HE 163/2021

Hallituksen esitys eduskunnalle laeiksi pankki- ja maksutilien valvontajärjestelmästä annetun lain ja rahanpesun selvittelykeskuksesta annetun lain muuttamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan muutettaviksi pankki- ja maksutilien valvontajärjestelmästä annettua lakia ja rahanpesun selvittelykeskuksesta annettua lakia. Esityksen tarkoituksena on täytäntöönpanna rahoitustietodirektiivi, täydentää viidennen rahanpesudirektiivin täytäntöönpanoa ja lisäksi antaa täydentävää sääntelyä kansallisista muutostarpeista johtuen.

Rahoitustietodirektiivin täytäntöönpanon edellyttämällä tavalla esityksessä ehdotetaan niiden viranomaisten nimeämistä, joilla olisi pääsy pankki- ja maksutilien valvontajärjestelmään direktiivissä tarkoitetulla tavalla. Lisäksi rahanpesun selvittelykeskuksen tehtäviä laajennettaisiin koskemaan yhteistyötä viranomaisten kanssa rahoitustietodirektiivissä tarkoitettujen vakavien rikosten estämisessä, paljastamisessa ja selvittämisessä.

Rahoitustietodirektiivin täytäntöönpanoon ja viidennen rahanpesudirektiivin täytäntöönpanon täydentämiseen liittyen ehdotetaan teknistä ratkaisua, jonka avulla voitaisiin luovuttaa tietoa toimivaltaisille viranomaisille pankki- ja maksutilien valvontajärjestelmästä.

Edellä kuvattujen rahoitustietodirektiivin ja rahanpesudirektiivin täytäntöönpanon edellyttämien muutosten lisäksi kansallisista muutostarpeista johtuen ehdotetaan myös eräille muille toimivaltaisille viranomaisille, joilla voimassaolevan lain nojalla on oikeus saada pankki- ja maksutilejä koskevia tietoja, pääsyä pankki- ja maksutilien valvontajärjestelmään.

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian lukuunottamatta eräitä pankki- ja maksutilitietojen valvontajärjestelmää koskevia säännöksiä, jotka on tarkoitettu tulemaan voimaan 1.9.2022.

PERUSTELUT

1 Asian tausta ja valmistelu
1.1 Yleistä

Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1153 säännöistä, joilla helpotetaan rahoitus- ja muiden tietojen käyttöä tiettyjen rikosten ennalta estämistä, paljastamista, tutkimista tai niihin liittyviä syytetoimia varten, ja neuvoston päätöksen 2000/642/YOS kumoamisesta (jäljempänä rahoitustietodirektiivi), annettiin 20.6.2019. Direktiivi tuli voimaan 31.7.2019. Jäsenvaltioiden olisi pitänyt saattaa direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset voimaan viimeistään 1.8.2021.

Rahoitustietodirektiivin mukaan jäsenvaltioiden on nimettävä ne viranomaiset, joilla on valtuudet päästä jäsenvaltioiden perustamiin kansallisiin keskitettyihin pankkitilirekistereihin ja tehdä niissä hakuja. Direktiivissä keskistetyillä pankkitilirekistereillä tarkoitetaan keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tiedonhakujärjestelmiä. Pääsyn tilitietoihin tulee direktiivin mukaan olla suoraa ja välitöntä. Lisäksi direktiivi velvoittaa jäsenvaltioita nimeämään ne toimivaltaiset viranomaiset, jotka voivat pyytää ja saada rahoitustietoja ja analyysejä rahanpesun selvittelykeskuksilta. Direktiivissä säädetään myös tietojenvaihdosta rahanpesun selvittelykeskusten kesken ja Euroopan unionin lainvalvontayhteistyöviraston (jäljempänä Europol) kanssa.

Asialla on liittymäkohtia hallitusohjelmaan. Pääministeri Sanna Marinin hallitusohjelman mukaan varmistetaan riittävät viranomaisresurssit, parannetaan tiedonvaihtoa ja tehostetaan valvontaa rahanpesun ja terrorismin rahoituksen torjumiseksi.

1.2 Tausta

Rahanpesun ja terrorismin rahoittaminen

Rahanpesulla tarkoitetaan rikoslain (39/1889) 32 luvun 6 §:n mukaista toimintaa, jossa rikoksella hankitut varat pyritään kierrättämään laillisen maksujärjestelmän läpi varojen tosiasiallisen luonteen, alkuperän tai omistajien peittämiseksi tai häivyttämiseksi. Rahanpesu edellyttää esirikosta, pyrkimyksenä on peittää varojen tosiasiallinen luonne, alkuperä tai omistajat. Esirikos voi olla mikä tahansa rangaistavaksi säädetty teko, josta on koitunut tekijälle taloudellista hyötyä. Rahanpesua on tällaisten varojen vastaanottaminen, käyttäminen, muuntaminen, luovuttaminen, siirtäminen, välittäminen tai hallussapito. Henkilöllä pitää olla rahanpesutarkoitus eli tarkoitus hankkia hyötyä, avustaa rikoksentekijää tai peittää omaisuuden laiton alkuperä. Rahanpesua on myös se, että peittää ja häivyttää rikoksella saadun omaisuuden todellista luonnetta, alkuperää, sijaintia tai siihen kohdistuvia määräämistoimia tai oikeuksia.

Estämällä rahanpesua voidaan estää myös muuta rikollisuutta, koska rahanpesijä saattaa rahoittaa varoilla uusia rikoksia. Rahanpesu on usein osa järjestäytynyttä ja kansainvälistä rikollisuutta.

Rahanpesu voi uhata rahoitusjärjestelmän vakautta, luotettavuutta ja kilpailukykyä. Epävakaus voi nostaa esimerkiksi lainojen, maksuliikenteen ja vakuutusten kustannuksia, ja vaikutukset voivat heijastua talouteen laajemminkin.

Tilastokeskuksen mukaan vuonna 2019 Suomessa tuli viranomaisten tietoon 449 tapausta nimikkeillä rahanpesu, törkeä rahanpesu, tuottamuksellinen rahanpesu ja rahanpesurikkomus. Näistä 235 tapausta oli rahanpesua ja 186 tapausta törkeää rahanpesua. Törkeän rahanpesun taloudellisen hyödyn alarajana on pidetty lain esitöissä ja oikeuskäytännössä 13 000 euroa, raja ei kuitenkaan ole ehdoton. Vuonna 2019 koko maassa nostettiin syyte rahanpesurikoksista 303 tapauksessa, syytteistä 134 nostettiin rahanpesusta ja 168 törkeästä rahanpesusta.

Suomessakin on ollut tapauksia, joissa rahanpesun kohteena on ollut suuri määrä varoja. Pohjanmaan käräjäoikeus antoi 29.1.2020 tuomion R 20/36 törkeästä rahanpesusta ja yhdestä avunannosta törkeään rahanpesuun. Tapauksessa neljää miestä syytettiin 4,3 miljoonan euron siirtämisestä ulkomaisilta tileiltä Suomeen ja edelleen ulkomaille. Vaasan hovioikeus pidensi 25.9.2020 päätekijänä pidetyn tekijän tuomiota. Tyypillisemmin summat ovat kuitenkin pienempiä. Itä-Suomen hovioikeus antoi 26.4.2018 tuomion R 18/44 tapauksessa, jossa A oli hänelle ennestään tuntemattomien, puistossa sattumalta tapaamiensa C:n, D:n ja E:n pyynnöstä antanut näiden siirtää tililleen 6.000 euroa ja nostanut sitten sanotut varat tililtään ja luovuttanut ne käteisenä C:lle, D:lle ja E:lle saaden siitä palkkioksi luvatut 350 euroa. Hovioikeus katsoi, että A:n menettely täytti rahanpesurikoksen tunnusmerkistön toisin kuin käräjäoikeus, joka oli katsonut, että A oli menettelyllään syyllistynyt tuottamukselliseen kätkemisrikokseen. Korkeimman oikeuden 18.12.2020 annetussa ratkaisussa R 2018/334 A oli ottanut Y Oy:n nimiin vastikkeetta ajoneuvokalustoa X Oy:stä, vaikka hänen oli täytynyt tietää tai ainakin pitää varsin todennäköisenä, että X Oy:tä edustanut B syyllistyy luovutuksella rikokseen. A oli sittemmin siirtänyt ajoneuvokaluston Z Oy:n nimiin. Sen jälkeen hän oli siirtänyt saman kaluston vielä Z Oy:n nimistä C:n nimiin. Korkein oikeus katsoi, että A oli ajoneuvokaluston vastaanottaessaan syyllistynyt avunantoon B:n törkeään velallisen epärehellisyyteen. A:n avunantotointa seuranneita kahta edelleen luovutusta arvioitiin yhtenä törkeänä rahanpesuna ja törkeää rahanpesua pidettiin rikoslain 32 luvun 11 §:ssä edellytetyllä tavalla rikoskokonaisuuden olennaisimpana ja moitittavimpana osana. A:n syyksi voitiin lukea esirikoksen avunannon lisäksi myös törkeä rahanpesu. 

YK:n huumeiden ja rikollisuuden torjunnasta vastaava toimisto UNOCD arvioinut, että vuosittain rahanpesun kohteena on arvoltaan 2 – 5 prosenttia maailmanlaajuisesta bruttokansantuotteesta, mikä vastaisi 715 miljardia tai 1.87 biljoonaa euroa vuosittain. Rikollisesta toiminnasta EU:ssa saadut laittomat tulot olivat 139 miljardia euroa vuonna 2019, mikä vastaa 1 prosenttia EU:n bruttokansantuotteesta (Tutkimus Study on Mapping the risk of serious and organised crime infiltration in legitimate businesses, maaliskuu 2021, DR0221244ENN); https://data.europa.eu/doi/10.2837/64101). Europolin Criminal Asset Recovery in the EU raportissa esitetyn arvion mukaan rikoshyödystä 98,9 prosenttia jää takavarikoimatta.

Luotto- ja maksulaitoksille aiheutuu kustannuksia niitä koskevan sääntelyn noudattamisesta, mukaan lukien rahanpesun ja terrorismin rahoittamisen estämistä koskeva lainsäädäntö. Euroopan pankkiviranomainen on julkaissut 7.6.2021 raportin Study of the cost of compliance with supervisory reporting requirements (EBA/Rep/2021/15), jossa on arvioitu luotto- ja maksulaitoksille sääntelyn noudattamisesta ja raportoinnista syntyviä kustannuksia. Raportin mukaan kustannukset ovat Euroopan talousalueella 0,9 biljoonaa euroa.

Terrorismin rahoittamisessa on kyse varojen hankkimisesta tai keräämisestä terroristiseen tarkoitukseen. Rahaa hankitaan tai kerätään terroristista rikosta varten, varat voivat olla laillista tai laitonta alkuperää. Terrorismin rahoittaminen on määritelty rikoslain 34 a luvun 5 §:ssä ja siihen katsotaan kuuluvan terroritekojen tai niiden valmistelun rahoittaminen sekä muu terroristisen toiminnan tai terroristiryhmän taloudellinen tukeminen ja terroristisen toiminnan edistäminen. Terrorismin rahoittamisen vaiheita ovat varojen kerääminen, siirtäminen ja käyttäminen. Terrorismia rahoitetaan pääosin laillisista lähteistä saaduilla varoilla ja rahaliikenne tapahtuu tilisiirroin, käteisellä tai rahanvälityspalveluiden välityksellä. Rahaliikennettä tapahtuu useiden eri maiden välillä.

Terrorismin torjumiseksi ja terrorismin rahoittamisen estämiseksi voidaan luonnolliseen henkilöön tai oikeushenkilöön kohdistaa varojen jäädytys siten kuin laissa varojen jäädyttämisestä terrorismin torjumiseksi (325/2013) säädetään. Suomessa keskusrikospoliisi tekee varojen jäädyttämispäätökset ja ylläpitää julkista luetteloa jäädyttämispäätöksistä. Jäädyttämispäätöksen panee täytäntöön ulosottoviranomainen. Ulosoton erikoisperinnän tilastotietojen mukaan vuonna 2019 tehtiin varojen jäädyttämisiä hieman alle 1 000 euron edestä. Vuonna 2018 sama luku oli hieman yli 10 000 euroa, kun taas vuonna 2017 varoja ei jäädytetty lainkaan.

Terrorismin torjumiseksi ja terrorismin rahoittamisen estämiseksi määrätään myös pakotteita, jotka tarkoittavat käytännössä nimettyihin tahoihin kohdistuvia taloudellisen tai muun yhteistyön rajoituksia. Pakotteilla pyritään vaikuttamaan toimintaan, jonka katsotaan olevan uhka esimerkiksi turvallisuudelle. Terrorismin torjunnassa pakotteet voivat olla esimerkiksi varojen jäädyttämistä tarkoittavia finanssipakotteita. Ulkoministeriö listaa verkkosivuillaan muun muassa terrorismin vastaisia pakotteita.

Suomessa tuomioistuinkäsittelyssä on toistaiseksi ollut vain yksi terrorismin rahoittamista koskeva tapaus, joka liittyi al-Shabaabin rahoittamiseen pääosin hawala-toimijoita, eli epävirallista rahansiirtojärjestelmää hyväksi käyttäen. Tapauksessa Helsingin käräjäoikeus tuomitsi syytetyt ehdolliseen vankeuteen, mutta Helsingin hovioikeus hylkäsi syytteet terrorismin rahoittamisesta ja muista terroristisista rikoksista (Helsingin hovioikeus 23.3.2016, R 15/526). Rahanpesun selvittelykeskuksen 26.4.2021 julkaistussa selvityksessä Terrorismin rahoittamiseen liittyvät tuomiot Euroopassa 2015–2020 - julkinen lyhennelmä raportista on katsottu, että syynä tuomioiden ja tapausten puuttumiseen voi olla rikoslain terrorismin rahoittamisen tunnusmerkistö, esitutkinnan käynnistämisen kynnys terrorismirikoksissa sekä haasteet näytön ja todisteiden keräämisessä kansainvälisesti.

Rahanpesun ja terrorismin rahoittamisen estämisestä vastaavat toimijat Suomessa

Valtiovarainministeriö ja sisäministeriö toimivat vastuuministeriöinä rahanpesun ja terrorismin rahoittamisen estämisessä. Keskeisiä muita työhön osallistuvia ministeriöitä ovat oikeusministeriö, ulkoministeriö, työ- ja elinkeinoministeriö sekä sosiaali- ja terveysministeriö.

Valtiovarainministeriö vastaa rahanpesulaista, annettavista säädöksistä ja kansallisen rahanpesun riskiarviosta. Valtiovarainministeriön vastuulla on myös koordinoida kansainvälisiä rahanpesuasioita kansallisella tasolla. Sisäministeriö vastaa rahanpesun selvittelykeskuksesta annetusta laista ja sen nojalla annettavista säädöksistä sekä terrorismin rahoittamisen kansallisen riskiarvion laadinnasta. Sisäministeriö vastaa lisäksi harmaan talouden ja talousrikollisuuden torjunnan strategian alaisesta toimenpidesuunnitelmasta. Ulkoministeriö vastaa YK:n ja EU:n finanssipakotteiden täytäntöönpanon koordinoinnista Suomessa.

Lainsäädännöllä varmistetaan, että rahanpesun ja terrorismin rahoittamisen estämisessä voidaan käyttää asianmukaisia ja riittäviä toimia. Niiden toimijoiden, jotka kuuluvat lain soveltamisalaan, eli ilmoitusvelvollisten, on noudatettava rahanpesulakia. Laissa säädetään menettelyistä ja toimintatavoista. Toimijoille voidaan määrätä velvoitteiden laiminlyönnistä hallinnollisia seuraamuksia. Rahanpesu ja terrorismin rahoittaminen ovat rangaistavia tekoja.

Rahanpesulain mukaisia ilmoitusvelvollisia valvovia viranomaisia ovat Finanssivalvonta, joka valvoo finanssisektorin ilmoitusvelvollisia, Poliisihallituksen Arpajaishallinto, joka valvoo mannermaan rahapelitoimintaa, Patentti- ja rekisterihallitus, joka valvoo tilintarkastajia, Etelä-Suomen aluehallintovirasto, joka valvoo muita ilmoitusvelvollisia, Ålands lotteriinspektionen, jonka valvonta kohdentuu Ahvenanmaan rahapelitoimintaan ja Ahvenanmaan maakunnan hallitus, joka valvoo Ahvenanmaan kiinteistönvälitystoimintaa. Lisäksi Suomen Asianajajayhdistys valvoo asianajajia.

Rahoitustietodirektiivin tausta

Rahoitustietodirektiivin valmistelu alkoi Euroopan komission 2016 antamasta tiedonannosta ”Toimintasuunnitelma terrorismin rahoituksen torjunnan vahvistamiseksi”, jossa komissio sitoutui tutkimaan mahdollisuutta antaa erillinen itsenäinen säädös, jolla laajennettaisiin jäsenvaltioiden viranomaisten, myös rikosten ennalta estämisestä, paljastamisesta, tutkimisesta tai niihin liittyvistä syytetoimista vastaavien toimivaltaisten viranomaisten, varallisuuden takaisin hankinnasta vastaavien toimistojen, veroviranomaisten ja korruption torjunnasta vastaavien viranomaisten pääsyä keskitettyihin pankki- ja maksutilirekistereihin. Taustalla on ollut huoli siitä, että jäsenvaltioissa toimivaltaisten viranomaisten pääsy keskitettyihin pankki- ja maksutilirekistereihin on liian suppeaa. Lisäksi toimintasuunnitelmassa kehotettiin kartoittamaan esteitä tietoihin pääsyssä sekä niiden vaihtamisessa ja käyttämisessä ja rahanpesun selvittelykeskusten välisessä operatiivisessa yhteistyössä.

Rahoitustietodirektiivin tavoitteena on helpottaa rahoitustietojen käyttöä vakavien rikosten ennalta estämiseksi, paljastamiseksi, tutkimiseksi tai niihin liittyviä syytetoimia varten. Direktiivin johdannossa todetaan, että turvallisuuden lisäämiseksi, talousrikoksiin liittyvien syytetoimien tehostamiseksi, rahanpesun torjumiseksi ja veropetosten ehkäisemiseksi jäsenvaltioissa ja koko unionissa on tarpeen parantaa rahanpesun selvittelykeskusten ja vakavien rikollisuuden muotojen ennalta estämisestä, paljastamisesta, tutkimisesta tai niihin liittyvistä syytetoimista vastuussa olevien viranomaisten pääsyä tietoihin, jotta voidaan parantaa niiden valmiuksia suorittaa talousrikostutkintaa sekä edistää niiden välistä yhteistyötä. Direktiivissä vahvistetaan säännöt suoran pääsyn myöntämisestä keskitettyihin pankkitilirekistereihin jäsenvaltioiden nimeämille toimivaltaisille viranomaisille, jotka vastaavat rikosten ennalta estämisestä, paljastamisesta, tutkimisesta tai niihin liittyvistä syytetoimista.

Viidennen rahanpesudirektiivin täytäntöönpano

Rahoitustietodirektiivi liittyy Euroopan parlamentin ja neuvoston direktiiviin (EU) 2018/843, rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen annetun direktiivin (EU) 2015/849 ja direktiivien 2009/138/EY ja 2013/36/EU muuttamisesta (jäljempänä viides rahanpesudirektiivi). Viidennen rahanpesudirektiivin taustalla olivat erityisesti Eurooppaan suuntautuneet terrori-iskut, joiden yhteydessä oli noussut esiin uusia muotoja terroristiryhmien rahoittamiselle ja terrorististen operaatioiden toteuttamiselle. Viidennessä rahanpesudirektiivissä edellytetään, että jäsenvaltiot ottavat käyttöön keskitettyjä pankkitilirekistereitä tai tiedonhakujärjestelmiä, jotka mahdollistavat pankki- ja maksutilien sekä tallelokeroiden haltijoiden oikea-aikaisen tunnistamisen.

Viidennen rahanpesudirektiivin 32 a artiklan 1 kohdassa säädetään jäsenvaltioille velvollisuus ottaa käyttöön keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tietojenhakujärjestelmiä, joiden avulla voidaan ajallaan tunnistaa mikä tahansa luonnollinen henkilö tai oikeushenkilö, joka on niiden alueella toimivassa luottolaitoksessa olevan IBAN-tunnisteisen maksutilin ja pankkitilin sekä tallelokeron haltija tai jolla on määräysvalta tällaiseen tiliin tai tallelokeroon. Jäsenvaltioiden on ilmoitettava komissiolle näiden kansallisten mekanismien ominaisuudet. Tietojen tulee olla suoraan rahanpesun selvittelykeskusten saatavilla välittömästi ja suodattamattomina sekä toimivaltaisten viranomaisten saatavilla niiden tämän direktiivin mukaisten velvoitteiden täyttämiseksi. Jäsenvaltioiden on varmistettava, että mikä tahansa rahanpesun selvittelykeskus voi antaa tämän artiklan 1 kohdassa tarkoitetuissa keskitetyissä mekanismeissa olevat tiedot mille tahansa toiselle rahanpesun selvittelykeskukselle ajallaan 53 artiklan mukaisesti.

Saatavilla olevista tiedoista säädetään artiklan 3 kohdassa. Näitä ovat:  

- asiakastilinhaltijan ja kaikkien sellaisten henkilöiden osalta, jotka oletettavasti toimivat asiakkaan puolesta: nimi ja joko 13 artiklan 1 kohdan a alakohdan saattamiseksi osaksi kansallista lainsäädäntöä annettujen kansallisten säännösten mukaisesti vaaditut muut tunnistetiedot tai yksilöllinen tunnistenumero; 

- asiakastilinhaltijan tosiasiallisen omistajan ja edunsaajan osalta: nimi ja joko 13 artiklan 1 kohdan b alakohdan saattamiseksi osaksi kansallista lainsäädäntöä annettujen kansallisten säännösten mukaisesti vaaditut muut tunnistetiedot tai yksilöllinen tunnistenumero; 

- pankki- tai maksutilin osalta: IBAN-numero ja tilin avaamis- ja sulkemispäivä;

- tallelokeron osalta: vuokraajan nimi ja 13 artiklan 1 kohdan saattamiseksi osaksi kansallista lainsäädäntöä annettujen kansallisten säännösten mukaisesti vaaditut muut tunnistetiedot tai yksilöllinen tunnistenumero sekä vuokra-ajan pituus. 

Artiklan 32 a kohdan 4 mukaan jäsenvaltiot voivat edellyttää muiden olennaisten tietojen saamista keskitettyjen mekanismien kautta, eli kohta sisältää mahdollisuuden käyttää kansallista liikkumavaraa.

Suomessa viides rahanpesudirektiivi on täytäntöönpantu muun muassa lailla pankki- ja maksutilien valvontajärjestelmästä (571/2019), joka on tullut voimaan 1.5.2019, mutta sen pankki- ja maksutilien tiedonhakujärjestelmää sekä pankki- ja maksutilirekisteriä koskevia säännöksiä on sovellettu 1.9.2020 lähtien.

Tulli on pankki- ja maksutilirekisterin rekisterinpitäjä ja koordinoi tilirekisterihanketta, jossa on rakennettu tilirekisteri, johon tallennetaan tietoja maksulaitosten, sähkörahayhteisöjen ja virtuaalivaluutan tarjoajien asiakkuuksista, asiakastileistä sekä tallelokeroista. Luottolaitokset voivat luovuttaa tiedot tilirekisteriin Finanssivalvonnan luvalla tietyin edellytyksin, muuten luottolaitoksen on ylläpidettävä sähköistä pankki- ja maksutilien tiedonhakujärjestelmää, jonka avulla se välittää laissa määritellyt tiedot toimivaltaisille viranomaisille. Maksulaitokset, sähkörahayhteisöt, virtuaalivaluutan tarjoajat ja luvansaaneet luottolaitokset päivittävät laissa määritellyt tiedot tilirekisteriin Tullin toteuttaman rajapinnan kautta.

Hallituksen esityksessä laiksi pankki- ja maksutilien valvontajärjestelmästä ja eräiksi siihen liittyviksi laeiksi (HE 167/2018 vp) käytettiin direktiivin 32 a artiklan 4 kohdan sallimaa kansallista liikkumavaraa ja ehdotettiin tilin saldo- ja tiliotetietojen saamista valvontajärjestelmästä. Kansalliseen sääntelyyn perustuen esitettiin lisäksi pääsyä pankki- ja maksutilien valvontajärjestelmään laajemmalle joukolle viranomaisia sekä käyttötarkoituksiin, joista ei ole rahanpesudirektiivissä säädetty. Hallituksen esityksessä ehdotettiin, että oikeus saada tietoja pankki- ja maksutilien valvontajärjestelmästä olisi ollut Verohallinnolla, Tullilla, ulosottovirastolla, rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa (444/2017, jäljempänä rahanpesulaki), tarkoitetuilla toimivaltaisilla viranomaisilla ja asianajajayhdistyksellä, rahanpesun selvittelykeskuksella, poliisilla ja Rajavartiolaitoksella, Kansaneläkelaitoksella, Finanssivalvonnalla ja konkurssiasiamiehen toimistolla. Tiedonhakujärjestelmän tarkoituksena oli mahdollistaa henkilötietojen ja pankkisalaisuuden piiriin kuuluvien varallisuustietojen luovuttaminen sähköisesti luottolaitoksilta laissa määriteltäville viranomaisille näiden lakisääteistä tehtävää varten. Tietoja ei tallenneta järjestelmään, vaan ne luovutetaan luottolaitokselta suoraan viranomaiselle. Viranomaisen olisi tullut esittää lainsäädännön peruste, jonka nojalla sillä on oikeus tiedot saada ja luottolaitos olisi vastannut luovutettavien tietojen oikeellisuudesta. Hallituksen esityksessä ehdotettiin, että järjestelmään olisi tallennettu myös tilitapahtumia koskevat tiedot. Eduskuntakäsittelyssä hallituksen esitysluonnoksessa esitettyjä viranomaisten oikeuksia saada tietoja pankki- ja maksutilien valvontajärjestelmästä supistettiin merkittävästi, samoin kuin pankki- ja maksutilien valvontajärjestelmän tietosisältöä. Perustuslakivaliokunta katsoi esitystä koskeneessa mietinnössään PeVL 48/2018 vp muun muassa, että koska arkaluonteisten tietojen käsittely on valiokunnan käytännön mukaan rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään, oli sääntelyä täsmennettävä ja selkiytettävä olennaisesti.

Voimaantulleessa pankki- ja maksutilien valvontajärjestelmää koskevassa laissa oikeus käyttää pankki- ja maksutilien valvontajärjestelmää on rajattu rahanpesulaissa tarkoitettuihin valvontaviranomaisiin ja asianajajayhdistykseen mainitussa laissa tarkoitetun valvontatehtävän suorittamiseen, rahanpesun selvittelykeskukseen rahanpesun selvittelykeskuksesta annetussa laissa (445/2017) tarkoitettujen eräiden tehtävien hoitamiseen ja Tulli-, rajavartio-, vero- ja ulosottoviranomaiseen sekä konkurssiasiamieheen rahanpesulain mukaisen huolehtimisvelvoitteen toteuttamiseksi. Rahanpesun selvittelykeskuksen rahanpesun selvittelykeskuksesta annetussa laissa tarkoitettu Tulli-, rajavartio-, vero- ja ulosottoviranomaiseen sekä konkurssiasiamiehen rahanpesulain mukainen huolehtimisvelvoitteen toteuttaminen ei ole toimivaltanormi rahanpesun ja terrorismin rahoittamisen estämisen, paljastamisen ja selvittämisen suorittamiseksi, vaan huolellisuusvelvoitetta koskeva normi antaa viranomaiselle oikeuden vain heidän hallussaan jo olevien tietojen luovuttamiseen rahanpesun selvityskeskukselle. Huolellisuusvelvollisuuden nojalla eivät edellä mainitut Tulli-, rajavartio-, vero- ja ulosottoviranomainen sekä konkurssiasiamies voi siten tehdä niitä tietopyyntöjä pankki- ja maksutilien valvontajärjestelmästä, mitä näille viranomaisille on voimassa olevassa pankki- ja maksutilien valvontajärjestelmää koskevassa laissa jo säädetty, eli normi on jäänyt tehottomaksi. Edellytyksenä valvontajärjestelmän käyttämiselle pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaan edellä mainittuihin käyttötarkoituksiin on lisäksi se, että se on välttämätöntä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi. Järjestelmässä ei ole tilitapahtumia koskevia tietoja, vain ainoastaan asiakkuutta, tilin yksilöintiä ja tosiasiallista edunsaajaa koskevat tiedot.

Mietinnössään TaVM 43/2018 talousvaliokunta totesi, että ei pidä täysin poissuljettuna mahdollisuutta myöhemmässä vaiheessa säätää muista viranomaisvaltuuksista HE 167/2018 vp 1. lakiehdotuksessa kuvatulla tavalla. Talousvaliokunta kuitenkin katsoi, että on selvää, että lakiehdotukseen sisältyy määräyksiä, joita ei voida käsitellä tavallisessa lainsäätämisjärjestyksessä. Käsillä olevan hallituksen esityksen ydin on kuitenkin direktiivin kansallinen täytäntöönpano, määräaikoineen. Näin perustellen talousvaliokunta piti parhaana pitäytyä perustuslakivaliokunnan lausunnon mukaisesti direktiivin edellyttämässä rahanpesun ja terrorismin torjuntaan kohdistuvassa sääntelyssä ja esittää kansallisen lisäsääntelyn tarkastelua jatkovalmistelussa. Talousvaliokunta totesi lausunnossaan, että sikäli kun ilmenee, että sääntelyn tavoitteiden toteuttamiseksi viranomaisten valtuuksia tulee lisätä, valtioneuvosto voi ryhtyä tarvittaviin lainvalmistelutoimiin ja että tässä työssä tulee kiinnittää asianmukaista huomiota myös säätämisjärjestykseen.

Rahoitustietodirektiivin mukaan käyttöoikeus pankki- ja maksutilirekisteriin voitaisiin antaa viranomaisille, joilla on toimivalta vakavien rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa. Rahoitustietodirektiivin mukaan vähintään varojen takaisin hankinnasta vastaavat toimistot tulee nimetä tällaisiksi viranomaisiksi, Suomessa varojen takaisin hankinnasta vastaavaksi toimistoksi on nimetty keskusrikospoliisi.

Lisäksi direktiivin johdantokappaleessa 19 todetaan, että jäsenvaltioiden olisi voitava helpottaa nimettyjen toimivaltaisten viranomaisten pääsyä rahoitus- ja tilitietoihin, kun on kyse muiden kuin vakavien rikosten ennalta estämisestä, paljastamisesta, tutkimisesta ja niihin liittyvistä syytetoimista. Samassa johdantokappaleessa todetaan myös, että jäsenvaltioiden olisi voitava päättää, että rahanpesun selvittelykeskusten ja nimettyjen toimivaltaisten viranomaisten välillä vaihdettavien rahoitus- ja tilitietojen soveltamisalaa laajennetaan.

Rahanpesun selvittelykeskus

Rahoitustietodirektiivi sisältää muun muassa rahanpesun selvittelykeskusten ja toimivaltaisten viranomaisten välistä tiedonvaihtoa koskevaa sääntelyä. Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/849, rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2005/60/EY ja komission direktiivin 2006/70/EY kumoamisesta (jäljempänä neljäs rahanpesudirektiivi), on Suomessa täytäntöönpantu muun muassa rahanpesulailla. Rahanpesun selvittelykeskusta koskien neljännen rahanpesudirektiivin 32 artiklassa säädetään jäsenvaltioille velvoite rahanpesun selvittelykeskuksen perustamiseen rahanpesun ja terrorismin rahoituksen estämistä, paljastamista ja tehokasta torjumista varten. Edellä mainitun artiklan 3 kohdan mukaan kunkin rahanpesun selvittelykeskuksen on oltava toiminnallisesti riippumaton ja itsenäinen, mikä merkitsee sitä, että rahanpesun selvittelykeskuksella on oltava toimivalta ja valmiudet suorittaa tehtävänsä vapaasti, mukaan lukien kelpoisuus tehdä itsenäisiä päätöksiä yksittäisten tietojen analysoinnista, pyytämisestä ja luovuttamisesta. Kansallisena keskusyksikkönä rahanpesun selvittelykeskus vastaa epäilyttävistä liiketoimista tehtyjen ilmoitusten ja muiden rahanpesuun, rahanpesun esirikoksiin tai terrorismin rahoitukseen liittyvien tietojen vastaanottamisesta ja analysoinnista. Rahanpesun selvittelykeskus vastaa analyysiensa tulosten sekä mahdollisten muiden olennaisten tietojen luovuttamisesta toimivaltaisille viranomaisille, jos on syytä epäillä rahanpesua, rahanpesun esirikoksia tai terrorismin rahoitusta ja sen on voitava hankkia ilmoitusvelvollisilta lisätietoja. Suomessa rahanpesun selvittelykeskus on sijoitettu keskusrikospoliisiin.

Rahanpesun selvittelykeskus vastaanotti vuoden 2020 aikana 62 041 ilmoitusta epäilyttävistä liiketoimista. Pankkien tekemien ilmoitusten määrä lisääntyi edellisestä vuodesta noin 28 prosenttia. Virtuaalivaluutan välittäjät tulivat ilmoitusvelvollisiksi joulukuussa 2019 ja tekivät vuoden 2020 aikana 9 000 ilmoitusta. Selvittelykeskus avasi vuoden aikana 1 845 uutta selvittelykokonaisuutta ja teki 1 881 tiedonluovutusta, selviteltävistä jutuista 85 oli mahdolliseen terrorismin rahoittamiseen liittyviä juttuja. Avattujen juttujen määrä lisääntyi vuodesta 2019 noin 22 prosenttia ja tiedonluovutusten määrä noin 16 prosenttia. Vastaanotettujen ilmoitusten määrässä on vuonna 2021 tapahtunut merkittävä nousu, joka johtuu siitä, että virtuaalivaluuttapalveluiden tarjoajista on tullut ilmoitusvelvollisia. Rahanpesun selvittelykeskus on vuonna 2021 vastaanottanut 1.9. mennessä epäilyttäviä liiketoimia koskevia ilmoituksia 3 476 947, joista virtuaalivaluuttapalveluiden tarjoajien ilmoitusmääriä on 3 443 515 ja muiden tekemiä ilmoituksia 33 432. Ilmoitusmäärien merkittävään kasvuun pyritään vastaamaan esimerkiksi käsittelyn automatisointiin liittyvillä hankkeilla.

Vuonna 2019 rahanpesun selvittelykeskus antoi 73 määräystä keskeyttää liiketoimi, eli jäädytysmääräystä, kun vuonna 2020 luku oli 126. Jäädytysmääräysten yhteenlaskettu arvo oli vuonna 2020 7 497 526 euroa, josta 4 606 373 euroa jäi viranomaisten haltuun. Selvittelykeskus lähetti ulkomaisille selvittelykeskuksille 41 pyyntöä pysäyttää varoja tapauksissa, joissa varoja oli lähetetty ulkomaille esimerkiksi erilaisten petosten seurauksena. Pyyntöihin liittyneiden varojen yhteisarvo oli 1 620 464 euroa. Vuonna 2021 rahanpesun selvittelykeskus on 1.9. mennessä avannut juttuja 1 167 ja tehnyt jäädyttämispäätöksiä yhteensä 79, tiedonluovutuksia on ollut yhteensä 1 349.

Viime vuosina liiketoimen keskeyttämistä koskevien määräysten, eli jäädytysmääräysten arvo on ollut 5,3–9,8 miljoonan euron välillä.

Rahanpesulain mukaiset ilmoitusvelvolliset tekivät vuonna 2020 yhteensä 45 oman arvionsa mukaan mahdollista terrorismin rahoittamista koskevaa ilmoitusta. Vuonna 2019 ilmoitusten määrä oli 25, mikä oli samalla tasolla kuin useina aiempina vuosina. Kaikkiaan vuonna 2020 selvittelykeskus vastaanotti 124 terrorismin rahoittamista koskevaa tai terrorismin rahoittamista indikoivaa ilmoitusta sekä 15 ilmoitusta, jotka koskivat terrorismiin liittyviä pakotteita. Edellisten lisäksi selvittelykeskuksessa luokiteltiin suuri määrä epäilyttäviä liiketoimia koskevia ilmoituksia niiden asiasisällön tai henkilökytkösten perusteella mahdollisesti terrorismin rahoittamiseen liittyviksi. Ilmoitusten perusteella selvittelykeskus avasi 85 terrorismin rahoittamiseen liittyvää selvittelykokonaisuutta. Vuonna 2021 syyskuun alkuun mennessä rahanpesun selvittelykeskus oli vastaanottanut yhteensä 87 ilmoitusta, joissa ilmoitusvelvollinen on epäillyt mahdollista terrorismin rahoittamista ja oli avannut yhteensä 55 terrorismin rahoittamiseen liittyvää selvittelykokonaisuutta.

Komissio toimitti 25.1.2019 Suomelle perustellun lausunnon neljännen rahanpesudirektiivin täytäntöönpanossa havaituista puutteista ja viidenteen rahanpesudirektiiviin liittyen on tullut esiin teknisiä muutostarpeita lakiin pankki- ja maksutilien valvontajärjestelmästä. Komissio ilmoitti toukokuussa 2020 sulkevansa neljättä rahanpesudirektiiviä koskevan rikkomusmenettelyn Suomen osalta. Neljännen ja viidennen rahanpesudirektiivin täytäntöönpanon jälkeen on tullut esiin tarpeita tarkentaa säännöksiä, joilla direktiivit on täytäntöönpantu ja asiaan liittyen on annettu lähinnä teknisluonteisia säädösmuutoksia.

Pankki- ja maksutilien valvontajärjestelmän käytön ja sen toimivuuden osalta on jo kertynyt käytännön kokemusta, jonka perusteella voidaan arvioida, että järjestelmän perustamisen hyödyt ja sen käyttö ovat jääneet järjestelmää suunniteltaessa tavoiteltua merkittävästi pienemmiksi. Suurin osa pankki- ja maksutilien valvontajärjestelmässä olevista tiedoista olisi tarkoitus olla luotto-, maksulaitosten, sähkörahayhteisöjen tai virtuaalivaluutan tarjoajien tiedonhakujärjestelmissä. Kuitenkaan yhtään tiedonhakujärjestelmää ei elokuussa 2021 ollut tuotannossa, eikä toisaalta myöskään yhtään tiedonhyödyntäjää ollut tuotannossa. Voimassaolevassa pankki- ja maksutilien valvontajärjestelmää koskevassa laissa pääsyoikeudet ja järjestelmän sisältö on rajattu hyvin suppeiksi ja ainoa Tullin tilirekisteriä hyödyntävä viranomainen on rahanpesun selvittelykeskus. Samalla useilla kansallisilla viranomaisilla on oikeus voimassaolevan lainsäädännön nojalla saada pankki- ja maksutilejä koskevia tietoja, mutta niillä ei ole oikeutta saada tietoja pankki- ja maksutilien valvontajärjestelmän kautta. Pankki- ja maksutilejä koskeva tiedonluovuttaminen on suurelta osin tehotonta, koska ei ole säädetty siitä muodosta eikä siitä kanavasta, jossa tiedot tulisi toimittaa.

1.3 Valmistelu
EU-säädöksen valmistelu

Komissio antoi direktiiviehdotuksen 17.4.2018. Valtioneuvoston U-kirjelmä eduskunnalle annettiin 20.6.2018. Direktiiviehdotuksesta neuvoteltiin EU:n neuvoston lainvalvontatyöryhmässä ja myöhemmin Euroopan parlamentin kanssa. Direktiivi annettiin 20.6.2019 ja se tuli voimaan 31.7.2019.

Hallituksen esityksen valmistelu

Hallituksen esityksen valmistelemiseksi asetettiin työryhmä ajalle 10.1.2020–31.12.2020, jossa jäseninä olivat edustajat valtiovarainministeriön rahoitusmarkkina- ja vero-osastolta, Tullista, Poliisihallituksesta, suojelupoliisista, keskusrikospoliisista, Verohallinnosta, Valtakunnanvoudinvirastosta, Etelä-Suomen aluehallintovirastosta, Finanssivalvonnasta ja Suomen Asianajajaliitosta. Työryhmän kokouksiin on osallistunut myös puolustusministeriön ja Puolustusvoimien sekä valtakunnan syyttäjäntoimiston edustajia ja työryhmän kahdessa kokouksessa on kuultu oikeusministeriön ja tietosuojavaltuutetun edustajia liittyen esitystä koskeviin tietosuoja-asioihin. Valmistelun yhteydessä on kuultu myös Finanssiala ry:tä sekä luottolaitosten edustajien näkemyksiä liittyen esityksen vaikutuksista yksityisen sektorin toimijoihin.

Työryhmän työskentelyn aikana kiinnitettiin huomiota siihen, että pankki- ja maksutilien valvontajärjestelmässä on tällä hetkellä saatavilla vain tilin omistajuustiedot. Työryhmä tarkastelikin myös mahdollisuutta lisätä tilitapahtumatiedot pankki- ja maksutilien valvontajärjestelmään. Tältä osin asian selvittäminen todettiin tarpeelliseksi siirtää erilliseksi hankkeeksi, joka tullaan käynnistämään sisäministeriön toimesta.

