1.1  Bakgrund

Det positiva kreditupplysningsregistret är ett register som förs av Inkomstregisterenheten vid Skatteförvaltningen. Bestämmelser om registret finns i lagen om ett positivt kreditupplysningsregister (739/2022). Det positiva kreditupplysningsregistret innehåller uppgifter om fysiska personers krediter och inkomster. Det tekniska genomförandet av registret i enlighet med de gällande bestämmelserna i lagen pågår till våren 2026. Registret togs i bruk den 1 april 2024 i fråga om konsumentkrediter, och avsikten är att registret från och med den 1 juni 2026 ska omfatta krediter som beviljats andra fysiska personer än konsumenter. 

Syftet med lagen om ett positivt kreditupplysningsregister är att förebygga överskuldsättning genom att säkerställa att det särskilt vid bedömning av kreditvärdigheten vid kreditgivning finns tillgång till tillförlitliga kreditupplysningar och genom att förbättra fysiska personers möjligheter att hantera sin egen ekonomi. Syftet med lagen är dessutom att inom uppföljningen och övervakningen av den finansiella stabiliteten och kreditmarknaden främja tillgången på tillförlitliga uppgifter som beskriver kreditmarknaden. 

I de landsspecifika rekommendationer för 2019 som rådet inom ramen för europeiska planeringsterminen, dvs. EU:s årliga samordningsförfarande för den ekonomiska politiken, godkände för Finland föreslås det att Finland ska stärka uppföljningen av hushållens skuldsättning och inrätta ett kreditregistersystem. Kommissionen följer upp hur rekommendationerna genomförs. I motiveringen till rekommendationerna nämns långivning genom bostadsaktiebolags bolagslån som en betydande faktor som inverkar på hushållens skuldsättning. Finansministeriet publicerade 2019 en arbetsgruppsutredning om metoder för att förebygga överskuldsättning hos hushåll. I utredningen ansågs att en metod att dämpa hushållens skuldsättning särskilt genom konsumentkrediter skulle vara att utsträcka skyldigheten att rapportera positiva kreditupplysningar till alla aktörer som beviljar krediter till hushåll ( Finansministeriets publikationer 2019:56 , på finska, med presentationsblad på svenska, nedan finansministeriets utredning 2019). I utredningen har man beaktat behovet av att rikta åtgärder till husbolag och särskilt behovet av att försäkra sig om att kreditgivare som beviljar bostadskrediter och konsumentkrediter med bostadssäkerheter beaktar hushållens skuldsättning genom husbolagslån när de beviljar krediter. Behovet av att täcka in enskilda aktieägares kreditansvar i husbolagslån i registrets informationsinnehåll har beaktats även i den förberedande utredningen om ett positivt kreditupplysningsregister (Utredning av förutsättningarna för ett system för positiva kreditupplysningar, Justitieministeriets publikation 26/2018 , på finska, med presentationsblad på svenska). När lagen bereddes var avsikten att utveckla bostadsdatasystemet, så att uppgifter om enskilda aktieägares kreditansvar i husbolagslån senare skulle kunna överföras från det till det positiva kreditupplysningsregistret, redan känd. Systemets utvecklingsfas gjorde det ändå inte möjligt att beakta dessa uppgifter i det lagförslag som gällde inrättandet av ett positivt kreditupplysningsregister.  

Beredningen av regeringens proposition bygger dessutom på projektet för vidareutveckling av bostadsdatasystemet (HTJ2), som pågår vid Lantmäteriverket till den 30 juni 2026 och där uppgifter om de aktiegruppspecifika kreditansvaren i husbolag fogas till bostadsdatasystemet. Bestämmelser om detta har fogats till lagen om ett bostadsdatasystem genom den lag om ändring av lagen om ett bostadsdatasystem (151/2023) som trädde i kraft den 1 juni 2023. Uppgifter om kreditansvar, med vilka ägaruppgifter kombineras i bostadsdatasystemet, kan från och med den 1 juli 2026 förmedlas vidare till det positiva kreditupplysningsregistret enligt aktieägare. Med tanke på det huvudsakliga ändamålet med det positiva kreditupplysningsregistret skulle det vara ändamålsenligt att de ändringar som överföringen av uppgifter förutsätter skulle träda i kraft så snabbt som möjligt. HTJ2-projektet hör till de projekt som finansieras från Europeiska unionens facilitet för återhämtning och resiliens (RRF) i enlighet med Finlands plan för återhämtning och resiliens (RRP). Förutsättningen för att få finansiering är att vissa mål som satts för verksamheten i RRP-dokumentationen uppnås inom den tidtabell som fastställts på förhand. 

Största delen av hushållens låneskuld utgörs av skulder som hänför sig till boendet. Enligt finansministeriets utredning 2019 är cirka tre fjärdedelar av hushållens skuld sådan skuld som hänför sig till boendet. Bostadslånen utgör cirka 62 procent och husbolagslånen uppskattningsvis cirka 14 procent av hushållens totala skuld. (Finansministeriets utredning 2019, s. 16) I ljuset av statistiken har situationen förblivit nästan oförändrad efter det att lagen om ett positivt kreditupplysningsregister trädde i kraft. Hushållens totala skuld uppgick i slutet av december 2023 till cirka 173 miljarder euro, varav bostadskrediterna uppgick till 107 miljarder euro (62 procent) och de bostadssammanslutningslån som skulle betalas av hushållen uppgick till cirka 23 miljarder euro (13 procent). Husbolagslånen utgör således fortfarande en betydande andel av hushållens skulder, och sammantaget hänför sig ungefär tre fjärdedelar av hushållens skulder till boendet. 

Husbolagslånen är formellt bostadsaktiebolagens skuld, vars säkerhet är den fastighet eller hyresrätt som husbolaget äger. Av finansministeriets utredning framgår att även om husbolagslånen formellt är företagslån, vilar återbetalningen av husbolagslånen till största delen på hushållens ansvar. De medel som behövs för återbetalningen samlas in av aktieägarna i form av kapitalvederlag, varvid aktieägarna indirekt ansvarar för bostadsaktiebolagets skuld. Med husbolagslån finansieras såväl renoveringsprojekt som nyproduktion av bostäder. Efter 2000-talets början har husbolagslån i allt större utsträckning använts som ett sätt att finansiera handeln med nya bostäder i stället för personliga bostads- och investeringsbostadslån. Köparen kan betala den aktiegruppspecifika kreditandelen månatligen med kapitalvederlag och ta ett mindre, personligt bostadslån. En mycket stor andel (till och med 70–80 procent) av bostadens skuldfria pris kan finansieras med bolagslån. I så fall blir försäljningspriset mycket förmånligt jämfört med det skuldfria priset. Risken med en sådan förändring i bostadens finansieringsstruktur är att bostadsgäldenärens helhetsbild av sin skuldsättning och skuldhanteringsbörda fördunklas. Förändringen i boendets finansieringsstruktur kan dessutom påverka riskfördelningen mellan husbolagets aktieägare. Husbolagets aktieägare svarar i sista hand solidariskt för husbolagets skulder. (Finansministeriets utredning 2019, s. 19–25) 

Lagen om ett positivt skuldupplysningsregister täcker inte sådana uppgifter om enskilda aktieägares kreditansvar i husbolagslån som fysiska personer ansvarar för, och kreditgivarna är till denna del beroende av den utredning som kreditsökanden själv lämnar. Med tanke på en korrekt bedömning av kreditsökandens kreditvärdighet och lika behandling av bostadsgäldenärerna skulle det vara viktigt att även dessa uppgifter finns i det positiva kreditupplysningsregistret. Riksdagens ekonomiutskott påskyndade bedömningen och genomförandet av de ändringar som krävs för att husbolagslån ska kunna införas i kreditupplysningsregistret i sitt betänkande som gäller regeringens proposition med förslag till lag om ett positivt kreditupplysningsregister (EkUB 17/2022 – RP 22/2022 rd). 

1.2  Beredning

Justitieministeriet tillsatte den 14 februari 2024 en arbetsgrupp för att bereda en ändring av lagen om ett positivt kreditupplysningsregister. Som ett led i beredningen av regeringens proposition hörde arbetsgruppen kreditgivarna samt de myndigheter och tillsynsmyndigheter som använder registret den 29 maj 2024. Efter hörandet har dataombudsmannen lämnat ett skriftligt utlåtande, som har beaktats i den grundläggande beredningen av utkastet till regeringens proposition. Utkastet till regeringsproposition var på remiss 1 november–31 december 2024. Projektets beredningsunderlag finns på justitieministeriets webbplats och på statsrådets webbplats under numret OM016:00/2024 .  

4.1  De viktigaste förslagen

I regeringspropositionen föreslås det att 6, 22 och 32 § i lagen om ett positivt kreditupplysningsregister ändras och att en ny 13 a § fogas till lagen. Syftet med de föreslagna ändringarna är att göra det möjligt att registrera uppgifter om enskilda aktieägares kreditansvar i bostadsaktiebolags lån samt att lämna ut uppgifterna till kreditgivare för bedömning av en konsuments kreditvärdighet. Det informationsinnehåll som enligt förslaget ska registreras i registret är mer omfattande än de uppgifter som ska kunna lämnas ut till kreditgivare i form av en kreditupplysningsrapport. De uppgifter som inte kan lämnas ut till kreditgivare ska kunna användas bara av den personuppgiftsansvarige, bl.a. för att informera de registrerade i e-tjänsten. Under de förutsättningar som föreskrivs i 24 § ska dessutom de myndigheter som redan i nuläget har rätt att få uppgifter ur det positiva kreditupplysningsregistret få tillgång till uppgifterna. Huruvida förutsättningarna enligt lagens 24 § föreligger och till vilka delar uppgifterna är nödvändiga för myndigheterna ska bedömas fall för fall. Ändringarna påverkar inte sättet att lämna ut uppgifter, utan uppgifter ska fortfarande lämnas ut till myndigheterna i starkt pseudonymiserad form, med undantag av Statistikcentralen, som har ordnat separat skydd av de uppgifter som tas emot, och konsumentombudsmannen i enstaka tillsynsärenden. 

Det föreslås också att det till lagen fogas en ny 23 a §, där det föreskrivs om kreditgivarnas skyldighet att identifiera en fysisk person innan uppgifter om personen inhämtas ur det positiva kreditupplysningsregistret. Denna nya skyddsåtgärd för skydd av personuppgifter tas in i lagen i syfte att minska riskerna för missbruk av kreditupplysningar och personbeteckningar. 

Enligt förslaget kompletteras dessutom 7 § med mer detaljerade bestämmelser om uppgifter om kreditens ändamål, som i nuläget registreras med stöd av 1 § i statsrådets förordning (811/2022). Syftet med ändringen är att beakta kreditupplysningarnas karaktär i ljuset av den etablerade tolkningen av grundlagen samt EU-domstolens rättspraxis. Innehållet i bestämmelserna ändras inte, utan de bestämmelser som enligt förslaget nu tas in i lagen flyttas från förordningen i oförändrad form. 

4.2  De huvudsakliga konsekvenserna

Konsekvenser för statsfinanserna

Utvidgningen av registrets informationsinnehåll i enlighet med de föreslagna lagändringarna medför enligt en preliminär uppskattning som gjorts av Inkomstregisterenheten vid Skatteförvaltningen tilläggskostnader av engångsnatur på sammanlagt 9 490 000 euro för enheten under åren 2025–2027. Härav är 8,5 miljoner euro investeringskostnader av engångsnatur, som fördelas så att åren 2025 och 2026 är kostnaderna 3,5 miljoner euro per år och 2027 är de 1,5 miljoner euro. Dessutom orsakar förberedelserna för registerproduktionen engångskostnader, som uppskattas till 540 000 euro 2026 och 450 000 euro 2027. Enligt Inkomstregisterenhetens uppskattning ökar utvidgningen också enhetens fasta driftsutgifter. Driftsutgifterna bedöms öka med 1 550 000 euro 2027 och med 2 450 000 euro fr.o.m. 2028. Här ingår en årlig kostnad på uppskattningsvis 650 000 euro, som faktureras Inkomstregisterenheten för upprätthållandet av Lantmäteriverkets bostadsdatasystems gränssnittstjänst och för produktion av nödvändiga uppgifter. I den av riksdagen godkända tredje tilläggsbudgeten för 2024 (RSv 23/2024 rd–RP 153/2024 rd) beviljades ett tillägg till omkostnaderna för det nationella inkomstregistret, varav en andel på 3,5 miljoner euro är avsedd att täcka utvidgningen av det positiva kreditupplysningsregistret (reservationsanslag 2 år). De engångskostnader och fasta omkostnader som orsakas av propositionen förutsätter tilläggsfinansiering utöver detta, och den måste täckas med senare anslag enligt rambesluten för statsfinanserna och enligt statsbudgeten. 

