1.1
Lagen om Finansinspektionen
20 b §.Rätt att få uppgifter av myndigheter och aktörer som sköter offentliga uppdrag. Det föreslås en ny 20 b § i lagen. I 1 mom. föreskrivs att Finansinspektionen har rätt att av myndigheter och aktörer som sköter offentliga uppdrag få uppgifter om hur tillsynsobjekt, andra finansmarknadsaktörer och personer som Finansinspektionen med stöd av sina uppgifter enligt 3 § utövar tillsyn över sköter sina registrerings-, rapporterings- och betalningsåtaganden i anslutning till skatter, lagstadgade pensions-, olycksfalls- och arbetslöshetsförsäkringsavgifter samt avgifter som Tullen tar ut samt uppgifter om tillsynsobjektets verksamhet, ekonomi och kopplingar. Bestämmelser om ekonomiska verksamhetsförutsättningar för tillsynsobjekten finns ofta i speciallagar som reglerar verksamheten. Personer som Finansinspektionen med stöd av sina uppgifter enligt 3 § utövar tillsyn över kan vara fysiska eller juridiska personer. Exempelvis vid tillsyn som avser marknadsmissbruk, anmälan om betydande ägar- och röstandelar och skyldigheten att lämna erbjudande kan tillsynsåtgärderna även riktas mot enskilda placerare. De kopplingar som avses i momentet kan gälla personer som har en koppling till juridiska personer på det sätt som avses i 2 mom. eller fysiska personers kopplingar till olika juridiska personer.
Bestämmelsen syftar till att trygga Finansinspektionens rätt att av myndigheter och aktörer som sköter offentliga uppdrag få de uppgifter som Finansinspektionen behöver för att sköta sitt uppdrag. I momentet avsedda tillsynsobjekt, andra finansmarknadsaktörer och personer som Finansinspektionen med stöd av sina uppgifter enligt 3 § utövar tillsyn över har ofta en lagstadgad skyldighet att samla in och rapportera uppgifter till Finansinspektionen. Finansinspektionens tillsynsobjekt ska i första hand internt bedöma ledningens, ägarnas och de anställdas lämplighet, tillförlitlighet och anseende. Denna princip tillämpas vid beviljande av verksamhetstillstånd ända tills den auktoriserade verksamheten eventuellt upphör. Därför får Finansinspektionen med stöd av gällande reglering uppgifter av aktörerna för sin egen bedömning både i tillståndsfasen och medan verksamheten pågår.
Finansinspektionen bör vid behov ha möjlighet att effektivt utreda om de uppgifter som lämnats är korrekta. Vid komplicerade utredningar som gäller ägarkontroll bör de också kunna utreda företagskopplingar. Ett sätt att få uppgifter är att begära en fullgöranderapport som utarbetats av Enheten för utredning av grå ekonomi. Enligt förarbetena till lagen om Enheten för utredning av grå ekonomi (RP 163/2010 rd) ska enheten försäkra sig om att det vid överlämnandet av en fullgöranderapport inte avslöjas sådan information för den som har begärt utredningen som denne enligt lag inte har rätt att få. Om den som framställt begäran inte har rätt att använda uppgifterna ska utredningsenheten vägra att utarbeta en fullgöranderapport. I fullgöranderapporten ska Enheten för utredning av grå ekonomi beskriva hurdan verksamhet och ekonomi en organisation eller en organisationsanknuten person samt en organisation eller organisationsanknuten person med direkt eller indirekt koppling till de förstnämnda har och hur de fullgör sina skyldigheter i anknytning till skatter, lagstadgade pensionsförsäkrings-, olycksfallsförsäkrings- och arbetslöshetsförsäkringsavgifter och avgifter som Tullen tar ut.
