1.1  Tausta

Pankki- ja maksutilien valvontajärjestelmä perustettiin pankki- ja maksutilien valvontajärjestelmästä annetulla lailla (571/2019), jolla osaltaan pantiin täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/843, rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen annetun direktiivin (EU) 2015/849 ja direktiivien 2009/138/EY ja 2013/36/EU muuttamisesta (jäljempänä viides rahanpesudirektiivi ). Viidennen rahanpesudirektiivin 32 a artiklassa edellytetään, että jäsenvaltiot ottavat käyttöön keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tietojenhakujärjestelmiä, jotka mahdollistavat pankki- ja maksutilien sekä tallelokeroiden haltijoiden oikea-aikaisen tunnistamisen.  

Pankki- ja maksutilien valvontajärjestelmästä annettua lakia on muutettu muun muassa eduskunnan 9.9.2022 hyväksymällä hallituksen esityksellä laeiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain ja rahanpesun selvittelykeskuksesta annetun lain muuttamisesta (HE 163/2021 vp). Hallituksen esitys liittyi Euroopan parlamentin ja neuvoston direktiiviin (EU) 2019/1153 säännöistä, joilla helpotetaan rahoitus- ja muiden tietojen käyttöä tiettyjen rikosten ennalta estämistä, paljastamista, tutkimista tai niihin liittyviä syytetoimia varten (jäljempänä rahoitustietodirektiivi ). Esityksellä pankki- ja maksutilien valvontajärjestelmän käyttöoikeus lisättiin Verohallinnolle, Tullille, Ulosottolaitokselle, poliisille, Rajavartiolaitokselle, Puolustusvoimille ja Finanssivalvonnalle liittyen voimassaolevassa lainsäädännössä edellä mainituille viranomaisille säädettyihin toimivaltuuksiin.  

Pankki- ja maksutilien valvontajärjestelmä koostuu luottolaitosten ylläpitämistä pankki- ja maksutilien tiedonhakujärjestelmistä, Tullin ylläpitämästä pankki- ja maksutilirekisteristä sekä koostavasta sovelluksesta. Järjestelmää käyttävät toimivaltaiset viranomaiset ovat rakentaneet kyselypohjaisen rajapinnan koostavaan sovellukseen. Pankki- ja maksutilirekisteriin tallennetaan tietoja maksulaitosten, sähkörahayhteisöjen ja kryptovarapalvelun tarjoajien asiakkuuksista, asiakastileistä sekä tallelokeroista. Maksulaitokset, sähkörahayhteisöt, kryptovarapalvelun tarjoajat ja luvansaaneet luottolaitokset päivittävät laissa määritellyt tiedot tilirekisteriin Tullin toteuttaman rajapinnan kautta. Luottolaitokset voivat luovuttaa tiedot tilirekisteriin Finanssivalvonnan luvalla tietyin edellytyksin, mutta lähtökohtaisesti luottolaitoksen on ylläpidettävä sähköistä pankki- ja maksutilien tiedonhakujärjestelmää, jonka avulla se välittää laissa määritellyt tiedot toimivaltaisille viranomaisille. Tiedonhakujärjestelmän tarkoituksena on mahdollistaa henkilötietojen ja pankkisalaisuuden piiriin kuuluvien varallisuustietojen luovuttaminen sähköisesti luottolaitoksilta laissa määriteltäville viranomaisille näiden lakisääteistä tehtävää varten. Tiedonhakujärjestelmän tietoja ei varastoida pankki- ja maksutilien valvontajärjestelmään, vaan ne luovutetaan luottolaitokselta suoraan viranomaiselle Tullin ylläpitämän koostavan sovelluksen avulla.  

Pankki- ja maksutilien valvontajärjestelmä sisältää siis viidennessä rahanpesudirektiivissä säädetyt tiedot, eli asiakkuutta koskevat tiedot, mutta ei saldo- ja tilitapahtumatietoja. Hallituksen esityksessä laiksi pankki- ja maksutilien valvontajärjestelmästä ja eräiksi siihen liittyviksi laeiksi (HE 167/2018 vp) ehdotettiin tilin saldo- ja tilitapahtumatietojen lisäämistä valvontajärjestelmään. Esityksen mukaan saldo- ja tilitapahtumatiedot olisi lisätty osaksi automatisoidun järjestelmän tietosisältöä. Perustuslakivaliokunta piti erityisen valitettavana, että hallituksen esityksessä selostettiin tuolloin kansallisen liikkumavaran alaa puutteellisesti. Valiokunnan mukaan ehdotetun kaltainen sääntely, jolla olisi mahdollistettu yksityiselämän suojan ydinalueelle ulottuva arkaluonteisten henkilötietojen käsittely salassapitovelvollisuuden estämättä, olisi ollut valmisteltava, perusteltava ja laadittava sisällöltään erityisen huolellisesti perustuslain asettamat vaatimukset huomioiden (PeVL 48/2018 vp, s. 7). Eduskuntakäsittelyssä hallituksen esitysluonnoksessa esitettyä pankki- ja maksutilien valvontajärjestelmän tietosisältöä supistettiin merkittävästi. Hallituksen esityksen laeiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain ja rahanpesun selvittelykeskuksesta annetun lain muuttamisesta valmistellussa työryhmässä tarkasteltiin uudelleen mahdollisuutta lisätä saldo- ja tilitapahtumatiedot pankki- ja maksutilien valvontajärjestelmään. Viranomaiset näkivät asian edistämisen erittäin tärkeäksi, mutta lainsäädäntöhankkeen tiukasta aikataulusta johtuen työryhmä katsoi tarpeelliseksi siirtää asian valmistelun erilliseksi hankkeeksi. 

Kyseisen hallituksen esityksen eduskuntakäsittelyssä talous- ja hallintovaliokunnat painottivat lausunnoissaan tilitapahtumatietojen viemistä pankki- ja maksutilien valvontajärjestelmään. Talousvaliokunnan lausunnon (TavL 5/2022 vp) mukaan tilitietojen luovuttamiseen sovelletaan monipolvista sääntelyä sen kuitenkaan kattamatta täysin tilitapahtumatietojen käsittelyä. Pankki- ja maksutilien valvontajärjestelmää koskevan lain eduskuntakäsittelyssä (HE 167/ 2018 vp — TaVM 43/2018 vp — PeVL 48/2018 vp) tilitapahtumatiedot luonnehdittiin yksityisyyden suojan piiriin kuuluviksi tiedoiksi. Tämän johdosta tilitietoja ja tilitapahtumatietoja käsitellään toisistaan poikkeavin tavoin: yksityisyyden suojan piirin kuuluvia arkaluonteisia tietoja ei voida käsitellä samoin järjestelyin kuin muita tietoja. Talousvaliokunta katsoi, että ehdotettu lainsäädäntö ei ratkaise nykytilan ongelmaa viranomaisten menettelyjen hajanaisuudesta ja manuaalisuudesta, kun kysymys on arkaluonteisten, yksityisyyden suojan piiriin kuuluvista tilitapahtumatiedoista. Valiokunta piti perusteltuna kantaa, jonka mukaan tietojen käsittelyn manuaalisuus ei ole hyvän tietosuojan tason tae. Arkaluontoisiakin tietoja voidaan käsitellä automatisoidusti, kun edellytetään, että järjestelmien käyttöoikeuksien hallinta ja tietoturva on asianmukaisesti ratkaistu. Olennaista on, että tietojen pyytämisestä ja katselusta jää sellaiset lokimerkinnät, ettei niitä voi jälkikäteen muuttaa.  

Hallintovaliokunta yhtyi omassa mietinnössään (HaVM 22/2022) talousvaliokunnan näkemyksiin ja piti välttämättömänä, että tilitapahtumatietojen tuominen järjestelmän piiriin otetaan nopealla aikataululla valmisteltavaksi, sillä nykyinen järjestelmä aiheuttaa epätietoisuutta ja päällekkäisiä kustannuksia sekä viranomaisissa että yksityisellä sektorilla. Hallintovaliokunta katsoi, että järjestely, jossa tilinumerot on viety monimutkaisen sääntelyn ja tietosuojan taakse, mutta joka ei kata tilitapahtumatietojen käsittelyä, ei ole yksilönsuojan, tietosuojan eikä rikoshyödyn jäljittämisen ja poisottamisen kannalta eikä myöskään järjestelmästä aiheutuvat kustannukset huomioiden uskottava tai kestävä ratkaisu. 

Sisäministeriö asetti edellä mainitun mukaisesti 2.2.2022 asian edistämiseksi esiselvityshankkeen. Esiselvityshankkeen työryhmän 16.6.2023 päivätyssä loppuraportissa todetaan, että tilitapahtumat tulisi lisätä pankki- ja maksutilien valvontajärjestelmään. 

Pääministeri Petteri Orpon hallituksen ohjelman mukaan hallitus jatkaa työtä veronkierron ja harmaan talouden torjumiseksi. Hallitusohjelman yhtenä tavoitteena on myös vahvistaa rikostorjuntaa; hallitus ryhtyy estämään lainsäädännöllisin toimin rahanpesua ja tehostaa erityisesti rahanpesuun liittyvää rikoshyödyn takaisinsaamista. Esitys tukee hallitusohjelmassa mainittujen tavoitteiden toteutumista.  

Tullin tilirekisterihanke

Tulli koordinoi Tilirekisterihanketta, jolla on rakennettu ja jolla kehitetään pankki- ja maksutilien valvontajärjestelmää. Pankki- ja maksutilien valvontajärjestelmä muodostuu voimassaolevan pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaan pankki- ja maksutilirekisteristä (tilirekisteri), pankki- ja maksutilien tiedonhakujärjestelmästä (tiedonhakujärjestelmä) sekä koostavasta sovelluksesta. Tulli on rakentanut tilirekisterin ja on tilirekisterin rekisterinpitäjä, johon tallennetaan tietoja maksulaitosten, sähkörahayhteisöjen ja kryptovarapalvelun tarjoajien asiakkuuksista, asiakastileistä sekä tallelokeroista. Mainitut tahot päivittävät laissa määritellyt tiedot tilirekisteriin Tullin toteuttaman rajapinnan kautta. Myös luottolaitokset voivat pankki- ja maksutilien tiedonhakujärjestelmän hakurajapinnan rakentamisen sijaan luovuttaa tiedot tilirekisteriin, jos Finanssivalvonta on myöntänyt luvan. Luottolaitokset ylläpitävät kuitenkin lähtökohtaisesti omia tiedonhakujärjestelmiään, joiden avulla luottolaitokset toimittavat tiedot asiakkuuksista, asiakastileistä, edunsaajista sekä tallelokeroista koostavan sovelluksen avulla toimivaltaisille viranomaisille. Myös maksulaitokset, sähkörahayhteisöt ja kryptovarapalvelun tarjoajat voivat halutessaan toteuttaa tiedonhakujärjestelmän.  

Tulli on antanut määräyksiä teknisistä vaatimuksista tilirekisteriin tietoja tallentaville tahoille (27.10.2022) sekä tiedonhakujärjestelmien kyselyrajapinnasta (26.10.2022). Kukin tiedonhakujärjestelmän toteuttava luottolaitos tai muu tiedonluovuttaja toteuttaa määräyksen mukaisen tiedonhakujärjestelmän, joka sopii sen omiin järjestelmiin ja arkkitehtuuriin. Pankki- ja maksutilien valvontajärjestelmästä annetussa laissa säädetyt tiedot välitetään koostavan sovelluksen avulla. Koostava sovellus on automatisoitu ratkaisu, jonka kautta Tulli välittää pankki- ja maksutilien valvontajärjestelmää koskevassa laissa mainittujen toimivaltaisten viranomaisten tietopyynnöt tilitiedoista tilirekisteriin ja tiedonhakujärjestelmiin sekä toimittaa vastaanotetut tiedot tietopyynnön mukaisesti toimivaltaiselle viranomaiselle noudettavaksi. Koostava sovellus otettiin käyttöön vuonna 2023. Kaikki tiedonluovuttajat ovat toiminnassa, ja tiedonhakujärjestelmien kautta on saatavissa yli 95 % pankki- ja maksutilien valvontajärjestelmän tiedoista. Loput tiedot saadaan pankki- ja maksutilirekisteristä. Tilirekisteri on tuotanto- ja operatiivisessa käytössä.  

Pankki- ja maksutilien valvontajärjestelmä mahdollistaa teknisen toteuttamismallin myös saldo-, tilitapahtuma- ja muiden asiakkuuteen liittyvien tietojen välittämiseen. Saldo- ja tilitapahtumatiedot tultaisiin liittämään järjestelmään luvussa 4 esitellyn toteutustavan mukaisesti. Tulli vastaa pankki- ja maksutilien valvontajärjestelmän kehittämisestä ja siten myös uuden esitetyn toiminnallisuuden teknisten ratkaisujen toteuttamisesta. 

Tilitapahtumatietojen kyselymahdollisuuden lisääminen pankki- ja maksutilien valvontajärjestelmään, jonka esiedellytys on ollut koostavan sovelluksen toteuttaminen, on esitetty Suomen kestävän kasvun ohjelmassa elpymis- ja palautumissuunnitelmassa (RRP) toteutettavan osana tehokkaan rahanpesun estämisen valvonnan ja täytäntöönpanon varmistamista koskevaa uudistusta (koodi P2C3R1), jonka edistymistä seurataan tulevina vuosina myös Euroopan komission (jäljempänä komissio ) vuoden 2022 Suomelle antamien maakohtaisten suositusten osalta. Esityksen käsittelyssä on syytä huomata, että mikäli tilitapahtumatietojen kyselymahdollisuus on lisätty lakiin pankki- ja maksutilien valvontajärjestelmästä ja tuotantokäyttö hyödyntäen Tullin tätä käyttötarkoitusta varten kehittämiä rakenteita on aloitettu 30.6.2026 mennessä, on Suomi oikeutettu hakemaan komissiolta 1,6 miljoonan euron maksatuksia elpymis- ja palautumistukivälineestä (RRF).  

1.2  Valmistelu

Sisäministeriö asetti 7.3.2024 poikkihallinnollisen työryhmän hallituksen esityksen valmistelemiseksi kaudelle 11.3.2024-31.7.2025. Työryhmän jäseniksi nimettiin edustajat valtiovarainministeriön rahoitusmarkkina – ja vero-osastoilta, puolustusministeriöstä, Tullista, Poliisihallituksesta, suojelupoliisista, keskusrikospoliisista, Verohallinnosta, Ulosottolaitoksesta, Finanssivalvonnasta ja Finanssiala ry:stä. Lisäksi työryhmätyössä on ollut mukana oikeusministeriön nimeämä asiantuntijajäsen erityisesti tietosuoja-asioihin liittyen. Valmistelun yhteydessä työryhmä on kuullut oikeusministeriön ja tietosuojavaltuutetun edustajia sekä luottolaitosten edustajien näkemyksiä liittyen esityksen vaikutuksista tietoa luovuttaviin luottolaitoksiin. Osa työryhmän työstä toteutettiin kirjallisessa menettelyssä. 

Lainsäädäntöhanke on jatkoa sisäministeriön 2.2.2022 asettamalle esiselvityshankkeelle, jonka työryhmä selvitti tilitapahtumatiedustelujen kyselymahdollisuuden lisäämistä pankki- ja maksutilien valvontajärjestelmään. Hankkeen 16.6.2023 julkaistussa loppuraportissa työryhmä suositteli, että hallituksen esityksen valmistelu aloitetaan mahdollisimman pian työryhmän loppuraportin suositusten mukaisesti.  

Työryhmä on kiinnittänyt erityistä huomiota tietosuojasääntelyyn ja perustuslain (731/1999) 10 §:ssä turvattuun yksityiselämän ja henkilötietojen suojaan ja niiden asettamiin edellytyksiin saldo- ja tilitapahtumatietojen luovutusta ja välittämistä koskevan sähköistämisen ja keskittämisen osalta. 

Lausuntokierros järjestettiin 10.10.2024- 21.11.2024. 

Hallituksen esityksen valmisteluasiakirjat ovat julkisessa palvelussa osoitteessa https://intermin.fi/hankkeet tunnuksella SM006:00/2024 .  

2.1  Lainsäädäntö

Laki luottolaitostoiminnasta

Luottolaitostoiminnasta annetun lain (610/2014) 15 luvun 14 §:ssä säädetään pankkisalaisuudesta. Pankkisalaisuudella tarkoitetaan sellaisen tiedon suojaamista, jonka perusteella luottolaitoksen asiakas voidaan yksilöidä. Pankkisalaisuuden piiriin kuuluvia tietoja ovat ennen asiakassuhdetta ja sen aikana syntyneet tiedot, jotka luottolaitos on saanut. Asiakas voi itse antaa suostumuksensa suullisesti tai kirjallisesti pankkisalaisuuden piiriin kuuluvan tiedon luovuttamiseen, tai voi valtuuttaa valtakirjalla toisen henkilön saamaan tietoa pankkiasioistaan. Pykälän 1 momentin mukaan henkilön, joka luottolaitoksen tai sen kanssa samaan konsolidointiryhmään kuuluvan yrityksen, luottolaitosten yhteenliittymän taikka luottolaitoksen asiamiehen tai muun luottolaitoksen lukuun toimivan yrityksen toimielimen jäsenenä tai varajäsenenä tai niiden palveluksessa taikka niiden toimeksiannosta tehtävää suorittaessaan on saanut tietää luottolaitoksen tai sen kanssa samaan konsolidointiryhmään tai rahoitus- ja vakuutusryhmittymien valvonnasta annetussa laissa tarkoitettuun ryhmittymään kuuluvan yrityksen asiakkaan tai muun sen toimintaan liittyvän henkilön taloudellista asemaa tai yksityisen henkilö-kohtaisia oloja koskevan seikan taikka liike- tai ammattisalaisuuden, on velvollinen pitämään sen salassa, jollei se, jonka hyväksi vaitiolovelvollisuus on säädetty, anna suostumustaan sen ilmaisemiseen. Salassa pidettäviä tietoja ei saa antaa myöskään yhtiökokoukselle, isäntien kokoukselle, osuuskunnan kokoukselle tai edustajistolle taikka hypoteekkiyhdistyksen kokoukselle eikä kokoukseen osallistuvalle osakkeenomistajalle tai jäsenelle.  

Luottolaitoksella ja sen kanssa samaan konsolidointiryhmään kuuluvalla yrityksellä on velvollisuus antaa 14 §:n 1 momentissa tarkoitettuja tietoja syyttäjä- ja esitutkintaviranomaiselle rikoksen selvittämiseksi sekä muulle viranomaiselle, jolla on lain mukaan oikeus saada sellaisia tietoja.  

Lain 21 luvun 4 §:ssä säädetään salassapitovelvollisuuden rikkomisesta. Rangaistus salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain (39/1889) 38 luvun 1 ja 2 §:n mukaan, jollei teosta muualla laissa säädetä ankarampaa rangaistusta. 

Laki maksulaitoksista

Maksulaitoksen toiminnasta säädetään maksulaitoslaissa (297/2010) ja maksupalvelulaissa (290/2010). Maksulaitoslain 37 §:ssä säädetään tietojen salassapitovelvollisuudesta. Pykälän 1 momentin mukaan henkilön, joka maksulaitoksen tai sen kanssa samaan ryhmään kuuluvan yrityksen, maksulaitoksen asiamiehen tai muun maksulaitoksen lukuun toimivan yrityksen toimielimen jäsenenä tai varajäsenenä tai niiden palveluksessa taikka niiden toimeksiannosta tehtävää suorittaessaan on saanut tietää maksulaitoksen tai sen kanssa samaan ryhmään kuuluvan yrityksen asiakkaan tai muun sen toimintaan liittyvän henkilön taloudellista asemaa tai yksityisen henkilökohtaisia oloja koskevan seikan taikka liike- tai ammattisalaisuuden, on velvollinen pitämään sen salassa, ellei se, jonka hyväksi vaitiolovelvollisuus on säädetty, anna suostumustaan sen ilmaisemiseen. Salassa pidettäviä tietoja ei saa antaa myöskään yhtiökokoukselle, osuuskunnan kokoukselle tai edustajistolle eikä kokoukseen osallistuvalle osakkeenomistajalle tai jäsenelle.  

Maksulaitoksella ja sen kanssa samaan ryhmään kuuluvalla yrityksellä on sen estämättä, mitä salassapitovelvollisuudesta säädetään, velvollisuus antaa 37 §:n 1 momentissa tarkoitettuja tietoja syyttäjä- ja esitutkintaviranomaiselle rikoksen selvittämiseksi sekä muulle viranomaiselle, jolla on lain mukaan oikeus saada sellaisia tietoja 

Laki pankki- ja maksutilien valvontajärjestelmästä

Pankki- ja maksutilien valvontajärjestelmästä annetussa laissa säädetään pankki- ja maksutilien valvontajärjestelmästä, joka muodostuu luottolaitosten ylläpitämistä pankki- ja maksutilien tiedonhakujärjestelmistä, pankki- ja maksutilirekisteristä sekä koostavasta sovelluksesta. Hallituksen esityksessä 167/2018 vp katsottiin, että tiedonhakujärjestelmän ja tilirekisterin yhdistelmän etuna on, että sen avulla on mahdollista huomioida eri ilmoitusvelvollisryhmien toiminnan erityispiirteet ja rahanpesun ja terrorismin rahoittamisen riskit sekä vähentää rekisterin riskejä muun muassa siitä syystä, että rekisterin tietomassa on pienempi.  

Lain tarkoituksena on sen 1 §:n mukaan edistää viranomaisten sähköistä tiedonsaantia pankki- ja maksutileistä sekä tehostaa viranomaisten tiedustelujen oikeaa kohdentumista. Laissa määritellään ne tiedot, jotka tallennetaan pankki- ja maksutilirekisteriin, ja joita luottolaitosten tulee välittää pankki- ja maksutilien tiedonhakujärjestelmän kautta sekä ne toimivaltaiset viranomaiset, joilla on pääsy tiedonhakujärjestelmässä ja tilirekisterissä oleviin tietoihin.  

Pankki- ja maksutilien valvontajärjestelmästä annettua lakia on muutettu muutoslailla 730/2020, 378/2021, 814/2022 ja 415/2024. Muutoslailla 730/2020 korjattiin sellaisia lain määritelmiä, jotka olivat aiheuttaneet epäselvyyttä lain soveltamisessa ja korjattiin ja tarkennettiin tiedonhakujärjestelmän kautta luovutettavia ja pankki- ja maksutilirekisteriin tallennettavia tietoja. Erityisesti lainmuutoksilla tarkennettiin tietoja luovuttavien eri toimijoiden osalta, mitä tietoja kukin toimija on lain mukaan velvollinen luovuttamaan tiedonhakujärjestelmän kautta tai antamaan Tullille pankki- ja maksutilirekisteriin tallennettavaksi. Muutoslailla 378/2021 lisättiin tilin käyttöoikeudenhaltijoita koskevien tietojen ilmoitusvelvollisuus tilirekisteriin myös oikeushenkilöiden osalta. 

Muutoslaki 814/2022 liittyi rahoitustietodirektiivin täytäntöönpanoon. Lailla täydennettiin lisäksi viidennen rahanpesudirektiivin täytäntöönpanoa ja sääntelyä kansallisista tarpeista johtuen. Pankki- ja maksutilien valvontajärjestelmästä annetussa laissa säädettyjen voimassaolevien pääsyoikeuksien lisäksi lisättiin Verohallinnolle, Tullille, Ulosottolaitokselle, poliisille, Rajavartiolaitokselle, Puolustusvoimille ja Finanssivalvonnalle pääsy pankki- ja maksutilien valvontajärjestelmään liittyen voimassaolevassa lainsäädännössä edellä mainituille viranomaisille säädettyihin toimivaltuuksiin. Lisäksi säädettiin Tullille velvoite laatia ja ylläpitää koostavaa sovellusta tietojen välittämiseksi pankki- ja maksutilien valvontajärjestelmästä, jolloin jokaisen toimivaltaisen viranomaisen ei tarvitsisi rakentaa omia rajapintojaan niihin järjestelmiin, joista pankki- ja maksutilien valvontajärjestelmä koostuu. Lainmuutokset tulivat voimaan 15.9.2022 pois lukien lain 7 a §, jota on sovellettu 1.11.2022 lähtien. Muutoslailla 415/2024 on lisäksi muutettu virtuaalivaluutan tarjoajia koskeva termistö vastaamaan kryptovarojen markkinoinnista annetun asetuksen (EU 2023/1114) mukaista kryptovarapalvelun tarjoajien määritelmää. 

Lain 3 §:ssä on määritelty ne viranomaiset ja käyttötarkoitukset, joita varten pankki- ja maksutilien valvontajärjestelmästä voidaan luovuttaa tietoa. Oikeus käyttää pankki- ja maksutilien valvontajärjestelmää on 3 §:n 

1) kohdan mukaan poliisilla, rahanpesun selvittelykeskuksella, Tullilla ja Rajavartiolaitoksella Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794, jäljempänä Europol-asetus , liitteen I mukaisten rikosten ennalta estämiseksi, paljastamiseksi ja tutkimiseksi;  

2) kohdan mukaan Verohallinnolla verotusmenettelystä annetun lain (1558/1995) 19 §:ssä säädetyn tiedonantovelvollisuuden kohdentamiseksi sekä hallinnollisesta yhteistyöstä verotuksen alalla sekä direktiivin 77/799/ETY kumoamisesta annetun neuvoston direktiivin lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja direktiivin soveltamisesta annetun lain (185/2013) 3 §:n mukaiseen tarkoitukseen;  

3) kohdan mukaan Tullilla tullilain (304/2016) 102 §:n 2 momentissa säädetyn tiedonantovelvollisuuden kohdentamiseksi verotus- ja verovalvontatehtävää varten sekä esitutkintaan ja rikostorjunnasta Tullissa annetun lain (623/2015) 1 luvun 2 §:n 3 ja 4 kohdassa tarkoitettuihin tullirikosten estämis- ja paljastamistehtäviin; 

4) kohdan mukaan ulosottoviranomaisella ulosottokaaressa (705/2007) tarkoitettua täytäntöönpanoa varten; 

5) kohdan mukaan rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa (444/2017) tarkoitetuilla toimivaltaisilla viranomaisilla ja asianajajayhdistyksellä mainitussa laissa tarkoitettuun valvontatehtävän suorittamiseen;  

6) kohdan mukaan rahanpesun selvittelykeskuksella rahanpesun selvittelykeskuksesta annetun lain (445/2017) 2 §:n 1 momentin 1–4, 7 ja 8 kohdassa tarkoitettujen tehtävien hoitamiseen;  

7) kohdan mukaan poliisilla ja Rajavartiolaitoksella rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen sekä syyteharkintaan saattamiseen ja kansallisen turvallisuuden ylläpitämiseen, poliisilla rahankeräyslaissa (863/2019) tarkoitettuun rahankeräysten valvontatehtävän suorittamiseen sekä poliisilain (872/2011) 6 luvun mukaiseen poliisitutkintaan tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii;  

8) kohdan mukaan Puolustusvoimilla sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetussa laissa (255/2014) tarkoitettuun rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen sekä sotilastiedustelusta annetun lain (590/2019) 104 §:n mukaisesti ja  

9) kohdan mukaan Finanssivalvonnalla Finanssivalvonnasta annetun lain (878/2008) 3 §:ssä tarkoitettujen tehtävien suorittamiseen. 

Edellytyksenä pankki- ja maksutilien valvontajärjestelmän käytölle on pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaan se, että tiedot ovat välttämättömiä edellä lueteltujen tehtävien suorittamiseksi ja viranomaisella on muualla laissa säädetty oikeus saada pankki- ja valvontajärjestelmään luovutetut ja tallennetut tiedot. 

Lain 4 §:n 1 momentin mukaan luottolaitoksen on ylläpidettävä sähköistä pankki- ja maksutilien tiedonhakujärjestelmää, jonka avulla se välittää välittömästi ja salassapitosäännösten estämättä 2 momentissa tarkoitettuja tietoja asiakkaistaan toimivaltaiselle viranomaiselle. Jos se on luottolaitoksen koko sekä toiminnan luonne ja laajuus huomioon ottaen perusteltua, luottolaitos voi poiketa tiedonhakujärjestelmän ylläpitovelvoitteesta, mikäli Finanssivalvonta myöntää siihen luvan. Lain 4 §:n 2 momentissa säädetään luovutettavista tiedoista. Nämä tiedot luovutetaan toimivaltaiselle viranomaiselle, jos toimivaltainen viranomainen on ne salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä oikeutettu muun lain nojalla saamaan. Tietoja ovat tilinhaltijan ja sen käyttöoikeudenhaltijan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä asiakkuuden alkamis- ja päättymispäivä, rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 1 luvun 5–7 §:ssä tarkoitettujen tosiasiallisten edunsaajien täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, pankki- ja maksutilin IBAN-numero tai muu yksilöintitunnus sekä tilin avaamis- ja sulkemispäivä, tallelokeron vuokraajan ja sen käyttöoikeutetun täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos vuokraaja on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä tallelokeron yksilöintitieto ja vuokra-ajan pituus. Lisäksi 4 §:ssä säädetään, että toimivaltaisen viranomaisen on yksilöitävä säännös, jonka nojalla se pyytää tietoa. Luottolaitoksen on toimitettava tieto toimivaltaiselle viranomaiselle maksutta. Luottolaitokset vastaavat luovutettavien tietojen oikeellisuudesta sekä tietojen oikaisemisesta ilman aiheetonta viivytystä. Asianajajan asiakasvaratilien yhteyteen on merkittävä nimenomainen tieto siitä, että pankki- tai maksutili on asianajajan asiakasvarojen tili, jota koskee asianajajan salassapitovelvollisuus. Tietoja asiakasvaratileistä ei saa luovuttaa tiedonhakujärjestelmän kautta, vaan ainoastaan tiedon siitä, että kyseessä on asianajajan asiakasvaratili sekä minkä asianajajan asiakasvaratili on kyseessä. 

Pankki- ja maksutilien valvontajärjestelmästä annetun lain 5 §:ssä säädetään pankki- ja maksutilirekisteristä, jonka rekisterinpitäjänä toimii Tulli ja 6 §:ssä säädetään pankki- ja maksutilirekisteriin tallennettavista tiedoista. Pankki- ja maksutilirekisteriin tallennetaan tiedot maksulaitoksen, sähkörahayhteisön ja kryptovarapalvelun tarjoajan rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 3 luvun 2 §:ssä tunnistettavaksi säädetystä asiakkaasta. Tallennettavia tietoja ovat täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen ja asiakkuuden alkamis- ja päättymispäivä sekä maksutilin IBAN-numero tai muu yksilöintitunnus. Pankki- ja maksutilirekisterin tiedot ovat lain 1 §:n 4 momentin mukaan salassa pidettäviä. 

Jos luottolaitos on saanut Finanssivalvonnalta lain 4 §:n 1 momentissa tarkoitetun luvan poiketa tiedonhakujärjestelmän ylläpitovelvoitteesta, pankki- ja maksutilirekisteriin tallennetaan tilinhaltijan ja sen käyttöoikeudenhaltijan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä asiakkuuden alkamis- ja päättymispäivä, rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 1 luvun 5–7 §:ssä tarkoitettujen tosiasiallisten edunsaajien täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, pankki- ja maksutilin IBAN-numero tai muu yksilöintitunnus sekä tilin avaamis- ja sulkemispäivä, tallelokeron vuokraajan ja sen käyttöoikeutetun täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos vuokraaja on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä tallelokeron yksilöintitieto ja vuokra-ajan pituus. Tiedot on annettava sähköisesti. Tulli voi antaa tarkempia määräyksiä siitä, mitä sähköistä menettelyä käyttäen ja millä tavoin varmennettuina tietoja voidaan toimittaa. Laissa edellytetään, että asianajajan asiakasvaratilien yhteyteen on merkittävä nimenomainen tieto siitä, että pankki- tai maksutili on asianajajan asiakasvarojen tili, jota koskee asianajajan salassapitovelvollisuus. Tietoja asiakasvaratileistä ei saa luovuttaa rekisteriin. 

Lain 7 §:ssä säädetään Tullin tehtävästä luovuttaa pankki- ja maksutilirekisterin tietoja toimivaltaisille viranomaisille. Tiedot voidaan luovuttaa sen estämättä, mitä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus, jäljempänä tietosuoja-asetus ) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 18 artiklan 1 kohdan a alakohdassa säädetään rekisteröidyn oikeudesta siihen, että rekisterinpitäjä rajoittaa henkilötietojen käsittelyä. Tulli ylläpitää koostavaa sovellusta, jolla 4 ja 6 §:ssä tarkoitetut tiedot luovutetaan siirtämällä ne pankki- ja maksutilien valvontajärjestelmästä toimivaltaisille viranomaisille. Tulli on koostavalla sovelluksella käsiteltävien henkilötietojen rekisterinpitäjä. Tulli välittää 3 §:ssä tarkoitettujen viranomaisten 4 ja 6 §:ssä säädettyjä tietoja koskevat tietopyynnöt, joiden osalta on yksilöity käyttötarkoitus, pseudonymisoituna luottolaitokselle sekä siirtää pankki- ja maksutilien valvontajärjestelmästä vastaanotetut tiedot tietopyynnön mukaisesti toimivaltaiselle viranomaiselle koostavalla sovelluksella. Tietopyyntö ja siihen annetun vastauksen sisältö ovat salassa pidettäviä. Koostavalla sovelluksella tapahtuva henkilötietojen käsittely on automaattista. Koostavan sovelluksen kautta luovutetut tiedot on poistettava sovelluksesta välittömästi sen jälkeen, kun tiedot on luovutettu.  

Poiketen siitä, mitä tietosuoja-asetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada pääsy tietoihin ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018, jäljempänä rikosasioiden tietosuojalaki ) 23 §:ssä rekisteröidyn tarkastusoikeudesta, pääsyä tietoihin tai tarkastusoikeutta ei ole, kun tietoja käsitellään koostavalla sovelluksella. Rekisteröidyn oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä säädetään mainitun lain 29 §:ssä ja tietosuojalain (1050/2018) 34 §:ssä. Oikeuksien käyttämistä koskeva pyyntö on esitettävä tietosuojavaltuutetulle taikka Tullille noudattaen henkilötietojen käsittelystä Tullissa annetun lain (650/2019) 35 §:n 2 momenttia. Tullille esitetty pyyntö on toimitettava viipymättä tietosuojavaltuutetulle.  

Tullin on ylläpidettävä lokirekisteriä pankki- ja maksutilirekisterin sekä koostavan sovelluksen kautta tapahtuvan pankki- ja maksutilien tiedonhakujärjestelmän käyttökerroista. Tiedot on kerättävä vähintään oikeusperustasta, jonka nojalla tietoja pyydetään, tiedustelun tai haun päivämäärästä ja kellonajasta, tiedustelussa tai haussa käytettyjen tietojen tyypistä, tiedustelun tai haun tuloksista ja rekisteriä käyttäneen toimivaltaisen viranomaisen nimestä. Viranomaisen on ylläpidettävä samat tiedot sisältävää lokirekisteriä tiedonhakujärjestelmän käyttökerroista. Lisäksi viranomaisen on pidettävä lokikirjaa, josta käy ilmi tiedonhakujärjestelmästä tiedustelun tai haun suorittaneen henkilön ja sen määränneen henkilön tunnistetiedot. Toimivaltaisen viranomaisen on lisäksi nimettävä henkilö, joka valvoo tiedonhakujärjestelmän käyttöä. Tulli rekisterinpitäjänä valvoo pankki- ja maksutilirekisterin käyttöä. 

2.2  Viranomaisten oikeus saada saldo- ja tilitapahtumatietoja ja käytänteet tietojen saamiseksi

Poliisi

Poliisilla on poliisilain 4 luvun 3 §:n 1 momentin mukaan oikeus saada päällystöön kuuluvan poliisimiehen pyynnöstä rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Poliisilla on sama oikeus saada 6 luvussa tarkoitetussa poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Kyseinen tiedonsaantioikeus kattaa saldo- ja tilitapahtumatiedot, joita poliisi sille laissa edellä mainittujen tehtäviensä hoitamisessa tarvitsee. Poliisin toimivalta kattaa kaikki rikoslajit. Erityisten henkilötietojen käsittely, joita tilitapahtumatietojen on katsottu olevan, on kuitenkin rajattu henkilötietojen käsittelystä poliisitoimesta annetun lain 2 luvun 15 § 1 momentin mukaisesti välttämättömyysvaatimukseen. Poliisilain perusteella tehdyissä kyselyissä tietosisällöt on lueteltu tyhjentävästi ja päätöksen kyseisten tietojen hankkimisesta tekee päällystöön kuuluva poliisimies kussakin yksittäistapauksessa erikseen. Tietojen hankinnasta tehdään käytännössä erillinen päätös ja pyyntö.  

Poliisi toteuttaa saldo- ja tilitapahtumia koskevan tiedonhankinnan sen sähköisen pankkitiedustelujärjestelmän avulla, joka koostuu neljästä erillisestä järjestelmästä. Tiedustelut tehdään Sapatti-järjestelmän kautta, jotka välitetään eteenpäin pankeille toistaiseksi sähköpostitse poliisin turvapostin kautta.  

Suojelupoliisi

Suojelupoliisin oikeudesta saada tietoa yksityisiltä tahoilta salassapidon estämättä rikoksen estämiseksi säädetään poliisilain 4 luvun 3 §:n 1 momentissa, jonka mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Säännöksen tarkoittama tiedonsaantioikeus koskee siten muun muassa pankkisalaisuuden alaisia ja muita finanssilaitosten asiakassuhteisiin liittyviä tietoja. Suojelupoliisin siviilitiedustelutehtävissä sovellettavasta oikeudesta saada tietoja yksityiseltä säädetään poliisilain 5 a luvun 50 §:ssä. Myös poliisilain 5 a luvun 50 §:ä kattaa nimenomaisen mainintansa perusteella pankkisalaisuuden alaiset ja muuhun finanssitoimintaan liittyvät asiakastiedot. Se, sovelletaanko poliisilain 4 luvun 3 §:ssä vai poliisilain 5 a luvun 50 §:ssä tarkoitettua tiedonsaantioikeutta, määräytyy yksinomaan sen perusteella, tarvitaanko tiedot rikoksen estämistä vai siviilitiedustelutehtävän suorittamista varten. Vastaavasti kun muunkin poliisin osalta, päätöksen tietojen pyytämisestä tekee päällystöön kuuluva poliisimies.  

Rahanpesun selvittelykeskus

Rahapesun selvittelykeskuksesta annetun lain 4 §:n 1 momentin mukaan Rahanpesun selvittelykeskuksella on oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä sekä ilmoitusvelvollisilta rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot ja asiakirjat maksutta sen estämättä, mitä liikesalaisuutta tai yksilön, yhteisön tai säätiön taloudellisia olosuhteita, taloudellista asemaa tai verotustietoja koskevien tietojen salassapidosta säädetään. Päätöksen salassa pidettävien tietojen hankkimisesta tekee selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies. Selvittelykeskuksen n. 50 henkilöstä päällystöön kuuluu tällä hetkellä 6 henkilöä. 

Rahapesun selvittelykeskuksesta annetun lain 4 §:n 2 momentin mukaan Rahanpesun selvittelykeskuksella on oikeus saada maksutta yksityiseltä yhteisöltä, säätiöltä ja henkilöltä selvittelykeskuksessa työskentelevän päällystöön kuuluvan poliisimiehen kirjallisesta pyynnöstä rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot yhteisön jäsentä, tilintarkastajaa, toiminnantarkastajaa, hallituksen jäsentä tai työntekijää velvoittavan salassapitovelvollisuuden estämättä.  

Rahanpesun selvittelykeskus käsittelee ilmoitukset epäilyttävistä liiketoimista ja toimittaa tekemänsä ensivaiheen analyysin ja selvittelyn jälkeen asian toimivaltaiselle viranomaiselle toimenpiteitä kuten esitutkintaa varten. Päätöksen tietojen kyselystä ja tietojen luovuttamisesta tekee rahanpesun selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies. 

Myös rahanpesun selvittelykeskuksen saldo- ja tilitapahtumatietoja koskeva tiedonsaanti toteutetaan osana poliisin tietojärjestelmiä. 

Rajavartiolaitos

Rajavartiolaitoksella on henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain (639/2019, jäljempänä Rajavartiolaitoksen henkilötietolaki ) 3 luvun 20 §:n mukaan pidättämiseen oikeutetun virkamiehen pyynnöstä oikeus saada rikoksen ennalta estämiseksi, paljastamiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Rajavartiolaitoksella on sama oikeus saada rajavartiolain 27 §:ssä tarkoitettua tutkintaa varten tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Rajavartiolaitoksen tiedonsaantioikeudet on Rajavartiolaitoksen henkilötietolain kautta rajattu välttämättömiin tietoihin, tietosisällöt on lueteltu tyhjentävästi ja käytännössä päätöksen kyseisten tietojen hankkimisesta tekisi pidättämiseen oikeutettu virkamies kussakin yksittäistapauksessa erikseen, jolloin myös päätöksentekotaso on riittävän korkealla. Tietojen hankinnasta tehdään käytännössä erillinen päätös ja pyyntö.  

Rajavartiolaitoksen toimivallasta rikostorjunnassa säädetään rikostorjunnassa Rajavartiolaitoksessa annetun lain (108/2018) 2. luvussa. Rajavartiolaitoksen toimivaltuus on rajattu tiettyihin rikosnimikkeisiin, mitkä kytkeytyvät Rajavartiolaitoksen valvonta- ja tarkastustehtäviin. Näin ollen Rajavartiolaitoksen pyynnöt tietojen saamiseen kohdistuvat ainoastaan sen tutkintatoimivallan mukaisiin rikoksiin.  

Tulli

Tullilla on verotus- ja verovalvontatehtävissä oikeus pyytää saldo- ja tilitapahtumatietoja suoraan pankeilta ja muilta vastaavilta luottolaitoksilta tullilain (304/2016) 102 §:n 2 momentin nojalla, jonka mukaan henkilön, jolla on hallussaan toisen tulliverotusta tai siitä johtuvaa muutoksenhakua koskevaa asiaa varten tarpeellisia tietoja, on annettava ne Tullille sen kehotuksesta määräajassa. Tilitapahtumatietokyselyt tehdään suoraan pankeille ja ne liittyvät tulliverotuksen oikeellisuuden tarkastamiseen.  

Rikostorjunnan osalta Tulli on esitutkintalaissa (805/2011) tarkoitettu esitutkintaviranomainen ja Tulli vastaa tullirikostorjunnasta siten kuin siitä rikostorjunnasta Tullissa annetussa laissa sekä muualla lainsäädännössä säädetään. Tullilla on rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n 1 momentin nojalla oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen tai hallintoneuvoston jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä tarvittavat tiedot tullirikoksen estämiseksi, paljastamiseksi tai selvittämiseksi. 

Tilitapahtumatietoja tullirikosten tutkinnassa pyydetään yleensä vakiomuotoisella lomakkeella, johon merkitään kaikki tarpeelliset tiedot pyydettävistä tiedoista ja tutkittavasta rikoksesta. Pankit toimittavat vastauksen salattuna sähköpostina pankkitiedustelussa pyydettyyn sähköpostiosoitteeseen. Satunnaisesti vastaukset tulevat edelleen paperitulosteista skannattuina tiedostoina, mikä vaikeuttaa jatkoanalysointia. 

Verohallinto

Verohallinto saa tällä hetkellä pankki- ja maksutilien tietoja verotusmenettelystä annetun lain (jäljempänä VML ) 19 §:n mukaisen sivullisen tiedonantovelvollisuuden nojalla. Verotusmenettelystä annetun lain 19 § mukaisesti jokaisen on annettava Verohallinnon kehotuksesta nimen, pankkitilin numeron, tilitapahtuman tai muun vastaavan yksilöinnin perusteella tietoja, jotka saattavat olla tarpeen muun verovelvollisen verotusta tai muutoksenhakua koskevan asian käsittelyä varten ja jotka selviävät hänen hallussaan olevista asiakirjoista tai muutoin ovat hänen tiedossaan, jollei hänellä lain mukaan ole oikeutta kieltäytyä todistamasta asiasta. Verotukseen vaikuttavia, taloudellista asemaa koskevia tietoja ei kuitenkaan saa kieltäytyä antamasta. Verohallinto voi VML 19 §:n nojalla lähettää pankkeihin ja maksulaitoksiin tilitietoja koskevia kyselyitä. Edellytyksenä on, että tilitiedot saattavat olla tarpeen verotusta koskevan asian käsittelyä varten. Tiedot tulee antaa lain 22 §:n 4 momentin mukaisesti salassapitosäännösten ja muiden tietojen saantia koskevien rajoitusten estämättä. Verohallinto voi myös lainkohdan 5 momentin nojalla määrätä, että tiedot annetaan sähköistä tiedonsiirtomenetelmää käyttäen.  

Verohallinnolle ei ole rahanpesulaissa säädetty nimenomaista valvontatehtävää. Verohallinnolla on kuitenkin rahanpesun ja terrorismin rahoituksen estämistä koskevan lain 9 luvun 5 §:n mukainen velvollisuus ottaa toiminnassaan huomioon rahanpesun ja terrorismin rahoittamisen estäminen ja paljastaminen. Verohallinnon on huolenpitovelvoitteen takia kiinnitettävä huomiota verotusta toimittaessa sellaisiin tilanteisiin, joissa jokin asia tai tapahtuma tulisi ilmoittaa rahanpesun selvittelykeskukselle. Huolenpitovelvoitteen toteuttaminen ei ole kuitenkaan peruste saada tilitapahtumatietoja sivulliselta, vaan kyse on aina verotuksellisesta tarpeesta.  

