Senast publicerat 01-08-2025 16:37

Utlåtande GrUU 21/2025 rd RP 25/2025 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om ett övervakningssystem för bank- och betalkonton, lagen om beskattningsförfarande och 30 § i lagen om beskattningsförfarandet beträffande skatter som betalas på eget initiativ

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om ett övervakningssystem för bank- och betalkonton, lagen om beskattningsförfarande och 30 § i lagen om beskattningsförfarandet beträffande skatter som betalas på eget initiativ (RP 25/2025 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • specialsakkunnig Milka Tornberg-Nyman 
    inrikesministeriet
  • biträdande dataombudsman Heljä-Tuulia Pihamaa 
    dataombudsmannens byrå
  • professor Tomi Voutilainen. 

Skriftligt yttrande har lämnats av 

  • biträdande professor Anu Mutanen 
  • professor Tuomas Ojanen. 

PROPOSITIONEN

Regeringen föreslår att lagen om ett övervakningssystem för bank- och betalkonton, lagen om beskattningsförfarande och lagen om beskattningsförfarandet beträffande skatter som betalas på eget initiativ ändras. 

De föreslagna lagarna avses träda i kraft den 1 december 2025. 

I propositionen ingår ett avsnitt om förslagens förhållande till grundlagen och lagstiftningsordningen. Regeringen anser att lagförslagen kan behandlas i vanlig lagstiftningsordning. Av orsaker som beskrivs närmare i propositionen anser regeringen det dock önskvärt att grundlagsutskottet ger ett utlåtande i frågan. 

UTSKOTTETS ÖVERVÄGANDEN

(1) Regeringen föreslår att en ny funktion, det centraliserade elektroniska systemet för transaktions- och saldouppgifter, byggs in i övervakningssystemet för bank- och betalkonton. Via det har myndigheterna möjlighet att göra förfrågningar om kontotransaktions- och saldouppgifter och om uppgifter om värdepapper hos kredit- och betalningsinstituten och vissa andra aktörer enligt föreslagna 1 a §. Regeringen föreslår inte nya befogenheter för myndigheterna att få tillgång till kontotransaktions- och saldouppgifter och uppgifter om värdepapper, utan de myndigheter som redan för närvarande får kontotransaktions- och saldouppgifter samt uppgifter om värdepapper för att sköta sina uppgifter enligt de egna befogenhetsbestämmelserna kan använda övervakningssystemet för bank- och betalkonton för att göra och ta emot dessa förfrågningar. Det handlar med andra ord om ett förslag om utlämnade och förmedling av uppgifter på elektronisk väg. Den föreslagna ändringen ändrar det tekniska sättet att lämna ut information med vilket myndigheterna får kontotransaktions- och saldouppgifter från kredit- och betalningsinstituten och övriga uppgiftslämnare. 

(2) De föreslagna bestämmelserna om behandling av kontotransaktions- och saldouppgifter är betydelsefulla med tanke på skyddet för privatlivet och skyddet för personuppgifter enligt 10 § i grundlagen. 

(3) Med avseende på 10 § 1 mom. i grundlagen räcker det enligt grundlagsutskottet i princip med att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses utifrån den allmänna dataskyddsförordningen och den allmänna lagstiftningen på nationell nivå. Vi bör alltså förhålla oss restriktivt till att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 

(4) Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också dataskyddsförordningen kräver måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). 