2 EU-säädöksen tavoitteet ja pääasiallinen sisältö

Rahoitustietodirektiivin tarkoituksena on vahvistaa toimenpiteet, jotka helpottavat toimivaltaisten viranomaisten pääsyä rahoitus- ja tilitietoihin ja tietojen käyttöä vakavien rikosten ennalta estämiseksi, paljastamiseksi, tutkimiseksi ja niihin liittyviä syytetoimia varten. Lisäksi direktiivissä säädetään toimenpiteistä, jotka helpottavat rahanpesun selvittelykeskusten pääsyä lainvalvontaan liittyviin tietoihin, kun kyseisiä tietoja tarvitaan rahanpesun, siihen liittyvien esirikosten ja terrorismin rahoituksen ennalta estämiseksi ja torjumiseksi, ja rahanpesun selvittelykeskusten välistä yhteistyötä.

Rahoitustietodirektiivin kahdeksannessa johdantokappaleessa todetaan, että välitön ja suora pääsy keskitettyjen pankkitilirekisterien tietoihin on usein välttämätöntä, jotta rikostutkinnassa onnistuttaisiin ja jotta varat voitaisiin tunnistaa, jäljittää ja jäädyttää ajoissa niiden takavarikoimiseksi. Johdantokappaleen mukaan suora pääsy on välittömin tapa päästä käsiksi keskitettyjen pankkitilirekisterien tietoihin ja direktiivissä olisi sen vuoksi vahvistettava säännöt suoran pääsyn myöntämisestä keskitettyihin pankkitilirekistereihin jäsenvaltioiden nimeämille toimivaltaisille viranomaisille, jotka vastaavat rikosten ennalta estämisestä, paljastamisesta, tutkimisesta tai niihin liittyvistä syytetoimista. Johdantokappaleessa todetaan, että direktiivillä ei saisi olla vaikutusta kanaviin, joita toimivaltaiset viranomaiset käyttävät keskinäiseen tietojenvaihtoon, tai niiden valtuuksiin saada tietoja ilmoitusvelvollisilta unionin oikeuden tai kansallisen lainsäädännön mukaisesti. Kansallisten viranomaisten pääsy keskitetyissä rekistereissä oleviin tietoihin muissa kuin rahoitustietodirektiivin tarkoituksissa tai liittyen muihin kuin direktiivin soveltamisalaan kuuluviin rikoksiin ei kuulu direktiivin soveltamisalaan.

Rahanpesun selvittelykeskusten oikeudellinen ja hallinnollinen asema vaihtelee eri jäsenvaltioissa hallinnollisista keskuksista lainvalvontaa harjoittaviin keskuksiin tai niiden yhdistelmiin. Rahanpesun selvittelykeskusten toimivaltuuksiin kuuluu oikeus saada rahoitus-, lainvalvonta- ja hallinnollisia tietoja, joita ne tarvitsevat voidakseen estää, paljastaa ja torjua rahanpesua, siihen liittyviä esirikoksia ja terrorismin rahoitusta. Rahanpesun selvittelykeskusten pääsyssä sääntelyn alaisiin tietokantoihin on eroja jäsenvaltioissa, mikä johtaa liian vähäiseen tietojenvaihtoon lainvalvonta- tai syyttäjäviranomaisten ja rahanpesun selvittelykeskusten välillä. Rahanpesun selvittelykeskusten olisi pyrittävä vaihtamaan rahoitustietoja ja rahoitusanalyysejä nopeasti poikkeuksellisissa ja kiireellisissä tapauksissa, kun tällaiset tiedot tai analyysit liittyvät terrorismiin tai terrorismiin liittyvään järjestäytyneeseen rikollisuuteen.

Direktiivin soveltamisalaan kuuluvat 11.5.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794, Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta (jäljempänä Europol-asetus) liitteessä 1 luetellut vakavat rikokset. Näitä ovat terrorismi, järjestäytynyt rikollisuus, laiton huumausainekauppa, rahanpesu, ydin- ja radioaktiivisiin aineisiin liittyvät rikokset, maahanmuuttajien salakuljetus, ihmiskauppa, varastettujen ajoneuvojen laittomaan kauppaan liittyvä rikollisuus, tahallinen henkirikos, pahoinpitely ja vakavan ruumiinvamman aiheuttaminen, ihmisen elinten ja kudosten laiton kauppa, ihmisryöstö, vapaudenriisto ja panttivangin ottaminen, rasismi ja muukalaisviha, ryöstö ja törkeä varkaus, kulttuuriomaisuuden, mukaan lukien antiikki- ja taide-esineiden, laiton kauppa, kavallus ja petos, unionin taloudellisia etuja vahingoittavat rikokset, sisäpiirikauppa ja finanssimarkkinoiden manipulointi, ryöstön tapainen kiristys sekä kiristys, tuotteiden luvaton väärentäminen ja jäljentäminen, hallinnollisten asiakirjojen väärentäminen ja kaupankäynti väärennöksillä, rahan ja maksuvälineiden väärentäminen, tietotekniikkarikollisuus, lahjonta, laiton ase-, ammus- ja räjähteiden kauppa, uhanalaisten eläinlajien laiton kauppa, uhanalaisten kasvilajien ja -lajikkeiden laiton kauppa, ympäristörikollisuus, mukaan lukien alusten aiheuttama meren pilaantuminen, hormonivalmisteiden ja muiden kasvua edistävien aineiden laiton kauppa, seksuaalinen hyväksikäyttö ja seksuaalinen riisto, mukaan lukien lasten hyväksikäyttöön liittyvä materiaali ja lapsen houkuttelu seksuaalisiin tarkoituksiin ja joukkotuhonta, rikokset ihmisyyttä vastaan ja sotarikokset. On huomattava, että verorikokset eivät kuulu Europol-asetuksen liitteessä lueteltuihin rikoksiin, mutta direktiivin johdanto-osassa todetaan, että jos veroviranomaiset ja korruption torjunnasta vastaavat viranomaiset ovat kansallisen lainsäädännön mukaisesti toimivaltaisia rikosten ennalta estämisessä, paljastamisessa tai niihin liittyvissä syytetoimissa, heitä olisi myös pidettävä viranomaisina, jotka voidaan nimetä tämän direktiivin tarkoituksia varten. Jäsenvaltioille jätetään siis harkintavaltaa veroviranomaisten ja korruption torjunnasta vastaavien viranomaisten nimeämisen osalta direktiivin mukaisiksi toimivaltaisiksi viranomaisiksi. Europol-asetuksen liitteessä lueteltuihin rikoksiin kuuluvat unionin taloudellisia etuja vahingoittavat rikokset, jotka voivat olla verorikoksia Suomessa. Samalla johdantokappaleessa 11 todetaan, että hallinnollisten tutkimusten, jotka eivät ole rahanpesun selvittelykeskusten rahanpesun ja terrorismin rahoituksen estämisen, paljastamisen ja tehokkaan torjumisen yhteydessä suorittamia tutkimuksia, ei olisi kuuluttava tämän direktiivin soveltamisalaan. Verojen välttäminen ja verorikos voivat sisältyä moneen muuhun rikokseen ja rikos voi paljastua myös verovalvonnan yhteydessä. Verohallinnon toimivallassa on käytännössä verotuksen toimittaminen ja verovalvonta ja nämä kattavat hallinnolliset toimenpiteet. Suomessa Verohallinnolle ei ole säädetty toimivaltaa rikosten ennalta estämisen osalta. Lisäksi on otettava huomioon, että Suomessa Tullin toimivaltaan kuuluvat tulliverotusta koskevien säännösten noudattamisen valvonta ja täytäntöönpano ja näiden osalta myös verorikokset kuuluvat Tullin toimivaltaan ja siten Tulli on direktiivin tarkoittamalla tavalla toimivaltainen viranomainen tulliverorikosten ennalta estämissä ja paljastamisessa. Tulli on myös toimivaltainen estämään, paljastamaan ja tutkimaan sellaisia valmisteverorikoksia ja maahantuonnissa epäiltyjä arvonlisäverorikoksia, joissa verot kantaa Verohallinto.

Direktiivin I lukuun on sijoitettu yleiset säännökset. Direktiivin 1 artiklassa säädetään direktiivin kohteesta ja sen 1 kohdassa todetaan, että direktiivissä vahvistetaan toimenpiteet, jotka helpottavat toimivaltaisten viranomaisten pääsyä rahoitus- ja tilitietoihin ja tietojen käyttöä vakavien rikosten ennalta estämiseksi, paljastamiseksi, tutkimiseksi ja niihin liittyviä syytetoimia varten. Lisäksi siinä säädetään toimenpiteistä, jotka helpottavat rahanpesun selvittelykeskusten pääsyä lainvalvontaan liittyviin tietoihin, kun kyseisiä tietoja tarvitaan rahanpesun, siihen liittyvien esirikosten ja terrorismin rahoituksen ennalta estämiseksi ja torjumiseksi, ja rahanpesun selvittelykeskusten välistä yhteistyötä. Direktiivin 1 artiklan 2 kohdassa luetellaan, että direktiivillä ei rajoiteta rahanpesudirektiivin ja siihen liittyvien kansallisen lainsäädännön säännösten soveltamista, mukaan lukien rahanpesun selvittelykeskuksille kansallisen lainsäädännön nojalla annettua organisatorista asemaa ja toimivaltaisten viranomaisten toiminnallista itsenäisyyttä ja riippumattomuutta, eikä kanavia, joita toimivaltaiset viranomaiset käyttävät keskinäiseen tietojenvaihtoon, tai niiden valtuuksia saada tietoja ilmoitusvelvollisilta unionin oikeuden tai jäsenvaltioiden kansallisen lainsäädännön mukaisesti, Europol-asetuksen (EU) 2016/794 soveltamista eikä velvoitteita, jotka johtuvat keskinäistä oikeusapua tai rikosasioissa annettujen päätösten vastavuoroista tunnustamista koskevista unionin oikeudellisista välineistä tehdystä puitepäätöksestä 2006/960/YOS.

Direktiivin 2 artikla koskee määritelmiä ja siinä määritellään keskitetyt pankkitilirekisterit, varallisuuden takaisin hankinnasta vastaavat toimistot, rahanpesun selvittelykeskukset, ilmoitusvelvolliset, rahoitustiedot, lainvalvontatiedot, tilitiedot, rahanpesu ja siihen liittyvät esirikokset, terrorismin rahoitus, rahoitusanalyysi ja vakavat rikokset. Keskitetyllä pankkitilirekisterillä tarkoitetaan keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tiedonhakujärjestelmiä, jotka on otettu käyttöön rahanpesudirektiivin 32 a artiklan 1 kohdan mukaisesti.

Direktiivin 3 artikla koskee toimivaltaisten viranomaisten nimeämistä. Sen 1 kohdan mukaan jokaisen jäsenvaltion on nimettävä niiden viranomaistensa joukosta, joilla on toimivalta rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa, ne, joilla on valtuudet päästä jäsenvaltioiden perustamiin kansallisiin keskitettyihin pankkitilirekistereihin ja tehdä niissä hakuja. Näihin toimivaltaisiin viranomaisiin kuuluvat vähintään varallisuuden takaisin hankinnasta vastaavat toimistot. Suomessa varallisuuden takaisinhankinnasta vastaavaksi toimistoksi on nimetty keskusrikospoliisi. Direktiivin johdantokappaleessa 9 todetaan, että koska jokaisessa jäsenvaltiossa on useita toimivaltaisia viranomaisia tai elimiä, jotka vastaavat rikosten ennalta estämisestä, paljastamisesta, tutkimisesta tai niihin liittyvistä syytetoimista, ja jotta voitaisiin varmistaa oikeasuhteinen pääsy tässä direktiivissä tarkoitettuihin rahoitus- ja muihin tietoihin, jäsenvaltioilta olisi edellytettävä, että ne nimeävät viranomaiset ja elimet, joilla on valtuudet päästä keskitettyihin pankkitilirekistereihin ja jotka voivat pyytää rahanpesun selvittelykeskuksilta tietoja tämän direktiivin soveltamiseksi. Samassa kappaleessa todetaan, että jäsenvaltioiden olisi tätä direktiiviä täytäntöön pannessaan otettava huomioon näiden viranomaisten ja elinten luonne, organisatorinen asema, tehtävät ja erioikeudet kansallisessa lainsäädännössä vahvistetun mukaisesti sekä olemassa olevat mekanismit rahoitusjärjestelmien suojelemiseksi rahanpesulta ja terrorismin rahoitukselta. Direktiivin johdantokappaleessa 10 todetaan, että toimivaltaisten viranomaisten joukosta olisi nimettävä varallisuuden takaisin hankinnasta vastaavat toimistot ja niillä olisi oltava suora pääsy keskitettyjen pankkitilirekisterien tietoihin niiden estäessä ennalta, paljastaessa tai tutkiessa tiettyjä vakavia rikoksia tai tukiessa tietynlaista rikostutkintaa, mukaan lukien varojen tunnistaminen, jäljittäminen ja jäädyttäminen.

Artiklan 2 kohdan mukaan jokaisen jäsenvaltion on nimitettävä niiden viranomaisten joukosta, joilla on toimivalta rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa, toimivaltaiset viranomaiset, jotka voivat pyytää ja saada rahoitustietoja ja -analyyseja rahanpesun selvittelykeskuksilta. Artiklan 3 kohta koskee komissiolle tehtäviä ilmoituksia nimetyistä viranomaisista.

Toisessa luvussa säädetään toimivaltaisten viranomaisten pääsystä tilitietoihin. Direktiivin 4 artikla koskee toimivaltaisten viranomaisten pääsyä tilitietoihin ja mahdollisuutta tehdä niitä koskevia hakuja. Artiklan 1 kohdan mukaan jäsenvaltioiden on varmistettava, että 3 artiklan mukaisesti nimetyillä kansallisilla toimivaltaisilla viranomaisilla on valtuudet päästä tilitietoihin ja tehdä niitä koskevia hakuja suoraan ja välittömästi aina, kun se on tarpeen heidän tehtäviensä suorittamiseksi voidakseen estää ennalta, paljastaa ja tutkia rikoksia tai niihin liittyviä syytetoimia varten tai tukea vakaviin rikoksiin liittyvää rikostutkintaa, mukaan lukien tutkintaan liittyvien varojen tunnistaminen, jäljittäminen ja jäädyttäminen. Samassa kohdassa todetaan, että tietoihin pääsy ja haut katsotaan suoriksi ja välittömiksi myös silloin, kun keskitettyjä pankkitilirekistereitä ylläpitävät kansalliset viranomaiset toimittavat tilitiedot toimivaltaisille viranomaisille nopeasti automaattisen mekanismin välityksellä edellyttäen, että mikään välittävä laitos ei voi puuttua pyydettyihin tai toimitettaviin tietoihin. Artiklan 2 kohdassa säädetään, että toimivaltaisilla viranomaisilla ei ole tämän direktiivin nojalla pääsyä niihin lisätietoihin, joita jäsenvaltiot voivat pitää tärkeinä ja viedä keskitettyihin pankkitilirekistereihin rahanpesudirektiivin 32 a artiklan 4 kohdan nojalla, jonka mukaan jäsenvaltiot voivat harkita edellyttävänsä, että muiden tietojen, jotka katsotaan olennaisiksi, jotta rahanpesun selvittelykeskukset ja toimivaltaiset viranomaiset voivat täyttää tämän direktiivin mukaiset velvoitteensa, on oltava saatavilla keskitettyjen mekanismien kautta siten, että niihin voidaan tehdä hakuja.

Direktiivin 5 artikla koskee toimivaltaisten viranomaisten pääsyä tietoihin ja niitä koskevien hakujen tekemistä koskevia edellytyksiä. Artiklan mukaan ainoastaan toimivaltaisten viranomaisten erikseen ja tapauskohtaisesti nimetty ja tehtäviä suorittamaan valtuutetulla henkilöstöllä on pääsy tilitietoihin ja mahdollisuus tehdä niitä koskevia hakuja. Jäsenvaltioiden on varmistettava, että nimettyjen toimivaltaisten viranomaisten henkilöstö ylläpitää korkeaa ammatillista tasoa, luottamuksellisuutta ja tietosuojaa koskevat normit mukaan luettuina ja että se on erittäin luotettava ja että sillä on asianmukainen pätevyys. Direktiivin 5 artiklan 3 kohdan mukaan jäsenvaltioiden on varmistettava, että toimivaltaisten viranomaisten pääsyä tietoihin ja niitä koskevien hakujen tekemistä tuetaan korkeiden teknologisten standardien mukaisilla tietoturvan takaavilla teknisillä ja organisatorisilla toimenpiteillä 4 artiklan mukaisesti.

Direktiivin 6 artiklassa säädetään toimivaltaisten viranomaisten tietoihin pääsystä ja niitä koskevien hakujen valvonnasta. Artikla sisältää vaatimukset lokikirjan pitämisestä kaikista rekisterin käyttö- ja hakukerroista. Artiklan mukaan keskitetyistä pankkitilirekistereistä vastaavien tietosuojavastaavien tulee tarkistaa lokikirjat säännöllisesti. Artiklassa säädetään myös lokikirjan käytöstä ja tietosuojasääntöjä koskevista jäsenvaltioiden toimista.

Direktiivin kolmannessa luvussa säädetään tietojenvaihdosta toimivaltaisten viranomaisten ja rahapesun selvittelykeskusten välillä a rahanpesun selvittelykeskusten kesken. Artikla 7 koskee toimivaltaisten viranomaisten rahanpesun selvittelykeskukselle esittämiä tietopyyntöjä. Kansalliset menettelytavat huomioon ottaen jokaisen jäsenvaltion on huolehdittava siitä, että sen kansalliselta rahanpesun selvittelykeskukselta edellytetään, että se tekee yhteistyötä 3 artiklan 2 kohdassa tarkoitettujen nimettyjen toimivaltaisten viranomaistensa kanssa ja että se pystyy vastaamaan viipymättä näiden nimettyjen toimivaltaisten viranomaisten esittämiin, riittävällä tavalla perusteltuihin rahoitustietoja ja analyysejä koskeviin pyyntöihin. Artikla sisältää myös säännökset siitä, missä tapauksissa rahanpesun selvittelykeskuksella ei ole velvollisuutta vastata tietopyyntöön. Artiklassa säädetään, että tietojen käyttö muihin kuin alun perin hyväksyttyihin käyttötarkoituksiin edellyttää kyseisen selvittelykeskuksen ennakkolupaa.

Rahoitustietodirektiivin 8 artiklassa säädetään rahanpesun selvittelykeskusten toimivaltaisille viranomaisille esittämistä tietopyynnöistä. Nimettyjen toimivaltaisten viranomaisten edellytetään vastaavan viipymättä kansallisen rahanpesun selvittelykeskuksen esittämiin lainvalvontatietoja koskeviin pyyntöihin, kun kyseisiä tietoja tarvitaan rahanpesun, siihen liittyvien esirikosten ja terrorismin rahoituksen ennalta estämiseksi, paljastamiseksi ja torjumiseksi.

Direktiivin 9 artiklassa säädetään eri jäsenvaltioiden rajanpesun selvittelykeskusten välisestä tietojenvaihdosta. Säännöksen mukaan jäsenvaltioiden on varmistettava, että poikkeuksellisissa ja kiireellisissä tapauksissa niiden rahanpesun selvittelykeskuksilla on oikeus vaihtaa rahoitustietoja tai -analyysejä, joilla voi olla merkitystä terrorismiin tai terrorismiin liittyvään järjestäytyneeseen rikollisuuteen liittyvien tietojen käsittelyssä tai analyysissä. Artiklassa edellytetään, että jäsenvaltiot varmistavat, että edellä mainituissa tapauksissa ja ottaen huomioon toiminnalliset rajoitukset, rahanpesun selvittelykeskukset pyrkivät vaihtamaan tietoja nopeasti.

Artikla 10 koskee toimivaltaisten viranomaisten välistä tietojenvaihtoa eri jäsenvaltioissa. Sen mukaan kunkin jäsenvaltion on kansallisten menettelytakeiden mukaisesti varmistettava, että sen rahoitustietodirektiivin nojalla nimetyt toimivaltaisten viranomaiset voivat pyynnöstä ja tapauskohtaisesti vaihtaa kyseisen jäsenvaltion rahanpesun selvittelykeskukselta ja toisen jäsenvaltion nimetyltä toimivaltaiselta viranomaiselta saatuja rahoitustietoja ja -analyysejä, jos kyseiset rahoitustiedot ja -analyysit ovat tarpeen rahanpesun, siihen liittyvien esirikosten ja terrorismin rahoituksen ennalta estämiseksi, paljastamiseksi ja torjumiseksi. Kunkin jäsenvaltion on varmistettava, että sen nimetyt toimivaltaiset viranomaiset käyttävät vaihdettuja rahoitustietoja ja analyysejä ainoastaan siihen tarkoitukseen, jota varten ne on pyydetty tai annettu. Tietojen käyttäminen muihin kuin alun perin hyväksyttyihin tarkoituksiin edellyttää rahanpesun selvittelykeskuksen antamaa ennakkosuostumusta.

Rahoitustietodirektiivin IV luku koskee tietojen vaihtoa Europolin kanssa. Direktiivin 11 artiklan mukaan kunkin jäsenvaltion on varmistettava, että sen toimivaltaisilla viranomaisilla on oikeus Europolin kansallisen yksikön välityksellä tai olemalla suoraan yhteydessä Europoliin, jos kyseinen jäsenvaltio sen sallii, vastata Europolin esittämiin tilitietoja koskeviin asianmukaisesti perusteltuihin pyyntöihin tapauskohtaisesti vastuunsa rajoissa ja tehtäviensä suorittamista varten. Artiklassa viitataan Europol-asetuksen 7 artiklan 6 ja 7 kohdan soveltamiseen, jotka koskevat Europolin kansallista yksikköä.

Direktiivin 12 artiklassa säädetään Europolin ja rahanpesun selvittelykeskusten välisestä tietojenvaihdosta. Sen mukaan kunkin jäsenvaltion on varmistettava, että sen rahanpesun selvittelykeskuksella on oikeus vastata asianmukaisesti perusteltuihin pyyntöihin, joita Europol esittää Europolin kansallisen yksikön välityksellä tai rahanpesun selvittelykeskuksen ja Europolin suoran yhteydenpidon kautta, jos kyseinen jäsenvaltio sen sallii. Tällaisten pyyntöjen on koskettava rahoitustietoja ja -analyysejä, ja ne on esitettävä tapauskohtaisesti Europolin vastuun rajoissa ja Europolin tehtävien suorittamista varten. Tietojenvaihtoon sovelletaan rahanpesudirektiivin 32 artiklan 5 kohtaa ja Europol-asetuksen 7 artiklan 6 ja 7 kohtaa. Pyynnön noudattamatta jättäminen tulee perustella asianmukaisesti.

Direktiivin 13 artiklassa on säännökset tietojenvaihtoa koskevista yksityiskohtaisista järjestelyistä. Artiklan mukaan jäsenvaltioiden on varmistettava, että direktiivin 11 ja 12 artiklan mukainen tietojenvaihto tapahtuu sähköisesti Europol-asetuksen mukaisesti ja SIENA-sovelluksen tai sitä seuraavan sovelluksen kautta SIENA-sovelluksessa käytettävällä kielellä tai tarvittaessa FIU.net-verkon tai sitä seuraavan verkon kautta. Lisäksi jäsenvaltioiden on varmistettava, että 12 artiklassa tarkoitettu tietojenvaihto toteutetaan viipymättä, ja tältä osin Europolin esittämät tietopyynnöt käsitellään samalla tavalla kuin jos ne olisivat peräisin toisesta rahanpesun selvittelykeskuksesta.

Tietosuojavaatimuksista säädetään 14 artiklassa, jonka mukaan direktiivin 11 ja 12 artiklassa tarkoitettuihin tilitietoihin, rahoitustietoihin ja rahoitusanalyyseihin liittyviä henkilötietoja on käsiteltävä Europol-asetuksen 18 artiklan mukaisesti ja niitä voivat käsitellä ainoastaan Europoliin kuuluvat henkilöt, jotka on erikseen nimetty ja valtuutettu. Europolin on ilmoitettava Europol-asetuksen mukaisesti nimetylle tietosuojavastaavalle kaikesta direktiivin 11, 12 ja 13 artiklan mukaisesti tietojenvaihdosta.

Direktiivin V lukuun on sijoitettu henkilötietojen käsittelyä koskevat lisäsäännökset. Artiklan 15 mukaan lukua sovelletaan ainoastaan nimettyihin toimivaltaisiin viranomaisiin ja rahanpesun selvittelykeskuksiin III luvun mukaisessa tietojenvaihdossa ja IV luvussa tarkoitettuun rahoitustietojen ja -analyysien vaihtoon, johon Europolin kansalliset yksiköt osallistuvat. Artiklassa 16 säädetään arkaluonteisten henkilötietojen käsittelystä ja sen mukaan sellaisten henkilötietojen käsittely, joista käy ilmi henkilön rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, henkilön terveyttä tai seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja, sallitaan ainoastaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia noudattaen sovellettavien tietosuojasääntöjen mukaisesti. Artiklan mukaan ainoastaan erikseen koulutetuilla ja rekisterinpitäjän erikseen valtuuttamilla henkilöstöllä on pääsy 1 kohdassa tarkoitettuihin tietoihin ja lupa käsitellä niitä tietosuojavastaavan johdolla.

Lisäksi artiklan 2 kohdassa säädetään, että ainoastaan erikseen koulutetuilla ja rekisterinpitäjän erikseen valtuuttamilla henkilöstöllä on pääsy 1 kohdassa tarkoitettuihin tietoihin ja lupa käsitellä niitä tietosuojavastaavan johdolla.

Direktiivin 17 artikla koskee tietopyyntöjen kirjaamista. Sen mukaan jäsenvaltioiden on varmistettava, että pyyntöjä esittävät ja niihin vastaavat viranomaiset pitävät kirjaa tämän direktiivin mukaisesti esitetyistä tietopyynnöistä. Kirjaa on pidettävä vähintään seuraavista: a) tietopyynnön esittäneen organisaation ja henkilöstön jäsenen nimi ja yhteystiedot sekä mahdollisuuksien mukaan tiedustelun tai haun tulosten vastaanottajan tiedot; b) tietopyyntöä koskevan tapauksen kansalliset viitetiedot, c) pyyntöjen kohde; ja d) tällaisten tietopyyntöjen täytäntöönpanotoimet.

Artiklan mukaan tietoja on säilytettävä viiden vuoden ajan niiden luomisesta, ja niitä saa käyttää ainoastaan henkilötietojen käsittelyn lainmukaisuuden tarkistamiseen. Asianomaisten viranomaisten on asetettava kaikki tiedot kansallisen valvontaviranomaisen saataville sen pyynnöstä.

Direktiivin 18 artikla koskee rajoituksia rekisteröityjen oikeuksiin. Sen mukaan jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla kokonaan tai osittain rajoitetaan rekisteröityjen oikeutta päästä tämän direktiivin nojalla käsiteltyihin heitä koskeviin henkilötietoihin, asetuksen (EU) 2016/679 23 artiklan 1 kohdan tai, tapauksen mukaan, direktiivin (EU) 2016/680 (jäljempänä rikosasioiden tietosuojadirektiivi) 15 artiklan 1 kohdan mukaisesti. Suomi on käyttänyt asetukseen sisältyvää liikkumavaraa kansallisen tietosuojalain (1050/2018) 33 ja 34 §:ssä, jotka sisältävät rajoitukset rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle, ja rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Vastaavaa sääntelyä on käytetty myös laissa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018, jäljempänä rikosasioiden tietosuojalaki)4 luvussa sekä henkilötietojen käsittelyä koskevissa muussa erityissääntelyssä.

Direktiivin VI lukuun on sijoitettu loppusäännökset. Artiklassa 19 säädetään jäsenvaltioille velvollisuus tarkastella vakavien rikosten torjuntajärjestelmiensä tuloksellisuutta ylläpitämällä kattavia tilastoja. Komissio laatii yksityiskohtaisen ohjelman direktiivin vaikutusten seuraamiseksi viimeistään 1 päivänä helmikuuta 2020, artiklan mukaan seurantaohjelmassa esitetään keinot, joilla tiedot ja muu tarvittava näyttö kerätään ja kuinka usein. Jäsenvaltioiden on toimitettava komissiolle seurannassa tarvittavat tiedot ja muu näyttö. Artiklan mukaan tilastojen on joka tapauksessa sisällettävä seuraavat tiedot: a) nimettyjen toimivaltaisten viranomaisten 4 artiklan mukaisesti tekemien hakujen määrä; b) kaikkien tämän direktiivin soveltamisalaan kuuluvien viranomaisten esittämien tietopyyntöjen määrä, pyyntöjen johdosta toteutetut toimet, tutkittujen tapausten lukumäärä, syytteeseen asetettujen henkilöiden lukumäärä ja vakavista rikoksista tuomittujen henkilöiden lukumäärä, jos kyseiset tiedot ovat saatavilla; c) tieto siitä, kuinka kauan viranomaiselta menee vastata tietopyyntöön sen saapumisen jälkeen; d) tiedot tämän direktiivin mukaisiin kotimaisiin ja rajatylittäviin pyyntöihin osoitettujen henkilöstö- tai tietotekniikkaresurssien kuluista, jos saatavilla.

Artikla velvoittaa jäsenvaltiot huolehtimaan tilastojen laatimisesta ja keräämisestä sekä toimittamaan artiklan 3 kohdassa tarkoitetut tilastot komissiolle vuosittain.

Direktiivin 20 artikla koskee suhdetta muihin välineisiin. Sen mukaan direktiivi ei estä jäsenvaltioita pitämästä voimassa tai tekemästä toimivaltaisten viranomaisten välistä tietojenvaihtoa koskevia kahden- tai monenvälisiä sopimuksia tai keskinäisiä järjestelyjä, edellyttäen, että tällaiset sopimukset tai järjestelyt eivät ole ristiriidassa unionin oikeuden ja erityisesti tämän direktiivin kanssa.

Artiklan 2 kohdan mukaan rahoitustietodirektiivi ei vaikuta jäsenvaltioiden tai unionin velvoitteisiin ja sitoumuksiin, jotka perustuvat kolmansien maiden kanssa voimassa oleviin kahden- tai monenvälisiin sopimuksiin.

Artiklan 3 kohta velvoittaa jäsenvaltiot ilmoittamaan komissiolle aikomuksestaan aloittaa neuvottelut jäsenvaltioiden ja sellaisten kolmansien maiden, jotka ovat Euroopan talousalueen sopimuspuolia, välisistä sopimuksista tai niiden tekemisestä asioissa, jotka kuuluvat tämän direktiivin II luvun soveltamisalaan, sanotun kuitenkaan rajoittamatta unionin oikeuden mukaista toimivallan jakoa unionin ja jäsenvaltioiden välillä.

Jos kahden kuukauden kuluessa siitä, kun jäsenvaltiot ovat ilmoittaneet aikomuksestaan aloittaa ensimmäisessä alakohdassa tarkoitetut neuvottelut, komissio toteaa, että neuvottelut todennäköisesti haittaavat asiaankuuluvia unionin politiikkoja tai johtavat sopimukseen, joka on ristiriidassa unionin oikeuden kanssa, se ilmoittaa asiasta jäsenvaltioille. Jäsenvaltioiden on annettava komissiolle säännöllisesti tietoja tällaisista neuvotteluista ja tarvittaessa kutsuttava komissio osallistumaan neuvotteluihin tarkkailijana.

Jäsenvaltioiden sallitaan soveltaa väliaikaisesti tai tehdä ensimmäisessä alakohdassa tarkoitettuja sopimuksia, jos sopimukset ovat unionin oikeuden mukaisia eikä niistä ole haittaa unionin asiaankuuluvien politiikkojen tarkoitukselle ja päämäärille. Komissio hyväksyy tällaiset lupapäätökset täytäntöönpanosäädöksillä. Nämä täytäntöönpanosäädökset hyväksytään 22 artiklassa tarkoitettua neuvoa-antavaa menettelyä noudattaen.

Direktiivin 21 artikla koskee direktiivin täytäntöönpanon arviointia. Komission tulee laatia kertomus täytäntöönpanosta viimeistään 2.8.2024 ja arvioida rahanpesudirektiivin mukaisesti esteitä rahanpesun selvittelykeskusten välisen yhteistyön vahvistamiselle unionissa sekä mahdollisuuksia kyseisen yhteistyön vahvistamiseksi. Tähän sisältyy koordinointi- ja tukimekanismin perustamisen mahdollisuus ja tarkoituksenmukaisuus. Komission tulee arvioida kertomuksessa, onko rahoitustietojen määritelmää tarpeen ja missä määrin, laajentaa koskemaan kaikkia viranomaisten tai ilmoitusvelvollisten hallussa olevia tietoja, jotka ovat rahanpesun selvittelykeskusten saatavilla ilman, että niiden tarvitsee käyttää kansallisen lainsäädännön ja tarvittaessa rahoitustietodirektiivin mukaisia pakkokeinoja, ja esittää tarvittaessa lainsäädäntöehdotuksen. Artiklan mukaan viimeistään 2.8.2024 komissio arvioi, mitä mahdollisuuksia tai haasteita liittyisi siihen, että unionin rahanpesun selvittelykeskusten rahoitustietojen tai -analyysien vaihto laajennettaisiin koskemaan muita vakavia rikoksia kuin terrorismi tai terrorismiin liittyvä järjestäytynyt rikollisuus. Artiklan mukaan komissio arvioi direktiiviä aikaisintaan 2 päivänä elokuuta 2027.

Direktiivin 22 artiklassa säädetään komiteamenettelystä ja viitataan asetuksessa (EU) N:o 182/2011 tarkoitettuun komiteaan.

Artiklassa 23 säädetään saattamisesta osaksi kansallista lainsäädäntöä. Jäsenvaltioiden olisi pitänyt implementoida direktiivi viimeistään 1.8.2021 ja ilmoittaa tästä komissiolle viipymättä. Jäsenvaltioiden antamissa säädöksissä on viitattava direktiivin tai niihin on liitettävä tällainen viittaus, kun ne julkaistaan. Jäsenvaltioiden on toimitettava direktiivistä säännellyistä kysymyksistä antamansa keskeiset kansalliset säännökset kirjallisina komissiolle.

Direktiivin 24 artikla koskee päätöksen 2000/642/YOS kumoamista ja sen 25 artiklassa säädetään direktiivin voimaantulosta kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä. Direktiivin 26 artiklassa säädetään direktiivin osoittamisesta jäsenvaltioille perussopimusten mukaisesti.

3 Nykytila ja sen arviointi
3.1 Lainsäädäntö

Laki luottolaitostoiminnasta

Luottolaitostoiminnasta annetun lain (610/2014) 15 luvun 14 §:ssä säädetään pankkisalaisuudesta. Pankkisalaisuudella tarkoitetaan sellaisen tiedon suojaamista, jonka perusteella luottolaitoksen asiakas voidaan yksilöidä. Pankkisalaisuuden piiriin kuuluvia tietoja ovat ennen asiakassuhdetta ja sen aikana syntyneet tiedot, jotka luottolaitos on saanut. Asiakas voi itse antaa suostumuksensa suullisesti tai kirjallisesti pankkisalaisuuden piiriin kuuluvan tiedon luovuttamiseen, tai voi valtuuttaa valtakirjalla toisen henkilön saamaan tietoa pankkiasioistaan. Pykälän 1 momentin mukaan henkilön, joka luottolaitoksen tai sen kanssa samaan konsolidointiryhmään kuuluvan yrityksen, luottolaitosten yhteenliittymän taikka luottolaitoksen asiamiehen tai muun luottolaitoksen lukuun toimivan yrityksen toimielimen jäsenenä tai varajäsenenä tai niiden palveluksessa taikka niiden toimeksiannosta tehtävää suorittaessaan on saanut tietää luottolaitoksen tai sen kanssa samaan konsolidointiryhmään tai rahoitus- ja vakuutusryhmittymien valvonnasta annetussa laissa tarkoitettuun ryhmittymään kuuluvan yrityksen asiakkaan tai muun sen toimintaan liittyvän henkilön taloudellista asemaa tai yksityisen henkilökohtaisia oloja koskevan seikan taikka liike- tai ammattisalaisuuden, on velvollinen pitämään sen salassa, jollei se, jonka hyväksi vaitiolovelvollisuus on säädetty, anna suostumustaan sen ilmaisemiseen. Salassa pidettäviä tietoja ei saa antaa myöskään yhtiökokoukselle, isäntien kokoukselle, osuuskunnan kokoukselle tai edustajistolle taikka hypoteekkiyhdistyksen kokoukselle eikä kokoukseen osallistuvalle osakkeenomistajalle tai jäsenelle.

Luottolaitoksella ja sen kanssa samaan konsolidointiryhmään kuuluvalla yrityksellä on velvollisuus antaa 14 §:n 1 momentissa tarkoitettuja tietoja syyttäjä- ja esitutkintaviranomaiselle rikoksen selvittämiseksi sekä muulle viranomaiselle, jolla on lain mukaan oikeus saada sellaisia tietoja.

Luvun 15 § koskee tietojen luovuttamista samaan konsolidointiryhmään, rahoitus- ja vakuutusryhmittymään tai yhteenliittymään kuuluvalle yritykselle. Luottolaitoksella ja sen kanssa samaan konsolidointiryhmään kuuluvalla yrityksellä on oikeus antaa 14 §:ssä tarkoitettuja tietoja samaan konserniin, konsolidointiryhmään tai rahoitus- ja vakuutusryhmittymien valvonnasta annetussa laissa tarkoitettuun rahoitus- ja vakuutusryhmittymään kuuluvalle yhteisölle asiakas-palvelua ja muuta asiakassuhteen hoitamista, markkinointia sekä konsernin, konsolidointiryhmän tai rahoitus- ja vakuutusryhmittymän riskienhallintaa varten, jos tietojen vastaanottajaa koskee tässä laissa säädetty tai vastaava salassapitovelvollisuus. Luottolaitos ja luottolaitoksen kanssa samaan konsolidointiryhmään kuuluva yritys voivat luovuttaa asiakasrekisterissään ole-via markkinointia sekä asiakaspalvelua ja muuta asiakassuhteen hoitamista varten tarpeellisia tietoja sellaiselle yhteisölle, joka kuuluu luottolaitoksen kanssa samaan taloudelliseen yhteen-liittymään, jos tietojen vastaanottajaa koskee tässä laissa säädetty tai sitä vastaava salassapitovelvollisuus. Oikeus luovuttaa tietoja ei koske yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettujen erityisten henkilötietoryhmien ja 10 artiklassa tarkoitettujen rikostuomioihin ja rikkomuksiin liittyvien tietojen luovuttamista.

Luvun 15 §:n 3 momentin mukaan luottolaitoksella on oikeus luovuttaa 14 §:n 1 momentissa tarkoitetulle luottolaitosten yhteenliittymälle, jonka jäsen luottolaitos on, yhteenliittymän toiminnan kannalta tarpeellisia tietoja.

Lain 21 luvun 4 §:ssä säädetään salassapitovelvollisuuden rikkomisesta. Rangaistus salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain (39/1889) 38 luvun 1 ja 2 §:n mukaan, jollei teosta muualla laissa säädetä ankarampaa rangaistusta.

Laki maksulaitoksista

Maksulaitoksen toiminnasta säädetään maksulaitoslaissa (297/2010) ja maksupalvelulaissa (290/2010). Maksulaitoslain 37 §:ssä säädetään tietojen salassapitovelvollisuudesta. Pykälän 1 momentin mukaan henkilön, joka maksulaitoksen tai sen kanssa samaan ryhmään kuuluvan yrityksen, maksulaitoksen asiamiehen tai muun maksulaitoksen lukuun toimivan yrityksen toimielimen jäsenenä tai varajäsenenä tai niiden palveluksessa taikka niiden toimeksiannosta tehtävää suorittaessaan on saanut tietää maksulaitoksen tai sen kanssa samaan ryhmään kuuluvan yrityksen asiakkaan tai muun sen toimintaan liittyvän henkilön taloudellista asemaa tai yksityisen henkilökohtaisia oloja koskevan seikan taikka liike- tai ammattisalaisuuden, on velvollinen pitämään sen salassa, ellei se, jonka hyväksi vaitiolovelvollisuus on säädetty, anna suostumustaan sen ilmaisemiseen. Salassa pidettäviä tietoja ei saa antaa myöskään yhtiökokoukselle, osuuskunnan kokoukselle tai edustajistolle eikä kokoukseen osallistuvalle osakkeenomistajalle tai jäsenelle.