Nykytilassa Verohallinto asettaa tiedonantovelvoitteen suoraan pankeille silloin, kun tilitapahtumatiedot ovat verotuksessa tarpeellisia. Tarpeellisuus voi johtua Verohallinnolle ilmoitettujen tietojen oikeellisuuden varmentamisesta tai siitä ettei tarvittava tieto ei aina ole saatavissa asiakkaalta. Tarpeellisuutta arvioidaan aina yksittäisen avoinna olevan valvontatapauksen perusteella. Valvontatapaus määrittää myös sen miltä ajanjaksolta tilitapahtumia kysytään. Käytännössä pankki- ja maksutilitietoja koskevat kyselyt tehdään verotuksen tietojärjestelmässä (Gentax). Kyselyn tekemisen edellytyksenä on, että verotusta koskeva asia on vireillä. Työjärjestyksissä on määritelty ne virkailijat, joilla on oikeus tehdä kyselyitä. Kaikki pankkitiedustelut tehdään Gentax-järjestelmän kautta. Nykytilassa Verohallinnolla on rajapinta kahteen pankkiin ja muut tilitapahtumatiedustelut tehdään sähköpostimuodossa. Rajapinta on toteutettu yhdessä Finanssiala Ry:n, pankkien ja viranomaisten yhteistyössä laatimien määritysten mukaisesti (vanha sähköinen tilitiedustelu-hanke). Sekä Verohallinnon lähettämät tiedustelut, että pankkien toimittamat vastaukset liikkuvat rajapinnan kautta. Osa vastauksista (tositekopiot, vanhat tilitapahtumat yms.) saapuvat muussa sähköisessä muodossa tai paperilla. Rajapinta ei ole reaaliaikainen, vaan vastaus saadaan seuraavan arkipäivän aamuksi. Rajapinnan yli saadaan sekä tilin omistaja- ja käyttöoikeustietoa, että tilitapahtumatiedot.  

Ulosottolaitos

Ulosottomiehen tiedonsaantioikeuksia koskevat säännökset löytyvät ulosottokaaresta ja ulosottomenettelyä koskevasta asetuksesta. Ulosottokaaren 3 luvun 64 §:n 1 momentin mukaan sen lisäksi, mitä muussa laissa säädetään, ulosottomiehellä on oikeus salassapitosäännösten estämättä maksutta saada jäljempänä säädetyt tiedot, asiakirjat ja aineistot, jos ne ovat yksittäisessä ulosottoasiassa välttämättömiä täytäntöönpanoa varten. Välttämättömyyden arvioi ulosottomies. Tiedot voidaan antaa teknisen rajapinnan avulla. Valtion varoista voidaan maksaa korvausta rajapinnan perustamisesta ja ylläpidosta aiheutuvista kustannuksista. Ulosottokaaren 3 luvun 66 §:ssä säädetään sivullisen tietojenantovelvollisuudesta. Sivullisen on kysyttäessä ilmoitettava ulosottomiehelle (1 mom.): 1) onko hänellä velalliselle kuuluvaa omaisuutta hallussaan tai muutoin määräysvallassaan ja omaisuuden laatu; 2) onko velallisella häneltä tai hänellä velalliselta saatavia ja saatavien peruste ja määrä sekä saatavia koskevien tilien maksuliike ja velallisella olevat tilin käyttöoikeudet.  

Ulosottomiehillä on ulosottokaaren säännösten mukaisesti laajat tiedonsaantioikeudet. Kuitenkin jokainen pankkitiedustelu tai muu velallista koskeva tiedustelu tehdään vastaavan ulosottomiehen harkinnan perusteella, mikäli tieto arvioidaan välttämättömäksi täytäntöönpanon kannalta. Pankkitilitiedoille ulosotolla on kaksi erityyppistä tarvetta: 1) normaaliperinnässä lyhyen aikavälin tiedot riittävät; 2) erityistäytäntöönpanossa tietotarve on useimmiten pidemmältä aikaväliltä.  

Uljas-tietojärjestelmässä käsitellään tällä hetkellä ulosottoviranomaisille rajapintojen kautta tulevat pankkitiedustelujen vastaukset ja myös pankki- ja maksutilien valvontajärjestelmästä saatavia tietoja tultaisiin käsittelemään tässä samassa järjestelmässä. Tiedustelun voi tehdä ainoastaan velalliselle, jolla on ulosotossa vireillä ulosottoasioita. Tiedustelun voi tehdä vain velallisen vastaava ulosottomies, samaan tiimiin kuuluva ulosottotarkastaja/ulosottoylitarkastaja tai näiden esimies. Edellä mainittujen lisäksi vain erityistäytäntöönpanon virkamiehet näkevät tietojärjestelmään tulleiden pankkitiedusteluvastausten sisällön.  

Puolustusvoimat

Puolustusvoimien osalta toimivaltuuksista pankki- ja maksutilitietoihin pääsystä on säädetty sotilaskurinpidosta ja rikostorjunnasta puolustusvoimista annetun lain sekä sotilastiedustelusta annetun lain mukaan. Sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetussa laissa säädetään Puolustusvoimien rikostorjunnasta, joka käsittää rikosten ennalta estämisen, paljastamisen ja sotilaskurinpitomenettelyyn kuuluvan rikosten selvittämisen. Laissa säädetään lisäksi menettelystä sotilaskurinpitoasiassa, siinä määrättävistä seuraamuksista sekä sotilasoikeudenkäyntimenettelyn aloittamisesta. Puolustusvoimien rikostorjunnan muuttamista koskeva hallituksen esitys (HE 82/2023) on eduskunnan käsiteltävänä. 

Puolustusvoimien rikostorjuntaan sovelletaan poliisilain, esitutkintalain ja pakkokeinolain (806/2011) sekä muun lainsäädännön säännöksiä rikosten ennalta estämisestä, paljastamisesta ja selvittämisestä, jollei jäljempänä säädetystä muuta johdu. Pankkitiedustelua on käytetty omaisuus- ja petosrikosten selvittämisessä nojautuen sotilaskurinidosta ja rikostorjunnasta puolustusvoimissa annetun lain 44 pykälässä säädettyyn oikeuteen. Vuositasolla näitä tiedusteluja tehdään muutamia ja tilitapahtumat kysytään lähes poikkeuksetta. 

Sotilastiedustelun tarkoituksena on hankkia ja käsitellä tietoa ylimmän valtiojohdon päätöksenteon tukemiseksi Suomeen kohdistuvasta tai Suomen turvallisuusympäristön kannalta merkityksellisestä sotilaallisesta toiminnasta taikka sellaisesta vieraan valtion toiminnasta tai muusta sellaisesta toiminnasta, joka vakavasti uhkaa Suomen maanpuolustusta tai vaarantaa yhteiskunnan elintärkeitä toimintoja. Sotilastiedustelulain 104 §:ssä säädetään, että sotilastiedusteluviranomaisella on oikeus saada yksityiseltä yhteisöltä yritys-, pankki- tai vakuutussalaisuuden estämättä sellaisia tietoja, joiden yksittäistapauksessa voidaan olettaa olevan tarpeen esim. tiedustelun kohteen (henkilö/oikeushenkilö) taloudellisen toiminnan selvittämisessä. Pykälä vastaa tarkoitukseltaan pitkälti poliisilain 4 luvun 3 §:ssä säädettyä toimivaltuutta, mutta tietopyynnön tarkoituksena ei kuitenkaan ole rikoksen estäminen tai selvittäminen vaan se liittyy sotilastiedustelun kohteeseen. Sotilastiedustelulain nojalla tehdään pankkitiedusteluja silloin, kun edellytykset ja tarve on olemassa. Pyynnöissä hyödynnetään poliisin tietojärjestelmää Sapattia, mutta joillekin pankeille lähetetään kirjallinen pankkitiedustelupyyntö. 

Finanssivalvonta

Finanssivalvonnasta annetun lain 18 §:ssä säädetään oikeudesta saada tietoja valvottavalta ja muulta finanssimarkkinoilla toimivalta. Valvottavan ja muun finanssimarkkinoilla toimivan on salassapitosäännösten estämättä ilman aiheetonta viivytystä toimitettava Finanssivalvonnalle sen pyytämät tiedot ja selvitykset, jotka ovat tarpeen Finanssivalvonnalle laissa säädetyn tehtävän hoitamiseksi. Vastaava velvollisuus on sillä, jolla on kirjanpitolain (1336/1997) 1 luvun 5 §:ssä tarkoitettu määräysvalta valvottavassa tai muussa finanssimarkkinoilla toimivassa tai joka on valvottavan tai muun finanssimarkkinoilla toimivan määräysvallassa. Kyseiset tiedot ovat olleet välttämättömiä silloin, kun niille on ollut tarvetta. Tiedoille on ollut tarvetta muun muassa tutkintapyyntöjen laatimisen sekä virka-avun tarjoamisen yhteydessä. 

Finanssivalvonnasta annetun lain 3 §:ssä on säädetty Finanssivalvonnan tehtävistä, jotka ovat muun muassa finanssimarkkinoilla toimivien toiminnan valvominen, rahoitusvälineiden liikkeeseenlaskun ja niillä tapahtuvan kaupankäynnin valvominen. Finanssivalvonta valvoo lisäksi maksajan tiedot -asetuksen noudattamista sen valvottaviksi kuuluvien ilmoitusvelvollisten osalta siltä osin kuin ne lähettävät tai vastaanottavat asetuksessa tarkoitettuja varainsiirtoja. Finanssivalvonta valvoo lisäksi rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 1 luvun 2 §:n 1 momentin 1–8 ja 8 a kohdassa tarkoitettuja ilmoitusvelvollisia mainitun lain ja sen nojalla annettujen säännösten ja määräysten noudattamisen osalta.  

Finanssivalvonnasta annetun lain 50 h §:n nojalla Finanssivalvonta toimii myös markkinoiden väärinkäyttöasetuksen (EU) N:o 596/2014, jäljempänä MAR 22 artiklassa tarkoitettuna toimivaltaisena viranomaisena. Finanssivalvonnan rikosepäilyihin liittyvät tutkinnat voivat liittyä myös muihinkin kuin markkinoiden väärinkäyttöasetuksen mukaisiin sisäpiirikauppoihin ja markkinoiden manipulointiin (jotka on mainittu Europol-asetuksen liitteessä vakavina rikoksina). Finanssivalvonta valvoo myös esimerkiksi arvopaperimarkkinalain (746/2012) noudattamista. Vastaavaa tarvetta pankki- ja maksutilitietojen saamiseen voi liittyä myös muihin Finanssivalvonnasta annetun lain 3 §:n mukaisia tehtäviä suorittaessa ilmenneisiin rikosepäilyihin.  

Tilitapahtumia koskeva tietopyyntö perustuu jo olemassa olevaan epäilyyn ja erikseen tehtävään tietopyyntöön. Finanssivalvonnalla ei ole tilidataa valmiina käytössä, jonka pohjalta olisi mahdollista löytää epäilyttäviä kytköksiä tai tehdä ad hoc tarkistuksia helposti olemassa olevia epäilyjä koskien. Tällä hetkellä on ylipäätään haasteellista selvittää, mistä pankista tilitietoja kysytään, kun ei tiedetä minkä pankkien asiakas henkilö on. Tällä hetkellä Finanssivalvonta tekee pankkitiedusteluja sähköpostilla, sekä omien taikka käytössään olevien järjestelmiensä avulla. Finanssivalvonta käyttää salattua sähköpostiliikennettä finanssilaitosten kanssa käymässään sähköpostiviestinnässä. Finanssivalvonnan omat järjestelmät toteutetaan ja tietoturva arvioidaan Euroopan Keskuspankkijärjestelmän tietoturvavaatimusten mukaisesti. Lisäksi järjestelmiin teetetään ulkopuolisten tekemiä tietoturvatestauksia. Järjestelmissä on myös huomioitu tietosuoja-asetus. 

2.3  Johtopäätökset nykytilasta

Viranomaisten oikeudet saada tietoja pankki- ja maksutileistä ja niiden käytöstä sekä muusta varallisuudesta Suomessa perustuvat niitä koskeviin erityislakeihin. Viranomaisilla on nykyisten toimivaltasäännösten avulla mahdollistettu laaja oikeus saada saldo- ja tilitapahtumatietoja tehtäviensä hoitamiseen. Toimivaltasäännösten tarkkarajaisuus sen sijaan vaihtelee viranomaisten välillä riippuen osin myös viranomaisten tehtävistä. Esiselvityshankkeen yhteydessä erityisesti oikeusministeriö kiinnitti huomiota viranomaisten tiedonsaantioikeuksien muotoiluun. Perustuslakivaliokunnan vakiintuneen lausuntokäytännön huomioiden oikeusministeriö lausui, että hallituksen esityksen valmistelussa on varmistettava, että toimivaltaisilla viranomaisilla on lainsäädännössä riittävän täsmälliset ja tarkkarajaiset tiedonsaantioikeudet pankkien tilitapahtumatietoihin. Tämän arvion seurauksena edellä mainituista viranomaista Verohallinto on todennut, että sen toimivaltasäännös kaipaa tarkentamista. Tarkemmin asiaa käsitellään luvussa 4.1.1. 

Kattavista tiedonsaantioikeuksista huolimatta käytännöt tietojen kyselyyn ovat suurelta osin manuaalisia ja vievät paljon resursseja. Kyselyjä tehdään muun muassa sähköpostitse. Jokainen osapuoli on ratkaisut menettelytavat ja tietosuojaa koskevat kysymykset omista lähtökohdistaan. Yksittäiset viranomaiset, kuten poliisi, verohallinto ja ulosottolaitos ovat perustaneet sähköisiä rajapintoja joidenkin luottolaitosten kanssa. Järjestely perustuu osapuolten keskinäiseen sopimukseen. Viranomaisilla voi olla siis useita päällekkäisiä järjestelmiä ja tiedonsaannin tapoja käytössään pankki- ja maksutilejä koskevien tietojen saamiseksi. Tämä lisää kustannuksia ja resursseja sekä viranomaisissa että yksityisellä sektorilla. Usean järjestelmän käyttö myös mahdollistaa erilaisten tietosuojariskien kasvamisen. 

Kaikkien pankki- ja maksutilejä koskevien tietojen, niin tilin asiakastietojen kuin saldo- ja tilitapahtumatietojen saaminen yhdestä järjestelmästä poistaisi tarpeen rakentaa ja ylläpitää viranomaiskohtaisia rajapintoja pankkeihin ja pankkikohtaisia rajapintoja viranomaisiin. Viranomaisten toiminnan digitalisointi ja viranomaistoiminnan resurssien tarkoituksenmukainen kohdentaminen puoltavat sitä, että ne viranomaiset, joilla on jo voimassa olevan lainsäädännön nojalla toimivaltuuksiensa puitteissa oikeus saada ja käsitellä saldo- ja tilitapahtumatietoja, voisivat saada ne pankki- ja maksutilien valvontajärjestelmän kautta. Näin luotaisiin yksi yhtenäinen järjestelmä, jossa pankkisalaisuuden piiriin kuuluvaa tietoa käsiteltäisiin. Myös finanssitoimialalle syntyisi kustannussäästöjä kyselyiden käsittelyn yhdenmukaistamisesta ja kyselyiden kohdentumisesta johtuvasta kyselymäärien vähenemisestä.  

Rahanpesulain valvontaviranomaiset kuuluvat voimassaolevan lain mukaiseen pankki- ja maksutilien valvontajärjestelmään. Valvontaviranomaisilla on rahanpesulaissa määritelty kattavat tiedonsaantioikeudet valvomiensa ilmoitusvelvollisten suhteen. Ilmoitusvelvollisen on rahanpesulain 7 luvun 2 §:n mukaan salassapitosäännösten estämättä ilman aiheetonta viivytystä toimitettava valvontaviranomaiselle ja asianajajayhdistykselle maksutta sen pyytämät tiedot ja selvitykset, jotka ovat välttämättömiä rahanpesulaissa tai sen nojalla annetuissa säännöksissä tai määräyksissä tarkoitetun tehtävän hoitamiseksi. Nämä tiedot voivat sisältää myös saldo- ja tilitapahtumatietoja, mikäli viranomainen niitä edellä mainitussa tehtävässään tarvitsee. Pääsääntöisesti rahanpesulain valvontaviranomaiset saavat tarvitsemansa tiedot suoraan ilmoitusvelvolliselta. Ottaen huomioon tällaisten tapausten vähäisen määrän ja rajapinnan rakentamisesta aiheutuvat kustannukset, rajapintojen rakentamista pankki- ja maksutilien valvontajärjestelmään ei ole nähty ainakaan tällä hetkellä tarpeellisena näiden viranomaisten osalta Finanssivalvontaa lukuun ottamatta.  

4.1  Keskeiset ehdotukset

Esityksessä ehdotetaan, että pankki- ja maksutilien valvontajärjestelmän sisälle muodostettaisiin uusi toiminnallisuus, keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä, jonka kautta viranomaisilla olisi mahdollisuus tehdä saldo- ja tilitapahtumatietoja sekä arvopapereihin liittyviä tietoja koskevia kyselyjä luotto- ja maksulaitoksille sekä muille ehdotetun 1 a §:n mukaisille toimijoille. Esityksessä ei ehdoteta viranomaisille uusia toimivaltuuksia saldo- ja tilitapahtumatietoihin ja arvopaperitietoihin pääsyn osalta, vaan ne viranomaiset, jotka jo nykyisellään saavat saldo- ja tilitapahtuma- ja arvopaperitietoja tehtäviensä hoitamiseksi omien toimivaltapykäliensä mukaisesti, voisivat käyttää noiden kyselyjen tekemiseen ja vastaanottamiseen pankki- ja maksutilien valvontajärjestelmää. Kyseessä olisi siis sähköistä tiedonluovutusta ja välittämistä koskeva ehdotus. Esitettävä muutos muuttaisi siten sitä teknistä tiedon luovuttamistapaa, jolla viranomaiset saisivat saldo- ja tilitapahtumatietoja luotto- ja maksulaitoksilta ja muilta tiedonluovuttajilta, eikä esitys siten lisäisi viranomaisten toimivaltuuksia saldo- ja tilitapahtumatietoihin ja arvopaperitietoihin pääsyn osalta.  

Pankki- ja maksutilien valvontajärjestelmästä on tällä hetkellä mahdollista saada ainoastaan tilin asiakkuuteen liittyvät tiedot, kuten tilinhaltijan nimi ja henkilötunnus, tilin IBAN-numero ja tilin avaamispäivä. Saldo- ja tilitapahtumajärjestelmän avulla toimivaltaiset viranomaiset voisivat saada pankki- ja maksutilien valvontajärjestelmästä myös saldo- ja tilitapahtumatietoja sekä arvopapereita koskevia tietoja. Näin toimivaltaisten viranomaisten olisi mahdollista saada saman pankki- ja maksutilien valvontajärjestelmän kautta pankki- ja maksutilin asiakkuuteen liittyvät tiedot ja saldo- ja tilitapahtumatiedot sekä arvopaperitietoihin liittyvät tiedot.  

Koska kansallisesti on rakennettu pankki- ja maksutilien valvontajärjestelmä, jolla pankki- ja maksutilejä koskevia tietoja toimitetaan toimivaltaisille viranomaisille, voidaan pitää tarkoituksenmukaisena, että myös saldo- ja tilitapahtumatietojen sekä muiden luotto- ja maksulaitosten asiakkuutta koskevien tietojen välittämiseen hyödynnetään samaa järjestelmää. Koska saldo- ja tilitapahtumatiedot eroavat tiedon käsittelytavaltaan ja oikeusperustaltaan viidennen rahanpesudirektiivin täytäntöönpantavaksi rakennetusta pankki- ja maksutilien valvontajärjestelmän pankkitilirekisteristä ja automatisoidusta tiedonhakujärjestelmästä, esityksessä ehdotetaan, että pankki- ja maksutilien valvontajärjestelmän sisälle rakennetaan erillinen toiminnallisuus saldo- ja tilitapahtumatietojen sekä arvopapereita koskevien tietojen välittämiseen. Siten pankki- ja maksutilien valvontajärjestelmä tulisi nähdä eräänlaisena kattojärjestelmänä tai teknisenä kehikkona, jonka sisällä olisi voimassa olevan lain mukainen, viidennen rahanpesudirektiivin edellyttämä automatisoitu keskitetty tilitietoja sisältävä järjestelmä, jonka rinnalle tuotaisiin uusi keskitetty sähköinen saldo- ja tilitapahtumatietoja ja arvopaperitietoja välittävä järjestelmä. Näin ei olisi tarvetta rakentaa uutta keskitettyä tietojärjestelmää saldo- ja tilitapahtumatietojen välittämistä varten tai toimivaltaisten viranomaisten omia kahdenvälisiä tiedonvaihtojärjestelmiä jokaisen luotto- ja maksulaitoksen kanssa.  

Sähköisen saldo- ja tilitapahtumajärjestelmän kautta tehtävät kyselyt olisivat aina kohdennettuja ja tietoa haettaisiin vain yksittäistä, ratkaistavana tai käsiteltävänä olevaa tapausta varten, jota varten tietojen saanti olisi viranomaiselle välttämätöntä. Ehdotetun mukaisesti järjestelmässä ei olisi mahdollista tehdä kohdentamattomia massahakuja. Tarkoitus ei siis ole muodostaa kaikkia asiakkaita ja heidän saldo- ja tilitapahtumiaan sisältävää tietorekisteriä. Viranomaisille ei tule myöskään muodostumaan suoraa pääsyä 1 a §:ssä lueteltujen tiedonluovuttajien asiakastietoihin vaan ainoastaan mahdollisuus tehdä saldo- ja tilitapahtumatietoja ja arvopaperitietoja koskevia kyselyjä pankki- ja maksutilien valvontajärjestelmän avulla tiedonluovuttajille. Saldo- ja tilitapahtumakyselyn sekä arvopaperitietoja koskevan kyselyn tekeminen olisi mahdollista vasta kun viranomainen olisi yksilöinyt sen pankki- ja maksutilin tai arvopaperitilin, jonka tietoja se hakee ja sen yksittäisen tietotarpeen, minkä takia kysely tehdään. Mikäli viranomaisella ei olisi sen pyyntöä koskevan tilin IBAN-tietoa, arvopaperitilin tunnistetta tai muuta yksilöintitunnusta, sen tulisi ensin tehdä tilitietokysely pankki- ja maksutilien valvontajärjestelmän automatisoituun tilitietojärjestelmään, jonka jälkeen saldo- ja tilitapahtumatietojen tai arvopaperitietojen pyytäminen saldo- ja tilitapahtumajärjestelmästä olisi mahdollista.  

Viranomainen tulisi määritellä omassa tiedonhakujärjestelmässään tekemässään tietopyynnössä, olisiko siinä kyse viidennen rahanpesudirektiivin mukaisesta tilitietokyselystä vai erillisestä saldo- ja tilitapahtumakyselystä eli se kumpaan pankki- ja maksutilien valvontajärjestelmän osajärjestelmään viranomaisen tietopyyntö kohdistuisi. Koostava sovellus tunnistaisi eri kyselymuodot ja ohjaisi mainitun kyselytarpeen mukaan viranomaisen kyselyn oikeaan osajärjestelmään. Toisin sanoen, mikäli viranomaisen kyselystä kävisi ilmi, että kyseessä on viidennen rahanpesudirektiivin mukainen tilitietokysely, toimivaltaisen viranomaisen kysely ohjautuisi Tullin koostavan sovelluksen avulla keskitetyn automatisoidun tilitietojärjestelmän tilirekisteriin tai tiedonhakujärjestelmään. Automatisoidusta järjestelmästä tieto tilin omistajuudesta palautuisi välittömästi Tullin koostavaan sovellukseen toimivaltaiselle viranomaiselle noudettavaksi. Jos taas viranomaisen kysely koskisi yksilöidyn tilin saldo- tai tilitapahtumatietoja tai asiakkaan arvopapereita koskevia tietoja, koostava sovellus ohjaisi kyselyn keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän mukaiseen käsittelyyn. Mikäli luotto- tai maksulaitos ei ylläpitäisi tiedonhakujärjestelmää, Tulli toimittaisi kyselyn suojatun sähköpostin tai muun tietoturvallisen tavan avulla tiedonluovuttajalle. Tiedonluovuttaja tarkastaisi, että kysely täyttää sille tässä laissa asetetut vaatimukset ja keräisi tarvitun tiedon sovitussa määräajassa viranomaiselle. Tiedonhakujärjestelmää ylläpitävän tiedonluovuttajan vastaus ohjautuisi koostavaan sovellukseen viranomaiselle noudettavaksi. Muut kuin tiedonhakujärjestelmää ylläpitävät tiedonluovuttajat toimittaisivat tiedot Tullin tiedonluovutusjärjestelmän kautta koostavaan sovellukseen viranomaiselle noudettavaksi. Kyselyn tai vastauksen sisältöä ei tallennettaisi koostavaan sovellukseen vaan tietosisältö vain välitettäisiin sen kautta toimivaltaiselle viranomaiselle. Mikäli pyydettyä tietoa ei olisi haettu viranomaisen järjestelmään määritellyn ajan kuluessa, tietosisältö poistuisi automaattisesti koostavasta sovelluksesta.  

Havaintokuva ehdotuksen mukaisesta pankki- ja maksutilien valvontajärjestelmästä 

4.2  Ehdotusten EU-oikeudellinen arviointi

Ehdotuksen tavoitteena on viranomaisten tarvitsemien saldo- ja tilitapahtumatietojen saamisen sujuvoittaminen ja tietopyyntöjen käsittelysääntöjen yhdenmukaistaminen. Henkilötietojen käsittely kuuluu keskeisesti unionin yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin soveltamisalaan. Jäsenvaltio voi arvioida EU:n tietosuojasääntelyn kansallisen liikkumavaran puitteissa sekä huomioiden EU:n perussopimukset ja EUT:n oikeuskäytännön, kansallista lainsäädäntöä saldo- ja tilitapahtumatietojen käsittelystä keskitetyn järjestelmän avulla.  

Keskitetyistä pankkitilirekisteistä tai järjestelmistä säädetään viidennessä rahanpesudirektiivissä ja rahoitustietodirektiivissä, jotka ovat niin sanottuja vähimmäis- eli minimidirektiivejä, jolloin direktiivissä tai sen säännöksessä säädetään Euroopan unionin tasolla noudatettavasta vähimmäistasosta eli minimitasosta. Saattaessaan tämän tyyppisen direktiivin osaksi kansallista lainsäädäntöä jäsenvaltio voi ottaa käyttöön kansallisia lisävaatimuksia tai asettaa korkeampia vaatimuksia kuin direktiivissä asetetaan. Tällaiset kansalliset säännöt eivät kuitenkaan saa olla ristiriidassa sopimus Euroopan unionin toiminnasta (jäljempänä SEUT-sopimus ) kanssa tai EU-tuomioistuimen vahvistaman, perussopimuksen artikloja tulkitsevan oikeuskäytännön kanssa. On huomattava, että sääntelyn minimiluonnetta ei ole tarkoitus muuttaa jäsenvaltioissa käyttöön otettavista mekanismeista rahoitusjärjestelmän käytön estämiseksi rahanpesuun ja terrorismin rahoitukseen, direktiivin (EU) 2019/1937 muuttamisesta sekä direktiivin (EU) 2015/849 muuttamisesta ja kumoamisesta annetulla Euroopan parlamentin ja neuvoston direktiivillä (EU) 2024/1640 (jäljempänä kuudes rahanpesudirektiivi ) tai direktiivin (EU) 2019/1153 muuttamisesta siltä osin kuin on kyse toimivaltaisten viranomaisten pääsystä keskitettyihin pankkitilirekistereihin yhteenliittämisjärjestelmän kautta ja teknisistä toimenpiteistä tilitapahtumatietojen käytön helpottamiseksi annetulla Euroopan parlamentin ja neuvoston direktiivillä (EU) 2024/1654, vaan jäsenvaltiot voisivat edelleen antaa direktiivejä pidemmälle menevää sääntelyä.  

Viidennessä rahanpesudirektiivissä säädetään niistä tiedoista, joita jäsenvaltioiden tulee lisätä keskitettyihin pankkitilirekistereihin tai järjestelmiin sekä niitä hyödyntävistä viranomaisista. Tilitapahtumatiedot eivät kuulu viidennen rahanpesudirektiivin mukaisiin tietoihin, vaan ne voivat olla lisätietoja, joita jäsenvaltiot ovat voineet lisätä järjestelmiinsä viidennen rahanpesudirektiivin 32 a artiklan 4 kohdan nojalla tai joiden luovuttamisesta on voitu muuten kansallisesti säätää. Tähän ei ole tullut muutosta kuudennessa rahanpesudirektiivissä. Voimassaolevan rahoitustietodirektiivin 4 artiklan 2 kohdan mukaan toimivaltaisilla viranomaisilla ei ole rahoitustietodirektiivin nojalla pääsyä niihin lisätietoihin, joita jäsenvaltiot voivat pitää tärkeinä ja viedä keskitettyihin pankkitilirekistereihin viidennen rahanpesudirektiivin 32 a artiklan 4 kohdan nojalla. Tämä ei tarkoita sitä, että rahoitustietodirektiivissä kiellettäisiin lainvalvontaviranomaisten pääsy näihin tietoihin, vaan todetaan, että direktiiviä ei voi käyttää perusteena näihin tietoihin pääsylle. Rahoitustietodirektiivi ei siis sisällä kansallista liikkumavaraa käyttötarkoituksen tai rekisterin kautta saatavien tietojen osalta. Rahanpesudirektiivissä ja rahoitustietodirektiivissä on näin ollen eri tiedonsaajat ja käyttötarkoitus.  

Viidennen rahanpesudirektiivin 32 a artiklan 4 kohdan sallimaa kansallista liikkumavaraa voitaisiin näin haluttaessa hyödyntää. Rahanpesudirektiivin ydin on kuitenkin automatisoidussa välittömässä tiedonsaannissa. Mikäli haluttaisiin hyödyntää rahanpesudirektiivin 32 a artiklassa mainittua liikkumavaraa, kyseessä voisi olla sama automatisoitu keskitetty mekanismi, mutta myös näiden muiden tietojen tulisi olla saatavilla välittömästi ja automatisoidusti, kuten rahanpesudirektiivin 32 a artiklan 1 kohdassa edellytetään. Perustuslakivaliokunnan lausuntokäytännön mukaan arkaluonteisten henkilötietojen käsittelyyn liittyy riskejä (PeVL 15/2018m PeVL 13/2016). Siten tilitapahtumatiedot arkaluonteisina henkilötietoina vaativat erilaisen tiedon käsittelytavan muun muussa erilaisten suojaustoimien takia. Käytännössä tämä ei automatisoidussa järjestelmässä ole mahdollista, koska direktiivit edellyttävät, että tieto on oltava saatavilla keskitettyjen automatisoitujen tiedonhakujärjestelmien kautta välittömästi eli heti ilman viivettä. Kansallisesti direktiivit eivät jätä hakujen välittömyyden osalta liikkumavaraa. Siten tilitapahtumatietojen lisääminen keskitettyyn direktiivin mukaiseen välittömään mekanismiin ei olisi valtiosääntöoikeudenoikeuden asettamien salassa pidettävien tietojen luovuttamista koskevien edellytyksien huomioiden mahdollista. Arkaluonteistakin henkilötietoa sisältävien tilitapahtumatietojen käsittelyn tulee mahdollistaa, että myös tiedonluovuttaja voi arvioida pyydetyn tiedon lain mukaisuutta esitetyn tietopyynnön perusteella viranomaisen tekemän arvioinnin lisäksi.  

Kansallisista tarpeista johtuen saldo- ja tilitapahtumatietoja olisi tarve välittää myös moniin muihin käyttötarkoituksiin ja laajemmalle joukolle tiedonhyödyntäjiä, kuin mitä rahanpesu- ja rahoitustietodirektiivit mahdollistavat. Toistaiseksi tältä osin ei ole olemassa unionitason harmonisointia. Koska kansallisesti on rakennettu pankki- ja maksutilien valvontajärjestelmä eli se tekninen kehikko, jolla pankki- ja maksutilien tietoja toimitetaan toimivaltaisille viranomaisille, voidaan pitää tarkoituksenmukaisena, että myös saldo- ja tilitapahtumatietojen välittämiseen hyödynnetään samaa kehikkoa. Koska saldo- ja tilitapahtumatietojen tiedonkäsittely ja tiedon tarve on kuitenkin eritapainen kuin direktiivin mukaisessa automatisoidussa järjestelmässä, esityksessä ehdotetaan, että saman valvontajärjestelmän sisälle toteutetaan erillinen toiminnallisuus saldo- ja tilitapahtumatietojen välittämiselle. Siten pankki- ja maksutilien valvontajärjestelmä tulisi nähdä eräänlaisena kattojärjestelmänä, jonka sisällä olisi direktiivin mukainen automatisoitu keskitetty tilitietoja sisältävä järjestelmä ja keskitetty sähköinen saldo- ja tilitapahtumatietoja välittävä järjestelmä. Näin ei olisi tarvetta rakentaa uutta keskitettyä tietojärjestelmää saldo- ja tilitapahtumatietojen välittämistä varten tai toimivaltaisten viranomaisten omia kahdenvälisiä rajapintoja jokaisen luotto- ja maksulaitoksen kanssa. Toimivaltaisten viranomaisten olisi mahdollista saada saldo- ja tilitapahtumatiedot saman rajapinnan kautta kuin mistä ne nykyisin saavat tilin omistajuuteen liittyvät perustiedotkin. Viranomainen erottelisi omassa järjestelmässään olisiko kyse rahanpesudirektiivin mukaisesta pankkitietokyselystä vai erillisestä saldo- ja tilitapahtumakyselystä. Viranomaisella tulisi olla IBAN-numero tai muu yksilöintitunnus, jotta sen olisi mahdollista tehdä kohdennettu saldo- ja tilitapahtumatiedustelu koostavan sovelluksen kautta rajatulle aikavälille vain siihen pankkiin, jossa kyseinen tili on. Mikäli viranomaisella ei olisi tätä tietoa, sen tulisi selvittää tarvittavat yksilöintitiedot ensin pankki- ja maksutilien valvontajärjestelmän automatisoidun keskitetyn tilitietojärjestelmän avulla.  

Tullin koostava sovellus ohjaisi mainitun kyselytarpeen mukaan viranomaisen kyselyn oikeaa tiedonkäsittelyn reittiä pitkin tiedonluovuttajalle. Toisin sanoen, mikäli kyselymuodosta kävisi ilmi, että kyseessä on viidennen rahanpesudirektiivin mukainen tilitietokysely, toimivaltaisen viranomaisen kysely ohjautuisi Tullin koostavan sovelluksen avulla keskitetyn automatisoidun tilitietojärjestelmän tilirekisteriin tai tiedonhakujärjestelmään. Automatisoidusta järjestelmästä tieto tilin omistajuudesta palautuisi välittömästi Tullin koostavan sovelluksen kautta viranomaisen järjestelmään. Jos taas viranomaisen kysely koskisi yksilöidyn tilin saldo- ja tilitapahtumatietoja, Tullin koostava sovellus ohjaisi kyselyn luottolaitoksen tiedonhakujärjestelmän sähköiseen käsittelyyn tai muille kuin tiedonhakujärjestelmän rakentaneille tiedonluovuttajille suojatulla sähköpostilla tai muulla tietoturvallisella tavalla. Tiedon luovuttaja keräisi pyydetyn tiedon sovitussa määräajassa ja vastaus toimitettaisiin joko tiedonhakujärjestelmän tai tiedonluovutusjärjestelmän kautta Tullin koostavaan sovellukseen toimivaltaiselle viranomaiselle noudettavaksi. Tiedonkäsittely sähköisessä järjestelmässä ei olisi siten välitöntä vaan tiedon luovuttajalla olisi mahdollisuus arvioida tiedon luovutuksen edellytyksiä ja tietopyynnön lainmukaisuutta.  

Koska saldo- ja tilitapahtumakyselyn käsittelytapa eroaa merkittävästi rahanpesudirektiivin mukaisesta keskitetyn automatisoidun järjestelmän kautta tehdystä tilitietokyselyn käsittelystä, saldo- ja tilitapahtumatietoien kyselymahdollisuuden lisäämisessä pankki- ja maksutilien valvontajärjestelmään ei voida tässä esityksessä ehdotetun käsittelyn mukaisesti soveltaa rahanpesudirektiivin kansallista liikkumavaraa. Näin ollen saldo- ja tilitapahtumatietojen kyselymahdollisuuden lisääminen pankki- ja maksutilien valvontajärjestelmään olisi EU:n tietosuojasääntelyn liikkumavaran nojalla kansallisista tarpeista annettavaa sääntelyä, sillä saldo- ja tilitapahtumatietojen luovuttamisesta pankki- ja maksutilien valvontajärjestelmän kautta ei säädetä rahanpesudirektiivissä eikä rahoitustietodirektiivissä, eikä esityksessä katsota, että rahanpesudirektiivin 32 a artiklan 4 kohdan sallima kansallinen liikkumavara soveltuisi saldo- ja tilitapahtumatietojen käsittelyyn. 

Rahanpesu- ja rahoitustietodirektiivien kansallista liikkumavaraa koskevassa arvioinnissa on huomioitava Euroopan unionin tuomioistuimen (EUT) asiassa C-817/19 (Ligue des droits humains ASBL vs. Conseil des ministres) antama matkustajarekisteritietojen käyttöä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/681 (jäljempänä PNR-direktiivi ) tulkintaa koskeva tuomio. Asiassa tuomioistuin katsoi, että direktiivin perusteella perustettuun järjestelmään direktiivin perusteella kerättyjä tietoja sai käyttää unionin tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin sisältämän käyttötarkoitussidonnaisuuden periaatteen vuoksi vain vakavan rikollisuuden ja sellaisen rikollisuuden torjuntaan, jolla on objektiivinen yhteys direktiivin tarkoituksiin.  

PNR-direktiiviä koskevassa tuomiossa puhutaan PNR-direktiivillä käyttöönotetusta järjestelmästä, joka sisältää PNR-direktiivin mukaiset tiedot. Kyseessä olevassa tuomiossa puhutaan siis täysin samojen tietojen hyödyntämisestä sellaisiin käyttötarkoituksiin, jotka eivät tuomioistuimen mukaan ole direktiivin mukaisia. Lisäksi tuomiossa puhutaan tietokannasta eli pysyvästä henkilörekisteristä. Tässä esityksessä ehdotetaan, että saldo- ja tilitapahtumatietojen kyselymahdollisuus lisättäisiin pankki- ja maksutilien valvontajärjestelmä kehikon sisään, mutta erilliseksi osioksi viidennen rahanpesudirektiivin mukaisesta automatisoidusta järjestelmästä. Kyselymahdollisuus kohdistuisi lisäksi eri tietoihin kuin mitä viidennen rahanpesudirektiivin mukaiset tiedot ovat. Lisättävillä kyselyoikeuksilla ei tuotaisi saldo- ja tilitapahtumatietoja pankki- ja maksutilien valvontajärjestelmän olemassa olevaan tietokantaan. Esityksessä ei myöskään ehdoteta, että rahanpesu- tai rahoitustietodirektiivin mukaisella perusteella nykyiseen pankki- ja maksutilien valvontajärjestelmän saatua käyttöoikeutta laajennettaisiin myös saldo- ja tilitapahtumakyselyiden tekemiseksi.  

Vaikka esityksen lähtökohta on ollut, että edellä kerrotun mukaisesti kyseessä on kansallisesta tarpeesta annettu sääntely, joka oikeudellisesti tarkoittaa, että saman tietojärjestelmäkokonaisuuden sisällä olisi kaksi erillistä toiminnallista kokonaisuutta: EU:n viidennen rahanpesudirektiivin ja rahoitustietodirektiivin edellyttämiä tietoja käsittelevä keskitetty automatisoitu tilitietojärjestelmä sekä keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä, tulee arvioinnissa lisäksi punnita viranomaisten saldo- ja tilitapahtumatietojen tiedonsaantioikeuksien käyttötarkoitusta suhteessa niihin käyttötarkoituksiin, joka on viranomaisten EU:n viidennen rahanpesudirektiivin ja rahoitustietodirektiivin edellyttämien tietojen käsittelyä koskevan keskitetyn automatisoidun tilitietojärjestelmän tietojen keräämisen käyttötarkoitus, jotta näiden puheena olevien kahden osajärjestelmän keskinäiset yhteydet tulisivat esille. 

Siltä osin, kun toimivaltaisten viranomaisten tiedonsaantioikeuksissa on kysymys sellaisista käyttötarkoituksista, joissa viranomaisen tiedonsaantioikeus perustuu rahanpesudirektiivin mukaiseen rahanpesun- ja terrorismin rahoittamisen estämisen tarkoitukseen tai rahoitustietodirektiivin mukaiseen vakavan rikollisuuden torjuntaan ja kun pyydettyjä asiakkuustietoja käytetään toissijaisesti nimenomaan siihen, että tietopyyntö voidaan kohdentaa oikeaan luotto- ja maksulaitokseen, voidaan saldo- ja tilitapahtumatietojen käsittelyn katsoa olevan yhteensopiva niiden tietojen kanssa, jotka koskevat asiakkuuksia näistä tiedoista. Siten käyttötarkoitus järjestelmien välillä voidaan tulkita yhdenmukaiseksi. Rahanpesusääntelyn mukaisen automatisoidun tilitietojärjestelmän tarkoitus on selvittää, missä luotto- tai maksulaitoksissa asiakkuuksia on, jotta rahanpesun selvittelykeskus ja muut toimivaltaiset viranomaiset saavat tiedot erityisesti anonyymien pankki- ja maksutilien ja tallelokeroiden haltijoiden henkilöllisyydestä. Myös terrorismiin liittyvä varainsiirtojen paljastaminen vaikeutuu, jos ei ole tehokasta keinoa saada ajallaan pääsyä pankki- ja maksutilien sekä tallelokeroiden haltijoiden henkilöllisyyttä ja heidän asiamiehiään ja näiden tilien tosiasiallisia omistajia ja edunsaajia koskeviin tietoihin. Jäsenvaltioiden tiedot, joiden avulla voidaan selvittää samalle henkilölle kuuluvat pankki- ja maksutilit sekä tallelokerot, ovat hajanaisia eivätkä ne sen vuoksi ole ajallaan toimivaltaisten viranomaisten saatavilla. Jotta lähtökohtaisesti asiakkuustiedoilla olisi käyttöarvoa viranomaisen edellä mainituissa tehtävissä, tulee asiakkuuksien selvittämisen jälkeen voida tehdä kansallisen lainsäädännön perusteella asiakkuuksiin liittyviä saldo- ja tilitapahtumakyselyitä. Silloin kun toimivaltaisen viranomaisen tehtävän kannalta on mahdollista tehdä välttämättömiä saldo- ja tilitapahtumatietopyyntöjä, tulisi olla myös välttämätöntä minimoida rekisteröidyn oikeuksille, erityisesti yksityisyydensuojalle, mahdollisesti koituvaa korkeaa riskiä, siten, ettei tietopyyntöjä saldo- ja tilitapahtumista pidä tehdä, ennen kuin toimivaltaisella viranomaisella on varmuus siitä, että kyseisessä luotto- tai maksulaitoksessa sijaitsee asiakkuus. Näin kyselyn tekeminen luotto- ja maksulaitoksiin olisi oikeasuhtaista rekisteröidyn yksityisyyden suojaan ja muihin perusoikeuksiin nähden vain ja ainoastaan silloin, kun voidaan osoittaa, että asiakkuus kyseisessä luotto- tai maksulaitoksessa on olemassa. Asiakkuuden selvittäminen on tärkeää myös varojen jäljittämiseksi, mahdollisen rahanpesun ja terrorismin rahoituksen havaitsemiksi ja nopeiden lainvalvontatoimien takaamiseksi.  

Arvioitaessa EUT:n ratkaisua asiassa C-817/19 voidaan kiinnittää huomiota siihen, että edellytyksenä kansallisen liikkumavaran käyttöön, jolla voitaisiin hyödyntää direktiivin perusteella käyttöön otettua järjestelmää, on, että toissijaisella käytöllä on objektiivinen yhteys direktiivin tarkoituksiin. Siltä osin, kuin kysymys on niistä toimivaltaisista viranomaisista, joilla on oikeus käyttää direktiivin perusteella käyttöön otettua järjestelmää ja direktiivin perusteella kerättyjä tietoja, on kysymys tietojen toissijaisesta käytöstä. Kuten edellä on selvitetty, siltä osin, kuin toimivaltaisilla viranomaisilla on oikeus käyttää unionin rahanpesusääntelyn nojalla käyttöön otettua automatisoitua keskitettyä tilitietojärjestelmää asiakkuuksien selvittämiseksi, voisivat esityksen mukaan toimivaltaiset viranomaiset käyttää direktiivin perusteella käyttöön otettua järjestelmää ja käsitellä direktiivin perusteella kerättyjä asiakkuustietoja tietopyynnön tekemiseksi ehdotettuun saldo- ja tilitapahtumajärjestelmään, sillä asiakkuuksien ja tilitapahtumien välillä on objektiivinen yhteys silloin, kun kysymys on rahanpesun ja terrorismin rahoittamisen estämisestä tai rahoitustietodirektiivin mukaisesta vakavan rikollisuuden torjunnasta. Direktiivin perusteella käyttöön otetun järjestelmän ja direktiivin perusteella kerättyjen tietojen toissijaista käyttöä voidaan perustellusti pitää yhteensopivana alkuperäisten tarkoitusten kanssa. Siltä osin kuin toimivaltaisilla viranomaisilla ei ole kansallisissa tiedonsaantioikeuksissaan objektiivista yhteyttä rahanpesudirektiivin tai rahoitustietodirektiivin tarkoituksien kanssa, mutta niillä on perustuslakivaliokunnan myötävaikutuksella hyväksytyn voimassaolevan lain mukainen oikeus hyödyntää direktiivin mukaista tilitietojärjestelmää asiakkuuksien selvittämiseen, saldo- ja tilitapahtumakyselytkään eivät kohdistu rahanpesun tai rahoitustietodirektiivin mukaisiin käyttötarkoituksiin. Näidenkin viranomaisten osalta osajärjestelmien välillä on käyttöyhteys eli kun viranomainen käyttää automatisoidun tilitietojärjestelmän tietoja saldo- ja tilitapahtumatietopyynnön kohdentamiseksi keskitetyssä saldo- ja tilitapahtumajärjestelmässä, tietojen toissijainen käyttö on yhdenmukaista tilitietojärjestelmän tietojen kanssa. Kyselyt liittyvät siis kiinteästi toisiinsa edellä kuvatun kaltaisesti, mutta koska kyse ei ole direktiivin mukaisista käyttötarkoituksista, käyttötarkoitussidonnaisuudesta poikkeamista voidaan pitää tulkinnanvaraisena. Mikäli viranomaisella olisi sitä vastoin saldo- ja tilitapahtumajärjestelmää koskeva tietopyyntö tehtävään, johon sillä ei olisi oikeutta hyödyntää ensivaiheen kyselyä tilitietojärjestelmään, viranomaisella tulisi olla itsellään selvillä tietopyynnön kohteen IBAN-numero ja missä luotto- tai maksulaitoksessa asiakkuus sijaitsee. Siinä tapauksissa osajärjestelmillä ei olisi yhteyttä keskenään. 