Finansinspektionen har ett flertal lagstadgade uppdrag som anges i lagen om Finansinspektionen, flera speciallagar och EU-förordningar. Dessa författningar innehåller också bestämmelser om Finansinspektionens rätt att få uppgifter. Exempelvis i samband med beviljandet av verksamhetstillstånd och behandlingen av anmälningar om registrering av verksamhet samt kontinuerlig tillsyn ska Finansinspektionen enligt lagen bedöma tillförlitligheten, anseendet och lämpligheten hos sökandens eller tillsynsobjektets ledning och betydande ägare. Som ett led i denna bedömning kan Finansinspektionen i fortsättningen, utöver andra uppgifter såsom straff- och bötesregisteruppgifter, även få uppgifter om fullgörandet av skyldigheter som gäller skatter, lagstadgade pensionsförsäkrings-, olycksfallsförsäkrings- och arbetslöshetsförsäkringsavgifter eller avgifter som Tullen tar ut samt uppgifter om verksamhet och ekonomi. Avsikten är att rätten att få uppgifter ska tillgodoses med hjälp av den tjänst för fullgöranderapporter som drivs av Enheten för utredning av grå ekonomi.
I paragrafens 2 mom. anges de instanser som Finansinspektionen har rätt att få uppgifter om i det fall att tillsynsobjektet är en juridisk person. Då kan uppgifter begäras, förutom om den juridiska personen, också om verkställande direktören och dennes ställföreträdare, medlemmar och ersättare i styrelsen, förvaltningsrådet och jämförbara organ, ansvariga bolagsmän och andra som hör till den högsta ledningen, liksom om den som direkt eller indirekt innehar minst en tiondel av aktierna i ett aktiebolag eller den rösträtt som aktierna medför eller motsvarande ägande- eller bestämmanderätt i en annan sammanslutning.
Dessutom har Finansinspektionen rätt att få uppgifter om den ekonomiska ställningen och fullgörandet av skyldigheter i fråga om företag och sammanslutningar som har direkt eller indirekt koppling till tillsynsobjektet och dess ansvarspersoner. Momentet innehåller en hänvisning till 3 § i företags- och organisationsdatalagen (244/2001) som har en förteckning över de enheter, dvs. företag och sammanslutningar, som ska registreras i företags- och organisationsdatasystemet. I lagen om Enheten för utredning av grå ekonomi benämns dessa med termen organisation. Med ett företag eller en sammanslutning som har direkt koppling till ett företag eller en sammanslutning avses t.ex. ett aktiebolag som helt eller delvis äger företaget eller sammanslutningen eller ett aktiebolag som är bolagsman i ett öppet bolag.
Ett företag eller en sammanslutning som har en indirekt koppling till ett företag eller en sammanslutning avser t.ex. företag eller sammanslutningar som har koppling till företaget eller sammanslutningen via en ansvarig person eller ett annat företag eller en annan sammanslutning. Ett företag eller en sammanslutning som har en indirekt koppling till ett aktiebolag är t.ex. ett annat aktiebolag som uteslutande ägs av styrelsemedlemmarna i aktiebolaget i fråga eller ett systerbolag som ägs av moderbolaget. Med ett företag eller en sammanslutning som har en direkt koppling till en fysisk person avses ett företag eller en sammanslutning där personen är eller har varit ansvarig person. Ett företag eller en sammanslutning som har en indirekt koppling till en fysisk person avser ett företag eller en sammanslutning som har direkt eller indirekt koppling till personens direkta företags- eller sammanslutningskoppling, t.ex. ett moderbolag till vars dotterbolags styrelse personen hör.
I 3 mom. anges de syften för vilka Finansinspektionen har rätt att begära uppgifter. Finansinspektionen kan utnyttja t.ex. fullgöranderapporter för att utreda om ett tillsynsobjekt, någon annan finansmarknadsaktör eller person som Finansinspektionen med stöd av sina uppgifter enligt 3 § utövar tillsyn över samt deras ägare, styrelsemedlemmar, verkställande direktör eller anställda har den tillförlitlighet som lagen förutsätter, och dessutom även för sin marknadstillsyn, såsom tillsyn över marknadsmissbruk. Finansinspektionen kan för sin tillsyn t.ex. begära uppgifter om den närmaste kretsen kring fysiska personer och juridiska personer som står under dess tillsyn. Finansinspektionens rätt att få uppgifter grundar sig i synnerhet på Europaparlamentets och rådets förordning (EU) nr 596/2014 om marknadsmissbruk (marknadsmissbruksförordningen) och om upphävande av Europaparlamentets och rådets direktiv 2003/6/EG och kommissionens direktiv 2003/124/EG, 2003/125/EG och 2004/72/EG. Exempelvis vid tillsyn som gäller insiderhandel är det väsentligt att få uppgifter om ägarna till sammanslutningar som är föremål för en utredning. För närvarande är det besvärligt att få tillgång till ägaruppgifter om andra än listade sammanslutningar. Tillgång till uppgifter om den närmaste kretsens kopplingar behövs också vid tillsyn som gäller anmälan om betydande ägar- och röstandelar och skyldigheten att lämna erbjudande.