Enligt det gällande 31 § 3 mom. i lagen om ett positivt kreditupplysningsregister tas det ut en avgift för utlämnande av uppgifter ur det positiva kreditupplysningsregistret till kreditgivare. Avgiften bestäms i enlighet med lagen om grunderna för avgifter till staten. Enligt paragrafens 2 mom. lämnas uppgifterna ut avgiftsfritt till de i lagens 24 § avsedda myndigheter som använder registret. Sålunda ska den del av Inkomstregisterenhetens investeringskostnader, övriga engångskostnader och omkostnader samt av de kostnader för upprätthållande av bostadsdatasystemes gränssnittstjänst som ska betalas till Lantmäteriverket och som orsakas av att uppgifter om husbolagslån fogas till kreditupplysningsrapporten täckas i efterhand med avgifter för användning av registret som tas ut av kreditgivarna. För investeringskostnadernas del sker detta genom att de fördelas som årliga kostnader med iakttagande av en avskrivningstid på 10 år. Till den del som kostnaderna hänför sig till utlämnandet av uppgifter om husbolagslån till de myndigheter som använder registret stannar kostnaderna slutligen på staten. Den andel som täcks med de användaravgifter som tas ut av kreditgivaren antas vara cirka 50 procent av de totala kostnader som det redogörs för ovan.  

Konsekvenser för informationssystem och för Inkomstregisterenhetens verksamhet

Ändringarna förutsätter att det positiva kreditupplysningsregistret utvecklas så att Inkomstregisterenheten kan ta emot uppgifter om enskilda aktieägares kreditansvar i husbolag från bostadsdatasystemet och lagra uppgifterna i det positiva kreditupplysningsregistret samt lämna ut dem till kreditgivare med kreditupplysningsrapporter och till de myndigheter som använder registret via gränssnittstjänster som genomförts för dem. I e-tjänsten för registrerade bör dessutom sådana funktioner genomföras som behövs för att presentera uppgifter om det aktiegruppspecifika kreditansvaret i e-tjänsten. Genomförandet av de systemändringar som behövs kräver grundlig planering, specifikation och testning. 

Inkomstregisterenheten ska även i fortsättningen sköta om kundkontakter i anslutning till den nya uppgiftskategorin samt ordna de funktioner som förutsätts för fortlöpande upprätthållande av det positiva kreditupplysningsregistret i fråga om uppgifterna om det aktiegruppspecifika kreditansvaret. 

Lagförslag nr 1 i propositionen innehåller ändringar som kan leda till besparingar i omkostnaderna. Genom ändringarna av 16 och 21 § i lagen om ett positivt kreditupplysningsregister, genom vilka bestämmelserna om andra elektroniska sätt att lämna ut uppgifter än via gränssnitt stryks, är det möjligt att sänka kostnaderna för att genomföra registret samt kostnaderna för senare upprätthållande. 

Konsekvenser för Lantmäteriverket

Det pågående HTJ2-projektet finansieras från EU:s återhämtningsfacilitet och propositionen medför inga nya investeringskostnader för Lantmäteriverket. Inom HTJ2-projektet genomförs i bostadsdatasystemet bl.a. framtagande av ändrade uppgifter om enskilda ägares kreditansvar med det informationsinnehåll som det positiva kreditupplysningsregistret förutsätter, så att uppgifterna kan förmedlas från bostadsdatasystemet till det positiva kreditupplysningsregistret. Trots att de ändringar som behövs i bostadsdatasystemet, inklusive gränssnittstjänsten, genomförs inom HTJ2-projektet, som finansieras från EU:s återhämtningsfacilitet, medför det senare upprätthållandet av gränssnittet årliga kostnader på uppskattningsvis 650 000 euro för Lantmäteriverket från och med 2027. Enligt 23 § 1–2 mom. i lagen om ett bostadsdatasystem tas det för annat än sedvanligt utlämnande av utgifter till andra myndigheter ut en avgift på vilken tillämpas lagen om grunderna för avgifter till staten (150/1992). Lantmäteriverket kommer således att årligen fakturera Inkomstregisterenheten för ovannämnda kostnader för upprätthållandet på 650 000 euro för gränssnittstjänsten. Dessa fasta omkostnader som uppkommer för Lantmäteriverket och som ska faktureras Inkomstregisterenheten ska täckas med senare anslag enligt rambesluten för statsfinanserna och enligt statsbudgeten på det sätt som förklaras ovan för Inkomstregisterenhetens del.  

Konsekvenser för andra myndigheter

Den föreslagna utvidgningen av det positiva kreditupplysningsregistrets informationsinnehåll när det gäller uppgifter om husbolagslån förbättrar finansmarknadsmyndigheternas tillgång till information om kreditmarknaden, och därigenom förbättras deras förutsättningar att övervaka och analysera finansmarknadens stabilitet. För de myndigheter som får uppgifter ur det positiva kreditupplysningsregistret kan propositionen ha små kostnadseffekter till den del som uppgifter i den nya uppgiftskategorin lämnas ut till dem. Exempelvis ändringarna i informationssystemets gränssnitt orsakar kostnadseffekter. Eventuella kostnader ska täckas med anslag enligt rambesluten om statsfinanserna och enligt statsbudgeten. 

Konsekvenser för kreditgivarna och kreditmarknaden

De föreslagna bestämmelserna har konsekvenser för cirka 200 kreditgivare, som utnyttjar uppgifter i det positiva kreditupplysningsregistret i enlighet med de gällande bestämmelserna för bedömning av konsumenters kreditvärdighet. I samband med utvidgningen av registret från och med våren 2026 ökar antalet användare. Antalet nya kreditgivare som meddelar uppgifter till eller inhämtar uppgifter ur registret kommer enligt en preliminär uppskattning att vara något över 30. 

Genom ändringen får kreditgivarna tillgång till mer heltäckande information än tidigare om kreditsökandens ekonomiska ställning ur det positiva kreditupplysningsregistret, när det av kreditupplysningsrapporten framgår inte bara krediter som kreditgivare beviljat och inkomstuppgifter ur inkomstregistret utan också uppgifter om enskilda aktieägares kreditansvar i husbolag. I den mån som kreditgivarna utreder dessa uppgifter för närvarande, behöver kreditgivarna i regel samla in dem från kreditsökanden i samband med kreditansökan. Vid behov måste kreditgivarna säkerställa att uppgifterna är korrekta i andra tillförlitliga källor, där behandlingen till stor del innebär manuellt arbete för kreditgivarna. När uppgifter om enskilda aktieägares kreditansvar i husbolag fogas till det positiva kreditupplysningsregistret blir det möjligt att få uppgifter som är nödvändiga för bedömning av kreditvärdigheten även till denna del ur ett tillförlitligt myndighetsregister på elektronisk väg utan att man i allmänhet behöver vidta separata åtgärder för att kontrollera att uppgifterna är korrekta. Detta förbättrar ytterligare kreditgivarnas möjligheter att bedöma riskerna i anslutning till beviljandet av krediter samt gör det möjligt att effektivisera kreditgivarnas kreditprocesser. En effektivare process bedöms på motsvarande sätt medföra kostnadsbesparingar för kreditgivarna. Till den del som kreditgivarna inte tidigare har utrett de kreditansvar som hänför sig till husbolagslån är det fråga om en ny uppgiftskategori, som i fortsättningen beaktas som en del av bedömningen av kreditsökandens kreditvärdighet. 

Med beaktande av de dröjsmål som orsakas av uppdateringen av uppgifter i bostadsdatasystemet och av överföringen av uppgifter, kommer uppgifterna ändå inte i samtliga fall att vara helt aktuella i det positiva kreditupplysningsregistret. Det är väsentligt att kreditgivarna beaktar dröjsmålen till följd av uppdateringen av uppgifter i kreditprocessen. Kreditgivarna ska enligt behov begära tilläggsuppgifter av kreditsökanden. Överföringen av uppgifter från bostadsdatasystemet gäller i praktiken de aktiegrupper som är förenade med elektronisk anteckning om ägaren. Tidtabellen för omvandling av bostadsdatasystemets aktiegrupper i elektronisk form inverkar således på hur heltäckande uppgifterna är och enligt vilken tidtabell konsekvenserna påverkar kreditgivarna. 

När tillgången till information och informationens tillförlitlighet förbättras bedöms det överlag inverka positivt på kreditmarknadens verksamhet och den finansiella stabiliteten. Överskuldsättning har i flera olika sammanhang ansetts orsaka stora kostnader och olika olägenheter för såväl individerna som samhället. Olägenheterna med överskuldsättning har undersökts i stor utsträckning. Överlag har dock skuldtagning positiva effekter för såväl hushållen som samhällsekonomin i stort. Skuldtagning möjliggör t.ex. anskaffningar genom att kostnaderna för anskaffningen periodiseras över en längre tid. Således bidrar skuldtagning till att stödja den ekonomiska tillväxten och skapar ekonomisk jämlikhet. Genom skuldtagning kan konsumenterna också försöka utöka sin förmögenhet t.ex. genom att placera skuldmedel i andra objekt. Dessa effekter är positiva när skuldtagningen sker inom ramen för skuldtagarnas förmåga att sköta krediten och övriga risktagningsförmåga. Den föreslagna utvidgningen av kreditupplysningsregistrets informationsinnehåll främjar genomskådligheten hos de uppgifter som används för att bedöma kreditvärdigheten, vilket allmänt taget kan anses stödja en ur såväl individernas som samhällsekonomins synvinkel nyttig skuldtagning. 

Ändringarna kräver inte att kreditgivarna får någon ny skyldighet att lämna uppgifter utöver dem som de lämnar till bostadsdatasystemet i enlighet med lagen om ett bostadsdatasystem. Till följd av ändringen ska kreditgivarna i sina egna system inkludera de funktioner som behövs för att ta emot uppgifter om aktiegruppspecifika kreditansvar i husbolag med kreditupplysningsrapporter samt för att behandla dem i processerna för bedömning av konsumenters kreditvärdighet. Kostnaderna för att utveckla informationssystemen till följd av detta bedöms bli små. Dessutom höjer ändringen kreditgivarnas avgift för kreditupplysningsrapporter på det sätt som beskrivs ovan i fråga om ändringens konsekvenser för Inkomstregisterenheten och Lantmäteriverket. Ändringen ökar beloppet av de investeringskostnader som hänförs till priset på kreditupplysningsrapporter med cirka 16 procent jämfört med nuläget och beloppet av Inkomstregisterenhetens omkostnader med cirka 11 procent jämfört med nuläget. Dessa kostnader tillsammans höjer styckepriset för en rapport med uppskattningsvis cirka 12–15 procent från nuvarande 1,04 euro, om man antar att antalet rapporter som lämnas ut ur registret stannar kring 10 miljoner per år, på det sätt som uppskattats i motiveringen till regeringens proposition RP 22/2022 rd. 

Skyldigheten att identifiera kunden inverkar på kreditgivarnas metoder för att identifiera kunder. Dessa konsekvenser berör kreditgivare som inhämtar uppgifter ur det positiva kreditupplysningsregistret för bedömning av kreditvärdigheten. Kreditgivarna åläggs inga särskilda krav på den metod som ska tillämpas för att identifiera fysiska personer och verifiera identiteten. Exempelvis bestämmelserna och föreskrifter om förhindrande av penningtvätt och av finansiering av terrorism medför redan för närvarande skyldigheter till kundkontroll för kreditgivarna som går längre än detta förslag. Identifieringen ska dock göras innan uppgifter om en fysisk person inhämtas ur det positiva kreditupplysningsregistret, och kraven i annan lagstiftning täcker inte helt och hållet alla fysiska personer beträffande vilka uppgifter inhämtas ur registret. Identifieringen kan infalla vid en tidigare tidpunkt än när kreditgivaren identifierar sin kund med stöd av annan lagstiftning. Beroende på kreditgivarens förfaranden i fråga om personlig borgen, kan konsekvenser rikta sig särskilt till metoderna för identifiering av borgensmän och tredjemanspantsättare eller identifieringstidpunkten. Konsekvenserna för identifieringen av kreditsökande bedöms vara mindre. Redan den gällande lagens 23 § förutsätter dock att en fysisk person på förhand kan få information om användningen av uppgifterna och om ur vilket register uppgifterna inhämtas. Eftersom detta krav gäller alla fysiska personer, förutsätter iakttagandet av lagen i praktiken att kreditgivaren identifierar även borgensmännen och tredjemanspantsättarna. Den föreslagna paragrafen är också flexibel när det gäller verifiering av identiteten. 

Beroende på vilka metoder kreditgivaren använder för att identifiera kunden, t.ex. använder kreditgivaren stark autentisering vid identifieringen, kan förslaget ha konsekvenser för informationssystemet eller andra kostnadseffekter för kreditgivaren. I de fall där kreditsökanden redan nu identifieras med hjälp av stark autentisering innan denne gör kreditansökan via datanätet blir konsekvenserna små. 

