Yleistä
Ehdotetulla lainsäädännöllä saatetaan voimaan Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1153 säännöistä, joilla helpotetaan rahoitus- ja muiden tietojen käyttöä tiettyjen rikosten ennalta estämistä, paljastamista, tutkimista tai niihin liittyviä syytetoimia varten, ja neuvoston päätöksen 2000/642/YOS kumoamisesta (jäljempänä rahoitustietodirektiivi). Samalla täydennetään Euroopan parlamentin ja neuvoston direktiivin (EU) 2018/843, rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen annetun direktiivin (EU) 2015/849 ja direktiivien 2009/138/EY ja 2013/36/EU muuttamisesta (jäljempänä viides rahanpesudirektiivi) täytäntöönpanoa. Lisäksi esitetään muuta täydentävää sääntelyä kansallisten muutostarpeiden vuoksi.
Rahoitustietodirektiivin mukaisesti laissa ehdotetaan niiden viranomaisten nimeämistä, joilla on pääsy pankki- ja maksutilien valvontajärjestelmään direktiivin tarkoittamalla tavalla. Lisäksi rahoitustietodirektiivin edellyttämällä tavalla laajennetaan rahanpesun selvittelykeskuksen oikeutta luovuttaa tietoja Europol-asetuksen liitteen I mukaisten vakavien rikosten estämiseksi, paljastamiseksi ja selvittämiseksi.
Kansallisena laajennuksena pankki- ja maksutilien valvontajärjestelmän käyttämiseen oikeutettujen viranomaisten joukkoa laajennetaan nykyisestä. Lisäksi esityksessä ehdotetaan pankki- ja maksutilien valvontajärjestelmän yhteyteen rakennettavaa teknistä ratkaisua, koostavaa sovellusta, jonka avulla voidaan luovuttaa tietoja toimivaltaisille viranomaisille pankki- ja maksutilien valvontajärjestelmästä. Hallintovaliokunta yhtyy hallituksen perusteluissa esitettyyn näkemykseen, jonka mukaan koostava sovellus vastaa paremmin viidennen rahanpesudirektiivin vaatimusta keskitetystä tiedonhakujärjestelmästä. Samalla valiokunta tähdentää, että pankkien ja asiakkaiden hallinnollinen taakka ei saa kuitenkaan lisääntyä.
Hallintovaliokunta on saanut esityksestä lausunnot perustuslakivaliokunnalta (PeVL 10/2022 vp) ja talousvaliokunnalta (TaVL 5/2022 vp) ja viittaa näiltä osin jäljempänä esitettyyn. Hallituksen esityksestä ilmenevistä syistä ja saamansa selvityksen perusteella hallintovaliokunta pitää esityksen tavoitteita kannatettavina. Hallintovaliokunta puoltaa lakiehdotusten hyväksymistä seuraavin huomautuksin ja muutosehdotuksin.
Laajennukset pankki- ja maksutilien valvontajärjestelmää käyttäviin viranomaisiin
Esityksessä ehdotetaan, että pankki- ja maksutilien valvontajärjestelmästä annetussa laissa säädettyjen voimassa olevien pääsyoikeuksien lisäksi Verohallinnolla, Tullilla, Ulosottolaitoksella, poliisilla, Rajavartiolaitoksella, Puolustusvoimilla ja Finanssivalvonnalla olisi pääsy pankki- ja maksutilien valvontajärjestelmään. Näille viranomaisille ei esitetä uusia toimivaltuuksia pankki- ja maksutilitietoihin pääsyn osalta, vaan pääsy perustuu voimassa olevan lainsäädännön toimivaltuuksiin. Esitys laajentaa niitä käyttötarkoituksia, joita varten pankki- ja maksutilien valvontajärjestelmää voidaan käyttää, sillä järjestelmää voidaan tällä hetkellä käyttää direktiivien mukaan vain, jos se on välttämätöntä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi. Valiokunta katsoo, että esityksen perusteluissa on kattavasti avattu sitä, miltä osin ehdotettava sääntely johtuu direktiivien täytäntöönpanosta ja mikä taas kansallisista tarpeista.