Vaikka rahanpesu- tai rahoitustietodirektiiveissä ei ole harmonisoitua sääntelyä saldo- ja tilitapahtumatietojen luovutuksesta, saldo- ja tilitapahtumajärjestelmän tietojenkäsittely kuuluu kiinteästi unionin oikeuden soveltamisalaan. Unionin toimivallasta henkilötietojen suojaa koskevissa asioissa määrätään SEUT 16 artiklassa. Artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat tavallista lainsäätämisjärjestystä noudattaen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden, silloin kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Unioni on käyttänyt toimivaltaansa SEUT 16 artiklan nojalla unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden suorittaman henkilötietojen käsittelyn osalta. Keskitetyssä saldo- ja tilitapahtumajärjestelmässä tapahtuva henkilötietojen käsittely, tiedon luovutus ja välittäminen, kuuluu yleisen tietosuoja-asetuksen soveltamisalaan sekä eräiden toimivaltaisten tiedonkäsittelyn osalta myös rikosasioiden tietosuojadirektiivin soveltamisalalle. Tietosuoja-asetusta on mahdollista täydentää unionin tai jäsenvaltion erityislainsäädännöllä siltä osin kuin tietosuoja-asetus sen nimenomaisesti sallii.  

4.3  Pääasialliset vaikutukset

5.1  Vaihtoehdot ja niiden vaikutukset

Uuden keskitetyn järjestelmän rakentaminen

Vaihtoehtona saldo- ja tilitapahtumatietojen välittämismahdollisuuden lisäämiseksi pankki- ja maksutilien valvontajärjestelmään olisi luoda kokonaan uusi keskitetty järjestelmä tilitapahtumatietotojen välittämistä varten. Erillinen järjestelmä olisi lainsäädäntöteknisesti yksinkertaisempi, koska siitä kävisi selkeämmin ilmi, että kyse on kansallisesta tarpeesta tulevasta ratkaisusta. Erillinen järjestelmä ei poistaisi ongelmaa päällekkäisistä järjestelmistä ja tiedon hajanaisuudesta. Erillinen järjestelmä lisäisi kustannuksia verrattuna ehdotuksen mukaiseen ratkaisuun, sillä uusi järjestelmä vaatisi täysin uusien tietojärjestelmien rakentamista ja tietoarkkitehtuuria. Erillistä järjestelmä ei voi siten kustannussyistä eikä käytännön toteutuksen kannalta pitää varteenotettavana vaihtoehtona. Viidennen rahanpesudirektiivin täytäntöönpanemiseksi luotua pankki- ja maksutilien valvontajärjestelmää on rakennettu vuodesta 2019, joten järjestelmän hyödyntämistä saldo- ja tilitapahtumatietojen luovuttamiseen voidaan pitää perusteltuna myös siihen käytettyjen kustannusten ja resurssien osalta. 

Toisen viranomaisjärjestelmän hyödyntäminen

Lainsäädäntöhanketta edeltävässä esiselvityshankkeessa arvioitiin tilitapahtumatietojen saamisen mahdollisuutta jonkun jo olemassa olevan Verohallinnon, ulosoton tai poliisin järjestelmän kautta pankki- ja maksutilien valvontajärjestelmän sijaan. Koska jokaisen viranomaisen järjestelmät on luotu erilaisiin ympäristöihin ja erilaisiin käyttötarkoituksiin, työryhmä ei pitänyt ehdotettuja järjestelmiä vaihtoehtoisena ratkaisuna tilitapahtumien sähköiselle keskittämiselle. Tilitapahtumien haussa on tiukka integrointi taustajärjestelmiin ja ne ovat viranomaiskohtaisia. Lisäksi esimerkiksi poliisin järjestelmä sijaitsee viranomaisten turvallisuusverkossa (TUVE), jonne muilla viranomaisilla ei ole pääsyä. Haasteita aiheuttaisi myös käyttöoikeudet eri viranomaisten järjestelmiin. 

Pankki- ja maksutilien valvontajärjestelmän eriyttäminen

Yksi vaihtoehto ehdotetun ratkaisun sijaan olisi eriyttää voimassa oleva pankki- ja maksutilien valvontajärjestelmä niin, että myös pankki- ja maksutilien tiedonhakujärjestelmää ylläpitävät luotto- ja maksulaitokset toimittaisivat tilirekisteriin viidennen rahanpesudirektiivin 32a artiklan mukaiset asiakkuustiedot. Siten kaikki asiakkuutta koskevat tiedot olisivat saatavilla keskitetystä yhdensuuntaisesta henkilörekisteristä, pankki- ja maksutilirekisteristä. Saldo- ja tilitapahtumatiedot sen sijaan saataisiin erillisellä lainsäädännöllä pankki- ja maksutilien tiedonhakujärjestelmien avulla.  

Tämä vaihtoehto aiheuttaisi pankki- ja maksutilien tiedonhakujärjestelmän toteuttaneille luotto- ja maksulaitoksille lisäkustannuksia, koska ne joutuisivat viidennen rahanpesudirektiivin 32a artiklan mukaisen tilitietoihin liittyvän ilmoitusvelvollisuutensa osalta toteuttamaan tekniset ratkaisut liittyäkseen päivittäjäksi Tullin ylläpitämään pankki- ja maksutilirekisteriin. Toisaalta luotto- ja maksulaitoksille voisi tulla säästöjä tulevaisuudessa, kun kuudes rahanpesudirektiivi voimaansaatetaan. Kuudennen rahanpesudirektiivin mukaan jäsenvaltioiden on varmistettava, että keskitetyistä pankkitilirekistereistä saatavat tiedot ovat saatavilla komission kehittämän ja ylläpitämän pankkitilirekisterien keskitetyn yhteyspisteen kautta. Kun keskitetyt pankkitilirekisterit liitetään yhteen, viranomaiset, joilla on pääsy pankkitilirekisterien keskitettyyn yhteyspisteeseen, voisivat selvittää nopeasti, onko tietyllä henkilöllä pankkitilejä muissa jäsenvaltioissa, ilman, että niiden tarvitsee tiedustella asiaa kaikilta vastapuoliltaan kaikissa jäsenvaltioissa. Tämä saattaa EU-laajuisten kyselyiden osalta tarkoittaa pahimmassa skenaariossa jopa miljoonaluokkaan nousevia kyselymääriä vuositasolla. EU-laajuisten kyselyiden vastausten muodostamista varten saatetaan vaatia myös litteroivien ja sumeiden hakujen käsittelykyvykkyyttä. Korvaamalla tiedonhakujärjestelmien tilitietokyselyiden kyselypohjaisen vastaamisen toteuttamalla päivityskyvykkyyden tilirekisteriin, ilmoitusvelvolliset välttäisivät valtavan kyselymassan aiheuttaman tietoliikenteen käsittelykyvykkyyden lisäksi myös monimutkaisten litteroivien ja sumeiden hakujen toteuttamisen omiin taustajärjestelmiinsä. Olemassa olevat tiedonhakujärjestelmät eivät kuitenkaan jäisi hyödyntämättä, vaan tilitapahtumatiedusteluja kyettäisiin käsittelemään jo toteutettujen tiedonhakujärjestelmien puitteissa kohtuullisen pienin muutoksin.  

Järjestelmien eriyttäminen voisi lisäksi selkeyttää saldo- ja tilitapahtumien välittämismekanismin erillisyyttä viidennen rahanpesudirektiivistä tulevan asiakkuustietojen välittämiseen liittyvästä vaatimuksesta. Tässä vaihtoehdossa olisi selvää, että säädettäisiin puhtaasti kansallista lainsäädäntöä keskitetystä sähköisestä tiedonvälityksestä. 

Tämän lainsäädäntöhankkeen aikataulusyistä asian selvittämistä ei nähty tässä yhteydessä mahdolliseksi edistää. Asiaa voidaan tarkastella myöhemmin rahanpesulainsäädäntötyön kokonaisuudistuksen yhteydessä.  

Tiedonluovuttajajoukon rajaaminen

Lainvalmisteluhanketta edeltävässä esiselvityshankkeessa saldo- ja tilitapahtumatietoja luovuttavien joukko oli rajattu pankki- ja maksutilien tiedonhakujärjestelmää ylläpitäviin toimijoihin, joista saatavat saldo- ja tilitapahtumatiedot kattavat noin 95 prosenttia viranomaisten tarvitsemista tiedoista. Taustana tässä rajoitetummassa tiedonluovuttajien joukossa oli se, että työryhmä ei pitänyt kohtuullisena, että tilirekisterissä mukana olevat toimijat velvoitettaisiin rakentamaan tiedonhakujärjestelmä saldo- ja tilitapahtumatietojen toimittamiseksi. Pankki- ja maksutilien valvontajärjestelmään kuuluvat pankki- ja maksutilirekisteriin tietoja luovuttavat toimijat ovat pääsääntöisesti pienempiä toimijoita, ja tiedonhakujärjestelmän luominen vaatisi niiltä kohtuullisia resursseja niin ajallisesti kuin kustannustenkin osalta.  

Lainvalmisteluhankkeen aikana työryhmässä nostettiin kuitenkin esille se, että myös tilirekisteriin tietoja luovuttavilta toimijoilta kysytään yhä useammin saldo- ja tilitapahtumatietoja, koska muiden kuin perinteisten pankkien ja maksuvälineiden sijaan käytetään paljon muun muassa erilaisia maksunvälittäjiä. Viranomaiset joutuvat siis tekemään useita erillisiä tiedusteluja tietojen saamiseksi. Lisäksi on mahdollista, että osa tiedoista jää saamatta ja hyödyntämättä, jos viranomaisilla ei ole muualta saatua tietoa tilirekisterissä olevien toimijoiden palveluiden käytöstä. Valmistelun aikana työryhmässä päädyttiin siihen, että Tulli toteuttaa tiedonluovutusjärjestelmän, jonka avulla myös tilirekisteriin tilitietoja luovuttavat toimijat velvoitetaan luovuttamaan saldo- ja tilitapahtumatietoja keskitetyn saldo- ja tilitapahtumajärjestelmän kautta. Tämä tiedonvälitystapa on tiedonhakujärjestelmää keveämpi tietoturvallinen ratkaisu tiedon luovuttamiseksi. Koska pankki- ja maksutilirekisteri, minne edellä mainitut toimijat toimittavat asiakkaidensa tilin omistajuuteen liittyviä tietoja säännöllisin väliajoin, on yhdensuuntainen rekisteri, sieltä ei ole rajapintaa sinne tietoa toimittaviin toimijoihin. Tämän vuoksi tilirekisteriin tietoa toimittavien saldo- ja tilitapahtumatietojen tiedonvälitys tulee toteuttaa erillisen tiedonluovutusjärjestelmän avulla. 

Tilitapahtumatietojen kyselyoikeuden vaiheistaminen

Yksi vaihtoehto esitetylle olisi viranomaisten tilitapahtumia koskevien kyselyoikeuksien vaiheistaminen. Alkuvaiheessa kyselyoikeus voitaisiin myöntää esimerkiksi vain esitutkintaviranomaisille rikosten ennalta estämisestä, selvittämisestä ja syyteharkintaan asettamisesta varten ja vasta myöhemmässä vaiheessa muille pankki- ja maksutilien valvontajärjestelmässä mukana oleville viranomaisille. Tämä vaihtoehto ei kuitenkaan poistaisi muiden saldo- ja tilitapahtumia tarvitsevien viranomaisten tiedonsaantiongelmaa, sillä ne joutuisivat edelleen kehittämään omia rajapintojaan luotto- ja maksulaitoksiin ja siten olemassa oleva ongelma päällekkäisistä tietojärjestelmistä ja tiedon hajaantumisesta ei poistuisi. Tämä ei poistaisi myöskään luotto- ja maksulaitosten kokemaa haastetta viranomaisten kyselyiden vaihtelevuudesta ja erilaisten viranomaiskäytänteiden eroavuuksista. Keskittämällä kyselyt yhteen ja samaan järjestelmään ja samalla yhtenäistämällä tietopyyntöjen käsittelyä ja selkeyttämällä tiedonsaantioikeuksia helpotettaisiin myös luotto- ja maksulaitosten tiedonkäsittelyä. 

Ei muutosta nykytilanteeseen

Vaihtoehtona olisi myös nykytilan jatkaminen eli viranomaiset tekisivät tarvitsemansa saldo- ja tilitapahtumakyselyt omien rajapintojensa kautta tai mahdollisia muita kyselytapoja hyödyntäen ja kehittäisivät edelleen kahdenvälisiä tietojärjestelmiään tarvitsemiinsa luotto- ja maksulaitoksiin. Tämäkään vaihtoehto ei poistaisi olemassa olevaa ongelmaa päällekkäisistä tietojärjestelmistä ja tiedon hajaantumisesta. 

Tässä vaihtoehdossa on syytä huomioida, että Suomi on hakenut hankkeeseen rahoitusta EU:n elpymis- ja palautumistukivälineestä (RRF). Kun tilitapahtumatietojen kyselymahdollisuus on lisätty lakiin pankki- ja maksutilien valvontajärjestelmästä ja tuotantokäyttö hyödyntäen Tullin tätä käyttötarkoitusta varten kehittämiä rakenteita on aloitettu 30.6.2026 mennessä, on Suomi oikeutettu hakemaan komissiolta 1,6 miljoonan euron maksatuksia RRF-rahoituksesta. Koska tilitapahtumatietojen kyselymahdollisuuden lisäämiseksi haettu rahoitus on kytketty useasta projektista koostuvaan rahanpesun estämiseen liittyvään hankkeeseen, mikäli lakia pankki- ja maksutilien valvontajärjestelmän annetun lain muuttamisesta ei ole säädetty sovittuun ajankohtaan mennessä eikä Suomi ole onnistunut tavoitteessaan, voi tulonmenetys olla jopa 80 miljoonaa euroa. 

5.2  Ulkomaiden lainsäädäntö ja muut ulkomailla käytetyt keinot

Tällä hetkellä kolmen EU-maan (Viro, Italia, Kreikka) keskitetyistä pankkitilirekistereistä tai tiedonhakujärjestelmistä on mahdollista saada tilitapahtumatietoja. Lisäksi Hollannissa on ollut jo useamman vuoden valmistelussa asiaa koskeva lainsäädäntömuutos. Kaikilla mailla paitsi Italialla tiedot välitetään tiedonhakujärjestelmien ja keskitetyn mekanismin kautta. 

Viron keskitetty mekanismi on sähköinen tietojenhakujärjestelmä, jonka kautta viranomaiset voivat saada tietoja pankki- ja luottolaitoksilta. Järjestelmästä on vuodesta 2020 lähtien ollut mahdollista saada tilitapahtumatietoja ja ajantasaisen saldon viimeiseltä viideltä vuodelta. Järjestelmä on rakennettu siten, että pankkien vastaukset muodostuvat pääosin automaattisesti. Pankit voivat myös halutessaan vastata kyselyihin manuaalisemmin, jolloin viive voi olla joitain tunteja. Kuitenkin vastaukset tulevat viimeistään saman päivän aikana. Pankeille on kuitenkin lain mukaan useampi päivä aikaa vastata tietopyyntöön. Käyttäjinä ovat Ulosottolaitos, rahanpesun selvittelykeskus ja lainvalvontaviranomaiset.  

Italiassa Verohallinto, rahanpesun selvittelykeskus tai muu lainvalvontaviranomainen voi tiedustella tilitapahtumatietoja keskitetyn pankkitilirekisterin kautta. Pankkitilirekisteriin päivittyy tiedot asiakkuuksista ja tilien saldotiedot kerran kuussa.  

Kreikassa on ollut jo 10 vuoden ajan mahdollista saada tilitapahtumatiedot tiedonhakujärjestelmistä ja tiedot voi saada koko tältä ajalta. Tiedot saadaan vuorokauden kuluessa, mutta usein vastaus tulee vielä tätä nopeammin. Luottolaitoksille välitetään tieto siitä, mikä viranomainen tietoja kysyy ja millä perusteella. Järjestelmällä on useita viranomaiskäyttäjiä. 

Hollannissa valmistellaan muutosta finanssivalvonnasta annettuun lakiin (Wet op het financieel toezicht), jonka myötä tilitapahtumat voitaisiin välittää tiedonhakujärjestelmistä keskitetyn mekanismin kautta toimivaltaisille viranomaisille niiden olemassa olevien toimivaltuuksien mukaisesti. Tilitapahtumat tulisi toimittaa viimeiseltä viideltä vuodelta, mutta isot pankit ovat ilmoittaneet voivansa toimittaa tilitapahtumat 7 vuodelta ja oikeusperusta olisi kansallinen. Tilitapahtumat haetaan ISO20022 sanomilla (CAMT052/053 muodossa).  

6.1  Yleistä lausuntopalautteesta

Esitysluonnosta ja sen tavoitteita pidettiin lausunnoissa yleisesti kannatettavina ja ehdotettuja muutoksia tarkoituksenmukaisina ja perusteltuina. Useat lausunnonantajat korostivat sitä, että esityksen mukaisilla viranomaisilla on jo voimassa olevan lainsäädännön nojalla oikeus saada finanssialan toimijoilta saldo- ja tilitapahtumatietoja eikä näiden tietojen kyselymahdollisuuden lisääminen pankki- ja maksutilien valvontajärjestelmään siten laajentaisi nykyisiä laissa säädettyjä toimivaltuuksia. Finanssivalvonnan ja Suomen yrittäjien mukaan ehdotettu menettely olisi nopeampi, täsmällisempi ja oikeusvarmempi kuin nykyinen satunnaisten tiedustelujen tekeminen joko suojattuna sähköpostilla tai kirjeitse. Keskusrikospoliisi pitää ehdotettavia muutoksia erittäin kannatettavina ja poliisin lakisääteisten tehtävien tehokkaan ja tietosuojasääntelyn mukaisen suorittamisen kannalta tärkeinä. Muutoksen myötä usein rikostorjunnan keskiössä olevat tilitapahtumatiedot tuotaisiin ehdotuksella viranomaisten saataville tarkan laillisuusvalvonnan mahdollistavan, tietosuojan kannalta koherentin teknisen työkalun avulla sen sijaan, että kukin viranomainen ratkaisee menettelytapoja ja tietosuojaa koskevat kysymykset omista lähtökohdistaan käsin. Myös Poliisihallitus katsoo, että esityksellä tuetaan tavoitteita rikostorjunnan vahvistamisesta, harmaan talouden torjunnasta, rahanpesun estämisestä ja rikoshyödyn takaisinsaannista. Varallisuustietojen ja esityksessä mainittujen muiden tarvittavien tietojen saamista laaja-alaisesti esitutkinnan piiriin voidaan pitää tärkeänä ja välttämättömänä edellä mainittujen tavoitteiden toteuttamiseksi. Puolustusministeriö toteaa, että järjestelmän voidaan katsoa tehostavan viranomaisten toimintaa sekä ottavan huomioon etenkin rikosten ennalta estämiseen ja paljastamiseen sekä tiedustelutoimintaan liittyvät herkkyydet. Myös Ulosottolaitos toteaa, että tilitapahtumatietojen kysely ja vastaanotto pankki- ja maksutilien valvontajärjestelmästä tehostaisi sen tiedusteluprosessia sillä järjestelmään luovuttaa tietoja usea sellainen toimija, jonka kanssa ulosottoviranomaisella ei ole tällä hetkellä rajapintayhteyttä kyselyiden tekemiseen. Rajavartiolaitoksen esikunnan mukaan ehdotetut muutokset vähentäisivät työmäärää myös vastauksia antavissa tahoissa, sillä kyselyt kyettäisiin kohdentamaan jatkossa rajatummin tahoille, joilta tietoa tarvitaan. Rajavartiolaitoksen esikunta katsoo, että muutokset lisäisivät tietoturvaa ja -suojaa sekä edesauttaisivat Rajavartiolaitoksen sisäisen laillisuusvalvonnan toteuttamista. Myös suojelupoliisin mukaan esitys on kannatettava ja se vastaa hyvin sille asetettuihin tavoitteisiin. Elinkeinoelämän keskusliitto ( jäljempänä EK) kannattaa erityisesti esityksen tavoitetta keventää luotto- ja maksulaitosten tilitapahtumakyselyjä koskevaa hallinnollista taakkaa keskittämällä viranomaisen kyselyt yhteen järjestelmään, jossa yhdenmukaistetaan tilitapahtumakyselyjen käsittelysääntely kaikkien viranomaisten ja niiden tekemien kyselyjen osalta. Myös valtiovarainministeriö, Tulli ja verohallinto pitävät kannatettavana ehdotusta muodostaa pankki- ja maksutilien valvontajärjestelmään uusi saldo- ja tilitapahtumatietoja koskeva toiminnallisuus, jonka kautta toimivaltaiset viranomaiset voisivat jatkossa saada tehtäviensä kannalta välttämättömiä saldo- ja tilitapahtumatietoja keskitetysti. Valtiovarainministeriö ja Tulli toteavat, että ovat osallistuneet työryhmän toimintaan aktiivisesti ja esittäneet tässä yhteydessä näkemyksiään, jotka ovat tulleet merkittäviltä osin huomioiduksi jo työryhmätyöskentelyn aikana. Myös oikeusministeriö pitää lain tavoitteiden ja Petteri Orpon hallituksen ohjelman näkökulmasta perusteltuna, että pankkien saldo- ja tilitapahtumatietoja luovutettaisiin viranomaisille teknisten rajapintojen välityksellä pankki- ja maksutilien valvontajärjestelmää hyödyntäen. Ahvenanmaan maakuntahallitus toteaa, että ehdotetut muutokset koskevat valtakunnan lainsäädäntövaltaan kuuluvia asioita.  

Ehdotettujen muutosten katsottiin aiheuttavan tiedonluovuttajille taloudellisia ja hallinnollisia kustannuksia niin tietojärjestelmämuutosten kuin myös kyselymäärien kasvamisen myötä, mutta keskitetyn järjestelmän arvioitiin ajan myötä tuottavan myös valvottaville säästöjä. Etenkin Tullin ja Finanssiala ry (jäljempänä FA ) lausunnoissa tuodaan esille useita parannusehdotuksia, joilla ehdotettuja säännöksiä ja niiden perusteluja tulisi täsmentää ja täydentää lainsäädännön epäselvyyden ja tulkinnanvaraisuuden välttämiseksi. FA pitää tärkeänä, että jatkovalmistelussa kiinnitetään huomiota tiedonluovutusten kohteena olevien asiakkaiden ja tiedonluovuttajien laillisten oikeuksien sekä tiedonluovutuksiin liittyvän luottamuksensuojan varmistamiseen. Oikeusministeriö nostaa esille huomioita, jotka liittyvät erityisesti EU-oikeuden kansalliseen liikkumavaraan, valtiosääntöoikeudellisesti arkaluonteisiksi henkilötiedoiksi määriteltyjen tilitapahtumatietojen käsittelylle asetettuihin edellytyksiin sekä viranomaisen tiedonsaantioikeuksille asetettuihin edellytyksiin.  

6.2  Huomioita lausunnoista sekä lausuntojen perusteella tehdyt muutokset esitykseen

Finanssiala ry :n (jäljempänä FA ) mukaan ottaen huomioon viranomaisten tietopyyntöjen suppean tietosisällön ja niihin vastaamiselle asetetun tiukan määräajan, jää epäselväksi, millä tavoin tiedonluovuttaja tosiasiallisesti voi tehdä tapauskohtaisen arvion luovutuksen välttämättömyydestä ja oikeasuhtaisuudesta määräajan puitteissa. Tietopyynnön suppean tietosisällön vuoksi myönteinen tiedonluovutuspäätös käytännössä rinnastuisi FA:n mukaan yleisen tietosuoja-asetuksen 22 artiklassa tarkoitettuun automatisoituun yksittäispäätökseen, mikä entisestään mutkistaisi tilannetta tietoja kysyvän viranomaisen ja tiedonluovuttajan sekä saldo- ja tilitapahtumajärjestelmän riskien arvioinnin näkökulmista. FA huomauttaa, että tiedonluovuttajien on rekisterinpitäjänä velvollisuus varmistaa kaiken käsittelyn lainmukaisuus EU:n yleisen tietosuoja-asetuksen 6 artiklan mukaisesti. FA pitääkin tärkeänä, että jatkovalmistelun yhteydessä varmistetaan, että viranomaisten tietopyyntöjen minimisisältö on riittävän yksityiskohtainen, jotta tiedonluovuttaja voi täyttää yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuutensa. Lisäksi FA toteaa, että sen käsityksen mukaan viranomaisten tiedonsaantioikeuksia koskevat pykälät eivät kaikilta osin ole riittävän täsmällisiä ja tarkkarajaisia. Ellei viranomaisten tiedonsaantioikeuksia sekä niiden käyttöä ja valvontaa koskevia hallinnollisia vaatimuksia tarkenneta samassa aikataulussa HE-luonnoksen jatkovalmistelun kanssa, FA pitää todennäköisenä, etteivät lakimuutoksen tavoitteet kaikilta osin toteudu.  

Viranomaisten keskitetyn järjestelmän käyttöoikeuksien ja tiedonkäsittelyyn liittyvien vastuiden osalta FA pitää tärkeänä, että säännöksen vaikutus tiedonluovuttajien oikeuksiin ja velvollisuuksiin arvioitaisiin huolellisesti. Tiedonluovuttajan luottamuksensuojan kannalta FA pitää välttämättömänä, että pankki- ja maksutilien valvontajärjestelmästä annetussa laissa (jäljempänä PMJ-laki ) ja sen perusteluissa määriteltäisiin yksiselitteisesti tietoja pyytävän viranomaisen ja sekä tietoja luovuttavien toimijoiden vastuut. Laissa tulisi myös yksiselitteisesti säätää, että tietoja kysyvää viranomaista pidetään aina yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä tekemiensä kyselyjen ja niihin vastauksena annettujen henkilötietojen käsittelyn osalta. Tiedonluovuttaja puolestaan vastaisi rekisterinpitäjänä siitä, että sen luovuttamat tiedot ovat yleisen tietosuoja-asetuksen edellyttämällä tavalla oikeasisältöisiä ja ajan tasalla. Jatkovalmistelussa rekisterinpitäjän vastuita on selvennetty ehdotetulla säädöksellä ja tietosuoja-asetuksesta seuraavia tiedon käsittelyä koskevia vastuita kullekin rekisterinpitäjälle on tarkennettu perusteluihin.  

FA esittää, että kestävän ja läpinäkyvän tietojen käsittelyn varmistamiseksi tiedonluovuttajilla tulisi olla oikeus julkaista vähintään pyyntöjen kappalemäärät ja tietoja pyytäneiden viranomaisten nimet osana vastuullisuusraportointiaan. FA esittää myös, että Tullille asetettaisiin velvoite seurata saldo- ja tilitapahtumakyselyjen määrien kehittymistä viranomaiskohtaisesti ja julkaista kyselyjä koskevia yhteenvetotilastoja vähintään vuositasolla. Tiedonluovuttajilla tulisi myös olla mahdollisuus saada tietoja viranomaisten tietopyyntöihin liittyvän laillisuusvalvonnan havainnoista ja tuloksista, jotta niiden olisi mahdollista arvioida yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaisen osoitusvelvollisuutensa toteutumista. Rekisteröityjen oikeuksien ja henkilötietojen käsittelyn läpinäkyvyyden turvaamiseksi FA ehdottaa myös harkittavaksi riippumattoman kolmannen tahon asettamista valvomaan viranomaisen tekemiä kyselyjä. Tiedonluovuttajan laillisten oikeuksien turvaamiseksi PMJ-laissa olisi tarpeen säätää myös siitä, millä tavoin tiedonluovuttajalla on oikeus saada Tullin ylläpitämästä lokirekisteristä tietoja. FA:n mukaan HE-luonnoksessa korostetaan kysyvän viranomaisen vastuuta tietopyynnön tarpeellisuudesta, oikeasuhtaisuudesta ja lainmukaisuudesta, mutta tiedonluovuttajan luottamuksensuoja jää pääosin epäselväksi. FA:n mukaan ehdotuksessa kuvattu järjestelmä ei mahdollista tietosuoja-asetuksen edellyttämää rekisterinpitäjän ennakkokontrollia, kun viranomaisen pyynnön oikeusperustana on tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukainen yleinen etu. Jatkovalmistelussa on tarkennettu laillisuusvalvontaa koskevaa osiota. 

FA pitää todennäköisenä, että saldo- ja tilitapahtumakyselymahdollisuuden lisääminen PMJ:än tulee kasvattamaan kyselyjen määrää merkittävästi. Kun tämä yhdistetään viranomaisten laajasti ja epätäsmällisesti määriteltyihin tiedonsaantioikeuksiin, tiedonluovuttajien vaikeuksiin arvioida sisällöltään suppeiden tietopyyntöjen lainmukaisuutta ja kyselyjä tekevien viranomaisten tietosuojavastaavien rajallisiin valvontamahdollisuuksiin, FA pitää tärkeänä, että ehdotettujen riskienhallinta- ja valvontatoimenpiteiden riittävyys arvioidaan ja varmistetaan jatkovalmistelun yhteydessä. Ehdotettuun lakiin sisältyy merkittävä määrä teknisiä ja organitorisia suoja- ja turvallisuustoimia, joiden on katsottu riittävän tiedon lainmukaisen käsittelyn varmistamiseksi. 

FA esittää lisäksi tarkennuksia 2 §:n 15 kohtaan, 17 f §:ään ja 4 luvun voimaantulopykälään, jotta varmistettaisiin pykälien selkeys ja johdonmukaisuus sekä niiden yhdenmukainen tulkinta. Jatkovalmistelussa on tarkennettu edellä mainittuja kohtia. FA:n esittää lisäksi tarkennusehdotuksen 4 §:n sisältöön ja käyttöoikeudenhaltijan terminologiaan liittyen. Mainitun pykälän sisältöä käsitellään parhaillaan erillisessä kuudennen rahanpesudirektiivin täytäntöönpanoa koskevassa lainsäädäntöhankkeessa ja ehdotetut huomiot on välitetty mainitun työryhmän tietoon. 

Keskusrikospoliisi toteaa, että koska pankki- ja maksutilien valvontajärjestelmän (jäljempänä pmj ) kautta välitettävät sanomarakenteet ja tietosisällöt tulisivat ehdotuksen mukaisesti olemaan rahoitustietodirektiivin täytäntöönpanemisessa hyödynnettäviksi kaavaillun ISO 20022 standardin mukaisia, mahdollisuus kysyä tilitapahtumatietoja pmj:n kautta edesauttaisi myös rahoitustietodirektiivin kansallista implementointia. Mikäli tilitapahtumia ei saataisi pmj:n kautta, tulisi Keskusrikospoliisissa sijaitsevan rahoitustietodirektiivin mukaisen kansallisen yhteyspisteen mahdollisesti rakentaa erillinen rajapinta jokaisen maksu- ja luottolaitoksen kanssa, millä olisi merkittäviä kustannusvaikutuksia niin poliisille kuin luotto- ja maksulaitoksillekin, keskusrikospoliisi huomauttaa.  

Keskusrikospoliisi ehdottaa lisäksi selvitettäväksi, voisiko ehdotetun saldo- tai tilitapahtumakyselyn yhteydessä selvittää samalla automatisoidusta, keskitetystä tilitietoja sisältävästä järjestelmästä nykyisin saatavat tilinhaltijan ja tilin käyttöoikeuden haltijan täydellisen nimen syntymäajan ja suomalaisen henkilötunnuksen tai sen puuttuessa kansalaisuuden, tai oikeushenkilön täydellisen nimen, rekisterinumeron, rekisteröimispäivän ja rekisteriviranomaisen. Koska kyseiset tiedot ovat saatavilla jo nykyisin perustilitietokyselyn mukaisesti ja erillinen saldo- ja tilitapahtumakysely koskee erillistä yksityiskohtaisempaa tiedonkäsittelyä, joka perustuu siihen, että viranomaisella on tieto kenen tilistä on kyse, jatkovalmistelussa on todettu ettei ehdotettuun sääntelyyn tehdä muutoksia. Viranomainen voi omassa järjestelmässään ratkaista missä muodossa tiedot pankki- ja maksutilien valvontajärjestelmän kahdesta eri toiminnallisuudesta tuotetaan hyödynnettäväksi.  

Oikeusministeriö toteaa, että pankki- ja maksutilien valvontajärjestelmä on perustettu viidennen rahanpesudirektiivin täytäntöönpanemiseksi. Järjestelmää käyttävien viranomaisten piiriä laajennettiin rahoitustietodirektiivin täytäntöönpanon yhteydessä myös kansallisista tarpeista johtuen. Oikeusministeriö kiinnittää huomiota siihen, ettei perustuslakivaliokunta ole arvioinut rahoitustietodirektiiviin täytäntöönpanon yhteydessä tehtyä järjestelmää käyttävien viranomaisten piirin laajentamista arkaluonteisten tietojen käsittelyllä asetettujen edellytysten näkökulmasta käsin. Järjestelmässä suoritettavan henkilötietojen käsittelyn laajuuden kannalta on oikeusministeriön mukaan perusteltua kiinnittää huomiota siihen, että esityksessä viitataan useassa kohtaa siihen, että esitettävät muutokset parantaisivat henkilötietojen suojaa. Muutosehdotuksilla tavoitellaan arkaluonteisten henkilötietojen aikaisempaa tehokkaampaa ja siten laajempaa käsittelyä. Mitä laajemmin tietoon pääsy sallitaan, sen enemmän riskejä sääntelyyn liittyy luonnollisen henkilön yksityiselämän ja henkilötietojen suojan kannalta. Tietoturvallisella teknologialla voi sinänsä olla henkilötietojen käsittelyn tietoturvallisuuttaa parantavaa vaikutusta, mutta tietojen luovutuksiin liittyy aina riskejä, oikeusministeriö huomauttaa. Järjestelmässä käsiteltävien henkilötietojen laajuuden kannalta oikeusministeriö kiinnittää huomiota myös siihen, että pankki- ja maksutilien valvontajärjestelmästä annettuun lakiin esitettävän 17 d § 2 momentin mukaan keskitetyn saldo- ja tilitapahtumajärjestelmän kautta on mahdollista pyytää myös luonnollisen henkilön tai oikeushenkilön sijoituksiin, osakkeisiin, arvopapereihin, luottoihin ja vakuuksiin liittyvät tiedot, jotka toimivaltaisella viranomaisella on välttämätöntä saada laissa määriteltyihin tarkoituksiin. Jatkovalmistelussa kyseistä säännösehdotusta olisi vielä arvioitava suhteessa lain 1 §:ään, joka koskee järjestelmän ja lain tarkoitusta sekä lain soveltamisalaa koskevaan 1 a §:ään, sekä arvioitava merkitsisikö kyseisen säännöksen soveltaminen valtiosääntöoikeudellisesti arkaluonteisten tai niihin rinnastuvien tietojen käsittelyä. Säännöstä olisi myös arvioitava EU-oikeuden, erityisesti yleisen tietosuoja-asetuksen, kansallisen liikkumavaran kannalta, oikeusministeriö huomauttaa. Jatkovalmistelussa lain 1 ja 1 a §:ää on täydennetty ehdotettu säännös huomioiden sekä täydennetty ehdotetun 17 d §:n 2 momentin perusteluja.  

Oikeusministeriön mukaan EU-oikeuden kansallisen liikkumavaran käytön osalta esitysluonnoksen säätämisjärjestysperusteluissa on asianmukaisesti tuotu esiin perustuslakivaliokunnan lausuntokäytäntöä, joka koskee EU-lainsäädännön kansallisen liikkumavaran käyttämistä sekä arvioitu esitettävää sääntelyä suhteessa tähän lausuntokäytäntöön. Esitettävää sääntelyä on myös arvioitu EU:n yleisen tietosuoja-asetuksen (EU) 2016/679 (jäljempänä tietosuoja-asetus ) sekä edellä mainittujen viidennen rahanpesudirektiivin ja rahoitustietodirektiiviin kansallisen liikkumavaran kannalta huomioiden tässä yhteydessä myös relevanttia EU-tuomioistuimen ratkaisukäytäntöä.  

Esitysluonnoksessa ehdotettu tilitapahtumatietojen kyselymahdollisuuden lisääminen pankki- ja maksutilien valvontajärjestelmään on merkityksellistä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaisen käyttötarkoitussidonnaisuuden periaatteen kannalta. Oikeus-ministeriö katsoo, että käyttötarkoitussidonnaisuuden periaatetta koskevan arvion kannalta keskeistä on kiinnittää huomiota viidennen rahanpesudirektiivin sekä rahoitustietodirektiivin mukaisiin henkilötietojen käyttötarkoituksiin. Vaikka nyt esitettävissä lainsäädäntömuutoksissa olisi kyse kansallisesta laajennuksesta, hyödynnettäisiin siihen perustuvaan henkilötietojen käsittelyyn viidennen rahanpesudirektiivin ja rahoitustietodirektiivin täytäntöönpanosääntelyllä perustettua tietojärjestelmää. Lisäksi nyt esitettävän arkaluonteisten tietojen käsittelyyn liittyisi esitysluonnoksen mukaan edellä mainittujen direktiivien täytäntöönpanosääntelyn nojalla käsiteltävien henkilötietojen käsittelyä. Liikkumavaraa koskevan kysymyksen merkityksen voidaan katsoa korostuvan, jos tietojärjestelmää ryhdytään hyödyntämään arkaluonteisten tietojen käsittelyyn, käsittelyyn liittyvien riskien vuoksi, oikeusministeriö huomauttaa. Oikeusministeriö korostaa esitysluonnoksessa esitellyn PNR-direktiivin tulkintaa koskevan huomion osalta, että tuomion perusteluista ilmenee yleisemmin sovellettavia käyttötarkoitussidonnaisuuden periaatteeseen liittyviä näkökohtia. Jatkovalmistelussa käyttötarkoitussidonnaisuuden periaatetta koskevaa arviota on täsmennetty ja PNR-tuomioon liittyvää tulkintaa on täydennetty. 

Esitysluonnoksessa on oikeusministeriön mukaan asianmukaisesti selostettu yleisen tietosuoja-asetuksen liikkumavaran käyttöön liittyviä näkökohtia sekä arvioitu liikkumavaran käyttöä esitettävän sääntelyn kannalta. Jatkovalmistelussa yleisen tietosuoja-asetuksen liikkumavara-arviota olisi kuitenkin ministeriön mukaan tarkennettava, jotta säätämisjärjestysperusteluissa selostettu liikkumavaran käyttämistä koskeva perustuslakivaliokunnan lausuntokäytäntö tulisi asianmukaisesti huomioiduksi. Jatkovalmistelussa arviota on täydennetty lausuntokäytäntöä huomioiden.  

Oikeasuhtaisuusarvion osalta oikeusministeriö kiinnittää huomiota siihen, että arvion mukaan puolustusvoimat on tehnyt vuosittain muutamia tilitapahtumatietojen kyselyjä kyselyoikeuden perusteeksi esitettävän rikostorjunnasta puolustusvoimissa annetun lain 44 §:n mukaisen tiedonsaantioikeuden perusteella. Oikeasuhtaisuusarvion osalta merkillepantavaa on lisäksi se, että Finanssivalvonnan osalta esitetään oikeutta tehdä tilitapahtumatietokyselyitä kaikkiin sen laissa säädettyihin tehtäviin liittyen. Arvion valossa vaikuttaisi kuitenkin jäävän täsmentymättömäksi, missä määrin kukin tehtävä edellyttää tilitapahtumatietojen käsittelyä. Jatkovalmistelussa oikeasuhtaisuusarviota on täydennetty mainittujen viranomaisten osalta. 

Oikeusministeriö katsoo, että jatkovalmistelussa salassapitosäännöstä koskevaa liikkumavara-arviota on syytä tarkistaa. Salassapitosääntely voidaan perusteluiden mukaisesti määritellä henkilötietojen käsittelyyn sovellettavaksi suojatoimeksi mutta sillä ei ole tarkoitus mukauttaa käyttötarkoitussidonnaisuutta. Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisen liikkumavaran osalta kyseeseen voisi tulla ennemminkin esimerkiksi kohdan mukaiset yleiset edellytykset, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta. Oikeusministeriö kiinnittää huomiota siihen, että esityksen vaikutusarviossa todetaan, että tilitapahtumatietojen saaminen samassa muodossa helpottaisi myös tietojen jatkokäsittelyä. Jatkovalmistelussa kyseisen toteamuksen merkitystä olisi selvennettävä huomioiden esitettävän 1 b §:n 3 momentin, jolla rajattaisiin järjestelmän välityksellä saatujen tietojen käyttäminen vain niihin tarkoituksiin, jota varten tiedot on luovutettu. Jatkovalmistelussa olisi myös arvioitava viimeksi mainitun säännöksen suhdetta lain verotustietojen julkisuudesta ja salassapidosta (1346/1999) 10 §:ään, jonka mukaan verohallinto saa käyttää ja käsitellä tiettyä verotusasiaa varten saamiaan ja laatimiaan verotustietoja muidenkin Verohallinnosta annetun lain (503/2010) 2 §:n mukaisten tehtävien suorittamiseksi henkilötietojen suojaa ja asiakirjojen salassapitoa koskevien säännösten estämättä. Jatkovalmistelussa mainittuja kohti on täsmennetty.  

Oikeusministeriö katsoo, että rekisteröidyn oikeutta koskevaa rajoitusta olisi arvioitava yleisen tietosuoja-asetuksen 23 artiklan mukaisten edellytysten valossa ja rekisteröidyn oikeuden rajoittamista koskevaa arviota olisi tältä osin täydennettävä. Perusteluihin sisältyvä toteamuksen, jonka mukaan rajoitus perustuisi tietosuojalain 34 §:ään, merkitys jää epäselväksi ja jatkovalmistelussa se tulisi poistaa perusteluista. Mainittuja kohtia on jatkovalmistelussa täsmennetty. Oikeusministeriö kiinnittää lisäksi huomiota salassapitosäännöksen täsmällisyyteen. Ministeriö toteaa, että salassapitosäännöksen muotoilu ”avulla käsiteltävät tiedot” voi jättää soveltajalle tulkinnanvaraa, käsitelläänkö tietoja järjestelmässä vai sen ”osajärjestelmissä” vai niiden ulkopuolella. Lisäksi ministeriö katsoo, että esityksessä on syytä tehdä selkoa siitä, mikä salassapitosäännöksen suhde on pankki- ja maksutilien valvontajärjestelmän osajärjestelmissä olevien tietojen julkisuuteen (keskitetty automatisoitu tilitietojärjestelmä ja keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä) sekä pankki- ja maksutilirekisteriin, johon merkittyjä tietoja ehdotetaan säädettäväksi nykytilaa vastaavasti salassa pidettäviksi (5 §). Jatkovalmistelussa salassapitosääntelyä koskevaa säännöstä ja sen perusteluja on täsmennetty. Salassapito kattaa kokoa järjestelmän tiedonkäsittelyn.  

Oikeusministeriö toteaa, että 17 a ja 17 c §:ssä ehdotetut säännökset on muotoiltu tiedonsaantioikeuksiksi, joista kuitenkin säädetään jo muualla lainsäädännössä. Ehdotetut pykälät viittaussäännöksineen muodostavat sekavan kokonaisuuden. Ministeriön käsityksen mukaan sääntelykokonaisuus johtaisi tilanteeseen, jossa tiedonsaantioikeudesta samoihin tietoihin on säädetty kaksi kertaa. Huomioiden edellä selostettu perustuslakivaliokunnan lausuntokäytäntö, oikeusministeriö toteaa, että ehdotettu tiedonsaantioikeuksia koskeva sääntely on valtiosääntöisesti ongelmallinen. Oikeusministeriö toteaa, että nyt 17 a–17 d §:iin ehdotettu sääntely on mahdollista toteuttaa siten, että ehdotetussa laissa säädetään tiedon luovutustavasta. Ehdotetuissa pykälissä mainituille viranomaisille voidaan säätää oikeus saada voimassa olevien tiedonsaantioikeuksiensa mukaisesti saldotietoja ja tilitapahtumatietoja myös sähköisesti teknisen rajapinnan avulla sähköisestä saldo- ja tilitapahtumajärjestelmästä, jos viranomaisella on laissa säädetty oikeus saada pyydettyjä tietoja. Sääntelyllä on mahdollista rajoittaa teknisen rajapinnan avulla saatavia tietoja nyt 17 b ja 17 d §:ssä kaavaillulla tavalla. Mainittuja säännöksiä on muokattu ehdotuksen mukaisesti.  