Konsekvenser för hushållen och kreditsökandena

För kreditsökande kan intagandet av uppgifter om enskilda aktieägares kreditansvar i husbolag i det positiva kreditupplysningsregistret underlätta hushållens hantering av sin ekonomi åtminstone i situationer där gäldenären har kreditansvar i flera husbolag. Det positiva kreditupplysningsregistrets e-tjänst samlar de krediter som en fysisk person ansvarar för och som inte framgår av en enskild kreditgivares webbtjänst, om det finns flera kreditgivare. I fortsättningen kan gäldenärerna via e-tjänsten kontrollera vilka uppgifter som finns antecknade i registret om deras egna kreditansvar även i fråga om husbolagslån, vilket ytterligare underlättar deras möjligheter att följa sin egen ekonomi. 

Det att kreditupplysningarna blir mer heltäckande än tidigare kan även ha konsekvenser för tillgången till och prissättningen av krediter. Tillgång till mer heltäckande kreditupplysningar än tidigare direkt ur registret kan göra det lättare för en del kreditsökande att få kredit, när de uppgifter som fås direkt ur kreditupplysningsrapporterna i fortsättningen också omfattar uppgifter om enskilda aktieägares kreditansvar i husbolagslån. Tillgången till mer heltäckande kreditupplysningar kan emellertid ytterligare öka skillnaderna mellan kunderna i fråga om prissättningen av krediter, när kreditrisken i anslutning till kreditsökanden kan bedömas noggrannare och tillförlitligare än för närvarande. Kreditgivarna prissätter kreditrisken högre för kreditsökande som har större skuldbelastning i förhållande till inkomsterna och det är möjligt att priset på krediten stiger för deras del. Detta kan innebära t.ex. längre betalningstid och således större lånekostnader, eller behov av mera heltäckande försäkringar. För en del kreditsökande kan möjligheten att få kredit också försämras. Denna konsekvens kan hänföra sig till fall där kreditsökanden på grund av bristfälliga uppgifter om dennes kreditansvar i nuläget lyckas få kredit, men kreditgivaren inte skulle ha beviljat krediten, om denne också skulle ha haft tillgång till uppgifter om skuldandelar i husbolagslån som kreditsökanden ansvarar för. Denna konsekvens är dock förenlig med de mål som uppställts för registret. Registrets syfte är att förebygga hushållens överskuldsättning och när de uppgifter som fås ur registret har bättre täckning blir det alltså i enlighet med målet svårare att få kredit för personer som löper risk att bli överskuldsatta. 

Konsekvenser för skyddet av privatlivet och övriga samhälleliga konsekvenser

I motiveringen till den regeringsproposition som gällde den gällande lagen (RP 22/2022 rd) har man på ett heltäckande sätt bedömt inte bara lagstiftningens konsekvenser för kreditmarknaden och gäldenärerna utan också övriga samhälleliga konsekvenser, inklusive konsekvenserna för skyddet för privatlivet och skyddet för personuppgifter, jämlikheten, barn samt hälsa och välbefinnande. De föreslagna lagändringarna har konsekvenser för skyddet för privatlivet och skyddet för personuppgifter samt, när det gäller aktieägare i husbolag, för fysiska personers jämlikhet. Det föreslagna lagändringarna innebär inte i övrigt några väsentliga ändringar i de tidigare bedömda konsekvenserna. 

Den föreslagna regleringen påverkar personers rätt att bli bedömda utifrån riktiga och relevanta uppgifter. I enlighet med kreditupplysningslagens krav får som kreditupplysningar användas och på annat sätt behandlas endast information som har tillförlitliga källor och som är behövlig och relevant för att beskriva den fysiska personens eller företagets betalningsförmåga eller betalningsvilja eller förmåga att uppfylla sina åtaganden. I den allmänna dataskyddsförordningen föreskrivs det åter om krav på personuppgifters riktighet. Den föreslagna utvidgningen av registrets informationsinnehåll förbättrar som helhet kreditgivarens förutsättningar att få riktiga och relevanta uppgifter ur en tillförlitlig källa, vilka påverkar en fysisk persons betalningsförmåga till den del som det är fråga om skulder som den fysiska personens ansvarar för. 

Det faktum att uppgifterna om bostadsaktiebolag inte till alla delar uppdateras i bostadsdatasystemet i realtid kan dock åtminstone i vissa situationer begränsa de registrerades rätt enligt dataskyddsförordningen att bli bedömda utifrån riktiga och uppdaterade uppgifter. Eftersom kreditgivaren ändå får information om befintliga kreditansvar och uppdateringstidpunkterna för dem, gör redan dessa uppgifter effektivare än nu det möjligt för kreditgivaren att vid behov kontrollera beloppet av det aktuella kreditansvaret med kreditsökanden eller gäldenären. Den nya uppgiftskategori som registreras i registret handlar om uppgifter som för närvarande utreds med kreditsökandena eller gäldenärerna själva. Dessutom bör det påpekas att för närvarande befinner sig aktieägare i husbolag, beträffande vilka uppgifter har registrerats i det positiva kreditupplysningsregistret, delvis i olika ställning när uppgifter inhämtas ur registret beroende på hur aktieägaren betalar den kreditandel som vilar på aktieägarens ansvar. Sålunda främjar den föreslagna regleringen likabehandlingen av fysiska personer när kreditansvaret med större säkerhet beaktas vid bedömningen av kreditvärdigheten oberoende av om aktieägaren har betalat bort sitt kreditansvar, t.ex. genom att inkludera det i sitt bostadslån, eller betalar aktieägaren kapitalvederlag. Uppkomsten av konsekvenser påverkas dock även av enligt vilken tidtabell arbetet med att utveckla bostadsdatasystemet slutförs. 

I fråga om den gällande lagen har man bedömt att behandlingen av personuppgifter i samband med det föreslagna positiva kreditupplysningsregistret medför på grund av behandlingens art och omfattning betydande risker för fysiska personers rättigheter och friheter. Sådana risker utgörs av t.ex. lagstridigt utnyttjande av uppgifter och dataskyddsincidenter som gäller personuppgifter. Med beaktandet av datakommunikationens omfattning kan det vara utmanande att upptäcka försummelser och missbruk, och ibland sker det med avsevärda dröjsmål. Trots att uppgifterna inte hör till särskilda kategorier av personuppgifter, och inte heller som sådana är känsliga uppgifter, kan en kreditupplysningsrapport i enskilda fall ge även detaljerade uppgifter om en fysisk persons ekonomiska ställning, om en person har flera krediter eller betalningsdröjsmål. EU-domstolen har också efter godkännandet av lagen tagit ställning till s.k. negativa kreditupplysningars karaktär av känsliga uppgifter (se närmare avsnitt 12). Trots att endast en liten del av uppgifterna i det positiva kreditupplysningsregistret klassificeras som uppgifter som visar betalningsstörningar, jämställs de med domstolens definition av känsliga uppgifter. De uppgifter som lämnas ut ur registret kan ha betydande inverkan på beviljandet av kredit, och således på en fysisk persons ställning. Ju större helhet informationsinnehållet i dylika detaljerade uppgifter bildar, desto större risker hänför sig till behandlingen. Riskerna i anslutning till skyddet för privatlivet kan dessutom öka av att en del av kreditgivarna får åtkomst även till sådana uppgifter som de inte nödvändigtvis har utnyttjat tidigare vid bedömning av kreditvärdigheten. I motiveringen till den gällande lagen har man också redogjort för sådana metoder som kan användas för att försöka minska riskerna i anslutning till skyddet av personuppgifter. 

Lagens 24 § har ändrats för att göra det möjligt för Statistikcentralen att använda uppgifter i det positiva kreditupplysningsregistret inte bara för statistikföring utan också för forskar- och materialtjänsten. Samtidigt föreskrevs det noggrannare om förutsättningarna för att lämna ut uppgifter till Statistikcentralen, så att de nu motsvarar förutsättningarna enligt statistiklagen särskilt när det gäller skyddet för uppgifter. (Lag 116/2024, RP 91/2023 rd) De föreslagna lagändringar utökar det positiva kreditupplysningsregistrets informationsinnehåll, men med beaktande av skyddsåtgärderna i statistiklagstiftningen har den nya informationens behandling i Statistikcentralen ingen väsentlig utökande inverkan på de risker som beskrivs ovan. 

När det gäller de föreslagna lagändringarna hanteras riskerna genom att de uppgifter som lämnas ut till kreditgivarna med en kreditupplysningsrapport begränsas till sådana som betraktas som nödvändigt för att bedöma kreditvärdigheten. Till kreditgivarna lämnas inte sådana uppgifter ut som ger överflödig information om privatlivet, t.ex. uppgifter som avslöjar bostadsorten. Som helhet utökar de dock ytterligare registrets omfattande informationsinnehåll, vars behandling redan nu är förenad med risker. 

Syftet med den föreslagna skyldigheten för kreditgivare att identifiera kreditsökande är att förebygga och minska riskerna för missbruk av kreditupplysningar och särskilt personbeteckningar. Enligt den gällande lagen är en förutsättning för utlämnande av uppgifter ur det positiva kreditupplysningsregistret ett beslut som utfärdas efter ansökan av kreditgivaren. Trots att tillståndsförfarandet som berättigar till information minskar de risker som hänför sig till en enskild kreditgivare, särskilt i fråga om informationssäkerheten, kvarstår risker i anslutning till dataskyddet och informationssäkerheten vid behandlingen av personuppgifter till den del det finns risker i kreditgivarens interna efterlevnad av kraven i EU:s allmänna dataskyddsförordning och dataskyddslagen. Dessutom går det inte att minska riskerna för missbruk tillräcklig enbart genom tillståndsprocessen. 

Den föreslagna identifieringsskyldighetens förebyggande effekt följer av att identifieringen med större säkerhet än nu sker före registerförfrågan när denna skyldighet för kreditgivarna är uttryckligen inskriven i lag. Iakttagandet av bestämmelserna ska övervakas i enlighet med dataskyddslagstiftningen och konsumentskyddslagen. Den föreslagna skyldigheten att identifiera kreditsökande stärker samtidigt skyddet för privatlivet och skyddet för personuppgifter. Trots att lagändringen minskar riskerna som helhet, är det inte möjligt att helt och hållet förhindra missbruk t.ex. i en situation där falsk identitet har använts för att ansöka om kredit. 

Också förslaget att ändamålet med krediten ska preciseras i lagens bestämmelser i stället för att det anges närmare genom förordning av statsrådet har en förstärkande inverkan på skyddet för privatlivet och skyddet för personuppgifter. Trots att bestämmelsernas innehåll inte ändras, skulle det vara svårare att ändra dem senare. Nedan redogörs det för andra lagändringar som är aktuella samtidigt och vilka som helhet tillsammans med de ändringar som föreslås i denna proposition förbättrar skyddet för privatlivet och skyddet för personuppgifter samt den registrerades rättigheter. 

Konsekvenser för informationshanteringen

De bestämmelser som föreslås i regeringens proposition har sådana konsekvenser för informationshanteringen som avses i 8 § 2 mom. i lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen). De föreslagna lagändringarna har inga konsekvenser för Skatteförvaltningen och Lantmäteriverket som informationshanteringsenheter. Lagändringarna inverkar på det positiva kreditupplysningsregistret och bostadsdatasystemet samt informationssystemens gränssnitt för dataöverföringen mellan två informationssystem. Av de föreslagna lagändringarna följer dessutom systemändringar i såväl kreditgivarnas som myndigheternas (Finlands Bank, Finansinspektionen, Konkurrens- och konsumentverket och Statistikcentralen) systemlösningar och verksamhetsprocesser, som myndigheterna använder för att utnyttja uppgifter i det positiva kreditupplysningsregistret. Regleringen leder inte till ny slags behandling av säkerhetsklassificerade uppgifter. Regleringen påverkar inte heller sekretessen för uppgifter i det positiva kreditupplysningsregistret. 

De föreslagna bestämmelserna utvidgar informationshanteringsuppgifterna för Inkomstregisterenheten vid Skatteförvaltningen och för Lantmäteriverket. Propositionen ändrar inte de personuppgiftsansvariga och de ansvariga myndigheterna för andra informationssystem och register som används för behandling av personuppgifter. Skatteförvaltningen och Inkomstregisterenheten är gemensamt personuppgiftsansvariga när det gäller det tekniska underhållet av, funktionaliteten och informationssäkerheten hos och utvecklandet av det positiva kreditupplysningsregistrets informationssystem. Till övriga delar är Inkomstregisterenheten personuppgiftsansvarig. Det föreslås inga ändringar i de personuppgiftsansvarigas uppgifter. De föreslagna ändringarna kan dock förutsätta att informationshanteringsmetoderna och anvisningarna uppdateras. I anvisningarna är det nödvändigt att beakta t.ex. till vilken del de nya uppgifter som ska lämnas ut ur registret inte nödvändigtvis är aktuella i samtliga fall. Uppdateringstidpunkten för uppgifterna påverkar i vissa fall hur aktuella uppgifterna om enskilda aktieägares kreditansvar i husbolagslån är, på samma sätt som den nuvarande situationen när det gäller kreditkortskrediter. Anvisningarna är viktiga för att säkerställa att kreditgivaren enligt behov kan begära tilläggsinformation av kreditsökanden eller beakta eventuella dröjsmål med uppdateringen av uppgifter vid bedömningen av kreditriskerna. Behovet av att uppdatera de personuppgiftsansvarigas anvisningar gäller också kreditgivarnas skyldighet att identifiera fysiska personer innan uppgifter inhämtas ur registret. 