Viides rahanpesudirektiivi ja rahoitustietodirektiivi ovat niin sanottuja vähimmäis- eli minimidirektiivejä, jolloin direktiivissä tai sen säännöksessä säädetään Euroopan unionin tasolla noudatettavasta vähimmäistasosta eli minimitasosta. Tällöin kansallisesti pidemmälle menevät säännökset ovat mahdollisia. Jäsenvaltiot voivat siten antaa direktiivejä pidemmälle menevää sääntelyä, kunhan sääntely täyttää esimerkiksi oikeasuhtaisuuden ja asianmukaisuuden edellytykset.
Hallintovaliokunta toteaa, että hallituksen esityksessä on kuvattu varsin kattavasti, mihin tarkoituksiin viranomaiset pyytävät pankkitilitietoja ja mihin tarkoituksiin ne pyytäisivät tietoja jatkossa pankki- ja maksutilien valvontajärjestelmän kautta. Hallintovaliokunta pitää myös perusteltuna, että tietoihin pääsyä rajaa toimivaltaisten viranomaisten osalta välttämättömyysedellytys.
Talousvaliokunta on esityksestä antamassaan lausunnossa (TaVL 5/2022 vp) huomauttanut, että pankki- ja maksutilitiedot tulisi saada kulkemaan automatisoitujen mekanismien kautta myös kansainvälistä verotuksen tietojenvaihtoa silmällä pitäen. Esitetyt muutokset pankki- ja maksutilien valvontajärjestelmän käytettävyydelle eivät sen mukaan näyttäisi olevan riittäviä muun muassa direktiivin (EU) 2011/16 (hallinnollinen yhteistyö verotuksen alalla) soveltamisedellytysten kannalta. Hallintovaliokunta yhtyy talousvaliokunnan näkemykseen ja ehdottaa esityksen 3 §:n 1 momentin 2 kohdan täydentämistä.
Koostava sovellus osana pankki- ja maksutilien valvontajärjestelmää
Hallituksen esityksen mukaan koostava sovellus on Tullin ylläpitämä automatisoitu tekninen ratkaisu, jonka avulla se välittää tietoja pankki- ja maksutilien valvontajärjestelmästä toimivaltaisille viranomaisille. Kuten edellä on todettu, keskitetty automatisoitu ratkaisu vastaa paremmin viidennen rahanpesudirektiivin vaatimusta keskitetystä tiedonhakujärjestelmästä kuin nykyinen hajautettu tiedonhakujärjestelmä.
Valiokunta toteaa, että koostavaa sovellusta koskevalla ehdotuksella on myös laajempaa merkitystä, sillä komission uudempi ehdotus Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/1153 muuttamisesta siltä osin kuin kyse on toimivaltaisten viranomaisten pääsystä keskitettyihin pankkitilirekistereihin keskitetyn yhteyspisteen kautta tulee lisäämään jäsenvaltioiden velvoitteita, jotka liittyvät pankki- ja maksutilien valvontajärjestelmässä olevien tietojen välittämiseen muiden jäsenvaltioiden viranomaisille. Hallintovaliokunta on pitänyt ehdotuksen sisältämästä valtioneuvoston kirjelmästä antamassaan lausunnossa (HaVL 7/2022 vp — U 62/2021 vp) ehdotettua toimivaltaisten viranomaisten pääsyä komission kehittämään ja ylläpitämään EU-jäsenvaltioiden keskitettyyn järjestelmään tärkeänä edistysaskeleena rikoshyödyn jäljittämisessä. Ilman esitettyä koostavaa sovellusta Suomella ei kansallisesti ole viidennen rahanpesudirektiivin edellyttämää pankki- ja maksutileihin liittyvään tunnistautumiseen tarkoitettua keskitettyä automatisoitua mekanismia.
