyjen ja niihin vastauksena annettujen henkilötietojen käsittelyn osalta. Tiedonluovuttaja puolestaan vastaisi rekisterinpitäjänä siitä, että sen luovuttamat tiedot ovat yleisen tietosuoja-asetuksen edellyttämällä tavalla oikeasisältöisiä ja ajan tasalla.
Keskitetyn sähköisen saldo ja tilitapahtumajärjestelmän lokitiedot (17 h §)
- Pykälän perusteluissa (s. 87) todetaan:
“Pykälän ensimmäisessä momentissa Tullille säädettäisiin velvoite pitää lokirekisteriä koostavan sovelluksen kautta keskitettyyn sähköiseen saldo ja tilitapahtumajärjestelmään tehtävistä kyselyistä. Tulli ylläpitää koostavaa sovellusta ja lokitietojen käsittelyllä rekisterinpitäjä voi osoittaa noudattavansa tietosuoja-asetuksen 5 artiklan 2 kohdan mukaista osoitusvelvollisuutta. Lokirekisterinpitovelvoite on siten yksi tietosuoja-asetuksen mukainen suojatoimi, joka on rekisterinpitäjän vastuulla.”
Epäily viranomaisen tietopyynnön perusteettomuudesta voi syntyä myös jälkikäteen ja tiedonluovutuksen kohteen ja tiedonluovuttajan laillisten oikeuksien turvaamiseksi PMJ-laissa olisi tarpeen säätää myös siitä, millä tavoin tiedonluovuttajalla on oikeus saada Tullin ylläpitämästä lokirekisteristä tietoja, jotka ovat asian selvittämiseksi välttämättömiä.
Verotusmenettelystä annetun lain muutos
- FA katsoo, etteivät HE-luonnokseen sisältyvät lakiehdotukset tai niiden perustelut ole riittävän yksityiskohtaisia, täsmällisiä ja tarkkarajaisia, vaan ne jättävät Verohallinnolle edelleen erittäin väljän liikkumavaran pankki- ja maksutilejä, niiden omistajia ja käyttöoikeudenhaltijoita sekä saldo- ja tilitapahtumatietoja koskevien kyselyjen tekemiseen.
- Ottaen huomioon tietojen luonne, luottamuksellisuus ja verotuksen toteuttamisesta selvästi poikkeava alkuperäinen käyttötarkoitus sekä sen, että hallinto-oikeudessa on vireillä ainakin kaksi Verohallinnon ajamaa valitusasiaa verotuksen oikaisulautakunnan päätöksistä, joissa se on katsonut, että Verohallinnon asianomaisille pankeille tekemät muun muassa tilitapahtumia sisältävät tietopyynnöt ovat olleet yksilöimättömiä ja ylimitoitettuja, FA pitää välttämättömänä, että Verohallinnon tiedonsaantioikeuksia tarkennetaan niin, että ne täyttävät yleisen tietosuoja-asetuksen vaatimukset ja eduskunnan perustuslakivaliokunnan asiaa koskevat linjaukset.
- Ehdotetun 18 a §:n perusteluissa (s. 90) todetaan:
“Verohallinto käyttää tilitapahtumatietoja verotuksen oikeellisuuden selvittämiseen ja varmentamiseen yksittäisissä tilanteissa, joissa sen arvioidaan olevan välttämätöntä. Tilitapahtumatiedot varmentavat verovelvollisen rahavirtoja ja sitä kautta taloudellista asemaa, johon verotus perustuu. Tilitapahtumatietoja ei kysyttäisi ilman, että niiden tarve arvioidaan ensin yksittäisen tapauksen tosiseikkojen perusteella ja ne katsotaan verovalvonnan näkökulmasta välttämättömiksi. Välttämättömyys tarkoittaa, että verovalvonnassa on verotuksellinen syy selvittää tai varmentaa verotuksen oikeellisuus, eikä Verohallinnolla ole muuta ilmoitus-, sivullis- tai vertailutietolähdettä käytettävissä verovelvollisen verotukseen vaikuttavien tulojen tai varojen selvittämiseksi.”