Lagändringarna utvidgar Inkomstregisterenhetens rätt att få uppgifter. Behandlingen av en ny uppgiftskategori innebär mer omfattande behandling av personuppgifter än nu, som redan utan lagändringar är förenad med risker också därför att en del av uppgifterna är känsliga. I enhetens anställdas rättigheter att behandla uppgifter och i användarhanteringen måste man beakta uppgifternas karaktär samt skyddsåtgärder i enlighet med dataskyddslagstiftningens krav, inklusive att åtkomsten till uppgifter begränsas till de personer vilkas arbetsuppgifter förutsätter åtkomst. 

Sammantagna konsekvenser av lagförslaget och de andra lagändringarna

Utöver att det genom denna proposition föreslås att skyldighet för kreditgivare att identifiera kreditsökande fogas till lagen som en ny skyddsåtgärd, påverkas skyddsåtgärdernas tillräcklighet också av andra lagändringar. Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om inkomstdatasystemet och 22 och 25 § i lagen om ett positivt kreditupplysningsregister (RP 216/2024 rd) har överlämnats till riksdagen den 23 januari 2025, och riksdagen godkände lagförslagen den 2 april 2025. Den 11 mars 2025 godkände riksdagen de lagförslag som ingick i regeringens proposition (RP 57/2024) med förslag till lagstiftning om genomförande av cybersäkerhetsdirektivet (NIS 2-direktivet), som överlämnades våren 2024. Lagarna trädde i kraft den 8 april 2025. Dessutom följer sammantagna konsekvenser av genomförandet av Europaparlamentets och rådets direktiv (EU) 2023/2225 av den 18 oktober 2023 om konsumentkreditavtal och om upphävande av direktiv 2008/48/EG (konsumentkreditdirektivet) och Europaparlamentets och rådets direktiv (EU) 2023/2673 om ändring av direktiv 2011/83/EU vad gäller avtal om finansiella tjänster som ingåtts på distans och om upphävande av direktiv 2002/65/EG (direktivet om ändring av konsumenträttighetsdirektivet), beträffande vilket ett arbetsgruppsbetänkande har färdigställts ( Justitieministeriets publikationer, Betänkanden och utlåtanden 2025:3 , på finska, med presentationsblad på svenska).  

Kreditgivarna får i enlighet med den gällande lagen om ett positivt kreditupplysningsregister redan i nuläget med kreditupplysningsrapporten information om att den registrerade har krävt att behandlingen av personuppgifter begränsas med stöd av artikel 18.1 a i den allmänna dataskyddsförordningen, dvs. har bestridit personuppgifternas korrekthet. Bestämmelsen begränsar dock informationen om begäran om begränsning av behandlingen till uppgifter om krediter. Genom de ändringar som föreslogs i 22 och 25 § i regeringens proposition RP 216/2024 rd utvidgas bestämmelsen till att gälla även andra uppgifter i registret, inklusive inkomstuppgifter, och genom de lagändringar som föreslås i denna proposition till sådana uppgifter om enskilda aktieägares kreditandelar i husbolagslån som senare tas in i registret. Samtidigt förpliktas den personuppgiftsansvarige genom en uttrycklig lagbestämmelse att med kreditupplysningsrapporten lämna ut information om den registrerades begäran om begränsning av behandlingen. Ändringen stärker de registrerades rättigheter. Med tanke på skyddsåtgärdernas tillräcklighet är det av betydelse att den personuppgiftsansvariges rätt att lämna ut uppgifter ur registret trots begäran om begränsning av behandlingen gäller endast de situationer där den registrerade har bestridit personuppgifternas korrekthet och inte de situationer som anges i artikel 18 i större utsträckning. Dessutom är det av betydelse att kreditgivarna får inhämta uppgifter ur registret endast i samband med en kreditansökan eller kontroll av kreditvillkor som en fysisk person själv begärt. Den registrerade har således möjlighet att via e-tjänsten försäkra sig om att uppgifterna stämmer eller är aktuella innan den registrerade gör kreditansökan eller begär att kreditvillkoren ska ändras. Kreditgivarna är också i enlighet med lagens 23 § 1 mom. skyldiga att se till att en fysisk person på förhand kan få information om användningen av uppgifterna och om ur vilket register uppgifterna inhämtas. 

I betänkandet som gäller genomförande konsumentkreditdirektivet och direktivet om ändring av konsumenträttighetsdirektivet föreslås det att den personuppgiftsansvariges skyldighet att informera den registrerade kompletteras. Det föreslås att till lagen fogas ett krav på att den personuppgiftsansvarige ska meddela den registrerade att uppgift om betalningsdröjsmål som gäller den registrerade förs in i registret. Meddelandet ska lämnas inom 30 dagar efter registreringen, och det ska gälla respektive uppgift om betalningsdröjsmål separat. Dessutom ska kreditgivarna i fortsättningen beröras av skyldighet att redogöra för de uppgiftskategorier som utnyttjats vid bedömningen av den fysiska personens kreditvärdighet. Redan för närvarande ska kreditgivaren berätta för en fysisk person ur vilket register de uppgifter som har lett till avvisande av kreditansökan har inhämtats, om kreditansökan har avvisats på basis av uppgifter i det positiva kreditupplysningsregistret. Trots att kraven enligt konsumentkreditdirektivet gäller endast uppgifter som lämnas till konsumenter, har de genomförts i 23 § i lagen om ett positivt kreditupplysningsregister på så sätt att bestämmelserna gäller alla registrerade fysiska personer. De föreslagna lagändringar som det redogörs för ovan och de kommande ändringarna i konsumentskyddslagstiftningen har tills vidare som helhet en tillräckligt förstärkande inverkan på skyddet för registrerade, med beaktande av de krav på kreditgivarna som redan ingår i den gällande lagen. Skyldigheterna enligt konsumentskyddslagstiftningen att bedöma konsumenters kreditvärdighet utvidgas dock i och med genomförandet av direktiven till att gälla kostnadsfria och räntefria krediter. Detta kan innebära att ett större antal kreditgivare än nu får tillgång till kreditupplysningsrapporter. Det är möjligt att bedöma dessa ändringars konsekvenser för de registrerade närmare när de detaljerade ändringarna i konsumentskyddslagen är kända. 

NIS 2-direktivet gäller samhället i stor utsträckning, inklusive en stor del av den offentliga sektorn. De aktörer som omfattas av tillämpningsområdet kommer att beröras av detaljerade riskhanterings- och rapporteringsskyldigheter i anslutning till informationssäkerheten, inklusive skyldighet att göra avvikelseanmälningar, vilkas fullgörande också kommer att övervakas. De bestämmelser som ska tillämpas på den offentliga sektorn ingår till största delen i informationshanteringslagen. För Skatteförvaltningens del är Transport- och kommunikationsverket den myndighet som övervakar att skyldigheterna fullgörs. Denna tillsyn kompletterar den tillsyn över informationssäker behandling av personuppgifter som dataombudsmannen ansvarar för. På motsvarande sätt hör även Lantmäteriverket till tillämpningsområdet för bestämmelserna om genomförande av cybersäkerhetsdirektivet. 

I stället för skyldigheterna enligt NIS 2-direktivet berörs aktörer inom bank- och finanssektorn av speciallagstiftning om finanssektorn, dvs. Europaparlamentets och rådets förordning (EU) 2022/2554 (DORA-förordningen). De aktörer i finanssektorn som hör till DORA-förordningens tillämpningsområde berörs med stöd av förordningen av skyldigheter som gäller digital motståndskraft mot störningar som går längre än NIS 2-direktivets skyldigheter. Av de kreditgivare som använder det positiva kreditupplysningsregistret omfattar tillämpningsområdet dock endast kreditinstitut och betalningsinstitut samt de tredjeparter som tillhandahåller dem informations- och kommunikationstekniska tjänster. I Finland övervakar Finansinspektionen iakttagandet av DORA-förordningen. Av leverantörerna av digital infrastruktur och digitala tjänster omfattas leverantörer av internetbaserade marknadsplatser, sökmotortjänster och molntjänster av tillämpningsområdet för lagen om genomförande av det nya NIS 2-direktivet. Skatteförvaltningens egen riskhantering påverkas av vilka aktörer som ställs utanför den nya informationssäkerhetsregleringen. Som helhet effektiviserar den nya cybersäkerhetsregleringen och tillsynen i anslutning till den, inklusive samarbetet med dataombudsmannen, också tillsynen över informationssäkerheten hos behandlingen av kreditupplysningar. Inkomstregisterenheten ansvarar för öppnandet av gränssnitt som används för det positiva kreditupplysningsregistrets dataöverföringar och bedömer dessutom som ett led i datatillståndsförfarandet för samtliga kreditgivare hur de sköter sina informationssäkerhetsskyldigheter. 

Lagen om ett positivt kreditupplysningsregister har stiftats vid en tidpunkt då den redan berördes av informationssäkerhetsskyldigheterna enligt informationshanteringslagen. Genom den föreslagna ändring som gäller ett alternativ sätt att lämna ut uppgifter i elektronisk form försöker man ändå minska överflödiga informationssäkerhetsrisker. De ändringar som föreslås i lagen om ett positivt kreditupplysningsregister förutsätter inte nödvändigtvis andra informationssäkerhetsåtgärder som avviker från den gällande regleringen utöver vad som följer av genomförandet av NIS 2-direktivet. Av bestämmelserna om genomförande av NIS 2-direktivet följer dock nya informationshanteringsansvar för ledningen. Ändringarna av informationshanteringslagen kan också medföra konsekvenser för Skatteförvaltningen i form av ändringar i informationshanteringen. Inkomstregisterenheten bör också underrätta tillsynsmyndigheten samt förvaltningens kunder om betydande avvikelser. De mera detaljerade skyldigheterna än tidigare effektiviserar allmänt riskhanteringen och reaktionen på risker. 

5.1  Handlingsalternativen och deras konsekvenser

Som ett alternativt sätt att genomföra de lagändringar som föreslås i regeringens proposition har man bedömt att ändringen inte skulle genomföras eller att ändringen skulle genomföras senare. Trots att bostadslån utgör den klart viktigaste delen av hushållens skulder, identifierades redan i den förberedande utredningen om det positiva kreditupplysningsregistret hushållens skuldsättning genom husbolagslån som en av de viktigaste kreditkategorierna. Att enskilda aktieägares kreditansvar i husbolagslån utelämnades från det positiva kreditupplysningsregistret stred mot det ursprungliga syftet med och målet för inrättandet av registret. Under beredningen och riksdagsbehandlingen av lagen om ett positivt kreditupplysningsregister ansågs den föreslagna utvidgningen av det positiva kreditupplysningsregistret till att omfatta uppgifter om enskilda aktieägares kreditansvar i husbolagslån vara det mest centrala och brådskande utvecklingsbehovet. Enskilda aktieägares kreditansvar i husbolagslån utgör fortfarande en betydande del av hushållens skulder. Till denna del har det inte inträffat några så väsentliga ändringar i hushållens skuldsättningsutveckling att det skulle vara motiverat att skjuta upp arbetet med att utvidga registret. 

Propositionen har också koppling till Europeiska unionens råds ekonomisk-politiska rekommendationer för Finland, och som förutsättning för att få finansiering för HTJ2-projektet med anknytning därtill har i RRP-dokumentationen angetts att vissa mål för verksamheten ska nås inom en på förhand fastställd tidtabell. Om utvidgningen av det positiva kreditupplysningsregistret inte genomförs kan RRP-finansieringen riskeras. 

7.1  Lagen om ett positivt kreditupplysningsregister

6 §.Uppgifter om krediter. Den felaktiga hänvisningen i paragrafens inledande stycke till i 7–15 § avsedda uppgifter korrigeras till en hänvisning till i 7–13 § avsedda uppgifter. Ändringen är nödvändig eftersom de uppgifter om kreditsökandens eller gäldenärens inkomster som avses i lagens 14 § och de uppgifter om frivilligt kreditförbud som avses i 15 § inte är i 6 § avsedda uppgifter om krediter. Samma sak gäller också i den föreslagna 13 a § avsedda uppgifter som kreditansvar som hänför sig till aktielägenheter.  