Maksulaitoksella ja sen kanssa samaan ryhmään kuuluvalla yrityksellä on sen estämättä, mitä salassapitovelvollisuudesta säädetään, velvollisuus antaa 37 §:n 1 momentissa tarkoitettuja tietoja syyttäjä- ja esitutkintaviranomaiselle rikoksen selvittämiseksi sekä muulle viranomaiselle, jolla on lain mukaan oikeus saada sellaisia tietoja

Laki pankki- ja maksutilien valvontajärjestelmästä

Laissa pankki- ja maksutilien valvontajärjestelmästä säädetään pankki- ja maksutilien valvontajärjestelmästä, joka muodostuu pankki- ja maksutilien tiedonhakujärjestelmästä ja pankki- ja maksutilirekisteristä. Hallituksen esityksessä 167/2018 vp katsottiin, että tiedonhakujärjestelmän ja pankki- ja maksutilirekisterin yhdistelmän etuna on, että sen avulla on mahdollista huomioida eri ilmoitusvelvollisryhmien toiminnan erityispiirteet ja rahanpesun ja terrorismin rahoittamisen riskit sekä vähentää rekisterin riskejä muun muassa siitä syystä, että rekisterin tietomassa on pienempi. Esityksessä ehdotettiin tästä syystä toteuttamisvaihtoehdoksi tiedonhakujärjestelmän ja rekisterin yhdistelmää. Lain tarkoituksena on sen 1 §:n mukaan edistää viranomaisten sähköistä tiedonsaantia pankki- ja maksutileistä sekä tehostaa viranomaisten tiedustelujen oikeaa kohdentumista. Laissa määritellään ne tiedot, jotka tallennetaan pankki- ja maksutilien tiedonhakujärjestelmään ja pankki- ja maksutilirekisteriin, sekä ne toimivaltaiset viranomaiset, joilla on pääsy tiedonhakujärjestelmässä ja tilirekisterissä oleviin tietoihin.

Lakia pankki- ja maksutilien valvontajärjestelmästä on muutettu muutoslailla 730/2020. Lainmuutokset tulivat voimaan 1.11.2020. Tässä yhteydessä korjattiin sellaisia lain määritelmiä, jotka ovat aiheuttaneet epäselvyyttä lain soveltamisessa. Lisäksi korjattiin ja tarkennettiin tiedonhakujärjestelmän kautta luovutettavia ja pankki- ja maksutilirekisteriin tallennettavia tietoja. Erityisesti lainmuutoksilla tarkennettiin tietoja luovuttavien eri toimijoiden osalta, mitä tietoja kukin toimija on lain mukaan velvollinen luovuttamaan tiedonhakujärjestelmän kautta tai antamaan Tullille pankki- ja maksutilirekisteriin tallennettavaksi. Pankki- ja maksutilien valvontajärjestelmästä annettua lakia on lisäksi muutettu muutoslailla 378/2021, joka tuli voimaan 10.5.2021. Lainmuutoksella lisättiin tilin käyttöoikeudenhaltijoita koskevien tietojen ilmoitusvelvollisuus tilirekisteriin myös oikeushenkilöiden osalta.

Lain 3 §:ssä on määritelty ne viranomaiset ja käyttötarkoitukset, joita varten pankki- ja maksutilien valvontajärjestelmästä voidaan luovuttaa tietoa. Oikeus käyttää pankki- ja maksutilien valvontajärjestelmää on säädetty rahanpesulaissa tarkoitetuille valvontaviranomaisille ja asianajajayhdistykselle mainitussa laissa tarkoitetun valvontatehtävän suorittamiseen, rahanpesun selvittelykeskukseen rahanpesun selvittelykeskuksesta annetussa laissa tarkoitettujen eräiden tehtävien hoitamiseen ja Tulli-, rajavartio-, vero- ja ulosottoviranomaiseen sekä konkurssiasiamieheen rahanpesulain mukaisen huolehtimisvelvoitteen toteuttamiseksi. Edellytyksenä valvontajärjestelmän käyttämiselle on pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaan lisäksi se, että se on välttämätöntä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi. Käytännössä pankki- ja maksutilien valvontajärjestelmää käyttävät viranomaiset ja ne tehtävät, joihin valvontajärjestelmää voidaan käyttää, on voimassaolevassa laissa rajattu rahanpesudirektiivissä edellytettyyn minimiin.

Pankki- ja maksutilien valvontajärjestelmästä annetun lain 4 §:n 1 momentin mukaan luottolaitoksen on ylläpidettävä sähköistä pankki- ja maksutilien tiedonhakujärjestelmää, jonka avulla se välittää välittömästi ja salassapitosäännösten estämättä 2 momentissa tarkoitettuja tietoja asiakkaistaan toimivaltaiselle viranomaiselle. Jos se on luottolaitoksen koko sekä toiminnan luonne ja laajuus huomioon ottaen perusteltua, luottolaitos voi poiketa tiedonhakujärjestelmän ylläpitovelvoitteesta, jos Finanssivalvonta myöntää luvan. Lain 4 §:n 2 momentissa säädetään luovutettavista tiedoista. Nämä tiedot luovutetaan toimivaltaiselle viranomaiselle, jos toimivaltainen viranomainen on ne salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä oikeutettu muun lain nojalla saamaan. Tietoja ovat tilinhaltijan ja sen käyttöoikeudenhaltijan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä asiakkuuden alkamis- ja päättymispäivä sekä kaikki tilin käyttöoikeudenhaltijat ja näiden luonnollista henkilöä koskevat edellä mainitut tiedot rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 1 luvun 5–7 §:ssä tarkoitettujen tosiasiallisten edunsaajien täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, pankki- ja maksutilin IBAN-numero tai muu yksilöintitunnus sekä tilin avaamis- ja sulkemispäivä, tallelokeron vuokraajan ja sen käyttöoikeutetun täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos vuokraaja on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä tallelokeron yksilöintitieto ja vuokra-ajan pituus. Lisäksi 4 §:ssä säädetään, että toimivaltaisen viranomaisen on yksilöitävä säännös, jonka nojalla se pyytää tietoa. Luottolaitoksen on toimitettava tieto toimivaltaiselle viranomaiselle maksutta. Asianajajan asiakasvaratilien yhteyteen on merkittävä nimenomainen tieto siitä, että pankki- tai maksutili on asianajajan asiakasvarojen tili, jota koskee asianajajan salassapitovelvollisuus. Tietoja asiakasvaratileistä ei saa luovuttaa tiedonhakujärjestelmän kautta.

Pankki- ja maksutilien valvontajärjestelmästä annetun lain 5 §:ssä säädetään pankki- ja maksutilirekisteristä, jonka rekisterinpitäjänä toimii Tulli ja 6 §:ssä säädetään pankki- ja maksutilirekisteriin tallennettavista tiedoista. Pankki- ja maksutilirekisteriin tallennetaan tiedot maksulaitoksen, sähkörahayhteisön ja virtuaalivaluutan tarjoajan rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 3 luvun 2 §:ssä tunnistettavaksi säädetystä asiakkaasta. Tallennettavia tietoja ovat tilinhaltijan ja sen käyttöoikeudenhaltijan sekä virtuaalivaluutan tarjoajan asiakkaan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos tilinhaltija tai virtuaalivaluutan tarjoajan asiakas on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen ja asiakkuuden alkamis- ja päättymispäivä ja maksutilin IBAN-numero tai muu yksilöintitunnus.

Pankki- ja maksutilirekisterin tiedot ovat lain 1 §:n 4 momentin mukaan salassa pidettäviä.

Pankki- ja maksutilirekisteriin sovelletaan lain viranomaisen toiminnan julkisuudesta (621/1999), jäljempänä julkisuuslaki, 11 §:ää asianosaisen oikeudesta tietojensaantiin, 12 §:ää oikeudesta saada tietoa itseään koskevasta asiakirjasta, 26 §:n 3 momenttia salassa pidettävästä asiakirjasta annettavaa tietoa virka-aputehtävän suorittamiseksi sekä toimeksiannosta tai muuten viranomaisen lukuun suoritettavaa tehtävää varten, ja 29 §:ää salassa pidettävien tietojen antamisesta toiselle viranomaiselle.

Jos luottolaitos on saanut Finanssivalvonnalta lain 4 §:n 1 momentissa tarkoitetun luvan poiketa tiedonhakujärjestelmän ylläpitovelvoitteesta, pankki- ja maksutilirekisteriin tallennetaan tilinhaltijan ja sen käyttöoikeudenhaltijan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen asiakkuuden alkamis- ja päättymispäivä sekä kaikki tilin käyttöoikeudenhaltijat ja näiden luonnollista henkilöä koskevat edellä mainitut tiedot, rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 1 luvun 5–7 §:ssä tarkoitettujen tosiasiallisten edunsaajien täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, pankki- ja maksutilin IBAN-numero tai muu yksilöintitunnus sekä tilin avaamis- ja sulkemispäivä, tallelokeron vuokraajan ja sen käyttöoikeutetun täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus, tai jos vuokraaja on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen sekä tallelokeron yksilöintitieto ja vuokra-ajan pituus.

Tiedot on annettava sähköisesti. Tulli voi antaa tarkempia määräyksiä siitä, mitä sähköistä menettelyä käyttäen ja millä tavoin varmennettuina tietoja voidaan toimittaa. Laissa edellytetään, että asianajajan asiakasvaratilien yhteyteen on merkittävä nimenomainen tieto siitä, että pankki- tai maksutili on asianajajan asiakasvarojen tili, jota koskee asianajajan salassapitovelvollisuus. Tietoja asiakasvaratileistä ei saa luovuttaa rekisteriin.

Laki rahanpesun selvittelykeskuksesta

Laissa rahanpesun selvittelykeskuksesta säädetään rahanpesun selvittelykeskuksesta sekä rahanpesun ja terrorismin rahoittamisen estämistä, paljastamista ja selvittämistä koskevasta rekisteristä. Laki on liittynyt osaltaan neljännen rahanpesudirektiivin täytäntöönpanemiseen rahanpesun selvittelykeskusta koskevan sääntelyn osalta. Rahanpesun selvittelykeskuksen tehtäviin kuuluvat lain 2 §:n mukaan rahanpesun ja terrorismin rahoittamisen estäminen, paljastaminen ja selvittäminen sekä tutkintaan saattaminen, rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 4 luvun 1 §:ssä tarkoitettujen ilmoitusten vastaanottaminen ja analysointi sekä palautteen antaminen niiden vaikutuksista, yhteistyö viranomaisten kanssa rahanpesun ja terrorismin rahoittamisen torjunnassa, yhteistyö ja tietojenvaihto rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä huolehtivien vieraan valtion viranomaisten ja kansainvälisten järjestöjen kanssa, yhteistyö ilmoitusvelvollisten kanssa, tilaston pitäminen rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 4 luvun 1 §:ssä tarkoitettujen ilmoitusten ja mainitun luvun 5 §:ssä säädettyjen liiketoimien keskeytysten lukumäärästä, tutkintaan saatettujen epäilyttäviä liiketoimia koskevien ilmoitusten lukumäärästä sekä tehdyistä, vastaanotetuista, evätyistä ja vastatuista tietopyynnöistä ja varojen jäädyttämisestä terrorismin torjumiseksi annetun lain (325/2013) 3 §:n 2 momentissa tarkoitettujen ilmoitusten vastaanotto ja käsittely, mainitun lain 4 §:ssä tarkoitettujen jäädyttämispäätösten edellytysten selvittäminen ja jäädyttämispäätöksiä koskevien esitysten tekeminen. Lisäksi rahanpesun selvittelykeskuksen tehtäväksi on säädetty operatiivisten ja strategisten analyysien tekeminen koskien rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun ja terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu tai saataisiin, tekotapoja, ilmiöitä, suuntauksia ja menetelmiä.

Lain 4 §:n mukaan rahanpesun selvittelykeskuksella on oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä sekä ilmoitusvelvollisilta rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot ja asiakirjat maksutta sen estämättä, mitä liike- ja ammattisalaisuutta tai yksilön, yhteisön tai säätiön taloudellisia olosuhteita, taloudellista asemaa tai verotustietoja koskevien tietojen salassapidosta säädetään. Päätöksen salassa pidettävien tietojen hankkimisesta tekee selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies.

Rahanpesun selvittelykeskuksella on 4 §:n 2 momentin nojalla oikeus saada maksutta yksityiseltä yhteisöltä, säätiöltä ja henkilöltä selvittelykeskuksessa työskentelevän päällystöön kuulu-van poliisimiehen kirjallisesta pyynnöstä rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot yhteisön jäsentä, tilintarkastajaa, toiminnantarkastajaa, hallituksen jäsentä tai työntekijää velvoittavan salassapitovelvollisuuden estämättä. Tietoja saa luovuttaa rahanpesun selvittelykeskukselle tietojoukkona tai sähköisesti.

3.2 Viranomaisten pääsy pankki- ja maksutilitietoihin ja pankki- ja maksutilien valvontajärjestelmään

Finanssivalvonta

Finanssivalvonta valvoo rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 1 luvun 2 §:n 1 momentin 1–8 ja 8 a kohdassa tarkoitettuja ilmoitusvelvollisia mainitun lain, ja sen nojalla annettujen säännösten ja määräysten, noudattamista. Finanssivalvonta valvoo lisäksi Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 596/2014, annettu 16 päivänä huhtikuuta 2014, markkinoiden väärinkäytöstä (markkinoiden väärinkäyttöasetus) sekä Euroopan parlamentin ja neuvoston direktiivin 2003/6/EY ja komission direktiivien 2003/124/EY, 2003/125/EY ja 2004/72/EY kumoamisesta maksajan tiedot -asetuksen noudattamista sen valvottaviksi kuuluvien ilmoitusvelvollisten osalta siltä osin kuin ne lähettävät tai vastaanottavat asetuksessa tarkoitettuja varainsiirtoja.

Finanssivalvonnasta (878/2008) annetun lain 18 §:ssä säädetään oikeudesta saada tietoja valvottavalta ja muulta finanssimarkkinoilla toimivalta. Valvottavan ja muun finanssimarkkinoilla toimivan on salassapitosäännösten estämättä ilman aiheetonta viivytystä toimitettava Finanssivalvonnalle sen pyytämät tiedot ja selvitykset, jotka ovat tarpeen Finanssivalvonnalle laissa säädetyn tehtävän hoitamiseksi. Vastaava velvollisuus on sillä, jolla on kirjanpitolain (1336/1997) 1 luvun 5 §:ssä tarkoitettu määräysvalta valvottavassa tai muussa finanssimarkkinoilla toimivassa tai joka on valvottavan tai muun finanssimarkkinoilla toimivan määräysvallassa. Kyseiset tiedot ovat olleet välttämättömiä silloin, kun niille on ollut tarvetta. Tiedoille on ollut tarvetta muun muassa tutkintapyyntöjen laatimisen sekä virka-avun tarjoamisen yhteydessä.

Finanssivalvontaan on keväällä 2019 perustettu erillinen rahanpesun estämisen toimisto, jonka tehtävänä on nimenomaisesti rahanpesun ja terrorismin rahoittamisen estämisen valvonta. Organisaatiomuutoksen johdosta Finanssivalvontaan on rekrytoitu uusia virkamiehiä rahanpesun estämisen valvontaan. Virkamiesten valvontatehtävien suorittamisessa pankki- ja maksutilitietojen käyttäminen on keskeisessä asemassa, ja eräissä valvontatehtävissä se on hyvinkin laajamittaista. Valvontatehtävien laadukkaan suorittamisen vuoksi pankki- ja maksutilitietojen käyttäminen onkin tänä päivänä välttämätöntä.

Finanssivalvonta valvoo Finanssivalvonnasta annetun lain 3 §:n perusteella rahoitusvälineiden liikkeeseenlaskua ja niillä tapahtuvaa kaupankäyntiä. Lain 50 h §:n nojalla Finanssivalvonta toimii markkinoiden väärinkäyttöasetuksen (MAR) 22 artiklassa tarkoitettuna toimivaltaisena viranomaisena. MAR sääntelee markkinoiden väärinkäyttöä eli sisäpiirikauppoja, sisäpiiritiedon laitonta ilmaisemista, markkinoiden manipulointia ja sisäpiiritiedon julkistamista. Lisäksi MAR asettaa velvoitteita muun muassa liikkeeseenlaskijoiden johtohenkilöille ja heidän lähipiiriinsä kuuluville sekä markkinoiden ylläpitäjille ja sijoituspalveluyrityksille. Finanssivalvonnan yhtenä keskeisenä tehtävänä on valvoa MAR:n säännösten noudattamista. Finanssivalvonta selvittää ja tutkii muun muassa epäilyjä liittyen sisäpiiritiedon väärinkäyttöön ja markkinoiden manipuloitiin. Osana tutkintaa voi olla tarpeellista selvittää tutkinnan kohteena olevien tahojen pankki- ja maksutilitietoja. Näin esimerkiksi tilanteissa, joissa epäillään bulvaanien käyttöä, useampien tahojen toimintaa yhteistyössä,esimerkiksi sisäpiiriringit, tai omistuksen piilottamista. Tähän mennessä Finanssivalvonta on pyytänyt näitä tietoja erillisin tietopyynnöin Finanssivalvonnasta annetun lain 18 tai 20 §:n nojalla. Käyttöoikeus pankki- ja maksutilirekisteriin tehostaisi Finanssivalvonnan tutkintatoimintaa.

Finanssivalvonnan rikosepäilyihin liittyvät tutkinnat voivat liittyä myös muihinkin kuin markkinoiden väärinkäyttöasetuksen mukaisiin sisäpiirikauppoihin ja markkinoiden manipulointiin (jotka on mainittu Europol-asetuksen liitteessä vakavina rikoksina). Finanssivalvonta valvoo myös esimerkiksi arvopaperimarkkinalain (746/2012) noudattamista. Arvopaperimarkkinalaissa säädetään muun muassa huomattavien ääni- ja omistusosuuksien ilmoittamisesta, julkisista ostotarjouksista ja tarjousvelvollisuudesta. Näiden velvollisuuksien noudattamisen valvomiseksi ja niihin liittyvien mahdollisten rikosepäilyjen tutkimiseksi Finanssivalvonnalla voi olla tarvetta selvittää pankki- ja maksutilitietoja tilanteessa, jossa syntyy epäily esimerkiksi omistuksen piilottamisesta tai bulvaanien käytöstä. Tällöin kyse voi olla rikoslain 51 luvun 5 §:n tarkoittamasta arvopaperimarkkinoita koskevasta tiedottamisrikoksesta. Teot voivat täyttää joissain tilanteissa myös esimerkiksi petoksen tunnusmerkistön. Vastaavaa tarvetta pankki- ja maksutilitietojen saamiseen voi liittyä myös muihin Finanssivalvonnasta annetun lain 3 §:n mukaisia tehtäviä suorittaessa ilmenneisiin rikosepäilyihin.

Tällä hetkellä Finanssivalvonta tekee pankkitiedusteluja sähköpostilla, sekä omien taikka käytössään olevien järjestelmiensä avulla. Finanssivalvonta käyttää salattua sähköpostiliikennettä finanssilaitosten kanssa käymässään sähköpostiviestinnässä. Finanssivalvonnan omat järjestelmät toteutetaan ja tietoturva arvioidaan Euroopan Keskuspankkijärjestelmän tietoturvavaatimusten mukaisesti. Lisäksi järjestelmiin teetetään ulkopuolisten tekemiä tietoturvatestauksia. Järjestelmissä on myös huomioitu luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus, jäljempänä tietosuoja-asetus).

Kun tiedusteluun saadaan vastaus, käsitellään sitä tehdyn tiedusteluasiakirjan tavoin Suomen Pankin ja Finanssivalvonnan sisäisen Asiakirjan luokittelu- ja käsittelysäännön mukaisesti. Käsittelysääntö on laadittu julkisuuslain ja julkisen hallinnon tiedonhallinnasta annetun lain (906/2019, jäljempänä tiedonhallintalaki) pohjalta, ja se sisältää velvoittavaa ohjeistusta asiakirjan käsittelystä, asiakirjojen käsittelytavoista sekä käsittelytapojen vaikutuksesta käsittelyyn.

Pankkitili- ja henkilötietojen käsittelyä koskeva valvonta on toteutettu tällä hetkellä siten, että valvonta jakautuu esimiesten suorittamaan yleiseen valvontaan, sekä jälkikäteiseen laillisuusvalvontaan. Lisäksi asiakirjojen käsittelystä jää lokimerkintä, joka mahdollistaa jälkikäteisen valvonnan. Valvontakeinoja ovat myös työtehtävien mukaisesti määritellyt käyttöoikeudet asiakirjoihin ja työkansioihin.

Myös pankki- ja maksutilitietojen valvontajärjestelmästä saatavien tietojen kohdalla Finanssivalvonnan tarkoituksena on menetellä asiakirjojen käsittelyn sekä sitä koskevan valvonnan osalta edellä kuvatun kaltaisesti.

Poliisihallituksen arpajaishallinto

Poliisihallituksen arpajaishallinto valvoo rahanpesulain 7 luvun 1 § 2 kohdan perusteella lain 1 luvun 2 §:n 1 momentin 9 kohdassa tarkoitettua rahapeliyhteisöä (Veikkaus Oy) sekä 1 luvun 2 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa ja yhteisöä, joka välittää osallistumismaksuja ja -ilmoituksia 1 luvun 2 §:n 1 momentin 9 kohdassa tarkoitetun rahapeliyhtiön tarjoamiin rahapeleihin.

Rahanpesulain mukainen valvontavastuu Ahvenanmaan osalta on siirretty Poliisihallitukselta Tasavallan presidentin asetuksella eräiden rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain mukaisten tehtävien hoitamisesta Ahvenanmaalla (500/2018, jäljempänä sopimusasetus) 1.7.2018 lähtien Ahvenanmaan viranomaisille.

Arpajaisten toimeenpanon valvonnasta on säädetty arpajaislain (1047/2001) 8 luvussa: Arpajaisten toimeenpanoa valvotaan arpajaisiin osallistuvien oikeusturvan takaamiseksi, väärinkäytösten ja rikosten estämiseksi sekä arpajaisista aiheutuvien sosiaalisten ja terveydellisten haittojen vähentämiseksi.

Poliisihallitus vastaa arpajaisten toimeenpanon valtakunnallisesta valvonnasta ja arpajaistoiminnan tilastoimisesta. Poliisihallitus voi antaa arpajaisten toimeenpanoa ja toimeenpanon valvontaa koskevia lausuntoja ja ohjeita. Poliisilaitos valvoo alueellaan toimeenpantavia arpajaisia. Rahapelien toimeenpanon valvonnassa on käytettävä tarvittaessa sähköisiä valvontajärjestelmiä. Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä rahapelien sähköisistä valvontajärjestelmistä.

Arpajaislain 44 §:n mukaan valvontaviranomaisilla on salassapitosäännösten estämättä oikeus saada Veikkaus Oy:ltä, arpajaisten toimeenpanoon luvan saaneelta yhteisöltä tai säätiöltä sekä tavara-arpajaisten käytännön toimeenpanijalta valvontatehtävän suorittamiseksi tarpeellisia tietoja ja asiakirjoja. Rahanpesulain 7 luvun 2 §:n 1 kohdan mukaan sen lisäksi mitä muualla laissa säädetään, ilmoitusvelvollisen on salassapitosäännösten estämättä ilman aiheetonta viivytystä toimitettava valvontaviranomaiselle ja asianajajayhdistykselle maksutta sen pyytämät tiedot ja selvitykset, jotka ovat välttämättömiä tässä laissa tai sen nojalla annetuissa säännöksissä tai määräyksissä tarkoitetun tehtävän hoitamiseksi.

Rahanpesulain 1 luvun 2 §:n 2 momentissa tarkoitetun elinkeinonharjoittajan ja yhteisön on Poliisihallituksen pyynnöstä annettava tälle valvontaa varten välttämättömät tiedot maksutta. Poliisihallituksen arpajaishallinto ei tee tällä hetkellä rahapesulain mukaisen valvonnan yhteydessä pankkitiedusteluja.

Patentti- ja rekisterihallitus

Patentti- ja rekisterihallitus (jäljempänä PRH) valvoo rahanpesulain 1 luvun 2 §:n 1 momentin 11 kohdassa tarkoitettuja ilmoitusvelvollisia mainitun lain, ja sen nojalla annettujen säännösten ja määräysten, noudattamista.

Valvonta kohdentuu tilintarkastuslaissa (1141/2015) tarkoitettuun tilintarkastajaan, kun hän suorittaa mainitun lain 1 luvun 1 §:n 1 momentissa tarkoitettua lakisääteistä tilintarkastusta.

Pankkitiedot tulevat PRH:n tilintarkastusvalvonnalle ja säätiövalvonnalle välillisesti. Tilintarkastusvalvonnassa suoritetaan tilintarkastajien valvontaa, joka kohdistuu esimerkiksi tilintarkastajan tarkastuskohteen kuten yhteisön, säätiön tai julkishallinnon ja -talouden tarkastuskohteen rahoihin ja pankkisaamisiin, mutta tällöinkin tarkastus suoritetaan hyödyntämällä tilintarkastajan tai tarkastuskohteen hallussa olevia tilitietoja.

PRH:n tilintarkastusvalvonta valvoo, että tilintarkastajat ja tilintarkastusyhteisöt toimivat tilintarkastuslain ja hyvän tilintarkastustavan mukaisesti ja että tilintarkastajat noudattavat rahanpesulain mukaisia velvollisuuksia. PRH:n tilintarkastusvalvonnassa toimiva ratkaisutoiminnaltaan itsenäinen tilintarkastuslautakunta määrää tilintarkastajille tilintarkastuslain mukaiset seuraamukset ja rikemaksun rahanpesulain rikkomisesta.

PRH:n säätiövalvonta valvoo, että säätiön toiminnassa noudatetaan säätiölakia ja säätiön sääntöjen määräyksiä. Myös säätiövalvonnalle pankkitietoja tulee vain välillisesti. Pankkitietoja on saatu pyynnöstä säätiöiltä sekä muilta viranomaisilta.

PRH:n tilintarkastusvalvonnalla on salassapitosäännösten estämättä oikeus saada tilintarkastuslain 8 luvun 1 § perusteella valvottavalta ilman aiheetonta viivästystä tilintarkastusvalvonnan pyytämät valvonnan kannalta tarpeelliset tiedot ja selvitykset avoimesti ja totuudenmukaisesti. Valvottavan on muutoinkin avustettava valvonta-asian selvittämisessä. Tilintarkastusvalvonnalla on oikeus saada tilintarkastajalta valvonnan kannalta tarkoituksenmukaisessa muodossa kaikki valvonnan kannalta tarpeelliseksi katsomansa asiakirjat ja muut tallenteet sekä saada maksutta tarpeelliset jäljennökset näistä. Tietojensaantioikeus koskee myös emoyrityksenä olevan yhteisön tai säätiön tilintarkastajaa, ellei konsernin tilintarkastusta koskevien tietojen antamiselle ole muun valtion lainsäädännöstä johtuvaa tai muuta tilintarkastajasta riippumatonta estettä. Tilintarkastajan on osoitettava esteen olemassaolo.

Tilintarkastusvalvonnalla on oikeus saada tietoa myös muilta henkilöitä. Tilintarkastuslain 8 luvun 2 §:n perusteella tilintarkastusvalvonnalla on salassapitosäännösten estämättä oikeus saada tilintarkastuksen kohteelta, sen emoyhtiöltä tai tilintarkastuskohteen määräysvallassa olevalta kaikki niiden hallussa olevat tilintarkastajaa tai tilintarkastusta koskevat sellaiset tiedot, jotka ovat tarpeen tilintarkastusvalvonnalle laissa säädetyn valvontatehtävän hoitamiseksi. Tilintarkastuslain 8 luvun 2 §:n 2 momentin mukaan tilintarkastusvalvonnalla on salassapitosäännösten estämättä oikeus saada yksilöityä valvontatointa varten valvonnan kannalta välttämättömiä tietoja muulta kuin edellä tarkoitetulta, jolla voidaan perustellusta syystä olettaa olevan tällaisia tietoja.

Tilintarkastusvalvonta ja tilintarkastuslautakunta voivat määrätä seuraamuksia riippumatta siitä, onko niiden käytössä ollut suorien pankkitiedustelujen perusteella saatuja pankkitietoja.

Etelä-Suomen aluehallintovirasto

Etelä-Suomen aluehallintovirasto valvoo rahanpesulain 1 luvun 2 §:n 1 momentin 13–24 kohdassa tarkoitettuja ilmoitusvelvollisia siltä osin kuin ne eivät ole 1 kohdan nojalla Finanssivalvonnan valvomia ilmoitusvelvollisia mainitun lain ja sen nojalla annettujen säännösten ja määräysten noudattamista.

Etelä-Suomen aluehallintoviraston elinkeinovalvonta valvoo, että rahanpesulaissa sen valvottavaksi asetetut ilmoitusvelvolliset noudattavat rahanpesulain mukaisia velvollisuuksia.

Etelä-Suomen aluehallintovirasto määrää sen valvomille ilmoitusvelvollisille sekä asianajajaliiton esityksestä sen jäsenille hallinnolliset seuraamukset rahanpesulain rikkomisesta.

Tällä hetkellä Etelä-Suomen aluehallintovirasto ei tee pankkitiedusteluja pankkisalaisuuden alaisista tili- ja maksuliikennetiedoista, vaan se saa pankkitilitiedot välillisesti eli valvottavilta.

Pääasiallisena käyttötarkoituksena tilitiedoille on valvonnan kohdentaminen sen perusteella, keillä aluehallintoviraston valvottavista on käytössään asiakasvaratili. Kyselytarve voi tulla myös muun normaalin valvonnan kautta. Volyymi on pieni, eikä tietoa ole tarpeen analysoida kovinkaan perusteellisesti.

Aluehallintoviraston asianhallintajärjestelmään arkistoidaan kaikki siihen kirjatut asiat ja sieltä pystyy tarkistamaan, kenellä on oikeus päästä katsomaan kyseessä olevia tietoja. Salassa pidettäviä tietoja pääsevät katsomaan ainoastaan siihen oikeutetut henkilöt. Aluehallintovirasto tulisi toteuttamaan pankki- ja maksutilien valvontajärjestelmää koskevan tietojen käsittelyn siten, että mahdolliselle tietopyynnölle luotaisiin uusi asiadiaari aluehallintovirastoon asianhallintajärjestelmään Uspaan.

Suomen Asianajajaliitto

Asianajajayhdistys (Suomen Asianajajaliitto) valvoo rahanpesulain 1 luvun 2 §:n 1 momentin 12 kohdassa tarkoitettuja ilmoitusvelvollisia.

Asianajajien ammatillinen valvontajärjestelmä perustuu asianajajalakiin. Asianajajaliiton valvonta ulottuu asianajajien lisäksi julkisiin oikeusavustajiin sekä luvan saaneisiin oikeudenkäyntiavustajiin. Asianajajan asiakas, vastapuoli, viranomainen tai muu tyytymätön henkilö voi ottaa yhteyttä liiton yhteydessä toimivaan valvontalautakuntaan ja kannella asianajajasta, julkisesta oikeusavustajasta tai luvan saaneesta oikeudenkäyntiavustajasta.

Valvontalautakunnan tehtäviin kuuluu ensisijaisesti selvittää, onko asianajaja, julkinen oikeusavustaja tai luvan saanut oikeudenkäyntiavustaja noudattanut Hyvää asianajajatapaa koskevia ohjeita (koskevat asianajajia ja julkisia oikeusavustajia) tai laissa säädettyjä hyvää asianajajatapaa vastaavia ammattieettisiä velvollisuuksia (koskevat luvan saaneita oikeudenkäyntiavustajia). Valvontalautakunta voi määrätä mahdollisesta rikkeestä kurinpidollisen seuraamuksen.

Lisäksi Asianajajaliiton hallitus valvoo asianajajia tekemällä vuosittain toimistotarkastuksia, rahanpesun ja terrorismin rahoittamisen estämistä koskevassa laissa tarkoitettuja tarkastuksia sekä velkaantumisselvityksiä. Velkaantumisselvitysten yhteydessä Asianajajaliiton hallitus voi määrätä asianajotoimistossa suoritettavaksi tarkastuksen, missä yhteydessä tarvittaessa käydään läpi myös asianajajan asiakasvaratilit ja niitä koskeva kirjanpito.

Asianajajan asiakasvaratilit ovat asianajosalaisuuden piiriin kuuluvia ja niiden tapahtumatietoja ei saa luovuttaa teknisen käyttöyhteyden kautta eikä myöskään manuaalisesti kukaan muu kuin asianajaja itse. Sen sijaan tieto siitä, että asianajajalla on asiakasvaratili ja kyseessä olevan tilin yksilöintitieto kuten IBAN-numero, eivät ole salassa pidettäviä tietoja sen enempää kuin muutoinkaan ihmisten pankkitilien tiedot. Eli siis tilitapahtumia, joissa näkyy asianajajan päämiehen tai vastapuolen tietoja, kuten nimitiedot ja maksun aihe, ei saa kukaan muu kuin asianajaja luovuttaa edelleen. Asianajajan asiakasvaratilit on ”korvamerkittävä” siten, että ne voidaan teknisesti erottaa esim. asianajajan henkilökohtaisista tileistä, jotka eivät ole asianajosalaisuuden piiriin kuuluvia. Tämä vaatii pankin päässä teknisiä toimia.

Asianajajista annetun lain (496/1958) 6 §:n mukaan Asianajajaliiton hallituksen on valvottava, että asianajajat esiintyessään tuomioistuimessa tai muun viranomaisen luona sekä muussakin toiminnassaan täyttävät velvollisuutensa.

Rahanpesulain 7 luvun 1 §:n 2 momentin mukaan Asianajajaliitto valvoo asianajajien osalta rahanpesulain säännösten ja määräysten noudattamista. Asianajajan on voitava osoittaa Asianajajaliitolle, että sen asiakkaan tuntemista ja jatkuvaa seurantaa koskevat menetelmät ovat riittävät rahanpesun ja terrorismin rahoittamisen riskeihin nähden.

Asianajajat ovat velvollisia noudattamaan rahanpesulain säännöksiä hoitaessaan rahanpesulain 1 luvun 2 §:n 12 kohdassa tarkoitettuja toimeksiantoja.

Asianajaja on velvollinen antamaan hallitukselle tiedot, joita tätä valvontaa varten tarvitaan. Asianajajan on myös sallittava hallituksen määräämän henkilön suorittaa tarkastus toimistossaan, jos hallitus katsoo sen valvontaa varten tarpeelliseksi, sekä tällöin esitettävä ne asiakirjat, joiden tutkimista tarkastuksen toimittaminen edellyttää.

Asianajajaliitto on ilmoittanut, ettei tässä vaiheessa ota käyttöön rekisterikyselyä, vaan saa tiedot tarvittaessa suoraan asianajajalta.

Rahanpesun selvittelykeskus

Rahanpesun selvittelykeskus saa tietoja pankki- ja maksutilien valvontajärjestelmästä rahanpesun selvittelykeskuksesta annetun lain 2 §:n 1 momentin 1—4 ja 7 kohdassa tarkoitettujen tehtävien hoitamiseen. Pankki- ja maksutilitietojen käyttäminen on välttämätöntä, jotta rahanpesun selvittelykeskus voi suorittaa laissa säädetyt, edellä esitetyt tehtävänsä.

Rahapesun selvittelykeskuksesta annetun lain 4 §:n mukaan rahanpesun selvittelykeskuksella on oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä sekä ilmoitusvelvollisilta rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot ja asiakirjat maksutta sen estämättä, mitä liikesalaisuutta tai yksilön, yhteisön tai säätiön taloudellisia olosuhteita, taloudellista asemaa tai verotustietoja koskevien tietojen salassapidosta säädetään. Päätöksen salassa pidettävien tietojen hankkimisesta tekee selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies.

Selvittelykeskuksella on oikeus saada maksutta yksityiseltä yhteisöltä, säätiöltä ja henkilöltä selvittelykeskuksessa työskentelevän päällystöön kuuluvan poliisimiehen kirjallisesta pyynnöstä rahanpesun ja terrorismin rahoittamisen estämisen ja selvittämisen kannalta välttämättömät tiedot yhteisön jäsentä, tilintarkastajaa, toiminnantarkastajaa, hallituksen jäsentä tai työntekijää velvoittavan salassapitovelvollisuuden estämättä.

Keskitetyn rekisterikyselyn kautta rahanpesun selvittelykeskuksen tekemien pankkitiedustelujen määrä tulee kasvamaan. Kasvua puoltaa se, että tiedustelujen aikaisempaa parempi kohdentaminen sekä saatavan tiedon parempi laatu ja analysoitavuus korostaisivat entisestään pankkitiedustelun tärkeyttä ja toiminnan oikea-aikaisuutta. Rikoshyödyn jäljittäminen ja poisottaminen ovat olennainen osa rikosvastuun toteutumista. Rahanpesun selvittelykeskus toimittaa tekemänsä ensivaiheen analyysin ja selvittelyn jälkeen asian mahdollista rikostutkintaa varten poliisiyksikköön tai muulle esitutkintaviranomaiselle.

Rahanpesun selvittelykeskus on vastaanottanut aikaisemmin vuositasolla noin 60 000 rahanpesuilmoitusta, määrä on viime aikoina merkittävästi noussut. Näistä ilmoituksista valitaan jatkoselvittelyn kohteeksi osa ilmoituksista ja avataan vuodessa noin 1 800 selvittelykokonaisuutta. Yhdessä selvittelykokonaisuudessa voi olla osallisena useampia henkilöitä ja yhtiöitä ja ne voivat liittyä kukin tyypillisesti noin 1–5 eri rahanpesuilmoitukseen. Kyselyt pankki- ja maksutietojen valvontajärjestelmään tehtäisiin näissä kaikissa tapauksissa.

Pankki- ja maksutilien valvontajärjestelmän käytön laillisuusvalvonta tullaan toteuttamaan vastaavalla tavalla kuin rahanpesun selvittelykeskuksen muiden järjestelmien käytön valvonta. Järjestelmien käyttöä valvotaan osana keskusrikospoliisin oikeusyksikön ja tiedusteluosaston laillisuusvalvontaa. Lisäksi Poliisihallitus ja tietosuojavaltuutettu valvovat rekistereiden käyttöä. Laillisuusvalvontaa varten rahanpesun selvittelykeskus ja poliisin yksiköt, eli Poliisihallitus ja, keskusrikospoliisi voivat pyytää Tullilta pankki- ja maksutilien valvontajärjestelmästä annetun lain 7 §:n mukaisesti lokitietoja, jotka liittyvät sen oman toiminnan seurantaan ja valvontaan. Pankki- ja maksutilien valvontajärjestelmän käytön laillisuusvalvonta tullaan toteuttamaan muun muassa käyttöoikeushallinnalla, eli jokaisella käyttöoikeutetulla on oma käyttäjätunnus, jolla kyselijä voidaan yksilöidä. Lisäksi kyselyjä voi tehdä vain sisäasiainhallinnon käytössä olevassa Turvallisuusverkossa (TUVE) olevilla työasemilla, joihin kirjautumiseksi vaaditaan henkilökohtainen toimikortti ja pin-koodi.

Normaalin käyttöoikeusvalvonnan lisäksi laissa rahanpesun selvittelykeskuksesta on säädetty tietojen hankkimisesta ja luovuttamisesta nimenomaisesti lain 4 §:ssä. Päätöksen salassa pidettävien tietojen hankkimisesta tekee selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies. Päätöksentekoon oikeutettuja esimiestason henkilöitä on tällä hetkellä neljä, kun koko henkilöstömäärä on noin 40 henkilöä ja nämä henkilöt ovat vastuussa lähtevien tietopyyntöjen laillisuudesta.

Kunkin sellaisen tiedonluovutuksen osalta, joihin voi sisältyä haettua tietoa, tehdään vastaavasti erillispäätös. Vastaavalla tavalla kuin tietojen kyselyt, päätöksen tietojen luovuttamisesta edelleen tekee rahanpesun selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies. Keskusrikospoliisin oikeusyksiköllä sekä tiedusteluosastolla on laillisuusvalvontasuunnitelma, jonka mukaisesti tietojärjestelmien käytön laillisuutta valvotaan. Tästä vastaa erikseen osaston laillisuusvalvoja sekä Keskusrikospoliisin yleinen rekistereiden käytön laillisuusvalvonta, sekä tietosuojavaltuutetun toteuttaman rekisteröidyn välillinen tarkastusoikeus rahanpesurekisteriin, jonne myös tehdyt tietopyynnöt ja tiedonluovutukset tallennetaan.

Tulli

Tullin tehtävänä on Tullin hallinnosta annetun lain (960/2012) 2 §:n 1 momentin mukaan huolehtia tulliselvityksestä ja -verotuksesta, maahan tuotavien ja maasta vietävien tavaroiden ja ulkomaanliikenteen tullivalvonnasta, tullirikosten estämisestä ja paljastamisesta sekä muista tullitoimenpiteistä ja sen mukaan kuin erikseen säädetään toimittaa valmisteverotusta, arvonlisäverotusta ja muuta verotusta, suorittaa verovalvontaa ja tullirikosten esitutkintaa.