Finansinspektionen kan begära uppgifter även för att utföra sitt tillsynsuppdrag enligt penningtvättslagen och för att utreda tillförlitligheten hos uppgifter som gäller grundande av ett tillsynsobjekt eller dess ägarstruktur.
Enligt 3 § har Finansinspektionen bl.a. till uppgift att övervaka emissionen av och handeln med finansiella instrument. Föremål för denna tillsyn är alla sammanslutningar och fysiska personer som handlar med finansiella instrument. I 21 § föreskrivs om Finansinspektionens särskilda rätt att få uppgifter i anslutning till tillsynen över efterlevnaden av Europaparlamentets och rådets förordning (EU) 2016/1011 om index som används som referensvärden för finansiella instrument och finansiella avtal eller för att mäta investeringsfonders resultat, och om ändring av direktiven 2008/48/EG och 2014/17/EU och förordning (EU) 596/2014 (förordningen om referensvärden). Enligt 5 punkten har Finansinspektionen också rätt att få uppgifter om personer som avses i 21 §.
Enligt 6 punkten har Finansinspektionen rätt att få uppgifter för att övervaka att uppgiftsskyldigheten enligt värdepappersmarknadslagen (746/2012) fullgörs. Denna rätt gör det möjligt att få uppgifter bl.a. för tillsyn som gäller anmälan om betydande ägar- och röstandelar och skyldigheten att lämna erbjudande. Vidare ger 7 punkten Finansinspektionen möjlighet att mer allmänt få uppgifter som behövs för att trygga finansmarknadens stabilitet, placerar- och kundskyddet och de försäkrade förmånerna.
Enligt 4 mom. kan uppgifterna lämnas genom teknisk anslutning eller på något annat elektroniskt sätt. Uppgifterna ska lämnas avgiftsfritt. Finansinspektionen och Enheten för utredning av grå ekonomi bör uppdatera sina informationssystem för att möjliggöra en teknisk anslutning.
71 §.Rätt och skyldighet att lämna ut information. I 1 mom. 15 punkten görs en teknisk ändring. Momentets 16 punkt är ny och enligt den har Finansinspektionen rätt att på eget initiativ lämna ut sådana uppgifter till Skatteförvaltningen som Finansinspektionen har fått vid tillsynen över efterlevnaden av penningtvättslagen och som Skatteförvaltningen behöver vid sin tillsyn över fullgörandet av de skyldigheter som anges i 17 a—17 d § i lagen om beskattningsförfarande (1558/1995). I dessa bestämmelser föreskrivs om utomståendes allmänna skyldighet att lämna uppgifter med anledning av genomförandet av FATCA-avtalet eller med anledning av rådets direktiv 2011/16/EU om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EEG samt om finansiella instituts allmänna skyldighet att lämna uppgifter om finansiella konton och om avtal mellan Europeiska unionen och Andorra, Liechtenstein, Monaco, San Marino och Schweiz om utbyte av upplysningar om finansiella konton.
I direktivet DAC5 förutsätts det att lagstiftaren genom en uttrycklig bestämmelse säkerställer att skattemyndigheterna har tillgång till uppgifter om kundkontroll, uppgifter som omfattas av skyldigheten att bevara uppgifter och uppgifter om de så kallade verkliga förmånstagarna. Syftet är att säkerställa att informationsskyldigheten när det gäller beskattning fullgörs på tillbörligt sätt. Informationsutbytet mellan Skatteförvaltningen och Finansinspektionen har redan utökats genom en ändring (RP 154/2017 rd) av 18 och 20 § i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter (1346/1999).