7 §.Uppgifter som registreras som basuppgifter om krediten. Det föreslås att till paragrafens 1 mom. fogas en ny 10 punkt , enligt vilken som basuppgifter om krediten ska också registreras uppgift om huruvida det är fråga om en annan kredit än en konsumentkredit. Samtidigt blir den nuvarande 10–12 punkten 11–13 punkten. I 1 mom. 7 punkten föreslås samtidigt en språklig precisering, som endast gäller den finska språkdräkten. Enligt den gällande lagen ska det i fråga om konsumentkrediter meddelas huruvida det är fråga om en kredit som omfattas av 7 eller 7 a kap. i konsumentskyddslagen samt huruvida det är fråga om en nyttighetsbunden kredit. I fråga om alla gamla krediter går det dock inte med skäliga åtgärder att få information om huruvida krediten har beviljats med stöd av 7 eller 7 a kap. i konsumentskyddslagen. Av denna orsak har man låtit bli att meddela denna uppgift i fråga om flera krediter genom att åberopa skälighetsklausulen i 19 § 1 mom. I registret är det dock nödvändigt att kunna skilja konsumentkrediter och andra krediter från varandra, eftersom en del myndigheter har rätt att få uppgifter om endast konsumentkrediter. Genom den uppgift som föreslås i 10 punkten kan man på ett mera tillförlitligt sätt skilja andra krediter från konsumentkrediter.  

Det föreslås att nya 3–5 mom. fogas till paragrafen. Samtidigt blir det nuvarande 3 och 4 mom. 6 och 7 mom. De föreslagna nya momenten baserar sig på statsrådets förordning om vissa uppgifter som ska registreras i det positiva kreditupplysningsregistret (811/2022). Förordningens 1 § innehåller närmare bestämmelser om kreditens ändamål enligt 7 § 2 mom. 1 punkten i lagen. I de ändamål med en engångskredit som föreskrivs i förordningen ingår också den uppgift som nämns i förslaget till ny 1 mom. 10 punkt. Med stöd av lagens 33 § får närmare bestämmelser om bl.a. de tekniska och innehållsmässiga detaljerna i fråga om de i 7 § avsedda uppgifter som registreras i det positiva kreditupplysningsregistret utfärdas genom förordning av statsrådet. Förordningens 1 § ger mera detaljerad information om ändamålen med fysiska personers engångskrediter och samtidigt kan den avslöja information om detaljer som omfattas av skyddet för privatlivet särskilt i kombination med andra uppgifter. Av denna orsak föreslås det att innehållet i förordningens 1 § lyfts in i lagen för att beakta att i propositionens motivering till lagstiftningsordning granskas den konstitutionella bedömningen av kreditupplysningar (se närmare avsnitt 12). I förordningens 1 § 1 mom. uppräknas ändamålen tämligen detaljerat, fast de inte ger närmare information om ändamålet med en konsumentkredit när det inte är fråga om en bostadskredit eller en konsumentkredit för förvärv av ett trafikmedel. Sålunda avslöjar uppgifterna t.ex. inte om det är fråga om en kredit som tagits för att täcka hälso- och sjukvårdsutgifter. Med förordningens noggrannhet är uppgiften om ändamålet med en engångskredit dock nödvändig för kreditgivarens bedömning i anslutning till beviljandet av kredit, eftersom den kan ge kreditgivaren anledning att begära tilläggsuppgifter som behövs för bedömning av de risker som hänför sig till beviljandet av kredit.  

Enligt paragrafens nya 3 mom. ska som ett i 2 mom. 1 punkten avsett ändamål med en engångskredit i det positiva kreditupplysningsregistret registreras något av följande: 1) bostadskredit, 2) bostadskredit för förvärv av en första bostad, 3) bostadskredit för förvärv av en fritidsbostad, 4) bostadskredit för förvärv av en placeringsbostad, 5) studielån, 6) konsumentkredit för förvärv av ett trafikmedel, 7) annan konsumentkredit, 8) kredit för näringsverksamhet, 9) annan kredit.  

Med avvikelse från vad som föreskrivs i 3 mom. anges enligt paragrafens nya 4 mom. som ändamål med en fordran som avses i 17 § borgensfordran på studielån.  

I paragrafens nya 5 mom. preciseras vad som avses med bostadskredit och trafikmedel. Enligt det avses med bostadskredit i 3 mom. 1–4 punkten en i 7 a kap. 3 § 1 mom. 2 punkten i konsumentskyddslagen (38/1978) avsedd bostadskredit och dessutom en sådan konsumentkredit för renovering av en bostadslägenhet, en bostadsfastighet eller ett bostadshus där andelar i en sammanslutning som ger rätt att besitta en bostadslägenhet, en bostadsfastighet eller nyttjanderätten till en fastighet inklusive byggnader lämnas som säkerhet för krediten. Med trafikmedel avses i 3 mom. 6 punkten ett trafikmedel som ska registreras i det trafik- och transportregister som avses i lagen om transportservice (320/2017), inklusive eventuell tilläggsutrustning.  

13 a §.Uppgifter om kreditansvar som hänför sig till aktielägenheter. Det föreslås att till lagen fogas en ny 13 a § , där det föreskrivs om de uppgifter om kreditansvar som hänför sig till aktielägenheter som ska registreras i det positiva kreditupplysningsregistret och som överförs till registret från bostadsdatasystemet. Paragrafen innehåller en detaljerad och uttömmande förteckning över de uppgifter som ska överföras. I det inledande stycket i 1 mom. begränsas överföringen av uppgifter till att gälla endast sådana aktiegrupper, dvs. aktielägenheter, till vilka hänför sig ansvar för krediter som bolaget lyft enligt uppgifterna i bostadsdatasystemet. Om inget ansvar för en kredit som bolaget lyft hänför sig till en aktiegrupp, överförs inga uppgifter om den aktiegruppen från bostadsdatasystemet till det positiva kreditupplysningsregistret. Uppgifterna överförs separat för varje aktieägare och registreras enligt aktieägare i det positiva kreditupplysningsregistret. I enlighet med lagens 4 § överförs uppgifter endast till den del som aktieägarna är fysiska personer. Exempelvis uppgifter som hänför sig till aktiegrupper som ägs av aktiebolag överförs inte.  

Enligt 1 punkten registreras i det positiva kreditupplysningsregistret bolagets företags- och organisationsnummer. Uppgift används för att specificera objektet när uppgifter som kreditansvaret presenteras för den registrerade i registrets e-tjänst samt när de myndigheter som använder registret sköter sina lagstadgade uppgifter. Bolagets företags- och organisationsnummer lämnas inte ut till kreditgivarna med kreditupplysningsrapporten.  

Enligt 2 punkten registreras i det positiva kreditupplysningsregistret aktiegruppens aktiegruppsbeteckning, som använts i bostadsdatasystemet. Det är fråga om en aktiegruppspecifik individuell och permanent teknisk identifieringsuppgift, som specificerar aktiegruppen men inte hänför den till ett visst bolag eller en viss aktielägenhet. Uppgiften är nödvändig för att sköta registerföringsuppgifterna i anslutning till det positiva kreditupplysningsregistret och den används endast för att tekniskt specificera aktiegruppen i det positiva kreditupplysningsregistret. Med hjälp av uppgiften säkerställs t.ex. att uppdateringsuppgifter som fås ur bostadsdatasystemet hänförs till rätt aktiegrupp i det positiva kreditupplysningsregistret. Aktiegruppsbeteckningen lämnas inte ut till kreditgivarna med kreditupplysningsrapporten.  

Enligt 3 punkten registreras i det positiva kreditupplysningsregistret aktielägenhetens nummer eller beteckning. Med aktielägenhet avses enligt 1 kap. 3 § i aktiebolagslagen en sådan lägenhet och annan del av en byggnad eller fastighet som aktierna medför rätt att besitta. Aktielägenheter kan vid sidan av bostadslägenheter och affärslokaler vara t.ex. garagen och lagerlokaler. Bestämmelserna om aktielägenheter tillämpas även på ett obebyggt utrymme som en aktieägare besitter på grund av aktien, t.ex. en parkeringsplats (RP 24/2009 rd, s. 51). Uppgiften används på samma sätt som bolagets företags- och organisationsnummer för att specificera objektet när uppgifter om kreditansvaret presenteras för den registrerade i registrets e-tjänst. I en situation där den registrerade har flera aktiegrupper i samma husbolag, skulle det vara mycket besvärligt för den registrerade att kontrollera uppgifterna i registrets e-tjänst, om inte besittningsobjekten skulle presenteras specificerade på ett entydigt och för den registrerade begripligt sätt. På samma sätt som andra uppgifter som gäller bolaget eller aktiegruppen lämnas inte heller aktielägenhetens nummer eller beteckning ut till kreditgivarna med kreditupplysningsrapporten.  

Enligt 4 punkten registreras i det positiva kreditupplysningsregistret ägarens ägarandel i aktiegruppen och antalet ägare. Uppgift om ägarens ägarandel och antalet ägare behövs för att sluta sig till på vilket sätt det sammanlagda beloppet av det kreditansvar som hänför sig till aktiegruppen fördelar sig mellan aktiegruppens ägare. Aktielägenheternas olika delägare kan ha olika stora ägarandelar i aktiegruppen. Uppgiften om ägarandel och antalet ägare lämnas ut till kreditgivarna med kreditupplysningsrapporten och den utnyttjas också av de myndigheter som använder registret.  

Enligt 5 punkten registreras i det positiva kreditupplysningsregistret det sammanlagda beloppet av det primära kreditansvar som hänför sig till aktiegruppen och datum för beräkningen av det. Bestämmelser om bolagets skyldighet att lämna tekniska och ekonomiska uppgifter om besittningsobjekt finns i 17 a § 1 mom. i lagen om ett bostadsdatasystem. Enligt det ska uppgifterna uppdateras i bostadsdatasystemets besittningsobjektsregister minst en gång om året, inom en månad efter det att den ordinarie bolagsstämma avslutades, samt utan dröjsmål vid begäran av en aktör som har rätt att begära disponentintyg. Dessutom ska uppgifterna alltid uppdateras efter bolagsstämmobeslut som påverkar beloppet av vederlagen, efter ändringar av aktiegruppen, samt när aktiegruppens ägare gör en betalning som avviker från betalningsprogrammet. Uppgifterna om kreditansvar som hänför sig till aktielägenheter är alltså inte realtida i bostadsdatasystemet på samma sätt som de uppgifter som kreditgivarna anmäler till det positiva kreditupplysningsregistret. Det faktiska beloppet av kreditansvaret har kunnat minska efter den sista anmälan. Därför behövs för det positiva kreditupplysningsregistret inte bara uppgift om beloppet av det kreditansvar som hänför sig till aktiegruppen utan också uppgift om vilken tidpunkt som uppgiften gäller. I princip antecknas i registret sista beräkningsdatum som fåtts ur bostadsdatasystemet och som täcker de ändringar i beloppet av kreditansvaret som anmälts till och med det datumet. De uppgifter som avses i punkten lämnas ut till kreditgivarna med kreditupplysningsrapporten och de utnyttjas också av de myndigheter som använder registret.  

Enligt 6 punkten registreras i det positiva kreditupplysningsregistret det sammanlagda beloppet av det kapitalvederlag som hänför sig till aktiegruppen och datum för när skyldigheten att betala vederlaget börjat eller börjar gälla. Med datum för när skyldigheten börjat eller börjar gälla avses den tidpunkt från och med vilken kapitalvederlaget enligt anmälan till bostadsdatasystemet börjar tas ut till det aktuella beloppet. Datumet uttrycker den tidpunkt från och med vilken beloppet av kapitalvederlaget har setts över oberoende av om beloppet av kapitalvederlaget då de facto har ändrats jämfört med tidigare. Beslut om kapitalvederlagen fattas oftast en gång per år i samband med den ordinarie bolagsstämman, och det är möjligt att man då fastställer att kapitalvederlaget ska vara lika stort som tidigare. I en sådan situation är det möjligt att bolaget anmäler det nya datumet för när skyldigheten att betala vederlaget börjat eller börjar gälla som bolagsstämman beslutat om till bostadsdatasystemet trots att beloppet av vederlagen förblir oförändrat. Av datumet för när skyldigheten att betala vederlaget börjat eller börjar gälla kan man således inte sluta sig till när beloppet av kapitalvederlaget senast har ändrats, utan när beloppet senast har setts över. Av detta datum kan man således oftast också sluta sig till när beloppet av kapitalvederlaget kommer att ses över nästa gång. De uppgifter som avses i punkten lämnas ut till kreditgivarna med kreditupplysningsrapporten och de utnyttjas också av de myndigheter som använder registret.  

Enligt 7 punkten registreras i det positiva kreditupplysningsregistret uppgift om upphörande av det primära kreditansvar som aktieägaren ansvarar för i fråga om aktiegruppen. Tidpunkten motsvarar inte nödvändigtvis exakt det datum då kreditansvaret de facto har upphört, utan den uttrycker den tidpunkt då kreditansvaret har upphört enligt anmälan till bostadsdatasystemet. Utöver att kreditansvaret kan upphöra när det har betalats för aktiegruppen i fråga, kan det också upphöra när aktieägaren byts ut, även med anledning av aktieägarens död. Uppgiften om upphörande av kreditansvar samlas in till det positiva kreditupplysningsregistret för skötseln av registerföringsuppgifterna och för avförande av uppgifter om ett visst kreditansvar ur registret på det sätt som föreslås i 32 § 6 punkten. Uppgiften om kreditansvar tas helt och hållet bort från kreditupplysningsrapporten när det kreditansvar som hänför sig till aktiegruppen upphör, så uppgiften lämnas inte ut till kreditgivarna. I händelse av aktieägarens död lämnas ur registret på samma sätt som i nuläget ut endast uppgift om att personen avlidit. Dessutom utnyttjar de myndigheter som använder registret uppgiften om upphörande av kreditansvaret.  