Esityksen säätämisjärjestysperusteluissa viitataan erityisten henkilötietoryhmien käsittelyyn sovellettavan poikkeusperusteen osalta yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan. Säätämisjärjestysperusteluissa todetaan tässä yhteydessä, että ehdotukseen on sisällytetty sellaiset yleistä tietosuoja-asetusta täydentävät erityissäännökset, joiden arvioidaan olevan välttämättömiä henkilön oikeuksille ja vapauksille syntyvän korkean riskin minimoimiseksi. Esitysluonnoksen säännöskohtaisissa perusteluissa on useassa kohdassa viitattu käsittelyyn sovellettaviin suojatoimiin. Jatkovalmistelussa myös säätämisjärjestysperusteluita olisi perusteltua täydentää tuomalla esiin, mitä 9 artiklan 2 kohdan g alakohdan mukaisia suojatoimia käsittelyyn on tarkoitus soveltaa, oikeusministeriö huomauttaa. Jatkovalmistelussa säätämisjärjestysperusteluita on täydennetty.  

Esitysluonnoksen 2. lakiehdotuksen osalta oikeusministeriö toteaa, että 1 momentissa ehdotettu tiedonantovelvollisuutta koskeva säännös on jo sidottu välttämättömyyskriteeriin. Näin ollen 2 momentin sääntely on tarpeeton ja se on syytä poistaa. Jatkovalmistelussa 2 momentti on poistettu säännösehdotuksesta.  

Poliisihallitus esittää arvioitavaksi tarvetta selkeyttää säännöksiä niiltä osin, kun ne koskevat tilannetta, jossa rekisteröity esittää tietosuoja-asetuksen 15 artiklan mukaisen pyynnön päästä tietoihin rekisterinpitäjänä toimivalle luotto- ja maksulaitokselle. Kun luotto- ja maksulaitos kerää lokitietoja tiedon luovuttamisesta toimivaltaiselle viranomaiselle, ja näiden tietojen osalta rekisteröidyn oikeutta päästä tietoihin ei ole rajoitettu, syntyy riski siitä, että maksu- ja luottolaitokset soveltaisivat tietoihin poliisia laajempaa rekisteröidyn tarkastusoikeutta ja tietopyynnön kohteelle selviäisi välillisesti tämän olevan poliisin toimenpiteen kohteena. Lisäksi Poliisihallitus esittää 17 e §:n tai vaihtoehtoisesti säännöksen perustelujen tarkentamista käyttötarkoituksen ilmoittamisen osalta. Mikäli tietojen luovuttamiseksi vaaditaan toimivaltasäännöksen lisäksi yksityiskohtaista tietoa siitä, mihin tietoa tullaan käyttämään, voisi tämä paljastaa tiedot luovuttavalle toimijalle tarpeettomasti tietoja esimerkiksi käynnissä olevasta poliisin tutkinnasta, Poliisihallitus huomauttaa. Esityksen jatkovalmistelussa on laajennettu rekisteröidyn tarkastusoikeutta koskevaa sääntely ulottumaan perustelutekstin mukaisesti myös tietoa luovuttamaan luotto- ja maksulaitokseen eli sähköiseen pankki- ja maksutilien tiedonhakujärjestelmään. Rekisteröidyn oikeuksien rajoittaminen on erittäin merkityksellistä viranomaisen tietopyynnön salassapitoperusteiden takia. Rekisteröidyn tarkastusoikeutta on rajoitettu voimassa olevan lain mukaisesti koostavan sovelluksen osalta ja on siten syytä tarkentaa, että se ulottuu myös rekisterinpitäjänä toimivan tiedonluovuttajan rekisteriin. Käyttötarkoituksen ilmoittamisen osalta jatkovalmistelussa on todettu, että käyttötarkoituksen ilmoittaminen tukee tietosuoja-asetuksen 5 artiklan mukaista osoitusvelvollisuuden toteutumista ja antaa tietoa luovuttavalle toimijalle tosiasiallisen mahdollisuuden arvioida pyynnön välttämättömyyttä ja lainmukaisuutta. Ehdotettu muotoilu ei muuta nykyistä käytäntöä, jonka mukaan viranomaiset ovat tilitapahtumatietoja kysyessään antaneet tietoa luovuttavalle taholle kyselyä koskevan käsittelytarkoituksen. Käyttötarkoituksen kertominen kuitenkin lisää riskiä tietojen mahdolliselle väärinkäytökselle. Siten on tärkeä, että ehdotetun 1 c §:n mukaisesti ehdotuksessa huomioidaan salassapitosääntely sekä rajoitetaan rekisteröidyn tarkastusoikeutta. 

Suomen Asianajajaliitto katsoo, että esityksessä saldo- ja tilitapahtumien luovuttamista koskevissa säännöksissä ei ole asianmukaisesti huomioitu asianajajan asiakasvarojen tiliä koskevaa salassapitovelvollisuutta, kuten on tehty edellä todetulla tavalla pankki- ja maksutilien tiedonhakujärjestelmää koskevassa 4 §:ssä. Tämän vuoksi asianajajaliitto vastustaa hallituksen esityksen luonnoksessa tarkoitettuja sähköisiä saldo- ja tilitapahtumajärjestelmiä siltä osin, kuin ne koskevat asianajajan asiakasvaratilejä. Asianajajaliitto pitää ehdottoman välttämättömänä, että hallituksen esityksessä tulee selkeästi esille asianajajien erityisasema ja salassapitovelvollisuus. Asianajajaliitto edellyttää, että viranomaiset eivät sähköisen rajapinnan kautta pysty lainkaan saamaan tilitapahtuma- eikä muitakaan tietoja asiakasvaratileiksi merkityiltä tileiltä, vaan viranomaisten tulee kääntyä tilin haltijana toimivan asianajajan puoleen asiakasvaratilin tilitapahtumien selvittämiseksi. Esityksen jatkovalmistelussa ehdotusten pykälämuotoilua on korjattu edellä mainitun mukaisesti.  

Tietosuojavaltuutetun toimisto toteaa, että hallituksen esitysluonnoksessa on arvioitava muun muassa EU:n yleisen tietosuoja-asetuksen, perustuslain sekä Euroopan ihmisoikeussopimuksen vaatimukset. Henkilötietojen käsittelyä koskevan sääntelyn tulee tapahtua lain tasolla ja sen tulee olla kattavaa, täsmällistä ja tarkkarajaista. Lisäksi henkilötietojen käsittelyä koskevan lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen asetettuun tavoitteeseen nähden. Lainsäädännön on oltava myös selkeää ja sen soveltamisen on oltava ennakoitavaa. Tietosuojavaltuutettu on antanut lakihanketta edeltävään esiselvityshankkeeseen lausunnon (Dnro 3654/91/2023), jossa on tuotu esiin lainsäädäntöhankkeessa huomioitavia asioita tietosuojalainsäädännön näkökulmasta. Siltä osin, kun nyt lausunnolla olevassa luonnoksessa on otettu huomioon tuolloin esiin tuotuja asioita, tietosuojavaltuutettu katsoo, että hallituksen esitysluonnos on täsmällinen ja tarkkarajainen sekä asianmukaisesti perusteltu.  

Tietosuojavaltuutettu huomauttaa, että tilitapahtumatietoihin voi liittyä erityisiä henkilötietoja, arkaluonteisia tietoja sekä muita tietoja, jotka menevät syvälle rekisteröidyn yksityisyyden piiriin. Lisäksi tilitapahtumatietojen käsittelyssä voidaan käsitellä myös tietopyyntöön nähden ulkopuolisten henkilöiden henkilötietoja. Tästä syystä tietopyynnön tapauskohtaisesta arvioinnista ja ajallisesta rajauksesta olisi tarkoituksenmukaista säätää suoraan 17 f §:n 2 momentissa, jotta säädös on täsmällinen ja tarkkarajainen sekä ohjaisi sen ennakoitavaan soveltamiseen. Lisäksi Tietosuojavaltuutetun toimisto toteaa, että tilitapahtumatiedoissa viranomaiselle luovutetaan väistämättä myös sellaista tietoa, joka ei liity tietopyynnön perusteena olevaan asiaan ja tämän takia joko säädöstekstissä tai lain perusteluissa olisi tarkoituksenmukaista tuoda esiin tarpeettomien henkilötietojen poisto. Tietosuojavaltuutetun näkemyksen mukaan viranomaisella tulisi olla myös tämän lain henkilötietojen käsittelyn osalta selkeästi velvollisuus analysoida luovutettuja tilitapahtumatietoja ja poistaa tarpeettomat tiedot ilman aiheetonta viivytystä. Näin vahvistettaisiin rekisteröityjen henkilötietojen- ja yksityisyyden suojaa ja sekä henkilötietojen käsittelyn minimoinnin periaate että henkilötietojen käsittelyn välttämättömyys toteutuisivat varmemmin. Tietosuojavaltuutettu esittää harkittavaksi, tulisiko tietojen poistoa koskevasta määräajasta säätää suoraan laissa tai esittää perusteluissa tarkemmin määräajan mahdollisesta pituudesta, jotta erityisten- sekä arkaluontoisten ja syvälle rekisteröidyn yksityisyyteen kohdistuvien tietojen minimointi voidaan varmistaa erityisesti, kun otetaan huomioon, että koostavaan sovellukseen ei ole tarkoitus varastoida tietoja. Oikeusministeriö taas katsoo, että esitysluonnos sisältää yleisen tietosuoja-asetuksen 5 artiklan mukaisten tietojen minimointia ja säilytyksen rajoittamista koskevien periaatteiden sekä asetuksen mukaisten tietojen virheettömyyttä, täsmällisyyttä ja henkilötietojen käsittelyn lainmukaisuutta koskevien velvoitteiden kanssa päällekkäistä sääntelyä, jota olisi vältettävä. Esityksen jatkovalmisteluissa tietosuojavaltuutetun mainittuja huomioita on kuitenkin päätetty täsmentää joko säädös- tai lain perustelutekstiin.  

Tulli ehdottaa useita tarkennuksia tiedon luovuttamiseen, rekisterinpitoon ja tilitapahtumakyselyn tietosisältöön liittyvien säännösten perustelujen sisältöön sääntelyn yksiselitteisen tulkinnan muodostamiseksi. Tulli mainitsee tiedon pseudonymisointiin liittyvän haasteen tietopyynnön lisätietopyynnön osalta. Mikäli tiedonluovuttaja tarvitsisi kysyvältä viranomaiselta tarkentavia tietoja kyselystä, tiedonluovuttaja ei voisi yksilöidä pyyntöä koostavalta sovellukselta saadulla pseydonymisoidulla koodilla, koska viranomaisella ei olisi kyseinen koodi tiedossa. Vaikka rekisteröidyn oikeuksien suojelemiseksi tiedon pseudonymisointi olisi perusteltua, jatkovalmistelussa viitetiedon psedonymisointia koskeva säännös on poistettu. Jatkovalmistelussa muita mainittuja kohtia on selvennetty.  

Verohallinnon tiedonsaantioikeuden toteuttamiseksi hallituksen esityksessä ehdotetaan verotusmenettelystä annettuun lakiin lisättäväksi uusi, tarkkarajaisempi maksu- ja luottolaitosten pankki- ja maksutilien valvontajärjestelmän kautta toteutettavaa sivullisen tiedonantovelvollisuutta koskeva säännös, 18 a §. Valtiovarainministeriö ehdottaa, että jatkovalmistelussa kiinnitettäisiin kuitenkin vielä huomiota perusteluihin ja selkiytettäisiin VML 18 a §:n välttämättömyysedellytystä. Myös FA katsoo, ettei verotusmenettelystä annetun lain muutoksen osalta HE-luonnokseen sisältyvä lakiehdotus tai niiden perustelu ole riittävän yksityiskohtainen ja täsmällinen. FA pitää välttämättömänä, että Verohallinnon tiedonsaantioikeuksia tarkennetaan niin, että ne täyttävät yleisen tietosuoja-asetuksen vaatimukset ja eduskunnan perustuslakivaliokunnan asiaa koskevat linjaukset. FA pitää myös tärkeänä, että ehdotetun verotusmenettelystä annetun lain 18 a §:n perusteluissa todettaisiin selvästi, että Verohallinnon tulee ensisijaisesti pyytää lisätiedot verovelvolliselta ja vasta toissijaisesti PMJ:n kautta. Jatkovalmistelussa mainitun pykälän perusteluja on täsmennetty välttämättömyyden sekä sivullisen tiedonantovelvollisuuden osalta. Valtiovarainministeriö ja Verohallinto ehdottavat lisäksi teknistä muutosta kyseiseen pykälään. Jatkovalmistelussa pykälän muotoilua on tarkennettu ehdotuksen mukaisesti. 

Valtiovarainministeriö ja Tulli haluavat kiinnittää lisäksi erityistä huomiota siihen, että Suomi on hakenut hankkeeseen rahoitusta EU:n elpymis- ja palautumistukivälineestä (RRF). Tilitapahtumatietojen kyselymahdollisuuden lisääminen pankki- ja maksutilien valvontajärjestelmää toteutetaan osana Suomen kestävän kasvun ohjelmassa elpymis- ja palautumissuunnitelmassa (RRP) tehokkaan rahanpesun estämisen valvonnan ja täytäntöönpanon varmistamista koskevaa uudistusta (koodi P2C3R1). Tilitapahtumatiedustelujen toteuttaminen on yksi viidestä uudistuksessa toteutettavasta projektista, mutta uudistukset arvioidaan yhtenä kokonaisuutena RRF-maksatuksien osalta. Tämä tarkoittaa sitä, että rahoituksen saamiseksi kaikkien viiden projektin tulee täyttää komission määrittelemät verifiointitasot. Tilitapahtumatietojen osalta Euroopan komissio edellyttää, että tuotantokäyttö on aloitettu 30.6.2026 mennessä. Tämän johdosta tilitapahtumatietojen lisääminen lakiin pankki- ja maksutilien valvontajärjestelmästä tulee olla julkaistu säädöskokoelmassa viimeistään 31.12.2025. Komission menetelmään perustuvien valtiovarainministeriön alustavien arvioiden mukaan, jos uudistukseen liittyviä tavoitteita ei lainkaan saavutettaisi, voisi tulonmenetys olla jopa 70–80 miljoonaa euroa, valtiovarainministeriö ja Tulli huomauttavat.  

Edellä esiin tuotujen aikataulupaineiden takia valtiovarainministeriö esittää huolensa siitä, että esitysluonnoksessa varmistetaan, että toimivaltaisten viranomaisten tiedonsaantia koskevat säädökset vastaavat esityksen tavoitetta, että saldo- ja tilitapahtumatiedot ovat viranomaiselle välttämättömiä sen suorittaessa laissa määriteltyjä tehtäviään. Valtiovarainministeriö toteaa lisäksi, että jatkovalmistelussa olisi tärkeää kiinnittää vielä erityistä huomiota siihen, että tilitapahtumatiedot voivat sisältää myös tietosuoja-asetuksen 9 ja 10 artiklassa tarkoitettuja, eli erityisiä henkilötietoryhmiä ja rikostuomioita ja rikkomuksia koskevia henkilötietoja. Jatkovalmistelussa esitystä on täydennetty tältä osin.  

Verohallinto ja Tulli antoivat lisäksi ehdotuksia järjestelmän jatkokehitystä varten. Verohallinto ehdottaa, että pankki- ja maksutilien valvontajärjestelmän käyttö mahdollistettaisiin jatkossa myös verojen ja maksujen palauttamisen menettelyssä ja että Verohallinnolla olisi mahdollisuus tarkistaa pankki- ja maksutilien valvontajärjestelmästä Verohallinnolle ilmoitettujen tilien omistajat ja käyttöoikeudet sekä tarvittaessa selvittää verovelvollisen pankkiyhteystiedot. Menettelyllä ehkäistäisiin verojen ja maksujen palauttamiseen liittyviä väärinkäytöksiä ja verotuksen menettelyiden hyödyntämistä rahanpesussa. Menettely vähentäisi myös jonkin verran veron palauttamisen menettelyiden edellyttämää henkilötyötä. Käytännössä Verohallinnon ehdottama muutos edellyttäisi veronkantolain uudistamista. Verohallinto ehdottaa myös, että pankki- ja maksutilien valvontajärjestelmää kehitettäisiin siten, että Verohallinto voisi tehokkaammin täyttää hallinnollisesta yhteistyöstä verotuksen alalla (2011/16/EU) annetun direktiivin tehokkaan täytäntöönpanovaatimusten edellyttämät hallinnolliset menettelyt sen varmistamiseksi, että finanssilaitosten noudattavat huolellisuus- ja raportointivelvoitteita. Tulli lausuu, että lainsäädännön jatkokehityksessä voisi olla myös tarpeen harkita pankki- ja maksutilien valvontajärjestelmästä luovutettavan tietojoukon laajentamista muihin pankkiasiointiin liittyviin tietoihin kuten tietoihin asiakkaan omistuksista, joihin on käyttöoikeus sekä tilinavausasiakirjat. Kaikkien luotto- ja maksulaitoksilta tiedusteltavien tietojen saaminen saman kyselyjärjestelmän piiriin edistäisi myös pankki- ja maksutilien kyselyjärjestelmän laillisuusvalvontaa, kun tietoja pyydettäisiin ja luovutettaisiin saman järjestelmän kautta, Tulli toteaa. 

Lausuntokierroksen jälkeen jatkovalmisteltu hallituksen esitysluonnos lähetettiin valtioneuvostonoikeuskanslerin ennakkotarkastettavaksi 10.1.2025 ja edelleen jatkotarkastettavaksi 26.2.2025 sekä 21.3.2025. Oikeuskanslerin huomioiden jälkeen lausuntokierroksella olleesta esitysluonnoksesta on poistettu luottoja ja vakuuksia koskevien tietopyyntöjen kyselyoikeutta koskeneet säännökset sekä tarkennettu säännökset 17 a – 17 d § koskemaan tiedon välittämistä ja luovuttamista sähköisen rajapinnan kautta sekä lisätty 1 d §:ään säännös tietopyynnön kohdentamiseksi ja 2 §:ään 16 kohta. Esitystä on täydennetty erityisesti esityksen aiheuttamien henkilötietojen suojaan liittyvien vaikutusten osalta.  

7.1  Laki pankki- ja maksutilien valvontajärjestelmästä

1 luku Yleiset säännökset 

Lakiehdotuksen 1 luku sisältäisi yleiset säännökset, ja se sisältäisi 1–1 e §:n.  

1 § . Pankki- ja maksutilien valvontajärjestelmä ja lain tarkoitus. Pykälä sisältäisi pankki- ja maksutilien valvontajärjestelmän tarkoitusta ja sen yleistä rakennetta ja toimintaa kuvaavat säännökset. Voimassaolevaa pykälää ehdotetaan muutettavaksi siten, että pykälän otsikkoon lisättäisiin lain tarkoitus, pykälän 1 ja 2 momenttien sisältöä muutettaisiin, 3 momentti siirrettäisiin uuteen 1 a §: ään ja 4 momentti 1 b §: ään. Ehdotetuilla muutoksilla kuvattaisiin pankki- ja maksutilien valvontajärjestelmän sisältöä ehdotuksen mukaisen pankki- ja maksutilien valvontajärjestelmän kahden eri toiminnallisuuden kautta.  

Pykälän 1 momentin mukaisesti pankki- ja maksutilien valvontajärjestelmä muodostuisi keskitetystä automatisoidusta tilitietojärjestelmästä sekä keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä. Ensimmäisessä momentissa eroteltaisiin pankki- ja maksutilien valvontajärjestelmän kaksi eri toiminnallisuutta, jotka eroaisivat toisistaan tiedon käsittelytavan sekä oikeusperustan osalta. Keskitetty automatisoitu tilitietojärjestelmä perustuisi voimassaolevan pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaiseen automaattiseen ja välittömään tilin omistajatietoja sisältävään järjestelmään, joka perustuu viidennestä rahanpesudirektiivistä jäsenvaltioille tulevaan vaatimukseen ottaa käyttöön keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tietojenhakujärjestelmiä, joiden avulla voidaan ajallaan tunnistaa mikä tahansa luonnollinen henkilö tai oikeushenkilö, joka on niiden alueella toimivassa luottolaitoksessa olevan IBAN-tunnisteisen maksutilin ja pankkitilin sekä tallelokeron haltija tai jolla on määräysvalta tällaiseen tiliin tai tallelokeroon. Toisin sanoen voimassaolevan pankki- ja maksutilien valvontajärjestelmästä annetun lain mukainen järjestelmä ja tiedonkäsittely vastaisi ehdotetun mukaista keskitettyä automatisoitua tilitietojärjestelmää. 

Keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä taas perustuisi viranomaisten kansalliseen tarpeeseen saada saldo- ja tilitapahtumatietoja yhden keskitetyn järjestelmän avulla. Keskitetyn saldo- ja tilitapahtumajärjestelmän toiminnallisuus perustuisi yhtäältä sähköiseen tiedonkäsittelyyn, mutta poikkeaisi automatisoidun järjestelmän välittömyydestä siten, että tietopyyntöjen käsittelylle luotto- ja maksulaitoksessa tai muussa tiedonluovuttajassa annettaisiin kohtuullinen määräaika. Tiedon luovuttajalla olisi siten mahdollisuus arvioida tiedon luovutuksen perusteita saamansa pyynnön perusteella ja myös mahdollisuus kieltäytyä tiedon luovutuksesta, mikäli tietopyyntö ei sen mukaan olisi lainmukainen. Lailla ei säädettäisi niistä tiedonkäsittelyn periaatteista tai teknisistä tavoista, joita tiedonluovuttajan tulee noudattaa omassa järjestelmässään, mutta lailla mahdollistetaan se, että tiedon luovuttajalla on tosiasiallinen mahdollisuus esimerkiksi tarkistaa tietopyynnön sisältöä sen tehneeltä viranomaiselta. 

Pykälän 2 momentin mukaan lain tarkoituksena olisi edistää viranomaisten automaattista tiedonsaantia pankki- ja maksutileistä ja tallelokeroista ja sähköistä tiedonsaantia saldo- ja tilitapahtumista sekä arvopapereihin liittyvistä tiedoista. Keskitetyn järjestelmän tarkoituksena olisi luoda tietoturvallinen kanava luovutettavien henkilötietojen käsittelylle. Lain tarkoituksena on lisäksi parantaa viranomaisten pankkitilejä koskevien tiedustelujen oikeaa kohdentumista, joka vähentäisi sekä viranomaisten että ilmoitusvelvollisten työmäärää. Esitys tukee hallitusohjelman tavoitteita parantaa digitalisaation kustannusvaikuttavuutta hyödyntämällä olemassa olevia kansallisia tietojärjestelmiä tietoturvallisesti nykyistä laajemmin ja muun muassa vahvistaa digitalisaatiota sekä rikostutkinnassa että –torjunnassa.  

Pykälän 3 momentin mukaan pankki- ja maksutilien valvontajärjestelmän henkilötietoja käsiteltäisiin pankki- ja maksutilien tiedonhakujärjestelmällä, pankki- ja maksutilirekisterillä, tiedonluovutusjärjestelmällä sekä edellä mainittuja tietoja välittävällä koostavasta sovelluksella. Voimassaolevan lain 1 §:n 1 momentissa on säädetty, että pankki- ja maksutilien valvontajärjestelmä muodostuu pankki- ja maksutilien tiedonhakujärjestelmästä, pankki- ja maksutilirekisteristä sekä koostavasta sovelluksesta. Ehdotuksen mukaisesti tarkennetaan, että pankki- ja maksutilien valvontajärjestelmä jaetaan kahteen toiminnallisuuteen, joita koskevassa tiedonkäsittelyssä hyödynnetään samoja järjestelmän osia, pankki- ja maksutilien tiedonhakujärjestelmää, pankki- ja maksutilirekisteriä ja koostavaa sovellusta. Koska ehdotetulla lailla säädetään kaikille tiedonluovuttajille velvoite luovuttaa saldo- ja tilitapahtumatiedot pankki- ja maksutilien valvontajärjestelmän kautta, muiden kuin tiedonhakujärjestelmän luoneiden luotto- ja maksulaitosten tiedonluovutus tapahtuisi ehdotetun tiedonluovutusjärjestelmän avulla. Keskitetyn järjestelmän tiedonkäsittelyn oikeusperusteesta säätäminen perustuu tietosuoja-asetuksen 6 artiklan 3 kohtaan, jonka mukaisesti pankki- ja maksutilien valvontajärjestelmän mukaisesta tiedon käsittelyn oikeusperustasta on säädettävä joko a) unionin oikeudessa; tai b) rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Toimivaltaisten viranomaisten saldo- ja tilitapahtumatietoja koskevan tiedonsaannin oikeusperustasta säädetään erillislaeissa. Ehdotetulla lailla ei ole tarkoitus muuttaa toimivaltaisten viranomaisten tiedonsaannin oikeusperustaa vaan luoda sähköinen kanava pankkitilitiedon ja saldo- ja tilitapahtumatiedon saamiseen luotto- ja maksulaitoksilta viranomaisille.  

1 a §.Soveltamisala. Lakiin ehdotetaan lisättäväksi uusi 1 a §, jossa säädettäisiin lain soveltamisalasta. Pykälän 1 momentin mukaisesti lakia sovellettaisiin pankki- ja maksutilitietojen, tallelokerotietojen sekä saldo- ja tilitapahtumatietojen sekä arvopapereihin liittyvien tietojen saamiseen ja välittämiseen maksulaitoksilta, sähkörahayhteisöiltä, luottolaitoksilta ja kryptovarapalvelun tarjoajilta toimivaltaisille viranomaisille silloin kun edellä mainittuja tietoja käsitellään pankki- ja maksutilien valvontajärjestelmän avulla.  

Pykälän 2 momentissa säädettäisiin lain soveltamisesta ulkomaisten maksulaitosten, sähkörahayhteisöjen, luottolaitosten ja kryptovarapalvelun tarjoajien Suomessa sijaitseviin sivuliikkeisiin. Momentti siirrettäisiin 1 a §: ään voimassaolevan lain 1 §:n 3 momentista.  

1 b §.Suhde muuhun lainsäädäntöön ja tietojen salassapito . Lakiin ehdotetaan lisättäväksi uusi 1 b §, jossa säädettäisiin pankki- ja maksutilien valvontajärjestelmässä käsiteltävien tietojen julkisuudesta. Pykäläehdotuksen mukaisesti keskitetyssä pankki- ja maksutilien valvontajärjestelmässä käsiteltävät tiedot eli tietopyyntö ja siihen annetun vastauksen sisältö, olisivat salassa pidettäviä tietoja. Ehdotettu sääntely vastaa voimassaolevan lain salassapitoa koskevaa sääntelyä. Pankki- ja maksutilien valvontajärjestelmässä käsiteltävät tiedot muodostuvat viranomaisten kohdennetuista tietopyynnöistä sekä niiden perusteella luotto- ja maksulaitosten, sähkörahayhteisöjen ja kryptovarapalvelun tarjoajien toimittamista asiakkaitaan koskevista tunnistamistiedoista, erilaisista tilitapahtumista; maksuista ja ostoista ja niihin liittyvistä tunnistetiedoista sekä arvopaperitietoihin liittyvistä ehdotetussa 1 a §:ssa tarkoitettujen tiedonluovuttajien rekistereissä olevista tiedoista. Osa pankki- ja maksutilien valvontajärjestelmän tiedoista on lisäksi pankki- ja maksutilirekisterissä. Salassapito koskee pankki- ja maksutilien valvontajärjestelmää kokonaisuudessaan eli sen molempia toiminnallisuuksia, keskitettyä automatisoitua tilitietojärjestelmää, mukaan lukien pankki- ja maksutilirekisteriä ja keskitettyä sähköistä saldo- ja tilitapahtumajärjestelmää.  

Yleisesti viranomaisen asiakirjan salassapidosta säädetään laissa viranomaisen toiminnan julkisuudesta (621/1999)( jäljempänä julkisuuslaki) . Julkisuuslain 24 §:n 1 momentin 23 kohdan mukaisesti salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä, asiakirjat, jotka sisältävät tietoja henkilön vuosituloista tai kokonaisvarallisuudesta taikka tuen tai etuuden perusteena olevista tuloista ja varallisuudesta taikka jotka muutoin kuvaavat hänen taloudellista asemaansa, sekä ulosottoviranomaisen asiakirjat siltä osin kuin ne sisältävät sellaisia tietoja, jotka ulosottorekisteriin merkittyinä olisivat ulosottokaaren mukaan salaisia, sekä tiedot luonnollisesta henkilöstä ulosottovelallisena ja ulosottoselvitys. Tietoja luovuttavien luotto- ja maksulaitosten ja muiden1 a §:ssä tarkoitettujen toimijoiden samoin kuin tiedon hyödyntäjien eli viranomaisten rekistereissä tietoja koskevat erilaiset tietojen julkisuutta ja salassapitoa koskevat säännökset. Luotto- ja maksulaitokset sekä sähkörahayhteisöt ja kryptovarapalvelun tarjoajat luovuttavat pankkitilejä ja niiden tapahtumia koskevia tietoja erilaisille viranomaisille, hyvin erilaisten viranomaistehtävien hoitamiseksi. Koska rahan käyttötapa ja maksuliikenne on muuttunut mitä suurimmassa määrin käteisen rahan käytöstä pankkitilin välityksellä tapahtuvaan maksuliikenteeseen, pankkitilin tilitapahtumatiedoista voi saada hyvin yksityiskohtaisen kuvan henkilön yksityiselämästä. Tilitapahtumista voi ilmetä suoraan jopa arkaluonteisia tietoja, kuten tietoja uskonnollisen yhdyskunnan jäsenyydestä tai terveydenhuoltopalvelujen käytöstä. Luonnollisen henkilön yksityiskohtaisten tilitietojen voi katsoa rinnastuvan siten yksityiselämän suojan ydinalueelle kuuluviin arkaluonteisiin tietoihin, joiden vuoksi ehdotettua erityissääntelyä tietojen salassapidosta pankki- ja maksutilien valvontajärjestelmässä voidaan pitää yksityiselämän ja henkilötietojen suojan näkökulmasta perusteltuna. Ehdotetulla säännöksellä suojattaisiin siten erityisesti arkaluonteisiksi säädettyjä tietoja ja se olisi niiden käsittelylle säädetty rekisteröidyn oikeuksia ja vapauksia suojaava erityinen suojatoimi.  

Pankki- ja maksutilien valvontajärjestelmässä käsiteltävien tietojen salassapito tulisi ulottaa tietoja luovuttaviin yksityisiin toimijoihin eli kaikkiin ehdotetun 1 a §:n mukaisiin tiedonluovuttajiin. Toisin kuin voimassaolevan lain mukaisessa tiedonkäsittelyssä, Tullin koostavan sovelluksen kautta esityksen mukaisesti tehdyn saldo- ja tilitapahtumatietopyynnön osalta tiedonhakujärjestelmää ylläpitävä luottolaitos tai muu tiedot luovuttava toimija saisi tiedon siitä, mikä viranomainen on pyytänyt tietoa sekä sen mihin käyttötarkoitukseen tietoa on pyydetty. Välittyvissä tiedoissa olisi viranomaisen nimen lisäksi 17 a ja c §:n mukainen toimivaltapykälä, viranomaistehtävä ja kyseisen tapauksen viite- tai diaaritieto. Tiedonluovuttaja saisi kyselyä vastaanottaessaan luonnollisesti myös tiedon siitä, mistä asiakkaasta tietoa on kysytty ja miltä ajalta. Tiedonluovuttajan vastaanottaessa tietopyynnön, käyttötarkoitussidonnaisuuden periaate rajaa tietojen käyttöä siihen tarkoitukseen, mitä tietopyynnön käsittely edellyttää. Tietosuoja-asetuksen 6 artiklan 4 kohdassa säädetään tietojen käsittelystä alkuperäisten käyttötarkoitusten kanssa yhteensopiviin käyttötarkoituksiin. Salassapidosta tulisi kuitenkin säätää, sillä tietosuoja-asetuksen 6 artiklan 3 kohdan nojalla kansallisella lainsäädännöllä on mahdollista mukauttaa asetuksen sääntöjen soveltamista muun muassa käyttötarkoitussidonnaisuuden osalta. Salassapitosäännöksessä olisi siten kyse tietosuoja-asetuksen liikkumavaran nojalla annettavasta suojatoimisääntelystä, joilla mukautetaan tietosuoja-asetuksen yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta Salassapitosäännös poistaisi luotto- ja maksulaitoksen mahdollisuuden hyödyntää tietoja muuhun tarkoitukseen kuin tietopyynnön toteuttamiseksi. Lisäksi salassapidosta säätämällä turvattaisiin viranomaisen toimintaa. Keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä merkitsee rekisteröidyn oikeuksiin kajoamista ja jotta tietojen käsittely olisi oikeasuhtaista ja minimoisi rekisteröidyn oikeuksiin kohdistuvaa korkeaa riskiä, tulisi sekä tietopyyntöjen, kuin myös luovutettujen tietojen olla salassa pidettäviä.  

Pykälän 2 momentissa säädettäisiin, että luotto- ja maksulaitokset ja muut 1 a §:ssa tarkoitetut toimijat eivät saisi käsitellä viranomaisten pankki- ja maksutilien valvontajärjestelmään tekemiä tietopyyntöjä muuhun tarkoitukseen kuin pyynnön vastaamiseksi. Tiedonluovuttajalla ei olisi siten oikeutta tehdä tietopyynnön takia esimerkiksi merkintöjä kyselyjen kohteena olevien luonnollisten henkilöiden tai oikeushenkilöiden asiakastietoihin eikä tietopyynnön tietoa saisi hyödyntää esimerkiksi asiakkuuden riskienhallintaan tai muuhun asiakkuuden monitorointiin. Tiedonluovuttaja ei myöskään saisi ilmaista tiedustelun kohteelle tätä koskevan viranomaisen tietopyynnön ja siihen annetun vastauksen olemassaoloa ja sen sisältöä. Lähtökohtaisesti tällaisen pyynnön käyttäminen muuhun käyttötarkoitukseen luo korkean riskin rekisteröidyn oikeuksille. Viranomaisen tekemä tietopyyntö voi johtua esimerkiksi viranomaisessa vireillä olevasta rikostutkinnasta, jonka kohde voi osoittautua syyttömäksi, mutta kyse voi olla myös rikoksen uhrista tai sivullisesta eikä tietopyynnöllä tulisi myöskään tästä syystä olla vaikutuksia tietopyynnön kohteena olevan asiakkuuteen. Toisaalta taas tietopyynnön paljastaminen voisi vaarantaa viranomaisen lakisääteisen tehtävän kuten vireillä olevan rikostutkinnan ja esimerkiksi varojen takaisinsaannin. Kyse olisi tietosuoja-asetuksen liikkumavaran nojalla annettavasta suojatoimisääntelystä. Tiedon käyttäminen muuhun kuin laissa säädettyyn tarkoitukseen on säädetty rangaistavaksi tietosuoja-asetuksen 83 artiklan mukaisesti.  

Pykälän 3 momentissa säädettäisiin, että kyselyn tehnyt toimivaltainen viranomainen ei saisi käsitellä 1 a:ssa tarkoitetusta tiedonluovuttajasta saamaansa tietoa muuhun käyttötarkoitukseen kuin mitä se on tietopyyntöä tehdessä määritellyt. Tietosuoja-asetuksen 5 artiklan käyttötarkoitussidonnaisuuden periaatteen mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Viranomaiselle kohdistuva kielto hyödyntää tietoa alkuperäisen käyttötarkoituksen kanssa yhteensopimattomiin käyttötarkoituksiin tulisi kuitenkin säätää rekisteröidyn oikeuksien turvaamiseksi. Siten kyse olisi tietosuoja-asetuksen liikkumavaran nojalla annettavasta suojatoimisääntelystä, jolla mukautetaan käyttötarkoitussidonnaisuutta. Viranomainen ei saisi luovuttaa pankki- ja maksutilien valvontajärjestelmästä vastaanottamaansa tietoa suoraan sellaisenaan eteenpäin esimerkiksi käyttötarkoitukseltaan toiseen viranomaistehtäväänsä tai toiselle viranomaiselle vaan kukin viranomainen tekisi kyselyn omien tiedonsaantioikeuksiensa nojalla. Tämä ei kuitenkaan tarkoittaisi, etteikö viranomainen saisi luovuttaa omien tiedonluovutussäädöstensä mukaisesti esimerkiksi toiselle viranomaiselle sellaista tietoa, mihin pankki- ja maksutilien valvontajärjestelmästä saatua tietoa on hyödynnetty. Tämä tarkoittaisi esimerkiksi poliisin oikeutta välittää rikostutkinnan aineistona olevia tilitapahtumatietoja syyttäjälle tai Verohallinnon mahdollisuutta hyödyntää tilitapahtumatietoa verotarkastuskertomukseen ja edelleen tämän verotarkastuskertomuksen välittämistä poliisille tutkintapyynnön aineistona. 

Tietosuoja-asetuksen 5 artiklan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Koska kyselyillä saatavat tiedot ja niiden käyttötarkoitukset riippuisivat viranomaisesta, tulisi jokaisen viranomaisen arvioida itse järjestelmästä saadun tiedon tarpeellinen säilytysaika. Esimerkiksi poliisilla voi talousrikostutkinnassa olla tapauksia, jossa tiedot ovat tarpeellisia hyvin pitkiä aikoja. Toisaalta taas viranomaisen tiedon tarve voi olla hyvin lyhytkestoinen. Tiedot olisi kuitenkin aina poistettava välittömästi sen jälkeen, kun viranomaisen tarve niiden säilyttämiselle lakkaisi. Mikäli viranomainen havaitsisi välittömästi tiedon saatuaan, ettei sen pyytämä tieto ole sille relevanttia tai se olisi saanut jopa väärää tietoa, tulisi viranomaisen poistaa saamansa tiedot välittömästi tietosuoja-asetuksen mukaisesti. Mikäli kyseessä olisi mahdollinen tiedon eheyteen liittyvä epäily, viranomaisen tulisi käsitellä asia omien tiedonhallintaprosessiensa mukaisesti ja mahdollisesti viedä asia edelleen tiedoksi tietosuojavaltuutetulle.  

1 c § . Koostava sovellus. Lakiin ehdotetaan lisättäväksi uusi 1 c §, jossa säädettäisiin Tullin ylläpitämästä koostavasta sovelluksesta. Pykälä vastaisi pääosin voimassaolevan lain 7 a §:n 1,3 ja 4 momentin sisältöä, mutta koska koostavaa sovellusta käytetään ehdotetun lain mukaisesti sekä automatisoidun tilitietojärjestelmän mukaisten tietojen, että keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän mukaisten tietojen välittämiseen, mainitut lain kohdat ehdotetaan lisättäväksi yleisiä säännöksiä koskevaan lukuun.  

Pykälän 1 momentti vastaisi voimassaolevan lain 7 a §:n 1 momentin sisältöä, jota ehdotetaan tarkennettavaksi ja täydennettäväksi. Ehdotuksen mukaan toimivaltaiset viranomaiset voisivat toimivaltansa puitteissa tehdä 2 ja 3 luvun mukaisia tietopyyntöjä pankki- ja maksutilien valvontajärjestelmän avulla. Tulli vastaisi koostavalla sovelluksella viranomaiselta tulevan tietopyynnön välittämisestä 2 ja 3 luvussa säädettyihin käyttötarkoituksiin 1 a §:n mukaisille toimijoille sekä tietopyyntöön saadun vastauksen välittämisestä toimivaltaiselle viranomaiselle. Luotto- ja maksulaitosten sekä muiden 1 a §:n mukaisten toimijoiden velvollisuus luovuttaa tiedot pankki- ja maksutilien valvontajärjestelmän koostavan sovelluksen avulla perustuisi ehdotettavan lain 4, 6 ja 17 f §:iin. 

Pykälän 1 momentissa säädettäisiin voimassaolevan lain mukaisesti Tullin roolista koostavan sovelluksen rekisterinpitäjänä. Tulliin sovellettaisiin rekisterinpitäjänä koostavan sovelluksen osalta tietosuoja-asetuksessa määriteltyjä rekisterinpitäjän vastuita ja velvollisuuksia. Rekisterinpitäjällä asetuksessa tarkoitetaan 4 artiklan 7 kohdan mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Samaisen artiklan 2 kohdan mukaan käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista. 

Pykälän 2 momentin mukaisesti koostavan sovelluksen välityksellä tapahtuva tiedonkäsittely olisi automaattista. Pykälä vastaisi voimassaolevan lain 7 a §:n 3 momenttia. Tullilla ei olisi koostavaa sovellusta ylläpitävänä viranomaisena sen enempää pääsyä koostavalla sovelluksella tehtyihin pyyntöihin, vaan kyselyt olisivat suoria ja sisäänrakennettu teknisesti siten, ettei Tulli voisi puuttua siihen, millä perusteella ja ketä koskevia tietoja viranomainen kysyy ja mitä tietoja sille luovutetaan. Koostava sovellus tarkistaa ainoastaan sen, että viranomainen täyttää kaikki kyselysanoman pakolliset kohdat, esimerkiksi tietopyynnön lakiperustan ja kyselyä koskevan tapauksen viitenumeron, jotta kysely välittyy eteenpäin tiedon luovuttajalle. Valvonta, jota järjestelmän kautta tehtävien tiedonluovutusten osalta voitaisiin tehdä lokitietojen perusteella, olisi jälkikäteistä. Jälkikäteinen valvonta tapahtuu viranomaisessa, joka tietoja on pyytänyt. Koostavan sovelluksen lokitiedot on tarkoitettu toimivaltaisten viranomaisten laillisuusvalvontaa varten. Momentissa säädettäisiin lisäksi siitä, että sovelluksen kautta luovutetut tiedot poistetaan sovelluksesta välittömästi tietojen luovuttamisen jälkeen.  

Pykälän 3 momentissa säädettäisiin rajoituksesta rekisteröidyn oikeudesta saada pääsyä hänestä kerättyihin tietoihin. Pykälä vastaisi osittain voimassaolevan lain 7 a §:n 4 momenttia ja siihen tehtäisiin lisäksi kielellinen tarkennus lisäämällä yleisen tietosuoja-asetuksen koko nimi. Pykälässä säädettäisiin, että poiketen siitä, mitä säädetään yleisen tietosuoja-asetuksen 15 artiklassa rekisteröidyn oikeudesta saada pääsy hänestä kerättyihin tietoihin, oikeutta tietoihin ei ole, kun tietoja käsitellään koostavalla sovelluksella. Mikäli rekisteröidyn oikeuksia ei rajoitettaisi, kuuluisi tälle oikeus saada rekisterinpitäjältä tietoja esimerkiksi siitä, onko viranomainen tehnyt hakuja häntä koskeviin tilitapahtumatietoihin ja mitä tarkoitusta varten. Jos rekisteröidyn oikeuksia ei rajoitettaisi, olisi arvio tehtävä joka kerta erikseen viranomaisen toimesta. Rekisteröidyn tulee tehdä pyyntönsä rekisterinpitäjälle ja rekisterinpitäjä on velvollinen vastaamaan pyyntöön. Tullin osalta tämä tarkoittaisi käytännössä sitä, että koostavan sovelluksen rekisterinpitäjänä Tullilla tulisi olla pääsy tietoihin, joihin Tullilla ei toimivaltansa puitteissa muuten olisi, kyetäkseen vastaamaan näihin rekisteröidyn esittämiin käsittelyä koskeviin pyyntöihin.  

Voimassaolevan lain 7 a §:n 4 momentin mukainen rajoitus perustuu rahoitustietodirektiivin 18 artiklan täytäntöönpanoon, jonka mukaisesti jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla kokonaan tai osittain rajoitetaan rekisteröityjen oikeutta päästä rahoitustietodirektiivin nojalla käsiteltyihin heitä koskeviin henkilötietoihin, tietosuoja-asetuksen 23 artiklan 1 kohdan tai, tapauksen mukaan, rikosasioiden tietosuojadirektiivin 15 artiklan 1 kohdan mukaisesti. Voimassa olevassa laissa on siis säädetty rajoitus myös rikosasioiden tietosuojadirektiivin perusteella. Tiedon luovutukseen liittyvän käsittelytoimen on kuitenkin katsottu olevan tietosuoja-asetuksen soveltamisalalla, kun kyse on henkilötietojen luovuttamisesta tietosuoja-asetuksen soveltamisalalta rikosasioiden tietosuojadirektiivin soveltamisalalle. Siten Tulli koostavan sovelluksen rekisterinpitäjän roolissa voi soveltaa ainoastaan tietosuoja-asetusta. Tämän mukaisesti ehdotetaan, että viittaus rikosasioiden tietosuojalakiin poistetaan siirrettävästä 7 a §:n 4 momentista. Sovellettava tietosuojalainsäädäntö kyselyä tehtäessä sen sijaan riippuu henkilötietojen käyttötarkoituksesta. Viranomaiset soveltavat omassa tiedonkäsittelyssään joko rikosasioiden tietosuojadirektiiviä ja rikosasioiden tietosuojalakia tai tietosuoja-asetusta ja tietosuojalakia riippuen kunkin viranomaisen tiedonsaannin käyttötarkoituksesta. Viranomaisilla on lisäksi omia henkilötietojen käsittelyä koskevia erityislakeja.  

Tietosuoja-asetuksen 23 artiklassa säädetään, että rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa. Artiklassa on asetettu edellytykseksi, että kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja että se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide artiklan 1 kohdassa mainittujen seikkojen varmistamiseksi. Ehdotettu rajoitus perustuu 23 artiklan 1 kohdan a-e sekä h alakohtaan eli oikeutta ei olisi jos tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta, yleistä turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä. Artiklan mukaan rajoitus olisi perusteltua myös jos muu unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva tai edellä mainittuihin tehtäviin liittyvä valvonta-, tarkastus- tai sääntelytehtävä voisi vahingoittua. Koska pankki- ja maksutilien valvontajärjestelmän toimivaltaisten viranomaisten tehtävät koskevat edellä mainittuja tehtäviä, ehdotettua rajoitusta voidaan pitää välttämättömänä ja oikeasuhtaisena toimenpiteenä.  