Valiokunta toteaa, että niin koostavaa sovellusta kuin koko pankki- ja maksutilien valvontajärjestelmää koskevan sääntelyn on täytettävä tietosuoja- ja perusoikeussääntelyn vaatimukset. Tietosuoja-asetuksen 25 artikla koskee sisäänrakennettua ja oletusarvoista tietosuojaa, eli rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Teknisten käyttöyhteyksien on sisällettävä asianmukaiset kontrollit, joilla rajoitetaan ja kontrolloidaan tietojen käsittelyä, kuten tietojen luovuttamista. Valiokunta katsoo, että hallituksen esityksessä on asianmukaisesti otettu huomioon henkilötietojen suojaan ja henkilötietojen käsittelyn riskeihin liittyvät näkökohdat.
Hallintovaliokunnan asiantuntijalausunnoissa on käynyt ilmi, että Tullin rooli koostavan sovelluksen rekisterinpitäjänä ja toisaalta koostavan sovelluksen liittyminen pankki- ja maksutilien valvontajärjestelmään ovat jääneet esityksessä epäselviksi. Valiokunta katsoo, että lainvalmistelussa ei ole riittävän tarkkarajaisesti esitetty, että Tullin ylläpitämä koostava sovellus ei ole ainoastaan automatisoitu mekanismi, joka välittää viranomaisen tietopyynnöt pankki- ja maksutilien valvontajärjestelmälle, vaan että se on osa pankki- ja maksutilien valvontajärjestelmää ja yksi rekisterikokonaisuus. Hallintovaliokunta katsoo, että koostava sovellus tulee tässä yhteydessä lisätä voimassa olevan pankki- ja maksutilien valvontajärjestelmästä annetun lain 1 §:n 1 momenttiin jäljempänä yksityiskohtaisissa perusteluissa kuvatulla tavalla. Samalla Tullin rooli koostavan sovelluksen rekisterinpitäjänä Euroopan unionin tietosuojalainsäädännön ja kansallisen lainsäädännön mukaisine rekisterinpitäjän velvollisuuksineen ja vastuineen selkeytyy.
Pankki- ja maksutilien valvontajärjestelmän tietosisältö
Hallintovaliokunta toteaa, että hallituksen esityksen ja sen taustalla olevien direktiivien tavoitteena on rahanpesun ja terrorismin rahoittamisen estäminen helpottamalla toimivaltaisten viranomaisten rahoitustietojen eli pankki- ja maksutilitietojen saamista vakavien rikosten ennalta ehkäisemiseksi, paljastamiseksi, tutkimiseksi tai niihin liittyviä syytetoimia varten. Valiokunta pitää tavoitetta tärkeänä ja toteaa, että tavoitteeseen pääsemiseksi on tarpeen käyttää tehokkaita keinoja. Hallituksen esityksestä ja valiokunnan saaman asiantuntijaselvityksen perusteella on käynyt myös ilmi, että viidennen rahanpesudirektiivin täytäntöönpanemiseen liittynyt hajautettu pankki- ja maksutilien valvontajärjestelmä on jäänyt erittäin vähäiselle käytölle.
Valiokunta katsoo, että hallituksen esitykseen sisältyvillä muutoksilla ei päästä riittävästi edellä mainittuihin tavoitteisiin. Valiokunta katsoo, että kun tietojärjestelmän rakentamisen tavoitteena on erityisesti rikoshyödyn poisottamisen sekä rikosten ennalta estämisen, paljastamisen ja selvittämisen tehostaminen, on kattavampien tietojen, tilitapahtumatietojen, lisääminen järjestelmän tietosisältöön välttämätöntä.