Enligt 2 mom. registreras i det positiva kreditupplysningsregistret bolagets namn och hemort som förts in i företags- och organisationsdatasystemet. Uppgifter om namn och hemort fås direkt ur företags- och organisationsdatasystemet. På samma sätt som uppgiften om FO-nummer används även dessa uppgifter endast för att specificera objektet när uppgifter om kreditansvaret presenteras för den registrerade i e-tjänsten. Uppgifterna lämnas inte ut med kreditupplysningsrapporten.  

I 3 mom. föreskrivs det om rätt för Inkomstregisterenheten att komplettera och uppdatera uppgifterna utifrån uppgifterna i företags- och organisationsdatasystemet.  

16 §.Anmälningsplikt. I 1 mom. 2 punkten görs en teknisk lagändring genom vilken den föråldrad laghänvisningen uppdateras. Den lag som nämns i punkten har upphävts genom den nya lagen om registrering av vissa kreditgivare och kreditförmedlare (186/2023), som trädde i kraft den 1 juli 2023.  

19 §.Anmälan av uppgifter till det positiva kreditupplysningsregistret. Det föreslås att paragrafens 4 mom. upphävs. Enligt momentet kan uppgifterna av grundad anledning anmälas också på något annat elektroniskt informationssäkert sätt, och det skulle träda i kraft den 1 december 2025. Momentet kompletterar paragrafens 3 mom., enligt vilket de uppgifter som omfattas av anmälningsplikten ska anmälas med hjälp av ett tekniskt gränssnitt. Att momentet upphävs innebär att uppgifterna ska anmälas till registret enbart med hjälp av ett tekniskt gränssnitt också efter den 1 december 2025.  

I samband med de tekniska förberedelser för registret som pågår vid Inkomstregisterenheten har man planerat att ett annat elektroniskt informationssäkert sätt som avses i 4 mom. skulle vara en användargränssnittbaserad e-tjänst för kreditgivarna. Enligt de utredningar som enheten gjort under de tekniska förberedelserna skulle e-tjänsten användas i mycket liten utsträckning för att anmäla uppgifter. Användargränssnittsbaserad manuell inmatning av uppgifter i registret skulle också öka risken för fel i anmälningarna till följd av mänskliga misstag, vilket skulle kunna leda till att uppgifterna i det positiva kreditupplysningsregistret och kreditgivarnas egna register avviker från varandra. Kreditgivarnas egen interna kontroll skulle vara klart sämre vid användargränssnittsbaserad anmälan än vid gränssnittsanmälan och när uppgifterna matas in skulle det inte finnas någon teknisk metod att försäkra sig om att de inmatade uppgifterna motsvarar uppgifterna i kreditgivarnas egna register. Därför skulle risken för att felaktiga uppgifter om den registrerade hamnar i kreditupplysningsrapporten ökar väsentlig vid användargränssnittsbaserad anmälan jämfört med gränssnittsanmälan. Fortlöpande manuell anmälan av gäldenärens amorteringar eller räntebetalningar inom två dagar efter betalningsdagen skulle dessutom förutsätta en betydande mängd personarbete av kreditgivarna, varvid användargränssnittsbaserad anmälan på längre sikt ändå inte skulle bli väsentligt förmånligare för kreditgivarna än genomförandet av gränssnittsanmälan. Eftersom genomförandet och det senare upprätthållandet av användargränssnittsbaserad anmälan skulle orsaka avsevärda kostnader för Inkomstregisterenheten i förhållande till den ringa nyttan för kreditgivarna, kan det inte enligt en helhetsbedömning anses ändamålsenligt att genomföra en dylik anmälningsmetod i det positiva kreditupplysningsregistret. 

21 §.Utlämnande av uppgifter till kreditgivare. Det föreslås att det inledande stycket i 2 mom. preciseras så att ur registret får trots sekretessbestämmelserna lämnas ut i 22 § avsedda uppgifter inte bara till näringsidkare som avses i 16 § 1 och 2 mom. utan också till specialfinansieringsbolag som avses i lagen om statens specialfinansieringsbolag (443/1998). Specialfinansieringsbolaget är anmälningsskyldigt enligt 16 § 2 mom. 3 punkten. Bolaget bedriver finansieringsverksamhet genom att ge och administrera bl.a. krediter, garantier, borgen och andra ansvarsförbindelser. Krediter och borgen kan ges även fysiska personer i egenskap av företagare, och vid bedömningen av vilken löneskötselförmåga den som ansöker om kredit eller borgen har beaktas bl.a. företagarens personliga ekonomi, inklusive tillgångar och skulder. I hänvisningen i det gällande inledande stycket förblir det oklart om avsikten är att 16 § 2 mom. ska täcka även specialfinansieringsbolaget. Eftersom specialfinansieringsbolaget inte är en näringsidkare, behövs preciseringen för att säkerställa att specialfinansieringsbolaget har rätt att få uppgifter från och med våren 2026.  

Det föreslås att paragrafens 6 mom. upphävs. Samtidigt föreslås det att hänvisningen till 6 mom., som ska upphävas, styrks i 7 mom. Enligt 6 mom. kan uppgifterna av grundad anledning även lämnas ut på något annat elektroniskt informationssäkert sätt och momentet skulle träda i kraft den 1 april 2026. Momentet kompletterar paragrafens 5 mom., enligt vilket uppgifterna lämnas ut via ett tekniskt gränssnitt i form av en kreditupplysningsrapport. Att momentet upphävs innebär att uppgifterna även efter den 1 april 2026 lämnas ut enbart via registrets tekniska gränssnitt i form av en kreditupplysningsrapport. Strävan med lösningar är i första hand att förbättra registrets informationssäkerhet samt skydda personuppgifterna i registret. I e-tjänsten skulle det öppnas rätt för kreditgivaren att fråga efter uppgifter om en kredit när Inkomstregisterenheten har beviljat kreditgivaren behörighet till e-tjänsten. Det tekniska genomförandet skulle ske med hjälp av suomi.fi-fullmakter. Kreditgivarna skulle befullmäktiga enskilda användare i suomi.fi-fullmaktstjänsten, varefter användarna skulle kunna logga in i e-tjänsten med egna bankkoder eller mobilcertifikat. I praktiken skulle tjänstens inloggningssidor finnas på öppna webbsidor, dvs. det skulle vara enkelt att komma åt uppgifterna även utanför kreditgivarens eget informationssystem, t.ex. från banktjänstemannens egen hemdator. Alla användare som befullmäktigats av innehavarna av datatillstånd skulle också ha obegränsad möjlighet att fråga efter uppgifter om vilken registrerad person som helst förbi kreditgivarens egna informationssystem, dvs. utan att kreditgivaren skulle ha direkt möjlighet att följa saken. Det krav som ställs genom registrets tekniska gränssnitt på att kreditgivaren innan förfrågan görs ska tekniskt försäkra sig om att ärendet är anhängigt, är inte på motsvarande sätt möjligt i e-tjänsten. När det gäller enskilda användare skulle kreditgivaren ensam ansvara för att administrera behörigheterna och säkerställa att de är aktuella. Inkomstregisterenheten skulle ha bristfällig insyn i de behörigheter som beviljats enskilda användare, liksom i deras aktualitet. Då skulle det finnas risk för att kreditgivaren felaktigt låter bli att avsluta en enskild tjänstemans behörighet när arbetstagaren byter arbetsuppgift eller arbetsplats utan att Inkomstregisterenheten kan verifiera detta på något sätt. Som personuppgiftsansvarig skulle Inkomstregisterenheten inte heller ha möjlighet att begränsa giltighetstiden för en enskild persons fullmakt, utan suomi.fi-fullmaktstjänsten gör det möjligt att bevilja en fullmakt för upp till 25 år.  

Enligt de utredningar som Inkomstregisterenheten gjort i samband med det tekniska genomförandet av registret skulle den användargränssnittsbaserade e-tjänst som planerats för registret inte heller användas i särskilt stor utsträckning för att lämna ut uppgifter ur registret. Med beaktande av att genomförandet och det senare upprätthållandet av den e-tjänst som behövs för att lämna ut uppgifter skulle orsaka avsevärda kostnader för Inkomstregisterenheten i förhållande till den ringa nyttan för kreditgivarna, kan det inte enligt en helhetsbedömning anses ändamålsenligt att genomföra en dylik utlämningsmetod i det positiva kreditupplysningsregistret. 

22 §.Uppgifter som lämnas till kreditgivare. Det föreslås att till paragrafen fogas ett nytt 4mom. , där det föreslås bestämmelser om de uppgifter om kreditansvar som hänför sig till aktielägenheter och som ska lämnas ut med en kreditupplysningsrapport enligt lagens 21 § 5 mom. Momentet innehåller en detaljerad och uttömmande förteckning över uppgifterna. Med stöd av momentet lämnas med en kreditupplysningsrapport ut uppgifter om kreditansvar som hänför sig till aktielägenheter endast till den del som de är nödvändiga för de ändamål som föreskrivs i lagens 21 § 1 och 2 mom. Uppgifterna lämnas ut med kreditupplysningsrapporter med iakttagande av samma noggrannhetsnivå som det föreskrivs att uppgifter om krediter som kreditgivarna meddelat ska lämnas ut i lagens gällande 22 § 1 och 2 mom. De uppgifter som lämnas ut innehåller inga sådana uppgifter utifrån vilka man ens indirekt skulle kunna sluta sig till på vilken adress eller i vilket område de aktielägenheter som presenteras i kreditupplysningsrapporten i själva verket ligger. Med beaktande av karaktären hos de uppgifter som finns i kreditupplysningsregistret och de betydande risker som hänför sig till behandlingen av de personuppgifter som ingår i registret, skyddar dessa begränsningar fysiska personer särskilt mot risker som hänför sig till eventuella dataintrång eller annat missbruk. Sålunda är det inte möjligt att det av kreditupplysningsrapporter framgår t.ex. adressuppgifter som berörs av spärrmarkering eller andra motsvarande uppgifter om aktielägenheternas läge som skulle göra det möjligt att kombinera olika uppgifter i en situation där uppgifter har läckt ut till aktörer som inte har rätt till dem.  

I enlighet med momentet har vid begränsningen av de uppgifter som lämnas ut med kreditupplysningsrapporter beaktats att åtminstone en del av de uppgifter som ingår i det positiva kreditupplysningsregistret eventuellt är känsliga uppgifter i ljuset av den dom som EU-domstolen meddelade i december 2023 (dom av den 7 december 2023, förenade målen C 26/22 och C 64/22, Schufa Holding, punkt 94, se närmare avsnitt 12). När uppgifter lämnas ut ur det positiva kreditupplysningsregistret för bedömning av konsumenters kreditvärdighet är det dock inte fråga om sådant automatiserat individuellt beslutsfattande som t.ex. kreditupplysningsföretags fastställande av ett sannolikhetsvärde, som det var fråga om i en annan dom som EU-domstolen meddelade samtidigt (dom av den 7 december 2023, C‑634/21 Schufa Holding, se särskilt punkterna 50 och 73). I Finland tillämpas 16 § i kreditupplysningslagen på automatiserad bedömning av kreditvärdigheten, om det är fråga om sådana som bedriver kreditupplysningsverksamhet. En kreditupplysningsrapport som produceras av det positiva kreditupplysningsregistret innehåller däremot ingen bedömning av kreditsökandens kreditvärdighet, utan den innehåller en specifikation av uppgifter om kreditsökandens befintliga krediter och inkomster, som beaktas vid bedömning av kreditvärdigheten. Uppgifterna i kreditupplysningsrapporten har i sig en betydande inverkan på bedömningen av kreditvärdigheten. Det är också möjligt att kreditgivarna utnyttjar de uppgifter som de får ur kreditupplysningsrapporten även för sådant beviljande av krediter som sker enbart med hjälp av automatiserad behandling. I det fallet tillämpas artikel 22.1 a eller c i den allmänna dataskyddsförordningen på den automatiserade kreditprocessen. 

Enligt det inledande stycket i momentet lämnas sådana uppgifter ut med en kreditupplysningsrapport som tagits fram utifrån de senaste anmälningarna från bostadsdatasystemet. Regleringen avviker till denna del från de gällande 22 § 1 och 2 mom., där det i fråga om de uppgifter som kreditgivarna anmält föreskrivs att uppdaterade uppgifter ska lämnas ut. Orsaken till skillnaden förklaras i motiveringen till 13 a § 7 punkten med tidsintervallet för uppdateringsskyldigheten beträffande de ekonomiska uppgifter som ska anmälas till bostadsdatasystemet, som gör att det inte i alla situationer går att få fullständigt aktuella uppgifter om beloppet av det kreditansvar som hänför sig till en viss aktiegrupp. Uppgifterna överförs alltid från bostadsdatasystemet till det positiva kreditupplysningsregistret i överensstämmelse med den senaste anmälan till bostadsdatasystemet och de lämnas ut till kreditgivarna med kreditupplysningsrapporten sådana de har fåtts ur bostadsdatasystemet. 