När punkten tillämpas bör man beakta att Finansinspektionens möjligheter att lämna ut vissa handlingar eller uppgifter de facto kan begränsas av EU-lagstiftningen, t.ex. en EU-förordning som är direkt tillämplig i Finland. Även 71 § 5 mom. ska beaktas. Enligt det får Finansinspektionen inte vidarebefordra sekretessbelagd information som den fått av tillsynsmyndigheter eller andra myndigheter i andra stater eller vid inspektion i en annan stat, om inte den myndighet som har lämnat informationen eller den behöriga tillsynsmyndigheten i det land där inspektionen gjorts har gett sitt uttryckliga samtycke. Denna information får användas endast för att utföra uppgifter enligt denna lag eller för ändamål som samtycket gäller.
Till momentet fogas en ny 17 punkt med stöd av vilken Finansinspektionen kan lämna ut information till Verket för finansiell stabilitet när sådan information som kommit fram vid tillsynen över efterlevnaden av penningtvättslagen är av betydelse för verkets fullgörande av de skyldigheter i anslutning till utbetalning av insättningsgarantiersättningar som anges i 5 kap. i lagen om myndigheten för finansiell stabilitet. Om Finansinspektionen har uppgifter om att det i ett kreditinstitut finns insatta medel som används för penningtvätt eller finansiering av terrorism, kan Finansinspektionen lämna ut dessa uppgifter till Verket för finansiell stabilitet efter att verket har beslutat att betala ut ersättning för insättningar i kreditinstitutet ur insättningsgarantifonden. Bestämmelsen bidrar till att säkerställa att Verket för finansiell stabilitet inte på grund av bristfällig information betalar ut insättningsgarantiersättningar till ägare av insättningar enligt 1 kap. 3 § 1 mom. 12 punkten underpunkt f i lagen om myndigheten för finansiell stabilitet som inte är ersättningsberättigade.
1.5
Lagen om förhindrande av penningtvätt och av finansiering av terrorism
1 kap. Allmänna bestämmelser
6 §.Verkliga förmånstagare i utländska truster. Till 1 och 2 mom. fogas en hänvisning till juridiska konstruktioner som liknar truster. Exempel på sådana konstruktioner är Treuhand, fiducie, eller fideicomiso som förekommer i rättssystemen i Mellaneuropa. Ändringen grundar sig på FATF:s rekommendation 25 som förutom truster gäller juridiska konstruktioner med liknande struktur eller verksamhet.
3 kap. Kundkontroll
1 §.Kundkontroll och riskbaserad bedömning. Till 1 mom. fogas i enlighet med FATF:s rekommendation 10 en skyldighet enligt vilken den rapporteringsskyldiga ska bedöma om den behöver lämna en rapport om tvivelaktiga transaktioner om den inte kan etablera ett kundförhållande på grund av bristfälliga uppgifter om kundkontroll och kundidentifiering. Dessutom ska den rapporteringsskyldiga avbryta åtgärderna för kundkontroll om åtgärderna äventyrar lämnandet av rapporten om tvivelaktiga transaktioner. En sådan situation kan uppstå om insamlingen av uppgifter kan avslöja den rapporteringsskyldigas misstankar för kunden. En eventuell följd är också att kunden avbryter transaktionen och genomför den utanför det officiella betalningssystemet, eller att kunden på något annat sätt döljer sin verksamhet så att utredningen av transaktionen och spårandet av tillgångar försvåras under förundersökningen. Den rapporteringsskyldiga kan ofta fortsätta sina transaktioner med kunden efter att anmälan till centralen för utredning av penningtvätt har gjorts. Bestämmelser om den rätt som centralen för utredning av penningtvätt har att bestämma om avbrytande av en transaktion för viss tid finns i 6 § i lagen om centralen för utredning av penningtvätt.