Tullilla ei ole voimassa olevan lainsäädännön nojalla toimivaltaa käyttää pankki- ja maksutilien valvontajärjestelmää, sillä Tullilla ei ole erityistä tiedonsaantioikeutta rahanpesulain 9 luvun 5 §:n mukaisen huolehtimisvelvoitteen täyttämiseksi. Pankki- ja maksutilien valvontajärjestelmän käyttöoikeus on siitä annetun lain (571/2019) 3 §:n 1 momentin 3 –kohdassa tarkoitetuilla viranomaisilla rajattu sanamuodon mukaan yksinomaan huolehtimisvelvoitteen toteuttamiseen. Momentissa tarkoitetuilla viranomaisilla, joihin myös Tulli lukeutuu, on oikeus käyttää valvontajärjestelmää tämän huolehtimisvelvoitteen toteuttamiseen, jos se on välttämätöntä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi. Tällaista erillistä tiedonsaantiin oikeuttavaa säännöstä huolehtimisvelvoitteen täyttämiseksi ei ole rahanpesulaissa, koska huolehtimisvelvoitteessa on kyse huomion kiinnittämisestä rahanpesun ja terrorismin rahoittamisen torjuntaan ja viranomaiselle sen toiminnan yhteydessä kertyneen rahanpesun ja terrorismin rahoittamisen estämisen kannalta merkityksellisen tiedon välittämisestä rahanpesun selvittelykeskukselle. Yksinomaan pelkkään huolehtimisvelvoitteeseen viittaamalla viranomaisilla ei ole tarkoitussidonnaisuuden periaatteen vuoksi tiedonsaantioikeutta muuhun lainsäädäntöön perustuvien valtuuksien nojalla. Tulli toimii myös rahanpesurikosten esitutkintaviranomaisena, kun kyse on tullirikoksista. Pankki- ja maksutilien valvontajärjestelmää koskevassa laissa ei ole säädetty rahanpesun esitutkintaviranomaisille oikeutta käyttää valvontajärjestelmää.

Tulliverotuksessa Tulli kantaa EU:n ulkopuolelta saapuvista tavaroista tulliveron sekä muut tullin kaltaiset verot ja maksut. Kyse on siis niin sanotuista EU:n perinteisistä omista varoista, jotka jäsenmaiden tulliviranomaiset kantavat ja tilittävät sitten EU:lle. Tulli kantaa tavaroiden maahantuonnin yhteydessä myös maahantuonnin arvonlisäveron yksityisiltä maahantuojilta sekä valmisteverot esimerkiksi silloin, kun tullivelka syntyy tuontisäännösten noudattamatta jättämisestä.

Tullilla on verotus- ja verovalvontatehtävissä oikeus pyytää tilitietoja suoraan pankeilta ja muilta vastaavilta luottolaitoksilta tullilain (304/2016) 102 §:n 2 momentin nojalla, jonka mukaan henkilön, jolla on hallussaan toisen tulliverotusta tai siitä johtuvaa muutoksenhakua koskevaa asiaa varten tarpeellisia tietoja, on annettava ne Tullille sen kehotuksesta määräajassa.

Tullin verovalvonnassa tilitietokyselyjä tehdään lähinnä Tullin yritystarkastuksen suorittamassa tarkastustoiminnassa. Tilitietokyselyt tehdään suoraan pankeille ja määrät vaihtelevat tarkastettavien juttujen laadun mukaan. Tilitapahtumakyselyt liittyvät tulliverotuksen oikeellisuuden tarkastamiseen ja tilitapahtumat pyydetään yleensä koko tarkastusajanjaksolta tai tietyltä osalta siitä. Tilitapahtumakyselyissä saaduista tiliotteista pyritään selvittämään esimerkiksi tullausarvon oikeellisuus eli tavarasta tosiasiassa maksettu hinta sekä maksajan ja maksunsaajan tiedot. Lisäksi tilitietokyselyillä voidaan pyrkiä selvittämään yrityksen muita tilejä, joissa voi olla tilitapahtumia niin sanotuista piilokaupoista. Tilitapahtumien avulla voidaan myös vertailla kirjanpidon sekä tulli-ilmoitusten oikeellisuutta.

Verotuspäätöksiä laadittaessa tilitietokyselyitä tehdään vähemmän, sillä Tullin verovalvonnasta vastaava yritystarkastus yleensä tekee tarvittavat selvitykset ennen kuin asia siirretään Tullin verotustoiminnoille esimerkiksi jälkikantopäätösten laatimista varten. Tilitietojen pyytäminen pankeilta voi olla kuitenkin tarpeellista myös esimerkiksi silloin, kun käsitellään verotukseen liittyvää muutoshakemusta, kuten esimerkiksi oikaisuvaatimusta. Tällöin voi olla tarpeellista tarkistaa esimerkiksi tavaroista tosiasiassa maksettu kauppahinta tilitapahtumatietojen perusteella.

Tullin verotustoiminnoilla on merkittävä rooli varojen takaisin hankkimisessa erityisesti EU:n perinteisten omien varojen osalta. Tullin verotustoiminnot myös turvaavat unionin taloudellisia etuja.

Rikostorjunnan osalta Tulli on esitutkintalaissa (805/2011) tarkoitettu esitutkintaviranomainen ja Tulli vastaa tullirikostorjunnasta siten kuin siitä rikostorjunnasta Tullissa annetussa laissa (623/2015) sekä muualla lainsäädännössä säädetään. Tullirikos on määritelty rikostorjunnasta Tullissa annetun lain 1 luvun 2 §:n 1 kohdassa.

Tullirikoksella tarkoitetaan:

a) rikosta, jolla rikotaan sellaista tullilain tai muun lain säännöstä, jonka noudattamisen valvonta tai täytäntöönpano on Tullin tehtävänä;

b) tullimieheen kohdistuvaa rikoslain (39/1889) 16 luvun 3 §:ssä tarkoitettua haitantekoa virkamiehelle sekä 4 b §:ssä tarkoitettua niskoittelua tullimiestä vastaan;

c) rikoslain 46 luvun 6 ja 6 a §:ssä tarkoitettua laitonta tuontitavaraan ryhtymistä;

d) sellaista rikosta, johon sisältyy omaisuuden maahantuontia, maastavientiä tai Suomen kautta kuljettamista.

Tullilla on rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n 1 momentin nojalla oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen tai hallintoneuvoston jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä tarvittavat tiedot tullirikoksen estämiseksi, paljastamiseksi tai selvittämiseksi.

Tullin tutkinnan toimintayksikkö tutkii muun muassa huumausainerikoksia, lääkerikoksia, veropetoksia, salakuljetusrikoksia sekä muita maahantuonnin yhteydessä tehtyjä rikoksia. Veropetosrikokset liittyvät usein EU:n taloudellisia intressejä vahingoittaviin tekoihin, kuten esimerkiksi tullien tai polkumyyntitullien välttämiseen, mutta Tulli tutkii myös valmisteverotukseen kohdistuvat rikokset. Tilitietoja tullirikosten tutkinnassa pyydetään yleensä vakiomuotoisella lomakkeella, johon merkitään kaikki tarpeelliset tiedot pyydettävistä tiedoista ja tutkittavasta rikoksesta. Tulli on tehnyt luotto- ja maksulaitoksiin tullirikosten tutkinnan yhteydessä vuosina 2017 ja 2018 noin 24 000 tilitietokyselyä vuodessa.

Tulli valvoo rekisterien käyttöä ja henkilötietojen käsittelyn lainmukaisuutta sisäisellä laillisuusvalvonnalla. Tullin valvontaosastolla laaditaan vuosittain laillisuustarkastussuunnitelma, johon otetaan erityyppisiä tarkastuskohteita. Tarkastusten kohteena voi olla esimerkiksi Tullin rekisterien käytön tai tilitietokyselyiden lainmukaisuuden valvonta. Tarkastuksissa kiinnitetään aina erityistä huomiota henkilötietojen käsittelyn lainmukaisuuteen. Tämän lisäksi Tullissa tehdään myös niin sanottuja ad hoc –tarkastuksia, joissa impulssi tarkastukseen tulee jostain ulkoisesta tekijästä tai tapahtumasta. Vuotuisen laillisuusvalvontasuunnitelman tarkastustuloksista laaditaan loppuraportti ja tulokset esitellään Tullin valvontaosaston johdolle. Jos tarkastuksissa havaitaan epäkohtia, niihin laaditaan toimenpidesuositukset ja asiassa ryhdytään tarvittaviin toimenpiteisiin. Loppuraportti toimitetaan erikseen pyydettäessä tiedoksi myös eduskunnan oikeusasiamiehelle.

Tullin tilirekisterihanke

Pankki- ja maksutilien valvontajärjestelmä koostuu pankki- ja maksutilirekisteristä ja tiedonhakujärjestelmästä. Tulli on pankki- ja maksutilirekisterin rekisterinpitäjä ja koordinoi Tilirekisterihanketta, jonka jatkohanke on asetettu ajalle 5.5.2021‒31.5.2022. Tulli on rakentanut tilirekisterin, johon tallennetaan tietoja maksulaitosten, sähkörahayhteisöjen ja virtuaalivaluutan tarjoajien asiakkuuksista, asiakastileistä sekä tallelokeroista. Myös luottolaitokset voivat luovuttaa tiedot tilirekisteriin Finanssivalvonnan luvalla. Maksulaitokset, sähkörahayhteisöt, virtuaalivaluutan tarjoajat ja luvansaaneet luottolaitokset päivittävät laissa määritellyt tiedot tilirekisteriin Tullin toteuttaman rajapinnan kautta.

Luottolaitokset ylläpitävät lähtökohtaisesti tiedonhakujärjestelmiä, joiden avulla toimivaltaiset viranomaiset voivat hakea tiedot asiakkuuksista, asiakastileistä ja tallelokeroista luottolaitosten tiedonhakurajapinnoista. Myös maksulaitokset, sähkörahayhteisöt ja virtuaalivaluutan tarjoajat voivat halutessaan toteuttaa tiedonhakujärjestelmän. Tulli on 21.10.2019 antanut määräyksen tiedonhakujärjestelmien kyselyrajapinnasta, sekä ohjeistuksen sen toteuttamiseen liittyen. Kukin tiedonhakujärjestelmän toteuttava luottolaitos tai muu tiedonluovuttaja tulkitsee määräystä rajapinnasta ja rajapintakuvauksesta sekä toteuttaa määräyksen mukaan tiedonhakujärjestelmän, joka sopii sen omiin järjestelmiin ja arkkitehtuuriin.

Pankki- ja maksutilien valvontajärjestelmästä annetussa laissa määritellyt toimivaltaiset viranomaiset voivat tehdä sähköisiä kyselyjä molempiin järjestelmiin. Tiedonhakujärjestelmien kautta tulee olemaan saatavissa yli 95 prosenttia pankki- ja maksutilien valvontajärjestelmän tiedoista.

Tullilla elokuussa 2021 olevien tietojen mukaan pankki- ja maksutilirekisteriin on toimittamassa pankki- ja maksutilien valvontajärjestelmästä säädetyn lain 5 ja 6 §:n mukaisia tietoja yhteensä 19 toimijaa, joista 15 on tuotannossa ja 4 osalta tiedot vielä puuttuvat. Suomessa toimivat isot luottolaitokset tulevat toteuttamaan pankki- ja maksutilien tiedonhakujärjestelmän, tiedonhakujärjestelmien osalta 7 toimijaa ovat tehneet teknisen testauksen ja 8 toimijalla testaus tai selvittely oli elokuussa 2021 käynnissä. Suurin osa pankki- ja maksutilien valvontajärjestelmässä olevista tiedoista tulee olemaan tämän hetkisten tietojen mukaan luotto-, maksulaitosten, sähkörahayhteisöjen tai virtuaalivaluutan tarjoajien tiedonhakujärjestelmissä. Tiedonhakujärjestelmien toimittaminen on kuitenkin viivästynyt ja yhtään tiedonhakujärjestelmää ei elokuussa 2021 ollut tuotannossa, eikä toisaalta myöskään yhtään tiedonhyödyntäjää ole vielä tuotannossa.

Rajavartiolaitos

Laissa henkilötietojen käsittelystä Rajavartiolaitoksessa (639/2019) säädetään Rajavartiolaitoksen tiedonsaantioikeudesta 20 §:ssä, joka koskee tietojen saantia yksityiseltä yhteisöltä ja henkilöltä. Rajavartiolaitoksella on oikeus saada pidättämiseen oikeutetun virkamiehen pyynnöstä Rajavartiolaitoksen tutkittavan rikoksen ennalta estämiseksi, paljastamiseksi tai selvittämiseksi tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Rajavartiolaitoksella on sama oikeus saada rajavartiolain 27 §:ssä tarkoitettua tutkintaa varten tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii.

Rajavartiolaitos tekee vuosittain noin 200–300 tiedonsaantipyyntöä pankeille tai maksulaitoksille, koskien tilien haltijatietoja sekä tilien tapahtumatietoja. Kyselyt tehdään kirjallisesti, pääosin sähköpostilla. Arvio kyselymääristä koskee COVID-19 pandemiaa edeltävää aikaa, sillä vuosina 2020 ja 2021 pandemiasta johtuen on laittomaan maahantuloon liittyvä rikollisuus vähentynyt ja muuttanut muotoaan. Pyynnöt on tehty lain henkilötietojen käsittelystä Rajavartiolaitoksessa 20 §:n perusteella.

Pyynnöt liittyvät pääosin Rajavartiolaitoksen rikostorjunnan ydintehtäviin, eli laittomaan maahantuloon liittyvään rikollisuuteen. Vuosittain vähäinen määrä pyynnöistä liittyy rahanpesuun liittyvään rikollisuuteen, näiden ollessa kuitenkin selkeästi vähemmistössä. Rajavartiolaitos ilmoittaa tehtäviensä hoidon yhteydessä ilmi tulleet epäilyttävät liiketoimet tai terrorismin rahoittamisen epäilyt rahanpesun selvittelykeskukselle.

Rahanpesurikokset eivät lähtökohtaisesti kuulu Rajavartiolaitoksen tutkintatoimivaltaan. Rajavartiolaitos voi poikkeuksellisesti tutkia rahanpesurikoksia ainoastaan Rajavartiolaitoksen rikostorjuntalain 5 §:n mukaisesti toisen esitutkintaviranomaisen pyynnöstä, jos rahanpesurikos liittyisi Rajavartiolaitoksen aloittamaan esitutkintaan ja sitä koskeva syyte voitaisiin käsitellä tuomioistuimessa yhdessä Rajavartiolaitoksen tutkittavana olevaa rikosta koskevan syytteen kanssa.

Rahanpesurikoksen esirikoksena saattaa olla esimerkiksi törkeä laittoman maahantulon järjestäminen tai ihmiskauppa. Käytännössä Rajavartiolaitos on tällä perusteella tutkinut vain muutaman yksittäisen ja vähäisen rahanpesurikoksen. Mikäli Rajavartiolaitoksen toiminnassa havaittaisiin viitteitä epäillystä rahanpesurikoksesta, niin asiasta ilmoitetaan rahanpesun selvittelykeskukselle ja asia siirretään poliisin tutkittavaksi.

Verohallinto

Verohallinnon oikeus käsitellä pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisia tietoja perustuu lain 3 §:ään, jonka mukaisesti käsiteltävän tiedon tulee olla välttämätön Verohallinnon hoitaessa sille rahanpesulain 9 luvun 5 §:ssä säädettyä huolenpitovelvoitetta.

Verohallinnon Verohallinnosta annetun lain (503/2010, jäljempänä verohallintolaki) 2 §:ssä säädettynä tehtävänä on verotuksen toimittaminen, verovalvonta, verojen ja maksujen kanto, perintä ja tilitys sekä veronsaajien oikeudenvalvonta. Verohallinnolle ei ole rahanpesulaissa säädetty nimenomaista valvontatehtävää. Verohallinnolla on rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 9 luvun 5 §:ssä säädetty huolenpitovelvoite, jonka mukaisesti sen toiminnassa kiinnitetään huomiota rahanpesun ja terrorismin rahoittamisen estämiseen ja paljastamiseen sekä tehtäviensä hoidon yhteydessä ilmi tulleiden epäilyttävien liiketoimien tai terrorismin rahoittamisen epäilyn ilmoittamiseen rahanpesun selvittelykeskukselle. Verohallinnolla on verotustietojen julkisuudesta ja salassapidosta annetun lain (1346/1999) 18 §:n 1 momentin mukaisesti oikeus ilmoittaa rahanpesun selvittelykeskukselle verovalvonnan yhteydessä havaituista epäilyttävistä liiketoimista tai kun voidaan epäillä liiketoimeen sisältyviä varoja käytettävän terrorismin rahoittamiseen tai sen rangaistavaan yritykseen. Verotusmenettelystä annetun lain (1558/1995) 23 a §:ssä säädetään rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 1 luvun 2 §:n mukaisten ilmoitusvelvollisten velvollisuudesta esittää tarkastettavaksi hallussaan olevat tiedot siitä miten suomalaiset finanssilaitokset ovat suorittaneet verotusmenettelystä annetun lain 17 a - 17 d §:ssä säädetyt velvoitteet ja huolellisuusmenettelyt lainkohtien mukaan raportoitavien tilien tunnistamisessa. Verohallinnolla on verotustietojen julkisuudesta ja salassapidosta annetun lain 18 § 1 mom. 12 kohdan nojalla oikeus antaa Finanssivalvonnalle ja Patentti- ja rekisterihallitukselle verovalvonnassa havaittuja tietoja, joilla saattaa olla merkitystä niiden valvoessa rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa säädettyjä velvoitteita asiakkaan tuntemista.

Tällä hetkellä on tulkinnanvaraista se, miten pankki- ja maksutilijärjestelmästä annetun lain 3 §:n mukaisia edellytyksiä sovellettaisiin suhteessa niihin tehtäviin, jotka Verohallinnossa liittyvät rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 9 luvun 5 §:n huolenpitovelvoitteeseen. Pankki- ja maksutilijärjestelmän 3 §:ssä on säädetty tietojen käytön edellytyksenä olevan, että ne ovat välttämättömiä huolenpitovelvoitteen toteuttamisessa. Käytännössä pankki- ja maksutilien valvontajärjestelmän tiedot ovat tarpeellisia Verohallinnon tehtävissä ja rahanpesun estämiseen liittyvä huolenpitovelvoitteen täyttäminen tapahtuu Verohallinnon tehtävien yhteydessä. Verohallinto ei ole toistaiseksi pitänyt tarpeellisena pankki- ja maksutilien valvontajärjestelmän käyttöä vaan tilitietoihin liittyvä tiedonantovelvollisuus on toteutettu verotusmenettelyä koskevan sääntelyn nojalla.

Verohallinto saa tällä hetkellä pankki- ja maksutilien tietoja verotusmenettelystä annetun lain 19 §:n mukaisen sivullisen tiedonantovelvollisuuden nojalla. Verotusmenettelystä annetun lain 19 §:ää voidaan soveltaa laajasti eri verolajien kohdalla. Eri verolajeja koskevissa menettelysäännöissä on viitattu verotusmenettelyä koskevan sääntelyn soveltamiseen. Esimerkiksi oma-aloitteisten verojen verotusmenettelystä annetun lain (768/2016) 30 §:n mukaisesti sivullisen erityiseen tiedonantovelvollisuuteen sovelletaan, mitä verotusmenettelystä annetun lain 19 §:ssä säädetään. Verohallinto voi myös tarkastaa asiakkaan tuntemistietojen menettelyt lain 23 a §:n nojalla. Verotusmenettelystä annetun lain 19 § mukaisesti jokaisen on annettava Verohallinnon kehotuksesta nimen, pankkitilin numeron, tilitapahtuman tai muun vastaavan yksilöinnin perusteella tietoja, jotka saattavat olla tarpeen muun verovelvollisen verotusta tai muutoksenhakua koskevan asian käsittelyä varten ja jotka selviävät hänen hallussaan olevista asiakirjoista tai muutoin ovat hänen tiedossaan, jollei hänellä lain mukaan ole oikeutta kieltäytyä todistamasta asiasta. Verotukseen vaikuttavia, taloudellista asemaa koskevia tietoja ei kuitenkaan saa kieltäytyä antamasta. Verohallinto voi tämän nojalla lähettää pankkeihin ja maksulaitoksiin tilitietoja koskevia kyselyitä. Edellytyksenä on, että tilitiedot saattavat olla tarpeen verotusta koskevan asian käsittelyä varten. Tiedot tulee antaa lain 22 §:n 4 momentin mukaisesti salassapitosäännösten ja muiden tietojen saantia koskevien rajoitusten estämättä. Verohallinto voi myös lainkohdan 5 §:n nojalla määrätä, että tiedot annetaan sähköistä tiedonsiirtomenetelmää käyttäen.

Tilitiedon tarpeellisuus arvioidaan ja harkitaan Verohallinnossa aina tapauskohtaisesti virkavastuulla. Käytännössä tarve tilitiedusteluille on harmaan talouden torjunnassa selvitettäessä veropetoksia, jotka usein ovat nivoutuneet muihin talousrikoksiin. Verohallinnossa erityisesti harmaan talouden torjuntaan erikoistuneella henkilöstöllä on kyvykkyys havaita verovalvonnan yhteydessä myös muita talousrikoksia, kuten korruptiota, rahanpesua tai sosiaalitukien väärinkäytöksiä. Näistä havainnoista annetaan tiedot valvovalle viranomaiselle.

Verohallinto tekee tällä hetkellä noin 25 000 tilitietokyselyä vuodessa koskien luonnollisia henkilöitä ja yhteisöjä). Verohallinnolla ei ole lähtökohtaisesti tiedossa verovelvollista koskevia pankkiyhteystietoja, joten kysely lähetetään yleensä kaikkiin pankkeihin. Siten käyttöoikeus pankki- ja maksutilien valvontajärjestelmään tehostaisi ja nopeuttaisi nykyistä menettelyä, kun turhia tiedusteluita ei enää lähetettäisi. Valvontajärjestelmän käyttöoikeuden antamisessa Verohallinnon osalta ehdotettu muutos ei lisäisi tai laajentaisi oikeutta saada pankkitiliä koskevia tietoja vaan ehdotettu muutos vähentäisi hallinnollista taakkaa tehostamalla ja sujuvoittamalla nykyistä toimintaa. Tiedustelujen määrä voi tulevaisuudessa lisääntyä, jos uusia toimijoita tulee Suomen rahoitusmarkkinoille.

Verotusta varten käsitellyt tilitiedot ovat Verohallinnossa verotustietoina salassa pidettäviä siten kuin verotustietojen julkisuudesta ja salassapidosta annetun lain 1 ja 4 §:ssä säädetään. Tällä hetkellä näillä tiedoilla tarkoitetaan Verohallinnon verotusmenettelystä annetun lain) 19 §:n nojalla suoraan pankilta saamiaan tietoja. Luonnolliseen henkilöön yhdistettävät tiedot ovat myös tietosuoja-asetuksessa tarkoitettuja henkilötietoja. Verohallinnossa tietoja käsitellään Verohallinnosta annetun lain) 2 §:n mukaisissa tehtävissä. Tietoja käsittelevät virkailijat toimivat virkavastuulla. Rahoitustietodirektiivi edellyttää tietojärjestelmältä muun muassa sellaista lokinpitoa, että tiedonhaun toimivaltaperuste on jälkikäteen luotettavasti selvitettävissä. Verohallinnon toiminnassa tapahtuvan henkilötietojen käsittelyn lain- ja asianmukaisuuden valvonta on tarkkaa. Tilitiedusteluiden tulee aina liittyä nimettyihin toimenpiteisiin ja kaikki käsittely on todettavissa jälkikäteen. Verohallinto valvoo tietojen käsittelyä muun muassa lokitietojen valvontamenettelyillä.

Verotusta varten käsitellyt pankki- ja maksutilitiedot suojataan samoilla suojausmenettelyillä kuin muutkin verotustiedot. Verohallinnolla on tiedonhallintalain 4 luvussa ja yleisen tietosuoja-asetuksen 2 jaksossa säädetyt velvoitteet huolehtia käsittelemiensä tietojen tietoturvallisuudesta.

Verohallinnossa pankki- ja maksutilitietoja käsittelevät vain ne virkailijat, joiden työtehtäviin tietojen käsittely kuuluu. Tältä osin tietojen käsittelyä ohjataan ja valvotaan käyttövaltuushallinnan periaatteiden mukaisesti (VH/5995/00.01.02/2019). Periaatteissa on kuvattu linjaukset ja periaatteet; käyttövaltuuksien hallinta; valvonta, jäljitettävyys ja raportointi sekä tietojen säilyttäminen.

Tietojen käsittelyn jälkikäteinen valvonta perustuu Verohallinnon periaateisiin teknisestä valvonnasta ja lokien hallinnasta (VH/799/09.09.00/2019). Periaatteissa on kuvattu teknisen valvonnan ja lokienhallinnan roolit ja vastuut; periaatteet ja tavoitteet; lokitietojen kerääminen ja säilytys; lokienhallinta ja valvonta; tietojen luovutus sekä väärinkäytösten käsittely ja seuraukset.

Käytännössä pankki- ja maksutilitietoja koskevat kyselyt tehdään tällä hetkellä verotuksen tietojärjestelmässä. Kyselyn tekemisen edellytyksenä on, että verotusta koskeva asia on vireillä eikä kyselyitä saa tehdä muutoin. Työmääräyksissä on määritelty ne virkailijat, joilla on oikeus tehdä kyselyitä.

Ulosottolaitos

Ulosottomiehen tiedonsaantioikeuksia koskevat säännökset löytyvät ulosottokaaresta ja ulosottomenettelyä koskevasta asetuksesta. Säädöksissä ei ole erityistä tiedonsaantioikeutta rahanpesulain 9 luvun 5 §:n mukaiseen huolehtimisvelvoitteen täyttämiseen. Ulosottoviranomaiset eivät voi tällä hetkellä käyttää pankki- ja maksutilien valvontajärjestelmää laissa säädettyyn tarkoitukseen, koska heillä ei ole järjestelmän käyttöön oikeuttavia tiedonsaantioikeuksia erityislainsäädännössä.

Ulosottoviranomaisilla on kuitenkin ulosottokaaren säännösten mukaisesti oikeus saada muuta kautta täysin samat tiedot kuin mitä pankki- ja maksutilien valvontajärjestelmän kautta on saatavilla. Ulosottomiehillä on ulosottokaaren säännösten mukaisesti laajat tiedonsaantioikeudet. Kuitenkin jokainen pankkitiedustelu tai muu velallista koskeva tiedustelu tehdään vastaavan ulosottomiehen harkinnan perusteella, mikäli tieto arvioidaan välttämättömäksi täytäntöönpanon kannalta. Uljas-tietojärjestelmässä käsitellään tällä hetkellä ulosottoviranomaisille rajapintojen kautta tulevat pankkitiedustelujen vastaukset ja myös pankki- ja maksutilien valvontajärjestelmästä saatavia tietoja tultaisiin käsittelemään tässä samassa järjestelmässä. Ainoastaan velallisen vastaava ulosottomies ja tämän esimies sekä harmaan talouden torjuntaa tekevät erikoisperinnän erityistäytäntöönpanon virkamiehet näkevät tietojärjestelmään tulleiden pankkitiedusteluvastausten sisällön.

Pääosin laillisuusvalvontaa toteuttaa Ulosottolaitoksen keskushallinnon oikeudellinen yksikkö kanteluiden käsittelyn puitteissa. Lisäksi ulosottolaitoksessa suoritetaan toiminnan sisäistä laillisuusvalvontaa suunnitelmallisesti. Tällä hetkellä lokitietojen valvonta on pääosin tietosuojavastaavan tehtävänä. Myös sisäisessä tarkastuksessa voidaan lokitietoja tarkastaa pistokoemaisesti. Lokitietojen tarkastusprosessia ollaan kehittämässä edelleen tehokkaammaksi.

Ulosottolaitoksessa sovelletaan kaikessa henkilötietojen käsittelyssä EU:n yleistä tietosuoja-asetusta ja sitä täydentävää kansallista lainsäädäntöä. Ulosottolaitoksessa käsitellään henkilötietoja huolellisesti ja rekisteröidyn oikeudet huomioiden. Henkilötietoja käsitellään ulosottoviranomaisille kuuluvien lakisääteisten tehtävien suorittamiseksi.

Konkurssiasiamies

Konkurssiasiamiehen tehtävänä on huolehtia tarvittaessa velallisen tilien ja toiminnan tarkastamisesta ja ryhtyä tarpeellisiin toimiin tietoonsa tulleiden laiminlyöntien tai väärinkäytösten tai muiden oikaisua vaativien seikkojen vuoksi.

Konkurssiasiamiehellä ei ole erityistä tiedonsaantioikeutta rahanpesulain 9 luvun 5 §:n mukaisen huolehtimisvelvoitteen täyttämiseksi. Laki pankki- ja maksutilien valvontajärjestelmästä ei ilman suunniteltua laajentamista mahdollista konkurssiasiamiehelle valvontajärjestelmän käyttämistä.

Konkurssipesien hallinnon valvonnasta annetun lain 4 §:n 1 momentin mukaan konkurssiasiamiehellä on oikeus tarkastaa tehtävänsä suorittamisen kannalta tarpeellisiksi katsomansa, konkurssipesälle kuuluvat velallista tai konkurssipesää koskevat asiakirjat ja muut tallenteet.

Lain 4 §:n 2 momentin mukaan konkurssiasiamiehellä on salassapitosäännösten estämättä samanlainen oikeus kuin velallisella tai konkurssipesällä saada velallisen tai konkurssipesän toimintaa ja taloudellista asemaa koskevat tiedot sekä tiedot velallisen tai konkurssipesän pankkitileistä ja maksuliikenteestä sekä rahoitusta koskevista sopimuksista ja sitoumuksista. Tiedot on annettava maksutta.

Lain 5 §:n mukaan konkurssiasiamies voi määrätä yhden tai useamman tarkastajan suorittamaan velallisen tai konkurssipesän hallinnon, tilien ja toiminnan erityistarkastuksen. Tarkastajilla on 4 §:n 1 momentin mukaiset oikeudet.

Konkurssiin asetettua velallista tai konkurssipesää koskevat pankki- ja maksutilitiedot ovat välttämättömiä konkurssiasiamiehen lakisääteisten tehtävien hoitamiseksi.

Puolustusvoimat

Puolustusvoimien osalta toimivaltuuksista pankki- ja maksutilitietoihin pääsystä on säädetty laissa sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimista (255/2014) sekä laissa sotilastiedustelusta (590/2019).

Laissa sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa säädetään puolustusvoimien rikostorjunnasta, joka käsittää rikosten ennalta estämisen, paljastamisen ja sotilaskurinpitomenettelyyn kuuluvan rikosten selvittämisen. Laissa säädetään lisäksi menettelystä sotilaskurinpitoasiassa, siinä määrättävistä seuraamuksista sekä sotilasoikeudenkäyntimenettelyn aloittamisesta.

Puolustusvoimien rikostorjuntaan sovelletaan poliisilain, esitutkintalain ja pakkokeinolain (806/2011) sekä muun lainsäädännön säännöksiä rikosten ennalta estämisestä, paljastamisesta ja selvittämisestä, jollei jäljempänä säädetystä muuta johdu. Pankkitiedustelua on käytetty omaisuus- ja petosrikosten selvittämisessä nojautuen poliisilain 4 luvun 3 §:n 1 momentissa säädettyyn oikeuteen.

Sotilastiedustelun tarkoituksena on hankkia ja käsitellä tietoa ylimmän valtiojohdon päätöksenteon tukemiseksi Suomeen kohdistuvasta tai Suomen turvallisuusympäristön kannalta merkityksellisestä sotilaallisesta toiminnasta taikka sellaisesta vieraan valtion toiminnasta tai muusta sellaisesta toiminnasta, joka vakavasti uhkaa Suomen maanpuolustusta tai vaarantaa yhteiskunnan elintärkeitä toimintoja. Sotilastiedustelulain 104 §:ssä säädetään, että sotilastiedusteluviranomaisella on oikeus saada yksityiseltä yhteisöltä yritys-, pankki- tai vakuutussalaisuuden estämättä sellaisia tietoja, joiden yksittäistapauksessa voidaan olettaa olevan tarpeen esim. tiedustelun kohteen (henkilö/oikeushenkilö) taloudellisen toiminnan selvittämisessä. Pykälä vastaa tarkoitukseltaan pitkälti poliisilain 4 luvun 3 §:ssä säädettyä toimivaltuutta, mutta tietopyynnön tarkoituksena ei kuitenkaan ole rikoksen estäminen tai selvittäminen vaan se liittyy sotilastiedustelun kohteeseen.

Puolustusvoimien rikostorjuntaan liittyen pankkitiedusteluja on tehty noin 10 vuodessa, kesäkuussa 2019 voimaan tulleen sotilastiedustelulain nojalla tehtyjen pankkitiedustelujen osalta ei ole tietoa lukumääristä.

Poliisi

Poliisilain 4 luvun 3 §:n mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Poliisilla on sama oikeus saada 6 luvussa tarkoitetussa poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Poliisin tiedonsaantioikeudet on poliisilain kautta rajattu ja käytännössä päätöksen kyseisten tietojen hankkimisesta tekisi päällystöön kuuluva poliisimies kussakin yksittäistapauksessa erikseen, jolloin myös päätöksentekotaso on riittävän korkealla. Tietojen hankinnasta tehdään käytännössä erillinen päätös ja pyyntö.

On huomioitava, että poliisin toimivalta ei ole rajattu rahanpesulain mukaisiin tilanteisiin vaan tarve tietojen saamiseen ja käyttöön kattaa kaikki rikoslajit.

Uudessa rahankeräyslaissa (863/2019), joka tuli voimaan 1.3.2020, säädetään rahankeräyslain soveltumisesta myös sellaisiin rahankeräyksiin, joiden tarkoituksena on joko osittain tai kokonaan virtuaalivaluutan kerääminen. Rahankeräyslakia koskevassa hallituksen esityksessä ehdotettiin, että Poliisihallituksella ja sen alaisella poliisiyksiköllä olisi oikeus saada pankki- ja maksutilien valvontajärjestelmästä tieto esimerkiksi sitä, onko rahankeräyksen järjestäjä ylipäänsä käyttänyt virtuaalivaluutan vaihtopalvelua. Pankki- ja maksutilien valvontajärjestelmästä olisi voinut luovuttaa viranomaiselle rahankeräyksen myös järjestäjän käyttämän pankkitilin numeron, jonne rahankeräyksen järjestäjän omistama virtuaalivaluutta olisi vaihtopalvelun kautta siirretty. Pankki- ja maksutilien valvontajärjestelmästä annettavaan lakiin olisi ollut tärkeää sisällyttää hallituksen esityksen mukaiset tiedonhakua koskevat säännökset rahankeräyslaissa tarkoitetun keräysten valvontatehtävän suorittamista varten, koska virtuaalivaluuttakeräysten valvonta perustuisi pääasiallisesti edellä mainittuihin, järjestelmästä saataviin tietoihin. Ilman tiedonhaun mahdollistavia säännöksiä virtuaalivaluuttakeräysten valvonta on käytännössä lähes mahdotonta.

Rahankeräyslain uudistukseen liittyen, on tärkeää huomata, että, voittoa tavoittelemattomia organisaatioita ei ole huomioitu rahanpesulaissa eikä niiden osalta siten ei ole nimettyä valvontaviranomaista rahanpesun ja terrorismin rahoittamisen osalta. Näissä asioissa valvonta voittoa tavoittelemattoman sektorin osalta tapahtuu mahdollisesti erinäisten toimijoiden muun valvonnan ohessa.

Rahanpesulaissa on lueteltu kyseessä olevan lain valvontaviranomaiset. Poliisihallituksen ja sen alaisten poliisiyksiköiden oikeus käyttää pankki- ja maksutilien valvontajärjestelmää olisi yksi keino lisätä rahanpesua ja terrorismin rahoittamista koskevaa valvontaa.

Suojelupoliisi

Suojelupoliisin tehtävistä säädetään poliisin hallinnosta annetussa laissa (110/1992). Lain 10 §:n mukaan suojelupoliisin tehtävänä on sisäministeriön ohjauksen mukaisesti hankkia tietoa kansallisen turvallisuuden suojaamiseksi sekä havaita, estää ja paljastaa sellaisia toimintoja, hankkeita ja rikoksia, jotka voivat uhata valtio- ja yhteiskuntajärjestystä tai valtakunnan sisäistä tai ulkoista turvallisuutta. Sen tulee myös ylläpitää ja kehittää yleistä valmiutta yhteiskunnan turvallisuutta uhkaavan toiminnan havaitsemiseksi ja estämiseksi.

Suojelupoliisin tehtävät jakautuvat kahteen osaan. Ensinnäkin suojelupoliisin tehtävänä on estää ja paljastaa rikoslain 12, 13 ja 34 a luvuissa rangaistavaksi säädettyjä rikoksia. 12 luku koskee maanpetosrikoksia, 13 luku valtiopetosrikoksia ja 34 a luku terrorismirikoksia. Siten esimerkiksi terrorismin rahoittamisen estäminen kuuluu suojelupoliisin toimivaltaan.

Toiseksi suojelupoliisin tehtävänä on kansallisen turvallisuuden suojaaminen eli siviilitiedustelun suorittaminen. Niistä uhkista, jotka voivat olla siviilitiedustelun kohteena, säädetään poliisilain 5 a luvun 3 §:ssä. Siviilitiedustelun kohteina voi olla muun muassa terrorismi, ulkomainen tiedustelutoiminta, joukkotuhoaseet, yhteiskunnan elintärkeitä toimintoja uhkaava toiminta ja sellainen vieraan valtion toiminta, joka voi aiheuttaa vahinkoa Suomen tärkeille eduille. Terrorismin rahoittamista koskeva tiedonhankinta kuuluu näin ollen suojelupoliisin tehtäviin myös sen suorittaessa siviilitiedustelua.

Suojelupoliisin oikeudesta saada tietoa yksityisiltä tahoilta salassapidon estämättä rikoksen estämiseksi säädetään poliisilain 4 luvun 3 §:n 1 momentissa, jonka mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Säännöksen tarkoittama tiedonsaantioikeus koskee siten muun muassa. pankkisalaisuuden alaisia ja muita finanssilaitosten asiakkuussuhteisiin liittyviä tietoja. Suojelupoliisin siviilitiedustelutehtävissä sovellettavasta oikeudesta saada tietoja yksityiseltä yhteisöltä säädetään poliisilain 5 a luvun 50 §:ssä. Myös poliisilain 5 a luvun 50 §:ä kattaa nimenomaisen mainintansa perusteella pankkisalaisuuden alaiset ja muuhun finanssitoimintaan liittyvät asiakastiedot. Se, sovelletaanko poliisilain 4 luvun 3 §:ssä vai poliisilain 5 a luvun 50 §:ssä tarkoitettua tiedonsaantioikeutta, määräytyy yksinomaan sen perusteella, tarvitaanko tiedot rikoksen estämistä vai siviilitiedustelutehtävän suorittamista varten.

Poliisin pankkitiedustelun sähköistäminen

Poliisin pankkitiedustelun sähköistämistä koskevan projektin tavoitteena on toteuttaa poliisille yhtenäinen sähköinen ja tietosuojan kannalta turvallinen pankkitiedustelujen kyselyalusta. Polisiin sähköisen pankkitiedustelujärjestelmän rakentaminen pohjautuu viranomaisten ja Finanssialan aikanaan tekemään yhteistyöhön pankkitiedusteluiden sähköistämisestä, jonka yhteydessä luotiin kansainvälinen standardi käytettävästä rajapinnasta. Rajapintojen rakentaminen perustuu molemmin puolin vapaaehtoisuuteen. Poliisin projekti on alkanut vuonna 2017 ja siinä on rakennettu keskusrikospoliisiin kolme erillistä järjestelmää, joista muodostuu pankkitiedustelujärjestelmäkokonaisuus.

Sapatti-järjestelmän kautta poliisissa tehdään varsinaiset pankkitiedustelut, jotka välitetään eteenpäin pankeille toistaiseksi sähköpostitse. Järjestelmä on tällä hetkellä pilottikäytössä keskusrikospoliisissa. Valtakunnallinen käyttö alkaa v. 2021 aikana, jolloin mukaan tulevat muut poliisin yksiköt, tarkoituksena on, että Rajavartiolaitos ja suojelupoliisi tulisivat mukaan vuoden 2022 alusta.

Pankkien vastauksia varten on rakennettu kaksi järjestelmää. Vastaustavat ovat automaatiorajapinta (Patti-järjestelmä) sekä Dropbox-tyylinen toiminto (Supi-järjestelmä). Myös näiden kahden hybridimalli on mahdollinen. Nämä järjestelmät ovat testausvaiheessa ja niiden pilottikäyttö on tarkoitus aloittaa kesän tai syksyn aikana 2021, valtakunnallisen käyttöönoton on tarkoitus tapahtua arviolta loppuvuodesta 2021 – tai alkuvuodesta 2022.

Poliisin sähköinen pankkitiedustelujärjestelmä eroaa siinä pankki- ja maksutilien valvontajärjestelmästä, että omistaja- tai tilinhaltijatietojen lisäksi järjestelmän kautta voidaan tiedustella ja toimittaa vastaukset koskien kaikkia pankkitietoja eli esimerkiksi tilitapahtumia, luottoja ja omaisuuden säilytyksiä.

Osana tätä projektia on toteutettu rahanpesun selvittelykeskuksen pääsy pankki- ja maksutilien valvontajärjestelmän tilirekisteriin rahanpesun selvittelykeskuksen osalta, tässä. Jälkimmäisessä käytetään hyväksi poliisin sähköisen pankkitiedustelujärjestelmän yhtä järjestelmää. Poliisin oman sähköisen pankkitiedustelun tiimoilta on rakennettu kolme eri järjestelmää, joista ensimmäisessä tehdään itse pankkitiedustelut ja kahden jälkimmäisen kautta pankit lähettävät vastauksia loppukäyttäjille. Näiden kahden tavan lisäksi pankit voivat valita mahdolliseksi vastaanotto- tai toimitustavaksi myös sähköpostin. Poliisin järjestelmät ovat tällä hetkellä käyttöönottovaiheessa. On tarkoituksena, että käyttö laajenisi poliisin osalta valtakunnalliseksi.