Dessutom föreskrivs det i momentets inledande stycke att med kreditupplysningsrapporten ska lämnas ut det sammanlagda antalet sådana aktiegrupper som en person äger. Uppgiften motsvarar i fråga om kreditansvar som hänför sig till aktielägenheter den i paragrafens gällande 1 mom. 3 punkten avsedda uppgift om det sammanlagda antalet krediter som en person har, som lämnas ut med kreditupplysningsrapporten i fråga om krediter som kreditgivarna har anmält. Av uppgiften kan man enkelt sluta sig till exempelvis huruvida en person äger investeringsbostäder i större skala, till vilka hänför sig ansvar för krediter som bolaget lyft. I det inledande stycket föreskrivs det också att de uppgifter per aktiegrupp som uppräknas i momentet ska lämnas ut med kreditupplysningsrapporten. 

Eftersom de uppgifter som registreras i det positiva kreditupplysningsregistret inte till alla delar är aktuella, begränsar detta åtminstone i vissa situationer den registrerades rätt enligt dataskyddsförordningen att bli bedömda utifrån riktiga och uppdaterade uppgifter. God kreditupplysningssed, som det föreskrivs om i 5 § i kreditupplysningslagen, förutsätter också att fysiska personer bedöms utifrån korrekt och relevant information, och den som använder kreditupplysningar ska se till att denna rätt inte äventyras. Begränsningen av den registrerades rätt baserar sig på artikel 23.1 e i den allmänna dataskyddsförordningen (viktiga mål av generellt allmänt intresse) och i (skydd av den registrerade). Det positiva kreditupplysningsregistrets mål att skydda fysiska personer mot överskuldsättning härför sig till mål av allmänt intresse som avses i dessa led. Med beaktande av husbolagslåns betydelse i finländska hushålls skuldstruktur och att enskilda aktieägares kreditandelar till stor del faktiskt ska betalas av hushåll och fysiska personer, är utvidgningen av registrets informationsinnehåll en nödvändig och proportionell åtgärd för att nå målet som gäller allmänt intresse. I de uppgifter som registreras i registret beaktas vilka uppgifter som är relevanta och tillräckliga för att säkerställa att kreditgivaren känner till det befintliga kreditansvaret och vid behov kan separat försäkra sig om det aktuella beloppet av kreditandelen. Begränsningen ingriper inte heller till centrala delar i de grundläggande fri- och rättigheterna. Kreditgivaren får uppgift om kreditansvar som registrerats i registret och tidpunkten då uppgiften har uppdaterats. I det fall att uppgiften om beloppet av kreditansvaret inte är aktuell, gör uppgiften om uppdateringstidpunkt det möjligt för kreditgivaren att effektivare än nu vid behov kontrollera det aktuella beloppet av kreditansvaret med kreditsökanden eller gäldenären. För att iaktta god kreditupplysningssed är det också skäl för kreditgivaren att ombesörja detta. 

Enligt 1 punkten lämnas med kreditupplysningsrapporten ut personens ägarandel i aktiegruppen och antalet ägare. Uppgifterna behövs för att sluta sig till vilken andel av det i 3 punkten avsedda sammanlagda beloppet av det kreditansvar som hänför sig till aktiegruppen som kalkylmässigt hänför sig till den persons ansvar som kreditupplysningsrapporten gäller. Utan information om personens ägarandel och antalet ägare är det inte möjligt att göra denna bedömning på ett tillförlitligt sätt, eftersom de olika delägarnas ägarandelar i aktiegruppen inte alltid är lika stora.  

Enligt 2 punkten lämnas med kreditupplysningsrapporten ut det sammanlagda beloppet av det kreditansvar som hänför sig till aktiegruppen och datum för beräkningen av det. I kreditupplysningsrapporten är således beloppet av kreditansvaret inte färdigt fördelat så att det motsvarar aktieägarens ägarandel, utan den angivna summan beskriver alltid det sammanlagda beloppet av det kreditansvar som hänför sig till aktiegruppen i fråga. Lösningen motsvarar de uppgifter om penningbelopp som gäller krediter som kreditgivarna meddelat och som ska lämnas ut med stöd av paragrafens gällande 2 mom. 6 punkten, och som inte heller har delats med antalet gäldenärer. Kreditgivarna ska alltså i samband med att en kredit beviljas med hjälp av den uppgift som beskriver personens ägarandel bedöma till vilken del det kreditansvar som hänför sig till aktiegruppen belastar just den personens löneskötselförmåga. Av datum för beräkning av ansvarsbeloppet kan man sluta sig till när ansvarsbeloppet senast har uppdaterats i bostadsdatasystemet och är det sannolikt att beloppet har hunnit ändras väsentligt efter den senaste uppdateringen.  

Enligt 3 punkten lämnas med kreditupplysningsrapporten ut det sammanlagda beloppet av det kapitalvederlag som hänför sig till aktiegruppen och datum för när skyldigheten att betala vederlaget börjat eller börjar gälla i fråga om gällande och kommande vederlag. Beloppet av kapitalvederlagen beskriver personens månatliga lånekostnader för de kreditansvar som hänför sig till aktielägenheter. Inte heller beloppet av kapitalvederlagen är färdigt fördelat så att det motsvarar aktieägarens ägarandel, utan kreditgivarens ska göra motsvarande bedömning som förklaras ovan i fråga om det sammanlagda beloppet av kreditansvaret. Av det datum då skyldigheten att betala vederlaget börjar kan man sluta sig till vilken räntesituation som rådde på finansmarknaden när beloppet senast ändrades och är det sannolikt att vederlaget kommer att stiga ytterligare eller alternativ sjunka till följd av ränteändringar som inträffat på finansmarknaden efter tidpunkten i fråga. Om ett framtida vederlag och datum för det är känt lämnas även denna uppgift ut med kreditupplysningsrapporten.  

Enligt 4 punkten lämnas med kreditupplysningsrapporten ut uppgift om vilka kreditansvar som hänför sig till aktiegrupper i samma bolag. Uppgiften presenteras genom att gruppera de aktiegruppspecifika uppgifterna om kreditansvar enligt bolag i kreditupplysningsrapporten. Om personen äger flera aktiegrupper, presenteras de olika aktiegrupperna under mellanrubriker i kreditupplysningsrapporten på så vis att det framgår av rapporten vilka aktiegrupper som finns i samma bolag. I kreditupplysningsrapporten används inte bolagets namn i rubriceringen, utan den är helt anonym så att det inte av dem går att sluta sig till i vilket bolag aktiegruppen finns. Uppgiften om kreditansvar som hänför sig till samma bolag är av betydelse för kreditgivningen särskilt om en person äger flera aktiegrupper i samma bolag, och till dem hänför sig kreditansvar för nybyggande och totalrenovering till avsevärda belopp. I en sådan situation skulle bolagets eventuella betalningssvårigheter har särskilt stor inverkan på personens ekonomiska situation och löneskötselförmåga, varvid saken är en betydelsefull omständighet som måste beaktas i riskbedömningen i samband med beviljandet av kredit. Till den del kreditgivaren inte får tillräckliga uppgifter ur kreditupplysningsrapporten för riskbedömningen med tanke på beviljandet av den aktuella krediten, måste kreditgivaren till behövliga delar på nuvarande sätt begära tilläggsuppgifter av kreditsökanden. Till följd av tillägget blir paragrafens nuvarande 4–6 mom. 5–7 mom. Samtidigt föreslås det att orden ”i denna paragraf” fogas till 5 mom. för att förtydliga att det i momentet hänvisas till bestämmelser i lagen om ett positivt kreditupplysningsregister. Hur uppgifterna syns i kreditupplysningsrapporten och e-tjänsten kan åskådliggöras med hjälp av följande exempel.  

23 a §.Skyldighet att identifiera fysiska personer. Det föreslås att till lagen fogas en ny 23 a § , där det föreskrivs om skyldighet för dem som inhämtar en kreditupplysningsrapport att identifiera en kreditsökande, en borgensman och en tredjemanspantsättare samt en gäldenär som ansöker om ändring i kreditavtalet. Enligt den föreslagna paragrafen ska den som inhämtar uppgifter om en fysisk person ur det positiva kreditupplysningsregistret för att använda dem för ändamål som anges i 21 § 1 eller 2 mom. identifiera personen och vid behov verifiera personens identitet innan uppgifterna inhämtas. Skyldigheten gäller alla kreditgivare som med stöd av datatillstånd enligt lagens 27 a § som beviljats av Inkomstregisterenheten har rätt att inhämta en kreditupplysningsrapport ur registret. Den föreslagna bestämmelsen gäller således endast de näringsidkare och specialfinansieringsbolaget, för vilka ett tekniskt gränssnitt har öppnats till det positiva kreditupplysningsregistret. Syftet med ändringen är att stärka skyddet för privatlivet och skyddet för personuppgifter genom att minska riskerna för missbruk av kreditupplysningar och särskilt personbeteckningar.  

På andra ställen i lagen föreskrivs det om skyldighet att identifiera kunder, som ändå inte i samtliga fall infaller innan uppgifter inhämtas ur det positiva kreditupplysningsregistret. Skyldigheten gäller inte heller på ett heltäckande sätt med stöd av annan lagstiftning alla fysiska personer beträffande vilka uppgifter inhämtas ur det positiva kreditupplysningsregistret. I enlighet med konsumentskyddslagen ska bedömningen av en konsuments kreditvärdighet (lagens 7 kap. 14 § och 7a kap. 11 §) och kontroll av identiteten (lagens 7 kap. 15 §) göras innan kreditavtalet ingås. Kontrollen av identiteten enligt konsumentskyddslagen sker inte nödvändigtvis innan kreditgivaren inhämtar kreditupplysningsrapporten ur det positiva kreditupplysningsregistret. Enligt 3 kap. 2 § 4 mom. i penningtvättslagen ska dessutom kundens identitet kontrolleras när kundförhållandet etableras eller senast innan kunden får bestämmanderätt över de medel eller annan egendom som ingår i transaktionen eller innan transaktionen har slutförts. Enligt penningtvättslagen räcker det således att kreditsökandens identitet kontrolleras i det skede då medlen enligt kreditavtalet överlämnas till honom eller henne. Utdrag ur kreditupplysningsregistret efterfrågas alltid före denna tidpunkt. Bestämmelser om kundkontroll och identifiering av kunden ingår också i kreditinstitutslagen, lagen om tillhandahållare av virtuella valutor och lagen om betalningsinstitut. I dessa lagar föreskrivs det dock inte om någon tidpunkt för identifieringen. Skyldigheterna enligt dessa lagar gäller inte heller alla som är anmälningsskyldiga till det positiva kreditupplysningsregistret. Utanför står i synnerhet anmälningsskyldiga som beviljar kredit till andra fysiska personer än konsumenter. Utöver de ovannämnda speciallagarna följer av EU:s allmänna dataskyddsförordning en allmän aktsamhets- och exakthetsplikt för personuppgiftsansvariga och personuppgiftsbiträden, men ingen uttrycklig skyldighet att säkerställa identiteten med hjälp av t.ex. stark autentisering. 

Med tanke på de risker som hänför sig till skyddet för personuppgifter med anknytning till det positiva kreditupplysningsregistret räcker det inte att kreditsökanden, gäldenären, borgensmannen eller tredjemanspantsättaren identifieras först efter det att kreditupplysningsrapporten har inhämtats ur registret. Av denna orsak är det nödvändigt att i lagen föreskriva om uttrycklig skyldighet att identifiera fysiska personer. I den nya paragrafen ställs det inga detaljerade krav på hur en enskild kreditgivare ska identifiera en fysisk person eller verifiera identiteten, förutsatt att det görs innan uppgifterna om den fysiska personen inhämtas ur registret. Med identifiering av en person avses detsamma som i 29 § 5 mom. i dataskyddslagen (1050/2018). Enligt momentet får enbart personbeteckningen eller en kombination av personbeteckningen och den registrerades namn inte användas för utredning av den registrerades identitet med hjälp av uppgifter som den registrerade har uppgett eller lämnat eller med hjälp av handlingar som den registrerade har visat upp (identifiering). Med verifiering av identiteten avses detsamma som kontroll av identiteten i penningtvättslagen, dvs. säkerställande av en kunds identitet utifrån handlingar och uppgifter från en tillförlitlig och oberoende källa. I praktiken betyder detta t.ex. pass eller identitetskort. Behovet av separat verifiering av identiteten är beroende av hur kreditgivaren har ordnat processen för ansökan om kredit och på vilket sätt kunden har identifierats. Kreditsökandens identitet kan säkerställas bl.a. med hjälp av stark autentisering enligt lagen om stark autentisering och betrodda elektroniska tjänster (617/2009), och då behövs inte nödvändigtvis separat verifiering. 