Känsliga uppgifter

(5) Grundlagsutskottet har bedömt regeringens proposition till riksdagen med förslag till lag om ett övervakningssystem för bank- och betalkonton och till vissa lagar som har samband med den (GrUU 48/2018 rd), som ledde till den gällande regleringen. Utskottet hänvisade då till sin tidigare åsikt att banksekretessen inte är en faktor som hör till kärnan i det som avses med privatlivet (GrUU 14/2002 rd, s. 4/II, GrUU 7/2000 rd, s. 4/I). Utskottet framhöll sig senare ha omvärderat sin syn på innebörden av kärnan i skyddet för privatlivet. Med hänvisning också till EU-domstolens praxis i fråga om skyddet för privatlivet ansåg utskottet att i ju större utsträckning privatpersoner gör sina betalningar via ett bankkonto i stället för att använda kontanter, desto mer detaljerad blir den bild man kan få av deras privatliv utifrån transaktionerna på kontot. Transaktionerna kan rentav avslöja känsliga uppgifter såsom medlemskap i religionssamfund och användning av hälso- och sjukvårdstjänster. Därför kan fysiska personers detaljerade kontouppgifter jämställas med känsliga uppgifter som hör till kärnan i skyddet för privatlivet (GrUU 48/2018 rd, s. 4). 

(6) Grundlagsutskottet har betonat de hot som orsakas av behandling av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter är förknippade med allvarliga risker som gäller informationssäkerhet och missbruk av uppgifter. I sista hand kan det vara en persons identitet som är hotad. (GrUU 13/2016 rd och GrUU 14/2009 rd, s. 3/I) Även i skäl 51 i EU:s allmänna dataskyddsförordning och i skäl 37 i dataskyddsdirektivet för brottsbekämpning framhålls det att särskilda personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. Bestämmelser om behandling av känsliga uppgifter måste vara detaljerade och omfattande, inom de ramar som EU:s dataskyddslagstiftning tillåter (se t.ex. GrUU 65/2018 rd, s. 45, och GrUU 15/2018 rd, s. 40). 

(7) Utskottet fäste vid bedömningen av den proposition som ledde till den gällande regleringen också uppmärksamhet vid att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätten till information är, desto större är risken för att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om uppgifter måste motiveras. Då kan också den som lämnar ut uppgifterna bedöma en begäran med avseende på de lagliga villkoren för att lämna ut dem. Genom att de facto vägra lämna ut uppgifterna kan den som innehar dem skapa en situation där en utomstående myndighet måste undersöka skyldigheten att lämna ut uppgifter, det vill säga tolka bestämmelserna. Denna möjlighet är viktig för att samordna tillgången till information och intresset för att iaktta sekretess. Utskottet anser att de här utgångspunkterna också kan tillämpas på rätten att få och lämna ut uppgifter trots banksekretessen (GrUU 48/2018 rd, s. 5). Enligt utskottet skulle man genom den reglering som då föreslogs ha inrättat ett system genom vilket personuppgifter som omfattas av banksekretessen kunde lämnas ut till flera olika myndigheter utan tillräcklig förhandskontroll (GrUU 48/2018 rd, s. 7). 

(8) Grundlagsutskottet noterar att när det gäller bestämmelserna om behandling av känsliga uppgifter ska det konstitutionella nödvändighetskravet vara lagtekniskt genomfört på behörigt sätt, vilket också ska innebära att behandlingen av personuppgifter genom tillräckliga kontroller begränsas till vad som är nödvändigt. I propositionen (t.ex. s. 113—114 och 120) verkar tanken med förhandskontroll framför allt vara att säker och behörig behandling av uppgifter stöder sig på systemet med tjänsteansvar. Grundlagsutskottet har upprepade gånger konstaterat att skyddet för uppgifter från obehörig användning inte uteslutande kan baseras på det tjänsteansvar som gäller för den personuppgiftsansvarige eller den som hanterar uppgifterna (GrUU 4/2021 rd, GrUU 65/2018 rd, GrUU 52/2018 rd, PeVL 51/2018 rd). 

(9) Enligt propositionsmotiven (s. 52) ska en myndighet då den gör en förfrågan alltid meddela den bestämmelse som ligger till grund för begäran om information. När fallets specifikationsuppgifter och övriga bakgrundsuppgifter som är nödvändiga för förfrågan har fyllts i, förmedlar sammanställningsprogrammet uppgifter vidare till uppgiftslämnarna samt de svar som fåtts på dessa till de behöriga myndigheterna. 