Tilirekisterin osalta poliisin sähköisen pankkitiedustelun järjestelmien hyväksikäyttämiseen on määritelty ja rakennettu rajapintaa rahanpesun selvittelykeskuksen omasta järjestelmästä poliisin järjestelmään. Rahanpesun selvittelykeskuksen kyselyt ohjataan poliisin sähköisen tiedonhakujärjestelmän kautta tilirekisterille tai suoraan luottolaitokseen. Tilirekisterin ja pankkien tuottamat vastaukset toimitetaan tiedonhakujärjestelmän kautta rahanpesun selvittelykeskuksen järjestelmään.

3.3 Rikosten ennalta estämisestä, selvittämisestä ja syyteharkintaan asettamisesta vastaavat viranomaiset

Rikosten ennalta estämisen, selvittämisen ja syyteharkintaan saattamisen osalta toimivaltaisia viranomaisia Suomessa ovat poliisi mukaan lukien suojelupoliisi, Tulli, Rajavartiolaitos, syyttäjät ja tietyissä tapauksissa Puolustusvoimat ja Rikosseuraamuslaitos.

Rikoksen estämisen määritelmä lisättiin poliisilain 5 luvun 1 §:n 2 momenttiin vuoden 2014 alussa voimaan tulleessa kokonaisuudistuksessa. Rikoksen estämisellä tarkoitetaan toimenpiteitä, joiden tavoitteena on estää rikos, sen yritys tai valmistelu, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan perustellusti olettaa hänen syyllistyvän rikokseen, taikka keskeyttää jo aloitetun rikoksen tekeminen tai rajoittaa siitä välittömästi aiheutuvaa vahinkoa tai vaaraa. Rikoksen estämisestä on kysymys silloin, kun teko kyettäisiin estämään ennen kuin tunnusmerkistön mukaiseen täytäntöönpanotoimeen on ryhdytty (HE 224/2010 vp, s. 89).

Poliisilain 1 luvun 1 §:ssä tarkoitettu rikosten ennalta estäminen on kuitenkin käsitteenä laaja-alaisempi kuin rikoksen estäminen. Myös rikosten ennalta estäminen liittyy rikostorjunnan yläkäsitteeseen, joka kattaa rikosten paljastamisen, selvittämisen ja syyteharkintaan saattamisen, mutta myös sellaiset määreet kuten turvallisuus ja turvallisuuden tunne. Poliisilain esitöissä todetaan yleisesti, että rikoksiin liittyvien toimenpiteiden katsotaan kuuluvan oikeus- ja yhteiskuntajärjestyksen turvaamisen yläkäsitteen piiriin (HE 224/2010, s. 70). Rikosten ennalta estäminen on osa poliisin ennalta estävää toimintaa, joka pyritään toteuttamaan kokonaisvaltaisesti kaikessa poliisitoiminnassa. Näin ollen käsite kytkeytyy läheisesti myös yleiseen järjestyksen ja turvallisuuden ylläpitämiseen.

Vuonna 1995 voimaan tulleen silloisen poliisilain perusteluiden mukaan rikostorjunta on poliisille kuuluva tehtäväkokonaisuus, jossa rikosten ennalta estämiseen ja selvittämiseen kuuluvia toimenpiteitä ei ole mahdollista erottaa toisistaan (HE 57/1994 vp, s. 59). Maininnassa korostuu poliisin tehtäväkentän monimutkaisuus ja laaja-alaisuus. Rikosten ennalta estämisellä tavoitellaan ensisijaisesti preventiivisyyttä, jossa potentiaalisiin rikoksentekijöihin vaikutetaan jo ennen kuin rikosta on tapahtunut. Poliisin moniviranomaisyhteistyönä nykyisin toteuttama Ankkuritoimintamalli on esimerkki tällaisesta varhaisen vaiheen turvallisuustyöstä.

Rikoksentorjuntaneuvosto jaottelee rikostorjunnan viitekehykseen liittyen rikosten ennalta estämisen kahteen kategoriaan; sosiaaliseen ehkäisemiseen ja rikosten tilannetorjuntaan. Sosiaalisessa ehkäisemisessä pyritään vaikuttamaan ihmisten itsekontrolliin ja sitoutumiseen normaaliin yhteiskuntaan, muun muassa kohdentamalla toimenpiteitä syrjäytymisvaarassa oleviin nuoriin tai rikoksenuusijoihin. Rikollisuuden tilannetorjuntaan liittyy rikoksenteon vaikeuttaminen, rikoksenteon riskien lisääminen ja rikoksesta saatavan hyödyn vähentäminen (Rikoksentorjuntaneuvosto, 2013). Molemmissa ulottuvuuksissa poliisilla on oma roolinsa yhdessä muiden viranomaisten kanssa. Rikosten ennalta estämiseksi suoritettava rikosanalyysi edellyttää pohjakseen tietoa. Erilaisten uhkien tunnistamien jo hiljaisista signaaleista ja mahdollisesti eri lähteistä tulleiden tietojen yhdistämisen kautta parantaa poliisitoiminnan tehokkuutta sekä poliisin mahdollisuuksia torjua rikoksia ja rikollisuutta mahdollisimman aikaisessa vaiheessa. Ennen rikoksen estämistä tarkka tunnusmerkistö tai rikosnimike ei aina ole tiedossa. Kyse voi olla esimerkiksi siitä, että poliisille tulleen tiedon mukaan henkilö on velkaantunut ja suunnittelee omaisuusrikoksen tekemistä. Toisena esimerkkinä voidaan mainita tilanne, jossa henkilö on vapautunut vankilasta suoritettuaan pitkän tuomion väkivaltarikoksista. Poliisin saamien rikostiedustelutietojen mukaan henkilön käyttäytyminen on edelleen väkivaltaista erityisesti päihteiden käytön yhteydessä. On syytä olettaa, että henkilö tulee syyllistymään tulevaisuudessa väkivaltarikokseen, jonka tarkempi rikosnimike ei ole tiedossa. Tällaisen tiedon käsittely mahdollistaa arvioinnin oletettavissa olevan uhkan tasosta sekä mahdollisten toimenpiteiden käynnistämisestä. Toimenpiteet voivat pitää sisällään muun muassa pyrkimyksen päihdekierteen katkaisemiseen ja erilaiset tukitoimenpiteet yhteistyössä muiden viranomaisten ja toimijoiden, kuten järjestöjen, kanssa.

Poliisilain 1 luvun 1 §:n mukaan poliisin tehtävänä on oikeus- ja yhteiskuntajärjestyksen turvaaminen, kansallisen turvallisuuden suojaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen. Poliisi toimii turvallisuuden ylläpitämiseksi yhteistyössä muiden viranomaisten sekä yhteisöjen ja asukkaiden kanssa ja huolehtii tehtäviinsä kuuluvasta kansainvälisestä yhteistyöstä. Poliisi suorittaa lisäksi lupahallintoon liittyvät ja muut sille laissa erikseen säädetyt tehtävät sekä antaa jokaiselle tehtäväpiiriinsä kuuluvaa apua. Jos on perusteltua syytä olettaa henkilön kadonneen tai joutuneen onnettomuuden uhriksi, poliisin on ryhdyttävä tarpeellisiin toimenpiteisiin henkilön löytämiseksi. Rikosten esitutkinnasta säädetään esitutkintalaissa (805/2011) ja rikosten esitutkinnassa käytettävistä pakkokeinoista pakkokeinolaissa (806/2011).

Rikostorjunnasta Tullissa annetun lain 1 §:n mukaisesti lakia sovelletaan Tullin tehtävänä oleviin toimiin tullirikosten estämiseksi, paljastamiseksi, selvittämiseksi ja tullirikoksista epäiltyjen syytteeseen saattamiseksi. Siltä osin kuin laissa ei toisin säädetä, tullirikosasian tutkinnassa noudatetaan, mitä esitutkintalaissa ja pakkokeinolaissa sekä muualla laissa esitutkinnasta ja pakkokeinoista säädetään.

Rikostorjunnasta Rajavartiolaitoksessa annetun lain (108/2018) 1 §:n mukaisesti lakia sovelletaan Rajavartiolaitoksen tehtävänä oleviin toimiin rikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi. Siltä osin kuin laissa ei toisin säädetä, Rajavartiolaitoksen tehtävänä olevassa rikosasian esitutkinnassa noudatetaan, mitä esitutkintalaissa ja pakkokeinolaissa sekä muualla laissa säädetään esitutkinnasta ja pakkokeinoista.

Rikosseuraamuslaitoksen tehtävänä on vankilaturvallisuuden ylläpito ja vankeusaikaisen rikollisuuden estäminen. Rikosseuraamuslaitokselle on säädetty voimassaolevassa vankeuslaissa (765/2005) toimivaltaa rikosten estämisen osalta. Laitosturvallisuuden takaamiseksi Rikosseuraamuslaitoksen toiminnassa on selvitettävä vankilassa havaitun tai muutoin tietoon saadun, vankilaturvallisuutta vaarantavan tapahtuman tai mahdollisen rikollisen toiminnan arvioimiseksi se, mitä asiassa on katsottava tapahtuneen, kenen toimesta ja miten asiassa on syytä edetä.

Rikoksen selvittämisellä tarkoitetaan toimenpiteitä, joihin ryhdytään sen jälkeen, kun esitutkintalain 3 luvun 3 §:n 1 momentissa tarkoitettu esitutkinnan kynnys on ylitetty. Esitutkintalain 2 luvun 1 §:n mukaan esitutkinnan toimittaa poliisi. Poliisin lisäksi esitutkintaviranomaisia ovat rajavartio-, tulli- ja sotilasviranomaiset. Tiedustelulakien voimaantulon myötä Suojelupoliisin esitutkintatoimivaltuudet poistettiin, Niiden esitutkintatoimivallasta säädetään rikostorjunnasta Rajavartiolaitoksessa annetussa laissa, rikostorjunnasta Tullissa annetussa laissa ja sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetussa laissa. Esitutkintaviranomaisten lisäksi esitutkintaan osallistuu syyttäjä. Tullin ja Rajavartiolaitoksen lainsäädännössä rikoksen selvittäminen on määritelty esitutkinnaksi, puolustusvoimien lainsäädännössä viitataan esitutkintalakiin. Rikoksen selvittäminen on siten lainsäädännössä määritetty osaksi rikoksen esitutkintaa.

Rikosseuraamuslaitokselle oli aikaisemmin säädetty toimivalta käyttää eräitä toimivaltuuksia myös rikosten selvittämiseen, mutta lakia on muutettu 1.5.2021 voimaan tulleella lailla. Rikosseuraamuslaitoksen rikosten selvittämistä koskeva toimivalta poistettiin, koska rikosten selvittäminen kuuluu yksinomaan esitutkintaviranomaisille. Rikosten estämiseen liittyvä toimivalta jäi Rikosseuraamuslaitokselle edelleen.

Puolustusvoimien rikostorjunta käsittää sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetun lain mukaan rikosten ennalta estämisen, paljastamisen ja sotilaskurinpitomenettelyyn kuuluvan rikosten selvittämisen. Puolustusvoimien rikosten ennalta estämisessä ja paljastamisessa huolehditaan sotilaallisen maanpuolustuksen alalla Suomeen kohdistuvaan tiedustelutoimintaan ja sotilaallisen maanpuolustuksen tarkoitusta vaarantavaan toimintaan liittyvien rikosten ennalta estämisestä ja paljastamisesta.

3.4 Rahanpesun selvittelykeskuksen tehtävät ja tiedonvaihto viranomaisten ja ilmoitusvelvollisten kanssa

Rahanpesun selvittelykeskuksen tehtävät on määritelty rahanpesun selvittelykeskuksesta annetun lain 2 §:ssä. Selvittelykeskuksen tehtäviä ovat rahanpesun ja terrorismin rahoittamisen estäminen, paljastaminen ja selvittäminen sekä tutkintaan saattaminen, rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) 4 luvun 1 §:ssä tarkoitettujen ilmoitusten vastaanottaminen ja analysointi sekä palautteen antaminen niiden vaikutuksista, yhteistyö viranomaisten kanssa rahanpesun ja terrorismin rahoittamisen torjunnassa, yhteistyö ja tietojenvaihto rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä huolehtivien vieraan valtion viranomaisten ja kansainvälisten järjestöjen kanssa ja yhteistyö ilmoitusvelvollisten kanssa. Lisäksi selvittelykeskuksen tehtävänä on tilaston pitäminen rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 4 luvun 1 §:ssä tarkoitettujen ilmoitusten ja mainitun luvun 5 §:ssä säädettyjen liiketoimien keskeytysten lukumäärästä, tutkintaan saatettujen epäilyttäviä liiketoimia koskevien ilmoitusten lukumäärästä sekä tehdyistä, vastaanotetuista, evätyistä ja vastatuista tietopyynnöistä. Selvittelykeskuksen tehtäväksi on säädetty myös varojen jäädyttämisestä terrorismin torjumiseksi annetun lain (325/2013) 3 §:n 2 momentissa tarkoitettujen ilmoitusten vastaanotto ja käsittely, mainitun lain 4 §:ssä tarkoitettujen jäädyttämispäätösten edellytysten selvittäminen ja jäädyttämispäätöksiä koskevien esitysten tekeminen. Lisäksi tehtäviin kuuluvat operatiivisten ja strategisten analyysien tekeminen koskien rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu tai saataisiin, tekotapoja, ilmiöitä, suuntauksia ja menetelmiä.

Rahanpesun selvittelykeskuksesta annetun lain 4 §:n 4 momentissa säädetään rahanpesun selvittelykeskuksen oikeudesta luovuttaa tietoja ja tietojen käytöstä. Rahanpesurekisterin tietoja saa käyttää ja luovuttaa salassapitosäännösten estämättä vain rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu tai saataisiin, estämiseksi, paljastamiseksi ja selvittämiseksi sekä tutkintaan saattamiseksi ja kansallisen turvallisuuden suojaamiseksi. Rahanpesun selvittelykeskus saa luovuttaa tietoja myös ilman pyyntöä. Lisäksi tietoja saa luovuttaa ulkoministeriölle varojen jäädyttämisestä terrorismin torjumiseksi annetun lain 9 §:ssä säädettyjen tehtävien ja ulosottomiehelle mainitun lain 14 §:ssä säädettyjen tehtävien ja eräiden Suomelle Yhdistyneiden Kansakuntien ja Euroopan unionin jäsenenä kuuluvien velvoitusten täyttämisestä annetun lain (659/1967) 2 b §:ssä säädettyjen tehtävien hoitamiseksi. Tietoja saadaan luovuttaa myös rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa tarkoitetulle toimivaltaiselle valvontaviranomaiselle ja asianajajayhdistykselle, jos luovutettava tieto on välttämätön toimivaltaisen valvontaviranomaisen tai asianajajayhdistyksen mainitussa laissa tarkoitetun tehtävän suorittamiseksi.

Rahanpesun selvittelykeskuksen tehtävät on voimassaolevan lainsäädännön mukaan rajattu rahanpesun ja terrorismin rahoittamisen sekä niiden esirikosten estämiseen, paljastamiseen ja tutkintaan saattamiseen. Rahanpesurikoksen kohteena on Suomen rikoslain mukaan rikoksella hankittu omaisuus tai rikoksen tuottama hyöty. Terrorismin rahoittamiseen ei välttämättä liity esirikosta, eli siihen käytetyt varat voivat olla laillisesti hankittuja.

3.5 3.5. Johtopäätökset nykytilasta

Viranomaisten oikeudet saada tietoja pankki- ja maksutileistä sekä muusta varallisuudesta ovat Suomessa riittävällä tasolla. Sen sijaan käytännöt tietojen kyselyyn ovat manuaalisia ja tehottomia. Viidennen rahanpesudirektiivin täytäntöönpanemiseen liittynyt, hajautettu pankki- ja maksutilien valvontajärjestelmä, on jäämässä paljon vähäisemmälle käytölle kuin valvontajärjestelmää suunniteltaessa oli tarkoituksena. Valvontajärjestelmä ei lisäksi suurelta osin ole tällä hetkellä edes valmis, sillä tiedonhakujärjestelmät eivät ole tuotannossa.

Viranomaisten toiminnan digitalisointi ja viranomaistoiminnan resurssien tarkoituksenmukainen kohdentaminen puoltavat sitä, että pääsy sähköiseen pankki- ja maksutilien valvontajärjestelmään olisi niillä viranomaisilla, joilla jo on voimassa olevan lainsäädännön nojalla toimivaltuuksiensa puitteissa oikeus saada ja käsitellä näitä tietoja. Myös toimialalle syntyisi kustannussäästöjä kyselyiden vastausten automatisoinnista ja kyselymäärien kohdentumisesta johtuvasta kyselymäärien vähenemisestä.

Yksittäiset viranomaiset, kuten poliisi, Verohallinto ja Ulosottolaitos, ovat perustaneet sähköisiä rajapintoja joidenkin luottolaitosten kanssa. Järjestely perustuu osapuolten keskinäiseen sopimukseen. Viranomaisille aiheutuneet kustannukset ovat olleet ilman henkilökuluja esimerkiksi poliisissa noin 300 000 euroa ja luottolaitoksille henkilökuluineen noin 400 000‒500 000 euroa. Kun järjestelmä on luotu, sen kopioiminen muiden toimijoiden kanssa perustettaviin sähköisiin yhteyksiin on huomattavasti edullisempaa.

Kaikilla viranomaisilla ei ole tarvetta erillisen sähköisen rajapinnan luomiseen, koska ne tekevät vähän kyselyitä. Tällaisia viranomaisia ovat esimerkiksi Patentti- ja rekisterihallitus, Ahvenanmaan maakunnan hallitus, ja syyttäjät. Viranomaisten toimintaa tehostaisi mahdollisuus hyödyntää toisen viranomaisen sähköistä järjestelmää. Valmiuksien luominen tiedon välittämiseen viranomaisten välillä ei kuitenkaan välttämättä ole perusteltua, jos kyse on yksittäisistä kyselyistä vuodessa ottaen huomioon tiedonvälittäjänä toimivalle viranomaiselle aiheutuva hallinnollinen taakka ja kustannukset.

Pankki- ja maksutilien valvontajärjestelmään pääsevien viranomaisten joukko ja järjestelmän käyttötarkoitukset ovat voimassaolevan lainsäädännön mukaan suppeat, jolloin järjestelmästä saatava hyöty on myös vähäisempää, kuin mitä järjestelmää suunniteltaessa oli tarkoituksena. Lisäksi tietyille viranomaisille on säädetty pankki- ja maksutilien valvontajärjestelmään pääsy rahanpesulaissa säädettyä huolellisuusvelvoitetta varten mutta käytännössä sääntely ei kuitenkin mahdollista näille viranomaisille järjestelmän käyttämistä tähän tarkoitukseen. Huolellisuusvelvollisuuden nojalla eivät Tulli-, rajavartio-, vero- ja ulosottoviranomainen sekä konkurssiasiamies voi kuitenkaan tehdä niitä tietopyyntöjä pankki- ja maksutilien valvontajärjestelmästä, mitä näille viranomaisille on voimassa olevassa pankki- ja maksutilien valvontajärjestelmää koskevassa laissa jo säädetty, eli normi on jäänyt tehottomaksi.

Voimassaolevan lainsäädännön mukaisessa hajautetussa mallissa syntyy tiedonhakujärjestelmän keskitetyn mekanismin sijaan useita erilaisia tiedonhakujärjestelmiä, ja hajautettujen tiedonhakujärjestelmien käyttö tulee lisäksi olemaan hyvin vähäistä tietoa hyödyntävien viranomaisten lukuisten integraatioiden ja niiden aiheuttamien kustannusten tähden ja suppean tietosisällön vuoksi. Käytännössä nykyisessä tilanteessa luottolaitosten rakenteilla olevat tiedonhakujärjestelmät ovat jäämässä pitkälti hyödyntämättä, koska viranomaiset eivät ole rakentamassa niihin rajapintoja. Myös tilirekisterin ainoa käyttäjä on rahanpesun selvittelykeskus.

Pankki- ja maksutilien valvontajärjestelmässä olevien tietoihin pääsyn osalta voidaan esittää kysymys, ovatko henkilöiden varallisuutta koskevat tiedot sellaisia tietoja, joihin toimivaltaisten viranomaisten pääsyn laissa säädettyjen tehtäviensä suorittamiseksi täytyy olla vaikeaa, hidasta ja manuaalista, sen sijaan, että se voisi olla nopeaa, sähköistä ja tietosuojattua.

Tulli on saanut valtiovarainministeriöstä 3 940 000 € erillisrahoituksen pankki- ja maksutilien valvontajärjestelmän mukaisen pankki- ja maksutilirekisterin kehittämiseen. Sen lisäksi tiedonhakujärjestelmä aiheuttaa luottolaitoksille, maksulaitoksille, sähkörahayhteisöille ja virtuaalivaluutan toimijoille merkittävät kustannukset. Hallituksen esitykseen 167/2018 vp sisältyvässä arviossa oli esitetty, että suuren luottolaitoksen tilitietojen sähköistämisen toteutukset maksavat 300 000–1 000 000 euroa luottolaitosta kohti. Tilirekisterihankkeen saamien arvioiden mukaan pankki- ja maksutilirekisteriin liittymisen kustannukset ovat noin 100 000 euroa tiedonluovuttajaa kohti, eli luottolaitos, maksulaitos, sähkörahayhteisö tai virtuaalivaluutan tarjoaja ja tiedonhakujärjestelmän toteuttamisen kustannukset ovat arvioiden mukaan noin 300 000 euroa tiedonluovuttajaa kohti. Varovaisen arvion mukaan yksityisen sektorin kustannukset ovat vähintään 3 000 000 euroa. Keskusrikospoliisin rahanpesun selvittelykeskuksen arvion mukaan neljän rajapinnan toteutuksen kustannukset ovat noin 300 000 euroa. Edellä esitetyt kustannusarviot eivät sisällä käyttöönoton ja ylläpidon kustannuksia. Tullin tilirekisterihankkeen arvion mukaan viranomaisten rajapintojen kustannukset ovat jatkossa pienempiä, koska tekninen toteutus tehostuu tiedon ja kokemuksen lisääntyessä.

Rahanpesun selvittelykeskuksen oikeudet saada ja luovuttaa tietoa ovat hyvällä tasolla, mutta rahoitustietodirektiivin täytäntöönpanemiseksi sääntelyä tulee täydentää. Rahoitustietodirektiivin 3 artiklan 2 kohdan täytäntöönpanemiseksi tulee nimetä viranomaiset, joilla olisi oikeus saada rahanpesun selvittelykeskukselta rahoitustietoja ja analyysejä direktiivin mukaisten vakavien rikosten, eli Europol-asetuksen liitteessä I tarkoitettujen rikosten estämiseksi, paljastamiseksi, torjumiseksi ja syytteeseen saattamiseksi.

Rahanpesun selvittelykeskuksesta annetun lain mukaan rahanpesun selvittelykeskuksen tehtävänä on rahanpesun ja terrorismin rahoittamisen estäminen, paljastaminen ja selvittäminen sekä tutkintaan saattaminen ja mukaan yhteistyö viranomaisten kanssa rahanpesun ja terrorismin rahoittamisen torjunnassa. Rahoitustietodirektiivi edellyttää, että rahanpesun selvittelykeskuksen tulee voida estää, paljastaa ja selvittää Europol-asetuksen liitteessä I tarkoitettuja rikoksia. Rahoitustietodirektiivin määritelmän mukaan rahoitustiedoilla tarkoitetaan kaikenlaisia rahanpesun selvittelykeskusten jo hallussa olevia tietoja, kuten tietoja, jotka koskevat rahoitusvaroja, varainsiirtoja tai rahoitusalan liikesuhteita, rahanpesun ja terrorismin rahoituksen ennalta estämiseksi, paljastamiseksi ja tehokkaaksi torjumiseksi. Direktiivin mukaan rahanpesun selvittelykeskuksen tulee pystyä vastamaan viipymättä nimettyjen toimivaltaisten viranomaisten esittämiin, riittävällä tavalla perusteltuihin rahoitustietoja- ja analyysejä koskeviin pyyntöihin aina, kun kyseisiä rahoitustietoja tai -analyysejä tarvitaan tapauskohtaisesti vakavien rikosten ennalta estämistä, paljastamista, tutkimista ja niihin liittyviä syytetoimia varten. Rahanpesun selvittelykeskuksen rahoitustietodirektiivissä määritelty velvoite tiedon luovuttamiselle kattaa myös analyysit, mikä on laajempi käsite, kuin direktiivin määritelmässä mainitut rahoitustiedot. Rahanpesun selvittelykeskuksen tulisi voida tehdä yhteistyötä toimivaltaisten viranomaisten kanssa Europol asetuksen liitteen I mukaisten rikosten estämiseksi, paljastamiseksi ja selvittämiseksi.

Voimassaolevan rahanpesun selvittelykeskuksesta annetun lain 2 §:n 2 momentin mukaan edellä 1 momentin 1 kohdassa rahanpesun ja terrorismin rahoittamisen estämisellä, paljastamisella ja selvittämisellä tarkoitetaan rahanpesun ja terrorismin rahoittamisen epäilyihin liittyvien ilmoitusten ja näihin epäilyihin liittyvien tietojen vastaanottamista, tallettamista ja muuta käsittelemistä sekä rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu tai saataisiin, estämistä, paljastamista ja selvittämistä.

Europol-asetuksen liite I sisältää myös sellaisia erittäin vakavia henkeen ja terveyteen tai itsemääräämisoikeuteen sekä omaisuuteen ja yleiseen turvallisuuteen sekä yhteiskuntaan kohdistuvia rikoksia, joissa ei ole taloudellista hyötymistarkoitusta ja jotka eivät ole rahanpesun tai terrorismin rahoittamisen esirikoksia. Europol-asetuksen liite I sisältää muun muassa seuraavat rikokset, jotka eivät tällä hetkellä ole esirikoksia; terrorismi, järjestäytynyt rikollisuus, tahallinen henkirikos, pahoinpitely ja vakavan ruumiinvamman aiheuttaminen, ydin- ja radioaktiivisiin aineisiin liittyvät rikokset, ihmisryöstö, vapaudenriisto ja panttivangin ottaminen, rasismi ja muukalaisviha, tietotekniikkarikollisuus, ympäristörikollisuus, mukaan lukien alusten aiheuttama meren pilaantuminen, seksuaalinen hyväksikäyttö ja seksuaalinen riisto, mukaan lukien lasten hyväksikäyttöön liittyvä materiaali ja lapsen houkuttelu seksuaalisiin tarkoituksiin, joukkotuhonta, rikokset ihmisyyttä vastaan ja sotarikokset.

Rahoitustietodirektiivin 7 artiklan mukaisesti rahanpesun selvittelykeskuksen tulee voida luovuttaa tietoja vakaviin rikoksiin, jotka määritellään Europol-asetuksen liitteessä. Tällä hetkellä rahanpesun selvittelykeskuksella on mahdollisuus luovuttaa tietoa rahanpesun esirikoksiin eli rikoksiin, joilla on taloudellinen hyötymistarkoitus, jolloin ulkopuolelle jäävät esimerkiksi törkeät henkeen ja terveyteen kohdistuvat rikokset sekä törkeät omaisuuteen kohdistuvat vahingontekotyyppiset rikokset, joissa ei ole taloudellista hyötymistarkoitusta.

4 Ehdotukset ja niiden vaikutukset
4.1 Keskeiset ehdotukset

Rahoitustietodirektiivin ja viidennen rahanpesudirektiivin täytäntöönpano

Esityksessä ehdotetaan, että rahoitustietodirektiivin 3 ja 4 artiklan edellyttämällä tavalla niiksi toimivaltaisiksi viranomaisiksi, jotka voivat saada tietoja pankki- ja maksutilien valvontajärjestelmästä Europol-asetuksen liitteen I mukaisten rikosten estämistä, selvittämistä ja syytteeseen asettamista varten, nimetään laissa pankki- ja maksutilien valvontajärjestelmästä seuraavat viranomaiset: poliisi, rahanpesun selvittelykeskus, Tulli ja Rajavartiolaitos, joille on säädetty kansallisesti toimivaltaa liittyen rikosten estämiseen ja ennalta estämiseen ja selvittämiseen saattamiseen liittyen Europol-asetuksen liitteen I mukaisiin rikoksiin. Direktiivissä edellytetään vähintään varallisuuden takaisin hankinnasta vastaavien toimistojen nimeämistä rahoitustietodirektiivin 3 artiklan 1 kohdan mukaisiksi viranomaisiksi ja koska tähän tehtävään on Suomessa nimetty keskusrikospoliisi, edellä ehdotettu poliisin nimeäminen täyttäisi direktiivin velvoitteen. Muiden viranomaisten nimeäminen 3 artiklan 1 kohdan mukaisesti on jätetty jäsenvaltioiden harkintaan ja esityksen valmistelussa edellä mainittujen viranomaisten nimeämistä on pidetty perusteltuna, ottaen huomioon viranomaisille säädetty toimivalta rikosten estämisen ja ennalta estämisen, selvittämisen ja syyteharkinnan osalta liittyen rahoitustietodirektiivissä tarkoitettuihin vakaviin rikoksiin. Esityksessä ei esitetä syyttäjien nimeämistä rahoitustietodirektiivin 3 artiklan 1 kohdan mukaisiksi viranomaisiksi, koska Suomessa lähes kaikkien rikosten osalta esitutkintaviranomaisena toimii poliisi ja syyttäjä saa syyteharkintaa varten tarvittavat tiedot myös pankki- ja maksutileistä poliisin suorittaman esitutkinnan kautta. Syyttäjä toimii esitutkintaa johtavana tutkintaviranomaisena silloin, kun poliisimies on epäiltynä rikoksena. Ottaen huomioon tällaisten tapausten vähäisen määrän ja rajapinnan rakentamisesta aiheutuvat kustannukset, suora pääsy pankki- ja maksutilien valvontajärjestelmään ei olisi tarkoituksenmukainen syyttäjien osalta.

Rahoitustietodirektiivin 3 artiklan 2 kohdan mukaan jokaisen jäsenvaltion on nimitettävä niiden viranomaistensa joukosta, joilla on toimivalta rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa, toimivaltaiset viranomaiset, jotka voivat pyytää ja saada rahoitustietoja ja -analyyseja rahanpesun selvittelykeskuksilta. Esityksessä ehdotetaan, että tällaisiksi viranomaisiksi nimetään poliisi, Tulli, Rajavartiolaitos ja syyttäjät, koska edellä mainituilla viranomaisilla on kansallisesti toimivalta liittyen rikosten estämiseen ja ennalta estämiseen, selvittämiseen ja syyteharkintaan saattamiseen liittyen Europol-asetuksen liitteen I mukaisiin rikoksiin. Syyttäjien nimeäminen tässä tapauksessa ei aiheuttaisi mainittavia lisäkustannuksia, sillä tietojen saanti rahanpesun selvittelykeskukselta ei edellyttäisi rajapinnan tai tietojärjestelmän rakentamista tätä tarkoitusta varten.

Osan esityksen mukaisista toimivaltaisista viranomaisista ei ole tarkoituksenmukaista rakentaa rajapintaa pankki- ja maksutilien valvontajärjestelmään kustannussyistä johtuen, minkä vuoksi esityksessä ehdotetaan, että nämä viranomaiset voisivat saada tiedot Tullilta, joka toimii pankki- ja maksutilirekisterin rekisterinpitäjänä. Esityksessä ehdotetaan rahoitustietodirektiivin 4 artiklan täytäntöönpanemiseksi ja viidennen rahanpesudirektiivin 32 a artiklan täytäntöönpanon täydentämiseksi, että Tulli rakentaisi koostavan sovelluksen, jonka avulla Tulli tarjoaisi keskitetysti palveluna sekä Tullin ylläpitämän tilirekisterin että rahanpesulain mukaisten ilmoitusvelvollisten ylläpitämien tiedonhakujärjestelmien tiedot niille viranomaisille, jotka eivät rakenna omaa yhteyttä edellä mainittuihin tietojärjestelmiin. Koostava sovellus vastaisi paremmin viidennen rahanpesudirektiivin vaatimusta keskitetystä tiedonhakujärjestelmästä, johon voitaisiin tehdä hakuja välittömästi ja suoraan, kuin nykyinen hajautettu tiedonhakujärjestelmä, jonka osalta tiedonhakujärjestelmiä koskevista teknisistä vaatimuksista ei ole kattavasti säädetty lain tasolla.

Esityksessä ehdotetaan tiettyjä muutoksia liittyen lokitietojen tallentamiseen, jotka liittyvät sekä rahoitustietodirektiivin 6 artiklan implementointiin, että koostavaa sovellusta koskevaan ehdotukseen. Esitetyt muutokset tarkentaisivat voimassaolevan pankki- ja maksutilien valvontajärjestelmästä annetun lain 10 §:ssä säädettyjä lokitietojen tallentamisvelvoitteita.

Esityksen 2. lakiehdotuksessa ehdotetaan rahoitustietodirektiivin täytäntöönpanon vuoksi, että rahanpesun selvittelykeskuksesta annetussa laissa säädetään rahanpesun selvittelykeskuksen tehtäväksi yhteistyö viranomaisten kanssa Europol-asetuksen liitteessä I tarkoitettujen rikosten estämisessä, paljastamisessa ja selvittämisessä ja lisäksi, että rahanpesun selvittelykeskus voi luovuttaa tietoja edellä mainittua käyttötarkoitusta varten. Esityksessä ehdotetaan säädettäväksi, että rahanpesun selvittelykeskus voi luovuttaa rahanpesurekisterin tietoja Europolille direktiivin 12 artiklassa säädetyn mukaisesti.

Kansallisista muutostarpeista johtuvat ehdotukset

Esityksessä ehdotetaan, että pankki- ja maksutilien valvontajärjestelmästä annetussa laissa säädettyjen voimassaolevien pääsyoikeuksien lisäksi, että Verohallinnolla, Tullilla, Ulosottolaitoksella, poliisilla ja Rajavartiolaitoksella, Puolustusvoimilla ja Finanssivalvonnalla olisi pääsy pankki- ja maksutilien valvontajärjestelmään liittyen voimassaolevassa lainsäädännössä edellä mainituille viranomaisille säädettyihin toimivaltuuksiin. Esitys laajentaisi niitä käyttötarkoituksia, joita varten pankki- ja maksutilien valvontajärjestelmää voidaan käyttää, sillä tällä hetkellä järjestelmää voidaan käyttää vain, jos se on välttämätöntä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi. Esityksessä ei ehdoteta edellä mainituille viranomaisille uusia toimivaltuuksia pankki- ja maksutilitietoihin pääsyn osalta, vaan tarkoituksena on, että viranomaiset, jotka jo nykyisellään pääsevät pankki- ja maksutilitietoihin voimassaolevan lainsäädännön mukaisesti, voisivat käyttää pankki- ja maksutilien valvontajärjestelmää. Käytön edellytyksenä olisi se, että valvontajärjestelmässä olevat tiedot ovat viranomaiselle välttämättömiä. On huomattava, että rahanpesun selvittelykeskuksen osalta kyseessä ei olisi kansallinen laajennus, koska viides rahanpesudirektiivi edellyttää, että rahanpesun selvittelykeskuksella on suora pääsy pankki- ja maksutilien valvontajärjestelmään.

Esityksessä ehdotetaan, että Tulli vastaisi pankki- ja maksutilien tiedonhakujärjestelmää koskevien lain mukaisten tietojen välittämiseen liittyvien velvoitteiden valvonnasta. Tullin valvontavastuu ulottuu voimassaolevan lain mukaan ainoastaan pankki- ja maksutilirekisterin valvontaan. Pankki- ja maksutilien valvontajärjestelmään kohdistuva viranomaisvalvonta kattaisi järjestelmän ylläpidon sekä myös tiedonantovelvollisuuden noudattamisen valvonnan. Tullille säädettäisiin oikeus asettaa uhkasakko voimassa olevan lain mukaisen pankki- ja maksutilirekisteriä koskevan tiedonantovelvollisuuden lisäksi myös tiedonhakujärjestelmän ylläpitovelvoitteen ja tiedonhakujärjestelmän kautta tapahtuvan tietojen luovuttamisen tehosteeksi. Lisäksi Tullille säädettäisiin oikeus määrätä rikemaksu myös sille, joka tahallaan tai huolimattomuudesta laiminlyö tai rikkoo 4 §:n 1 ja 2 momentissa säädetyt velvollisuudet ylläpitää tiedonhakujärjestelmää tai luovuttaa toimivaltaiselle viranomaiselle tiedonhakujärjestelmän kautta 4 §:n 2 momentissa tarkoitettuja tietoja.

Pankki- ja maksutilien valvontajärjestelmään pääsyä koskevien ehdotusten suhteuttaminen

Esityksessä esitetään siis pääsyoikeuksia pankki- ja maksutilien valvontajärjestelmään erilaisille viranomaisille ja erilaisiin käyttötarkoituksiin. Esitys laajentaisi niitä käyttötarkoituksia, joita varten pankki- ja maksutilien valvontajärjestelmää voidaan käyttää, sillä tällä hetkellä järjestelmää voidaan käyttää vain, jos se on välttämätöntä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi. Kokoavasti voidaan todeta, että rahoitustietodirektiivin tarkoituksiin pääsyä pankki- ja maksutilien valvontajärjestelmään esitetään poliisille, mukaan lukien suojelupoliisille, rahanpesun selvittelykeskukselle, Tullille ja Rajavartiolaitokselle. Nämä esitetyt pääsyoikeudet ovat tässä esityksessä tärkeimpiä, koska ne liittyvät rahoitustietodirektiivin täytäntöönpanoon.

Tämän lisäksi esitetään kansallisista tarpeista johtuen pankki- ja maksutilien valvontajärjestelmästä annetussa laissa säädettyjen voimassaolevien pääsyoikeuksien lisäksi, että Verohallinnolla, Tullilla, Ulosottolaitoksella, poliisilla ja Rajavartiolaitoksella, Puolustusvoimilla ja Finanssivalvonnalla olisi pääsy pankki- ja maksutilien valvontajärjestelmään liittyen voimassaolevassa lainsäädännössä edellä mainituille viranomaisille säädettyihin toimivaltuuksiin. Kuten edellä on todettu, rahanpesun selvittelykeskuksen osalta kyseessä ei olisi kansallinen laajennus, koska viides rahanpesudirektiivi edellyttää, että rahanpesun selvittelykeskuksella on suora pääsy pankki- ja maksutilien valvontajärjestelmään.

4.1.1 Direktiivin säännökset, jotka eivät edellytä muutoksia kansalliseen lainsäädäntöön

Rahoitustietodirektiivin kohdetta koskeva 1 artikla ja määritelmiä koskeva 2 artikla eivät edellytä muutoksia kansalliseen lainsäädäntöön.

Direktiivin toimivaltaisten viranomaisten pääsyä tietoihin ja niitä koskevien hakujen tekemistä koskevia edellytyksiä koskeva 5 artiklan 2 ja 3 kohta eivät edellytä muutoksia kansalliseen lainsäädäntöön, sillä niitä koskien sovelletaan tiedonhallintalain sääntelyä, joka kattaa direktiivin vaatimukset.

Artikla 8, jossa säädetään rahanpesun selvittelykeskusten toimivaltaisille viranomaisille esittämistä tietopyynnöistä, ei edellytä muutoksia voimassaolevaan lainsäädäntöön, sillä rahanpesun selvittelykeskuksella on jo rahanpesun selvittelykeskuksesta annetun lain 4 §:n nojalla oikeus saada kattavasti tiedot toimivaltaisilta viranomaisilta.

Artiklassa 9 säädetään eri jäsenvaltioiden rahanpesun selvittelykeskusten välisestä tietojenvaihdosta, sen mukaan on varmistettava, että poikkeuksellisissa ja kiireellisissä tapauksissa rahanpesun selvittelykeskuksilla on oikeus vaihtaa rahoitustietoja tai -analyysejä, joilla voi olla merkitystä terrorismiin tai terrorismiin liittyvään järjestäytyneeseen rikollisuuteen liittyvien tietojen käsittelyssä tai analyysissä. Rahanpesun selvittelykeskuksesta annetun lain 5 §:stä säädetään muun muassa rahanpesun selvittelykeskusten välisestä tiedonvaihdosta, eikä säännöksen täytäntöönpano edellytä kansallisen sääntelyn antamista.