FA pitää tärkeänä, että perusteluissa todettaisiin selvästi, että Verohallinnon tulee ensisijaisesti pyytää lisätiedot verovelvolliselta ja vasta toissijaisesti tämän pankilta PMJ:n kautta, jos tiedot ovat välttämättömiä eikä niitä voida saada muualta.
Tietojen käyttötarkoitussidonnaisuus ja tiedonsaannin lainmukaisuus (s. 39–41)
- HE-luonnoksen (s. 40, toinen kappale) mukaan:
“Keskitetty järjestelmä ja sen käyttö on oikeuskäytännössä katsottu lisäävän korkeaa riskiä rekisteröidyn oikeuksille ja vapauksille, jonka johdosta lain valmistelun yhteydessä tulee arvioida uudelleen sitä, onko toimivaltaisen viranomaisen tiedonsaantioikeudet keskitettyä järjestelmää hyödyntäen edelleen oikeasuhtaiset rekisteröidyn oikeuksiin ja vapauksiin nähden.”
FA pitää todennäköisenä, että saldo- ja tilitapahtumakyselymahdollisuuden lisääminen PMJ:än tulee kasvattamaan kyselyjen määrää merkittävästi. Kun tämä yhdistetään viranomaisten laajasti ja epätäsmällisesti määriteltyihin tiedonsaantioikeuksiin, edellä käsiteltyihin tiedonluovuttajien vaikeuksiin arvioida sisällöltään suppeiden tietopyyntöjen lainmukaisuutta ja kyselyjä tekevien viranomaisten tietosuojavastaavien rajallisiin valvontamahdollisuuksiin, FA pitää tärkeänä, että ehdotettujen riskienhallinta- ja valvontatoimenpiteiden riittävyys arvioidaan ja varmistetaan jatkovalmistelun yhteydessä.
Rekisterinpitovastuu (s. 42–44)
- HE-luonnoksen perusteluissa (s. 42, viimeinen kappale) todetaan:
“Kun tapauksen yksilöintitiedot ja muut kyselyn välttämättömät taustatiedot on täytetty, koostava sovellus välittää tiedot eteenpäin tietoa luovuttavalle luotto- ja maksulaitokselle sekä edelleen niistä saadut vastaukset toimivaltaisille viranomaisille.”
FA:lle on epäselvää, mitä muilla välttämättömillä taustatiedoilla tässä tarkoitetaan. Jos pankille välitetään vain tieto viranomaisesta, lainkohta ja asian käsittelynumero, se ei käytännössä tarjoa mitään pohjaa tietopyynnön lainmukaisuuden arvioinnille. Tietojen, joiden perusteella luovutus voidaan tehdä, tulisi sisältyä tietopyyntöön. PMJ:n käyttö ei voi rakentua sen varaan, että pankki kussakin tapauksessa joutuu pyytämään viranomaiselta käsittelynumeron perusteella lisätietoja voidakseen arvioida kyselyn vastattavuutta.
Muita näkökohtia
- Selkeyden vuoksi hallituksen esityksessä olisi hyvä mainita, ettei aiottua järjestelmää ole tarkoitettu sellaisten viranomaisten tietopyyntöjen käsittelyyn, jotka perustuvat yleisen tietosuoja-asetuksen 6.1 artiklan e alakohtaan (yleinen etu). Ehdotuksessa kuvattu järjestelmä ei mahdollista tietosuoja-asetuksen edellyttämää rekisterinpitäjän ennakkokontrollia unionin tuomioistuimen ratkaisussa C-175/20 ”SS” SIA vastaan Valsts ieņēmumu dienests kuvatulla tavalla silloin kun viranomaisen pyynnön oikeusperustana on yleinen etu. Tietosuoja-asetuksen kannalta tietojen luovuttaminen tulee käsittääksemme perustumaan lakisääteiseen velvoitteeseen, eikä yleiseen etuun.