(10) Grundlagsutskottet noterar att med tanke på förhandskontrollen kontrollerar identifieringsuppgifterna i begäran relativt formellt begärandena om information. Identifieringsuppgifterna innehåller inga uppgifter om hur utövandet av rätten att få uppgifter har bedömts i förhållande till nödvändighetskravet hos den behöriga myndighet som begär uppgifterna. Grundlagsutskottet anser att det är motiverat att en sådan nödvändighetsbedömning registreras antingen i saldo- och kontotransaktionssystemet eller i den behöriga myndighetens eget informationssystem för att säkerställa förhandskontrollen och för att verifiera att var och en som begärt information har bedömt omfattningen av begäran om information på det sätt som föreslås i lagförslaget och i enlighet med gällande rättigheter att få uppgifter. Förvaltningsutskottet bör komplettera förslaget med bestämmelser om registrering av nödvändighetsbedömningen. 

Uppgifter om kontotransaktioner och värdepapper

(11) I 17 d § i lagförslag 1 föreslås bestämmelser om uppgifter om kontotransaktioner och värdepapper, vilka kan erhållas ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Enligt 1 mom. 7 punkten är det möjligt att ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter begära andra än i 1—6 punkten avsedda uppgifter som hänför sig till kontotransaktionen. 

(12) Enligt propositionen (s. 113) iakttas ISO20022-meddelandestrukturen, som används av de europeiska lagtillsynsmyndigheterna, för att göra förfrågningar om kontotransaktionsuppgifter och sända svar på dessa. Enligt propositionsmotiven innehåller ISO20022-meddelandestrukturen ett brett uppgiftsinnehåll om kontotransaktionerna för den fysiska eller juridiska person som är föremål för förfrågan, och därför är det inte möjligt att definiera varje del av meddelandestrukturen på paragrafnivå. Enligt motiven gäller 17 d § 1 mom. 7 punkten i lagförslag 1 därför alla andra uppgifter som gäller en kontotransaktion än de som definierats i 1—6 punkten. 

(13) Grundlagsutskottet noterar att bestämmelsen i 7 punkten utvidgar de uppgifter som fås med stöd av paragrafen på ett sätt som lämnar föremålet för myndighetens rätt att få information tämligen vagt. Eftersom de uppgifter som avses i 17 d § 1—7 punkten i lagförslag 1 till betydande delar är känsliga personuppgifter, är en sådan vaghet inte problemfri med tanke på utskottets krav på att det måste finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt och att bestämmelserna om behandling av personuppgifter måste vara detaljerade och omfattande, inom de ramar som EU:s dataskyddslagstiftning tillåter (GrUU 65/2018 rd, s. 45, GrUU 15/2018 rd, s. 40). Förvaltningsutskottet bör förtydliga den föreslagna regleringen genom att avgränsa uppgifterna exempelvis till de uppgifter som finns tillgängliga i den ovannämnda meddelandestrukturen, på det sätt som beskrivs i motiveringen. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning. 
Helsingfors 3.6.2025 

I den avgörande behandlingen deltog

ordförande 
Heikki Vestman saml 
 medlem 
Fatim Diarra gröna 
 medlem 
Petri Honkonen cent 
 medlem 
Hannu Hoskonen cent 
 medlem 
Atte Kaleva saml 
 medlem 
Teemu Keskisarja saf 
 medlem 
Kimmo Kiljunen sd 
 medlem 
Johannes Koskinen sd 
 medlem 
Jarmo Lindberg saml 
 medlem 
Mats Löfström sv 
 medlem 
Mira Nieminen saf 
 medlem 
Karoliina Partanen saml 
 medlem 
Onni Rostila saf 
 medlem 
Ville Skinnari sd 
 medlem 
Johannes Yrttiaho vänst. 
 

Sekreterare var

utskottsråd 
Johannes Heikkonen.