Till 2 mom. fogas för tydlighetens skull ett omnämnande av att den riskbaserade bedömningen omfattar nya och befintliga kunder, länder och geografiska områden, produkter, tjänster och transaktioner samt distributionskanaler. Ett nytt föremål för bedömningen är tekniker. Exempelvis tekniska förändringar i fråga om betalningssätt kan påverka den rapporteringsskyldigas riskbedömning. Genom en förordning av statsrådet preciseras också i fråga om tekniken vilka riskfaktorer som ska beaktas. Ändringen har samband med FATF:s rekommendation 15 som gäller nya tekniker.
3 §.Uppgifter om kundkontroll och bevarande av uppgifterna. Paragrafens 1 mom. ändras så att den rapporteringsskyldiga ska ha aktuella och relevanta uppsättningar av alla handlingar och uppgifter som gäller kundkontroll. Enligt sjunde stycket led b i FATF:s rekommendation 10 ska det krävas att finansiella institut tillämpar ett fortlöpande due diligence-förfarande vid transaktioner, inklusive säkerställandet av att insamlade handlingar och data hålls aktuella och relevanta. Kravet på aktualitet och relevans gäller uppgifter som enligt den rapporteringsskyldigas riskbedömning behövs för kundkontrollen. Riskbedömningen av kunden kan variera under kundförhållandet och den påverkar också hur uppgifterna hålls aktuella.
Skyldigheten att bevara uppgifter avser handlingar som rör transaktioner (business correspondence) i enlighet med andra stycket i FATF:s rekommendation 11. Ändringen syftar till att säkerställa att särskilt uppgifter om kunder som förknippas med en hög risk för penningtvätt eller finansiering av terrorism bedöms tillräckligt ofta med avseende på aktualitet och tillräcklighet. När riskerna har bedömts på förhand är uppgifterna om kundförhållandet relevanta och behövliga både vid etableringen av kundförhållandet och medan det fortgår. Samtidigt förutsätter artikel 5.1 d i den allmänna dataskyddsförordningen att personuppgifterna ska vara korrekta och vid behov uppdaterade. Den personuppgiftsansvarige måste vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (”korrekthet”). Enligt artikel 5.1 c ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (”uppgiftsminimering”). Om exempelvis en i 2 mom. 7 punkten avsedd handling som använts för att kontrollera en kunds identitet har gått ut under kundförhållandet och kunden använder stark autentisering betyder kravet på aktuella och relevanta uppgifter inte att man måste kräva att kunden visar upp en ny identitetshandling för att kunna fortsätta kundförhållandet.
Till 2 mom. 1 punkten fogas ett omnämnande av att även adressuppgifter ska bevaras. De rapporteringsskyldiga har fått flera frågor om huruvida adressuppgifter ingår i de uppgifter som ska lämnas enligt momentet. För att klarlägga nuläget anges detta uttryckligen i momentet. Den rapporteringsskyldiga får förlita sig på uppgifter ur Befolkningsregistercentralens, Patent- och registerstyrelsens och andra myndigheters informationssystem eller, om adressen inte finns i dem, på uppgifter som kunden uppgett.
En ändring i 3 punkten görs så att även juridiska personers bolagsordning ska bevaras vid behov. Enligt nionde stycket i FATF:s rekommendation 10 ska det utöver namn och företagsform även bevaras ett ”proof of existence” om kunden. Bolagsordningen finns tillgänglig i handelsregistret, som förs av Patent- och registerstyrelsen. Den rapporteringsskyldiga ska göra en riskbaserad bedömning av huruvida bolagsordningen behövs för kundkontrollen.
I 6 punkten införs en skyldighet för den rapporteringsskyldiga att vid behov bevara uppgifter om kundens ägar- och kontrollstruktur. Ofta räcker det med att man enbart identifierar de verkliga förmånstagarna, och inga tilläggsutredningar om ägar- och kontrollstrukturen behövs. Om den verkliga förmånstagarens personbeteckning inte framgår av de tillgängliga handlingarna eller registeruppgifterna och om ingen oklarhet råder om den verkliga förmånstagarens identitet är förmånstagarens födelsedatum en tillräcklig uppgift. Ändringen motsvarar åttonde stycket i FATF:s rekommendation 10.