Artiklassa 10 säädetään toimivaltaisten viranomaisten välisestä tietojenvaihdosta eri jäsenvaltioissa. Artiklan mukaisesti on varmistettava, että direktiivin mukaisesti nimetyt toimivaltaiset viranomaiset voivat pyynnöstä ja tapauskohtaisesti vaihtaa rahoitustietoja ja analyysejä, jos kyseiset tiedot ja analyysit ovat tarpeen rahanpesun, siihen liittyvien esirikosten ja terrorismin rahoituksen ennalta estämiseksi, paljastamiseksi ja torjumiseksi. Lisäksi artiklassa säädetään rahanpesun selvittelykeskusten ennakkosuostumuksesta ja tietoturvasta. Rahanpesun selvittelykeskuksen osalta tiedonvaihdosta säädetään rahanpesun selvittelykeskusta koskevan lain 5 §:ssä ja rahanpesulain 9 luvun 3 §:ssä säädetään rahanpesulain mukaisten valvontaviranomaisten ja asianajajayhdistyksen kansainvälisestä yhteistyöstä ja tietojenvaihdosta. Edellä mainitun säännöksen mukaan valvontaviranomaisten ja asianajajayhdistyksen on toimittava yhteistyössä sellaisten toisten ETA-valtioiden ja Euroopan talousalueen ulkopuolisten valtioiden valvontaviranomaisten ja muiden tahojen kanssa, jotka hoitavat tätä lakia vastaavia rahanpesun ja terrorismin rahoittamisen estämisen valvontatehtäviä. Valvontaviranomaisten ja asianajajayhdistyksen on sen estämättä, mitä tietojen salassapidosta muualla säädetään, viipymättä annettava ulkomaiselle valvontaviranomaiselle ja muulle taholle, joka hoitaa tätä lakia vastaavia rahanpesun ja terrorismin rahoittamisen estämisen valvontatehtäviä, hallussaan olevat tiedot asioista, jotka ovat välttämättömiä rahanpesun ja terrorismin rahoittamisen estämiseksi ja paljastamiseksi. Artiklan täytäntöönpano ei edellytä kansallisen sääntelyn antamista.

Rahoitustietodirektiivin 11 artiklassa säädetään tilitietojen toimittamisesta Europolille. Artiklan mukaan kunkin jäsenvaltion on varmistettava, että sen toimivaltaisilla viranomaisilla on oikeus Europolin kansallisen yksikön välityksellä tai olemalla suoraan yhteydessä Europoliin, vastata Europolin esittämiin tilitietoja koskeviin pyyntöihin. Euroopan unionin lainvalvontayhteistyövirastosta annetun lain (214/2017) 3 §:ssä säädetään toimivaltaisten viranomaisten ja Europolin välisistä yhteyksistä. Suomessa keskusrikospoliisi on Europol-asetuksessa tarkoitettu kansallinen yksikkö. Yhteistyöstä ja tiedonvaihdosta Europolin kanssa säädetään myös lainvalvontaviranomaisia koskevissa erityislaeissa. Direktiivin 11 artikla ei edellytä kansallisen sääntelyn antamista.

Direktiivin 14 artiklassa säädetään tietosuojavaatimuksista ja ne kohdistuvat Europoliin. Artikla ei edellytä kansallisen sääntelyn antamista.

Artiklassa 15 säädetään soveltamisalasta liittyen henkilötietojen käsittelyyn ja 16 artiklassa arkaluonteisten henkilötietojen käsittelystä. Artiklan 16 mukaan sellaisten henkilötietojen käsittely, joista käy ilmi henkilön rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus, ammattiliiton jäsenyys, henkilön terveyttä tai seksuaalista käyttäytymistä tai suuntautumista koskevia tietoja, sallitaan ainoastaan rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia noudattaen sovellettavien tietosuojasääntöjen mukaisesti. Artiklat eivät edellytä kansallisen sääntelyn antamista, sillä yleisessä tietosuoja-asetuksessa, rikosasioiden tietosuojalaissa, tiedonhallintalaissa ja toimivaltaisia viranomaisia koskevissa erityislaeissa säädetään erityisiä henkilötietoryhmiä ja arkaluonteisia tietoja koskien tietosuojasta ja henkilötietojen käsittelystä.

Artikla 17 koskee tietopyyntöjen kirjaamista liittyen direktiivin III luvun ja IV luvun mukaiseen tietojenvaihtoon sekä IV luvussa tarkoitettuun rahoitustietojen ja analyysien vaihtoon. Sen mukaan jäsenvaltioiden on varmistettava, että pyyntöjä esittävät ja niihin vastaavat viranomaiset pitävät kirjaa direktiivin mukaisesti esitetyistä tietopyynnöistä. Pankki- ja maksutilien valvontajärjestelmää koskevan lain 10 §:ssä säädetään lokitietojen kirjaamisesta. Lisäksi toimivaltaiset viranomaiset toimivat rekisterinpitäjinä omiin järjestelmiinsä välitettyjen tietojen osalta ja pitävät kirjaa omista tietopyynnöistään ja seuraavat käsittelemiensä ja ratkaisemiensa asioiden käsittelyä esimerkiksi tuomioistuimissa. Artikla ei edellytä kansallisen lisäsääntelyn antamista.

Direktiivin 19 artiklassa säädetään seurannasta ja se velvoittaa jäsenvaltiot ylläpitämään kattavia tilastoja. Rahanpesulain 2 luvun 1 §:n 4 momentissa säädetään, että sisäministeriön, valtiovarainministeriön ja oikeusministeriön on varmistettava, että riskiarvion tueksi laaditaan tilastoja rahanpesun ja terrorismin rahoittamisen torjunnan tehokkuuden arvioimiseksi. Sisäministeriön ja valtiovarainministeriön on julkistettava niistä vuosittain yhteenveto. Artikla ei edellytä kansallisen sääntelyn antamista.

Artikla 20 koskee suhdetta muihin välineisiin, sen mukaan direktiivi ei estä jäsenvaltioita pitämästä voimassa tai tekemästä toimivaltaisten viranomaisten välistä tietojenvaihtoa koskevia kahden- tai monenvälisiä sopimuksia tai keskinäisiä järjestelyjä, lisäksi artiklassa säädetään kolmansien maiden kanssa voimassa olevista kahden- tai monenvälisistä sopimuksista ja niitä koskevista neuvotteluista. Artikla ei vaadi kansallisen sääntelyn antamista.

Direktiivin muut loppusäännökset artikloissa 21–25 eivät edellytä kansallisen sääntelyn antamista.

4.1.2 Arviointi suhteessa EU:n yleiseen tietosuoja-asetukseen ja rikosasioiden tietosuojadirektiiviin

Rekisterinpitäjä ja tietojen välittäminen toimivaltaisille viranomaisille

Esityksen mukaan Tulli toimisi pankki- ja maksutilien valvontajärjestelmästä tiedot välittävän koostavan sovelluksen osalta rekisterinpitäjänä. Pankki- ja maksutilien valvontajärjestelmästä annetun lain 3 §:ssä yksilöitäisiin viranomaiset, joilla on oikeus saada tietoja pankki- ja maksutilien valvontajärjestelmän kautta. Luovutusperusteesta säädetään toimivaltaisten viranomaisten toimintaa koskevissa erillislaeissa, joihin 3 §:ää koskevassa ehdotuksessa viitataan.

EU:n yleisen tietosuoja-asetuksen 4 artiklan 9 kohdan mukaan vastaanottajalla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti.

Asetuksen johdanto-osan 31 kappaleen mukaan viranomaisia, kuten vero- ja tulliviranomaisia, talousrikosten tutkintayksiköitä, riippumattomia hallintoviranomaisia tai rahoitusmarkkinaviranomaisia, joille luovutetaan henkilötietoja lakisääteisen velvoitteen mukaisesti niiden julkisen tehtävän suorittamiseksi ja jotka vastaavat arvopaperimarkkinoiden sääntelystä ja valvonnasta, ei olisi pidettävä tietojen vastaanottajina niiden vastaanottaessa tietoja, jotka ovat tarpeen jonkin tietyn yleisen edun vuoksi tehtävän tutkimuksen toteuttamiseksi unionin tai jäsenvaltion lain-säädännön mukaisesti. Viranomaisten lähettämien luovutuspyyntöjen olisi aina oltava kirjallisia, perusteltuja ja satunnaisia, eikä niiden pitäisi koskea kokonaista rekisteriä tai johtaa rekisterien yhteenliittämiseen. Näiden viranomaisten olisi käsiteltävä henkilötietoja sovellettavien tietosuojasääntöjen ja tietojenkäsittelyn tarkoitusten mukaisesti.

Voimassaolevassa pankki- ja maksutilien valvontajärjestelmää koskevassa laissa säädetään tilirekisteriin merkittävistä ja tiedonhakujärjestelmien kautta luovutettavista tiedoista. Lisäksi laissa säädetään tietopyyntöihin liittyvistä lokitietojärjestelmän vaatimuksista ja säännöstä ehdotetaan esityksessä tarkennettavaksi.

Tietojen käsittelyn lainmukaisuus ja tarkoitus

Esityksen koostavaan sovellukseen liittyvä ehdotus kuuluu EU:n yleisen tietosuoja-asetuksen sekä rikosasioiden tietosuojadirektiivin soveltamisalaan. EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdassa luetellaan perusteet, joiden nojalla käsittely on lainmukaista. Vähintään yhden kohdassa tarkoitetun edellytyksen on täytyttävä. Käsittely on lainmukaista EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohdan mukaan, kun se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Esityksessä Tullin lakisääteinen tehtävä koostavan sovelluksen rekisterinpitäjänä vastaa 6 artiklan 1 kohdan c alakohtaa ja koostavan sovelluksen käyttötarkoitus, joka ilmene esityksen 3 §:ssä lueteltujen toimivaltaisia viranomaisia koskevista erityislainsäädännöistä vastaa 6 artiklan 1 kohdan e alakohtaa.

Ehdotuksessa pankki- ja maksutilien valvontajärjestelmää hyödynnetään myös rahoitustietodirektiivin tarkoituksen mukaisesti, eli helpotetaan toimivaltaisten viranomaisten pääsyä rahoitus- ja tilitietoihin ja tietojen käyttöä vakavien rikosten ennalta estämiseksi, paljastamiseksi, tutkimiseksi ja niihin liittyviä syytetoimia varten. Tältä osin sovellettavaksi tulee rikosasioiden tietosuojadirektiivi ja sen kansallinen täytäntöönpanolainsäädäntö, koska EU:n yleisen tietosuoja-asetuksen 2 artiklan mukaan asetusta ei sovelleta henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

Asetuksen 6 artiklan 3 kohdan mukaan 1 kohdan c ja e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä joko a) unionin oikeudessa; tai b) rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä.

Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan EU:n yleisen tietosuoja-asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet, kuten toimenpiteet muita IX luvussa esitettyjä erityisiä tietojenkäsittelytilanteita varten. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

EU:n yleisen tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevien tietojen käsittelystä. Artiklan 1 kohdan mukaan sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

Artiklan 2 kohdassa säädetään poikkeuksesta 1 kohdan kieltoon. Artiklan 2 kohdan g alakohdan mukaan 1 kohtaa ei sovelleta, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

Viidennen rahanpesudirektiivin 43 artiklassa säädetään, että direktiivin mukaista henkilötietojen käsittelyä 1 artiklassa tarkoitetun rahanpesun ja terrorismin rahoittamisen torjumiseksi pidetään EU:n yleisen tietosuoja-asetuksen mukaisena yleistä etua koskevana asiana. Direktiivin 32 a artiklassa säädetään jäsenvaltioiden velvollisuudesta ottaa käyttöön keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tietojenhakujärjestelmiä, joiden avulla voidaan ajallaan tunnistaa mikä tahansa luonnollinen henkilö tai oikeus-henkilö, joka on niiden alueella toimivassa luottolaitoksessa olevan IBAN-tunnisteisen maksu-tilin ja pankkitilin sekä tallelokeron haltija tai jolla on määräysvalta tällaiseen tiliin tai tallelokeroon.

Direktiivin johdanto-osan 20 kappaleessa todetaan, että jos rahanpesun selvittelykeskukset ja muut toimivaltaiset viranomaiset saavat tiedot erityisesti anonyymien pankki- ja maksutilien ja tallelokeroiden haltijoiden henkilöllisyydestä liian myöhään, terrorismiin liittyvien varainsiirtojen paljastaminen vaikeutuu. Jäsenvaltioiden tiedot, joiden avulla voidaan selvittää samalle henkilölle kuuluvat pankki- ja maksutilit sekä tallelokerot, ovat hajanaisia eivätkä ne sen vuoksi ole ajallaan rahanpesun selvittelykeskusten ja muiden toimivaltaisten viranomaisten saatavilla. Sen vuoksi on olennaisen tärkeää ottaa käyttöön keskitettyjä automatisoituja mekanismeja, kuten kaikissa jäsenvaltioissa toimiva rekisteri tai tietojenhakujärjestelmä, jotka ovat tehokas keino saada ajallaan pääsy pankki- ja maksutilien sekä tallelokeroiden haltijoiden henkilöllisyyttä ja heidän asiamiehiään ja näiden tilien tosiasiallisia omistajia ja edunsaajia koskeviin tietoihin.

Tietoihin pääsyä koskevia säännöksiä sovellettaessa on aiheellista käyttää jo olemassa olevia mekanismeja edellyttäen, että tiedot, joista kansalliset rahanpesun selvittelykeskukset tekevät selvityksiä, ovat niiden saatavilla välittömästi ja suodattamattomina. Jäsenvaltioiden olisi harkittava muiden tarpeellisiksi ja oikeasuhteisiksi katsottujen tietojen syöttämistä tällaiseen mekanismiin, jotta voidaan tehostaa rahanpesuun ja terrorismin rahoittamiseen liittyvien riskien vähentämistä. Tällaisten rahanpesun selvittelykeskusten ja muiden toimivaltaisten viranomaisten kuin syyttäjäviranomaisten tekemien tiedustelujen ja niihin liittyvien tietojen täysi luottamuksellisuus olisi varmistettava.

Edelleen johdanto-osan 21 kappaleessa todetaan, että yksityisyyden ja henkilötietojen suojan kunnioittamiseksi ainoastaan rahanpesun ja terrorismin rahoittamisen torjuntaa koskevien tutkimusten suorittamisen kannalta tarpeelliset vähimmäistiedot olisi säilytettävä pankki- ja maksutilien automatisoiduissa mekanismeissa, kuten rekistereissä tai tietojenhakujärjestelmissä. Jäsenvaltioiden olisi voitava määrittää, mitä tietoja on hyödyllistä ja oikeasuhteista kerätä, kun otetaan huomioon käytössä olevat järjestelmät ja vallitsevat oikeusperinteet, jotta tosiasiallisten omistajien ja edunsaajien merkityksellinen tunnistaminen olisi mahdollista. Kun jäsenvaltiot saattavat näitä mekanismeja koskevat säännökset osaksi kansallista lainsäädäntöään, niiden olisi säädettävä säilyttämisajasta, joka vastaa niiden asiakirjojen ja tietojen säilyttämisaikaa, jotka on hankittu asiakkaan tuntemisvelvollisuutta koskevia toimenpiteitä sovellettaessa. Jäsenvaltioilla olisi oltava mahdollisuus jatkaa säilyttämisaikaa yleisesti lain nojalla edellyttämättä tapauskohtaisia päätöksiä. Säilyttämisaikaa olisi voitava jatkaa enintään viidellä vuodella. Tämä säilyttämisaika ei saisi rajoittaa sellaisen kansallisen lainsäädännön soveltamista, jossa säädetään muista tietojen säilyttämistä koskevista vaatimuksista, jotka mahdollistavat tapauskohtaiset päätökset rikosoikeudellisten tai hallintomenettelyjen helpottamiseksi. Pääsy näihin mekanismeihin olisi rajoitettava tiedonsaantitarpeen perusteella.

Pankki- ja maksutilien valvontajärjestelmään kerättävien ja ehdotuksen mukaisesti koostavan sovelluksen kautta välitettävien tietojen käsittelytarkoitus on perusteltua EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti yleistä etua koskevan tehtävän suorittamiseksi. Asetuksen 6 artiklan 3 kohdan mukaisesti viidennessä rahanpesudirektiivissä on säädetty käsittelyn perustasta ja koska pankki- ja maksutilien valvontajärjestelmän käyttöalaa ehdotetaan laajennettavaksi direktiivin edellyttämästä käyttöalasta, käsittelyn perustasta säädetään kansallisesti. Esitys ja voimassa oleva laki pankki- ja maksutilien valvontajärjestelmästä sisältää erityisiä säännöksiä koskien käsiteltävien tietoja, rekisteröitäviä tahoja, toimivaltaisia viranomaisia, joille henkilötietoja voidaan luovuttaa ja välittää, sekä tietojen säilytysajoista. Pankki- ja maksutilien valvontajärjestelmään ja ehdotuksen mukaisesti koostavan sovelluksen kautta välitettäviin tietoihin sovelletaan lähtökohtaisesti tietosuojalakia.

Pankki- ja maksutilien valvontajärjestelmän henkilötietojen käsittely laajenee rahoitustietodirektiivin täytäntöönpanon yhteydessä koskemaan joiltain osin myös rikosasioiden tietosuojadirektiiviä. Direktiivi on pantu kansallisesti täytäntöön rikosasioiden tietosuojalailla. Rikosasioiden tietosuojalain 1 §:ssä säädetään lakia sovellettavan toimivaltaisten viranomaisten (poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten, kuten eduskunnan oikeusasiamiehen ja oikeuskanslerin, HE 31/2018 vp) käsitellessä henkilötietoja, kun kyse on 1) rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta; 2) syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta; 3) rikosasian käsittelemisestä tuomioistuimessa; 4) rikosoikeudellisen seuraamuksen täytäntöönpanemisesta; 5) yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1–4 kohdassa tarkoitetun toiminnan yhteydessä.

Huomioiden sen, että rikosasioiden tietosuojalaki kattaa vain osan niistä viranomaisista, joiden tiedonsaantia ehdotetaan tässä esityksessä helpotettavan, pankki- ja maksutilien valvontajärjestelmän ja ehdotetun koostavan sovelluksen osalta mainitun lain soveltaminen voisi tulla kysymykseen esimerkiksi tilanteissa, joissa käsiteltäisiin rikosasioiden tietosuojalain mukaisten toimivaltaisten viranomaisten tekemiä tietopyyntöjä vakavien rikosten ennalta estämiseksi, tutkimiseksi ja paljastamiseksi, vaikka edellä mainitun tietopyynnön alaiset tiedot on alkujaan talletettu yleisen tietosuoja-asetuksen käyttötarkoituksiin. Sovellettava tietosuojalainsäädäntö määräytyisi siis käsittelevän viranomaisen ja käyttötarkoituksen mukaan.

EU:n yleisen tietosuoja-asetuksen 23 artiklassa säädetään, että rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12‒22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12‒22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa. Artiklassa on asetettu edellytykseksi, että kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja että se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata esimerkiksi d kohdan mukaan rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy. Artiklan e kohdassa edellytykseksi on asetettu muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva.

EU:n yleisen tietosuoja-asetuksen 15 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, rekisteröidyllä on oikeus saada pääsy henkilötietoihin sekä artiklassa tarkemmin yksilöidyt tiedot. Rahoitustietodirektiivin 18 artikla käsittelee rajoituksia rekisteröityjen oikeuksiin. Sen mukaan jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla kokonaan tai osittain rajoitetaan rekisteröityjen oikeutta päästä tämän direktiivin nojalla käsiteltyihin heitä koskeviin henkilötietoihin, yleisen tietosuoja-asetuksen artiklan 1 kohdan tai, tapauksen mukaan, rikosasioiden tietosuojadirektiivin 15 artiklan 1 kohdan mukaisesti. Suomi on käyttänyt asetukseen sisältyvää liikkumavaraa kansallisen tietosuojalain 33 ja 34 §:ssä, jotka sisältävät rajoitukset rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle, eli rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Vastaavaa sääntelyä on käytetty myös rikosasioiden tietosuojalain 4 luvussa, jonka 28 §:ssä säädetään rekisteröiden oikeuksien rajoittamisesta, mikäli se on oikeasuhtaista ja välttämätöntä 1) rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi; 2) viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi; 3) yleisen turvallisuuden suojelemiseksi; 4) kansallisen turvallisuuden suojelemiseksi; tai 5) muiden henkilöiden oikeuksien suojelemiseksi. Ehdotetun mukaisessa pankki- ja maksutilien valvontajärjestelmän ja koostavan sovelluksen tapauksessa rikosasioiden tietosuojalain 28 §:n mukainen rekisteröidyn oikeuksien rajoittaminen tulisi kyseeseen silloin, kun käsiteltäisiin toimivaltaisten viranomaisten tekemiä tietopyyntöjä vakavien rikosten ennalta estämiseksi, tutkimiseksi ja paljastamiseksi.

4.2 Pääasialliset vaikutukset
4.2.1 Taloudelliset vaikutukset

Koostavan sovelluksen toteutus

Esityksessä ehdotetaan, että Tulli voisi toimittaa pankki- ja maksutilien valvontajärjestelmän tiedot toimivaltaisille viranomaisille koostavan sovelluksen kautta. Tullin Tilirekisterihanke on tehnyt alustavan laskelman tämän keskitetyn ratkaisun kustannussäästöistä. Esityksen mukaisia Toimivaltaisia viranomaisia on yhteensä 11, joista poliisi, rahanpesun selvittelykeskus, Rajavartiolaitos ja Puolustusvoimat käyttäisivät samaa rajapintaa. Koostavan sovelluksen mallissa jokainen viranomainen toteuttaisi tilirekisteriin rakennettavien rajapintojen ja jokaiseen tiedonhakujärjestelmään rakennettavan rajapinnan sijaan koostavassa sovelluksessa yhden rajapinnan Tullin palveluun.

Koostava sovellus palvelisi sekä rahanpesun selvittelykeskusta, niitä rahanpesulain mukaisia valvontaviranomaisia ja asianajajayhdistystä, joilla on voimassaolevan pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaan pääsy järjestelmässä oleviin tietoihin, että niitä uusia viranomaisia, joille esityksessä esitetään pääsyoikeutta järjestelmään. Voimassaolevan lainsäädännön mukaisista valvontajärjestelmään pääsyyn oikeutetuista tahoista ainoastaan rahanpesun selvittelykeskus on rakentanut rajapinnan tilirekisteriin ja eräisiin tiedonhakujärjestelmiin.

Euroopan komissio antoi heinäkuussa 2021 ehdotuksen rahanpesua koskevan sääntelyn muuttamisesta, joka sisältää myös ehdotuksen jäsenvaltioiden pankkitilirekisterien yhteenliittämisestä. Esityksen sisältämä ehdotus koskien Tullin toimintaa tiedonluovuttajana pankki- ja maksutilien valvontajärjestelmästä ja tätä varten toteutettava koostava sovellus mahdollistaisi myös tulevaisuudessa valmistelussa olevan EU:n pankkitilirekisterien yhteenliittämistä koskevan sääntelyn täytäntöönpanon pienemmillä kustannuksilla kuin nykyisen hajautetun järjestelmän osalta syntyisi.

Rajapinnan rakentamisen osalta kustannusarvio eri viranomaisten osalta vaihtelee riippuen siitä, tulisiko viranomaisen rakentaa rajapinnan lisäksi myös tiedonhakujärjestelmä itselleen, jos sellaista ei ole jo valmiina. Poliisin sähköisen pankkitiedusteluhankkeen osalta on kertynyt kokemusta rajapinnan rakentamisesta luottolaitosten kanssa, mutta poliisin järjestelmän kautta voidaan välittää myös tilitapahtumia koskevia tietoja, eli se on laajempi kuin pankki- ja maksutilien valvontajärjestelmässä on. Lisäksi poliisin osalta kustannuksia järjestelmähankkeissa syntyy siitä, että poliisi käyttää Valtion tieto- ja viestintätekniikkakeskus Valtorin turvallisuusverkkoa (TUVE).

Finanssivalvonnan osalta arvioidaan, että rajapinnan rakentaminen aiheuttaisi noin 20 000 euron kustannukset. Verohallinnossa on arvioitu, että rajapinnan rakentamisen kustannus olisi noin 100 000 euroa. Ulosottolaitoksen osalta on arvioitu, että rajapinnan rakentamiskustannukset olisivat 50 000–115 000 euroa, kustannus riippuu siitä, kuinka paljon pystytään hyödyntämään muita samankaltaisia tai jo rakennettuja rajapintoja. Etelä-Suomen aluehallintoviraston osalta arvioidaan, että rajapinnan rakentamisen kustannus olisi noin 30 000 euroa, mikä kattaisi integraation tekemisen ja siihen liittyvän testauksen.

Rajavartiolaitos on ollut mukana poliisin pankkitiedustelujen sähköistämishankkeessa ja tarkoituksena olisi, että Rajavartiolaitos hyödyntäisi poliisin rajapintaa, jolloin kustannukset tästä jäisivät vähäisiksi. Myös Puolustusvoimien osalta on suunniteltu poliisin rajanpinnan hyödyntämistä, jolloin mahdolliset lisäkustannukset olisivat vähäisiä.

Mahdollinen viranomaisten kustannussäästö on varovaisestikin arvioiden noin 3 000 000 euroa. Mikäli oletuksena käytetään rahanpesun selvittelykeskuksen tilirekisterihankkeelle raportoimaa summaa rajapintojen rakentamisesta, voi säästö olla jopa tätä merkittävästi suurempi. Tämän lisäksi kustannussäästöjä syntyisi myös luottolaitoksille, maksulaitoksille, sähkörahayhteisöille sekä virtuaalivaluutan tarjoajille, kun niiden tulisi rakentaa rajapinta vain yhteen viranomaiseen eli Tulliin. Yksityisen sektorin kustannussäästön suuruus olisi arviolta samaa luokkaa kuin viranomaisten säästö eli vajaa 3 000 000 €. Arvio perustuu toimivaltaisten viranomaisten rajapintojen, asianajajayhdistyksen ja suunnitteilla olevien tiedonhakujärjestelmien määrään.

Arvio keskitetyn tiedonhakujärjestelmän koostava sovellus -vaihtoehdon kustannuksista on tämän hetken alustavan arvion mukaan noin 700 000–800 000 euroa. Koostavan sovelluksen kustannukset tarkentuvat esiselvitykseen. Esiselvityksen lähtökohtana on, että sovelluksen toteutus käyttää jo nyt määriteltyjä rajapintoja ja kokonaisarkkitehtuuria sekä minimivaatimusten määrittelemistä vähintään yhden viranomaisen kanssa. Esimerkiksi koostavan sovelluksen hakutoimintojen vaatimukset vaativat määrittelyn tarkennusta tarkemmin. Myös lokitietojen tallentamisen vaatimuksia on tarkennettava, jotta ne täyttävät laillisuusvalvonnan ja rahoitustietodirektiivin vaatimukset.

Poliisilla, Ulosottolaitoksella ja Verohallinnolla on omia tietojärjestelmiä tiettyjen luottolaitosten kanssa, joiden kautta pyydetään ja luovutetaan tietoja pankki- ja maksutileistä. Näiden tietojärjestelmien perustaminen on perustunut viranomaisten ja luottolaitosten välisiin sopimuksiin, kun taas pankki- ja maksutilien valvontajärjestelmä on pakollinen laissa määriteltyjen toimijoiden, kuten luottolaitosten osalta. Tietojärjestelmien kautta luovutetaan myös tilitapahtumia koskevia tietoja, eli ne ovat kattavampia kuin pankki- ja maksutilien valvontajärjestelmä, jonka kautta on mahdollista pyytää ja luovuttaa vain tilin hallintaa koskevia tietoja. Vaikka edellä mainituille viranomaisille säädettäisiin esityksen mukaisesti voimassaolevaa lakia laajempi pääsy pankki- ja maksutilien valvontajärjestelmään, olemassa olevien tietojärjestelmien kattavammasta sisällöstä johtuen niistä ei voitaisi luopua, ellei pankki- ja maksutilien valvontajärjestelmään lisättäisi myöhemmin myös tilitapahtumia koskevia tietoja. Tilitapahtumia koskevat tiedot ovat edellä mainittujen viranomaisten tehtävissä tarpeellisia tai välttämättömiä ja tehtävien kyselyjen määrä vuodessa on suuri. Pankki- ja maksutilien valvontajärjestelmän etuna on se, että järjestelmä on pakollinen luotto ja maksulaitosten, sähkörahayhteisöille ja virtuaalivaluutan tarjoajille, jolloin toimivaltainen viranomainen voisi järjestelmän kautta saada tilin hallintaan ja yksilöintiin liittyvät tiedot, jotta mahdollinen pyyntö tilitapahtumista voidaan ohjata oikealle taholle. Olemassa olevat viranomaisten tietojärjestelmät olisivat edellä mainituista syistä esityksessä ehdotetusta koostavasta sovelluksesta huolimatta edelleen tarpeellisia sekä viranomaisille että myös luottolaitoksille, joiden tiedonluovutusta ne sujuvoittavat ja niiden ylläpidosta aiheutuisi edelleen viranomaisille kustannuksia.

Rahoitustietodirektiivin aiheuttamat lisäkustannukset

Rahoitustietodirektiivin täytäntöönpanoon liittyen Tullille tulisi lisää vastuita koostavaa sovellusta koskevasta rekisterinpidosta ja lisääntyvistä lokitietoja koskevista velvoitteista. raportoinnin lisäksi Tullille ehdotetaan pankki- ja maksutilien tiedonhakujärjestelmän valvontaan liittyvää työtä, jota on toimialojen ja toimijoiden seuranta, ohjaaminen ja ohjeistus. Valvontaan ja raportointiin Tulli esittää alustavana arviona 2 lisähenkilötyövuoden lisäpanostusta, jonka kustannus on 140 000 euroa vuotta kohden.

Poliisin arvion mukaan rahoitustietodirektiivin mukaisen laajennuksen kustannukset pankki- ja maksutilien valvontajärjestelmän poliisin tiedonhakujärjestelmään olisivat noin 300 000 euroa vuosille 2022‒2023, eli 150 000 euroa vuodessa. Edellä esitetyt kustannusarviot eivät sisällä käyttöönoton ja ylläpidon kustannuksia, jotka tulee lisäksi huomioida.

4.2.2 Luotto- ja maksulaitokset

Luotto- ja maksulaitoksille aiheutuu kustannuksia rahanpesun ja terrorismin estämistä koskevan sääntelyn noudattamisesta, mukaan lukien pankki- ja maksutilejä koskevat viranomaisten tietopyynnöt. Pankki- ja maksutilien valvontajärjestelmään liittyminen on ollut luottolaitoksille pakollista ja tiedonhakujärjestelmien laatimisesta tai tietojen toimittamisesta tilirekisteriin on syntynyt niille kustannuksia, järjestelmien ylläpitämisestä aiheutuu myös jatkuvia kustannuksia. Esityksessä ehdotetut laajemmat pääsyoikeudet viranomaisille pankki- ja maksutilien valvontajärjestelmään tekisivät näistä kustannuksista perustellumpia, kun järjestelmiä ei olisi rakennettu vain hyvin suppeaan käyttötarkoitukseen ja vähäiselle määrälle viranomaisia.

Pankki- ja maksutilejä koskevien kyselyiden tekeminen pankki- ja maksutilien valvontajärjestelmän kautta vähentäisi luotto- ja maksulaitosten hallinnollista taakkaa siltä osin kuin viranomaiset ovat kohdistaneet kyselyitä sellaiseen henkilöön tai yritykseen, jolla ei ole tiliä kyseessä olevassa luotto- ja maksulaitoksessa. Toisaalta edellä mainittua hallinnollista taakkaa vähentävää vaikutusta pienentäisi se, ettei tilitapahtumia voitaisi luovuttaa pankki- ja maksutilien valvontajärjestelmän kautta ja lisäksi voidaan arvioida, että järjestelmän käyttöä vähentäisi esitetty välttämättömyysedellytys. On vaikeaa antaa euromääräistä arviota siitä, mikä luotto- ja maksulaitoksille syntyvä säästö tarkalleen olisi. Pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisia tiedonhakujärjestelmiä ylläpitävien toimijoiden osalta olisi selkeintä, että kyselyt tulevat keskitetysti ja tähän liittyy ehdotus siitä, että Tulli voisi luovuttaa tietoja pankki- ja maksutilien valvontajärjestelmästä niille toimivaltaisille viranomaisille, jotka eivät rakenna omaa rajapintaa järjestelmään.

Koostavalla sovelluksella ei arvioida olevan lisäkustannuksia tuovia vaikutuksia liittyen esimerkiksi tietojärjestelmiin ja niiden ylläpitämiseen tiedonhakujärjestelmiä ylläpitäville luotto- ja maksulaitoksille tai pankki- ja maksutilirekisteriin tiedot luovuttaville toimijoille. Sujuvamman ja sähköisessä muodossa tapahtuvan tiedonvaihdon lisääntymisen voidaan arvioida tuovan kustannussäästöjä luotto- ja maksulaitoksille, koska tiedonvaihtoon kuluisi vähemmän työaikaa.

Esityksessä ehdotetaan, että Tulli vastaisi pankki- ja maksutilien tiedonhakujärjestelmän osalta järjestelmän ylläpidon ja tiedonantovelvollisuuden valvonnasta. Valvonnan tehostamiseksi Tullille säädettäisiin oikeus asettaa uhkasakko voimassa olevan lain mukaisen pankki- ja maksutilirekisteriä koskevan tiedonantovelvollisuuden lisäksi myös tiedonhakujärjestelmän ylläpitovelvoitteen ja tiedonhakujärjestelmän kautta tapahtuvan tietojen luovuttamisen osalta ja Tullille säädettäisiin oikeus määrätä rikemaksu myös sille, joka tahallaan tai huolimattomuudesta laiminlyö tai rikkoo velvollisuuden ylläpitää tiedonhakujärjestelmää tai luovuttaa sen kautta tietoja. Luotto- ja maksulaitosten osalta esitys tekisi sääntelystä yhdenvertaisempaa tiedonhakujärjestelmiä ylläpitävien toimijoiden ja tilirekisteriin tiedot antavien toimijoiden välillä. Nykyisessä tilanteessa pankki- ja maksutilien tiedonhakujärjestelmän toimittamatta jättämisestä ei ole voitu sanktioida, koska asiasta ei ole säädetty laissa.

4.2.3 Julkisen hallinnon tiedonhallinnan keskittäminen

Esitettyjen lainmuutosten myötä nykyistä useampi viranomainen pääsisi hyödyntämään pankki- ja maksutilien valvontajärjestelmään tallennettavia tietoja. Tullin tiedonluovutusoikeutta pankki- ja maksutilien valvontajärjestelmästä koskevan ehdotuksen myötä pankki- ja maksutilitietojen saamiseen oikeutettujen viranomaisten tarve rakentaa omia rajapintojaan järjestelmään vähenisi, mikä toteuttaisi tavoitetta keskittää valtionhallinnon tietojärjestelmiä ja vähentäisi päällekkäisten tietojärjestelmien tarvetta. Koska pankki- ja maksutilien valvontajärjestelmästä ei ole kuitenkaan saatavana tilitapahtumia koskevia tietoja, eivät ehdotetut muutokset poistaisi täysin viranomaisten olemassa olevien tietojärjestelmien tarvetta, joiden kautta ovat saatavilla laajemmat tiedot.

4.2.4 Henkilötietojen käsittely ja laillisuusvalvonta

Pankki- ja maksutilien valvontajärjestelmän käytön myötä yksityiskohtaiset tietopyynnöt voidaan kohdentaa aikaisempaa paremmin niihin toimijoihin, joiden asiakkaana tutkinnan kohteena olevat henkilöt ovat. Kun tietoja käsitellään nimenomaan tätä tarkoitusta varten rakennetuissa suojatuissa järjestelmissä, se parantaa myös tiedustelujen kohteiden henkilötietojen suojaa. Myös poliisin sähköinen pankkitiedustelujärjestelmä, jonka kautta myös valvontajärjestelmää tullaan käyttämään, parantaa lokitietoineen olennaisesti pankkitiedusteluja koskevan laillisuusvalvonnan toteutumista.

Rahoitustietodirektiivissä on artiklassa 6, 17 ja 19 määritelty lokien ylläpitoon vaatimuksia kuten tapauksen kansalliset viitetiedot, tiedustelun tai haun päivämäärä ja kellonaika, tiedustelussa tai haussa käytettyjen tietojen tyyppi, tulosten yksilölliset tunnistetiedot, rekisteriä käyttäneen nimetyn toimivaltaisen viranomaisen nimi sekä tiedustelun tai haun suorittaneen henkilön ja tarvittaessa tiedustelun tai haun määränneen henkilön tunnistetiedot ja mahdollisuuksien mukaan tiedustelun tai haun tulosten vastaanottajan tunnistetiedot. Tulli on pyrkinyt jo nykyisessä pankki- ja maksutilirekisterin toteutuksessa huomioimaan nämä vaatimukset. Tiedonhakujärjestelmien osalta Tulli ei kuitenkaan pysty voimassaolevan lainsäädännön puitteissa tekemään tyhjentävää raportointia, koska se voi antaa vain määräyksen teknisestä toteutuksesta ja sillä ei ole valvontavastuuta tiedonhakujärjestelmien osalta. Ehdotuksen mukaan Tullista ei tulisi luottolaitosten ylläpitämien pankki- ja maksutilien tiedonhakujärjestelmien osalta rekisterinpitäjää, vaan rekisterinpitäjinä toimisivat edelleen luottolaitokset kukin oman tiedonhakujärjestelmänsä osalta. Sen sijaan Tullilla olisi rekisterinpitäjän rooli koostavan sovelluksen osalta, koska koostava sovellus käsittelisi ja välittäisi henkilötietoja ja myös tallentaisi niitä lokitietojen muodossa. Lokitiedot, joiden sisällöstä on säädetty pankki- ja maksutilien valvontajärjestelmästä annetun lain 10 §:ssä ja joihin esitetään hallituksen esityksessä tiettyjä muutoksia, tallentuisivat koostavaan sovellukseen. Sovellukseen ei tallentuisi lokitietojen lisäksi muita tietoja. Tullin rekisterinpitäjän tehtävät liittyisivät siten tietosuojasta ja tietoturvallisuudesta huolehtimiseen, osoitusvelvollisuuden toteuttamiseen, rekisteröityjen oikeuksista informoimiseen ja muihin vastaaviin rekisterinpitäjän tehtäviin.

Toimivaltaiset viranomaiset toimisivat rekisterinpitäjinä koostavan sovelluksen kautta välitettyjen, vastaanottamiensa tietojen osalta ja niitä koskisivat vastaavasti tietosuoja-asetuksen ja sitä täydentävän kansallisen sääntelyn mukaiset sekä viranomaisia koskevissa erityislaeissa säädetyt rekisterinpitäjää ja henkilötietojen käsittelyä koskevat velvoitteet. Toimivaltaiset viranomaiset tekisivät itse laillisuusvalvontaa tekemistään kyselyistä ja Tulli välittäisi tarvittaessa lokitietoja toimivaltaisille viranomaisille tätä tarkoitusta varten. Tehdyistä pankkitileihin liittyvistä tiedusteluista jää tieto myös toimivaltaisten viranomaisten omiin järjestelmiin mahdollistaen jälkikäteisen valvonnan.

Yleisen tietosuoja-asetuksen 35 artiklassa säädetään tietosuojaa koskevasta vaikutustenarvioinnista. Artiklan mukaan, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Kukin esityksen mukainen toimivaltainen viranomainen vastaa tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin laatimisesta. Vaikutustenarviointi auttaa rekisterinpitäjää tietosuojalainsäädännön vaatimusten noudattamisessa, sen dokumentoinnissa ja osoittamisessa.

Jos riskiä ei ole mahdollista minimoida, tulee asiassa tehdä tietosuojavaltuutetulle EU:n tietosuoja-asetuksen 36 artiklan mukainen ennakkokysely. Tietosuojavaltuutetun tulee enintään kahdeksan viikon kuluessa kuulemispyynnöstä antaa kirjallisesti ohjeet rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle ja se voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan, kuten asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto.

Koostavan sovelluksen tietosuojaa koskeva vaikutustenarviointi

Kuten esityksessä on edellä todettu, toteuttaisi kukin esityksen mukainen toimivaltainen viranomainen tietosuoja-asetuksen mukaisen vaikutustenarvioinnin koostavan sovelluksen kautta välitettyjen ja tallentamiensa tietojensa osalta. Esityksessä on lisäksi tehty koostavan sovelluksen tietosuojaa koskeva vaikutustenarviointi.

Automatisoidun koostavan sovelluksen avulla välitettäisiin toimivaltaisten viranomaisten pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaiset tietopyynnöt pseudonymisoituna tiedonhakujärjestelmiä ylläpitäville toimijoille. Järjestelmän automatisoinnilla täytettäisiin viidennen rahanpesudirektiivin 32 a artiklan 2 kohdassa ja rahoitustietodirektiivin 4 artiklan 1 kohdassa säädetty vaatimus siitä, että direktiivien mukaisten toimivaltaisten viranomaisten tulee päästä pankki- ja maksutilirekisterissä oleviin tietoihin suoraan ja välittömästi. Rahoitustietodirektiivin 4 artiklan 1 kohdassa säädetään lisäksi, että tietoihin pääsy ja haut katsotaan suoriksi ja välittömiksi myös silloin, kun keskitettyjä pankkitilirekistereitä ylläpitävät kansalliset viranomaiset toimittavat tilitiedot toimivaltaisille viranomaisille nopeasti automaattisen mekanismin välityksellä edellyttäen, että mikään välittävä laitos ei voi puuttua pyydettyihin tai toimitettaviin tietoihin.