Tietosuoja-asetuksen 15 artiklan 2 kohdan mukaan rekisteröidyllä tulisi olla oikeus saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen. Koska tässä tapauksessa jo pelkkä tieto viranomaisen tekemästä kyselystä voisi vaarantaa esimerkiksi varojen takaisinsaannin ja keskeneräisen tutkinnan, Tullilla koostavan sovelluksen ylläpitäjänä ei olisi velvollisuutta kertoa rajoituksen syytä. Suojatoimena rekisteröidyn oikeuksien rajoittamiseen nähden säädettäisiin kuitenkin välillisen tarkastusoikeuden hyödyntämisestä. Välillisestä tarkastusoikeudesta säädetään tietosuojalain 34 §:ssä.  

Tietosuojalain 34 §:n 4 momentin mukaisesti tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on kuitenkin annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä. Oikeuksien käyttämistä koskeva pyyntö olisikin esitettävä tietosuojavaltuutetulle taikka Tullille sen mukaisesti, kuin laissa henkilötietojen käsittelystä Tullissa 35 §:n 2 momentissa säädetään. Tullille esitetty pyyntö on toimitettava viipymättä tietosuojavaltuutetulle.  

1 d § . Tiedonhakujärjestelmät. Lakiin ehdotetaan lisättäväksi uusi 1 d §, jossa säädettäisiin pankki- ja maksutilien valvontajärjestelmään kuuluvista tiedonhakujärjestelmistä, joiden avulla sekä luovutetaan että vastaanotetaan pankki- ja maksutilin ja tallelokeroiden asiakkuustietoja ja tilin saldo- ja tilitapahtumatietoja. Pykälän 1 momentti vastaisi sisällöltään voimassaolevan lain 4 §:n 1 momenttia eli siinä säädettäisiin luottolaitoksille velvollisuus ylläpitää sähköistä pankki- ja maksutilien tiedonhakujärjestelmää, jonka avulla niiden tulee luovuttaa ehdotetun lain 2 ja 3 luvussa tarkoitettuja tietoja asiakkaidensa pankki- ja maksutileistä ja niiden saldo- ja tilitapahtumista toimivaltaiselle viranomaiselle. Koska yhtä ja samaa pankki- ja maksutilien tiedonhakujärjestelmää käytettäisiin myös ehdotuksen mukaisesti saldo- ja tilitapahtumatietojen luovuttamiseen voimassaolevassa laissa säädetyn pankkitilitietojen luovuttamisen lisäksi, on tarkoituksenmukaisempaa siirtää säädös pankki- ja maksutilien tiedonhakujärjestelmän ylläpitovelvoitteesta yleisiin säädöksiin. Siirrettävä momentti pitää sisällään myös mahdollisuuden poiketa tiedonhakujärjestelmän ylläpitovelvoitteesta, jos se on luottolaitoksen koko sekä toiminnan luonne ja laajuus huomioon ottaen perusteltua ja jos Finanssivalvonta myöntää sille luvan. Jos kyseessä on kooltaan esimerkiksi pieneen maksulaitokseen rinnastettava luottolaitos, se saisi valita 2 luvun mukaisten tilitietojen toimittamisen tiedonhakujärjestelmän tai tilirekisterin kautta. Ehdotuksen mukaisesti ne toimijat, jotka toimittaisivat 2 luvun mukaiset tilitiedot tilirekisteriin, luovuttaisivat 3 luvun mukaiset saldo- ja tilitapahtumatiedot sekä arvopapereihin liittyvät tiedot siinä tapauksessa Tullin rakentaman tiedonluovutusjärjestelmän avulla.  

Pykälän 2 momentti vastaisi sisällöltään voimassaolevan lain 6 §:n 1 momentin toista säädöstä teknisiä viittaussäädöksiä lukuun ottamatta. Sen mukaisesti maksulaitokset, sähkörahayhteisöt ja kryptovarapalvelujen tarjoajat voivat myös halutessaan ylläpitää tiedonhakujärjestelmää 2 luvun mukaisten tilitietojen toimittamiseksi tilirekisteriin toimittamiensa tietojen sijaan. Mikäli edellä mainitut finanssitoimijat olisivat oma-aloitteisesti perustaneet tiedonhakujärjestelmän, niillä olisi ehdotuksen mukaisesti jäljempänäpä 4.1.2 luvussa kuvatulla tavalla velvollisuus toimittaa toimivaltaisille viranomaisille tiedonhakujärjestelmää hyödyntäen myös 3 luvun mukaiset tilin saldo- ja tilitapahtumatiedot sekä arvopapereihin liittyvät tiedot 2 luvun mukaisten tilitietojen lisäksi.  

Pykälän 3 momentissa säädettäisiin rajoituksista rekisteröidyn oikeuksiin. Ehdotuksen mukaisesti myös tiedonluovuttajien tulisi pitää 17 h §:n mukaista lokirekisteriä keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmään kuuluvista tietopyynnöistä. Pykälässä säädettäisiin, että poiketen siitä, mitä säädetään yleisen tietosuoja-asetuksen 15 artiklassa rekisteröidyn oikeudesta saada pääsy hänestä kerättyihin tietoihin, oikeutta lokirekisterin tietoihin ei ole, kun tietoja käsitellään sähköisellä pankki- ja maksutilien tiedonhakujärjestelmällä. Momentissa säädettäisiin, että tietosuojalain 34 §:n mukaisesti tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on kuitenkin annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.  

Tietosuoja-asetuksen 23 artiklassa säädetään, että rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa. Artiklassa on asetettu edellytykseksi, että kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja että se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide artiklan 1 kohdassa mainittujen seikkojen varmistamiseksi. Ehdotettu rajoitus perustuu 23 artiklan 1 kohdan a-e sekä h alakohtaan eli oikeutta ei olisi jos tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta, yleistä turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä. Artiklan mukaan rajoitus olisi perustelua myös jos muu unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva tai edellä mainittuihin tehtäviin liittyvä valvonta-, tarkastus- tai sääntelytehtävä voisi vahingoittua. Koska pankki- ja maksutilien valvontajärjestelmän toimivaltaisten viranomaisten tehtävät koskevat edellä mainittuja tehtäviä, ehdotettua rajoitusta voidaan pitää välttämättömänä ja oikeasuhtaisena toimenpiteenä.  

Mikäli rekisteröidyn oikeuksia ei lokirekisterin osalta rajoitettaisi, kuuluisi tälle oikeus saada rekisterinpitäjältä tietoja esimerkiksi siitä, onko viranomainen tehnyt hakuja häntä koskeviin tilitapahtumatietoihin ja mitä tarkoitusta varten. Tämä voisi vahingoittaa keskeneräisen tutkinnan tai vaarantaa esimerkiksi varojen takaisinsaamista. Tietosuoja-asetuksen 15 artiklan 2 kohdan mukaan rekisteröidyllä tulisi olla oikeus saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen. Koska tässä tapauksessa jo pelkkä tieto viranomaisen tekemästä kyselystä voisi vaarantaa esimerkiksi varojen takaisinsaannin ja keskeneräisen tutkinnan, tiedonluovuttajalla ei olisi oikeutta kertoa rajoituksen syytä. Suojatoimena rekisteröidyn oikeuksien rajoittamiseen nähden säädettäisiin kuitenkin välillisen tarkastusoikeuden hyödyntämisestä. Välillisestä tarkastusoikeudesta säädetään tietosuojalain 34 §:ssä. Tietosuojavaltuutetulla olisi tietosuojaa koskevan sääntelyn nojalla kuitenkin oikeus rekisteröidyn pyynnöstä tarkistaa henkilötietojen käsittelyn lainmukaisuus. Tietosuojalain 34 §:n mukaan, jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä. 

Pykälän 4 momentissa säädettäisiin viranomaisen velvollisuudesta ylläpitää omaa sähköistä tiedonhakujärjestelmää, jonka kautta se voi pyytää ja vastaanottaa ehdotetun lain mukaisia tilin omistaja-, saldo- ja tilitapahtumatietoja. Pankki- ja maksutilien valvontajärjestelmä perustuu viranomaisten oikeuteen saada pankkitietoja tiettyä, yksittäistä valvonta-, tutkinta- tai muuta viranomaistehtävää varten. Viranomaisen järjestelmä on siten koko tiedonkäsittelyn alkupiste. Viranomaisen tekemä kysely käynnistää tiedonkäsittelyn pankki- ja maksutilien valvontajärjestelmässä eikä tiedonkäsittelyä siten olisi ilman viranomaisen tekemää kyselyä. Viranomainen myös hakee itse saamansa tiedon koostavasta sovelluksesta oman tiedonhakujärjestelmänsä avulla eli koostavalla sovelluksella ei ole pääsyä viranomaisen tiedonhakujärjestelmään. Vaikka tiedonvälitys tapahtuu hyvin nopeasti ja erityisesti 2 luvun mukaisen automaattisen tilitietojärjestelmän käytön osalta jopa lähes reaaliaikaisesti, viranomainen vastaa itse pyydetyn tiedon lopullisesta saamisesta. Viranomaisen tiedonhakujärjestelmällä tarkoitetaan käytännössä tiedonhakua mahdollistavaa kyselypohjaista rajapintaa eikä kyseessä ole siten varsinainen tietojärjestelmä. Viranomaiset rakentavat rajapinnan koostavaan sovelluksen. Jokainen viranomainen voi toteuttaa omanlaisensa rajapinnan, joka sopii Tullin antamaan määräykseen ja sen omiin järjestelmiin ja arkkitehtuuriin. Tiedonhakujärjestelmä voi myös liittyä viranomaisen olemassa olevaan tieto- tai arkistointijärjestelmään.  

Pykälän 4 momentissa säädettäisiin lisäksi viranomaisen velvollisuudesta määritellä tietopyynnössään, kohdentuuko sen tekemä tietopyyntö 2 luvun mukaisiin keskitetyn automatisoidun tilitietojärjestelmän tietoihin vai 3 luvun mukaisiin keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän tietoihin. Velvoittamalla viranomainen kohdentamaan tietopyyntönsä siihen pankki- ja maksutilien valvontajärjestelmän toiminnallisuuteen, johon pyyntö kohdistuu, varmistetaan että tietopyynnön käsittely toteutuu säädetyllä tavalla. Keskitetty automatisoitu tilitietojärjestelmä ja keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä eroavat tiedon käsittelytavaltaan toisistaan edellä 4.1 kappaleessa kerrotun mukaisesti. Siinä missä automatisoidun tilitietojärjestelmän tiedon käsittely on välitöntä ja automaattista, keskitetyn saldo- ja tilitapahtumajärjestelmän toiminnallisuus poikkeaisi automatisoidun järjestelmän välittömyydestä siten, että tietopyyntöjen käsittelylle tiedonluovuttajassa annettaisiin kohtuullinen määräaika. Tiedon luovuttajalla olisi siten mahdollisuus arvioida tiedon luovutuksen perusteita saamansa pyynnön perusteella ja myös mahdollisuus kieltäytyä tiedon luovutuksesta. Velvoite pyynnön kohdistamisesta vahvistaa rekisteröidyn oikeusturvaa erityisesti arkaluonteisia tietoja sisältävien tilitapahtumatietojen käsittelyssä. Se, että pyyntö kohdennetaan vain siihen tiedonluovuttajaan, josta viranomainen tarvitsee tietoa, minimoi henkilötietojen suojalle aiheutuvia riskejä. Velvoitteella luotaisiin osaltaan sisäänrakennettua ja oletusarvoista tietosuojaa, jota täydennettäisiin 17 e §:n mukaisilla vaatimuksilla tietopyynnön sisällöstä. Tietosuoja-asetuksen 25 artiklan mukaisesti rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta. 

Pykälän 5 momentin mukaan Tulli valvoisi 1 momentissa ja 4 §:n 2 momentissa tarkoitettujen velvoitteiden noudattamista sekä antaisi määräyksen tiedonhakujärjestelmien teknisistä vaatimuksista. Ehdotettu momentti vastaisi sisällöltään nykyisen lain 4 §:n 5 momenttia, mutta siitä poistettaisiin määritelmä pankki- ja maksutilien tiedonhakujärjestelmästä, jolloin myös viranomaisen tiedonhakujärjestelmää koskevien teknisten vaatimusten antaminen lisättäisiin Tullin tehtäväksi. Tulli on 26.10.2022 antanut määräyksen tiedonhakujärjestelmien kyselyrajapinnasta sekä ohjeistuksen sen toteuttamiseen liittyen. Kukin tiedonhakujärjestelmän toteuttava luottolaitos tai muu tiedonluovuttaja toteuttaa määräyksen mukaisen tiedonhakujärjestelmän, joka sopii sen omiin järjestelmiin ja arkkitehtuuriin, ja jolla tietoa pystyy välittämään järjestelmästä Tullin koostavan sovelluksen määräyksen mukaisesti. Tullilla on voimassaolevan lain 4 §:n 5 momentin mukaan valvontavastuu siitä, että luottolaitokset rakentavat ja ylläpitävät sähköistä pankki- ja maksutilien tiedonhakujärjestelmää, jonka avulla ne voivat toimittaa viranomaisille tietoa asiakkaidensa pankki- ja maksutileistä. Kyseinen momentti nähdään tarkoituksenmukaisemmaksi siirtää uuteen tiedonhakujärjestelmiä kuvaavaan pykälään, sillä pankki- ja maksutilien tiedonhakujärjestelmän käyttöä ehdotetaan laajennettavaksi tilin omistajatietojen luovuttamisesta myös saldo- ja tilitapahtumatietojen luovuttamiseen. Pykälän siirtämisen vuoksi viittaukset korjataan vastaamaan ehdotetun lain mukaista järjestystä. Sisällöllisesti voimassaolevaa valvontavastuuta koskevaa säännöstä ei ehdoteta muutettavaksi.  

1 e §. Tiedonluovutusjärjestelmä. Lakiin ehdotetaan lisättäväksi uusi 1 e §, jossa säädettäisiin Tullin ylläpitämästä tiedonluovutusjärjestelmästä. Kyseessä olisi tiedonluovutustapa, jonka avulla ne 1 a §:ssä tarkoitetut toimijat, jotka eivät ole rakentaneet pankki- ja maksutilien tiedonhakujärjestelmää, luovuttaisivat saldo- ja tilitapahtumatietoja sekä arvopapereihin liittyviä tietoja toimivaltaisille viranomaisille. Koska pankki- ja maksutilien tilirekisteri, jonne edellä mainitut toimijat toimittavat asiakkaidensa tilin asiakkuuteen liittyviä tietoja säännöllisin väliajoin, on yhdensuuntainen rekisteri, sieltä ei ole rajapintaa sinne tietoa toimittaviin toimijoihin. Siten Tulli ei voi välittää saldo- ja tilitapahtumakyselyjä suoraan noille toimijoille eikä vastaanottaa tietoa suoraan noilta toimijoilta vaan Tulli toteuttaisi tietoturvallisen ratkaisun, tiedonluovutusjärjestelmän, jolla tilirekisteriin 2 luvun mukaisia tilitietoja toimittavat toimijat luovuttaisivat 3 luvun mukaiset tiedot Tullin koostavan sovelluksen avulla viranomaisille.  

Pykälän toisessa momentissa säädettäisiin Tullille velvollisuus antaa teknisiä määräyksiä siitä, millä tavoin tiedot tulee toimittaa tiedonluovutusjärjestelmään. Voimassaolevassa laissa säädetään sekä tiedonhakujärjestelmän että tilirekisteriin tallennettavien tietojen osalta teknisten määräysten antamisesta, joten myös ehdotetun uuden tiedonluovutusjärjestelmän osalta nähdään tarpeellisena lisätä kyseinen määräys. Vaatimuksia asetettaessa tulisi ottaa huomioon muun muassa ISO 20022 - standardiin perustuvat rakenteelliset ja sisällölliset ratkaisut sekä osapuolten olemassa olevat erilaiset tekniset ratkaisut.  

1 f §. Tietojen maksuttomuus. Lakiin ehdotetaan lisättäväksi uusi 1 f §, joka korvaisi voimassaolevan lain kumottavaksi ehdotetun 8 §:n sisällön siten, että ehdotettuun pykälään lisättäisiin Tullin oikeus saada maksutta tiedot pankki- ja maksutilirekisteriin tallennettavien tietojen lisäksi myös tiedot pankki- ja maksutilien tiedonhakujärjestelmistä.  

Voimassaolevassa laissa säädetään pankki- ja maksutilirekisteritietojen luovutuksen maksuttomuudesta -Tullin luovuttamista tiedoista ei peritä maksuja. Säädöksen sisältö ehdotetaan muutettavaksi tiedonsaannin maksuttomuudeksi. Pykälän toisessa momentissa säädettäisiin toimivaltaisten viranomaisten oikeus saada maksutta tietoja pankki- ja maksutilirekisterin lisäksi myös pankki- ja maksutilien tiedonhakujärjestelmistä. Koska pankki- ja maksutilien valvontajärjestelmä pitää sisällään sekä tilirekisteristä että pankki- ja maksutilien tiedonhakujärjestelmästä saatavat tiedot, on tarkoituksenmukaisempaa säätää viranomaisen oikeudesta saada maksutta tietoa kokonaisuudessaan pankki- ja maksutilien valvontajärjestelmästä.  

2 §.Määritelmät . Pykälän kohtaa 1 muutettaisiin niin, että korvattaisiin kohdassa olevan viittauspykälä 4 §:n 1 momentista 1 d §:ksi, johon ehdotetun mukainen poikkeuslupasäännös lisätään.  

Pykälän kohtaa 2 täydennettäisiin siten, että lisättäisiin määritykseen luottolaitosten lisäksi mahdolliset muut pankki- ja maksutilien tiedonhakujärjestelmän luoneet toimijat. Lisäksi tarkennettaisiin voimassa olevan lain sanamuotoa lisäämällä määritykseen ehdotetun lain 3 luvun mukaiset saldo- ja tilitapahtumatiedot ja arvopaperitiedot ja tehtäisiin yksi kielellinen tarkennus.  

Pykälän kohtaan 3 lisättäisiin ehdotetun saldo- ja tilitapahtumajärjestelmän käyttöön oikeutetut viranomaiset, jotka on määritelty 17 a ja 17 c §: ssä.  

Lisäksi pykälän kohtaa 11 ehdotetaan muutettavaksi siten, että lisätään siihen tarkennus välitettävien tietojen sisällöstä. Koska koostava sovellus on osa pankki- ja maksutilien valvontajärjestelmää, on lisäksi tarpeen korjata voimassa olevan lain määritelmän sanamuotoa. Koostava sovellus välittäisi siten pankki- ja maksutilitietoja, tallelokerotietoja, saldo- ja tilitapahtumatietoja sekä arvopaperitietoja pankki- ja maksutilien valvontajärjestelmän avulla. Ehdotuksen mukaisesti saldo- ja tilitapahtumatiedot välitetään samalla koostavalla sovelluksella kuin voimassaolevan lain mukaiset pankki- ja maksutilien omistajatiedotkin. Tietojen välittämistapa eroaa kuitenkin toisistaan siinä missä tilin omistajatietoja koskevan kyselyn osalta Tullin koostava sovellus ei välitä viranomaisen kyselyä sellaisenaan eteenpäin vaan pseudonymisoi osan kyselyn tiedoista niin, ettei tiedonluovuttajalle välitetä kaikkia kyselyn taustatietoja. Saldo- ja tilitapahtumatietoja koskevissa kyselyissä sen sijaan koostava sovellus välittää tietoja enemmän, jotta luotto- ja maksulaitoksella olisi mahdollisuus tosiasiallisesti arvioida kyselyn oikeasuhtaisuutta ja tarpeen tullen kysyä lisätietoa kyselyn tehneeltä viranomaiselta. Tarkemmin kyselyiden eroja on avattu pykälän 1 §:n perusteluissa.  

Lisäksi ehdotetaan lisättäväksi uusi kohta 12 keskitetty automatisoitu tilitietojärjestelmä, jolla tarkoitetaan viidennen rahanpesudirektiivin - ja voimassaolevan lain mukaista tilin omistajatietoja koskevaa tiedonkäsittelyä. Uudella määritelmällä halutaan selkeyttää lain sisältöä ja havainnollistaa paremmin ehdotetun lain kahta erilaista tiedonkäsittelytapaa. Keskitetty automatisoitu tilitietojärjestelmä pitäisi sisällään voimassaolevan lain mukaisen tiedonkäsittelyn eli välittömän tilin omistajatietojen saamisen. Viidennen rahanpesudirektiivin 32 a artiklassa on edellytetty, että jäsenvaltioiden on otettava käyttöön keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tietojenhakujärjestelmiä, joiden avulla voidaan ajallaan tunnistaa mikä tahansa luonnollinen henkilö tai oikeushenkilö, joka on niiden alueella toimivassa luottolaitoksessa olevan IBAN-tunnisteisen maksutilin ja pankkitilin, sekä tallelokeron haltija tai jolla on määräysvalta tällaiseen tiliin tai tallelokeroon.  

Pykälään ehdotetaan lisättäväksi uusi kohta 13 keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä , jolla kuvataan pankki- ja maksutilien valvontajärjestelmään lisättäviksi ehdotettujen saldo- ja tilitapahtumatiedustelujen käsittelytapaa. Uudella määritelmällä selvennettäisiin saldo- ja tilitapahtumatietoja koskevien tiedustelujen käsittelyeroa voimassaolevan lain mukaisesta välittömästä tilin omistajatietoja koskevien tiedustelujen käsittelytavasta. Pankki- ja maksutilien valvontajärjestelmä on ehdotetun lain mukaisesti kattojärjestelmä, jonka alla on kaksi eri oikeusperustaan ja erilaiseen tiedonkäsittelytapaan nojaavaa toiminnallisuutta. Ne välittävät eri tietosisältöä, mutta tiedon käsittely toteutetaan molemmissa toiminnallisuuksissa samojen tiedonhakujärjestelmien ja koostavan sovelluksen avulla.  

Pykälään ehdotetaan lisättäväksi uusi kohta 14, jolla selvennetään mitä ehdotetussa laissa tarkoitetaan saldo lla. Saldolla tarkoitettaisiin pankki- ja maksutilillä saldotietoa koskevan kyselyn vastaushetkellä olevaa rahamäärää, jota viranomaisella olisi mahdollisuus kysyä tarvitsemansa yksittäisen viranomaistehtävänsä hoitamiseksi pankki- ja maksutilien valvontajärjestelmän avulla. Tilin saldosta tulisi olla vähennetty mahdollinen katevaraus. Koska tiedonluovuttajan tulisi vastata saldotietoa koskevaan kyselyyn viipymättä, mutta viimeistään seuraavan pankkipäivän kuluessa, tilin saldo voi vaihdella viranomaisen tekemän kyselyn ja tiedonluovuttajan antaman vastausajankohdan välissä. Tiedonluovuttajan tulisi antaa tilin saldo aina vastausajankohdan mukaisesti.  

Pykälään ehdotetaan lisättäväksi uusi 15 kohta tilitapahtumatiedot , jolla tarkoitetaan rahoitustietodirektiivin 2024/1654 1 artiklan 2 b kohdan 7 a alakohdassa tarkoitettuja yksityiskohtaisia tietoja toimista, jotka on suoritettu tiettynä ajanjaksona tietyn maksutilin tai IBAN-tilinumerolla yksilöidyn pankkitilin kautta, tai yksityiskohtaisia tietoja kryptovarojen siirroista . Rahoitustietodirektiivissä säädetään, että luotto- ja maksulaitokset velvoitetaan EU-tasolla toimittamaan tilitapahtumatiedot komission määräämässä sähköisessä jäsennellyssä muodossa toimivaltaisille lainvalvontaviranomaisille. Käytännössä sähköisen jäsennellyn muodon mallina on pidetty ISO20022-sanomaa. Keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän tilitapahtumatietokyselyn sisältö noudattaisi samaa ISO20022-sanomarakennetta, joten tilitapahtumatiedoiksi katsotaan kaikki sanomarakenteen mukaiset tunnistetiedot; esimerkiksi tapahtuman tunnistenumero, sen päivämäärä ja aika, maksun vastaanottajan tai suorituksen lähettäjän nimi ja tilinumero sekä kaikki maksuun liittyvät viite- tai viestitiedot. Hyödyntämällä kansallisesti samaa teknistä muotoa tilitapahtumatietokyselyissä kuin mitä rahoitustietodirektiivin mukaisesti viranomaisten tulee noudattaa rajat ylittävissä tietopyynnöissä, edesautetaan rahoitustietodirektiivin kansallista implementointia.  

Pykälään ehdotetaan lisättäväksi uusi 16 kohta arvopaperitiedot , jolla tarkoitetaan arvo-osuustililain (827/1991) 2 §n mukaisia tietoja arvo-osuustilille kirjatuista arvo-osuuksien lajista ja lukumäärästä ja mahdollisia niihin kohdistuvista oikeuksista ja rajoitteista. Arvo-osuus tarkoittaa arvo-osuusjärjestelmästä ja selvitystoiminnasta annetun lain (348/2017) 3 §:n 1 kohdan mukaisesti sellaista arvopaperimarkkinalain (746/2012) 2 luvun 1 §:ssä mainittua osaketta, osuutta tai muuta oikeutta, sijoituspalvelulain (747/2012) 1 luvun 14 §:ssä tarkoitettua muuta rahoitusvälinettä tai siihen rinnastettavaa oikeutta taikka muuta arvopaperia, joka on liitetty arvo-osuusjärjestelmään. Arvo-osuustili on siten arvopapereiden säilyttämiseen tarkoitettu tili, jossa säilytetään erilaisia sähköisiä arvopapereita. Kuudennessa rahanpesudirektiivissä asetetaan jäsenmaille velvoite saattaa arvopaperitilin tunniste ja tilin avaamis- ja lopetuspäivä keskitetyn automatisoidun mekanismin kautta saataville. Kuudennessa rahanpesudirektiivissä arvopaperitilillä tarkoitetaan 2 artiklan 10 kohdan mukaisesti arvopaperitoimituksen parantamisesta Euroopan unionissa sekä arvopaperikeskuksista ja direktiivien 98/26/EY ja 2014/65/EU sekä asetuksen (EU) N:o 236/2012 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 909/2014 2 artiklan 1 kohdan 28 alakohdassa määriteltyä arvopaperitiliä. Mainitussa asetuksessa arvopaperitilillä tarkoitetaan tiliä, jolle arvopapereita koskevat hyvitys- ja veloitusmerkinnät tehdään. Kansallisesti tällä tarkoitetaan arvo-osuustililaissa (827/1991) tarkoitettua arvo-osuustiliä. Kuudennen rahanpesudirektiivin velvoite arvopaperitilin tunnistetietojen välittämisestä keskitetyn automatisoidun mekanismin kautta tulee kansallisesti implementoida 10.7.2027 mennessä. Koska tietopyyntöä arvo-osuustileillä olevista arvo-osuuksista ei voida kohdentaa oikealle arvo-osuustilille ennen kuin arvo-osuustilin tunnistetiedot on saatavilla keskitetyn automatisoidun mekanismin eli pankki- ja maksutilien keskitetyn automatisoidun tilitietojärjestelmän kautta, ehdotettua 17 d §:n 2 momenttia sovellettaisiin vasta 10.7.2027 alkaen.  

2 luku Keskitetty automatisoitu tilitietojärjestelmä 

Lakiehdotuksen 2 luku pitäisi sisällään pitkälti voimassaolevan lain sisällön eli se koskisi viidennen rahanpesudirektiivin mukaista tilin omistajuustietoja koskevaa automatisoitua ratkaisua tilin omistajatietojen käsittelyyn. Koska ehdotetulla sääntelyllä pankki- ja maksutilien valvontajärjestelmään muodostettaisiin kokonaan uusi 3 luvun mukainen käyttötapa, keskitetty saldo- ja tilitapahtumatietojen kyselyjärjestelmä, voimassa olevan lain mukaisesta sääntelystä muodostettaisiin ehdotetun lain 2 luvun mukainen tilin omistajatietojen käsittelyä kuvaava toiminnallisuus. Tämä toiminnallisuus nimettäisiin keskitetyksi automatisoiduksi tilitietojärjestelmäksi. Siten ehdotuksen 2 luku käsittää sisällöllisesti voimassaolevan lain mukaista sääntelyä kuvaavat 3–17 §:t. 

3 §. Keskitettyä automatisoitua tilitietojärjestelmää käyttävät viranomaiset. Pykälään otsikko muutettaisiin kuvaamaan 2 luvun mukaisesti automatisoidun tilitietojärjestelmän käyttäjiä. Koska pankki- ja maksutilien valvontajärjestelmä muodostuisi ehdotuksen mukaisesti kahdesta toiminnallisuudesta, joiden oikeusperusta ja tiedon käyttötarkoitus eroavat toisistaan, niitä käyttävät viranomaiset tulisi säätää erikseen. Kun voimassaolevan lain mukaisesta sääntelystä muodostettaisiin ehdotetun lain 2 luvun mukainen keskitetty automatisoitu tilitietojärjestelmä, lisättäisiin pykälän otsikkoon tarkennus mitä pankki- ja maksutilien valvontajärjestelmän osaa pykälän mukaiset viranomaiset ovat oikeutettuja käyttämään. Ehdotetulla lailla ei muutettaisi voimassaolevan lain toimivaltapykäliä.  

Lisäksi eriytettäisiin Rajavartiolaitoksen toimivaltapykälä omaksi 10 kohdakseen pois voimassaolevan lain mukaisesta 7 pykälästä, jossa Rajavartiolaitoksen toimivaltuudet on yhdistetty poliisin toimivaltapykälien kanssa. Ehdotetulla muutoksella omaksi toimivaltapykäläksi korjattaisiin Rajavartiolaitoksen toimivaltapykälät vastaamaan sen tehtäviä. Voimassaolevan lain mukaan, jossa poliisin ja rajavartiolaitoksen tehtävät on ryhmitelty saman 7 kohdan alle, rajavartiolaitoksella on kansallisen turvallisuuden ylläpitämistä koskeva tehtävä. Kyseinen tehtävä ei kuulu rajavartiolaitokselle, vaan rajavartiolaitoksen toimivaltuus koskee rikosten ennalta estämistä, paljastamista ja selvittämistä sekä syyteharkintaan saattamista rikostorjunnasta Rajavartiolaitoksessa annetun lain (108/2018) mukaisesti. Rajavartiolaitoksen uudesta toimivaltapykälästä johtuen tehtäisiin lisäksi tekninen muutos myös Finanssivalvonnan tiedonsaantipykälän merkintään. 

Lisäksi Puolustusvoimien toimivaltapykälää koskevaa 8 kohtaa ehdotetaan muutettavaksi siten, että sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annettu laki (255/2014) korvattaisiin 1.12.2025 voimaantulevalla uudella sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa annetulla lailla (89/2025). Pykälän 8 kohdan mukaan Puolustusvoimilla olisi oikeus päästä pankki- ja maksutilien valvontajärjestelmään 4 §:n mukaisesti luovutettaviin ja 6 §:n mukaisesti tallennettuihin tietoihin, jos se on välttämätöntä seuraavien tehtävien suorittamiseksi ja viranomaisella on muualla laissa säädetty oikeus saada edellä mainitut tiedot. Puolustusvoimien oikeus tietoihin perustuisi sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa annetussa laissa (89/2025) tarkoitettuun rikosten estämiseen, paljastamiseen ja selvittämiseen sekä sotilastiedustelusta annetun lain 104 §:ssä säädetyn mukaisesti. 

3 a §. Toimivaltaisten viranomaisten pääsy keskitetyn automatisoidun tilitietojärjestelmän tietoihin ja niitä koskevien hakujen tekemistä koskevat edellytykset. Pykälään otsikkoon lisättäisiin tarkennus keskitetystä automatisoidusta tilitietojärjestelmästä. Ehdotetulla muutoksella selkeytettäisiin pankki- ja maksutilien valvontajärjestelmän toimivaltasäännöksiä sen sisältäessä ehdotuksen mukaisesti kaksi erillistä ja eri toimivaltasäännöksiin perustuvaa toiminnallisuutta.  

4 §. Pankki- ja maksutilien tiedonhakujärjestelmästä luovutettavat pankki- ja maksutilitiedot. Voimassaolevaa pykälää ehdotetaan muutettavaksi siten, että lisätään otsikkoon tarkennus luovutettavista pankki- ja maksutilitiedoista. Koska ehdotetun lain mukaisesti pankki- ja maksutilien tiedonhakujärjestelmän kautta luovutetaan myös muita kuin voimassaolevassa pykälässä mainittuja tietoja, on tarkoituksenmukaista kertoa, että kyseinen pykälä sisältää säännöksen nimenomaan viidennen rahanpesudirektiivin mukaisista pankki- ja maksutilitiedoista. Lisäksi tehtäisiin kielellinen korjaus luovuttamiseen liittyvän sanan muotoiluun.  

Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että voimassaolevan pykälän 1 momentin mukainen velvoite ylläpitää sähköistä pankki- ja maksutilien tiedonhakujärjestelmää sekä velvoitteen poikkeusperuste ehdotetaan poistettavaksi ja lisättäväksi 1 d §: ään. Pykälän 1 momentti sisältäisi siten pelkästään voimassaolevan lain 1 momentista velvoitteen toimittaa 2 momentissa eritellyt tiedot asiakkaidensa pankki- ja maksutileistä toimivaltaiselle viranomaiselle. Tietojen toimittaminen tulee olla voimassaolevan lain mukaisesti välitöntä ja tiedot tulee toimittaa salassapitosäännösten estämättä. Edellytys tiedon luovuttamisesta välittömästi tarkoittaisi sitä, että tiedot pystyttäisiin luovuttamaan teknisen yhteyden kautta heti, kun tietopyyntö on tullut ja tiedot on sähköisesti kerätty.  

Pykälän 2 momentin 1 kohtaa ehdotetaan muutettavaksi liittyen tilinhaltijaan ja käyttöoikeuden haltijaan niin, että myös edellä mainittujen osalta tulisi luovuttaa asiakkuuden ja käyttöoikeuden alkamis- ja päättymispäivä, sillä asiasta on voimassaolevassa laissa säädetty ainoastaan oikeushenkilöiden osalta. Asiakkuuden alkamis- ja päättymispäivä ovat tarpeellisia tietoja myös muiden kuin oikeushenkilöiden osalta. Pankki- ja maksutilirekisterin osalta on säädetty velvollisuus luovuttaa asiakkaasta asiakkuuden alkamis- ja päättymispäivää koskevat tiedot. Siten velvollisuudesta luovuttaa tiedot tulisi säätää tiedonhakujärjestelmän osalta tilirekisteriä vastaavalla tavalla. Tilin käyttöoikeudenhaltijaa koskevat tiedot ovat kuudennen rahanpesudirektiivin 16 artiklan 3 kohdassa tarkoitettuja tietoja, joiden on oltava saatavilla jäsenvaltioiden keskitettyjen pankkitilirekisterien kautta siten, että niihin voidaan tehdä hakuja. Tilin käyttöoikeudenhaltija on asiakas, joka toimii omaksi hyödykseen, mutta tilinhaltijan lukuun. Käyttöoikeudenhaltija ei aina kuitenkaan ole luotto- tai maksulaitoksen asiakas. Tämän vuoksi käyttöoikeudenhaltijan osalta merkityksellinen tieto ei ole asiakkuuden alkamis- ja päättymispäivä, vaan tilin käyttöoikeuden alkamis- ja päättymispäivä. Kuudennen rahanpesudirektiivin 16 artiklan 3 kohdan mukaan myös tilin käyttöoikeuden alkamis ja mahdollinen päättymispäivä tulee olla välittömästi ja suodattamattomina saatavilla keskitettyjen pankkitilirekisterien kautta.  

Lisäksi 2 momentin 1 kohtaa ehdotetaan muutettavaksi siten, että viittaus käyttöoikeudenhaltijaan koskisi tiliä eikä tilihaltijaa kuten voimassa olevassa laissa on säädetty. Voimassaolevan lain sanamuoto on aiheuttanut tulkintaepäselvyyksiä, jonka takia se tulisi korjata vastaamaan rahanpesudirektiivin mukaista tilin käyttöoikeudenhaltijaa. Samantapainen muutos ehdotetaan tehtäväksi 2 momentin 4 kohtaan, jossa korjataan viittaus käyttöoikeutettuun koskemaan tallelokeroa eikä tallelokeron vuokraajaan.  

6 §. Pankki- ja maksutilirekisteriin tallennettavat tiedot. Pykälää ehdotetaan muutettavaksi 1 momentin osalta siten, että siihen tehtäisiin tekninen muutos. Koska voimassaolevan lain 4 §:n 1 momentti luottolaitoksen velvoitteesta ylläpitää pankki- ja maksutilien tiedonhakujärjestelmää ehdotetaan siirrettäväksi uuteen 1 d §:ään, muutetaan 1 momentissa oleva viittaus pankki- ja maksutilien tiedonhakujärjestelmään vastaamaan ehdotettua momenttia. Lisäksi 1 momentin osalta tehtäisiin kielellinen muutos luovutusta koskevan sanamuodon osalta.  

Lisäksi pykälän 2 momentin 1 kohtaa ehdotetaan muutettavaksi vastaavalla tavalla kuin 4 §:n 2 momentin 1 kohtaa eli viittaus käyttöoikeudenhaltijaan koskisi tiliä eikä tilihaltijaa kuten voimassa olevassa laissa on säädetty. Sama korjaus tehtäisiin myös 3 momentin 1 kohtaan ja 4 kohtaan, jossa korjataan viittaus käyttöoikeutettuun koskemaan tallelokeroa eikä tallelokeron vuokraajaa. 

Lisäksi 2 momentin 2 kohtaan ehdotetaan lisättäväksi tilin käyttöoikeuden alkamis- ja päättymispäivä. Voimassa olevan lain 6 §:ssä on säädetty tilirekisteriin tietoja tallentavien tiedonluovuttajien velvoitteesta luovuttaa asiakkaasta asiakkuuden alkamis- ja päättymispäivää koskevat tiedot. Koska tilin käyttöoikeudenhaltija ei aina kuitenkaan ole asiakassuhteessa kyseiseen tiedonluovuttajaan, käyttöoikeudenhaltijan osalta merkityksellinen tieto ei ole asiakkuuden alkamis- ja päättymispäivä, vaan tilin käyttöoikeuden alkamis- ja päättymispäivä. Kuudennen rahanpesudirektiivin 16 artiklan 3 kohdan mukaan myös tilin käyttöoikeuden alkamis ja mahdollinen päättymispäivä tulee olla välittömästi ja suodattamattomina saatavilla keskitettyjen pankkitilirekisterien kautta. 

7 §.Tietojen antaminen pankki- ja maksutilirekisteristä . Pykälän 2 momenttiin tehtäisiin kielellinen korjaus poistamalla asetuksen koko nimi ja korvaamalla se edellä 1 c §:n mainitulla asetuksen lyhytnimikkeellä.  

8 §. Keskitettyä automatisoitua tilitietojärjestelmää koskevien tietojen luovuttaminen toimivaltaisille viranomaisille. Voimassa oleva pykälä ehdotetaan muutettavaksi koskemaan tiedon luovuttamisen perusteita. Ehdotettu pykälä vastaisi sisällöltään voimassaolevan lain 7 a §:n 2 momenttia ja 3 momentin toista virkettä. Voimassaolevan lain 7 a § ehdotetaan kumottavaksi ja sen 1 ja 4 momentti sekä 3 momentin ensimmäinen virke siirretään ehdotuksen mukaisesti 1 c §:ään muun pykälän sisällön siirtyessä 8 §:ään. Lisäksi siirrettävän 7 a §:n 2 momenttiin tehtäisiin kielellinen korjaus viranomaisen käsitteeseen liittyen.  

9 §. Tietojen poistaminen pankki- ja maksutilirekisteristä. Voimassaolevan pykälän otsikkoon lisättäisiin pankki- ja maksutilirekisteri. Ehdotetulla muutoksella tarkennettaisiin pykälän sisältöä.  

10 §. Lokitiedot. Voimassaolevaa pykälän 1 momenttia ehdotetaan muutettavaksi siten, että korvataan Tullin velvoite ylläpitää lokirekisteriä pankki- ja maksutilien tiedonhakujärjestelmän käytöstä velvoitteella ylläpitää lokirekisteriä keskitetyn automatisoidun tilitietojärjestelmän käytöstä. Pankki- ja maksutilirekisterin käytöstä ylläpidettävän lokirekisterin velvoitetta ei muutettaisi. Lisäksi 1 momenttiin tehtäisiin kielellisiä korjauksia viranomaisen käsitteeseen ja 2 kohdan muotoiluun liittyen.  

Pykälän 2 ja 3 momentin sisältö yhdistettäisiin yhdeksi momentiksi siten, että korvattaisiin toimivaltaisten viranomaisten pankki- ja maksutilien tiedonhakujärjestelmän käyttöä koskeva rekisterinpitovelvoite ulottumaan koko automatisoidun tilitietojärjestelmän käyttöön. Hallituksen esityksen 163/2021 vp myötä säädetyn koostavan sovelluksen myötä kaikki viranomaisen tietopyynnöt kulkevat koostavan sovelluksen kautta riippumatta siitä kysyykö viranomainen tietoa pankki- ja maksutilirekisteristä vai pankki- ja maksutilien tiedonhakujärjestelmästä. Siten olisi perusteltua, että viranomainen pitäisi rekisteriä kokonaisuudessaan automatisoidun tilitietojärjestelmän käytöstä. Ehdotetulla muutoksella selkeytettäisiin voimassa olevan lain muotoilua, jossa on ensin 2 momentin mukaisesti säädetty tiedoista, joita lokirekisterissä tulee olla ja vasta sen jälkeen velvollisuudesta pitää lokirekisteriä.  

12 §. Rikemaksu. Pykälää ehdotetaan muutettavaksi vain 1 momentin osalta, johon tehtäisiin tekninen muutos. Koska voimassa olevan lain 4 §:n 1 momentti luottolaitoksen velvoitteesta ylläpitää pankki- ja maksutilien tiedonhakujärjestelmää ehdotetaan siirrettäväksi uuteen 1 d §:n 1 momenttiin, muutetaan 1 momentissa oleva viittaus pankki- ja maksutilien tiedonhakujärjestelmään vastaamaan ehdotettua momenttia.  

3 luku Keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä 

Lakiehdotuksen 3 luku sisältäisi saldo- ja tilitapahtumatietojen käsittelyä koskevan toiminnallisuuden, ja se sisältäisi uudet 17 a-17 h §:t. 

17 a §. Saldotietojen luovuttaminen teknisen rajapinnan avulla toimivaltaisille viranomaisille. Pykälässä säädettäisiin saldotiedon välittämisestä ja luovuttamisesta teknisen rajapinnan avulla saldo- ja tilitapahtumajärjestelmästä toimivaltaisille viranomaisille. Viranomaisten oikeus saada saldotietoja järjestelmän avulla perustuu muussa lainsäädännössä oleviin tiedonsaantioikeuksiin, eikä kyseessä ole siten tiedonsaantioikeutta koskeva säännös. Tiedon luovutuksesta teknisen rajapinnan avulla sähköisestä saldo- ja tilitapahtumajärjestelmästä olisi tarpeen säätää, koska sähköinen tietojen luovuttaminen tapahtuisi yksityiseltä toimijalta viranomaiselle eikä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 22 tai 24 § tule siten sovellettavaksi. Jotta myös EU-oikeuden liikkumavaraan liittyvät kysymykset tulisivat huomioiduksi, olisi tietojen luovutustapa sidottava tiettyihin käyttötarkoituksiin, joihin viranomainen voi hyödyntää saldo- ja tilitapahtumajärjestelmää.  

Vaikka oikeus saada tietoa rajapinnan avulla määräytyy voimassa olevien tiedonsaantioikeuksien perusteella, sähköistä tiedon luovutustapaa koskeva erityissääntely mahdollistaisi teknisesti uuden tavan käsitellä arkaluonteisia tietoja. Koska kyse on salassa pidettävistä ja arkaluonteisista tiedoista, oikeus tietojen saamiseen keskitetyn järjestelmän avulla sidottaisiin viranomaisen tiedonsaantioikeussäännökseen. Jokaisella viranomaisella on omassa tiedonsaantipykälässään sidottu tiedon saanti joko tarpeellisuusvaatimukseen tai välttämättömyysvaatimukseen. Niilläkin viranomaisilla, joilla tiedonsaantipykälä on sidottu tarpeellisuusvaatimukseen, on erillisessä henkilötietolaissa säädetty, että viranomainen voi käsitellä erityisiä henkilötietoja vain, kun se on välttämätöntä. Sähköiseen saldo- ja tilitapahtumajärjestelmään lisätty välttämättömyyden vaatimus on siten suojatoimi, jolla turvattaisiin arkaluonteisten tietojen käsittelyä. Viranomainen voisi pyytää saldotietoja teknisen rajapinnan avulla, jos saldotiedot olisivat viranomaiselle välttämättömiä yksittäisen, käsiteltävänä olevan viranomaistehtävän ratkaisemista varten. Välttämättömyyden edellytyksiä on käsitelty viranomaiskohtaisesti esityksen 4 luvussa. 

Tietosuoja-asetuksen 5 artiklan 1 c kohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Tiedon minimoinniksi kutsutun periaatteen vuoksi ehdotetaan, että saldo- ja tilitapahtumajärjestelmään säädetään kaksi käyttöoikeustasoa. Pääsy keskitettyyn saldo- ja tilitapahtumajärjestelmään ei olisi automaattisesti kaikille yhtä laaja, vaan ne viranomaiset, jotka tarvitsevat esimerkiksi pelkkiä saldotietoja tehtäviensä hoitamiseen, olisivat oikeutettuja vain näihin tietoihin, tai että ne viranomaiset, joiden tiedonsaantioikeudet eivät kata arkaluonteisia henkilötietoja, voisivat kuitenkin hyödyntää saldo- ja tilitapahtumajärjestelmää saldotietojen kysymiseen. Tämän vuoksi sähköisestä saldo- ja tilitapahtumajärjestelmästä olisi mahdollista saada kahdenlaisia tietoja; pelkästään tilin saldoa koskevia tietoja ja laajemman tietosisällön kattavia tilitapahtumatietoja. Vaikka viranomaisella olisi oikeus saada laajemman tietosisällön mukaisia tilitapahtumatietoja, sen tulisi aina tehdä välttämättömyysarviointi ennen kyselyn tekemistä. Myös laajempaan tietosisältöön oikeutettu viranomainen voisi siten hakea keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä esimerkiksi pelkästään tilin saldotietoa, mikäli viranomainen yksittäisessä tehtävässään ei tarvitsisi muita tarkempia tilitapahtumatietoja.  