4 §.Inhämtande av uppgifter om kunder samt fortlöpande uppföljning och utredningsskyldighet. I 1 mom. konstateras uttryckligen att de rapporteringsskyldiga får utnyttja uppgifter från olika källor om kunderna eller deras verkliga förmånstagare. Uppgiftskällor kan t.ex. vara domstolsbeslut, uppgifter i medierna och uppgifter i myndighetsregister. De rapporteringsskyldiga ska dock fästa särskild vikt vid uppgiftskällans trovärdighet och tillförlitlighet. Om uppgifterna t.ex. grundar sig på sådant som framförts i offentligheten ska de rapporteringsskyldiga förhålla sig särskilt skeptiska till uppgifterna, eftersom det vanligen inte finns någon reell möjlighet att avgöra om källan är tillförlitlig. Man bör vara försiktig med att registrera uppgifter i t.ex. kundregister enbart på grund av rapportering i medierna. En anteckning i ett personuppgiftsregister bör inte enbart grunda sig på uppgifter i medierna. Bakom ändringen ligger Europeiska tillsynsmyndighetens gemensamma riktlinjer om de faktorer som ska beaktas i samband med de förenklade och skärpta åtgärder för kundkännedom som avses i artiklarna 17 och 18 i penningtvättsdirektivet (Joint Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849 on simplified and enhanced customer due diligence and the factors credit and financial institutions should consider when assessing the money laundering and terrorist financing risk associated with individual business relationships and occasional transactions, JC 2017 37, 26/06/2017).
Uppgifter kan samlas in för att upprätta och förvalta den riskbedömning som gäller kunderna, för att förhindra penningtvätt och finansiering av terrorism samt för att fullgöra den rapporteringsskyldighet och utredningsskyldighet som avses i denna lag. Momentet innehåller en informativ hänvisning till EU:s allmänna dataskyddsförordning och dataskyddslagen, i vilka det också föreskrivs om behandling av personuppgifter enligt detta moment.
5 §.Särskild identifieringsskyldighet i anslutning till försäkringsprodukter. Till 5 mom. fogas en bestämmelse om kreditinstituts och finansiella instituts uttryckliga skyldighet att bedöma behovet av att lämna en rapport om tvivelaktiga transaktioner. Ändringen grundar sig på fjärde stycket i FATF:s rekommendation 12.
7 §.Fullgörande av skyldigheter i fråga om kundkontroll för den rapporteringsskyldigas räkning. Till 5 mom. fogas en ny 4 punkt som motsvarar tredje stycket led c i FATF:s rekommendation 17. I momentets 2 och 3 punkt görs en lagteknisk ändring och 1 punkten motsvarar nuläget.
12 §.Skärpta åtgärder för kundkontroll vid korrespondentförbindelser. Paragrafens 1 mom. preciseras så att kreditinstitut och finansiella institut som inleder eller upprätthåller en korrespondentförbindelse, utöver det som redan nämns i paragrafen, ska ha tillräckliga insikter om den affärsverksamhet som den sammanslutning som är motpart bedriver.
Inga ändringar föreslås i 2 och 4 mom. Ordalydelsen i 3 mom. preciseras så att den motsvarar tredje stycket i FATF:s rekommendation 13.
Till paragrafen fogas ett nytt 5 mom. Det är fråga om skyldigheter i samband med payable-through-konton som kreditinstitut och finansiella institut ska säkerställa att motparten har fullgjort innan korrespondentförbindelsen inleds. Payable-through-konton används i korrespondentbankförbindelser så att kunderna i det kreditinstitut eller finansiella institut som är motpart använder ett konto i institutets namn för sina egna transaktioner i en annan stat. I momentet föreskrivs att det kreditinstitut eller finansiella institut som är motpart ska ha vidtagit åtgärder för kundkontroll med avseende på de kunder som har direkt tillgång till kreditinstitutets eller det finansiella institutets konto och att institutet ska säkerställa att det på begäran får tillgång till relevanta uppgifter som gäller denna kundkontroll. Ändringen motsvarar andra stycket i FATF:s rekommendation 13.