Esityksen mukaisia toimivaltaisia viranomaisia on yhteensä 11, joista poliisi, rahanpesun selvittelykeskus, Rajavartiolaitos ja Puolustusvoimat käyttäisivät samaa rajapintaa. Viranomaisen tulisi yksilöidä se säännös, jonka nojalla pyytää tietoa. Tieto tästä perusteesta sekä tietopyynnön tehneestä viranomaisesta jäisi Tullin lokitietojärjestelmään sekä kunkin viranomaisen ylläpitämän järjestelmän lokitietoihin. Pseudonymisoinnissa henkilötietoa käsiteltäisiin niin, että kyselyn perustetta ja kyselyn esittävää viranomaista ei voida enää yhdistää tiettyyn rekisteröityyn Tullin ylläpitämän koostavan sovelluksen lokitietoja ja kunkin viranomaisen omien järjestelmien lokitietoja käyttämättä, tämä minimoisi automatisoidusta henkilötietojen käsittelystä rekisteröidylle aiheutuvaa riskiä.

Tiedonhakujärjestelmiä ylläpitävien toimijoiden tietojen luovuttamisen velvollisuus koostavan sovelluksen kautta perustuisi ehdotettavaan uuteen pankki- ja maksutilien valvontajärjestelmästä annetun lain 7 a §:ään ja 4 §:n 1 momenttiin. Rekisterinpitäjän velvollisuuksista säädetään tietosuoja-asetuksessa, jonka 5 artiklan 2 kohdan mukaisesti rekisterinpitäjä vastaa ja sen tulee pystyä osoittamaan, että artiklan 1 kohdassa säädettyjä henkilötietojen käsittelyä koskevia periaatteita on noudatettu. Näitä periaatteita ovat muun muassa se, että henkilötietoja on käsiteltävä tavalla, jolla varmistetaan niiden suojaaminen luvattomalta ja lainvastaiselta käsittelyltä. Tietosuoja-asetus velvoittaa rekisterinpitäjää huolehtimaan, ettei se luovuta tietoja ilman lainmukaista perustetta viranomaiselle. Lainmukainen peruste automatisoidun koostavan sovelluksen kautta tapahtuvalle tiedonluovutukselle olisi nyt säädettävät pankki- ja maksutilien valvontajärjestelmään tehtävät muutokset. Rekisterinpitäjä täyttäisi tietosuoja-asetuksen mukaisen osoitusvelvollisuuden nojaamalla lailla säädettyyn velvoitteeseen.

Voimassaolevan pankki- ja maksutilien valvontajärjestelmästä annetun lain 4 §:n 3 momentin mukaan viranomaisen on yksilöitävä säännös, jonka nojalla se pyytää tietoa. Koska tietojenvälityksen tiedonhakujärjestelmän kautta tulee olla välitöntä edellä mainitun lain 4 §:n 1 momentin mukaisesti ja johtuen viidennen rahanpesudirektiivin ja rahoitustietodirektiivin hauille asettamista edellytyksistä, ei luottolaitos kuitenkaan voisi arvioida etukäteen, ennen tiedon luovuttamista, viranomaisen tekemän tietopyynnön laillisia edellytyksiä. Käytännössä tämä ei automatisoidussa järjestelmässä ole mahdollista, koska direktiivit edellyttävät, että tieto on oltava saatavilla keskitettyjen automatisoitujen tiedonhakujärjestelmien kautta välittömästi eli heti ilman viivettä. Kansallisesti direktiivit eivät jätä hakujen välittömyyden osalta liikkumavaraa. Koostavan sovelluksen välityksellä välitettyjen tietopyyntöjen osalta luottolaitoksen tiedonhakujärjestelmään välittyisi ainoastaan tieto siitä, mihin rekisteröityyn eli asiakkaaseen tietopyyntö kohdistuu. Käytännössä tämä tieto jäisi tiedonhakujärjestelmän lokitietoihin, josta syystä tältä osin olisi edelleen tarpeen säätää tiedon salassapidosta, jotta luottolaitos ei voisi näitä lokitietoja käyttää eikä ilmaista omaksi tai toisen hyödyksi eikä myöskään toisen vahingoksi. Näin ollen luottolaitos ei voisi myöskään ilmaista asiakkaalleen tai muulle taholle, onko viranomainen tehnyt rekisteröityä koskevan tietopyynnön ja onko siihen annettu vastaus, toisin sanoen edes tietopyynnön olemassaoloa ei voisi ilmaista.

Tietosuoja-asetuksen 25 artikla koskee sisäänrakennettua ja oletusarvoista tietosuojaa, eli rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Nykyisten teknisten käyttöyhteyksien on sisällettävä asianmukaiset kontrollit, joilla rajoitetaan ja kontrolloidaan tietojen käsittelyä, kuten tietojen luovuttamista. Koostavassa sovelluksessa välitettyjen tietojen osalta ennalta tehdyn tiedonluovutuksen laillisten edellytysten arvioinnin puute korvattaisiin järjestelmään rakennetulla teknisellä etukäteiskontrollilla, eli järjestelmästä ei pääsisi kysymään tietoja kuin ilmoittamalla sen säännöksen, jonka nojalla tietoja kysytään, järjestelmään tallentuvien lokitietojen avulla ja organisatorisella kontrollilla, eli ainoastaan sillä, että viranomaisen tähän valtuuttamalla ja kouluttamalla henkilöstöllä on oikeus tehdä kyselyjä ja lisäksi tietosuojavaltuutetun jälkikäteisellä tarkastamisoikeudella.

Tietosuojasääntelyn mukainen rekisterinpitäjänvastuu on siis ennakollista vastuuta siitä, että tiedonluovutus täyttää sille asetetut edellytykset. Kuten edellä on todettu, myöskään nykyinen tiedonhakujärjestelmää koskeva sääntely ei mahdollista ennakollista valvontaa, koska tieto tulee luovuttaa välittömästi, eli samalla tietojärjestelmiä ylläpitävät toimijat on annetun sääntelyn nojalla vapautettu ennakollisen tarkastuksen vastuusta. Esityksen mukainen muutos sen osalta, että luottolaitokset eivät saisi tietoa siitä viranomaisesta, joka on pyytänyt tietoa ja siitä säännöksestä, jonka nojalla tietoa on pyydetty, ei merkitsisi laajennusta viranomaisten pankkitilitietojen saamista koskeviin toimivaltuuksiin, vaan sitä, että varmistetaan yleisen tietosuoja-asetuksen velvoitteet asetuksen 5 artiklan 1 kohdan c alakohdan mukaisesti. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. On aiheellista pohtia, mihin tarkoituksiin luottolaitos tietoja jälkikäteen käyttäisi. Yleinen tietosuoja-asetus asettaa rekisterinpitäjälle velvollisuuden varmistua henkilötietojen käsittelyn perusteista ennen tiedonluovutusta, eikä siis enää tiedonluovutuksen jälkeen, jolloin on aiheellista myös pohtia mihin säädökseen luottolaitosten jälkikäteinen valvonta perustuisi. Lokitietojen käyttö tulee rajata suhteessa niihin tarkoituksiin, joita varten niitä käsitellään eli jälkikäteiseen valvontaan siten, kuin lain ja asetusten mukaisesti on mahdollista. Luottolaitos voisi esimerkiksi tarvita lokitietoja silloin, kun heidän rekisterissään olevissa henkilötiedoissa on virhe ja rekisteröidyllä on velvollisuus ilmoittaa virheestä. Tällöin lokitieto henkilöstä ja ajankohdasta, jolloin tietoja on luovutettu Tullin koostavaan sovellukseen, on riittävä ilmoituksen tekemiseksi Tullille. Tullilla koostavan sovelluksen rekisterinpitäjänä on velvollisuus edelleen ilmoittaa virheistä, joka koostavalla sovelluksella on välittynyt eteenpäin toimivaltaiselle viranomaiselle. Rekisterinpitäjän velvollisuus liittyy ennakolliseen tarkastukseen ja jos luovutuksen jälkeen ilmenisi, ettei rekisterinpitäjä ollut riittävällä tavalla varmistunut henkilötietojen käsittelyä koskevien periaatteiden noudattamisesta, tarkoittaisi se silloin, että tietosuojaloukkaus on tapahtunut. Esityksessä ehdotetusta pseudonymisointiratkaisusta seuraa, että viranomaistoiminta olisi oikeusperusteen osalta salattua yksityiseltä taholta sekä koostavan sovelluksen rekisterinpitäjältä, kuitenkin siten, että oikeusperusteen laillisuusvalvonta on mahdollista jälkikäteen kunkin toimivaltaisen viranomaisen omavalvonnassa pankki- ja maksutilien valvontajärjestelmästä annetun lain 10 §:ssä säädetyn mukaisesti sekä tietosuojavaltuutetun toimesta. Kaiken kaikkiaan esityksen mukainen muutos luottolaitokselle välittyviin tietoihin olisi oikeasuhtaista ja välttämätöntä, jotta koostavan sovelluksen välityksellä tapahtuva henkilötietojen käsittely olisi mahdollisimman tietosuojattua ja välitettävät tiedot rajattu vain välttämättömiin tietoihin.

Järjestelmää käyttävien toimivaltaisten viranomaisten osalta pankki- ja maksutilien valvontajärjestelmästä pyydettävän tiedon tulisi olla välttämätön viranomaiselle laissa säädetyn tehtävän suorittamiseksi, eli viranomaisen tulisi tehdä välttämättömyysedellytyksen täyttymistä koskeva harkinta ennen tietopyynnön tekemistä. Lisäksi pankki- ja maksutilien valvontajärjestelmästä annetun lain uudessa ehdotetussa 3 a §:ssä säädettäisiin, että pääsy 4 ja 6 §:ssä tarkoitettuihin tietoihin ja mahdollisuus tehdä niitä koskevia hakuja olisi ainoastaan sellaisella viranomaisen henkilöstön jäsenellä, joka on nimetty ja valtuutettu suorittamaan näitä tehtäviä.

Esitetyssä koostavassa sovelluksessa jokainen viranomainen toteuttaisi tilirekisteriin rakennettavien rajapintojen ja jokaiseen tiedonhakujärjestelmään rakennettavan rajapinnan sijaan koostavassa sovelluksessa yhden rajapinnan Tullin palveluun. Tulli toteuttaisi koostavan sovelluksen ja siihen liittyvät rajapinnat siten, että luotaisiin toiminto kutsua sekä Tullin ylläpitämää pankki- ja maksutilirekisteriä, että luottolaitosten, maksulaitosten, sähkörahayhteisöjen ja virtuaalivaluuttatoimijoiden ylläpitämiä tiedonhakujärjestelmiä. Ratkaisussa sovellus koostaisi kyselyyn liittyvät vastaukset ja palauttaisi vastaukset sekä Tullin tilirekisteristä että tiedonhakujärjestelmästä viranomaisen määrittelemään rajapintaan. Koostavassa sovelluksessa ei voitaisi välittää tietopyynnön esittäneen viranomaisen ja tiedonantovelvollisen välillä muita tietoja kuin 1. lakiehdotuksen 3 §:n johdantokappaleessa viitattuja lain 4 §:n mukaisesti luovutettavia ja 6 §:n mukaisesti tallennettuja tietoja. Tiedot olisivat siis tilin asiakkuutta koskevia yksilöiviä tietoja, tosiallisten edustajien tietoja ja tilin tai tallelokeron yksilöintitietoja. Viidennen rahanpesudirektiivin 32 a artiklan 3 kohdassa edellytetään, että seuraavien tietojen on oltava saatavilla pankkitilirekisterien kautta siten, että niihin voidaan tehdä hakuja:

asiakastilinhaltijan ja kaikkien sellaisten henkilöiden osalta, jotka oletettavasti toimivat asiakkaan puolesta: nimi ja joko 13 artiklan 1 kohdan a alakohdan saattamiseksi osaksi kansallista lainsäädäntöä annettujen kansallisten säännösten mukaisesti vaaditut muut tunnistetiedot tai yksilöllinen tunnistenumero;

asiakastilinhaltijan tosiasiallisen omistajan ja edunsaajan osalta: nimi ja joko 13 artiklan 1 kohdan b alakohdan saattamiseksi osaksi kansallista lainsäädäntöä annettujen kansallisten säännösten mukaisesti vaaditut muut tunnistetiedot tai yksilöllinen tunnistenumero;

pankki- tai maksutilin osalta: IBAN-numero ja tilin avaamis- ja sulkemispäivä;

tallelokeron osalta: vuokraajan nimi ja joko 13 artiklan 1 kohdan saattamiseksi osaksi kansallista lainsäädäntöä annettujen kansallisten säännösten mukaisesti vaaditut muut tunnistetiedot tai yksilöllinen tunnistenumero sekä vuokra-ajan pituus.

Hakuperusteena koostavassa sovelluksessa toimisivat viidennen rahanpesudirektiivin mukaisesti edellä mainitut tiedot, eli joko tilin yksilöintiin liittyvät tiedot, kuten tilinumero tai luonnollisen henkilön tai oikeushenkilön tunnistamiseen liittyvät tiedot, kuten nimi, henkilötunnus tai rekisterinumero.

Koostavan sovelluksen kautta luovutetut tiedot poistettaisiin sovelluksesta välittömästi tietojen luovuttamisen jälkeen. Ainoastaan lokitiedot tallentuisivat, niiden tallentamisesta säädettäisiin kattavasti rahoitustietodirektiivin edellyttämällä tavalla pankki- ja maksutilien valvontajärjestelmästä annettavan lain 10 §:ssä.

Esityksen mukainen koostava sovellus parantaisi rekisteröidyn tietosuojaa johtuen henkilötietojen pseudonymisoinnista edellä selostetulla tavalla ja muiden tarvittavien suojatoimien johdosta, kuten sen, että tiedot kyselyn perusteesta ja kysyvästä viranomaisesta tallentuisivat koostavan sovelluksen ja kunkin kyselyn tehneen viranomaisen lokitietoihin. Näin rekisteröityjen oikeuksia suojattaisiin ja mahdollistettaisiin myös jälkikäteinen valvonta sisällyttämällä se käsittelyn osaksi, kuin myös käsittelyssä toteutetut rekisteröidylle koituvan riskin minimoimiseksi vaaditut suojaustoimet vastaisivat yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin ja tietosuojaa koskevien kansallisten lakien vaatimuksia. Lisäksi rekisteröidyn tietosuoja paranisi, koska luonnollisen henkilön oikeuksien ja vapauksien kannalta manuaaliset korkean riskin aiheuttavat kyselyt korvaantuisivat keskitetyllä mekanismilla, jossa rekisterinpitäjä on jo ennen käsittelyä velvoitettu toteuttamaan arvioinnin teknisesti suunniteltujen automatisoitujen käsittelytoimien vaikutuksista henkilötietojen suojalle, koska automatisoidussa järjestelmässä ei ole ennakollista valvontaa. Rekisterinpitäjä on velvoitettu koostavan sovelluksen rakentamisen vaiheessa tunnistamaan, arvioimaan ja minimoimaan rekisteröidylle koituva korkea riski, sekä toteuttamaan koostavaan sovellukseen sisäänrakennettu ja oletusarvoinen tietosuoja teknisesti, että organisatorisesti siten, että se on dokumentoitu, aukotonta, oikeasuhtaista ja mahdollistaa helposti, säännöllisesti ja tarvittaessa myös nopeasti jälkikäteisen laillisuusvalvonnan. Keskitetysti kerättyjen lokitietojen kautta pankki- ja maksutilitietojen hakuihin kohdistuva laillisuusvalvonta ja mahdollisiin väärinkäytöksiin puuttuminen, kuten tarpeettomien kyselyiden havaitseminen, viranomaisissa helpottuisi huomattavasti. Viranomaisten kyselyistä jäisi aina ja pokeuksetta jälki keskitetysti koostavan sovelluksen lokitietoihin toisin kuin aiemmista manuaalisesti tehdyistä kyselyistä, joiden jälkikäteinen laillisuusvalvonta ei vastaavalla tavalla ole ollut sähköisesti ja keskitetysti mahdollista.

Keskitetyn tiedonhankinnan myötä saavutettaisiin myös henkilötietojen käsittelyn parempi tietosuoja. Viranomaisten yksityiskohtaiset tilitapahtumia koskevat tietopyynnöt voitaisiin kohdistaa vain niihin toimijoihin, joissa asiakkuus on.

Tullin koostava sovellus toisi entistä helpommin ja kattavammin saataville pankki- ja maksutilien valvontajärjestelmässä olevat tiedot, koska koostavan sovelluksen avulla voitaisiin samanaikaisesti hakea tietoja sekä tiedonhakujärjestelmistä, että tilirekisteristä. Vaikka osalla esityksen mukaisista viranomaisista on omia tiedonluovutusjärjestelyjä eri luottolaitosten kanssa, ei yhdelläkään viranomaisella ole järjestelmää, jonka avulla voitaisiin yhdellä kyselyllä saada tieto eri luotto- ja maksulaitosten asiakkuuksista. Samalla koostava sovellus merkitsisi entistä nopeampaa ja tehokkaampaa pääsyä pankki- ja maksutilitietoihin ja myös henkilötietoihin, joita kyseiset tiedot sisältävät, tältä osin ehdotus kaventaisi henkilötietojen suojaa ja yksityiselämän suojaa.

Pankki- ja maksutilien valvontajärjestelmän on tarkoitus sisältää tietoja, jotka koskevat asiakkuutta luotto- ja maksulaitoksessa, mutta esityksessä on edellä kuvattu, että järjestelmä ei tällä hetkellä ole käytännössä toiminnassa kuin osittain, sillä tiedonhakujärjestelmiä ei ole tuotannossa ollenkaan eikä tilirekisterinkään osalta ole muita käyttäjiä kuin rahanpesun selvittelykeskus. Esityksessä esitetään pääsyoikeuksia järjestelmään viranomaisille, joilla on jo tälläkin hetkellä oikeus voimassaolevan lainsäädännön nojalla saada kyseessä olevat tiedot.

Kun punnitaan henkilötietojen suojaa ja pääsyn oikeasuhtaisuutta, oleellinen kysymys on se, miksi maksulaitosten, sähkörahayhteisöjen, luottolaitosten ja virtuaalivaluutan tarjoajien asiakkuutta koskevat tiedot olisivat sellaisia tietoja, että viranomaisten, joilla on oikeus voimassaolevan lainsäädännön nojalla saada kyseiset tiedot, ei tulisi saada pääsyä näihin tietoihin sähköisessä muodossa ja koostettuna, kun tiedot tällä hetkellä saadaan vähintään paperimuodossa. Kyseessä olevat tiedot kuuluvat pankkisalaisuuden piiriin, mutta esityksen mukaisille toimivaltaisille viranomaisille on jo voimassaolevassa lainsäädännössä annettu pääsy näihin tietoihin. Esityksessä edellytetään lisäksi, että tietopyynnön edellytyksenä on tietojen välttämättömyys viranomaisen tehtävän suorittamiseksi, eli jos viranomainen voi suorittaa tehtävän ilman pankki- ja maksutilitietoja, ei tietopyyntöä koostavan sovelluksen kautta voi tehdä. Pankki- ja maksutilien valvontajärjestelmän kautta saatavien henkilötietojen perusteella ei ole mahdollista saada kattavaa kuvaa esimerkiksi henkilön taloudellisesta tilasta, koska järjestelmän kautta ei ole mahdollista saada yksityiskohtaisempia tietoja, kuten tilitapahtumatietoja. Yksityiskohtaisten tietojen saaminen edellyttäisi edelleen uutta tietopyyntöä, joka tehtäisiin jotain muuta kautta kuin pankki- ja maksutilien valvontajärjestelmän ja koostavan sovelluksen avulla.

Koostava sovellus sisältäisi henkilötietojen käsittelyä, mikä muodostaa aina riskin henkilötietojen suojalle. Ottaen huomioon käsittelyn tarkoituksen, sille asetetut edellytykset, kuten tietopyynnön perustelu ja välttämättömyysedellytys ja erilaiset riskiä vähentävät toimet kuten lokitietojen tallentaminen ja vaatimus toimivaltaisten viranomaisten järjestelmää käyttävän henkilöstön nimeämisestä ja valtuuttamisesta, jäljelle jäävän riskin voidaan katsoa olevan oikeutetun.

4.2.5 Vaikutukset viranomaisten toimintaan

Pääsy pankki- ja maksutilien valvontajärjestelmään ja koostava sovellus

Rahoitustietodirektiivin tarkoituksiin pääsyä pankki- ja maksutilien valvontajärjestelmään esitetään poliisille, mukaan lukien suojelupoliisille, rahanpesun selvittelykeskukselle, Tullille ja Rajavartiolaitokselle.

Tämän lisäksi esitetään, että pääsyn pankki- ja maksutilien valvontajärjestelmään saisivat tietyt toimivaltaiset viranomaiset, joilla on nykylainsäädännön mukaan oikeus saada pankki- ja maksutilitietoja, mutta ei oikeutta saada niitä pankki- ja maksutilien valvontajärjestelmän kautta. Muihin kuin rahoitustietodirektiivissä tai viidennessä rahanpesudirektiivissä säädettyihin käyttötarkoituksiin, jotka on määritelty kyseisiä viranomaisia koskevassa voimassaolevassa lainsäädännössä, pääsyä esitetään Verohallinnolle, Tullille, Ulosottolaitokselle, poliisille, Rajavartiolaitokselle ja Puolustusvoimille. Kyseessä ei olisi toimivaltuuksien lisääminen viranomaisille, vaan muutos tiedonsaannin tekniseen toteuttamistapaan.

Esityksessä esitetään, että Tulli rakentaisi koostavan sovelluksen, jonka kautta Tulli tarjoaisi keskitetysti palveluna sekä Tullin ylläpitämän pankki- ja maksutilitilirekisterin että rahanpesulain mukaisten ilmoitusvelvollisten ylläpitämien pankki- ja maksutilien tiedonhakujärjestelmien tiedot niille viranomaisille, joiden ei ole tarkoituksenmukaista rakentaa omaa yhteyttä pankki- ja maksutilien valvontajärjestelmään.

Esityksessä ehdotettujen toimivaltaisten viranomaisten osalta pääsy pankki- ja maksutilien valvontajärjestelmään koostavan sovelluksen kautta sujuvoittaisi asiakkuutta koskevien tietojen saamista ja tilitietoja koskevien kyselyiden kohdentamista. Esitys vähentäisi pankki- ja tilitietoja koskeviin kyselyihin viranomaisessa kuluvaa työaikaa, vähentäisi päällekkäisiä kyselyjä ja helpottaisi kyselyjen lokitietojen tallentamista ja tehostaisi kyselyihin kohdistuvan laillisuusvalvonnan tekemistä.

Osa esityksen mukaisista viranomaisista on lisäksi arvioinut erikseen, mitä esitetyt muutokset tarkoittaisivat niiden toiminnan osalta.

Poliisille pääsy pankki- ja maksutilien valvontajärjestelmään toisi lisäarvoa ja työajan säästöä siltä osin, että omistaja- ja haltijatiedot sekä eräät asiakkuustiedot saataisiin järjestelmän kautta helposti ja nopeasti, vaikka tiedot toimittava taho ei olisikaan liittynyt vapaaehtoiseen poliisin sähköisiä pankkitiedusteluja koskevaan järjestelmään. Näillä tiedoilla voitaisiin suunnata manuaalisia jatkotiedusteluja ja välttää tekemästä niitä tahoille, joilla tietoja ja asiakkuutta ei ole.

Finanssivalvonta arvioi, ettei esitetyillä muutoksilla ole merkittävää vaikutusta sen toimintaan. Mikäli Tullin kautta saataisiin mahdollisuus koostavan sovelluksen avulla yhdellä pyynnöllä tai kyselyllä useampien rahalaitosten tietojen saamiseen, tämä voisi auttaa toiminnan tehostamisessa. Pidemmällä aikavälillä esityksessä luonnostelluista muutoksista voidaan arvioida saatavan taloudellista hyötyä, joka saavutetaan tehtävän manuaalisen työn määrän vähentymisessä. Tämä puolestaan tarkoittaa sitä, että viranomaisresursseja voidaan kohdentaa kustannustehokkaammin muuhun viranomaistyöhön.

Myös Verohallinnon osalta pankki- ja maksutilien valvontajärjestelmä edistäisi tilitiedustelujen sähköistä käsittelyä ja kohdentaisi kyselyt tehokkaammin sekä vähentäisi tarpeettomien tietojen käsittelyä. Pankki- ja maksutilien valvontajärjestelmän käyttö tehostasi laissa säädettyjen valvontamenetelmien käyttöä, kun Verohallinto voisi selvittää nopeasti ja tehokkaasti valvonnan kohteena olevan henkilön tai yrityksen pankki- ja maksutiliä koskevat tiedot.

Pankki- ja maksutilien valvontajärjestelmän käyttö tehostaisi Verohallinnon laissa säädettyjen valvontamenetelmien käyttöä edelleen, mikäli tulevaisuudessa markkinoille tulee l luottolaitosten ohella lisää erilaisia maksulaitoksia, maksujärjestelmiä, sähkörahayhteisöjä ja virtuaalivaluutan tarjoajia.

Pankki- ja maksutilien valvontajärjestelmän käyttö suojaisi myös verovalvonnan toteutumista ja asiakkaiden yksityisyyttä, kun yksityiskohtainen tiedustelu kohdistettaisiin siihen toimijaan, jossa tili tosiasiallisesti on. Nykyisessä tilanteessa tiedustelu voidaan kohdentaa myös sellaiseen toimijaan, jossa tiliä ei ole ja tällöin annetaan tarpeettomasti tietoa verovalvonnan kohteena olevasta henkilöstä tai yrityksestä.

Ulosottolaitos tekee vuosittain noin 10 miljoonaa pankkitiedustelua. Suurin osa tiedusteluista tehdään Ulosottolaitoksen tietojärjestelmän kautta. Osa tiedusteluista tehdään kuitenkin yhä manuaalisesti, sillä ulosoton tietojärjestelmään on rakennettu rajapinnat vain tiettyjen pankkien kanssa. Ulosottoviranomaisella ei ole tietoa siitä, missä pankeissa velallisilla tai vastaajilla on pankkitilit ja tiedustelut tehdään tästä syystä lähes poikkeuksetta kaikkiin suurimpiin pankkeihin. Pankkitiedustelujen laajuus riippuu muun muassa velan määrästä ja siitä, löytyvätkö riittävät tiedot jo esimerkiksi järjestelmän kautta tehtävistä pankkitiedusteluista.

Käyttöoikeus pankki- ja maksutilien valvontajärjestelmään mahdollistaisi Ulosottolaitokselle sen, että lopulliset pankkitiedustelut voitaisiin kohdentaa vain niihin pankkeihin, joissa velallisella tai vastaajalla on pankkitilit. Tällä vähennettäisiin hallinnollista taakkaa pankki- ja rahoituslaitoksissa sekä säästettäisiin ulosottolaitoksen resursseja. Kohdennetut tiedustelut parantaisivat tietosuojaa. Ulosottolaitoksessa tilitietojen käsittely on järjestetty tarkasti. Vain velallisen vastaava ulosottomies ja asiaa hoitava kihlakunnanvouti pystyvät tarkastelemaan tietojärjestelmän kautta tilattuja tietoja. Näiden lisäksi harmaan talouden torjuntaa tekevät erityistäytäntöönpanon virkamiehet näkevät oman alueensa velallisten tai vastaajien tilitiedot.

Ulosottomiehet panevat täytäntöön tavallisten velkomusasioiden lisäksi muitakin yksityisoikeudellisia velvoitteita sekä pakkokeinolain mukaisia vakuustakavarikkoja ja väliaikaisia vakuustakavarikkoja. Myös oikeudenkäymiskaaren 7 luvun mukaiset turvaamistoimet täytäntöönpannaan ulosottokaaren säännösten mukaisesti.

Pankki- ja maksutilien valvontajärjestelmään siirtyminen näkyisi Ulosottolaitoksessa erityisesti siten, että kyselyt pankkeihin mahdollisen asiakkuuden selvittämiseksi jäisivät pois. Samalla manuaalisesti lähetettävien pankkitiedustelujen, joiden vastaukset saattavat tulla viikkojenkin viiveellä, lähettämisen voidaan olettaa vähenevän. Uuden järjestelmän rakentaminen ja käyttöönotto aiheuttaisivat alkuvaiheessa kuluja, mutta toisaalta koostavan sovelluksen myötä pitkällä aikajänteellä voidaan arvioida saavutettavan jonkin verran säästöjä, turhien asiakkuuden selvittämiseksi tehtävien pankkitiedustelujen jäädessä pois.

Tullin valvontavastuun laajentaminen ja rekisterinpitäjän velvollisuudet

Esityksessä ehdotetaan Tullin valvontavastuun laajentamista pankki- ja maksutilien tiedonhakujärjestelmiin. Esitys laajentaisi Tullin nykyisiä valvontavastuita, sillä ne ulottuvat voimassaolevan lain mukaan ainoastaan pankki- ja maksutilirekisterin valvontaan. Pankki- ja maksutilien tiedonhakujärjestelmään kohdistuva viranomaisvalvonta kattaisi järjestelmän ylläpidon sekä myös tiedonantovelvollisuuden noudattamisen valvonnan. Valvonnan tehostamiseksi Tullille säädettäisiin oikeus asettaa uhkasakko voimassa olevan lain mukaisen pankki- ja maksutilirekisteriä koskevan tiedonantovelvollisuuden lisäksi myös tiedonhakujärjestelmän ylläpitovelvoitteen ja tiedonhakujärjestelmän kautta tapahtuvan tietojen luovuttamisen osalta ja Tullille säädettäisiin oikeus määrätä rikemaksu myös sille, joka tahallaan tai huolimattomuudesta laiminlyö tai rikkoo velvollisuuden ylläpitää tiedonhakujärjestelmää tai luovuttaa sen kautta tietoja. Esitys tehostaisi tiedonhakujärjestelmään kohdistuvaa valvontaa ja tekisi sääntelystä yhdenvertaisempaa tiedonhakujärjestelmiä ylläpitävien toimijoiden ja tilirekisteriin tiedot antavien toimijoiden välillä. Nykyisessä tilanteessa pankki- ja maksutilien tiedonhakujärjestelmän toimittamatta jättämisestä ei ole voitu sanktioida, koska asiasta ei ole säädetty.

Esityksessä ehdotettavan koostavan sovelluksen osalta Tullille ehdotetaan rekisterinpitäjän velvollisuutta, mikä lisäisi Tullin tehtäviä ja vaatisi resurssien kohdentamista tehtäviin.

Rahanpesun selvittelykeskuksen tehtävien laajentaminen liittyen Europol-asetuksen liitteen I mukaisiin rikoksiin ja tiedon luovuttaminen Europolille

Laissa ehdotetaan säädettäväksi rahanpesun selvittelykeskuksen tehtäväksi yhteistyö viranomaisten kanssa Europol-asetuksen liitteessä I tarkoitettujen rikosten estämisessä, paljastamisessa ja selvittämisessä. Rahanpesun selvittelykeskukselle ehdotetaan myös oikeutta luovuttaa rahanpesurekisterin tietoja edellä mainittuihin tarkoituksiin. Esitys liittyy rahoitustietodirektiivin täytäntöönpanoon ja laajentaisi tältä osin rahanpesun selvittelykeskuksen tehtäviä myös sellaisten rikosten estämiseen, jotka eivät aina ole rahanpesun tai terrorismin rahoittamisen esirikoksia. Esitetty sääntely parantaisi viranomaisten yhteistyötä rahoitustietodirektiivissä tarkoitettujen vakavien rikosten estämisessä, paljastamisessa ja selvittämisessä. Rahoitustietodirektiivin täytäntöönpanemiseksi edellytetään lisäksi, että rahanpesun selvittelykeskus voisi luovuttaa tietoja Eurpol-asetuksen liitteessä I tarkoitettujen rikosten estämiseksi, paljastamiseksi ja selvittämiseksi.

Esityksessä ehdotetaan myös rahoitustietodirektiivin 12 artiklan täytäntöönpanemiseksi, että rahanpesun selvittelykeskus voisi luovuttaa tietoja Europolille. Esitys parantaisi tiedonvaihtoa Europolin kanssa.

4.2.6 Rikoshyödyn jäljittämisen tehostuminen ja vaikutukset rahanpesun ja terrorismin rahoittamisen estämiseen

Pankki- ja maksutilien valvontajärjestelmän yhtenä tavoitteena on nopeuttaa ja tehostaa rikoshyödyn jäljittämistä sekä rikostutkintaa. Pankkitilitiedot ovat usein välttämättömiä, jotta rikostutkinnassa onnistuttaisiin ja jotta varat voitaisiin tunnistaa, jäljittää ja jäädyttää ajoissa niiden takavarikoimiseksi. Järjestelmään liittyminen on kaikille pankeille pakollista ja esityksessä ehdotetut sanktiot tiedonhakujärjestelmän toimittamatta jättämisestä käytännössä myös kannustaisivat velvoitteen noudattamiseen nykyistä paremmin. Rikoshyödyn jäljittämisessä ja varojen jäädyttämisessä on tärkeää toimia nopeasti, jotta varoja ei ehditä siirtää viranomaisten ulottumattomiin. Esitetyt muutokset toisivat poliisille lisäarvoa ja työajan säästöä siltä osin, että tilien ja tallelokeroiden omistaja- ja haltijatiedot sekä eräiden finanssialan toimijoiden asiakkuustiedot saataisiin tiettyjen rikosten osalta helposti ja nopeasti, vaikka tiedot toimittava taho ei olisikaan liittynyt vapaaehtoiseen poliisin sähköisiä pankkitiedusteluja koskevaan järjestelmään. Näillä tiedoilla voitaisiin suunnata manuaalisia jatkotiedusteluja ja välttää tekemästä niitä tahoille, joilla tietoja ja asiakkuutta ei ole, mikä nopeuttaisi rikoshyödyn jäljittämistä.

Rahanpesun ja terrorismin rahoittamisen estämisessä ja selvittämisessä pankki- ja maksutilitietojen saaminen on avainasemassa. Erityisesti rahanpesun selvittelykeskuksella on keskeinen rooli epäilyttäviä liiketoimia ja epäiltyä terrorismin rahoittamista koskevien ilmoitusten vastaanottajana. Esityksen mukainen koostava sovellus sujuvoittaisi rahanpesun selvittelykeskuksen pääsyä tiedonhakujärjestelmiin, sillä rahanpesun selvittelykeskus ei ole rakentamassa rajapintoja kaikkiin tiedonhakujärjestelmiä ylläpitäviin toimijoihin. Rahanpesun selvittelykeskuksella on jo voimassaolevan lainsäädännön nojalla pääsy pankki- ja maksutilien valvontajärjestelmään, joten esitys ei merkittävästi vaikuttaisi rahanpesun selvittelykeskuksen pääsyoikeuksiin. Esitykseen sisältyvät ehdotukset laajemmista pääsyoikeuksista pankki- ja maksutilien valvontajärjestelmään sekä koostavasta sovelluksesta nopeuttaisivat ja sujuvoittaisivat poliisin pääsyä pankki- ja maksutilien asiakkuutta koskeviin tietoihin sähköisessä muodossa ja tätä kautta vähentäisivät jossain määrin manuaalisiin kyselyihin kuluvaa työaikaa.

On kuitenkin huomattava, että pankki- ja maksutilien valvontajärjestelmä ei sisällä tilitapahtumia koskevia tietoja, minkä johdosta esityksellä ei olisi vaikutusta tilitapahtumatietoihin pääsyyn. Voidaan kuitenkin arvioida, että esitys säästäisi jossain määrin kyselyiden tekemiseen kuluvaa työaikaa toimivaltaisissa viranomaisissa, joka voitaisiin käyttää viranomaisten tehtävien suorittamiseen, kuten entistä useampien rahanpesuepäilyjen tutkimiseen.

4.2.7 Tiedonhallinnan muutosvaikutukset

Lainvalmistelussa on arvioitava tiedonhallinnan muutosvaikutukset tiedonhallintalain mukaisesti, kun valmisteltavat säännökset vaikuttavat tietoaineistoihin ja tietojärjestelmiin. Tiedonhallintalain 3 luvun 8 §:n mukaan toimialasta vastaavan ministeriön on laadittava 5 §:n 3 momentin mukainen arviointi, kun valmisteltavat säännökset vaikuttavat tietoaineistoihin ja tietojärjestelmiin. Lisäksi ministeriön on arvioitava suunniteltujen säännösten vaikutukset asiakirjojen julkisuuteen ja salassapitoon. Valtiovarainministeriön yhteydessä toimii julkisen hallinnon tiedonhallintalautakunta. Tiedonhallinnan muutosvaikutusten arvioinnista on annettu valtiovarainministeriön tiedonhallintalautakunnan suositus (valtiovarainministeriön julkaisuja 2020:53).

Esityksessä ehdotetaan, että Tulli rakentaisi koostavan sovelluksen, jonka kautta se välittäisi toimivaltaisille viranomaisille pankki- ja maksutilien valvontajärjestelmästä pankki- ja maksutilirekisterin ja pankki- ja maksutilien tiedonhakujärjestelmien tiedot, joten esityksellä on vaikutuksia tietoaineistoihin ja tietojärjestelmiin.

Tiedonhallintayksikön on tiedonhallinnan muutosten arvioinnissaan otettava huomioon tietovarantojen yhteentoimivuus sekä niiden hyödynnettävyys tietoaineistoja muodostettaessa ja käytettäessä. Arvioinnin perusteella tiedonhallintayksikön on ryhdyttävä tarpeellisiin toimenpiteisiin tiedonhallintamallin muuttamiseksi ja muutosten toimeenpanemiseksi. Nykyisessä hajautetussa pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisessa mallissa syntyy tiedonhakujärjestelmän keskitetyn mekanismin sijaan useita erilaisia tiedonhakujärjestelmiä ja hajautettujen tiedonhakujärjestelmien käyttö tulee lisäksi olemaan hyvin vähäistä muun muassa tietoa hyödyntävien viranomaisten lukuisten integraatioiden ja niiden aiheuttamien kustannusten ja suppean tietosisällön vuoksi.

Tulli on antanut 21.10.2019 määräyksen luottolaitoksen tiedonhakujärjestelmän kyselyrajapinnasta sekä ohjeistuksen sen toteuttamiseen liittyen. Kukin tiedonhakujärjestelmän toteuttava luottolaitos tai muu tiedonluovuttaja kuten maksulaitos, sähkörahayhteisö tai virtuaalivaluutan tarjoaja tulkitsee määräystä rajapinnasta ja rajapintakuvauksesta, sekä toteuttaa määräyksen mukaan sellaisen tiedonhakujärjestelmän, joka sopii sen omiin järjestelmiin ja arkkitehtuuriin. Tilirekisterihankkeen saamien tietojen mukaan luottolaitosten, maksulaitosten ja virtuaalivaluuttatoimijoiden ylläpitämiä tiedonhakujärjestelmiä olisi tulossa 17 kappaletta, joissa on yli 95 prosenttia tili- ja asiakastiedoista. Hajautetussa järjestelmässä jokainen tiedonhyödyntäjä rakentaisi oman liittymänsä kyselyrajapintoihin käyttäen pohjana Tullin teknisiä vaatimuksia. Toimivaltaiset viranomaiset joutuisivat koostamaan vastauksia useista eri tiedonhakujärjestelmistä sekä edellisten lisäksi Tullin ylläpitämästä pankki- ja maksutilirekisteristä. Näin ollen jokaisen viranomaisen tulisi rakentaa lukuisia rajapintoja saadakseen kattavat tiedot pankki- ja maksutileistä ja asiakastiedoista. Esityksen mukaan Tullin koostava sovellus välittäisi tiedot tiedonhakujärjestelmistä ja tilirekisteristä toimivaltaisille viranomaisille. Sovellus koostaisi kyselyyn liittyvät vastaukset ja palauttaisi vastaukset sekä tilirekisteristä että tiedonhakujärjestelmästä viranomaisen määrittelemään rajapintaan. Esitys vähentäisi merkittävästi viranomaisten tarvetta rakentaa erillisiä rajapintoja luottolaitosten rakentamiin tiedonhakujärjestelmin ja edistäisi tiedonhakujärjestelmissä olevien tietojen käyttöä.

Tiedonhallintalain mukaan säädösvalmistelun yhteydessä on arvioitava riittävätkö tiedonhallintalaissa säädetyt tietoturvallisuustoimenpiteiden suunnittelua ja toteuttamista koskevat säännökset erityisiin henkilötietoryhmiin kuuluvien tai muiden arkaluonteisten tietojen suojaan. Esimerkiksi tilanteissa, joissa tietoja käsitellään useissa organisaatioissa, voi olla tarpeen arvioida, tulisiko laissa säätää tarkemmin tietoturvallisuustoimenpiteiden toteuttamisesta yhtenäisen tietoturvallisuustason saavuttamiseksi. Voimassaolevan pankki- ja maksutilien valvonnasta annetun lain mukaisessa hajautetussa mallissa vastuu laillisuusvalvonnasta, kuten lokituksesta ja järjestelmän käytöstä, on hajautettu viranomaisille, asianajajayhdistykselle ja tiedonluovuttajille, eli luottolaitoksille, maksulaitoksille, sähkörahayhteisölle tai virtuaalivaluutan tarjoajalle. Jokainen tiedonluovuttaja ja tiedonhyödyntäjä toteuttaa laissa säädetyn lokijärjestelmän, joka seuraa rajapintojen kyselyitä. Tiedonluovuttajat saavat myös tiedon siitä, mikä viranomainen tai asianajajayhdistys tietoja kysyy ja millä toimivaltuudella kysely on tehty. Esityksen suhdetta EU:n yleiseen tietosuoja-asetukseen on arvioitu tarkemmin edellä osiossa 4.1.3 Arviointi suhteessa EU:n yleiseen tietosuoja-asetukseen ja rikosasioiden tietosuojadirektiiviin.