Pykälän 1 kohdan mukaan poliisilla olisi oikeus saada teknisen rajapinnan avulla saldotietoja keskitetyn saldo- ja tilitapahtumajärjestelmän kautta. Poliisin oikeus saada keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä saldotietoja perustuisi poliisilain 4 luvun 3 §:ään ja 5 a luvun 50 §:ään. Poliisin hallinnosta annetun lain (110/1992) 1 §:n säädöskohtaisissa perusteluissa todetaan, että sisäministeriön, Poliisihallituksen, suojelupoliisin ja muiden poliisiyksiköiden toimivaltasuhteet on säädetty täsmällisesti. Tästä huolimatta perustuslakivaliokunta on ottanut lausunnossaan PeVL 53/2024 vp kantaa, että hallituksen esityksessä eduskunnalle laiksi Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisestä tietojenvaihdosta ja eräiksi siihen liittyviksi laeiksi 1. lakiehdotuksen 2 §:n 1 kohdan sääntelyä koskien toimivaltaisista lainvalvontaviranomaisista on syytä täsmentää. Valiokunta huomautti, että säännöksessä viitattua poliisia ei voi poliisin hallinnosta annetun lain 1 §:ssä säädetty huomioon ottaen pitää selkeänä määrittelynä toimivaltaisesta viranomaisesta. Sanotulla epäselvyydellä voi olla erityistä merkitystä sovellettaessa esimerkiksi rekisterinpitäjän velvollisuuksia koskevia säännöksiä. Hallintovaliokunta on mietinnössään (HaVM 25/2024) tehnyt selkoa, että sen saaman selvityksen perusteella käsite on luonut toimivan tietojenvaihdon perustan Suomen toimivaltaisille lainvalvontaviranomaisille. Tietojenvaihtodirektiivissä ei myöskään esitetä muutoksia toimivaltaisen lainvalvontaviranomaisen käsitteeseen. Edellä toteamansa perusteella hallintovaliokunta ei ehdottanut muutosta hallituksen esityksessä ehdotetun toimivaltaisen lainvalvontaviranomaisen määritelmään. Poliisilla tarkoitetaan ehdotuksessa siis sekä Poliisihallituksen alaisia yksiköitä että suojelupoliisia. Poliisin hallinnosta annetun lain 1 §:n 5 momentissa poliisitoimesta Ahvenanmaan maakunnassa säädetään erikseen. On kuitenkin huomioitava, että Ahvenanmaan poliisiin sovelletaan poliisilain pankkitilitietoja koskevia toimivaltuussäännöksiä.  

Poliisin tiedonsaantioikeudet on rajattu rikoksen estämiseen tai selvittämiseen tai tärkeään yleiseen tai yksityiseen etuun. Poliisilain 4 luvun 3 §:n mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Poliisilla on sama oikeus saada poliisilain 6 luvussa tarkoitetussa poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Saldotapahtumien saaminen valvontajärjestelmän kautta nykyisen hajanaisen ja osin manuaalisen menettelyn sijaan mahdollistaisi poliisin edellä mainittujen tehtävien suorittamisen tehokkaalla tavalla. Käytännössä poliisissa päätöksen kyseisten tietojen hankkimisesta tekee päällystöön kuuluva poliisimies kussakin yksittäistapauksessa erikseen, jolloin myös päätöksentekotaso on riittävän korkealla. Tietojen hankinnasta tehdään erillinen päätös ja pyyntö. 

Kansallisen turvallisuuden ylläpitämistä koskevat pääsyoikeudet tehdä saldotietoja koskevia kyselyjä pankki- ja maksutilien valvontajärjestelmän kautta liittyisivät suojelupoliisin tehtäviin kansallisen turvallisuuden suojaamiseksi, eli siviilitiedustelun suorittamiseksi. Suojelupoliisilla on tiedonsaantioikeudet saldotapahtumiin poliisilain 4 luvun 3 §:n 1 momentin ja 5 a luvun 50 §:n nojalla. Siviilitiedustelun kohteina voi olla muun muassa terrorismi, ulkomainen tiedustelutoiminta, joukkotuhoaseet, yhteiskunnan elintärkeitä toimintoja uhkaava toiminta ja sellainen vieraan valtion toiminta, joka voi aiheuttaa vahinkoa Suomen tärkeille eduille. On huomioitava, että terrorismin rahoittamista koskeva tiedonhankinta kuuluu näin ollen suojelupoliisin tehtäviin myös sen suorittaessa siviilitiedustelua. Pankkitiedustelut liittyvät aina yksittäisen virkatehtävän suorittamiseen ja jokainen pyyntö perustellaan kirjallisesti. Päätöksen tiedustelun tekemisestä tekee päällystöön kuuluva poliisimies, vastaavasti kun silloin kun pyyntö tehdään rikosten estämiseksi. Saldotietoon liittyvän käyttöoikeuden antamisessa suojelupoliisille ei näin ollen ole kyse siitä, että sille perustettaisiin täysin uusi tiedonsaantioikeus, vaan siitä, että muun lain nojalla jo olemassa olevan tiedonsaantioikeuden käyttöä sujuvoitettaisiin. Valvontajärjestelmän käyttöä suojelupoliisin toiminnassa rajaisi se, mitä suojelupoliisin tiedonsaantioikeuksista muualla on säädetty. Poliisilain 5 a luvun 50 § esimerkiksi edellyttää, että pyyntö on tarpeen sellaisen siviilitiedustelun kohteena olevan toiminnan selvittämisessä, joka vakavasti uhkaa kansallisista turvallisuutta. Pyynnön pitää myös voida olettaa olevan merkityksellinen siviilitiedustelun kohteena olevan henkilön tai oikeushenkilön tunnistamiseksi tai tavoittamiseksi tai kyseisen henkilön yhteystietojen tai liikkumisen selvittämiseksi, tiedustelumenetelmän käytön kohdentamiseksi tiettyyn siviilitiedustelun kohteena olevaan henkilöön, tai siviilitiedustelun kohteena olevan henkilön tai oikeushenkilön 3 §:ssä tarkoitettuun toimintaan oletettavasti kytkeytyvän taloudellisen toiminnan selvittämiseksi. Suojelupoliisin toiminnassa tapahtuvan henkilötietojen käsittelyn lain- ja asianmukaisuuden valvonta on erittäin tarkkaa. Sisäisen laillisuusvalvonnan resursseja lisättiin tiedustelulakien voimaantulon yhteydessä voimakkaasti. Lisäksi henkilötietojen käsittelyä valvoo ulkoisena laillisuusvalvojana tietosuojavaltuutettu ja erityisvaltuutettuna toimiva tiedusteluvalvontavaltuutettu sekä ylimmät laillisuusvalvojat. 

Pykälän 2 kohdan mukaan oikeus saldotietoon teknisen rajapinnan avulla keskitetyn saldo- ja tilitapahtumajärjestelmän kautta olisi myös rahanpesun selvittelykeskuksella. Rahanpesun selvittelykeskuksella olisi oikeus saada tiedot rahanpesun selvittelykeskuksesta annetun lain 4 §:n mukaisesti. Rahanpesun selvittelykeskuksella on oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä sekä ilmoitusvelvollisilta rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot ja asiakirjat maksutta sen estämättä, mitä liikesalaisuutta tai yksilön, yhteisön tai säätiön taloudellisia olosuhteita, taloudellista asemaa tai verotustietoja koskevien tietojen salassapidosta säädetään. Päätöksen salassa pidettävien tietojen hankkimisesta tekee selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies. Selvittelykeskuksella on lisäksi oikeus saada maksutta yksityiseltä yhteisöltä, säätiöltä ja henkilöltä selvittelykeskuksessa työskentelevän päällystöön kuuluvan poliisimiehen kirjallisesta pyynnöstä rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot yhteisön jäsentä, tilintarkastajaa, toiminnantarkastajaa, hallituksen jäsentä tai työntekijää velvoittavan salassapitovelvollisuuden estämättä.  

Saldotiedon käyttäminen on välttämätöntä, jotta rahanpesun selvittelykeskus voi suorittaa laissa säädetyt tehtävänsä. Erityisesti ilmoitusten analysointi edellyttää saldo- ja tilitapahtumatietojen yksityiskohtaista tarkastelua. Rahanpesun selvittelykeskus on vastaanottanut aikaisemmin vuositasolla useita kymmeniä tuhansia rahanpesuilmoituksia, mutta määrä on viime aikoina noussut merkittävästi. Esimerkiksi vuonna 2022 ilmoituksia vastaanotettiin jo yli 200.000. Osa näistä ilmoituksista valitaan esikäsittelyn jälkeen jatkoselvittelyn kohteeksi ja vuodessa avataan noin 1500 selvittelykokonaisuutta. Yhdessä selvittelykokonaisuudessa voi olla osallisena useampia henkilöitä ja yhtiöitä ja niihin liittyy tyypillisesti 1–5 eri rahanpesuilmoitusta. Käytännössä lähes kaikissa näissä selvittelykokonaisuuksissa tehtäisiin useita kyselyitä sekä pankki- ja maksutilien valvontajärjestelmän voimassaolevan lain mukaisiin pankkitilitietoihin, että saldo- ja tilitapahtumiin. Lisäksi sekä tili- että tilitapahtumatietoja tarvitaan välttämättä myös ilmoitusten esikäsittelyn yhteydessä, jotta ilmoituksista saadaan analyysin keinoin valittua jatkokäsittelyyn ne, joissa rahanpesun tai terrorismin rahoittamisen riski on suurin. 

Pykälän 3 kohta koskisi Tullin oikeutta saada saldotietoja teknisen rajapinnan avulla saldo- ja tilitapahtumajärjestelmästä. Tullilla olisi oikeus saada saldotiedot Tullilain 102 §:n 2 momentin ja rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n 1 momentin mukaisesti. Tullilla on verotus- ja verovalvontatehtävissä oikeus pyytää tilitapahtumatietoja suoraan pankeilta ja muilta vastaavilta luottolaitoksilta tullilain 102 §:n 2 momentin nojalla, jonka mukaan henkilön, jolla on hallussaan toisen tulliverotusta tai siitä johtuvaa muutoksenhakua koskevaa asiaa varten tarpeellisia tietoja, on annettava ne Tullille sen kehotuksesta määräajassa. Tullilla on lisäksi oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen tai hallintoneuvoston jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä tarvittavat tiedot tullirikoksen estämiseksi, paljastamiseksi tai selvittämiseksi. Tullin pääsy pankki- ja maksutilien valvontajärjestelmässä oleviin saldotapahtumatietoihin liittyisi siten Tullin suorittamaan verotukseen ja verovalvontaan, tullirikoksen estämiseen, paljastamiseen tai selvittämiseen.  

Edellytyksenä tietoihin pääsyyn olisi se, että ne ovat välttämättömiä edellä mainittujen tehtävien suorittamiseksi. Tullin verotustoiminnoilla on merkittävä rooli varojen takaisin hankkimisessa erityisesti EU:n perinteisten omien varojen osalta. Tullin verotustoiminnot myös turvaavat unionin taloudellisia etuja. Rikostorjunnan osalta Tulli on esitutkintalaissa tarkoitettu esitutkintaviranomainen ja Tulli vastaa tullirikostorjunnasta siten kuin siitä rikostorjunnasta Tullissa annetussa laissa sekä muualla lainsäädännössä säädetään. Tietojen saanti on erittäin tärkeä verotarkastuksissa. Myös rikostorjunnan osalta tilitapahtumilla on keskeinen merkitys. Tullirikoksien motiivi on lähes poikkeuksetta taloudellisen hyödyn saaminen. Tilitapahtumakyselyt ovat olennainen osa rikoksen selvittämistä ja kyselyitä tehdään lähes joka kerta. Tilitapahtumilla pyritään kohdentamaan rikosvastuuta, etsimään osalliset epäiltyyn rikokseen, sekä myös selvittämään rikoshyötyä ja henkilöiden (myös oikeushenkilöt) varallisuutta. Rikoshyödyn jäljittämistä tehdään esitutkintaan liittyen myös mm. vahingonkorvauksen turvaamiseksi. Tilitapatumatietoja pyydetään Tullin rikostutkinnassa usein esimerkiksi talousrikosten ja huumausainerikosten tutkinnassa sekä rikoshyödyn jäljittämisessä. Tullin tutkinnan toimintayksikkö tutkii muun muassa huumausainerikoksia, lääkerikoksia, veropetoksia, salakuljetusrikoksia sekä muita maahantuonnin yhteydessä tehtyjä rikoksia. Veropetosrikokset liittyvät usein EU:n taloudellisia intressejä vahingoittaviin tekoihin, kuten esimerkiksi tullien tai polkumyyntitullien välttämiseen, mutta Tulli tutkii myös valmisteverotukseen kohdistuvat rikokset. Tilitapahtumatietoja tullirikosten tutkinnassa pyydetään yleensä vakiomuotoisella lomakkeella, johon merkitään kaikki tarpeelliset tiedot pyydettävistä tiedoista ja tutkittavasta rikoksesta. Tulli on tehnyt luotto- ja maksulaitoksiin tullirikosten tutkinnan yhteydessä vuosina 2017 ja 2018 noin 24 000 tilitietokyselyä vuodessa. Kyselymäärät ovat säilyneet ennallaan. Tulli esitutkintaviranomaisena on myös velvoitettu selvittämään esitutkintalain (805/2011) 1 luvun 2 §:n mukaisesti rikoksella aiheutetun vahingon ja rikoksella saadun hyödyn sekä asianosaiset (kohta 1) ja (kohta 2) mahdollisuudet rikoksella saadun omaisuuden palauttamiseksi ja rikoksen johdosta tuomittavan menettämisseuraamuksen tai asianomistajalle tulevan vahingonkorvauksen täytäntöönpanemiseksi. Rikoshyödyn löytäminen edellyttää aika ajoin pankkitiedustelujen tekemistä ja kohdentamista tekijän lähipiiriin (laajennettu hyöty RL 10:3) sekä myös ulkopuolisiin henkilöihin (RL 10:2.4). Kyselyt voivat täten kohdistua rikoshyödyn jäljittämisessä myös henkilöihin, jotka eivät ole rikoksesta epäiltyjä, mutta sen sijaan hyödyn saajia. Rikoshyödyn jäljittäminen voi edellyttää myös pankkitiedustelun kyselyajalta pidempää kyselyväliä, kuin rikoksen tekoaika on, esimerkiksi laajennetun hyödyn selvittämistä koskevissa tilanteissa, joissa on tarpeellista selvittää henkilön lailliset tulot ja menot mahdollisimman tarkasti, että voidaan tarvittaessa pois sulkea vastaajan antaman selityksen todenperäisyys. 

Pykälän 4 kohdan mukaan Rajavartiolaitoksella olisi oikeus saada saldotietoja teknisen rajapinnan avulla keskitetyn saldo- ja tilitapahtumajärjestelmän kautta. Rajavartiolaitoksella on oikeus saada saldotietojahenkilötietolain 3 luvun 20 §:n mukaisesti. Rajavartiolaitokselle säädettäisiin siten oikeus kysyä saldotapahtumia valvontajärjestelmän kautta liittyen rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. Saldo- ja tilitapahtumien saaminen valvontajärjestelmän kautta nykyisen hajanaisen ja osin manuaalisen menettelyn sijaan mahdollistaisi Rajavartiolaitoksen edellä mainittujen tehtävien suorittamisen tehokkaalla tavalla. Rajavartiolaitoksella on oman toimivaltapykälänsä nojalla oikeus saada pidättämiseen oikeutetun virkamiehen pyynnöstä Rajavartiolaitoksen tutkittavan rikoksen ennalta estämiseksi, paljastamiseksi tai selvittämiseksi tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Rajavartiolaitoksella on sama oikeus saada rajavartiolain 27 §:ssä tarkoitettua tutkintaa varten tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii.  

Pykälän 5 kohta koskisi Verohallinnon oikeutta saada saldotietoja teknisen rajapinnan avulla saldo- ja tilitapahtumajärjestelmästä. Verohallinnolla olisi oikeus saada saldotiedot ehdotetun verotusmenettelystä annetun lain 18 a §:n perusteella. Ehdotetun pykälän mukaisesti pankki- ja maksutilien valvontajärjestelmästä annetun lain 1 a §:ssä mukaisten toimijoiden on luovutettava pankki- ja maksutilien valvontajärjestelmän avulla Verohallinnolle lain 17 a §:ssä ja 17 c §:ssä tarkoitetut tiedot silloin, kun nämä tiedot ovat välttämättömiä verotuksessa ja tämän lain 19 §:n mukaiset edellytykset tietojen antamiselle täyttyvät. Verohallinnon on 1 momentin mukaisessa tilanteessa huolehdittava siitä, että tietojen käsittely kohdistuu Verohallinnossa vain verotuksessa välttämättömiin tietoihin. Tiedot tulee antaa lain 22 §:n 4 momentin mukaisesti salassapitosäännösten ja muiden tietojen saantia koskevien rajoitusten estämättä.  

Käytännössä tämä tarkoittaisi, että Verohallinto arvioi saldotiedon tarpeellisuuden verotusmenettelystä annetun lain 19 §:n mukaisella perusteella, mutta pankki- ja maksutilien valvontajärjestelmän käytön tulee olla välttämätöntä tiedonhankinnan toteuttamiseksi. Verohallinnon virkailija arvioisi pankki- ja maksutilien valvontajärjestelmän käytön välttämättömyyttä ottaen huomioon sen, mikä merkitys saldotiedolla on valvottavassa veroasiassa ja onko asiassa tarvittavat tiedot saatavissa muulla tavoin. Harkintaa ohjaavat lisäksi yleisten hallintomenettelyä koskevat periaatteet ja verotuksessa noudatettavat periaatteet. Tämä harkinta on kuitenkin sidottu aina yksittäisen tapauksen tosiseikkoihin, joka määrittää sen ovatko tiedot välttämättömiä kyseisessä asiassa. Saldotietoja pyydettäisiin niissä tilanteissa, joissa ei olisi välttämätöntä pyytää tilitapahtumatietoja.  

Pykälän 6 kohdan mukaan ulosottolaitoksella olisi oikeus saldotietoon teknisen rajapinnan avulla keskitetyn saldo- ja tilitapahtumajärjestelmän kautta. Ulosottolaitoksen tiedonsaantioikeus perustuu Ulosottokaaren 3 luvun 64 ja 66 §: iin. Ulosottoviranomaiselle esitettäisiin pääsyä saldotapahtumiin ulosottokaaressa tarkoitettua täytäntöönpanoa varten. Ulosottomiehen tulee olosuhteiden edellyttämässä laajuudessa etsiä velalliselle kuuluvaa omaisuutta suorituksen saamiseksi hakijalle (UK 3:48.1). Ulosottomiehen tiedonsaantioikeus on ulosottokaaressa sidottu tietojen välttämättömyyteen yksittäisessä ulosottoasiassa. Välttämättömyyden arvioi ulosottomies. Sivullisen tietojenantovelvollisuudesta säädetään ulosottokaaren 3 luvun 66 §:ssä. Sivullisen on kysyttäessä ilmoitettava ulosottomiehelle muun muassa saatavia koskevien tilien maksuliike ja velallisella olevat tilin käyttöoikeudet. Ulosottokaaren sääntelyn voidaan katsoa tukevan oikeutta antaa ulosottomiehille oikeuden kysyä saldotapahtumia pankki- ja maksutilien valvontajärjestelmän kautta.  

Pykälän 7 kohdan mukaan Finanssivalvonnalla olisi oikeus hyödyntää teknisen rajapinnan avulla saldo- ja tilitapahtumajärjestelmästä saatavia saldotietoja sen tehtävien hoitamiseen Finanssivalvonnasta annetun lain 18 §:n mukaisesti. Finanssivalvonnan osalta valvottavien on finanssivalvonnasta annetun lain nojalla toimitettava salassapitosäännösten estämättä Finanssivalvonnalle sen pyytämät tiedot ja selvitykset, jotka ovat tarpeen Finanssivalvonnalle laissa säädetyn tehtävän hoitamiseksi. Vastaava velvollisuus on sillä, jolla on kirjanpitolaissa tarkoitettu määräysvalta valvottavassa tai muussa finanssimarkkinoilla toimivassa tai joka on valvottavan tai muun finanssimarkkinoilla toimivan määräysvallassa.  

Pykälän 8 kohdan mukaan Puolustusvoimilla olisi oikeus saada saldotietoja teknisen rajapinnan avulla keskitetyn saldo- ja tilitapahtumajärjestelmän kautta. Puolustusvoimilla on oikeus saldotietoihin sotilastiedustelulain 104 §:n ja sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa annetun lain (89/2025) 112 §:n mukaisesti. Sotilastiedustelulain mukaan sotilastiedusteluviranomaisella on tehtävään määrätyn tiedustelumenetelmien käyttöön erityisesti perehtyneen sotilaslakimiehen tai muun virkamiehen pyynnöstä oikeus saada yksityiseltä yhteisöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä sellaisia tietoja, joiden yksittäistapauksessa voidaan olettaa olevan tarpeen 4 §:ssä tarkoitetun toiminnan selvittämisessä ja joilla voidaan olettaa olevan merkitystä: sotilastiedustelun kohteena olevan henkilön tai oikeushenkilön tunnistamiseksi, tavoittamiseksi tai yhteystietojen selvittämiseksi taikka henkilön liikkumisen selvittämiseksi; tiedustelumenetelmän käytön kohdentamiseksi tiettyyn henkilöön; tai henkilön tai oikeushenkilön taloudellisen toiminnan selvittämiseksi. Rikostorjunnallisissa tehtävissä puolustusvoimien pääesikunnalla on sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa annetun lain (89/2025) 112 §:n mukaisesti oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä rikoksen estämiseksi ja selvittämiseksi välttämättömiä tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä.  

17 b §.Keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä saatavat saldotiedot. Pykälässä säädettäisiin keskitetystä saldo- ja tilitapahtumajärjestelmästä saatavien saldotietojen sisällöstä. Järjestelmästä olisi mahdollista pyytää kyselyn kohteena olevan tilin saldotieto eli tilinumeron lisäksi tilillä oleva rahamäärä vastausta koskevalla kyselyhetkellä. Koska saldotiedon luovuttaminen ei ole välttämättä reaaliaikaista, tilin saldo voi erota viranomaisen kyselyajankohdan ja tiedon luovuttajan vastausajankohdan välillä, annetun saldotiedon tulee koskea vastausajankohdan saldoa. Saldotietoa koskevassa vastauksessa tulisi olla aikaleima, joka tarkentaa saldon ajankohdan. Tilin saldossa tulee olla huomioitu myös mahdolliset tiliä koskevat katevaraukset. Ulosottokaaren mukaan sivulliselle kuuluvaa omaisuutta ei saa ulosmitata, joten katevaraukset tulee vähentää tilin saldotiedosta.  

Pykälän 2 momentissa säädettäisiin asianajajan asiakasvaratilejä koskevasta poikkeuksesta, joka perustuisi asianajajan salassapitovelvollisuuteen. Säännöksen mukaan asianajajan asiakasvaratilejä koskevia saldotietoja ei saa luovuttaa keskitetyn saldo- ja tilitapahtumajärjestelmän kautta. Asiakasvaratilillä tarkoitetaan asianajajan tai hänen toimistonsa hallussa olevia muille kuin asianajajalle tai hänen toimistolleen kuuluvien raha- ja muiden varojen tilejä. Säännöksen tarkoituksena on ennalta estää tilanne, jossa asianajajan asiakasvaratilistä luovutettaisiin saldotietoa sähköisen saldo- ja tilitapahtumajärjestelmän kautta ilman oikeusperustaa. Viranomaisten tulisi tietoa tarvitessaan kääntyä tilin haltijana toimivan asianajajan puoleen asiakasvaratilin saldotapahtumien selvittämiseksi.  

17 c §.Tilitapahtuma- ja arvopaperitietojen luovuttaminen teknisen rajapinnan avulla toimivaltaisille viranomaisille. Pykälässä säädettäisiin tilitapahtumatiedon ja arvopapereita koskevan tiedon välittämisestä ja luovuttamisesta teknisen rajapinnan avulla saldo- ja tilitapahtumajärjestelmästä toimivaltaisille viranomaisille. Viranomaisten oikeus saada tilitapahtuma- ja arvopapereita koskevia tietoja järjestelmän avulla perustuu muussa lainsäädännössä oleviin tiedonsaantioikeuksiin, eikä kyseessä ole siten tiedonsaantioikeutta koskeva säännös. Tiedon luovutuksesta teknisen rajapinnan avulla sähköisestä saldo- ja tilitapahtumajärjestelmästä olisi tarpeen säätää, koska sähköinen tietojen luovuttaminen tapahtuisi yksityiseltä toimijalta viranomaiselle eikä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 22 tai 24 § tule siten sovellettavaksi. Jotta myös EU-oikeuden liikkumavaraan liittyvät kysymykset tulisivat huomioiduksi, olisi tietojen luovutustapa sidottava tiettyihin käyttötarkoituksiin, joihin viranomainen voi hyödyntää saldo- ja tilitapahtumajärjestelmää.  

Vaikka oikeus saada tietoa rajapinnan avulla määräytyy voimassa olevien tiedonsaantioikeuksien perusteella, sähköistä tiedon luovutustapaa koskeva erityissääntely mahdollistaisi teknisesti uuden tavan käsitellä arkaluonteisia tietoja. Koska kyse on salassa pidettävistä ja arkaluonteisista tiedoista, oikeus tietojen saamiseen keskitetyn järjestelmän avulla sidottaisiin viranomaisen tiedonsaantioikeussäännökseen. Jokaisella viranomaisella on omassa tiedonsaantipykälässään sidottu tiedon saanti joko tarpeellisuusvaatimukseen tai välttämättömyysvaatimukseen. Niilläkin viranomaisilla, joilla tiedonsaantipykälä on sidottu tarpeellisuusvaatimukseen, on erillisessä henkilötietolaissa säädetty, että viranomainen voi käsitellä erityisiä henkilötietoja vain, kun se on välttämätöntä. Sähköiseen saldo- ja tilitapahtumajärjestelmään lisätty välttämättömyyden vaatimus on siten suojatoimi, jolla turvattaisiin arkaluonteisten tietojen käsittelyä. Viranomainen voisi pyytää tilitapahtuma- ja arvopapereita koskevia tietoja teknisen rajapinnan avulla, jos kyseiset tiedot olisivat viranomaiselle välttämättömiä yksittäisen, käsiteltävänä olevan viranomaistehtävän ratkaisemista varten.  

Välttämättömyyden edellytyksiä on käsitelty jokaisen viranomaisen kohdalta erikseen esityksen 4 luvussa.  

Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaisen käyttötarkoitussidonnaisuuden periaatteen mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Koska esityksen mukaisessa käsittelyssä on tarkoitus hyödyntää luotto- ja maksulaitosten tilitapahtumatietoja, esitetty käyttötapa perustuu käyttötarkoitussidonnaisuudesta poikkeamisen osalta tietosuoja-asetuksen 6 artiklan 4 kohdan johdannossa tarkoitettuihin jäsenvaltion lain säännöksiin viranomaisten tiedonsaantioikeuksista.  

Ehdotettava säännös olisi mahdollista yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla. Artiklan g alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on mahdollista, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tilitapahtumatiedot voivat sisältää mahdollisia arkaluonteisia tietoja, joiden takia luonnollisen henkilön yksityiskohtaiset tilitiedot rinnastuvat perustuslakivaliokunnan käytännön mukaisesti yksityiselämän suojan ydinalueelle kuuluviin arkaluonteisiin tietoihin (PeVL 48/2018 vp). Perustuslakivaliokunnan vakiintuneen käytännön mukaisesti oikeus tilitapahtumatietojen käsittelyyn olisi siten rajattu välttämättömään (esim. PeVL 58/2018 vp ja PeVL 15/2018 vp). 

Pykälän 1 kohdan mukaan oikeus saada teknisen rajapinnan avulla tilitapahtumatietoja keskitetyn saldo- ja tilitapahtumajärjestelmän kautta olisi poliisilla. Poliisin oikeus saada keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä tilitapahtumatietoja perustuisi poliisilain 4 luvun 3 §:n ja ja 5 a luvun 50 §:ään. Poliisilla tarkoitetaan sekä Poliisihallituksen alaisia yksiköitä että suojelupoliisia ja Ahvenanmaan poliisia, joista jälkimmäiseen sovelletaan poliisilain pankkitilitietoja koskevia toimivaltuussäännöksiä. Poliisisin toimivaltaisen viranomaisen määritelmästä on tehty tarkempaa selkoa edellä 17 a §:n perusteluissa s. 91. Poliisin tiedonsaantioikeudet on rajattu rikoksen estämiseen tai selvittämiseen tai tärkeään yleiseen tai yksityiseen etuun. Poliisilain 4 luvun 3 §:n mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Poliisilla on sama oikeus saada poliisilain 6 luvussa tarkoitetussa poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Poliisin henkilötietolain 15 §:n mukaan poliisi saa käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja vain, jos käsittely on käsittelytarkoituksen kannalta välttämätöntä. Tilitapahtumatietojen saaminen keskitetyn valvontajärjestelmän kautta nykyisen hajanaisen ja osin manuaalisen menettelyn sijaan mahdollistaisi poliisin edellä mainittujen tehtävien suorittamisen tehokkaalla tavalla. Käytännössä poliisissa päätöksen kyseisten tietojen hankkimisesta tekee päällystöön kuuluva poliisimies kussakin yksittäistapauksessa erikseen, jolloin myös päätöksentekotaso on riittävän korkealla. Tietojen hankinnasta tehdään erillinen päätös ja pyyntö.  

Kansallisen turvallisuuden ylläpitämistä koskevat pääsyoikeudet tehdä tilitapahtumatietoja koskevia kyselyjä teknisen rajapinnan avulla pankki- ja maksutilien valvontajärjestelmän kautta liittyisivät suojelupoliisin tehtäviin kansallisen turvallisuuden suojaamiseksi, eli siviilitiedustelun suorittamiseksi. Suojelupoliisilla on tiedonsaantioikeudet tilitapahtumiin poliisilain 4 luvun 3 §:n 1 momentin ja 5 a luvun 50 §:n nojalla. Siviilitiedustelun kohteina voi olla muun muassa terrorismi, ulkomainen tiedustelutoiminta, joukkotuhoaseet, yhteiskunnan elintärkeitä toimintoja uhkaava toiminta ja sellainen vieraan valtion toiminta, joka voi aiheuttaa vahinkoa Suomen tärkeille eduille. On huomioitava, että terrorismin rahoittamista koskeva tiedonhankinta kuuluu näin ollen suojelupoliisin tehtäviin myös sen suorittaessa siviilitiedustelua. Pankkitiedustelut liittyvät aina yksittäisen virkatehtävän suorittamiseen ja jokainen pyyntö perustellaan kirjallisesti. Päätöksen tiedustelun tekemisestä tekee päällystöön kuuluva poliisimies, vastaavasti kun silloin kun pyyntö tehdään rikosten estämiseksi. Tilitapahtumatietoon liittyvän käyttöoikeuden antamisessa suojelupoliisille ei näin ollen ole kyse siitä, että sille perustettaisiin täysin uusi tiedonsaantioikeus, vaan siitä, että muun lain nojalla jo olemassa olevan tiedonsaantioikeuden käyttöä sujuvoitettaisiin. Valvontajärjestelmän käyttöä suojelupoliisin toiminnassa rajaisi se, mitä suojelupoliisin tiedonsaantioikeuksista muualla on säädetty. Poliisilain 5 a luvun 50 § esimerkiksi edellyttää, että pyyntö on tarpeen sellaisen siviilitiedustelun kohteena olevan toiminnan selvittämisessä, joka vakavasti uhkaa kansallisista turvallisuutta. Pyynnön pitää myös voida olettaa olevan merkityksellinen siviilitiedustelun kohteena olevan henkilön tai oikeushenkilön tunnistamiseksi tai tavoittamiseksi tai kyseisen henkilön yhteystietojen tai liikkumisen selvittämiseksi, tiedustelumenetelmän käytön kohdentamiseksi tiettyyn siviilitiedustelun kohteena olevaan henkilöön, tai siviilitiedustelun kohteena olevan henkilön tai oikeushenkilön 3 §:ssä tarkoitettuun toimintaan oletettavasti kytkeytyvän taloudellisen toiminnan selvittämiseksi. Suojelupoliisin toiminnassa tapahtuvan henkilötietojen käsittelyn lain- ja asianmukaisuuden valvonta on erittäin tarkkaa. Sisäisen laillisuusvalvonnan resursseja lisättiin tiedustelulakien voimaantulon yhteydessä voimakkaasti. Lisäksi henkilötietojen käsittelyä valvoo ulkoisena laillisuusvalvojana tietosuojavaltuutettu ja erityisvaltuutettuna toimiva tiedusteluvalvontavaltuutettu sekä ylimmät laillisuusvalvojat. 

Pykälän 2 kohdan mukaan oikeus teknisen rajapinnan avulla tilitapahtumatietoon keskitetyn saldo- ja tilitapahtumajärjestelmän kautta olisi rahanpesun selvittelykeskuksella. Rahanpesun selvittelykeskuksella on oikeus saada tilitapahtumatiedot rahanpesun selvittelykeskuksesta annetun lain 4 §:n mukaisesti. Rahanpesun selvittelykeskuksella on oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä sekä ilmoitusvelvollisilta rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot ja asiakirjat maksutta sen estämättä, mitä liikesalaisuutta tai yksilön, yhteisön tai säätiön taloudellisia olosuhteita, taloudellista asemaa tai verotustietoja koskevien tietojen salassapidosta säädetään. Päätöksen salassa pidettävien tietojen hankkimisesta tekee selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies. Selvittelykeskuksella on lisäksi oikeus saada maksutta yksityiseltä yhteisöltä, säätiöltä ja henkilöltä selvittelykeskuksessa työskentelevän päällystöön kuuluvan poliisimiehen kirjallisesta pyynnöstä rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot yhteisön jäsentä, tilintarkastajaa, toiminnantarkastajaa, hallituksen jäsentä tai työntekijää velvoittavan salassapitovelvollisuuden estämättä.  

Tilitapahtumatiedon käyttäminen on välttämätöntä, jotta rahanpesun selvittelykeskus voi suorittaa laissa säädetyt tehtävänsä. Erityisesti ilmoitusten analysointi edellyttää tilitapahtumatietojen yksityiskohtaista tarkastelua. Rahanpesun selvittelykeskus on vastaanottanut aikaisemmin vuositasolla useita kymmeniä tuhansia rahanpesuilmoituksia, mutta määrä on viime aikoina noussut merkittävästi. Esimerkiksi vuonna 2022 ilmoituksia vastaanotettiin jo yli 200.000. Osa näistä ilmoituksista valitaan esikäsittelyn jälkeen jatkoselvittelyn kohteeksi ja vuodessa avataan noin 1500 selvittelykokonaisuutta. Yhdessä selvittelykokonaisuudessa voi olla osallisena useampia henkilöitä ja yhtiöitä ja niihin liittyy tyypillisesti 1–5 eri rahanpesuilmoitusta. Käytännössä lähes kaikissa näissä selvittelykokonaisuuksissa tehtäisiin useita kyselyitä sekä pankki- ja maksutilien valvontajärjestelmän voimassaolevan lain mukaisiin pankkitilitietoihin että tilitapahtumiin. Lisäksi sekä tili- että tilitapahtumatietoja tarvitaan välttämättä myös ilmoitusten esikäsittelyn yhteydessä, jotta ilmoituksista saadaan analyysin keinoin valittua jatkokäsittelyyn ne, joissa rahanpesun tai terrorismin rahoittamisen riski on suurin. 

Pykälän 3 kohta koskisi Tullin oikeutta saada teknisen rajapinnan avulla tilitapahtumatietoja saldo- ja tilitapahtumajärjestelmästä. Tullilla on oikeus saada tilitapahtumatiedot Tullilain 102 §:n 2 momentin ja rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n mukaisesti. Tullilla on verotus- ja verovalvontatehtävissä oikeus pyytää tilitapahtumatietoja suoraan pankeilta ja muilta vastaavilta luottolaitoksilta tullilain 102 §:n 2 momentin nojalla, jonka mukaan henkilön, jolla on hallussaan toisen tulliverotusta tai siitä johtuvaa muutoksenhakua koskevaa asiaa varten tarpeellisia tietoja, on annettava ne Tullille sen kehotuksesta määräajassa. Tullilla on lisäksi oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen tai hallintoneuvoston jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä tarvittavat tiedot tullirikoksen estämiseksi, paljastamiseksi tai selvittämiseksi. Tullin pääsy pankki- ja maksutilien valvontajärjestelmässä oleviin tilitapahtumatietoihin liittyisi siten Tullin suorittamaan verotukseen ja verovalvontaan, tullirikoksen estämiseen, paljastamiseen tai selvittämiseen.  

Edellytyksenä tietoihin pääsyyn olisi se, että ne ovat välttämättömiä edellä mainittujen tehtävien suorittamiseksi. Tullin verotustoiminnoilla on merkittävä rooli varojen takaisin hankkimisessa erityisesti EU:n perinteisten omien varojen osalta. Tullin verotustoiminnot myös turvaavat unionin taloudellisia etuja. Rikostorjunnan osalta Tulli on esitutkintalaissa tarkoitettu esitutkintaviranomainen ja Tulli vastaa tullirikostorjunnasta siten kuin siitä rikostorjunnasta Tullissa annetussa laissa sekä muualla lainsäädännössä säädetään. Tietojen saanti on erittäin tärkeä verotarkastuksissa. Myös rikostorjunnan osalta tilitapahtumilla on keskeinen merkitys. Tullirikoksien motiivi on lähes poikkeuksetta taloudellisen hyödyn saaminen. Tilitapahtumakyselyt ovat olennainen osa rikoksen selvittämistä ja kyselyitä tehdään lähes joka kerta. Tilitapahtumilla pyritään kohdentamaan rikosvastuuta, etsimään osalliset epäiltyyn rikokseen, sekä myös selvittämään rikoshyötyä ja henkilöiden (myös oikeushenkilöt) varallisuutta. Rikoshyödyn jäljittämistä tehdään esitutkintaan liittyen myös mm. vahingonkorvauksen turvaamiseksi. Tilitapatumatietoja pyydetään Tullin rikostutkinnassa usein esimerkiksi talousrikosten ja huumausainerikosten tutkinnassa sekä rikoshyödyn jäljittämisessä. Tullin tutkinnan toimintayksikkö tutkii muun muassa huumausainerikoksia, lääkerikoksia, veropetoksia, salakuljetusrikoksia sekä muita maahantuonnin yhteydessä tehtyjä rikoksia. Veropetosrikokset voivat liittyä valmisteverotukseen, arvonlisäverotukseen tai EU:n taloudellisia intressejä vahingoittaviin rikoksiin kuten esimerkiksi tullien tai polkumyyntitullien välttämiseen. Tilitapahtumatietoja tullirikosten tutkinnassa pyydetään yleensä vakiomuotoisella lomakkeella, johon merkitään kaikki tarpeelliset tiedot pyydettävistä tiedoista ja tutkittavasta rikoksesta. Tulli on tehnyt luotto- ja maksulaitoksiin tullirikosten tutkinnan yhteydessä vuosina 2017 ja 2018 noin 24 000 tilitietokyselyä vuodessa. Kyselymäärät ovat säilyneet ennallaan. Tulli esitutkintaviranomaisena on myös velvoitettu selvittämään esitutkintalain (805/2011) 1 luvun 2 §:n mukaisesti rikoksella aiheutetun vahingon ja rikoksella saadun hyödyn sekä asianosaiset (kohta 1) ja (kohta 2) mahdollisuudet rikoksella saadun omaisuuden palauttamiseksi ja rikoksen johdosta tuomittavan menettämisseuraamuksen tai asianomistajalle tulevan vahingonkorvauksen täytäntöönpanemiseksi. Rikoshyödyn löytäminen edellyttää aika ajoin pankkitiedustelujen tekemistä ja kohdentamista tekijän lähipiiriin (laajennettu hyöty RL 10:3) sekä myös ulkopuolisiin henkilöihin (RL 10:2.4). Kyselyt voivat täten kohdistua rikoshyödyn jäljittämisessä myös henkilöihin, jotka eivät ole rikoksesta epäiltyjä, mutta sen sijaan hyödyn saajia. Rikoshyödyn jäljittäminen voi edellyttää myös pankkitiedustelun kyselyajalta pidempää kyselyväliä, kuin rikoksen tekoaika on, esimerkiksi laajennetun hyödyn selvittämistä koskevissa tilanteissa, joissa on tarpeellista selvittää henkilön lailliset tulot ja menot mahdollisimman tarkasti, että voidaan tarvittaessa pois sulkea vastaajan antaman selityksen todenperäisyys. 

Pykälän 4 kohdan mukaan oikeus teknisen rajapinnan avulla tilitapahtumatietoon keskitetyn saldo- ja tilitapahtumajärjestelmän kautta olisi rajavartiolaitoksella. Rajavartiolaitoksella on oikeus saada tilitapahtumatietoja rajavartiolaitoksen henkilötietolain 3 luvun 20 §:n mukaisesti. Rajavartiolaitokselle säädettäisiin siten oikeus kysyä tilitapahtumia valvontajärjestelmän kautta liittyen rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. Tilitapahtumien saaminen valvontajärjestelmän kautta nykyisen hajanaisen ja osin manuaalisen menettelyn sijaan mahdollistaisi Rajavartiolaitoksen edellä mainittujen tehtävien suorittamisen tehokkaalla tavalla. Rajavartiolaitoksella on oman toimivaltapykälänsä nojalla oikeus saada pidättämiseen oikeutetun virkamiehen pyynnöstä Rajavartiolaitoksen tutkittavan rikoksen ennalta estämiseksi, paljastamiseksi tai selvittämiseksi tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Rajavartiolaitoksella on sama oikeus saada rajavartiolain 27 §:ssä tarkoitettua tutkintaa varten tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii.  

Pykälän 5 kohta koskisi Verohallinnon oikeutta saada teknisen rajapinnan avulla tilitapahtumatietoja saldo- ja tilitapahtumajärjestelmästä. Verohallinnolla olisi oikeus saada tilitapahtumatiedot ehdotetun verotusmenettelystä annetun lain 18 a §:n perusteella. Ehdotetun pykälän mukaisesti pankki- ja maksutilien valvontajärjestelmästä annetun lain 1 a §:ssä mukaisten toimijoiden on luovutettava pankki- ja maksutilien valvontajärjestelmän avulla Verohallinnolle lain 17 a §:ssä ja 17 c §:ssä tarkoitetut tiedot silloin, kun nämä tiedot ovat välttämättömiä verotuksessa ja tämän lain 19 §:n mukaiset edellytykset tietojen antamiselle täyttyvät. Verohallinnon on 1 momentin mukaisessa tilanteessa huolehdittava siitä, että tietojen käsittely kohdistuu Verohallinnossa vain verotuksessa välttämättömiin tietoihin. Tiedot tulee antaa lain 22 §:n 4 momentin mukaisesti salassapitosäännösten ja muiden tietojen saantia koskevien rajoitusten estämättä.  

Käytännössä tämä tarkoittaisi, että Verohallinto arvioi tilitapahtumatiedon tarpeellisuuden verotusmenettelystä annetun lain 19 §:n mukaisella perusteella, mutta pankki- ja maksutilien valvontajärjestelmän käytön tulee olla välttämätöntä tiedonhankinnan toteuttamiseksi. Verohallinnon virkailija arvioisi pankki- ja maksutilien valvontajärjestelmän käytön välttämättömyyttä ottaen huomioon sen, mikä merkitys tilitapahtumatiedoilla on valvottavassa veroasiassa ja onko asiassa tarvittavat tiedot saatavissa muulla tavoin. Harkintaa ohjaavat lisäksi yleisten hallintomenettelyä koskevat periaatteet ja verotuksessa noudatettavat periaatteet. Tämä harkinta on kuitenkin sidottu aina yksittäisen tapauksen tosiseikkoihin, joka määrittää sen ovatko tiedot välttämättömiä kyseisessä asiassa.  

Tilitapahtumatiedot varmentavat verovelvollisen rahavirtoja ja sitä kautta taloudellista asemaa, johon verotus perustuu. Tilitapahtumatietoja ei kysyttäisi ilman, että niiden tarve arvioidaan ensin yksittäisen tapauksen tosiseikkojen perusteella ja ne katsotaan verovalvonnan näkökulmasta välttämättömiksi. Välttämättömyys tarkoittaa, että verovalvonnassa on verotuksellinen syy selvittää tai varmentaa verotuksen oikeellisuus, eikä Verohallinnolla ole muuta ilmoitus-, sivullis- tai vertailutietolähdettä käytettävissä verovelvollisen verotukseen vaikuttavien tulojen tai varojen selvittämiseksi. Kyse voi olla esimerkiksi tilanteesta, jossa alustalouden yritys on ilmoittanut Verohallinnolle henkilön saaneen alustatalouden tuloja ja tulotieto on ristiriidassa verovelvollisen antamien ilmoitusten kanssa. Valvonnassa selvitetään verovelvollisen tulonmuodostusta ja veroilmoitustietojen oikeellisuutta tilitapahtumatiedoista, joista selviää, onko tulot tosiasiallisesti saatu. Valvonnassa voi olla tarpeen selvittää verovelvollisen tulonmuodostusta myös esimerkiksi tilanteessa, jossa verovelvollisen kiinteisvarallisuus on lisääntynyt, mutta Verohallinnon tiedoista ei selviä, millä tuloilla kiinteistöhankinta on rahoitettu. Tilitapahtumatiedon käsittelyn edellytyksenä ei ole verojen välttämistä koskevan asian selvittäminen, vaikkakin erityisesti harmaan talouden torjunnassa tilitapahtumatiedoilla on suuri merkitys selvitettäessä veropetoksia, jotka usein ovat nivoutuneet muihin talousrikoksiin. 