Pankki- ja maksutilien valvontajärjestelmää koskevan lain aiemmassa eduskuntakäsittelyssä (HE 167/2018 vp — TaVM 43/2018 vp — PeVL 48/2018 vp) tilitapahtumatiedot on luonnehdittu yksityiselämän suojan ydinalueelle kuuluviin arkaluonteisiin tietoihin. Perustuslakivaliokunta piti erityisen valitettavana, että hallituksen esityksessä selostettiin tuolloin kansallisen liikkumavaran alaa puutteellisesti. Valiokunnan mukaan ehdotetun kaltainen sääntely, jolla olisi mahdollistettu yksityiselämän suojan ydinalueelle ulottuva arkaluonteisten henkilötietojen käsittely salassapitovelvollisuuden estämättä, olisi ollut valmisteltava, perusteltava ja laadittava sisällöltään erityisen huolellisesti perustuslain asettamat vaatimukset huomioiden (PeVL 48/2018 vp, s. 7). Perustuslakivaliokunta on toistanut tämän käsiteltävänä olevan lakimuutosehdotuksen yhteydessä (PeVL 10/2022 vp).
Talousvaliokunta on katsonut lausunnossaan (TaVL 5/2022 vp), että ehdotettu lainsäädäntö ei ratkaise nykytilan ongelmaa viranomaisten menettelyjen hajanaisuudesta ja manuaalisuudesta, kun kysymys on arkaluonteisten, yksityisyyden suojan piiriin kuuluvista tilitapahtumatiedoista. Valiokunta pitää perusteltuna kantaa, jonka mukaan tietojen käsittelyn manuaalisuus ei ole hyvän tietosuojan tason tae. Arkaluontoisiakin tietoja voidaan käsitellä automatisoidusti, kun edellytetään, että järjestelmien käyttöoikeuksien hallinta ja tietoturva on asianmukaisesti ratkaistu. Olennaista on, että tietojen pyytämisestä ja katselusta jää sellaiset lokimerkinnät, ettei niitä voi jälkikäteen muuttaa.
Talousvaliokunnan lausunnossa todetaan, että uuden järjestelmän tulisi tehostaa, tarkentaa ja kaventaa tietopyyntöjä ja parantaa kyselyjen seurattavuutta. Uudessa järjestelmässä tulisi hyödyntää kehittynyttä teknologiaa (esimerkiksi lohkoketjuteknologiaa) edellä sanottujen tavoitteiden saavuttamiseksi. Vain tällä tavoin voidaan tavoittaa tasapaino viranomaisten tiedontarpeen ja finanssilaitosten asiakkaiden yksityisyydensuojan välillä. Tietojärjestelmässä voidaan rajata tarkasti, ketkä voivat nähdä välitetyn tiedon sisällön, sekä todentaa myöhemmin, ketkä ovat tietoja katselleet. Huomionarvoista on myös, että kun viranomainen tekisi kyselyn Tullin koostavan sovelluksen kautta, tieto kysyvästä viranomaisesta ja kyselyn perusteesta jäisi sovellukseen eikä sitä välitettäisi eteenpäin. Tämä vähentäisi mahdollisuutta käyttää väärin tietoa siitä, mikä viranomainen on tietoja pyytänyt.
Hallintovaliokunta yhtyy talousvaliokunnan näkemyksiin ja pitää välttämättömänä, että tilitapahtumatietojen tuominen järjestelmän piiriin otetaan nopealla aikataululla valmisteltavaksi, sillä nykyinen järjestelmä aiheuttaa epätietoisuutta ja päällekkäisiä kustannuksia sekä viranomaisissa että yksityisellä sektorilla. Valiokunta katsoo, että järjestely, jossa tilinumerot on viety monimutkaisen sääntelyn ja tietosuojan taakse mutta joka ei kata tilitapahtumatietojen käsittelyä, ei ole yksilönsuojan, tietosuojan eikä rikoshyödyn jäljittämisen ja poisottamisen kannalta eikä myöskään järjestelmästä aiheutuvat kustannukset huomioiden uskottava tai kestävä ratkaisu.