4 kap. Anmälningsskyldighet, tystnadsplikt och avbrytande av transaktioner
1 §.Skyldighet att rapportera tvivelaktiga transaktioner. Enligt 1 mom. ska tvivelaktiga transaktioner rapporteras oavsett om en kundrelation har etablerats eller avböjts eller om transaktionen har utförts, avbrutits eller avböjts. Ändringen hänför sig till den ändring som föreslås i 3 kap. 1 § och FATF:s rekommendation 10. I den finska språkdräkten i 2 mom. föreslås en rättelse av en felaktig hänvisning till 1 § 1 mom. 5 punkten i lagen om betalningsinstitut. I momentet ska i stället hänvisas till 1 § 2 mom. 5 punkten.
4 §.Tystnadsplikt och undantag från tystnadsplikten i fråga om tvivelaktiga transaktioner. Hänvisningen till personuppgiftslagen i 4 mom. ersätts med en hänvisning till EU:s allmänna dataskyddsförordning, där det föreskrivs om de i momentet avsedda skyldigheterna i fråga om skyddet för personuppgifter.
5 kap. Registret för övervakning av penningtvätt
5 §.Tillförlitlighet. Till 5 mom. fogas en hänvisning till rätten att få uppgifter i syfte att förhindra penningtvätt och finansiering av terrorism för att regionförvaltningsverket ska kunna utnyttja fullgöranderapporter enligt 6 mom. även för detta ändamål.
8 kap. Administrativa påföljder
1 §.Ordningsavgift. Det föreslås att den inledande satsen i 2 mom. ändras så att den omfattar förutsättningarna uppsåt eller oaktsamhet i fråga om alla gärningsbeskrivningar, och på motsvarande sätt stryks förutsättningarna i 1 punkten. I 2 punkten stryks förutsättningarna om upprepad, systematisk eller allvarlig underlåtenhet, eftersom innehållet i gärningsbeskrivningen annars skulle avvika från beskrivningen av gärningar för vilka det kan påföras en påföljdsavgift. En påföljdsavgift är avsedd att vara en strängare påföljd än en ordningsavgift. I 4 punkten stryks dessutom kravet på att gärningen ska vara allvarlig.
3 §.Påföljdsavgift. Till 2 mom. 3 punkten fogas på motsvarande sätt som i momentets övriga punkter en förutsättning om upprepad, systematisk eller allvarlig underlåtenhet, i enlighet med artikel 18 i Europaparlamentets och rådets förordning (EU) 2015/847 om uppgifter som ska åtfölja överföringar av medel och om upphävande av förordning (EG) nr 1781/2006.
9 kap. Särskilda bestämmelser
1 §.Utbildning och skydd för anställda samt anvisningar. I 1 mom. föreslås en precisering enligt vilken den rapporteringsskyldiga ska utse en person i sin ledning (management) som vid den rapporteringsskyldiga enheten ansvarar för att denna lag och de bestämmelser som utfärdats med stöd av den iakttas. Den rapporteringsskyldiga ska också utse en person som ansvarar för den interna kontrollen över efterlevnaden av denna lag (compliance officer) och de bestämmelser som utfärdats med stöd av den, om det är motiverat med tanke på den rapporteringsskyldigas storlek och art. De uppgifter som avses ovan kan skötas av en och samma person, men hos en större rapporteringsskyldig aktör kan de skötas av flera personer.
Koncerner eller andra finansiella sammanslutningar ska inrätta interna förfaranden som enligt 1 punkten ska omfatta bestämmelser om metoder och förfaranden för informationsutbyte inom gruppen om kundkontroll och riskhantering. Enligt 2 punkten ska det dessutom på koncernnivå finnas bestämmelser om hur filialer eller dotterbolag eller koncernens moderbolag ska lämna ut uppgifter om kunder, konton och transaktioner. Syftet är att säkerställa övervakningen och kontrollen av att lagarna följs och att penningtvätt och finansiering av terrorism förhindras. I 3punkten föreskrivs att de interna förfarandena också ska omfatta tillräckliga åtgärder för att trygga informationsutbytet och uppgifternas sekretess. I punkten hänvisas till lagens 4 kap. 4 §, där det föreskrivs om undantag från tystnadsplikten. Ändringarna motsvarar första stycket led a och andra stycket i FATF:s rekommendation 18.