Pykälän 6 kohdan mukaan oikeus teknisen rajapinnan avulla tilitapahtumatietoon keskitetyn saldo- ja tilitapahtumajärjestelmän kautta olisi ulosottolaitoksella. Ulosottolaitoksen tiedonsaantioikeus perustuu Ulosottokaaren 3 luvun 64 ja 66 §: iin. Ulosottoviranomaiselle esitettäisiin pääsyä tilitapahtumatietoihin ulosottokaaressa tarkoitettua täytäntöönpanoa varten. Ulosottomiehen tulee olosuhteiden edellyttämässä laajuudessa etsiä velalliselle kuuluvaa omaisuutta suorituksen saamiseksi hakijalle (UK 3:48.1). Ulosottomiehen tiedonsaantioikeus on ulosottokaaressa sidottu tietojen välttämättömyyteen yksittäisessä ulosottoasiassa. Välttämättömyyden arvioi ulosottomies. Sivullisen tietojenantovelvollisuudesta säädetään ulosottokaaren 3 luvun 66 §:ssä. Sivullisen on kysyttäessä ilmoitettava ulosottomiehelle muun muassa saatavia koskevien tilien maksuliike ja velallisella olevat tilin käyttöoikeudet. Ulosottokaaren sääntelyn voidaan katsoa tukevan mahdollisuutta antaa ulosottomiehille mahdollisuus tilitapahtumatietokyselyihin pankki- ja maksutilien valvontajärjestelmän kautta.  

Pykälän 7 kohdan mukaan oikeus teknisen rajapinnan avulla tilitapahtumatietoon keskitetyn saldo- ja tilitapahtumajärjestelmän kautta olisi Finanssivalvonnalla. Finanssivalvonta voisi hyödyntää saldo- ja tilitapahtumajärjestelmästä saatavia tilitapahtumatietoja sille asetettujen viranomaistehtävien hoitamiseen Finanssivalvonnasta annetun lain 18 §:n mukaisesti. Finanssivalvonnalla on oikeus saada salassapitosäännösten estämättä viranomaiselta ja julkista tehtävää hoitavalta tietoja valvottavan, muun finanssimarkkinoilla toimivan ja muun henkilön, jota Finanssivalvonta 3 §:n mukaisten tehtäviensä nojalla valvoo, tiedot ja selvitykset, jotka ovat tarpeen Finanssivalvonnalle laissa säädetyn tehtävän hoitamiseksi. Finanssivalvonnalla on jo nyt oikeus saada tilin omistajaa koskevat tiedot pankki- ja maksutilijärjestelmästä. Tarkempien tietojen saaminen tilitapahtumista ja niiden tunnistetiedoista on välttämätöntä tilanteissa, joissa Finanssivalvonta valvontatehtävässään toteaa merkittävän poikkeaman tai riskin rahanpesun tai terrorismin rahoittamiselle tai talouspakotteiden kiertämiselle. Koska pankki- ja maksutilijärjestelmän sisältämät tiedot ovat arkaluonteisia, on tietojen saamisen kynnystä nostettava siten, että tietojen saamisen tulee olla välttämätöntä valvontatehtävän suorittamiseksi.  

Pykälän 8 kohdan mukaan oikeus teknisen rajapinnan avulla tilitapahtumatietoon keskitetyn saldo- ja tilitapahtumajärjestelmän kautta olisi myös puolustusvoimilla. Puolustusvoimilla on oikeus saada tilitapahtumatietoja sotilastiedustelulain 104 §:n ja sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa annetun lain (89/2025) 112 §:n mukaisesti. Sotilastiedustelulain mukaan sotilastiedusteluviranomaisella on tehtävään määrätyn tiedustelumenetelmien käyttöön erityisesti perehtyneen sotilaslakimiehen tai muun virkamiehen pyynnöstä oikeus saada yksityiseltä yhteisöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä sellaisia tietoja, joiden yksittäistapauksessa voidaan olettaa olevan tarpeen 4 §:ssä tarkoitetun toiminnan selvittämisessä ja joilla voidaan olettaa olevan merkitystä: sotilastiedustelun kohteena olevan henkilön tai oikeushenkilön tunnistamiseksi, tavoittamiseksi tai yhteystietojen selvittämiseksi taikka henkilön liikkumisen selvittämiseksi; tiedustelumenetelmän käytön kohdentamiseksi tiettyyn henkilöön; tai henkilön tai oikeushenkilön taloudellisen toiminnan selvittämiseksi. Rikostorjunnallisissa tehtävissä puolustusvoimien pääesikunnalla on sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa annetun lain (89/2025) 112 §:n mukaisesti oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä rikoksen estämiseksi ja selvittämiseksi välttämättömiä tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä.  

17 d §.Keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä saatavat tilitapahtuma- ja arvopaperitiedot . Pykälässä säädettäisiin sähköisestä saldo- ja tilitapahtumajärjestelmästä saatavien tilitapahtuma- ja arvopaperitietojen sisällöstä. Pykälän 1 momentin mukaan keskitetystä saldo- ja tilitapahtumajärjestelmästä olisi mahdollista pyytää pankki- ja maksutilejä koskevat tilitapahtumatiedot. Tilitapahtumatiedoilla tarkoitetaan rahoitustietodirektiivin 2024/1654 mukaisesti kaikkia yksityiskohtaisia tietoja toimista, jotka on suoritettu tiettynä ajanjaksona tietyn pankki- tai maksutilin kautta tai yksityiskohtaisia tietoja kryptovarojen siirrosta. Rahoitustietodirektiivissä ei ole eritelty tarkemmin mitä kyseiset tiedot pitävät sisällään, mutta rahoitustietodirektiivin mukaan jäsenvaltioiden tulee rajat ylittävän yhteistyön mahdollistamiseksi varmistaa, että tilitapahtumatiedot toimitetaan komission määräämässä sähköisessä muodossa. Direktiiviä koskevien neuvottelujen yhteydessä on käytännössä todettu tilitapahtumatietojen välittämisen toteutettavan ISO20022 (International Organization for Standardization) sanomarakenteella.  

Tilitapahtumatietokyselyjen ja niiden vastauksien toimittamisessa noudatettaisiin siten suositusta eurooppalaisten lainvalvontaviranomaisten käyttämästä ISO20022 sanomarakenteesta (Camt.052/Camt.053), joten kyselyn tietosisältö määrittyisi sanomarakenteen mukaisesti. ISO20022 sanomarakenteen käyttö tilitapahtumatietojen kysely- ja vastausrakenteissa mahdollistaisi lähitulevaisuudessa implementoitavan rahoitustietodirektiivin velvoitteen sujuvan täytäntöönpanon. Kun jäsenvaltioiden toimivaltaisille viranomaisille toimitettavat tilitapahtumatiedot olisivat jo valmiiksi rahoitustietodirektiivin vaatimassa harmonisoidussa muodossa, jota toteutetaan ISO20022 sanomarakenteella, kansallisen tiedon välittäjän eli keskusrikospoliisin kansainvälisen yksikön olisi sujuvaa hakea pyydetyt tiedot keskitetystä saldo- ja tilitapahtumajärjestelmästä ja välittää ne tiedon pyytäjälle oikeassa sanomamuodossa.  

ISO20022-sanomarakenteesta on saatavilla laaja tietosisältö kyselyn kohteena olevan luonnollisen henkilön tai oikeushenkilön tilitapahtumasta, eikä tämän vuoksi sanomarakenteen jokaista kohtaa ole mahdollista määritellä pykälätasolla. Pykälän 1 momentin 1–6 kohdassa olisi eritelty keskeisimmät tilitapahtumatietoon liittyvät tunnistetiedot. Keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä olisi saatavilla esimerkiksi tilitapahtuman tapahtumatyyppi, tapahtumanpäivä ja kellonaika, tapahtuman summa, tapahtumaan liittyvää tilinumero, vastaanottajan tai maksajatahon nimi, tapahtuman viitenumero ja viestikentässä oleva tieto. Kohdassa 1–6 eritelty sisältö ei olisi siten tyhjentävä lista järjestelmästä saatavista tilitapahtumatiedoista. Kohta 7 koskisikin siten kaikkia muita kuin 1–6 kohdassa määriteltyjä tilitapahtumaan liittyviä tietoja.  

Edellä 17 c §:n mukaisesti järjestelmää käyttävien toimivaltaisten viranomaisten osalta pankki- ja maksutilien valvontajärjestelmästä pyydettävän tiedon tulisi olla välttämätön viranomaiselle laissa säädetyn tehtävän suorittamiseksi eli viranomaisen tulisi tehdä välttämättömyysedellytyksen täyttymistä koskeva harkinta ennen tietopyynnön tekemistä. Koska viranomaisella voi olla tarve rajata pyyntö vain sille välttämättömiin tietoihin, tulisi viranomaisen omassa järjestelmässään kyselyä tehdessään rajata (sekä pyynnön että vastauksen osalta), mitä tietoa viranomainen tarvitsee kyselykohtaisesti, mikäli sen ei olisi välttämätöntä saada kaikkia tietoja. Siten tiedon mahdolliset tekniset rajaukset tiedon välttämättömyyden osalta tulisi tehdä vastaanottavan viranomaisen omasta toimesta sen omassa järjestelmässä. Tulli välittäisi tiedonluovuttajalle tilitapahtumakyselyiden mukana kaikki kyselyyn määritellyt perustiedot sekä ne kyselyssä määritellyt sanomarakenteen mukaiset lisätiedot, jotka ovat toimivaltaiselle viranomaiselle välttämättömiä. Tiedonluovuttaja luovuttaisi vastauksen pyydetyn sisällön mukaisesti viranomaiselle.  

Pykälän 2 momentissa säädettäisiin, että keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän kautta olisi mahdollista pyytää myös luonnollisen henkilön tai oikeushenkilön arvopapereihin liittyviä tietoja, jotka 17 c §:n mukaisella toimivaltaisella viranomaisella on oikeus voimassa olevan lainsäädännön nojalla saada. Arvopaperitiedoilla tarkoitetaan arvo-osuustililain (872/1991) 2 §n mukaisia tietoja arvo-osuustilille kirjatuista arvo-osuuksien lajista ja lukumäärästä ja mahdollisia niihin kohdistuvista oikeuksista ja rajoitteista. Arvo-osuus tarkoittaa arvo-osuusjärjestelmästä ja selvitystoiminnasta annetun lain (348/2017) 3 §:n 1 kohdan mukaisesti sellaista arvopaperimarkkinalain (746/2012) 2 luvun 1 §:ssä mainittua osaketta, osuutta tai muuta oikeutta, sijoituspalvelulain (747/2012) 1 luvun 14 §:ssä tarkoitettua muuta rahoitusvälinettä tai siihen rinnastettavaa oikeutta taikka muuta arvopaperia, joka on liitetty arvo-osuusjärjestelmään. Arvopaperitiedoilla tarkoitetaan siis tietoa asiakkaan arvopapereista.  

Toimivaltaiset viranomaiset tekevät tiedonsaantioikeuksiensa nojalla pankkeihin muitakin kuin tili- ja tilitapahtumatiedusteluja, esimerkiksi kyselyjä asiakkaan arvopaperiomaisuudesta. Nämä tiedot voivat olla ratkaisevan tärkeitä yksittäisessä viranomaistehtävässä. Siten myös näiden kyselyiden saamiseksi keskitetyn, tietoturvallisen ja laillisuusvalvonnan alla olevan menettelyn piiriin, ehdotetaan, että järjestelmän kautta voisi kysyä myös pankkisalaisuuden alaisia arvopaperitietoja. Näidenkin tietojen välittämisessä käytetään globaaleja sanomarakenteita, johon liittyy kussakin sanomarakenteessa määritelty määrä tietoa, joten kyselyn tarkka tietosisältö määrittyy sanomarakenteen mukaisesti. Kyse olisi arvopaperitietojenkin osalta sellaisista tiedoista, joiden saamiseen toimivaltainen viranomainen on jo nykyisellään oikeutettu ehdotetun 17 c §:n perusteluissa määriteltyjen tiedonsaantisäännösten mukaisesti ja jotka muutoin toimitetaan muuta kanavaa pitkin, kuten esimerkiksi sähköpostitse. Kyseisten 2 momentin mukaisten tietojen tulisi olla toimivaltaisille viranomaisille samalla tavalla välttämättömiä kuin 1 momentin tiedotkin. Viranomaisten tulisi siten täyttää kaikki 17 g §:n 2 momentin mukaiset tietopyynnön tekemiseen liittyvät edellytykset myös 2 momentin mukaisten arvopaperitietoja koskevien tietopyyntöjen osalta. Arvopaperitietojen toimittaminen pankki- ja maksutilien valvontajärjestelmän kautta olisi luotto- ja maksulaitoksille vapaaehtoista ja mahdollista myös muulla tietoturvallisella tavalla 17 f §:n 3 momentin mukaisesti.  

Pykälän 3 momentissa säädettäisiin asianajajan asiakasvaratilejä koskevasta poikkeuksesta, joka perustuisi asianajajan salassapitovelvollisuuteen. Säännöksen mukaan asianajajan asiakasvaratilejä koskevia tilitapahtuma- ja muita asiakkuuteen liittyviä tietoja ei saa luovuttaa keskitetyn saldo- ja tilitapahtumajärjestelmän kautta. Asiakasvaratilillä tarkoitetaan asianajajan tai hänen toimistonsa hallussa olevia muille kuin asianajajalle tai hänen toimistolleen kuuluvien raha- ja muiden varojen tilejä. Asiakasvaroja ovat esimerkiksi ne varat, jotka asianajaja on saanut tietyssä tehtävässä asiakkaansa puolesta joko kolmannelle suoritettavaksi tai muulla tavoin käytettäväksi. Asiakasvaroja ovat niin ikään rahavarat, arvopaperit ja -osuudet sekä varallisuusarvoiset esineet, jotka asianajaja on vastaanottanut kolmannelta asiakkaansa lukuun ja asiakkaalle tilitettäväksi taikka asiakkaan lukuun säilytettäväksi samoin kuin asianajajan määräyksenvaraista tehtävää hoitaessaan saamat varat. Säännöksen tarkoituksena on ennalta estää tilanne, jossa asianajajan asiakasvaratilistä luovutettaisiin tilitapahtuma- tai arvopaperitietoa sähköisen saldo- ja tilitapahtumajärjestelmän kautta ilman oikeusperustaa. Viranomaisten tulisi edellä mainittua tietoa tarvitessaan kääntyä tilin haltijana toimivan asianajajan puoleen asiakasvaratilin tilitapahtumatietojen selvittämiseksi.  

17 e §.Toimivaltaisten viranomaisten pääsy keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän tietoihin ja niitä koskevien tietopyyntöjen tekemistä koskevat edellytykset. Pykälässä säädettäisiin toimivaltaisten viranomaisten tietoihin pääsylle ja hakujen tekemisille eräitä edellytyksiä. Pykälän 1 momentin mukaan pääsy edotetun lain 17 b ja 17 d §:ssä tarkoitettuiin tietoihin ja mahdollisuus tehdä niitä koskevia hakuja olisi ainoastaan sellaisella ehdotetun lain 17 a ja 17 c §:ssä tarkoitetun viranomaisen henkilöstön jäsenellä, joka on nimetty ja valtuutettu suorittamaan näitä tehtäviä. Tiedonhallintalaissa säädetään muun muassa tietoturvallisuudesta, mukaan lukien luotettavuutta edellyttävien tehtävien tunnistaminen, käyttöoikeuksien antaminen ja luotettavuudesta varmistuminen sekä tietoaineistojen ja tietojärjestelmien tietoturvallisuus. Tietoa hyödyntävän organisaation tulee huolehtia, että käyttöoikeuksia myönnetään vain henkilöille, joilla on valtuudet tehdä kyselyitä. Lisäksi viranomaisessa tulee noudattaa muita sisäisiä menettelyitä tietojen pyytämiseen liittyen mikä voi olla kaksitasoinen tai muu prosessi, jossa voidaan osoittaa virkavastuun kohdentaminen siihen henkilöön, joka on ratkaissut saldo- ja tilitapahtumatietojen pyytämisen. Viranomaisen tulisi lisäksi varmistaa, että sen tiedonhakujärjestelmässä on riittävät suojatoimet, joilla varmistetaan, että tietopyyntö kohdistuu oikeaan tiedonsaantipykälään tai riittävään ajanjaksoon.  

Pykälän 2 momentin mukaisesti viranomaisen olisi annettava tietopyyntöä tehdessään tiedot kyselyn oikeusperustasta, käyttötarkoituksesta sekä tietopyyntöön liittyvästä tapaus- eli viitenumerosta sekä pyyntöä koskevan pankki- ja maksutilin IBAN-numero tai muu yksilöintitunnus. Viitenumerolla tarkoitetaan esimerkiksi esitutkintaviranomaisen r-numeroa tai viraston sisäistä diaarinumeroa, jonka nojalla viranomainen tekee kyselyn saldo- ja tilitapahtumajärjestelmään. Pyyntö ei välittyisi viranomaisen järjestelmästä Tullin koostavaan sovellukseen, mikäli viranomainen ei olisi täyttänyt kaikkia pyynnön tekemiseksi välttämättömiä kohtia. Saldo- ja tilitapahtumakyselyn tekeminen olisi mahdollista vasta kun viranomainen olisi yksilöinyt sen pankki- ja maksutilin, jonka tietoja se hakee ja sen yksittäisen tietotarpeen, minkä takia kysely tehdään. Mikäli viranomaisella ei olisi sen pyyntöä koskevan tilin IBAN-tietoa ja sillä olisi 3 a §:ssä tarkoitettu oikeus käyttää voimassaolevan lain mukaista pankki- ja maksutilien valvontajärjestelmää, sen tulisi ensin tehdä tilin omistajatietokysely pankki- ja maksutilien valvontajärjestelmän automatisoituun tilitietojärjestelmään. Mikäli taas viranomaisella ei olisi 3 a §:ssä säädettyä oikeutta 4 ja 6 §:n tietoihin, tulisi tilin IBAN-numero tai muu yksilöintitunnus selvittää muulla tapaa ennen tietopyynnön tekemistä. 

17 f §. Keskitettyä sähköistä saldo- ja tilitapahtumajärjestelmää koskevien tietojen käsittely. Pykälässä säädettäisiin keskitettyä sähköistä saldo- ja tilitapahtumajärjestelmää koskevien tietojen luovutuksesta ja välittämisestä eli pykälä sisältäisi tiedonkäsittelyä koskevan sääntelyn niin tiedonluovuttajien kuin Tullin koostavan sovelluksen osalta.  

Pykälän 1 momentissa säädettäisiin kaikille pankki- ja maksutilien valvontajärjestelmästä annetun lain 1 a §:n mukaisille toimijoille velvoite luovuttaa 17 b ja 17 d §:n 1 momentissa tarkoitetut tiedot keskitettyyn sähköiseen saldo- ja tilitapahtumajärjestelmään. Velvollisuus luovuttaa edellä mainitut tiedot viranomaisille seuraa jo 17 a ja 17 c §:n mukaisten viranomaisten voimassa olevista tiedonsaantioikeuksista. Ehdotetulla säännöksellä on tarkoitus säätää tiedonluovutuksen käytänteistä sähköisen rajapinnan avulla. Mikäli 1 a §:n mukainen toimija ylläpitää pankki- ja maksutilien tiedonhakujärjestelmää, 17 b ja 17 d §:n 1 momentissa tarkoitetut tiedot olisi luovutettava tiedonhakujärjestelmää hyödyntäen. Esimerkiksi luottolaitokset toimittaisivat saldo- ja tilitapahtumatiedot lähtökohtaisesti pankki- ja maksutilien tiedonhakujärjestelmän avulla. Maksulaitokset, sähkörahayhteisöt ja kryptovarapalvelun tarjoajat voivat myös halutessaan ylläpitää pankki- ja maksutilien tiedonhakujärjestelmää (tilirekisteriin toimittamiensa tietojen sijaan). Mikäli edellä mainittu toimija olisi perustanut pankki- ja maksutilien tiedonhakujärjestelmän, saldo- ja tilitapahtumatietojen luovutus noilta toimijoilta tapahtuisi myös kyseisen tiedonhakujärjestelmän avulla. Tilitapahtumia ei ehdoteta lisättäväksi voimassa olevan lain 5 §:ssä säädettyyn pankki- ja maksutilirekisteriin, joten tilirekisteriin tiedot toimittavat finanssitoimijat, eli käytännössä muut kuin tiedonhakujärjestelmän rakentaneet 1 a §:n mukaiset toimijat, luovuttaisivat saldo- ja tilitapahtumatiedot Tullin määrittelemien käsittelysääntöjen mukaisesti Tullin rakentaman tiedonluovutusjärjestelmän avulla.  

Pykälän 1 momentissa säädettäisiin lisäksi määräaika saldo- ja tilitapahtumia koskevien tietojen luovuttamiselle. Saldo- ja tilitapahtumatiedot olisi toimitettava viipymättä, mutta viimeistään seuraavan pankkipäivän kuluessa. Lisäksi tiedot tulisi toimittaa salassapitosäännösten estämättä. Ehdotetun lain 2 luvun mukainen tiedon käsittely on automaattista ja tilin omistajatiedot tulee toimittaa viranomaiselle välittömästi. Toisin kuin 2 luvun viidennen rahanpesudirektiivin täytäntöönpanemiseksi säädetyssä automaattisessa ja välittömässä tiedonkäsittelyssä, 3 luvun tiedonkäsittely ei ole automaattista ja välitöntä. Koska tilitapahtumatiedot eivät kuulu direktiivin mukaisiin tietoihin vaan sääntely on kansallisista perusteista lähtevää, tulee sääntelyssä noudattaa valtiosääntöoikeudellisia edellytyksiä erityisten henkilötietojen luovutukseen liittyen. Mahdollisesti arkaluonteisiakin henkilötietoja sisältävien tilitapahtumatietojen käsittelyyn liittyy riskejä, joten tilitapahtumatiedot vaativat erilaisen tiedon käsittelytavan muun muussa erilaisten suojaustoimien takia. Tilitapahtumatietojen käsittelyssä tulee siten noudattaa erityistä huolellisuutta. Tämä tarkoittaa muun muassa sitä, että tiedot luovuttavalla luotto- tai maksulaitoksella tulee olla mahdollisuus tosiasiallisesti arvioida tiedon luovutuksen edellytyksiä. Mikäli kyse on pelkästään saldotiedoista, tulee luotto- tai maksulaitoksen pyrkiä toimittamaan tieto viipymättä, mutta kun kyse on kattavammista arkaluonteisiakin tietoja mahdollisesti sisältävistä tilitapahtumatiedoista, tulee luotto- tai maksulaitokselle antaa tarpeellinen aika mahdolliseen arviointiin ja tiedon keräämiseen. Koska kyse on kuitenkin tiedosta, jota viranomainen yleensä tarvitsee kiireellisesti esimerkiksi esitutkinnassa, tulisi tieto luovuttaa viranomaiselle viimeistään kyselyä seuraavana pankkipäivänä virka-ajan päättymiseen eli kello 16.15 mennessä. Mikäli kysely ei tulisi virka-ajan puitteissa eli kello 8.00–16.15 välillä, alkaisi määräajan laskenta seuraavasta pankkipäivästä. Toisin sanoen, jos viranomainen lähettää kyselyn perjantaina kello 18.00, määräaika vastauksen toimittamiselle olisi seuraavana tiistaina kello 16.15 mennessä. Määräaikoihin sovellettaisiin Suomen aikavyöhykettä.  

Tietojen toimittamisen määräaika alkaisi aina kyselyajankohdasta. Koska määräaika saldo- ja tilitapahtumatietoja koskevan vastauksen toimittamiselle pankki- ja maksutilien valvontajärjestelmän kautta on seuraavan pankkipäivän kuluessa, tulee Tulli teknisesti määrittämään sanoman sulkemisen tähän kyseiseen ajankohtaan. Mikäli tiedonluovuttaja pyytää lisätietoa kyselyyn liittyen, tulee vastaus pystyä toimittamaan kyselyn määräajan puitteissa tai sitten toimivaltaisen viranomaisen tulee tehdä uusi kysely lisätietojen toimittamisen jälkeen. Tiedonluovuttajan tekemää lisätietopyyntöä ei ole mahdollista välittää koostavan sovelluksen avulla vaan pyyntö ja siihen liittyvä viestinvaihto olisi tehtävä järjestelmästä erillään esimerkiksi sähköpostin avulla. Tällaisia tapauksia varten tietopyynnön mukana välitetään kysyvän viranomaisen tarkemmat yhteystiedot. Saldo- ja tilitapahtumajärjestelmän avulla pyydettävien 17 d §:n 2 momentin mukaisten arvopaperitietojen toimittamiseen ei säädettäisi määräaikaa vaan tiedot olisi toimitettava kuten kunkin tietoja pyytävän viranomaisen tiedonsaantisääntelyssä on säädetty.  

Toisessa momentissa säädettäisiin toimitettavien tietojen ajallisesta kestosta. Edellä 17 d §:n 1 momentissa tarkoitetut tilitapahtumatiedot tulisi toimittaa pyydettäessä edeltävältä viideltä vuodelta. Tämä ei tarkoittaisi sitä, että tiedot tulisi toimittaa jokaisen tietopyynnön kohdalla edellä mainitulta ajanjaksolta, vaan ajanjaksoa, jolta toimivaltaisella viranomaisella olisi oikeus saada tilitapahtumatiedot niin pyytäessään. Viranomaisen tulisi kuitenkin tietopyyntöä tehdessään aina arvioitava mikä olisi yksittäisessä käsittelyssä ja tietopyynnössä se määräaika miltä ajanjaksolta tiedot olisivat välttämättömiä ja siten tiedon yhtenä käsittelijänä varmistaa tiedon minimoinnin periaate. Lain voimaantulon osalta koskien tietojen luovuttamista saldo- ja tilitapahtumista säädettäisiin kolmen vuoden siirtymäajasta, jonka mukaisesti aluksi, säännöksen soveltamisen alkaessa järjestelmän kautta tulisi luovuttaa tiedot pyydettäessä kahden edeltävän vuoden ajalta, seuraavana vuonna pyydettäessä edeltävältä kolmelta vuodelta, sitä seuraavana vuonna pyydettäessä neljältä edeltävältä vuodelta ja kolme vuotta säännöksen soveltamisen alkamisen jälkeen tietojen luovuttamisvelvoite koskisi tietoja pyydettäessä viiden vuodelta ajalta. Tiedonluovuttajalla olisi kuitenkin mahdollisuus luovuttaa saldo- ja tilitapahtumatietoja heti lain voimaantulon jälkeen myös pidemmältä ajalta kuin kahdelta edeltävältä vuodelta eikä säännös rajoittaisi miltään osin viranomaisten lakisääteistä tiedonsaantioikeutta tätä vanhemmista tiedoista. Yli viisi vuotta vanhojen tietojen toimittamiseen ei kuitenkaan sovellettaisi edellisen momentin mukaista määräaikaa vaan tiedot olisi toimitettava siinä määräajassa kuin kunkin tietoja pyytävän viranomaisen tiedonsaantisääntelyssä on säädetty.  

Vaikka rekisterinpitäjän, tässä tapauksessa tietopyyntöä tekevän viranomaisen, tulee noudattaa tietojenkäsittelyssään jo lähtökohtaisesti yleisen tietosuoja-asetuksen 5 artiklasta tulevia velvoitteita, kuten tietojen minimointia ja säilytyksen rajoittamista koskevia periaatteita ja siten yleisen tietosuoja-asetuksen kanssa päällekkäistä sääntelyä olisi vältettävä, katsotaan välitettävien tietojen luonteen vuoksi täsmentävän sääntelyn olevan tarpeellista. Tilitapahtumatietoihin voi liittyä erityisiä henkilötietoja, arkaluonteisia tietoja sekä muita tietoja, jotka menevät syvälle rekisteröidyn yksityisyyden piiriin. Lisäksi tilitapahtumatietojen käsittelyssä voidaan käsitellä myös tietopyyntöön nähden ulkopuolisten henkilöiden henkilötietoja. Jotta säädös olisi täsmällinen ja tarkkarajainen sekä ohjaisi ennakoitavaan soveltamiseen, säädettäisiin pykälän 2 momentissa tietopyynnön tapauskohtaisesta arvioinnista ja ajallisesta rajauksesta. Tilitapahtumatiedoissa viranomaiselle luovutetaan väistämättä myös sellaista tietoa, joka ei liity tietopyynnön perusteena olevaan asiaan. Vaikka muun muassa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 6 §:n 1 momentissa on säädetty tarpeettomien henkilötietojen poistosta ilman aiheetonta viivytystä, viranomaisella tulisi myös tämän lain henkilötietojen käsittelyn osalta olla velvollisuus analysoida luovutettuja tilitapahtumatietoja ja poistaa tarpeettomat tiedot ilman aiheetonta viivytystä. Näin vahvistettaisiin rekisteröityjen henkilötietojen- ja yksityisyyden suojaa ja sekä henkilötietojen käsittelyn minimoinnin periaate että henkilötietojen käsittelyn välttämättömyys toteutuisivat varmemmin.  

Pykälän 3 momentissa säädettäisiin 1 a §:n mukaisten toimijoiden mahdollisuudesta luovuttaa perustellusta syystä viranomaisen pyytämät 17 d §:n 2 momentissa tarkoitetut arvopaperitiedot muuten kuin saldo- ja tilitapahtumajärjestelmän teknisen rajapinnan avulla. Mikäli arvopaperitietoja ei esimerkiksi tietosisällön luonteesta johtuen olisi mahdollista toimittaa ISO20022 sanomarakenteen muodossa, mikä olisi vaatimuksena saldo- ja tilitapahtumajärjestelmän tiedonkäsittelylle, tiedot luovuttava taho voisi toimittaa kyseiset tiedot muulla tietoturvallisella tavalla, esimerkiksi suojatun sähköpostiyhteyden avulla. Ehdotetulla säännöksellä ei olisi vaikutusta viranomaisten voimassa oleviin tiedonsaantioikeuksiin vaan sillä on tarkoitus selkeyttää keskitetyn järjestelmän käyttöön liittyviä velvoitteita tiedonluovuttajille. Lain tavoitteena on saada sekä viranomaisen kyselyt että niihin saadut vastaukset saman tietoturvallisen järjestelmän piiriin, mutta riippuen tiedonluovuttajien teknisistä järjestelmistä ja niiden sisäisistä tiedonkäsittelytavoista esitetään, että vastauksen toimittaminen olisi mahdollista myös pankki- ja maksutilien valvontajärjestelmän ulkopuolella. Tiedonluovutus tulisi kuitenkin olla toteutettu tietoturvallisella tavalla. Ehdotettu sääntely parantaisi siten kyseisten tietojen luovutusten tietoturvallisuutta nykytilanteeseen verrattuna. 

Pykälän 4 momentissa säädettäisiin Tullin velvollisuudesta poistaa tiedot koostavasta sovelluksesta välittömästi, kun tiedot on luovutettu pyynnön tehneelle viranomaiselle. Tietoja ei varastoitaisi koostavaan sovellukseen, kun ainoastaan sen ajan, että viranomainen on hakenut tiedot sovelluksesta. Tulli ei välittäisi luottolaitokselta tai muulta tiedonluovuttajalta saamiaan tietoja automaattisesti viranomaisen järjestelmään, vaan viranomainen hakisi itse tiedot omaan tiedonhakujärjestelmäänsä. Mikäli viranomainen ei kävisi hakemassa Tullin koostavassa sovelluksessa väliaikaisesti säilytettäviä tietoja Tullin määräämän ajan puitteissa, tiedot poistuisivat automaattisesti koostavasta sovelluksesta. Tulli huomioisi tietojen poistamisen määräajan määrittelyssä vastauksen saapumisajankohdan, jotta viranomaisella olisi mahdollisuus noutaa tieto riittävän ajan kuluessa virka-aikana. 

17 g §.Rekisterinpitäjä ja keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän tiedonkäsittelyyn liittyvät vastuut. Pykälässä säädettäisiin ehdotetun mukaisen saldo- ja tilitapahtumajärjestelmän rekisterinpidosta ja tiedonkäsittelyyn liittyvistä vastuista toimijakohtaisesti.  

Pankki- ja maksutilien valvontajärjestelmä muodostaa yhden rekisterikokonaisuuden. Pykälän 1 momentin mukaisesti jokainen rekisterikokonaisuuden tiedonkäsittelijä vastaa osaltaan ja itsenäisesti keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmään kuuluvien henkilötietojen käsittelyn lainmukaisuudesta tietosuoja-asetuksen mukaisesti. Järjestelmässä käsiteltävän tiedon osalta rekisterinpitäjiä ovat siten tietopyyntöjä tekevät toimivaltaiset viranomaiset, koostavan sovelluksen ylläpitäjä Tulli ja tietoja luovuttavat luotto- ja maksulaitokset, sähkörahayhteisöt ja kryptovarapalvelun tarjoajat. Ehdotettu saldo- ja tilitapahtumajärjestelmä on keskitetty järjestelmä, jossa toimivaltaisella viranomaisella on kyselypohjainen yksi rajapinta eli tiedonhakujärjestelmä, jonka avulla sen on mahdollista saada tiedot tiedonluovuttajilta. Toimivaltainen viranomainen on oikeutettu tekemään saldo- ja tilitapahtumatietoja koskevan kyselyn keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän avulla kohdennetusti yksittäistä, käsittelyssä, tutkinnassa tai selvityksessä olevaa asiaa varten ja vain siihen luottolaitokseen tai muuhun 1 a §:n mukaiseen toimijaan, josta se tietoa tarvitsee. Viranomainen tekee kyselyn oman tiedonhakujärjestelmänsä kautta Tullin koostavan sovellukseen, joka välittää kyselyn edelleen tiedon luovuttajalle. Viranomaisella ei siis ole suoraa pääsyä esimerkiksi luotto- ja maksulaitosten tiedonhakujärjestelmiin eivätkä tiedonluovuttajat myöskään toimita saldo- ja tilitapahtumia valmiiksi mihinkään uuteen rekisteriin. Ehdotetulla sääntelyllä ei siis olla muodostamassa uutta henkilörekisteriä. Keskitetty sähköinen saldo- ja tilitapahtumajärjestelmä mahdollistaa ainoastaan sen, että tiedonluovuttajat luovuttavat yksittäistä kyselyä varten kokoamansa saldo- ja tilitapahtumatiedot Tullin koostavaan sovellukseen, josta Tulli välittää ne pyynnön tehneelle viranomaiselle. Henkilötietojen käsittelyn kokonaisuudessa rekisterinpitäjyys vaihtuu katkeamattomasti siirryttäessä viranomaisen tiedonhakujärjestelmän rajapinnasta koostavaan sovellukseen. Yhtäältä rekisterinpitäjyys vaihtuu, kun Tulli välittää tietopyynnön koostavasta sovelluksesta tiedonluovuttajan järjestelmään ja edelleen vastauksen tiedonluovuttajalta takaisin koostavaan sovellukseen. Koostavasta sovelluksen rekisterinpitäjyys siirtyy taas viranomaiselle, kun viranomainen hakee tiedon koostavasta sovelluksesta oman tiedonhakujärjestelmänsä avulla.  

Tietosuoja-asetuksen 4 artiklassa on määritelty, se, mitä asetuksessa tarkoitetaan henkilötietojen käsittelyllä. Määritelmän mukaan käsittely kattaa toiminnon tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista. Rekisterinpitäjällä asetuksessa tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.  

Keskitetyssä sähköisessä saldo- ja tilitapahtumajärjestelmässä sovelletaan käsittelylähtöistä ajattelua suhteessa tiedonkäsittelyyn liittyviin vastuisiin. Tietosuoja-asetuksen mukaisesti rekisterillä tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu. Koska pankki- ja maksutilien valvontajärjestelmä muodostaa yhden rekisterikokonaisuuden, jokainen rekisterikokonaisuuden tiedonkäsittelijä vastaa kukin osaltaan ja itsenäisesti keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmään kuuluvien henkilötietojen käsittelyn lainmukaisuudesta. Toimijat eivät olisi kuitenkaan yhteisrekisterinpitäjiä, koska ne käsittelevät henkilötietoja eri tarkoituksiin, eivätkä ne määrittele yhdessä henkilötietojen käsittelytarkoitusta. Ehdotetulla säännöksellä useasta erillisestä rekisterinpitäjästä täydennetään rekisterinpitäjää koskevaa sääntelyä tietosuoja-asetuksen 4 artiklan 7 kohdan mukaisesti. Ehdotus vastaa voimassa ollutta tilannetta, mutta uuden keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän käyttöönoton myötä ehdotettu sääntely täsmentäisi jokaisen tiedonkäsittelijän vastuita, joihin on voimassa olevassa laissa katsottu liittyvän epäselvyyttä.  

Pykälän 2 momentin mukaan toimivaltainen viranomainen vastaa tekemänsä kyselyn välttämättömyydestä ja oikeasuhtaisuudesta. Viranomaisen on ennen kyselyn tekemistä arvioitava 17 b ja 17 d §:n perusteluissa esitellyllä tavalla, mitä tietoja ja kuinka pitkältä ajalta sen on välttämätöntä saada kyseisen tehtävänsä hoitamiseksi. Viranomaisen tulee tietopyyntöä tehdessään antaa tieto muun muassa tietopyynnön oikeusperustasta ja käyttötarkoituksesta sekä tietopyyntöön liittyvästä tapaus- eli viitenumerosta. Toimivaltaiset viranomaiset toimivat rekisterinpitäjinä koostavan sovelluksen kautta välitettyjen tekemiensä tietopyyntöjen ja niihin vastaanottamiensa henkilötietojen osalta ja niitä koskevat yhtäläisesti tietosuoja-asetuksen ja sitä täydentävän kansallisen sääntelyn mukaiset sekä viranomaisia koskevissa erityislaeissa säädetyt rekisterinpitäjää ja henkilötietojen käsittelyä koskevat velvoitteet. Saldo- ja tilitapahtumatietoja koskevaa kyselyä eikä koko tiedonkäsittelyä muodostuisi ilman viranomaisen tekemää kyselyä, joten viranomaisen vastuu ja rooli järjestelmän osana on keskeinen. Muilla järjestelmän tiedonkäsittelijöillä; Tullin koostavalla sovelluksella tai pankki- ja maksutilien tiedonhakujärjestelmää ylläpitävällä luottolaitoksella tai muulla 1 a §:n mukaisella tiedon luovuttajalla ei ole samanlaisia mahdollisuuksia täysimääräisesti täyttää kaikkia tietosuoja-asetuksen 5 artiklan mukaisia velvoitteita kuin viranomaisella on. Siitä johtuen viranomaisen vastuuta tietopyynnön oikeasuhtaisuudesta voidaan pitää korostettuna, vaikka kenenkään tiedonkäsittelijän tietosuoja-asetuksen mukaista vastuuta ei voidakaan poistaa ehdotetulla sääntelyllä. Viranomaiset toimivat virkavastuulla ja saldo- ja tilitapahtumia koskevan tiedonhaun sähköistämisen seurauksena laillisuusvalvonta niiden osalta paranisi toimivaltaisessa viranomaisessa entisestään. 

Pykälän 3 momentin mukaan Tulli vastaisi koostavalla sovelluksella viranomaiselta tulevan kyselyn välittämisestä 1 a §:n mukaiselle tiedon luovuttajalle sekä siihen saatavan vastauksen välittämisestä tiedon luovuttajalta toimivaltaiselle viranomaiselle. Tullilla ei ole oikeutta pyydettyyn tietoon eikä sillä ole mahdollisuutta arvioida viranomaisen pyynnön oikeasuhtaisuutta esimerkiksi kysytyn ajanjakson suhteen. Koostavan sovelluksen automaatio tarkastaa ainoastaan sen, että toimivaltainen viranomainen on pyyntöä tehdessään antanut kaikki kyselyn välittämiseen tarvittavat tiedot. Tulli välittäisi kyselyn mukana tietopyynnön tiedot kyselyn oikeusperustasta ja käyttötarkoituksesta sekä tietopyyntöön liittyvästä tapaus- eli viitetiedosta. Viitetiedolla tarkoitetaan esimerkiksi esitutkintaviranomaisen r-numeroa tai viraston sisäistä diaarinumeroa, jonka nojalla viranomainen on tehnyt kyselyn saldo- ja tilitapahtumajärjestelmään. Kyseessä ei siis ole pankki- ja maksutilien valvontajärjestelmän itse luoma viitenumero. Lisäksi Tulli välittäisi kyselyn tehneen viranomaisen yhteystiedot eli esimerkiksi sähköpostiosoitteen ja puhelinnumeron. 

Tullin rekisterinpitäjän tehtävät liittyvät tietosuojasta ja tietoturvallisuudesta huolehtimiseen, rekisteröityjen oikeuksista informoimiseen ja muihin vastaaviin rekisterinpitäjän tehtäviin. Tullilla olisi lisäksi rekisterinpitäjän rooli koostavan sovelluksen tallennettavien lokitietojen osalta. Tulli välittäisi tarvittaessa lokitietoja toimivaltaisille viranomaisille niiden omaa laillisuusvalvontaan varten.  

Pykälän 4 momentin mukaan 1 a §:n mukainen tiedonluovuttaja vastaa luovutettavien tietojen oikeellisuudesta. Luottolaitokset toimivat kukin oman pankki- ja maksutilien tiedonhakujärjestelmän osalta rekisterinpitäjinä ja niillä olisi velvollisuus toteuttaa tietosuoja-asetuksen 5 artiklan 2 kohdan edellyttämää osoitusvelvollisuus henkilötietojen käsittelyn lainmukaisuudesta. Sama vaatimus koskee muitakin 1 a §:n mukaisia tiedonluovuttajia kunkin tietoteknisestä järjestelmästä riippumatta. Eräs tärkeimmistä periaatteista on kyseisen artiklan 1 d kohdan mukainen täsmällisyyden periaate: henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Tämä tarkoittaa, että tiedonluovuttajan tulee varmistua, että se luovuttaa kaikki viranomaisen pyytämät tiedot eli tietosisältö on eheä. Periaatteen mukaisesti viranomaisen tulee pystyä luottamaan, että sen saamat tiedot ovat täsmällisiä ja päivitettyjä ja kattavat kaikki sen pyytämät tiedot.  

Koska tiedon oikeellisuus ja eheys ovat ensisijaisen tärkeitä järjestelmän luotettavuuden kannalta ja tietojen virheettömyys voi puuttuessaan aiheuttaa merkittävää haittaa rekisteröidyn oikeuksille ja vapauksille, ehdotuksessa hyödynnetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista liikkumavaraa ja 5 momentin mukaisesti ehdotetaan, että viranomaisen tulisi ilmoittaa Tullille havaitsemistaan tietojen puutteellisuudesta tai mahdollisista virheellisyyksistä. Tullilla olisi siten mahdollisuus selvittää onko kysymys järjestelmävirheestä. Kyseinen menettely olisi virheettömyyden varmistamiseksi sovellettava suojatoimi. Lähtökohtaisesti viranomaisen henkilöstöllä, joka käsittelee järjestelmästä saatuja henkilötietoja, olisi velvollisuus ilmoittaa havaitsemistaan tiedon puuttumiseen liittyvistä epäilyistä tai mahdollisista tietoturvapoikkeamista oman organisaationsa ohjeiden mukaisesti. Mikäli kyse ei olisi pankki- ja maksutilien valvontajärjestelmän teknisestä järjestelmävirheestä, viranomaisen tulisi olla yhteydessä suoraan tiedonluovuttajaan, joka ehdotetun 17 g §:n 3 momentin mukaan vastaa luovuttamiensa saldo- ja tilitapahtumatietojen oikeellisuudesta sekä tietojen oikaisemisesta ilman aiheetonta viivytystä. Mikäli häiriötilanne organisaation sisäisen arvioinnin mukaan täyttäisi tietoturvaloukkauksen määritelmän, tulisi siitä ilmoittaa valvontaviranomaiselle tietosuojasääntelyn mukaisesti. Tietosuojavaltuutettu toimii tietosuojalain 8 §:n mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena. Tietosuojavaltuutettu valvoo siten saldo- ja tilitapahtumajärjestelmässä tapahtuvaan henkilötietojen käsittelyyn liittyvien velvoitteiden noudattamista.  

17 h §. Keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän lokitiedot. Voimassa olevassa pankki- ja maksutilien valvontajärjestelmää koskevassa laissa säädetään lokitietoja koskevia velvoitteita tilirekisteriä ja koostavaa sovellusta ylläpitävälle Tullille sekä tiedonhakujärjestelmästä tietoja saaville lain 3 §:n mukaisille toimivaltaisille viranomaisille. Velvoite lokitietojen keräämisestä tulisi säätää myös keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän käytöstä samoille tahoille. Lisäksi säädettäisiin, että myös tiedonluovuttavat pitäisivät lokirekisteriä keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän kautta tehdyistä tietopyynnöistä.  

Pykälän ensimmäisessä momentissa Tullille säädettäisiin velvoite pitää lokirekisteriä koostavan sovelluksen kautta keskitettyyn sähköiseen saldo- ja tilitapahtumajärjestelmään tehtävistä kyselyistä. Tulli ylläpitää koostavaa sovellusta ja lokitietojen käsittelyllä rekisterinpitäjä voi osoittaa noudattavansa tietosuoja-asetuksen 5 artiklan 2 kohdan mukaista osoitusvelvollisuutta. Lokirekisterinpitovelvoite on siten yksi tietosuoja-asetuksen mukainen suojatoimi, joka on rekisterinpitäjän vastuulla. 

Lisäksi Tullille säädettäisiin velvoite luovuttaa keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmään tehtyjä hakuja koskevat lokitiedot 17 a ja 17 c §:ssä tarkoitetuille viranomaisille niiden pyynnöstä. Lokitietojen avulla toimivaltaiset viranomaiset voisivat täydentää omaa laillisuusvalvontaansa. Lokitiedoiksi säädettäisiin asian viitetiedot eli asian käsittelynumero tai muu tunnistetieto, tietopyynnön oikeusperusta, tiedustelun tai haun päivämäärä ja kellonaika, tiedustelussa käytettyjen tietojen tyyppi, tiedustelun tuloksen tunnistetiedot ja järjestelmää käyttäneen toimivaltaisen viranomaisen nimi.  

Pykälän 2 momentissa säädettäisiin toimivaltaisille viranomaisille sekä tietoa luovuttaville 1 a §:n mukaisille toimijoille velvollisuus pitää lokirekisteriä. Rekisterinpitämisellä tiedonluovuttaja voi osoittaa noudattaneensa tietosuoja-asetuksen mukaisia periaatteita eli vaatimus tukee sen osoitusvelvollisuutta.  

Pykälän 3 momentissa säädettäisiin, että toimivaltaistenviranomaisten lokirekisteristä olisi käytävä myös ilmi keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä tiedustelun tai haun suorittaneen henkilön ja sen määränneen henkilön tunnistetiedot sekä tiedustelun tai haun tulosten vastaanottajan tunnistetiedot, mikäli ne on mahdollista saada. Säännöksen mukaan toimivaltaisen viranomaisen olisi nimettävä henkilö, joka valvoo keskitetyn sähköisen saldo- ja tilitapahtumajärjestelmän käyttöä. Valvonta pitää sisällään sen, että lokirekisterin tietoja on käytävä läpi säännöllisesti poikkeamien havaitsemiseksi. Lokirekisterin tarkastelun tulee olla aktiivista, jotta mahdolliset väärinkäytökset havaitaan nopeasti.  

Pykälän 4 momentin mukaan lokitiedot tulisi säilyttää viisi vuotta, ellei niitä tarvita kesken olevassa valvonta-asiassa. Säädetty määräaika vastaisi voimassa olevassa laissa säädetyn Tullin lokirekisterin muotoilua, joten voidaan pitää tarkoituksenmukaisena, että säilytysaika on yhteneväinen keskitetyn automatisoidun tilitietojärjestelmän ja keskitetyn sähköisen saldo- ja tilitapahtumatietojärjestelmän osalta. Mikäli jollain viranomaisella on tarpeen säilyttää lokitiedot yli 5 vuotta, on sen ilmoitettava asiasta Tullille, jotta koostavan sovelluksen lokitietojen säilytysaikaa voidaan noiden tietojen osalta myös pidentää.  

7.2  Laki verotusmenettelystä

18 a §.Tiedonantovelvollisuus pankki- ja maksutilien valvontajärjestelmästä. Ehdotuksena on, että verotusmenettelystä annettuun lakiin lisätään säännös nimenomaisesta luotto- ja maksulaitosten tiedonantovelvollisuudesta pankki- ja maksutilien valvontajärjestelmästä annetussa laissa tarkoitettuihin saldotietoihin ja tilitapahtumatietoihin. Tämä tarkoittaa, että Verohallinto voi käyttää pankki- ja maksutilien valvontajärjestelmän saldotietoja ja tilitapahtumatietoja silloin, kun yksittäisessä verovalvontatapauksessa on välttämätöntä käyttää näitä tietoja.  

Tilitapahtumatietojen käyttö verotuksessa täyttää tietosuoja-asetuksen 23 artiklan 1 kohdassa asetetun vaatimuksen, jonka mukaan kyse on oltava välttämättömästä ja oikeasuhteisesta toimenpiteestä asetuksen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Verohallinnon osalta tiedonsaantioikeusturvaa artiklan 1 kohdan e ja h alakohtien mukaisia tavoitteita. Alakohdassa e tavoite on taata muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva ja h alakohdassa valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–e ja g alakohdassa tarkoitetuissa tapauksissa. 

Verotusta koskevat ilmoitus- ja tiedonantovelvoitteet on säädetty lähtökohtaisesti verotusmenettelystä annetussa laissa (1558/1995) ja oma-aloitteisten verojen verotusmenettelylaissa (768/2016). Useissa eri verolaeissa on viittaukset näihin menettelysäännöksiin. 

Ilmoitus- ja tiedonantovelvoitteet jakautuvat siten, että verotusmenettelylain 2 luvussa on säädetty verovelvollisen ilmoitusvelvollisuudesta ja lain 3 luvussa sivullisen tiedonantovelvoitteesta. Säännönmukaisesti annettavat tiedot ovat sellaisia, jotka lähtökohtaisesti merkitään veroilmoitukselle. Tämä koskee verovelvollisen ilmoitusvelvollisuuden piirissä olevia tietoja sekä sivullisen lain 15–17 §:n nojalla annettavia tietoja. Verotusmenettelylain sääntely asettaa siten tiedonantovelvoitteen sivulliselle, mikä eroaa tyypillisestä viranomaisen tiedonsaantia koskevasta sääntelystä, jossa säännös antaa viranomaiselle oikeuden saada tietoa. 

Verotusmenettelystä annetun lain 18 §:ssä on säädetty eri viranomaisten velvoitteesta antaa pääsy eri rekisteritietoihin (viranomaisen yleinen tiedonantovelvollisuus). Velvoitteen piirissä ovat esimerkiksi väestötiedot, kaupparekisteritiedot, maaseutuelinkeinorekisterin tiedot, liikenneasioiden rekisterin tiedot, kiinteistötiedot, elinkeinotukien tiedot, tiedot ulkomaalaisten työskentelystä, Kansaneläkelaitoksen etuustiedot ja huoneistorekisterin tiedot. Nämä tiedot ovat sellaisia, joita tarvitaan säännönmukaisesti verotuksessa. Tiedon käyttö on järjestetty osin siten, että Verohallinto voi pyytää tietoja tietojärjestelmän välityksellä silloin, kun tieto on verotuksessa tarpeen. 

Yleisten tiedonantovelvoitteiden lisäksi verotusmenettelylaissa on säädetty yksityisten ja viranomaisten erityisestä tiedonantovelvoitteesta. Erityisiä tiedonantovelvoitteita sovelletaan aina yksittäisissä verovalvontaan liittyvissä tilanteissa. Lain 19 §:n mukaisesti jokaisen on annettava Verohallinnon kehotuksesta tietoja, jotka saattavat olla tarpeen muun verovelvollisen verotusta tai muutoksenhakua koskevan asian käsittelyä varten. Vastaavasti lain 20 §n mukaisesti viranomaisen on annettava pyynnöstä tai esitettävä tarkastettaviksi tiedot, jotka saattavat olla tarpeen verotusta tai muutoksenhakua varten. Laissa on säädetty oikeus kieltäytyä tietojen antamisesta silloin, jos tiedonantovelvollisella on oikeus kieltäytyä todistamasta asiasta. Verotukseen vaikuttavia, verovelvollisen taloudellista asemaa koskevia tietoja ei kuitenkaan saa kieltäytyä antamasta. Erityistä tiedonantovelvoitetta sovelletaan silloin, kun verovelvollisen verotusta koskevan asian selvittäminen edellyttää sellaisten tietojen käsittelyä, jotka eivät ole yleisen tiedonantovelvoitteen piirissä. Laissa säädetty kynnys ”saattaa olla tarpeen verotuksessa” täyttyy silloin, kun verovelvollisen ilmoituksen, sivullisilta saatujen tietojen tai muiden tietojen perusteella on selvitettävä jokin verovelvollisen taloudelliseen toimintaan liittyvä asia. Verohallinto käsittelee tilitapahtumatietoja varmistaakseen sen, että verovelvollinen on hoitanut verotusta koskevat velvoitteet. Tilin saldo- ja tapahtumatiedot eivät sellaisenaan ole tietoja, jotka verovelvollisen on liitettävä veroilmoitukseen vaan nämä tiedot ovat merkityksellisiä verovalvonnassa. Sivulliselta tiedonantovelvolliselta saatavien tietojen perusteella voidaan esimerkiksi arvioida, onko verovelvollinen antanut tiedot oikein. Verotusmenettelyä koskeva sääntely ei edellytä tietojen pyytämistä ensin verovelvolliselta itseltään. Verotuksen toimittamista koskevan 26 §:n 4 momentin mukaisen periaatteen mukaisesti Verovelvollisen täytettyä ilmoittamisvelvollisuutensa tulee veroviranomaisen ja verovelvollisen osallistua mahdollisuuksiensa mukaan asian selvittämiseen. Pääasiallisesti sen osapuolen, jolla on siihen paremmat edellytykset, on esitettävä asiasta selvitystä. Tämä tarkoittaa esimerkiksi sitä, että Verohallinnon tulisi käyttää laissa säädettyjä oikeuksia pyytää tietoja sivulliselta. Hallinnollisen taakan näkökulmasta ei ole tarkoituksenmukaista pyytää verovelvollista toimittamaan tietoja silloin, jos tieto on saatavilla sivulliselta esimerkiksi suoran kysely-yhteyden välityksellä. Tämä vastaa myös julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 20 §:n velvoitetta, jonka mukaisesti viranomaisen on pyrittävä hyödyntämään toisen viranomaisen tietoaineistoja, jos viranomaisella on oikeus saada tarvittavat tiedot toiselta viranomaiselta teknisen rajapinnan tai katseluyhteyden avulla. VML 19 §:n mukaisen velvoitteen asettaminen vaatii oikeudellista harkintaa, joka tehdään virkailijan toimesta. Tiedonantovelvollisella on oikeus kieltäytyä kehotuksesta ja saada asiassa päätös, johon voi hakea muutosta. Tilitiedon tarpeellisuus arvioidaan ja harkitaan Verohallinnossa aina tapauskohtaisesti virkavastuulla eli tietoja ei kysytä VML 19 §:n perusteella massaluonteisesti tai automaatiomenettelyllä. VML 19 §:n mukainen menettely on siten erotettava VML 21 §:n mukaisesta vertailutietotarkastuksesta, jossa tietoja on mahdollisuus kerätä siten, ettei jokaista henkilöä tai yhteisöä ole yksilöity. 

Erityistä tiedonantovelvollisuutta koskevien säännösten soveltamisen menettelyt ovat vakiintuneita. Säännöksiä ei ole kohdennettu mihinkään tiettyyn sivullistahoon. Harkinta säännösten soveltamisesta tehdään virkavastuulla noudattaen, mitä verotusmenettelystä muutoin säädetään. Sääntelykehikko rakentuu siten, että verotusmenettelystä annetun lain 26 §:n 4 momentin mukaisesti verovelvollisen täytettyä ilmoittamisvelvollisuutensa tulee veroviranomaisen ja verovelvollisen osallistua mahdollisuuksiensa mukaan asian selvittämiseen. Pääasiallisesti sen osapuolen, jolla on siihen paremmat edellytykset, on esitettävä asiasta selvitystä. Esimerkiksi silloin, kun laissa on säädetty tiedonantovelvoitteet, tulee Verohallinnon soveltaa niitä asian selvittämiseksi Lain 26 §:n 5 momentin mukaisesti verotus toimitetaan verovelvollisen ilmoituksen, sivulliselta tiedonantovelvolliselta 3 luvun säännösten nojalla saatujen tietojen ja asiassa saadun muun selvityksen perusteella. Tämä ohjaa myös siihen, että Verohallinnolla on verotuksen toimittamisessa velvoite selvittää verotuksen oikea peruste sekä verovelvolliselta että sivulliselta saatavien tietojen perusteella. Kysymys voi myös olla verovelvollisen ilmoittamien tietojen oikeellisuuden tarkastamisesta yksittäisessä verovalvontatapauksessa. Lisäksi säännöksen 6 momentin mukaisesti Verohallinnon on tutkittava saamansa tiedot ja selvitykset tavalla, joka asian laatu, laajuus, verovelvollisten yhdenmukainen kohtelu ja verovalvonnan tarpeet huomioon ottaen on perusteltua. Tämä ohjaa myös erityisten tiedonantovelvoitteiden soveltamista. Verohallinnon on tutkittava esimerkiksi ilmoitetut tulot yhdenmukaisin menettelyin sen varmistamiseksi, että verotuksessa toimitaan tasapuolisesti ja oikeudenmukaisesti. Verotusmenettelylain 19 §:ää sovelletaan silloin, kun verotusta koskevan asian selvittäminen edellyttää tilitapahtumien käsittelemistä. Tilitapahtumien selvittämiselle ei ole verotuksellista tarvetta kaikissa verovalvontatilanteissa vaan arvio tehdään tapauskohtaisesti. 

Verohallinto ehdottaa, että verotusmenettelyä koskeviin sivullisten yleisiin velvoitteisiin säädettäisiin nimenomainen oikeus käyttää tiedonantovelvoitteiden toteuttamisessa pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisia menettelyitä, saldotietojen ja tilitapahtumien selvittämiseksi silloin kun se on välttämätöntä verotusta koskevan asian selvittämisessä. Tämä toteutettaisiin säätämällä uusi 18 a §, jonka mukaisesti tiedonantovelvoite kohdentuisi nimenomaisesti luotto- ja maksulaitoksiin, joilla on jo nyt verotusmenettelystä annetussa laissa säädetty velvollisuus antaa tietoja tilitapahtumista. Tällä hetkellä Verohallinnolla on pankki- ja maksutilien valvontajärjestelmästä annettuun lakiin kirjattu oikeus selvittää tilin omistajatiedot verotusmenettelystä annetun lain 19 §:n soveltamistilanteissa. 

Velvoite kohdistuisi pankki- ja maksutilien valvontajärjestelmästä annetun lain 1 a §:n mukaisiin toimijoihin, vaikka tietojen antamisessa käytettäisiin Tulliin ylläpitämää pankki- ja maksutilien valvontajärjestelmää sekä koostavaa sovellusta. Tarkoituksena on, että arvio siitä pyydetäänkö tietoja sivulliselta, tehtäisiin samoin perustein kuin muissakin tilanteissa, joissa sivullisilta pyydetään tietoja erityisen tiedonantovelvoitteen nojalla. Tältä osin oikeustila säilyisi ennallaan. Tietopyynnöt toteutettaisiin lähettämällä yksittäiset pyynnöt Tullin ylläpitämän järjestelmän kautta luotto- ja maksulaitoksiin. Tietojen antamista koskeva velvoite kohdennettaisiin luotto- ja maksulaitoksiin, ja harkinta tietojen pyytämisestä sisältäsi ehdotetun sääntelyn mukaisesti aina välttämättömyysarvioinnin. Menettely toteuttaa verovelvollisten yhdenmukaisen kohtelun verotuksessa silloin, kun tietoja pyydetään sivulliselta erityisen tiedonantovelvoitteen nojalla esimerkiksi selvitettäessä, onko tulot tai varat ilmoitettu oikein. Verovalvonnan ja verotuksen yhdenmukaisuuden kannalta olisi ongelmallista, jos tiedonantovelvoitteita koskeva harkinta poikkeaa esimerkiksi tietolähteen tai tietojen hankintatavan osalta. Laissa edellytettäisiin kuitenkin sitä, että saldo- ja tilitapahtumatietojen käytön välttämättömyys arvioidaan tapauskohtaisesti. Yleisesti voidaan todeta, että pankeilta saatavien tietojen perusteella valvotaan pääasiassa samojen velvoitteiden noudattamista kuin muiden sivullistietojen osalta. Edellä mainituin perustein uudessa 18 a §:ssä olisi viitattu lain 19 §:n mukaiseen harkintaan. 

Pankki- ja maksutilien valvontajärjestelmä mahdollistaa teknisesti nopean ja laajan kyselymahdollisuuden. Näin ollen on perustelua rajata tämän järjestelmän käyttö välttämättömyyttä koskevalla edellytyksellä. Käytännössä tämä tarkoittaisi, että Verohallinto pyytää saldo- ja tilitapahtumatietoja vain silloin, kun tiedot ovat välttämättömiä yksittäisen verotusta koskevan asian selvittämiseksi. Verohallinnon virkailija arvioisi saldo- ja tilitapahtumien käytön välttämättömyyttä ottaen huomioon sen, mikä merkitys saldo- ja tilitapahtumatiedoilla on valvottavassa veroasiassa ja onko verotusta koskevassa asiassa tarvittavat tiedot saatavissa muulla tavoin. Harkintaa ohjaavat lisäksi yleisten hallintomenettelyä koskevat periaatteet ja verotuksessa noudatettavat periaatteet. Tämä harkinta on kuitenkin sidottu aina yksittäisen tapauksen tosiseikkoihin, joka määrittää sen ovatko tiedot välttämättömiä kyseisessä asiassa. Saldotietoja pyydettäisiin niissä tilanteissa, joissa ei olisi välttämätöntä pyytää tilitapahtumatietoja. Verohallinto käyttää tilitapahtumatietoja verotuksen oikeellisuuden selvittämiseen ja varmentamiseen yksittäisissä tilanteissa, joissa sen arvioidaan olevan välttämätöntä. Tilitapahtumatiedot varmentavat verovelvollisen rahavirtoja ja sitä kautta taloudellista asemaa, johon verotus perustuu. Tilitapahtumatietoja ei kysyttäisi ilman, että niiden tarve arvioidaan ensin yksittäisen tapauksen tosiseikkojen perusteella ja ne katsotaan verovalvonnan näkökulmasta välttämättömiksi. Välttämättömyys tarkoittaa, että verovalvonnassa on verotuksellinen syy selvittää tai varmentaa verotuksen oikeellisuus, eikä Verohallinnolla ole muuta ilmoitus-, sivullis- tai vertailutietolähdettä käytettävissä verovelvollisen verotukseen vaikuttavien tulojen tai varojen selvittämiseksi. Kyse voi olla esimerkiksi tilanteesta, jossa alustalouden yritys on ilmoittanut Verohallinnolle henkilön saaneen alustatalouden tuloja ja tulotieto on ristiriidassa verovelvollisen antamien ilmoitusten kanssa. Valvonnassa selvitetään verovelvollisen tulonmuodostusta ja veroilmoitustietojen oikeellisuutta tilitapahtumatiedoista, joista selviää, onko tulot tosiasiallisesti saatu. Käsiteltävät tiedot ovat myös sellaisia, jotka verovelvollisen tulisi myös itse ilmoittaa. Valvonnassa voi olla tarpeen selvittää verovelvollisen tulonmuodostusta myös esimerkiksi tilanteessa, jossa verovelvollisen kiinteisvarallisuus on lisääntynyt, mutta Verohallinnon tiedoista ei selviä, millä tuloilla kiinteistöhankinta on rahoitettu. Tilitapahtumatiedon käsittelyn edellytyksenä ei ole verojen välttämistä koskevan asian selvittäminen, vaikkakin erityisesti harmaan talouden torjunnassa tilitapahtumatiedoilla on suuri merkitys selvitettäessä veropetoksia, jotka usein ovat nivoutuneet muihin talousrikoksiin. 

Silloin, jos pankki- ja maksutilien valvontajärjestelmä kattaa tilien saldo- ja tilitapahtumatiedot saisi Verohallinto nämä tiedot samassa yhtenäisessä muodossa ja samassa aikaikkunassa. Järjestelmän käyttö on käytännössä välttämätöntä myös verovelvollisten yhdenmukaisen ja tasapuolisen kohtelun sekä tietojen ajantasaisuuden ja oikeellisuuden kannalta, kun yksittäisessä tapauksessa tiedot katsotaan välttämättömiksi. 

Koska pankki- ja maksutilien valvontajärjestelmän käyttö on sidottu VML 19 §:ään, ei sitä voitaisi käyttää VML 21 §:n soveltamistilanteissa. Tämä tarkoittaa sitä, ettei ehdotettu sääntely mahdollista järjestelmän käyttöä massahakujen tai automaation osalta. 

Tilitapahtumatietojen käyttö kohdentuu kaikkiin asiakkaan tilitapahtumiin. Pankki- ja maksutilien valvontajärjestelmästä annetussa laissa olisi kuitenkin rajattu tarkkarajaisesti ne tiedot, jotka järjestelmän kautta annetaan. Velvoite myös kohdentuu tarkkarajaisesti lain 1 a §:n mukaisiin toimijoihin. Nykytilan mukaisesti tilitiedustelut liittyisivät aina nimettyihin toimenpiteisiin ja kaikki käsittely olisi todettavissa jälkikäteen. Verohallinto valvoo tietojen käsittelyä muun muassa lokitietojen valvontamenettelyillä. Tiedustelut tehtäisiin verotuksen tietojärjestelmässä (Gentax). Kyselyn tekemisen edellytyksenä on, että verotusta koskeva asia on vireillä. Kyselyitä ei tehtäisi automaatiossa. Työjärjestyksissä on määritelty ne virkailijat, joilla on oikeus tehdä kyselyitä. Tilitapahtumakyselyn taustalla tulisi edelleenkin olla olemassa aina joku toimenpide (tarkastus tai valvonta), jonka vuoksi kysely tehdään. Lisäksi henkilö, joka tiedustelun on tehnyt sekä kokonaisuus, johon tiedustelu liittyy, ovat jäljitettävissä järjestelmässä. Työjärjestyksissä on määritelty, mitkä roolit voivat tehdä kyselyjä suoraan järjestelmässä ja mitkä roolit tarvitsevat mahdollisesti esimiehen/työtä ohjaavan hyväksynnän. Nykyinen menettely, jossa Gentax -järjestelmä lokittaa kaiken, ja kyselyt myös liittyvät teknisesti Gentaxissa asiakkaaseen tai toimenpiteeseen, tulisi säilymään. Verotukseen vaikuttavat tilitapahtumatiedot dokumentoitaisiin edelleenkin esimerkiksi verotarkastuskertomukselle tai verotuspäätökselle. Asiakkaalla olisi nykytilan mukaisesti aina oikeus saada tieto tilitapahtumatiedusteluista, ellei tietojen antaminen vaaranna verovalvonnan yksittäistä toimenpidettä. Näissä tapauksissa tiedot annetaan valvontatoimen päätyttyä. 

Erityistä tiedonantovelvoitetta koskevan sääntelyn mukaisesti sivullisen on aina annettava verotukseen vaikuttavat, verovelvollisen taloudellista asemaa koskevat tiedot. Vaikka yksittäinen kysely tehdään aina silloin, kun tiedot ovat välttämättömiä yksittäisessä verovalvonta-tilanteessa, on käytännössä selvää, että tilitapahtumatiedoissa on myös sellaisia tietoja, jotka eivät vaikuta verotukseen. Näiden tietojen poistamiseksi ei ole tietojen luovutusmenettelyssä järkevää ja tehokasta menettelyä, joka olisi mahdollista toteuttaa esimerkiksi pankin tai tiedot välittävän Tullin toimesta. Tietojen poistaminen edellyttää asiantuntemusta siitä, millä tiedolla on vaikutusta verotukseen. Tämä arvio voidaan tehdä vain Verohallinnossa, joka toimii valvovana viranomaisena. Tälläkin hetkellä virkailijan velvollisuus on jättää verotuksen kannalta merkityksettömät tapahtumat huomioimatta. Ehdotuksena on, että verotusmenettelystä annetun lain uudessa 18 a §:ssä olisi säädetty Verohallinnolle velvoite kohdentaa saadut tiedot välittömästi vain verotuksessa vaikuttaviin tietoihin. Tällä menettelyllä toteutettaisiin yleisen tietosuoja-asetuksen mukaista henkilötietojen käsittelyn minimointiperiaatetta, mutta tämä ilmenisi myös selkeästi säännöksestä. 

7.3  Laki oma-aloitteisten verojen verotusmenettelystä

30 §.Sivullisen erityinen tiedonantovelvollisuus . Pykälän 1 momenttiin ehdotetaan lisättäväksi viittaus uuteen verotusmenettelylain 18 a §:ään.  

11.1  Esityksen riippuvuus muista esityksistä

Esitys ei ole riippuvainen muista esityksistä. 

11.2  Suhde talousarvioesitykseen

Esityksellä ei ole yhteyttä talousarvioesitykseen. 

12.1  Yksityiselämän ja henkilötietojen suoja

Ehdotetut saldo- ja tilitapahtumatietojen käsittelyä koskevat säännökset ovat merkityksellisiä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan näkökulmasta. Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Momentin toisen lauseen mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Merkityksellistä on ollut, että lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (ks. esim. PeVL 13/2016 vp, s. 3–4). Perustuslakivaliokunta on vakiintuneesti pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. esim. PeVL 31/2017 vp, s. 2, PeVL 25/2010 vp, s. 2, PeVL 27/2006 vp, s. 2 ja PeVL 14/2002 vp, s. 2). Lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla (PeVL 12/2002 vp, s. 5). Yksityiselämää ja henkilötietojen suojaa koskevan perustuslain säännöksen kannalta lähtökohtana on se, että oikeushenkilöt eivät kuulu säännöksen soveltamisalaan (PeVL 4/2014 vp, s. 2).  

Perustuslain 10 §:n mukaista suojaa täydentävät EU:n perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja sekä ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus, SopS 18 ja 19/1990) 8 artiklan mukainen yksityiselämän suoja. Euroopan ihmisoikeussopimuksen 8 artiklan 1 kohdan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Artiklan 2 kohdan mukaan oikeus ei kuitenkaan ole rajoittamaton, sillä viranomaiset saavat puuttua sen käyttämiseen silloin, kun laki sen sallii ja se on välttämätöntä demokraattisessa yhteiskunnassa kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi. Euroopan ihmisoikeustuomioistuimen (EIT) oikeuskäytännössä henkilötietojen suoja on katsottu olennaiseksi osaksi 8 artiklan yksityis- ja perhe-elämän suojaa. EIT ratkaisuissa on korostettu muun muassa, että lainsäädännössä pitää olla asianmukaiset takeet siitä, että henkilötietoja ei käsitellä 8 artiklan vastaisesti. Käsiteltävien tietojen tulee olla tarpeellisia sekä sisällöltään että säilytysajaltaan rajattuja rekisteröinnin käyttötarkoitukseen nähden. Niin ikään sääntelyssä tulee olla riittävät takeet, joilla estetään henkilötietojen lainvastainen käyttö. Perustuslakivaliokunnan mukaan ihmisoikeussopimuksen 8 artiklassa turvattujen oikeuksien rajoituksiin kohdistuva välttämättömyyden vaatimus edellyttää, että rajoitukselle on oltava painava yhteiskunnallinen tarve, puuttumisen ja tavoiteltavan hyväksytyn päämäärän tulee olla oikeassa suhteessa keskenään ja rajoitukselle on oltava asianmukaiset ja riittävät perustelut (PeVL 35/2018 vp).  

EU:n perusoikeuskirjan 7 artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Perusoikeuskirjan 8 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan. Tällaisten tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Perustuslakivaliokunta on pitänyt merkityksellisenä, että EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan. Perustuslakivaliokunta on painottanut, että EU:n henkilötietojen käsittelyä koskevaa lainsäädäntöä sovellettaessa on otettava huomioon mainitut perusoikeuskirjan artiklat kiinnittäen huomiota siihen, että EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä (PeVL 14/2018 vp, PeVL 21/2017 vp).  

Ehdotuksen mukaan pankki- ja maksutilien valvontajärjestelmään muodostettaisiin uusi toiminnallisuus, sähköinen saldo- ja tilitapahtumajärjestelmä, jonka avulla viranomaiset voisivat pyytää ja saada saldo- ja tilitapahtumia ja arvopapereita koskevia tietoja luotto- ja maksulaitoksilta sekä muilta ehdotetun 1 a §:n mukaisilta tiedonluovuttajilta. Ehdotetussa sääntelyssä on kyse tietojen välittämisestä ja luovuttamisesta teknisen rajapinnan avulla toimivaltaisille viranomaisille. Ehdotuksessa ei esitetä, että saldo- ja tilitapahtumat tallennettaisiin uuteen tietokantaan, vaan tarkoitus on ainoastaan välittää ja luovuttaa tarkasti yksilöityjä ja rajattuja tietoja tiedonluovuttajien tietokannasta toimivaltaiselle viranomaiselle pankki- ja maksutilien valvontajärjestelmän avulla. Viranomaisen oikeus saada tietoja saldo- ja tilitapahtumajärjestelmästä perustuisi muussa lainsäädännössä olevaan tiedonsaantioikeuteen. Lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla (PeVL 12/2002 vp, s. 5). Perustuslakivaliokunta on katsonut, että on tarpeellista asettaa tietoja pyytävälle etukäteen vaatimus esittää selvitys siitä, että tietojen suojauksesta huolehditaan asianmukaisesti ennen teknisen käyttöyhteyden avaamista. Perustuslakivaliokunta on pitänyt vaatimusta tarpeellisena muun muassa siksi, että henkilörekisterin pitäjä voi toimia henkilötietolain 32 §:ään perustuvien velvoitteidensa mukaisesti. Perustuslakivaliokunta on kuitenkin todennut, että huomattava osa tietojen saamiseen ja luovuttamiseen kytkeytyvistä seikoista mukaan luettuna viime kädessä niiden taustalla olevien säännösten tulkitseminen voi jäädä merkittävästi riippumaan osapuolten välisistä käytänteistä. Kysymys on esimerkiksi siitä, millä tavoin tietojensaantioikeuden ulkopuolella lain mukaan olevat seikat todella jäävät luovuttamatta teknisessä käyttöyhteydessä ja miten tällöin eri yksittäistapauksissa todennetaan laissa mahdollisesti edellytetyn tietojen välttämättömyyskriteerin tai muun tarkoitusmääreen toteutuminen. Myös vastuukysymykset saattavat olla ongelmallisia (PeVL 14/2002 vp). 

Koska ehdotettava sähköinen tietojen luovuttaminen tapahtuisi yksityiseltä toimijalta viranomaiselle, julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 22 tai 24 § eivät tule sovellettavaksi. Lisäksi kyseessä olisi arkaluonteisten tietojen käsittely, joten tietojen luovutustavasta tulee säätää erikseen ja samalla tarkkarajaisesti rajata, mitä tietoja sen avulla olisi saada ja mihin tarkoituksiin. Oikeuskanslerinvirasto on HE 163/2021 vp koskevassa lausunnossaan (OKV/412/21/2021) todennut, että ”koostavan sovelluksen käyttäminen jo sinällään tarkoittaa syvempää kajoamista suojattuihin oikeuksiin ja ilmeisesti myös sitä, että kasvavan henkilöjoukon yksityiselämän ja henkilötietojen suojaan kajottaisiin kiihtyvällä tahdilla.” Saldo- ja tilitapahtumatietojen kyselymahdollisuuden tuominen pankki- ja maksutilien valvontajärjestelmän piiriin lisäisi järjestelmässä käsiteltävien henkilötietojen määrää. Vaikka kyse olisi tietojen välittämisestä ja luovuttamisesta eikä tietojen säilyttämisestä, järjestelmään liittyvä henkilötietojen käsittely tarkoittaisi laajamittaista henkilötietojen käsittelyä, jolla voi olla merkittäviä vaikutuksia luonnolliselle henkilölle ottaen huomioon, että tietoja käytettäisiin henkilöön liittyvien viranomaistehtävien hoitamiseen. Vaikka järjestelmän käytön takana olevat viranomaisen tietojensaantioikeudet eivät muutu, tietojen uudenlainen käsittely tietojärjestelmässä laajentaa oikeudellisesti tietojen käsittelyä. Ehdotetulla esityksellä on siten merkittäviä tosiasiallisia ja oikeudellisia perusoikeuksia rajoittavia vaikutuksia henkilötietojen ja yksityiselämän suojaan.  

Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (PeVL 42/2016 vp, s. 2–3, PeVL 14/2018 vp, s. 5 ja siinä viitatut lausunnot). Rajoituksia on arvioitava erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden kannalta (PeVL 29/2016 vp, s. 4–5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp) Järjestelmästä pyydettävien tutkittavan kohteen tilitapahtumatietoihin voi sisältyä myös tutkinnan ulkopuolisten henkilöiden tietoja. Henkilön siirtäessä tai vastaanottaessa rahaa toiselta henkilöltä tilitapahtumatiedoista väistämättä ilmenee myös näiden henkilötietoja kuten henkilön tilinumero ja henkilön nimi. Kyse on yhtäältä perustuslain 10 §:n yksityiselämän suojaan kuuluvista henkilötiedoista. Siten ehdotuksessa on kyse myös tietopyynnön kohteen lisäksi ulkopuolisten henkilöiden perusoikeusrajoituksesta, koska ulkopuolisilla henkilöillä ei olisi tietoa siitä, että niiden henkilötietoja käsitellään. Tietopyyntöä koskevan henkilön tilitapahtumatietojen käsittely ei olisi mahdollista ilman, että viranomainen joutuisi käsittelemään myös mahdollisten ulkopuolisten henkilöiden tietoja. Ihmisten maksuliikenne on yhä enemmän erilaisten mobiilisovellusten ja muiden nopeiden rahansiirtotapojen kautta yhteydessä muihin ihmisiin. Rahansiirtoja hoidetaan pääosin sähköisellä tavalla käteisen käytön vähennyttyä merkittävästi. Siten henkilön tilitapahtumista ilmenee hyvin todennäköisesti muille ihmisille tai muilta ihmisiltä saatuja suorituksia. Yksittäisiä ulkopuolisia henkilöitä koskevia tilitapahtumia ei olisi mahdollista rajata pois tietosisällöstä, koska ne olisivat osa tietopyynnön kohteen tilitapahtumia, ja on etukäteen mahdotonta arvioida, sisältyisikö noihin ulkopuolisia henkilöitä koskeviin tilitapahtumiin sellaisia tietoja, jotka olisivat merkityksellisiä esimerkiksi poliisin rikostutkinnassa selvitettäessä varojen alkuperää tai niiden siirtämistä.  

Vaikka ulkopuolisten henkilöiden tietojen päätyminen viranomaiskäsittelyn kohteeksi on väistämätöntä ehdotetussa järjestelmässä, kuten nykyisessäkin tilitapahtumatietojen viranomaiskäsittelyssä, on huomattava, että varsinaisen tietopyynnön kohteen tilitapahtumatietojen käsittelyn yhteydessä saatavat yksittäiset tiedot muista henkilöistä eivät vielä mahdollista kattavan kuvan rakentamista näistä tutkinnan ulkopuolisista henkilöistä. Yksittäisistä rahansiirroista ei lähtökohtaisesti ilmene merkittävällä tavalla tietoa ulkopuolisen henkilön yksityiselämästä, saati näiden erityisistä henkilötiedoista. EUT on esimerkiksi tuomiossa C-61/22, RL vs. Landeshauptstadt Wiesbaden todennut, että yksittäisen sormenjälkien antamat tiedot eivät EUT:n mukaan yksinään mahdollista kuvan saamista asianomaisten henkilöiden yksityis- ja perhe-elämästä toisin kuin tuomiossa C-817/19 käsitellyt matkustajarekisteritiedot. Siten ulkopuolisen henkilön tietojen käsittelyä ei voi pitää samantasoisena yksilön perusoikeuksien rajoituksena kuin varsinaisen tietopyynnön kohteen henkilötietojen laajamittaisempaa käsittelyä, joten perusoikeuden rajoittamista ulkopuolisten osalta voidaan pitää perusteltuna ottaen huomioon viranomaistehtävän laissa säädetyn tarkoituksen saavuttamisen ja käsittelyn välttämättömyyden sekä tietopyynnön teolle asetetut vaatimuksen huomioiden.  

Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suoja tulee suhteuttaa toisiin perus- ja ihmisoikeuksiin sekä muihin painaviin yhteiskunnallisiin intresseihin, kuten esimerkiksi yleiseen turvallisuuteen liittyviin intresseihin, jotka voivat ääritapauksessa palautua henkilökohtaisen turvallisuuden perusoikeuteen (PeVL 5/1999 vp). Lainsäätäjän tulee turvata yksityiselämän ja henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Perustuslakivaliokunta on käytännössään kiinnittänyt erityistä huomiota perustuslain 12 §:n 2 momentissa turvatun asiakirjajulkisuuden suhteeseen yksityiselämän ja henkilötietojen suojaan (ks. esimerkiksi PeVL 43/1998 vp ja PeVL 60/2017 vp). Tällainen toisen perusoikeuden edistäminen on muodostanut sellaisen välttämättömän syyn, jonka vuoksi viranomaisen hallussa olevien asiakirjojen julkisuutta on ollut mahdollista perustuslain 12 §:n 2 momentin nojalla lailla erikseen rajoittaa (PeVL 2/2008 vp ja PeVL 40/2005 vp). Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden. Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (PeVL 54/2014 vp ja PeVL 10/2014 vp).  

Kun viranomainen suorittaa erilaisia valvonta- tai tutkintatehtäviä, myös ulkopuoliset voivat joutua viranomaistoiminnan osallisiksi. Tällainen tilanne muodostuu konkreettisesti esimerkiksi poliisin suorittaessa tila- tai paikkatutkintaa tai esimerkiksi telekuuntelua. Tämä ilmenee myös muualla lainsäädännössä säädettyyn käytäntöön ulkopuolisten henkilöiden tietojen käsittelystä. Esimerkiksi poliisilain 5 a luvun 47 §:n, salaisten tiedonhankintakeinojen ilmoittamiseen liittyvässä poliisilain 5 luvun 58 §:n ja pakkokeinolain 5 luvun 10 §:n perusteluissa on korostettu, että vaikka ulkopuolisetkin henkilöt olisivat joutuneet toimenpiteen kohteeksi, niihin ei ulotettaisi laissa säädettyä ilmoitusvelvollisuutta. Silloin kun tilitapahtumatiedot koskevat tutkinnan ulkopuolisten henkilöiden osalta pääosin pistemäisten tietojen paljastumista, on johdonmukaista, ettei edellä mainitun lainsäädännön tavoin saldo- ja tilitapahtumajärjestelmän osalta ulkopuolisten henkilötietojen käsittelyä pidettäisi epäsuhtaisena perusoikeusrajoituksena. Juuri ulkopuolisille henkilöille kohdistuvat tilitapahtumat voivat erityisesti rikostentorjunnassa olla ratkaisevan tärkeitä. Ottaen huomioon lailla säätämisen vaatimuksen ja täsmällisen sääntelyn, ulkopuolisten henkilöiden tietojenkäsittelyä voidaan perustuslakivaliokunnan lausuntokäytäntö huomioiden pitää välttämättömänä, hyväksyttävänä ja oikeasuhtainen perusoikeusrajoituksena viranomaisten tehtäviin liittyviin tavoitteisiin nähden.  

Perustuslakivaliokunnan mukaan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan (PeVL 14/2018 vp, s. 7). Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että tällainen arvio on mahdollinen vain, jos hallituksen esityksessä eritellään riittävällä seikkaperäisyydellä ne syyt, joiden vuoksi henkilötietojen käsittely katsotaan lakiehdotuksessa välttämättömäksi. Valiokunta ei ole pitänyt riittävänä johtopäätöksenomaisia toteamuksia siitä, että ehdotettu laintasoinen sääntely on täsmällistä ja tarkkarajaista sekä perusoikeusjärjestelmän kokonaisuuden kannalta hyväksyttävää ja että ehdotetut muutokset ovat oikeasuhtaisia suhteessa niiden käyttötarkoitukseen eikä tavoitetta ole saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin, mikäli säätämisjärjestysperusteluissa ei ole kuitenkaan lainkaan täsmennetty niitä perusteita, joiden valossa uusia valtuuksia henkilötietojen käsittelyyn voitaisiin pitää perustuslain näkökulmasta hyväksyttävään syyhyn perustuvina ja oikeasuhtaisina (PeVL 38/2016 vp, s. 3). Valiokunta on painottanut, että tällainen puute lakiehdotuksen perusteluissa voi äärimmillään johtaa siihen, että lakiehdotuksen arvioidaan olevan asianmukaisesti perustelematta jääneiltä osiltaan perustuslain vastainen (ks. esim. PeVL 38/2016 vp, s. 3, PeVL 9/2016 vp, s. 6 ja PeVL 19/1998 vp, s. 3—4). 

Esityksessä ehdotetaan henkilötietojen käsittelyä koskevaa sääntelyä, joka annettaisiin yleisen tietosuoja-asetuksen liikkumavaran puitteissa huomioiden EU:n perussopimukset ja EUT:n oikeuskäytännön. Ehdotettuja säännöksiä arvioidaan seuraavissa jaksoissa tarkemmin suhteessa EU:n tietosuoja-asetukseen ja lailla säätämisen vaatimukseen (jakso 12.1.1), tietosuoja-asetuksen kansalliseen liikkumavaraan ja erityisesti sen käyttötarkoitussidonnaisuuden periaatteeseen (jakso 12.1.2), erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyedellytyksiin (jakso 12.1.3) sekä rekisteröidyn oikeusturvaan (jakso 12.1.4). Esityksen arvioituja vaikutuksia yksityiselämän ja henkilötietojen suojaan käsitellään myös edellä jaksossa 4.3.1. 

12.2  Säätämisjärjestyksen arviointi

Yhteenvetona todetaan, että saldo- ja tilitapahtumakyselyiden välittäminen ja näiden tietojen saaminen pankki- ja maksutilien valvontajärjestelmän kautta esitetyille viranomaisille perustuisi kyseisten viranomaisten voimassa olevassa lainsäädännössä säädettyihin toimivaltuuksiin saada saldo- ja tilitapahtumatietoja. Liittämällä saldo- ja tilitapahtumakyselyt osaksi pankki- ja maksutilien valvontajärjestelmää tulee kuitenkin säätää erillisestä tiedonvälitystavasta eli keskitetystä sähköisestä saldo- ja tilitapahtumajärjestelmästä, joka poikkeaa nykyisen pankki- ja maksutilien valvontajärjestelmän viidennen rahanpesudirektiivin mukaisesta automatisoidusta mekanismista tietosuojasääntelyn ja perustuslain asettamien edellytysten osalta.  

Perustuslakivaliokunta on korostanut, että yksityiselämän suojan rajoituksella tulisi olla hyväksyttävä yhteiskunnallinen intressi ja rajoituksen tulisi olla oikeassa suhteessa tavoiteltuun päämäärään. Tämä merkitsee, että rajoitusten tulee olla välttämättömiä hyväksyttävän tarkoituksen saavuttamiseksi. Perusoikeuden rajoittaminen on sallittua ainoastaan, jos tavoite ei ole saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin. Rajoitus ei saa mennä pidemmälle kuin on perusteltua ottaen huomioon rajoituksen taustalla olevan yhteiskunnallisen intressin painavuus suhteessa rajoitettavaan oikeushyvään (PeVM 25/1994 vp, ks. myös esimerkiksi PeVL 56/2014 vp ja PeVL 18/2013 vp).  

Esityksen valmistelussa on arvioitu, että ehdotettu henkilötietojen käsittelyä ja salassapitoa koskeva sääntely ei merkitse pidemmälle menevää perusoikeuksien rajoitusta kuin on perusteltua, ottaen huomioon ehdotusten taustalla olevien tavoitteiden painavuus suhteessa rajoitettavaan perusoikeuteen. Tavoiteltavia hyötyjä ei ole mahdollista saavuttaa ilman uudesta keskitetystä järjestelmästä aiheutuvia luonnollisten henkilöiden yksityiselämän suojaan kohdistuvia rajoituksia. Yksityiselämän suojaa ei rajoitettaisi enempää kuin on tarpeen saldo- ja tilitapahtumajärjestelmän käyttötarkoituksen kannalta. Ottaen huomioon saldo- ja tilitapahtumia koskevien tietojen käsittelyn luonteen ja vaikutukset sekä tällaiseen käsittelyyn liittyvät riskit, ehdotetun kaltaista jaksoissa 12.1-12.1.4 kuvattua yksityiskohtaista ja tarkkarajaista sääntelyä voidaan kuitenkin pitää välttämättömänä, hyväksyttävänä ja oikeasuhtaisena toimenpiteenä esityksen tavoitteiden saavuttamiseksi.  

Edellä todettu huomioon ottaen esityksessä ehdotetun sääntelyn arvioidaan täyttävän perustuslain 10 §:stä seuraavat vaatimukset ja se voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Esitetty sääntely on lisäksi yhdenmukainen yleisen tietosuoja-asetuksen sekä EU:n perusoikeuskirjan 7 ja 8 artiklojen ja Euroopan ihmisoikeussopimuksen 8 artiklan sekä niiden soveltamiskäytännön mukaista.  

Koska esitykseen sisältyy perustuslain 10 §:n yksityisyyden suojaan kuuluvien arkaluonteisten henkilötietojen käsittelyä sekä merkittäviä tosiasiallisia ja oikeudellisia perusoikeuksia rajoittavia vaikutuksia henkilötietojen suojaan, hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon. Lausuntoa pidetään tarpeellisena myös siksi, että hallituksen esityksessä ehdotetaan siinä perustellulla tavalla sääntelyä, joka poikkeaa perustuslakivaliokunnan vakiintuneesta käytännöstä koskien henkilötietojen käsittelyn käyttötarkoitussidonnaisuutta ja sitä, että alkuperäiseen käyttötarkoitukseen liittymätön henkilörekisterin tietojen käyttö ei saisi muuttua pääasialliseksi tai merkittäväksi toiminnaksi rekisteröityjen tietojen alkuperäiseen käyttöön verrattuna. Lisäksi valiokunnan lausunto on tarpeen sen vuoksi, että ehdotetussa sääntelyssä on kysymys pankki- ja maksutilien valvontajärjestelmän tietosisällön laajentamisesta kansalliseen liikkumavaraan ja harkintaan perustuen verrattuna siihen, mitä Euroopan unionin oikeus edellyttää.