Den föreslagna identifieringsskyldigheten kompletterar vid sidan av de ovannämnda skyldigheterna de skyddsåtgärder i anslutning till dataskyddet och informationssäkerheten som baserar sig på de allmänna bestämmelserna om dataskydd och informationshantering, samt förfarandet med datatillstånd enligt 27 a § i lagen om ett positivt kreditupplysningsregister. Förutsättningen för att en kreditgivare ska få tillgång till uppgifter i kreditupplysningsregistret är att det har gjorts en ansökan om saken. Vid behandlingen av ansökan bedömer Inkomstregisterenheten alltid om kreditgivaren har rätt till uppgifter i enlighet med 21 §. Dessutom ska kreditgivarna lägga fram en tillräcklig utredning om företaget och dess verksamhet, användningsändamålet för uppgifterna samt skyddet av uppgifterna och tillsynen över användningen av dem. Inkomstregisterenheten har rätt att vägra ge ut uppgifter eller återkalla ett beslut, om de förutsättningar för utlämnande av uppgifter som anges i denna lag eller någon annanstans i lag inte uppfylls. Användningen och behandlingen av kreditupplysningar är dessutom föremål för tillsyn enligt kreditupplysningslagen, den allmänna dataskyddsförordningen och konsumentskyddslagen. 

32 §.Bevaringstid för uppgifterna. Det föreslås att 1 punkten ändras så att i fråga om engångskrediter gäller samma bevaringstid inte bara de uppgifter som avses i 10 § 1 mom. utan också alla uppgifter som avses i 10 § 2 mom. Genom ändringen avförs alla uppgifter om engångskrediter två år efter det att skyldigheten att betala krediten har upphört.  

Det föreslås att 2 punkten ändras så att i fråga om fortlöpande krediter gäller samma bevaringstid inte bara de uppgifter som avses i 10 § 1 mom. utan också alla uppgifter som avses i 10 § 3 mom. Genom ändringen avförs alla uppgifter om fortlöpande krediter två efter det att kreditavtalet har löpt ut och skyldigheten att betala krediten har upphört.  

För att beakta ändringarna i 1 och 2 punkten stryks dessutom hänvisningarna till 10 § 2 mom. 1–4 punkten och 3 mom. i 3 punkten . De föreslagna ändringarna i 32 § 1–3 punkten betyder i praktiken att bevaringstiderna för beloppet av amorteringen av en engångskredit, beloppet av ränta och andra kreditkostnader som betalats för engångs- och fortlöpande krediter samt datumen då dessa betalats förenhetligas i fråga om engångskrediter i 1 punkten och i fråga om fortlöpande krediter i 2 punkten. Uppgifterna om en enskild kredit bevaras under kreditens hela livscykel.  

Det föreslås dock ingen ändring i bevaringstiden för uppgifter som uttrycker gäldenärens betalningssvårigheter, utan t.ex. uppgift om dröjsmål med betalningen av en kredit avförs när uppgift om att betalningsdröjsmålet inte längre gäller har förmedlats till registret. Således förblir bevaringstiderna för särskilt känsliga uppgifter på samma sätt som i nuläget kortare än för andra uppgifter. I enlighet med principen om uppgiftsminimering ska samtliga kreditupplysningar i fortsättningen bevaras i registret endast så länge som det behövs med tanke på ändamålet med behandlingen av personuppgifter. De föreslagna ändringarna förbättrar uppgifternas användbarhet och kvalitet samt underlättar stabiliteten och tillförlitligheten hos registrets tekniska funktion. 

De föreslagna ändringarna inverkar inte på innehållet i eller omfattningen av de uppgifter som lämnas ut till kreditgivarna. Till kreditgivarna lämnas även i fortsättningen ut endast aktuella uppgifter i registret för de ändamål som anges i 22 §. Till kreditgivare lämnas t.ex. endast uppgift om den senaste amorteringen av krediten ut. För de myndigheter som använder registret är det emellertid även i fortsättningen nödvändigt att uppgifter bevaras i registret och kan fås ur det för de ändamål som föreskrivs särskilt i lagen inom ramen för enhetliga bevaringstider. 

I 5 punkten föreslås en teknisk precisering så att de uppgifter som avses i lagens 13 § avförs när tiden för betalningsprogrammet har löpt ut eller saneringsprogrammet har upphört eller när programmet har förfallit. Genom preciseringen förtydligas att bevaringen av uppgift om ett betalningsprogram som hänför sig till skuldsanering är avsedd att vara bunden till tiden för betalningsprogrammet, och kreditgivaren ska anmäla till registret när tiden för betalningsprogrammet har löpt ut. På motsvarande sätt anses en företagssanering har upphört när betalningarna enligt saneringsprogrammet har gjorts till gäldenärerna och personen har fullgjort sina övriga skyldigheter enligt programmet. Samtidigt säkerställs det att uppgiften inte bevaras längre i det positiva kreditupplysningsregistret än i skuldsaneringsregistret. EU-domstolen har betraktat det som problematiskt att uppgifter angående skuldsanering som beviljats en person bevaras i privata kreditupplysningsregister efter det att de raderats från det offentliga insolvensregistret, eftersom dessa uppgifter fortfarande används som en negativ faktor vid bedömningen av en sådan persons kreditvärdighet (dom av den 7 december 2013, Schufa Holding, förenade målen C 26/22 och C 64/22, punkterna 98–100). Domstolen har redan slagit fast att förekomsten av samma personuppgifter i flera källor förstärker ingreppet i den enskildes rätt till privatliv (dom av den 13 majs 2014, Google Spain, C 131/12, punkterna 86 och 87). Trots att det positiva kreditupplysningsregistret är ett register som förs av en myndighet, är det motiverat att även där begränsa samtidigt bevaring av uppgifter till endast vad som är nödvändigt (se också avsnitt 12 nedan i denna proposition).  

Det föreslås att till paragrafen fogas en ny 6 punkt , där det föreskrivs om bevaringstiden för de uppgifter som avses i 13 a § och som gäller kreditansvar som hänför sig till aktielägenheter. Enligt den avförs uppgifterna när det har anmälts att aktieägarens kreditansvar i aktiegruppen har upphört. Trots att kreditansvaret för ett bolagslån i princip hänför sig till aktiegruppen, anmäls uppgifter om kreditansvar till och registreras i det positiva kreditupplysningsregistret enligt aktieägare. Avsikten är att uppgiften ska förmedlas från bostadsdatasystemet till det positiva kreditupplysningsregistret när kreditansvaret har upphört för den fysiska personens del.  

Aktieägarens ansvar för de kreditansvar som hänförts till en viss aktiegrupp kan upphöra antingen därför att de kreditansvar som hänförts till aktiegruppen i fråga har betalats helt och hållet till bolaget eller därför att aktieägarens innehav i aktiegruppen i fråga har upphört t.ex. för att aktierna har sålts. I bägge fallen avförs uppgifterna om de kreditansvar som hänför sig till aktiegruppen när uppgift om att kreditansvaret har upphört har fåtts till det positiva kreditupplysningsregistret från bostadsdatasystemet. Kreditansvaret kan dessutom upphöra och uppgifterna avföras ur det positiva kreditupplysningsregistret också därför att personen avlidit, när uppgiften om dödsfallet har överförts till registret. Med beaktande av att bevaringstiden är bunden till förändringen i omständigheterna, kan det hända att uppgiften avförs med ett dröjsmål till följd av skyldigheter som hänför sig till registerföringen. Uppgiften lämnas ändå inte ut till kreditgivaren efter det att den personuppgiftsansvarige har fått uppgift om att kreditansvaret upphört. Vid samägande kan de olika delägarnas innehav i en viss aktiegrupp upphöra vid olika tidpunkter, och därför föreskrivs att uppgifterna ska avföras särskilt för varje ägare. När kreditansvaret upphör därför att innehavet upphör, avförs uppgifterna endast i fråga om de delägare vars innehav har upphört. För de andra delägarna kvarstår uppgifterna i registret. Till följd av tillägget blir den gällande 6–8 punkten 7–9 punkten.  

34 §.Ikraftträdande. Lagen ikraftträdelsebestämmelser ändras genom att hänvisningarna till 19 § 4 mom. och 21 § 6 mom. slopas. Det föreslås att dessa moment upphävs.  

7.2  Lagen om ett bostadsdatasystem

13 §.Besittningsobjektsregister. I 13 § i lagen om ett bostadsdatasystem ingår bestämmelser om besittningsobjektsregistret. Lantmäteriverket för registret för skötseln av de uppgifter som anges i lagens 2 kap. och för ordnande av informationstjänster. Av motiveringen till paragrafen framgår dock att i fråga om ett bolags ekonomiska uppgifter innehåller besittningsobjektsregistret speciellt uppgifter som behövs för förandet av det positiva kreditupplysningsregistret. I lagens 13 a § föreskrivs närmare om de uppgifter som inkluderas i bostadsdatasystemet för förandet av det positiva kreditupplysningsregistret.  

För att närmare beakta det ursprungliga syftet med insamlande av besittningsobjektsregistrets ekonomiska uppgifter föreslås det att det inledande stycket i 13 § 1 mom. ändras så att som ett uttryckligt ändamål med uppgifterna i besittningsobjektsregistret tillfogas framtagande av de uppgifter som krävs för det positiva kreditupplysningsregistret. Framtagande av de uppgifter som krävs för det positiva kreditupplysningsregistret är en del av bostadsdatasystemets syfte att betjäna samhällets informationsbehov samt en del av den informationstjänst för vilken uppgifterna i besittningsobjektssystemet insamlas. Det är dock nödvändigt att precisera ändamålet med besittningsobjektsregistret till denna del för att beakta kravet på ändamålsbegränsning vid behandlingen av personuppgifter samt kreditupplysningarnas eventuella karaktär av känsliga uppgifter. Enligt artikel 5.1 b i den allmänna dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I artikel 6.4 i dataskyddsförordningen föreskrivs det om behandling som inte är förenlig med det ursprungliga ändamålet med behandlingen. Trots att avsikten med uppgifterna i besittningsobjektsregistret enligt motiveringen har varit att betjäna uttryckligen det positiva kreditupplysningsregistrets behov, och det således finns ett nära samband mellan det ursprungliga och det senare ändamålet, framgår detta inte tillräckligt tydligt och noggrant avgränsat av den gällande lagens bestämmelser. Överföringen av uppgifter till det positiva kreditupplysningsregistret och vidare med kreditupplysningsrapporter har också konsekvenser för de registrerade när kreditansökningar behandlas. Kravet på ändamålsbegräsning i förhållande till grundlagen förklaras i avsnitt 12.  

Det föreslås inga ändringar i de andra bestämmelserna i lagen om ett bostadsdatasystem. I lagens 19 § 3 mom. föreskrivs redan nu om rätt för Inkomstregisterenheten att få de uppgifter som är nödvändiga för att föra det positiva kreditupplysningsregistret. I enlighet med lagbestämmelsen förutsätter rätten att få uppgifter inte någon tillståndsprocess. På uppgiftsöverföringar tillämpas dock bestämmelserna om informationssäkerhet i lagen om informationshantering inom den offentliga förvaltningen och EU:s allmänna dataskyddsförordning. Iakttagandet av vardera författningens krav börjar omfattas av tillsyn när de lagändringar som ingår i regeringens proposition om genomförande av NIS 2-direktivet (RP 57/2024 rd) har trätt i kraft. Tillsynen över användningen av bostadsdatasystemet beskrivs dessutom i avsnitt 4.2.4.2 i regeringens proposition med förslag till lag om ändring av lagen om ett bostadsdatasystem (RP 168/2022 rd). 

7.3  Lagen om upphävande av 22 § 2 mom. 12 punkten i lagen om ett positivt kreditupplysningsregister

Genom denna proposition föreslås att det stiftas en lag genom vilken 22 § 2 mom. 12 punkten i lagen om ett positivt kreditupplysningsregister upphävs. Till riksdagen överlämnades den 23 januari 2025 regeringens proposition med förslag till lagar om ändring av lagen om inkomstdatasystemet och 22 och 25 § i lagen om ett positivt kreditupplysningsregister (RP 216/2024 rd). Riksdagen har antagit lagarna och de avses träda i kraft den 4 januari 2027. Den föreslagna separata lagen är nödvändig av lagstiftningstekniska skäl för att beakta de olika ikraftträdelsedatumen för de ändringar som hänför sig till samma paragraf. 

I 1 § föreskrivs att 22 § 2 mom. 12 punkten i lagen om ett positivt kreditupplysningsregister upphävs. Lagens nummer läggs till bestämmelsen i samband med publiceringen. I 2 § anges tidpunkten för ikraftträdandet av lagen. Lagen avses träda i kraft den 4 januari 2027.  

11.1  Förhållande till budgetpropositionen

Regeringens proposition har samband med den tredje tilläggsbudgeten för 2024, som godkänts tidigare (RSv 23/2024 rd–RP 153/2024 rd). De återstående behoven av tilläggsfinansiering ska täckas med senare anslag enligt rambesluten för statsfinanserna och statsbudgeten.