- HE-luonnoksesta on luettavissa, että tiedonluovuttajalla tulisi vain poikkeuksellisesti olla velvollisuus tai tarve pyytää pyytävältä viranomaiselta lisätietoja tietopyynnön perusteista. Epäselväksi kuitenkin jää, onko lisätietojen pyytäminen mahdollista Tullin koostavan sovelluksen kautta. Asia tarvitaan selkeä vastaus, kun otetaan huomioon, ettei tiedonluovuttajalle toimiteta järjestelmän kautta muuta tietoa kuin kysyvä viranomainen ja lakiperusta. Näiden tietojen perusteella lisätietokyselyä ei voida osoittaa oikealle taholle, jos kysely tulisi tehdä muun kanavan kautta.
- HE-luonnoksessa korostetaan kysyvän viranomaisen vastuuta tietopyynnön tarpeellisuudesta, oikeasuhtaisuudesta ja lainmukaisuudesta, mutta tiedonluovuttajan luottamuksensuoja jää pääosin epäselväksi. Kysymys on tiedonluovuttajien oikeusturvan kannalta olennaisen tärkeä ja ellei siihen saada selvää vastausta, saldo- ja tilitapahtumakyselyjen sähköistämisellä tavoitellut hyödyt voivat jäädä saavuttamatta.
- Kestävän ja läpinäkyvän tietojen käsittelyn varmistamiseksi tiedonluovuttajilla tulisi olla oikeus julkaista vähintään pyyntöjen kappalemäärät ja tietoja pyytäneiden viranomaisten nimet osana vastuullisuusraportointiaan. FA esittää myös, että Tullille asetettaisiin velvoite seurata saldo- ja tilitapahtumakyselyjen määrien kehittymistä viranomaiskohtaisesti ja julkaista kyselyjä koskevia yhteenvetotilastoja vähintään vuositasolla.
Tiedonluovuttajilla tulisi myös olla mahdollisuus saada tietoja viranomaisten tietopyyntöihin liittyvän laillisuusvalvonnan havainnoista ja tuloksista, jotta niiden olisi mahdollista arvioida yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuutensa toteutumista.
Rekisteröityjen oikeuksien ja henkilötietojen käsittelyn läpinäkyvyyden turvaamiseksi FA ehdottaa myös harkittavaksi riippumattoman kolmannen tahon asettamista valvomaan viranomaisen tekemiä kyselyjä. - HE-luonnoksen sivulla 87 todetaan:
“Lokitiedoiksi säännettäisiin asian viitetiedot eli asian käsittelynumero tai muu tunnistetieto, tietopyynnön oikeusperusta, tiedustelun tai haun päivämäärä ja kellonaika, tiedustelussa käytettyjen tietojen tyyppi, tiedustelun tuloksen tunnistetiedot ja järjestelmää käyttäneen toimivaltaisen viranomaisen nimi.”
Tekstissä lienee kirjoitusvirhe ja sanan ”säännettäisiin” sijaan siinä tulisi mahdollisesti lukea ”säädettäisiin”. - Lopuksi FA haluaa kiinnittää huomiota siihen, että ehdotettu muutos tulee aiheuttamaan tiedonluovuttajille taloudellisia ja hallinnollisia kustannuksia sekä tietojärjestelmämuutosten että etenkin kyselymäärien kasvamisen ja kyselyihin liittyvien selvittelyjen ja lisätietopyyntöjen lisääntymisen myötä. FA pitääkin tärkeänä, että jatkovalmistelussa kiinnitetään huomiota edellä esitettyihin näkökohtiin tiedonluovutusten kohteena olevien asiakkaiden ja tiedonluovuttajien laillisten oikeuksien sekä tiedonluovutuksiin liittyvän luottamuksensuojan varmistamiseksi.
FINANSSIALA RY
Taina Ahvenjärvi
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan