Lausunto

Luonnos hallituksen esitykseksi eduskunnalle laeiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain ja rahanpesun selvittelykeskuksesta annetun lain muuttamisesta

FA kannattaa pankkitilitiedustelujen sähköistämistä, mutta edellyttää, että asiakkaiden, pankkien ja muiden tahojen lailliset oikeudet huomioidaan

  • FA kannattaa viranomaisten toimivaltuuksiensa puitteissa tekemien pankkikyselyjen sähköistämistä, automatisoimista ja keskittämistä siinä laajuudessa kuin se asiakkaan, pankin ja muiden oikeudet ja niiden suojaaminen huomioiden on mahdollista.
  • Valittavien ratkaisujen on kaikilta osin kunnioitettava pankkien tietosuojaa ja pankkisalaisuutta koskevia velvoitteita. Jos ratkaisu toteutetaan keskitettynä, sen on myös korvattava olemassa ja suunnitteilla olevat kahdenväliset tiedonhakuratkaisut.
  • HE-luonnoksessa on kyse rahoitustietodirektiivin toimeenpanon ohella merkittävistä kansallisista laajennuksista pankki- ja maksutilien valvontajärjestelmän käyttäjiin ja käyttötarkoituksiin. Ehdotetut kansalliset laajennukset eivät kaikilta osin vastaa tietosuoja- ja pankkisalaisuussääntelyjen asettamia vaatimuksia ja FA esittää niiden erottamista omaksi lainsäädäntöhankkeeksi.
  • Tullin pankeille antamien teknisten määräysten tulee nojautua tiukasti lakiin ja esim. sanomaformaattien osalta tulee olla valmius siirtyä uudempien teknologioiden käyttöön.

SMDno-2019-1504

Yleistä

  1. Finanssiala ry (FA) kannattaa viranomaisten toimivaltuuksiensa puitteissa tekemien pankkikyselyjen sähköistämistä ja automatisoimista siinä laajuudessa kuin se asiakkaan, pankin ja mahdollisten kolmansien osapuolien oikeudet ja niiden suojaaminen huomioon ottaen on mahdollista. Viranomaisten ja pankkien kahdenvälisiin ratkaisuihin liittyvien hallinnollisten ja taloudellisten kustannusten alentamiseksi FA pitää myös järkevänä, että mahdollisuudet pankki- ja maksutilien valvontajärjestelmän nykyistä laajempaan hyödyntämiseen tai muuhun keskitettyyn ratkaisuun selvitetään.
  2. Toteutustavasta riippumatta FA pitää välttämättömänä, että valittavat tekniset ja hallinnolliset ratkaisut kaikilta osin ottavat huomioon pankkien tietosuojaa ja pankkisalaisuutta koskevat säädösvelvoitteet. Jos ratkaisu toteutetaan keskitettynä, esimerkiksi pankki- ja maksutilien valvontajärjestelmän pohjalta, on myös varmistettava, että se korvaa olemassa ja suunnitteilla olevat viranomaisten ja pankkien kahdenväliset tiedonhakuratkaisut.
  3. [1] johdanto-osan 8 kappaleen mukaisesti kansallisten viranomaisten pääsy pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin muissa kuin rahoitustietodirektiivin tarkoituksissa tai liittyen muihin kuin sen soveltamisalaan kuuluviin rikoksiin ei kuulu rahoitustietodirektiivin soveltamisalaan. Sikäli kuin nämä tarkoitukset eivät kuulu poliisin tietosuojalailla[2] toimeenpannun poliisidirektiivin[3] soveltamisalaan, niihin sovelletaan yleistä tietosuoja-asetusta[4].
  4. Yleisen tietosuoja-asetuksen johdanto-osan 19 kappaleen mukaisesti poliisidirektiiviä sovelletaan henkilötietojen käsittelyyn rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten taikka rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, sekä näiden henkilötietojen vapaata liikkuvuutta. Jäsenvaltiot voivat antaa poliisidirektiivissä tarkoitetuille toimivaltaisille viranomaisille myös muita tehtäviä, mutta tällöin näihin liittyviä tarkoituksia varten tehtävä henkilötietojen käsittely kuuluu yleisen tietosuoja-asetuksen soveltamisalaan.
  5. FA:n arvion mukaan pääosa HE-luonnoksessa esitetyistä pankki- ja maksutilien valvontajärjestelmän käyttäjiä ja käyttötarkoituksia koskevista kansallisista laajennuksista on sellaisia, etteivät ne kuulu poliisin tietosuojalain, vaan yleisen tietosuoja-asetuksen soveltamisalaan.
  6. Yleisen tietosuoja-asetuksen 4 artiklan 2 kohdan mukaisesti henkilötietojen käsittelynä pidetään esimerkiksi tietojen hakua, kyselyä, käyttöä tai luovuttamista siirtämällä, joten PMJ-lain 4 §:ssä säädetyt pankki- ja maksutilien tiedonhakujärjestelmät, 5 §:n mukainen pankki- ja maksutilirekisteri sekä HE-luonnoksen 7 a §:ssä esitetty koostava sovellus kuuluvat yleisen tietosuoja-asetuksen soveltamisalaan, ellei poliisin tietosuojalaista muuta johdu.

    Pankki- ja maksutilien valvontajärjestelmästä annettuun lakiin ehdotetut muutokset
  7. PMJ-lain 5 §:n nojalla Tulli toimii pankki- ja maksutilirekisterin rekisterinpitäjänä ja HE-luonnoksessa ehdotetun 7a §:n mukaisesti se toimisi myös koostavalla sovelluksella käsiteltävien henkilötietojen rekisterinpitäjänä. Lain 4 § asettaa luottolaitoksille velvoitteen ylläpitää tiedonhakujärjestelmää, muttei erikseen määrittele, ketä on pidettävä rekisterinpitäjänä sen kautta kyseltävien tai siirrettävien henkilötietojen osalta.
  8. Yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan perusteella rekisterinpitäjänä pidetään henkilöä tai tahoa, jolla on oikeus yksin tai yhdessä määritellä henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjän keskeisimpiin yleisen tietosuoja-asetuksen mukaisiin tehtäviin kuuluu varmistaa, että henkilötietojen käsittely tapahtuu lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi, että henkilötietoja käsitellään vain tiettyä, nimenomaista ja laillista tarkoitusta varten ja että käsiteltävien henkilötietojen määrä rajataan käsittelyn tarkoitusta vastaavaksi.
  9. PMJ-lain 4 §:n 5 momentin perusteella Tullin tehtävänä on antaa määräykset pankki- ja maksutilien tiedonhakujärjestelmän teknisistä vaatimuksista, mutta tosiasiallisesti rekisterinpitäjän rooli ja velvoitteet näyttävät langenneen luottolaitoksille. Mikäli HE-luonnoksessa esitetty koostava sovellus päätetään toteuttaa, FA pitää välttämättömänä, että sääntelyä samassa yhteydessä tarkennetaan niin, että rekisterinpitäjää koskeva kysymys saadaan selkeästi ratkaistua myös pankki- ja maksutilien tiedonhakujärjestelmän osalta. FA pitäisi johdonmukaisimpana ratkaisua, jossa luottolaitokset toimivat rekisterinpitäjinä omissa järjestelmissään olevien henkilötietojen osalta, mutta sikäli kuin kyse on viranomaisten tekemistä kyselyistä, rekisterinpitäjän tietosuoja-asetuksen mukainen vastuu ja velvoitteet kuuluvat Tullille siitä riippumatta tehdäänkö kyselyt koostavan sovelluksen kautta vai suoraan Tullin määrittelemän rajapinnan kautta. Ottaen lisäksi huomioon, että PMJ-lain 3 §:ään esitetyt kansalliset laajennukset pankki- ja maksutilien valvontajärjestelmän käyttäjiin ja käyttötarkoituksiin suurelta osin nojaisivat muista laeista löytyviin ja sangen laveasti määriteltyihin toimivaltaperusteisiin, FA ei pidä poissuljettuna sitä vaihtoehtoa, että määrätyissä tilanteissa myös kyselyn tekevä viranomainen voitaisiin katsoa Tullin rinnalla yleisen tietosuoja-asetuksen 26 artiklassa yhteisrekisterinpitäjäksi.
  10. Luottolaitosten kannalta kysymys pankki- ja maksutilien tiedonhakujärjestelmän rekisterinpitäjästä on erittäin tärkeä, koska käytännössä on havaittu, etteivät Tullin määrittelemän rajapinnan kautta tulevien viranomaiskyselyjen tiedot kaikilta osin ole riittäviä siihen, että luottolaitokset pystyisivät rekisterinpitäjältä edellytetyllä tavalla yksilöimään esimerkiksi sitä, kuka asiakkaan tietoja on kysynyt, mihin käyttötarkoitukseen ja millä perusteella tietoja on kysytty ja/tai kenelle tietoja on luovutettu. Kysymys ei ole vain periaatteellisesti tärkeä, vaan asia liittyy välittömästi sekä pankkisalaisuuteen että yleisen tietosuoja-asetuksen 12–23 artiklassa säädettyihin rekisteröidyn oikeuksiin, joihin liittyvät laiminlyönnit katsotaan vakaviksi rikkomuksiksi, jotka altistavat rekisterinpitäjän asetuksen 83 artiklan 5 kohdassa säädetylle enimmäisseuraamukselle.
  11. Mikäli lainsäätäjä kuitenkin katsoisi mahdolliseksi, että luottolaitoksia pidettäisiin rekisterinpitäjänä myös pankki- ja maksutilien tiedonhakujärjestelmän kautta tehtävien viranomaiskyselyjen kautta, FA pitää välttämättömänä, että PMJ-lakiin tehdään tarkentavat muutokset, joilla varmistetaan, että luottolaitos ennen vastauksen antamista voi varmistua, että kysely kaikilta osin täyttää yleisen tietosuoja-asetuksen ja muun sovellettavan lainsäädännön asettamat vaatimukset. Luottolaitoksen tulee kaikissa oloissa pystyä todentamaan, kuka tietoja on kysynyt, mihin tarkoitukseen, millä perusteella ja mikä on kysyjän asema, jotta pystytään varmistumaan siitä, että kysyjällä on oikeus saada tietoja. Luottolaitoksen tulee myös pystyä jälkikäteen osoittamaan, että se on tarkistanut ja varmistunut ennen tietojen luovuttamista, että niitä pyytäneellä taholla on lakiin perustuva oikeus ja tarve saada henkilötietoja.
  12. FA haluaa edelleen kiinnittää huomiota siihen, että HE-luonnoksen lähtökohtana näyttää olevan se, että PMJ-lain 3 §:ssä esitettyyn pankki- ja maksutilien valvontajärjestelmän käyttäjiä ja käyttötarkoituksia koskevaan kansalliseen laajennukseen perustuva käyttöoikeus antaisi asianomaiselle viranomaiselle automaattisesti pääsyn kaikkeen tiettyä asiakasta, tiliä tai tallelokeroa tai vastaavaa koskeviin valvontajärjestelmän tietoihin. FA pitää kuitenkin selvänä, että kunkin viranomaisen oikeus saada tai käsitellä valvontajärjestelmän tietoja rajoittuu vain niihin tietoihin, joiden käsittelyyn sillä on oikeus ja lakiin perustuva todellinen käyttötarve. Esimerkiksi tilanteissa, joissa viranomaisen tarve rajoittuu henkilön pankki- ja maksutilien selvittämiseen, tiedot näiden tilien tosiasiallisista edunsaajista ja käyttöoikeuksista tai vaikkapa henkilön nimiin rekisteröidyistä tallelokeroista eivät lähtökohtaisesti ole tarpeellisia eikä niiden myöskään tällöin tulisi olla kyseisen viranomaisen saatavilla. Luottolaitoksilla ei ole edellytyksiä tehdä tällaisia rajauksia viranomaisten tietopyyntöihin vastatessaan, vaan ne on toteutettava Tullin koostavan sovelluksen ja luottolaitosten tiedonhakujärjestelmän teknisten määrittelyjen kautta. Vastuu kyselyjen asianmukaisuudesta ja valvonnasta tulee olla viranomaisilla, ei luottolaitoksilla.
  13. Rahoitustietodirektiivin johdanto-osan 25–28 kappaleissa korostetaan yleisen tietosuoja-asetuksen mukaisen henkilötietojen suojan ja asianmukaisten tietosuojaperiaatteiden ja -toimenpiteiden merkitystä. Lisäksi pääsy pankki- ja maksutilin valvontajärjestelmän tietoihin tulisi olla vain siihen valtuutetuilla henkilöillä. Ainoastaan valtuutetulla henkilöstöllä olisi oltava pääsy henkilötietoja sisältäviin tietoihin, joita voidaan saada pankki- ja maksutilin valvontajärjestelmästä tai todentamisprosessien kautta.
  14. Edellä mainittujen oikeuksien turvaamiseksi rahoitustietodirektiivin 6 artiklassa säädetään toimivaltaisten viranomaisten tietoihin pääsystä ja niitä koskevien hakujen valvonnasta. Artikla edellyttää, että pankki- ja maksutilirekistereistä vastaavien tietosuojavastaavien on tarkistettava lokikirjat säännöllisesti ja lokikirjat on pyynnöstä asetettava poliisidirektiivin 41 artiklan mukaisesti perustetun toimivaltaisen valvontaviranomaisen saataville. FA kummeksuu sitä, etteivät mainitut velvoitteet sisälly PMJ-lain 10 §:ään esitettyihin muutoksiin. FA pitää välttämättömänä, että pankki- ja maksutilien valvontajärjestelmän lainmukaisen toimintaan, käyttöön ja valvontaan liittyvät kysymykset ratkaistaan yleisen tietosuoja-asetuksen, poliisidirektiivin ja rahoitustietodirektiivin edellyttämällä tavalla ja PMJ-lakiin tehdään tarvittavat muutokset ja täydennykset.
  15. PMJ-lain 11 ja 12 §:n osalta FA toteaa, ettei laissa ole lainkaan tarkasteltu Tullin asemaa, velvollisuuksia tai mahdollisuuksia määrätä seuraamuksia tilanteissa, joissa viranomaisen havaitaan tai epäillään käyttävän väärin pankki- ja maksutilien valvontajärjestelmää. Rekisteröityjen oikeudet huomioiden ja valvontajärjestelmään kohdistuvan yleisen luottamuksen ylläpitämiseksi FA pitää välttämättömänä, että PMJ-lakia tältä osin täydennetään Tullin toimivaltuuksia, väärinkäytöksistä määrättäviä seuraamuksia ja rekisteröidyille tarjolla olevia oikeusturvakeinoja koskevilla säännöksillä.
  16. PMJ-lakiin esitetyn uuden 7a §:n 4 momentin mukaisesti pankki- ja maksutilien valvontajärjestelmässä olevat tiedot voidaan luovuttaa sen estämättä, mitä yleisen tietosuoja-asetuksen 18 artiklan 1 kohdan a alakohdassa säädetään rekisteröidyn oikeudesta siihen, että rekisterinpitäjä rajoittaa henkilötietojen käsittelyä. Rajoitus ei koskisi vain rahoitustietodirektiivissä tai poliisidirektiivissä tarkoitettuja luovutustilanteita, vaan kattaisi myös HE-luonnoksessa ehdotetut laajennukset valvontajärjestelmän käyttäjiin ja käyttötarkoituksiin. FA muistuttaa, että luottolaitosten velvollisuudet järjestelmissään olevien henkilötietojen rekisterinpitäjänä perustuvat yleiseen tietosuoja-asetukseen, joka turvaa rekisteröidylle laajat ja vahvasti suojatut oikeudet muun muassa määrätä ja rajoittaa tietojensa käsittelyä. Pankki- ja maksutilien valvontajärjestelmän tietosisältö perustuu suoraan viidenteen rahanpesudirektiiviin[5], joka ei tarjoa mahdollisuutta pykäläehdotuksessa tai sen perusteluissa esitettyihin rajoitustoimiin. HE-luonnoksessa esitetty rajoitus myös puuttuisi välittömästi rekisteröidyn keskeisiin tietosuoja-asetuksen mukaisiin oikeuksiin, joten FA pitää ehdotusta liian pitkälle menevänä ja esittää sen poistamista.
  17. HE-luonnoksessa todetaan, että työryhmä tarkasteli mahdollisuutta lisätä tilitapahtumatiedot pankki- ja maksutilien valvontajärjestelmään, mutta päätyi siirtämään asian valmistelun vuoden 2021 alkupuolella käynnistyväksi erilliseksi hankkeeksi, koska tilitapahtumien lisäämiseen liittyviä seikkoja ei nähty olevan mahdollista tarkastella riittävän huolellisesti rahoitustietodirektiivin täytäntöönpanon edellyttämässä aikataulussa. FA haluaa kiinnittää huomiota siihen, etteivät perustuslakivaliokunnan lausunnossa 48/2018 vp ja talousvaliokunnan mietinnössä 43/2018 vp esiin nostamat seikat koske vain tilitapahtumatietojen lisäämistä, vaan myös mm. valvontajärjestelmän käyttäjien piirin ja käyttötarkoitusten laajentamista direktiivin asettamia vaatimuksia pidemmälle. Lisäksi FA haluaa viitata Euroopan tietosuojavaltuutetun lausuntoihin 1/2017 ja 5/2020, joissa se korostaa tietojen käsittelyn tarpeellisuuden ja käyttötarkoitussidonnaisuuden merkitystä ja painottaa, ettei rahanpesudirektiivien mukaisesti rahanpesun tai terrorismin rahoituksen torjuntaa varten kerättyjä pankki- ja maksutilitietoja tai tosiasiallisia edunsaajia koskevia tietoja tulisi hyödyntää veronkierron torjuntaan, yritysomistusten läpinäkyvyyden lisäämiseen tai muihin alkuperäisestä poikkeaviin käyttötarkoituksiin.
  18. Kaikkien edellä esitettyjen syiden perusteella FA pitää tarpeellisena ja johdonmukaisena, että myös valvontajärjestelmän käyttäjien ja käyttötarkoitusten piiriä koskevat kansalliset laajennukset siirrettäisiin käsiteltäviksi tilitapahtumatietojen lisäämistä koskevassa erillisessä hankkeessa ja nyt lausuntokierroksella oleva HE-luonnos rajattaisiin koskemaan vain muutoksia, jotka ovat välttämättömiä rahoitustietodirektiivin toimeenpanemiseksi 1.8.2021 mennessä. Ottaen huomioon, että sisäministeriön tarkoituksena on käynnistää kyseinen hanke vielä kuluvan kevään aikana, se ei myöskään merkittävästi viivästyttäisi kansallisia laajennuksia koskevaa säädösvalmistelua. Jotta asiaan liittyvät näkökohdat ja kysymykset voitaisiin käsitellä perusteellisesti ja riittävän laajasti, FA myös esittää, että asian jatkokäsittelyä varten perustettaisiin erillinen laajapohjainen työryhmä, jossa olisi mukana pankki- ja maksutilien tiedonhakujärjestelmien ylläpidosta vastaavien luottolaitosten edustus.

    Rahanpesun selvittelykeskuksesta annettuun lakiin ehdotetut muutokset
  19. FA:n käsityksen mukaan rahanpesun selvittelykeskuksesta annetun lain osalta HE-luonnos rajoittuu rahoitustietodirektiivin täytäntöönpanon kannalta välttämättömiin muutoksiin eikä niihin tässä vaiheessa ole kommentoitavaa.

    Muita huomioita
  20. FA haluaa lopuksi kiinnittää huomiota eräisiin Tullin teknisiin määräyksiin liittyviin ongelmiin, jotka tulisi huomioida ja ratkaista pankki- ja maksutilien valvontajärjestelmää ja sitä koskevaa normistoa ja menettelyjä kehitettäessä:
  • Eräät Tullin rajapintakuvaukseen tekemät muutokset ovat olleet ennakoimattomia, eli uusia versiota on julkaistu hyvinkin lähellä käyttöönottoa. Teknisten muutosten määrittely, toteuttaminen ja testaaminen vaatii aikaa, joten Tullin tulisi lukita rajapintakuvaus hyvissä ajoin (käytännössä kuukausia ennen) kuukautta, jotta muutokset saadaan vietyä järjestelmiin asianmukaisella tavalla.
  • Nykyisessä pankki- ja maksutilien tiedonhakujärjestelmän toteutuksessa sanomaformaattina käytetään soap/xml-sanomia, jotka ovat rakenteeltaan raskaita ja joiden käyttö on vähentymässä uusien teknologioiden (esim. rest/json) myötä. Lisäksi soap/xml-formaatti voi kasvattaa rakenteestaan johtuen sanomien kokoa niin suureksi, etteivät viranomaisten käyttämät tiedonsiirtomenettelyt niihin taivu, jolloin mahdollisesti joudutaan pilkkomaan sanoma osiin tai toimittamaan vastaus muulla menettelyllä. Kehitys huomioon ottaen tulisi myös sanomaformaattien osalta pohtia nykyaikaisempien teknologioiden käyttöä, jotta jatkossa ei tarvitsisi tehdä isoja muutoksia tiedonhakujärjestelmään.
  • Kiistanalaisten henkilötietojen osalta Tullin teknisissä määräyksissä on vaatimus liittää auth.002.001.01 sanomaan document/infreqrspn/splmtrydata-elementin alle disputed.xsd mukainen supplementary data, jossa listataan kiistanalaisten tietueiden tunnisteet. Tällaista tietoa ei ole mainittu viidennessä rahanpesudirektiivissä tai PMJ-laissa tietona, joka pitäisi tiedonhakujärjestelmän kautta voida luovuttaa. FA pitää välttämättömänä, että jatkossa varmistetaan, että Tullin tekniset määräykset rajoitetaan tiukasti niihin tietoihin, jotka luottolaitokset ovat lain perusteella velvollisia luovuttamaan. Ennen luovutettavien tietojen piirin laajentamista on myös selvitettävä, millaisia muutoksia ja kustannuksia näiden laajennusten toteuttaminen luottolaitoksille aiheuttaa.

FINANSSIALA RY

Taina Ahvenjärvi


[1] Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1153 säännöistä, joilla helpotetaan rahoitus- ja muiden tietojen käyttöä tiettyjen rikosten ennalta estämistä, paljastamista, tutkimista tai niihin liittyviä syytetoimia varten, ja neuvoston päätöksen 2000/642/YOS kumoamisesta

[2] Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018)

[3] Euroopan parlamentin ja neuvoston direktiiviä (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta

[4] Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)

[5] Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/843 rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen annetun direktiivin (EU) 2015/849 ja direktiivien 2009/138/EY ja 2013/36/EU muuttamisesta

Jäikö kysyttävää?

|

Aiheen asiantuntijat