6 §.Bemyndigande att meddela föreskrifter. Till paragrafen fogas ett nytt 2 mom. Enligt artikel 48.2 i penningtvättsdirektivet ska medlemsstaterna se till att de behöriga myndigheterna har tillräckliga befogenheter, exempelvis att kräva att det lämnas uppgifter som är relevanta för övervakning av efterlevnaden. I artikeln förutsätts dessutom att de behöriga myndigheterna ska ha tillräckliga befogenheter för att utföra kontroller samt tillräckliga ekonomiska, personella och tekniska resurser för att fullgöra sitt uppdrag. Medlemsstaterna ska enligt artikeln se till att dessa myndigheters personal håller hög yrkesmässig standard, bland annat när det gäller konfidentialitet och uppgiftsskydd, samt har stor integritet och rätt kompetens. I artikel 48.3 förutsätts att de behöriga myndigheterna ska ha förstärkta tillsynsbefogenheter för kreditinstitut, finansiella institut och tillhandahållare av speltjänster.
Enligt 18 § i lagen om Finansinspektionen har Finansinspektionen rätt att meddela föreskrifter om vilka uppgifter om tillsynsobjekts ekonomiska ställning, ägare, interna kontroll och riskhantering, förvaltnings- och kontrollorgan, tjänstemän och verksamhetsställen samt vilken för skötseln av de uppgifter som avses i 3 § 3 mom. 3—5 punkten relevant information som regelbundet ska lämnas till Finansinspektionen och om hur informationen ska lämnas. Rätten sträcker sig dock inte till alla instanser som Finansinspektionen utövar tillsyn över med stöd av penningtvättslagen. Till dessa hör andra finansmarknadsaktörer enligt lagen om Finansinspektionen, såsom kontoförvaltare enligt lagen om värdeandelssystemet och om clearingverksamhet (749/2012), fysiska och juridiska personer enligt 7 och 7 a § i lagen om betalningsinstitut (297/2010), finländska kreditförmedlare enligt lagen om förmedlare av konsumentkrediter som har samband med bostadsegendom (852/2016) och förvaltare av alternativa investeringsfonder enligt lagen om förvaltare av alternativa investeringsfonder (162/2014).
Paragrafens 2 mom. ändras så att Finansinspektionen får rätt att meddela föreskrifter om att i denna lag avsedda aktörer som står under deras tillsyn regelbundet ska lämna uppgifter om sin interna kontroll och riskhantering med avseende på förhindrande av penningtvätt och av finansiering av terrorism till Finansinspektionen samt om hur uppgifterna ska lämnas. Eftersom andra finansmarknadsaktörer inte är auktoriserade tillsynsobjekt eller andra tillsynsobjekt, behöver det inte anges befogenheter för Finansinspektionen att bestämma om andra frågor som regleras i 18 § 2 mom. i lagen om Finansinspektionen, t.ex. aktörens ekonomiska ställning. Även regionförvaltningsverket får rätt att meddela föreskrifter. Rätten att meddela föreskrifter begränsas inte enbart till att gälla företag som tillhandahåller finansiella tjänster utan också andra rapporteringsskyldiga som regionförvaltningsverket utövar tillsyn över i enlighet med denna lag.
8 §.Övergångsbestämmelser. Övergångsbestämmelsen ändras så att regionförvaltningsverket ska föra det register över företagstjänster och valutaväxlingsregister som avses i lagen om förhindrande och utredning av penningtvätt och av finansiering av terrorism (503/2008) fram till den 30 juni 2019. Enligt ikraftträdandebestämmelsen i penningtvättslagen träder bestämmelserna om det nya registret för övervakning av penningtvätt i kraft först den 1 juli 2019. Enligt övergångsbestämmelsen ska de som är införda i registret över företagstjänster eller valutaväxlingsregistret dock inom sex månader efter det att lagen har trätt i kraft göra en ansökan om införande i registret för övervakning av penningtvätt. Ändringen säkerställer att registret över företagstjänster och valutaväxlingsregistret förvaltas tills det nya registret för övervakning av penningtvätt har inrättats.