Muutosvaikutusarvioinnissa on otettava huomioon suunniteltujen säännösten vaikutukset asiakirjojen julkisuuteen ja salassapitoon. Valmisteltaessa uutta lainsäädäntöä tulisi arvioida, minkälaisia asiakirjoja viranomaiselle muodostuu lainsäädäntöä sovellettaessa ja mikä on niiden tietosisältö. Tullin koostava sovellus välittäisi toimivaltaisille viranomaisille luottolaitosten tiedonhakujärjestelmissä ja Tullin tilirekisterissä olevia tietoja. Välitettävät tiedot pankkitileistä eivät tallentuisi koostavaan sovellukseen, vaan koostavaan sovellukseen tallentuvat tiedot olisivat lokitietoja, joita käytettäisiin ainoastaan laillisuusvalvontaan. Toimivaltaiset viranomaiset toimisivat koostavan sovelluksen kautta omiin tietojärjestelmiinsä välittyvien tietojen osalta rekisterinpitäjinä ja vastaisivat käsittelemiensä ja tallentamiensa tietojen osalta salassapidosta, henkilötietojen suojasta ja käsittelyn laillisuudesta.

Vaikutusarvioinnissa tulee arvioida tiedonhallintaan vaikuttavien muutosten taloudelliset vaikutukset. Koostavaa sovellusta koskevan ehdotuksen osalta arviota taloudellisista vaikutuksista on käsitelty tarkemmin edellä taloudelliset vaikutukset -osiossa.

Tiedonhallintalain 3 luvun 9 §:ssä säädetään lausuntomenettelystä. Sen mukaan valtion virastojen ja laitosten on toimitettava valtiovarainministeriölle 5 §:n 3 momentin ja 8 §:n 1 momentin perusteella tehty arviointi tietovarantojen ja tietojärjestelmien hyödyntämistä, yhteentoimivuutta ja tietoturvallisuutta koskevaa lausuntoa varten, kun arvioidulla muutoksella on merkittäviä taloudellisia tai toiminnallisia vaikutuksia tiedonhallintaan tai toimintaan taikka muutos koskee julkisen hallinnon yhteisten tietovarantojen rajapintojen tietorakenteiden olennaisia muutoksia. Valtiovarainministeriöllä on oikeus saada salassapitosäännösten estämättä välttämättömät tiedot valtion viranomaiselta lausunnon antamista varten. Lausuntomenettelystä annetaan tarkemmat säännökset valtioneuvoston asetuksessa lausuntomenettelystä tiedonhallinnan muutosta koskevissa asioissa (1301/2019) 2 §:ssä. Sen mukaan valtion viraston tai laitoksen on pyydettävä valtiovarainministeriön lausunto tiedonhallinnan muutoksesta silloin, kun valtion viraston tai laitoksen arvion mukaan: 1) julkisen hallinnon tai valtion yhteisen tieto- ja viestintäteknisen palvelun tai tietovarannon hankinnan, kehittämisen tai muutoksen kokonaiskustannus on vähintään miljoona euroa; 2) toimialojen tai toimialan yhteiseen käyttöön tarkoitetun tieto- ja viestintäteknisen palvelun tai tietovarannon hankinnan, kehittämisen tai muutoksen kokonaiskustannus on vähintään 5 miljoonaa euroa; 3) sen omaan käyttöön tarkoitettu tieto- ja viestintäteknisen palvelun tai tietovarannon hankinnan, kehittämisen tai muutoksen kokonaiskustannus on vähintään 5 miljoonaa euroa ja tieto- ja viestintäteknisen palvelun tai tietovarannon käyttöönotolla on vaikutuksia muiden viranomaisten tiedonsaantiin.

Lisäksi pykälän 2 momentin mukaan valtion viraston tai laitoksen on pyydettävä valtiovarainministeriön lausunto silloin, kun valtion viraston tai laitoksen arvion mukaan julkisen hallinnon tai valtion yhteisten tietovarantojen rajapintojen tietorakenteiden muutoksen kokonaiskustannus on vähintään miljoona euroa.

Koska koostavan sovelluksen osalta kyseessä on edellä mainitun valtioneuvoston asetuksen 2 §:n 1 momentin 3 kohdan mukainen toimialojen yhteinen järjestelmä, on euromääräinen raja lausunnon pyytämiselle 5 miljoonaa euroa. Arvion mukaan koostavan sovelluksen kustannus tulisi olemaan noin 800 000 euroa, jolloin lausuntoa ei tarvitse pyytää.

4.2.8 Vaikutukset kuluttajiin

Luotto- ja maksulaitoksille aiheutuu kustannuksia rahanpesun ja terrorismin estämistä koskevan sääntelyn noudattamisesta. Kustannukset voivat osaltaan vaikuttaa luotto- ja maksulaitosten tarjoamien tuotteiden hintoihin. Ehdotuksella viranomaisten laajemmasta pääsystä pankki- ja maksutilien valvontajärjestelmään ja koostavasta sovelluksesta voidaan arvioida olevan vaikutuksia kuluttajiin siltä osin, kuin se vähentäisi luottolaitosten tilitietojen toimittamiseen liittyviä kustannuksia ja hallinnollista taakkaa, millä voi taas olla vaikutusta erilaisten luottolaitosten tarjoamien palveluiden ja tuotteiden kuluttajahintoihin. Hallinnollisen taakan vähenemiseen vaikuttaisi kuitenkin negatiivisesti se, että pankki- ja maksutilien valvontajärjestelmän kautta välitettävät tiedot ovat suppeita, eikä järjestelmän tai ehdotetun koostavan sovelluksen kautta voisi toimittaa tilitapahtumia koskevia tietoja.

Esityksen ehdotus viranomaisten laajemmasta päästystä pankki- ja maksutilien valvonta-järjestelmään sekä koostavaa sovellusta koskeva ehdotus auttaisivat keskittämään ja kohdentamaan pankkileihin tehtäviä kyselyitä ja vähentäisivät viranomaisten tarvetta tehdä tilitapahtumia koskevia kyselyitä niihin luotto- tai maksulaitoksiin, joissa asiakkuutta ei ole, mikä parantaisi henkilötietojen suojaa ja vähentäisi niiden turhaa käsittelyä. Viranomaisen tietopyynnöllä voi olla vaikutuksia sen kohteena olevan asiakassuhteen arviointiin tietopyynnön vastaanottaneessa luottolaitoksessa.

5 Muut toteuttamisvaihtoehdot
5.1 Vaihtoehdot ja niiden vaikutukset

Rahoitustietodirektiivin täytäntöönpano edellyttää, että kansallista pankki- ja maksutilien valvontajärjestelmää koskevaa lainsäädäntöä sekä rahanpesun selvittelykeskuksesta annettua lakia tulee muuttaa.

Rahoitustietodirektiivin kansallisessa täytäntöönpanossa olisi mahdollista toteuttaa vain direktiivin edellyttämät lainsäädäntömuutokset. Pääpiirteissään tämä tarkoittaisi sitä, että direktiivin täytäntöönpanemiseksi olisi kansallisesti määriteltävä ja nimettävä ne viranomaiset, joilla olisi valtuudet päästä pankki- ja maksutilien valvontajärjestelmään ja jotka voisivat pyytää rahanpesun selvittelykeskuksilta tietoja vakavien rikosten ennalta estämiseksi, paljastamiseksi, tutkimiseksi ja niihin liittyviä syytetoimia varten. Direktiivin mukaan vähintään tulee nimetä varallisuuden takaisin hankinnasta vastaava toimisto, eli jos rahoitustietodirektiivin 3 artiklan 1 kohta haluttaisiin panna täytäntöön minimissään, tarkoittaisi se sitä, että edellä mainitun velvoitteen täyttämiseksi nimettäisiin ainoastaan keskusrikospoliisin varallisuuden takaisin hankinnasta vastaava yksikkö.

Lisäksi direktiivi edellyttää, että tulee nimetä niiden viranomaistensa joukosta, joilla on toimivalta rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa, toimivaltaiset viranomaiset, jotka voivat pyytää ja saada rahoitustietoja ja -analyyseja rahanpesun selvittelykeskuksilta. Direktiivi jättää jäsenvaltioiden harkintaan, mitä nämä viranomaiset ovat. Esitystä valmisteltaessa on tarkoituksenmukaiseksi katsottu nimetä ne viranomaiset, joilla on toimivalta Europol-asetuksen liitteen I mukaisten rikosten estämisessä, paljastamisessa ja tutkimisessa ja niihin liittyvissä syytetoimissa.

Direktiivissä vakavien rikosten osalta viitataan Europol-asetuksen liitteeseen I. Lisäksi rahanpesun selvittelykeskusta koskevaan lakiin tulisi lisätä viittaukset Europol-asetuksen liitteen mukaisiin vakaviin rikoksiin, jotta rahanpesun selvittelykeskuksella olisi toimivalta tehdä yhteistyötä toimivaltaisten viranomaisten kanssa. edellä mainittujen rikosten estämiseksi, paljastamiseksi ja selvittämiseksi ja luovuttaa tähän tarkoitukseen tietoja. On huomattava, että Europol-asetuksen liite ei sisällä useita rikostyyppejä, joiden osalta poliisilla ja muilla viranomaisilla on toimivaltaa voimassaolevan lainsäädännön nojalla saada pankki- ja maksutilejä koskevia tietoja. Rajaus täytäntöönpanossa Europol-asetuksen liitteessä mainittuihin rikoksiin tarkoittaisi sitä, että pääsy rahoitustietodirektiivin mukaan pankki- ja maksutilien valvontajärjestelmään tulisi rajata näihin rikoksiin. Europol-asetuksen liitteen rikokset eivät sisällä myöskään esimerkiksi kansalliseen turvallisuuteen liittyviä rikoksia, jotka ovat kansallisesti tarkasteltuna vakavia rikoksia.

Voimassaolevan lainsäädännön mukaan rikosten ennalta estäminen, paljastaminen, tutkiminen ja niihin liittyvät syytetoimet kuuluvat Suomessa poliisin, Tullin, Rajavartiolaitoksen ja syyttäjien sekä tietyissä tapauksissa Puolustusvoimien ja Rikosseuraamuslaitoksen toimivaltaan. Rahanpesun selvittelykeskuksen tehtäviin kuuluu rahanpesun ja terrorismin rahoittamisen estäminen, paljastaminen ja selvittäminen sekä tutkintaan saattaminen Rajaaminen pääsyyn Europol-asetuksen liitteessä I tarkoitettuihin rikoksiin liittyviin tehtäviin jättäisi näistä viranomaisista jäljelle käytännössä poliisin, rahanpesun selvittelykeskuksen, Tullin ja Rajavartiolaitoksen.

Poliisin pankkitilitiedusteluja koskeva tiedonhakujärjestelmä kattaa kaikki poliisiin toimivaltaan ja poliisilain mukaisen tiedonsaantioikeuden piiriin kuuluvat rikokset. Rahoitustietodirektiivin mukainen käyttöoikeus tarkoittaisi tilirekisterin ja tiedonhakujärjestelmän osalta käyttöoikeuden rajaamista Europol-asetuksen liitteen I mukaisiin rikoksiin.

Poliisille ei olisi tarkoituksenmukaista rakentaa kokonaan uutta järjestelmää rahoitustietodirektiivin mukaisen pankki- ja maksutilirekisterin ja pankki- ja maksutilien tiedonhakujärjestelmän käyttämiseksi, vaan nämä toiminnot rakennettaisiin osaksi poliisin yllä mainittua lähes valmista järjestelmää. Siihen olisi tehtävä teknisiä lisäyksiä ja muutoksia, joilla poliisin käyttöoikeutta pankki- ja maksutilirekisterin ja pankki- ja maksutilien tiedonhakujärjestelmän tuottamiin tietoihin rajattaisiin lain edellyttämällä tavalla tiettyihin rikoksiin. Näiden kustannusten suuruus olisi arvioilta noin 80 000 euroa.

Jos direktiivin täytäntöönpanossa tehtäisiin vain direktiivin edellyttämät välttämättömät muutokset, jäisivät pankki- ja maksutilien valvontajärjestelmän käyttöön oikeutetut viranomaiset ja järjestelmän käyttöaste edelleen hyvin suppeaksi. Tämä ei olisi kustannustehokasta eikä tarkoituksenmukaista eikä täyttäisi direktiivin tavoittelemia hyötyjä.

Pankki- ja maksutilien valvontajärjestelmän käyttöä on seurattava, jotta rahoitustietodirektiivin vaikutuksista voidaan raportoida asianmukaisesti. Mikäli direktiivi implementoitaisiin vain minimivaatimusten mukaisesti, käytön seuranta edellyttäisi poliisin sähköiseen pankkitiedustelujärjestelmään uusia raportointiominaisuuksia, jotta poliisin rahoitustietodirektiivin mukainen käyttö voidaan erottaa muusta kaikkia rikoslajeja koskevasta poliisin tiedonhakujärjestelmän käytöstä. Tällaisia ominaisuuksia ei ole toteutettu ennen nyt käsillä olevia lakimuutoksia ja käyttöalan laajennuksia. Seuranta- ja raportointityökalun rakentamisesta aiheutuvat kustannukset olisivat noin 20 000 euroa.

Esityksessä ehdotetaan, että rakennettaisiin koostava sovellus, jonka välityksellä pankki- ja maksutilien valvontajärjestelmässä olevat tiedot voitaisiin toimittaa toimivaltaisille viranomaisille. Tältä osin ehdotus liittyy viidennen rahanpesudirektiivin täytäntöönpanon täydentämiseen ja ennakoi myös kuudennen rahanpesudirektiivin sisältämää ehdotusta liittyen pankki- ja maksutilirekisterien yhteenliittämiseen. Mikäli jäsenvaltioiden pankki- ja maksutilirekisterien yhteenliittämistä koskeva komission säädösehdotus tulee voimaan, ei nykyinen hajautettu pankki- ja maksutilien valvontajärjestelmä, jossa jokaiseen tiedonhakujärjestelmään ja tilirekisteriin tulee erikseen rakentaa oma rajapinta, mahdollista toisten jäsenvaltioiden toimivaltaisten viranomaisten suoraa ja välitöntä pääsyä pankki- ja maksutilien valvontajärjestelmän tietoihin toimivalla ja kustannustehokkaalla tavalla. Kuudennen rahanpesudirektiivin kansallisen täytäntöönpanon osalta on odotettavissa, että tulisi joka tapauksessa rakentaa nykyistä hajautettua järjestelmää keskitetympi ratkaisu, jonka kautta voitaisiin vastata muiden jäsenvaltioiden toimivaltaisten viranomaisten tekemiin tietopyyntöihin välittömästi ja suoraan.

Kansallinen liikkumavara ja sen käyttö

Kokoavasti rahoitustietodirektiivin ja rahanpesudirektiivin mahdollistaman liikkumavaran osalta voidaan todeta, että esityksessä on käytetty liikkumavaraa ensinnäkin sen osalta, kun esitetään pääsyä pankki- ja maksutilien valvontajärjestelmään muille viranomaisille kuin rahanpesun selvittelykeskukselle ja kansallisesti toimivaltaisille viranomaisille rahanpesudirektiivin mukaisten velvoitteiden täyttämiseksi ja varallisuuden takaisin hankinnasta vastaavalle toimistolle rahoitustietodirektiivin edellyttämiin käyttötarkoituksiin. Lisäksi liikkumavaraa on käytetty, kun esitetään kansallisista tarpeista johtuen pääsyä pankki- ja maksutilien valvontajärjestelmään muille viranomaisille ja muihin käyttötarkoituksiin, kuin rahanpesudirektiivi ja rahoitustietodirektiivi edellyttävät.

5.2 Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

Muille EU:n jäsenvaltioille tehtiin huhtikuussa 2020 epävirallinen kysely jäsenvaltioiden suunnittelemista tai toteuttamista keinoista rahoitustietodirektiivin täytäntöönpanemiseksi. Kyselyn perusteella kyselyyn vastanneissa 14 jäsenvaltiossa rahoitustietodirektiivin täytäntöönpanoa ei ollut vielä aloitettu. Useissa jäsenvaltioissa viidennen rahanpesudirektiivin täytäntöönpano, mukaan lukien keskitetyn pankki- ja maksutilirekisterin tai tiedonhakujärjestelmän perustaminen, oli tuolloin edelleen kesken.

Rahoitustietodirektiiviehdotusta koskevassa komission vaikutustenarvioinnissa 30.4.2018 SWD (2018) 114 final todettiin, että 16 jäsenvaltiota oli rakentanut pankkitilirekisterin tai tietojenhakujärjestelmän. Osa jäsenvaltioista oli antanut suoran tai epäsuoran pääsyn rekisteriin tai tiedonhakujärjestelmään osalle lainvalvontaviranomaisista ja osa jäsenvaltioista varojen takaisinsaannista vastaaville toimistoille. Vaikutustenarvioinnissa kiinnitettiin huomiota siihen, että lainvalvontaviranomaisille ei ole annettu pääsyä näihin järjestelmiin ja ne joutuvat tekemään edelleen pankki- ja maksutilejä koskevia, kohdentamattomia tiedusteluita useisiin pankkeihin. Tämä voi johtaa siihen, että pankki arvioi uudelleen koko asiakassuhteen asiakkaan kanssa, jota tiedustelu koskee ja siirtää tämän eri riskikategoriaan tai voi myös olla aloittamatta asiakassuhdetta, jos asiakasta koskien on tehty tällainen pyyntö. Vaikutustenarvioinnissa todetaan sivulla 12, että kohdennetuissa sidosryhmien konsultaatioissa Euroopan tietosuojavaltuutettu on pitänyt pankkitilejä koskevia kohdentamattomia tiedusteluita selkeästi ongelmallisena tietosuojanäkökulmasta.

Saksassa on ollut käytössä Saksan finanssivalvojan (BaFin) hallinnoima keskitetty tiedonhakujärjestelmä vuodesta 2003. Tiedonhakujärjestelmän kautta saadaan haettua pankki- ja maksutilinumero, arvo-osuustilinumero, tilin avaus- ja sulkemispäivät, tilinhaltijan nimi ja syntymäaika, tilin käyttöön oikeutetun oikeushenkilön nimi tai tosiasiallisen edunsaajan nimi ja osoite. Pankki- ja maksutilien tietojen lisäksi järjestelmä sisältää talletustilejä ja arvo-osuustilejä koskevia tietoja. Useilla viranomaisilla on oikeus saada tietoa järjestelmästä, mukaan lukien finanssialan valvoja, Liittovaltion veroviranomainen (BZSt), lainvalvontaviranomaiset ja rahanpesun selvittelykeskus. Ainoastaan finanssivalvonnalla ja veroviranomaisella on suora pääsy järjestelmään ja muiden viranomaisten tulee pyytää niiltä tietoa. Lainvalvontaviranomaiset toimittavat kyselynsä finanssivalvonnalle, joka toimittaa kiireisiin kyselyihin tiedon usein saman päivän aikana.

Kreikassa on pankki- ja maksutilejä koskeva rekisteri, johon on epäsuora pääsy rahanpesun selvittelykeskuksella, varojen takaisinsaannista vastaavalla toimistolla, talousrikostutkintaa tekevillä poliiseilla ja syyttäjillä. Edellä mainitut viranomaiset lähettävät kyselyt riippumattoman veroviranomaisen kautta, kaikkiin kyselyihin vastataan 48 tunnin kuluessa.

Ranskan pankkitilirekisteriin on laaja pääsy eri viranomaisilla, kuten lainvalvontaviranomasilla ja rahanpesun selvittelykeskuksella.

Belgiassa on keskitetty pankki- ja maksutilirekisteri, jonka tiedot päivittyvät vuosittain. Belgian pankki- ja maksutilirekisteri sisältää belgialaisten ja ulkomaisten yksityishenkilöiden, yritysten ja yhdistysten IBAN-muotoisten tilien tilinumerot ja niiden haltijat sekä jotkin lainsäädännössä määritellyt rahoitussopimukset, esimerkiksi osan lainasopimuksista, leasing-sopimukset, sijoitussopimukset ja rahansiirrot. Vuonna 2018 päivitettyyn rekisteriin merkitään myös henkilöiden tiedot, joilla on valtakirjalla myönnetty käyttöoikeus tiliin. Tiedot rekisteriin kerätään kerran vuodessa Belgiassa sijaitsevilta luottolaitoksilta, valuutanvaihtotoimistoilta ja joiltakin muilta ammattimaisilta luotonantajilta Alankomaiden keskuspankin toimesta. Rekisteri sisältää myös tiedot alle vuoden pituisista tilisopimuksista. Vuodesta 2014 alkaen Belgiassa asuvien yksityishenkilöiden on pitänyt ilmoittaa rekisteriin myös ulkomailla sijaitsevien pankki- ja maksutiliensä numerot.

6 Lausuntopalaute

Esitysluonnos lähetettiin lausuntokierrokselle 11.2.2021‒26.3.2021 ja Ahvenanmaan maakuntahallitukselle 24.2.2021‒8.4.2021. Lausunnon antoivat Ahvenanmaan maakuntahallitus, Etelä-Suomen aluehallintovirasto, Finanssiala ry, keskusrikospoliisi, oikeuskanslerinvirasto, oikeusministeriö, suojelupoliisi, tietosuojavaltuutetun toimisto, Tulli, ulosottolaitos, valtiovarainministeriö ja verohallinto. Puolustusministeriö totesi, että sillä ei ollut esityksestä lausuttavaa.

Ahvenanmaan maakuntahallitus toteaa lausunnossaan, että poliisiviranomaisella viitataan esityksen perusteluissa Poliisihallituksen alaisiin yksiköihin ja suojelupoliisiin. Ahvenanmaan maakuntahallitus katsoo, että sääntely tulisi muotoilla niin, että myös Ahvenanmaan poliisilla on pääsy pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin. Ahvenanmaan poliisi ei kuulu sisäministeriön alaisuuteen, vaan Ahvenanmaan maakuntahallituksen alaisuuteen.

Maakuntalaissa (2021:12) säädetään poliisilain soveltamisesta Ahvenanmaalla. Lain mukaan poliisilaissa olevia säännöksiä, joiden nojalla valtakunnan poliisilla on oikeus saada pankkitilitietoja, sovelletaan myös Ahvenanmaan poliisiin tietyin laissa mainituin poikkeuksin. Poliisilain säännöksiä, jotka koskevat toimivaltuutta saada pankkitilitietoja, sovelletaan myös Ahvenanmaan poliisiin. Ehdotuksen jatkovalmistelussa on pääsyä pankki- ja maksutilien valvontajärjestelmää koskevan säännösehdotuksen perustelujen osalta selvennetty niin, että on selvää, että pääsy koskee myös Ahvenanmaan poliisia.

Finanssiala ry toteaa lausunnossaan muun muassa, että kannattaa viranomaisten toimivaltuuksiensa puitteissa tekemien pankkikyselyjen sähköistämistä ja automatisoimista siinä laajuudessa kuin se asiakkaan, pankin ja mahdollisten kolmansien osapuolien oikeudet ja niiden suojaaminen huomioon ottaen on mahdollista. Viranomaisten ja pankkien kahdenvälisiin ratkaisuihin liittyvien hallinnollisten ja taloudellisten kustannusten alentamiseksi Lausunnonantaja pitää myös järkevänä, että mahdollisuudet pankki- ja maksutilien valvontajärjestelmän nykyistä laajempaan hyödyntämiseen tai muuhun keskitettyyn ratkaisuun selvitetään.

Finanssiala pitää välttämättömänä, että valittavat tekniset ja hallinnolliset ratkaisut kaikilta osin ottavat huomioon pankkien tietosuojaa ja pankkisalaisuutta koskevat säädösvelvoitteet. Jos ratkaisu toteutetaan keskitettynä, esimerkiksi pankki- ja maksutilien valvontajärjestelmän pohjalta, on myös varmistettava, että se korvaa olemassa ja suunnitteilla olevat viranomaisten ja pankkien kahdenväliset tiedonhakuratkaisut.

Mikäli esitysluonnoksessa esitetty koostava sovellus päätetään toteuttaa, Finanssialapitää välttämättömänä, että sääntelyä samassa yhteydessä tarkennetaan niin, että rekisterinpitäjää koskeva kysymys saadaan selkeästi ratkaistua myös pankki- ja maksutilien tiedonhakujärjestelmän osalta.

Finanssiala katsoo, että luottolaitoksen tulee kaikissa oloissa pystyä todentamaan, kuka tietoja on kysynyt, mihin tarkoitukseen, millä perusteella ja mikä on kysyjän asema, jotta pystytään varmistumaan siitä, että kysyjällä on oikeus saada tietoja. Luottolaitoksen tulee myös pystyä jälkikäteen osoittamaan, että se on tarkistanut ja varmistunut ennen tietojen luovuttamista, että niitä pyytäneellä taholla on lakiin perustuva oikeus ja tarve saada henkilötietoja.

Esityksen jatkovalmistelussa on todettu, että koostavan sovelluksen osalta ehdotetaan säädettäväksi, että Tulli toimii rekisterinpitäjänä. Luottolaitokset luovuttavat pankki- ja maksutilien tiedonhakujärjestelmään tiedot omista järjestelmistään ja toimisivat kuitenkin edelleen tältä osin rekisterinpitäjinä.

Finanssiala kiinnittää huomiota siihen, että luonnoksen lähtökohtana näyttää olevan se, että PMJ-lain 3 §:ssä esitettyyn pankki- ja maksutilien valvontajärjestelmän käyttäjiä ja käyttötarkoituksia koskevaan kansalliseen laajennukseen perustuva käyttöoikeus antaisi asianomaiselle viranomaiselle automaattisesti pääsyn kaikkeen tiettyä asiakasta, tiliä tai tallelokeroa tai vastaavaa koskeviin valvontajärjestelmän tietoihin. Lausunnonantaja pitää kuitenkin selvänä, että kunkin viranomaisen oikeus saada tai käsitellä valvontajärjestelmän tietoja rajoittuu vain niihin tietoihin, joiden käsittelyyn sillä on oikeus ja lakiin perustuva todellinen käyttötarve ja katsoo, että luottolaitoksilla ei ole edellytyksiä tehdä tällaisia rajauksia viranomaisten tietopyyntöihin vastatessaan, vaan ne on toteutettava Tullin koostavan sovelluksen ja luottolaitosten tiedonhakujärjestelmän teknisten määrittelyjen kautta. Vastuu kyselyjen asianmukaisuudesta ja valvonnasta tulee olla viranomaisilla, ei luottolaitoksilla.

Esityksen jatkovalmistelussa pankki- ja maksutilien tiedonhakujärjestelmän kautta välitettäviä tietoja koskevaa sääntelyä on selkeytetty, samoin viranomaisten tiedonsaantioikeuksia.

Finanssiala huomioi, että rahoitustietodirektiivin 6 artiklassa säädetään toimivaltaisten viranomaisten tietoihin pääsystä ja niitä koskevien hakujen valvonnasta. Artikla edellyttää, että pankki- ja maksutilirekistereistä vastaavien tietosuojavastaavien on tarkistettava lokikirjat säännöllisesti ja lokikirjat on pyynnöstä asetettava poliisidirektiivin 41 artiklan mukaisesti perustetun toimivaltaisen valvontaviranomaisen saataville. Finanssiala kummeksuu sitä, etteivät mainitut velvoitteet sisälly pankki- ja maksutilien valvontajärjestelmästä annetun lain 10 §:ään esitettyihin muutoksiin.

Esityksen jatkovalmistelussa on todettu, että tietosuojavaltuutetulla on oikeus saada pankki- ja maksutilien valvontajärjestelmästä annetun lain 10 §:ssä tarkoitetut lokirekisteritiedot jo voimassaolevan sääntelyn nojalla. Myös tietosuojavastaavan tehtävistä on säädetty tietosuoja-asetuksessa ja laissa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä, mutta direktiivin täytäntöönpanemiseksi lokikirjojen tarkistamisesta säännöllisin väliajoin on otettu esitykseen ehdotus.

Finanssiala toteaa pitävänsä uuden 7a §:n 4 momentin mukaista ehdotusta rekisteröidyn oikeuksien rajoittamiseen liittyen liian pitkälle menevänä ja esittää sen poistamista. Esityksen jatkovalmistelussa rekisteröidyn oikeuksien rajoittamista koskevaa esitystä on muutettu rahoitustietodirektiivin mahdollistamalla tavalla lausuntokierroksella ollutta ehdotusta laajemmaksi.

Finassiala pitää tarpeellisena ja johdonmukaisena, että myös valvontajärjestelmän käyttäjien ja käyttötarkoitusten piiriä koskevat kansalliset laajennukset siirrettäisiin käsiteltäviksi tilitapahtumatietojen lisäämistä koskevassa erillisessä hankkeessa ja nyt lausuntokierroksella oleva HE-luonnos rajattaisiin koskemaan vain muutoksia, jotka ovat välttämättömiä rahoitustietodirektiivin toimeenpanemiseksi 1.8.2021 mennessä, lisäksi Finanssiala myös esittää, että asian jatkokäsittelyä varten perustettaisiin erillinen laajapohjainen työryhmä.

Keskusrikospoliisihuomioi lausunnossaan, että sen käsityksen mukaan unionin taloudellisia etuja vahingoittavat rikokset voivat olla verorikoksia Suomessa. Lisäksi keskusrikospoliisi esittää huomioita pankki- ja maksutilien valvontajärjestelmästä kokonaisuutena. Keskusrikospoliisilla on lisäksi joitakin esitystä selkeyttäviä huomioita, jotka on esityksen jatkovalmistelussa otettu huomioon. Keskusrikospoliisi pitää tärkeänä, että tilitapahtumatietojen tuominen järjestelmän piiriin otetaan nopealla aikataululla valmisteltavaksi, sillä nykyinen järjestelmä aiheuttaa epätietoisuutta ja päällekkäisiä kustannuksia sekä viranomaisissa että finanssialan toimijoissa.

Oikeuskanslerinviraston lausunnossa kiinnitetään huomiota siihen, että hallituksen esityksellä on useita tarkoitusperiä ja todetaan, että hallituksen esityksen tarkoitusperien moninaisuus edellyttää paitsi riittävää seikkaperäisyyttä yksittäisten direktiivien jättämän kansallisen liikkumavaran tunnistamisessa ja esittämisessä, mutta myös tehtyjen ehdotusten suhteuttamista siihen laajempaan normien ja toimintojen muodostamaan kokonaisjärjestelyyn, jolla pyritään estämään rahoitusjärjestelmän käyttöä rahanpesuun ja nyttemmin myös terrorismin rahoittamiseen. Oikeuskanslerinvirasto pitää selvänä, että esitysluonnoksessa ehdotettua rahoitustietodirektiivin velvoitteita pidemmälle menevää keskitettyjen mekanismien kansallista käyttöä on perusteltava erityisen seikkaperäisesti paitsi perustuslakivaliokunnan lausunnon PeVL 48/2018 vp ja muun perustuslakivaliokunnan käytännön myös keskeisen Euroopan unionin tuomioistuimen oikeuskäytännön valossa.

Oikeuskanslerinvirasto huomioi, että esitysluonnoksessa ei tuoda esiin, mitä siinä viitatussa poliisin sähköisen pankkitiedustelun järjestelmässä lopulta tarkoitetaan ”pankkitiedustelulla”. Esityksen jatkovalmistelussa on avattu poliisin sähköisen pankkitiedustelujärjestelmän toimintaa.

Oikeuskanslerinvirasto huomioi, että merkille pantavaa on, että sen enempää tietopyynnön ja siihen annetun vastauksen sisältöä kuin tietoa koostavassa sovelluksessa tapahtuvasta tietopyynnön tekemisestä ja siihen vastaamisesta ei esitysluonnoksessa ehdoteta miltään osin eikä missään relaatiossa salassa pidettäväksi siihen kuuluvine vaitiolovelvollisuuksineen ja hyödyntämiskieltoineen. Asiasta on ehdotuksen jatkovalmistelussa luonnosteltu säännösehdotus pankki- ja maksutilien valvontajärjestelmästä annettuun lakiin.

Oikeuskanslerinvirasto katsoo, että merkille pantavaa on, että valvontajärjestelmälakiin ehdotetun uuden 7 a §:n 2 momentti on harvinaisen väljästi muotoiltu ja katsoo, että sen rajaaminen, mitä toimijat tosiasiassa välittävät toisilleen uudessa koostavassa sovelluksessa, ei voi jäädä pelkästään teknisiä vaatimuksia koskevan Tullin määräysvallan varaan, vaan asiasta on oltava riittävät perussäännökset laissa. Esitystä on jatkovalmistelussa tältä osin tarkennettu.

Oikeuskanslerinvirasto ehdottaa rahanpesun selvittelykeskusta koskeviin säännösehdotuksiin liittyen ehdotuksen supistamista, ehdotus on otettu jatkovalmistelussa huomioon.

Oikeuskanslerinvirasto katsoo, että hallituksen esityksen säätämisjärjestysperusteluissa pitää seikkaperäisesti kuvata ja eritellen perustella, mitä kukin asiayhteyteen kuuluva direktiivi edellyttää, mitä se sallii ja mikä on sen yleinen tarkoitus sekä mitä ja miksi tehdään puhtaasti kansallisista tarpeista. Esitysluonnoksessa ehdotettua rahoitustietodirektiivin velvoitteita pidemmälle menevää keskitettyjen mekanismien kansallista käyttöä on perusteltava erityisen seikkaperäisesti paitsi perustuslakivaliokunnan lausunnon PeVL 48/2018 vp ja muun perustuslakivaliokunnan käytännön myös keskeisen Euroopan unionin tuomioistuimen oikeuskäytännön valossa. Esityksen perusteluja on jatkovalmistelussa tältä osin selvennetty.

Oikeuskanslerinvirasto katsoo, että esitysluonnoksessa ei ole myöskään vielä onnistuttu antamaan keskenään erilaisille koostavan sovelluksen käyttötarkoituksille asianmukaista painoarvoa ja punnitsemaan kutakin tarkoitusta vastakkain niin yksityiselämän ja henkilötietojen suojan kuin muidenkin informaatioon liittyvien perusoikeuksien ja niille annettavan painoarvon kanssa. Tämä on punninta, joka tulee tehdä valtiosääntöisten perusoikeuksien yleisten rajoitusperusteiden ja perusoikeuskohtaisten erityisten rajoitusperusteiden sekä niistä johtuvan perusoikeussidonnaisen intressipunninnan avulla. Esityksen perusteluja on jatkovalmistelussa täsmennetty tältä osin.

Oikeuskanslerinvirasto katsoo, että ehdotukset koostavaa sovellusta käyttävien ja tietojensaantiin oikeutettujen viranomaisten joukosta ja muutokset eduskunnan aiemmin hyväksymään sääntelyyn pitää käydä säätämisjärjestysperusteluissa läpi seikkaperäisesti. Niin ikään rahoitustietodirektiivin 3 artiklan edellyttämä toimivaltaiseksi viranomaiseksi nimeäminen ja sen mahdolliset vaikutukset tietojensaantioikeuksiin on hallituksen esityksen säätämisjärjestysperusteluissa jokaisen viranomaisen osalta erikseen perusteltava tarpeellisessa laajuudessa. Oikeuskanslerinvirasto katsoo, että asiassa on kysymys siitä, onko ehdotus koostavasta sovelluksesta ja ehdotukset sen käyttöön oikeutetuista viranomaisista ja käyttötarkoituksista hyväksyttäviä yksityiselämän ja henkilötietojen suojan ja informaatioon liittyvien perusoikeuksien kokonaisuuden kannalta. Muun kuin rahanpesulaissa säädetyn huolehtimisvelvoitteen osalta ehdotuksen tarkoittamilla viranomaisilla ilmeisesti on jo ne tiedonsaantioikeudet, joihin esitysluonnoksessa vedotaan. Vastakkain jäisivät siten lopulta yhtäältä ne yleiset tavoitteet, joita nuo tiedonsaantioikeudet sinänsä kiistatta palvelevat, ja noiden tiedonsaantioikeuksien käytössä koostavan sovelluksen avulla saavutettavissa olevat kustannussäästöt, joiden toteutumisella kuitenkin on esitysluonnoksessa julkilausumattomia reunaehtoja, ja toisaalta se, että koostavan sovelluksen käyttäminen jo sinällään tarkoittaa syvempää kajoamista suojattuihin oikeuksiin ja ilmeisesti myös sitä, että kasvavan henkilöjoukon yksityiselämän ja henkilötietojen suojaan kajottaisiin kiihtyvällä tahdilla.

Oikeuskanslerinvirasto katsoo, että sääntelytarkkuuden osalta on pohdittava, pitäisikö valvontajärjestelmälain muutettavaksi ehdotettuun 3 §:ään kuitenkin ottaa maininta siitä, että viranomaisella tulee olla muualla laissa säädetty oikeus saada ne tiedot, jotka koostavaa sovellusta käyttäen ovat saatavilla. Ehdotus on toteutettu esityksen jatkovalmistelussa.

Oikeuskanslerinvirasto toteaa, että esitysluonnoksen säätämisjärjestysperusteluissa ei ole arvioitu selvittelykeskuslakiin ehdotettuja muutoksia. Kuitenkin myös nuo muutosehdotukset laajentavat viranomaisten välistä tiedonvaihtoa, mikä edellyttää muutosehdotusten arviointia ainakin yksityiselämän ja henkilötietojen suojan kannalta. Säätämisjärjestysperusteluja on tältä osin täydennetty.

Oikeusministeriön lausunnossa todetaan. että esitysluonnoksessa on tehty asianmukaisesti ja yksityiskohtaisesti selkoa perustuslakivaliokunnan tulkintakäytännöstä, joka koskee henkilötietojen käsittelyä, mukaan lukien esitysluonnoksen 1. lakiehdotuksessa tarkoitettuun tietojärjestelmäkokonaisuuteen liittyvä henkilötietojen käsittely. Oikeusministeriö huomioi, että perustelut ovat kuitenkin eräiltä osin jopa liian yksityiskohtaiset, huomioiden esitysluonnoksen sisällön. Esityksen jatkovalmistelussa esitystä on selkeytetty tältä osin ja perusteluja tiivistetty. Oikeusministeriö katsoo, että esityksestä tulisi käydä ilmi, missä määrin direktiivit sisältävät sääntelyliikkumavaraa ja esitystä on tältä osin täydennetty.

Oikeusministeriö pitää valtiosääntöisten vaatimusten vuoksi ongelmallisena esitysluonnoksen 1. lakiehdotuksen 3 §:ssä ehdotettua muutosta, jonka mukaan siinä mainituilla toimivaltaisilla viranomaisilla olisi oikeus päästä järjestelmään tallennettuihin tietoihin, jos se on tarpeellista pykälässä mainittujen tehtävien suorittamiseksi. Voimassa oleva säännös edellyttää tietojen välttämättömyyttä. Esityksen jatkovalmistelussa ehdotus on poistettu.

Oikeusministeriö katsoo, että on syytä huomioida, että vaikka tietoja haettaessa arkaluonteisina pidettäviä tietoja ei olisi suoraan näkyvillä, tiedonhaku vaikuttaisi lakiehdotuksen valossa olevan siinä määrin automatisoitua, että arkaluonteisia tietoja olisi pyydettävissä ja luovutettavissa aiempaa nopeammin ja tehokkaammin. Jatkovalmistelussa on todettu, että pankki- ja maksutilien valvontajärjestelmä ei sisällä arkaluonteisia tietoja, koska järjestelmään ei luovuteta eikä tallenneta tilitapahtumia koskevia tietoja.

Yleisenä tietosuojaa koskevana huomiona oikeusministeriö kiinnittää huomiota siihen, että esitysluonnoksessa nostetaan esitystä puoltavana seikkana esiin kohdentamattomien tiedustelujen määrän väheneminen, ja tältä osin viitataan myös Euroopan tietosuojavaltuutetun näkemykseen. Esitysluonnoksesta jää silti epäselväksi, millä tavalla tietosuoja paranisi, sillä esityksen mukaan tieto tietojensaannin perusteesta välitettäisiin tietojen luovuttajalle (s. 58). Esitysluonnoksen perusteluista on vaikea saada käsitys siitä, millä tavalla kohdentamattomat tiedustelut vähenisivät, jos koostavaan sovellukseen tehty tietopyyntö johtaa aina tietojen hakemiseen sekä pankki- ja maksutilirekisteristä että tiedonhakujärjestelmistä, joihin välittyy siis tieto tiedustelusta ja tiedustelun perusteesta tietojen luovuttajalle siinä vaiheessa, kun tietojen kysyjällä ei vielä ole tietoa siitä, missä pankissa asiakkuuksia on. Esitystä on tältä osin tarkennettu jatkovalmistelussa.

Oikeusministeriö huomioi, että lakiehdotuksen 3 §:ssä ehdotetaan järjestelmään pääsyä usealle viranomaiselle, jonka yhteys järjestelmän käyttötarkoitukseen ei ole kovin ilmeinen. Kun lainsäädännössä ehdotetaan tuntuvaa yksityiselämän suojan kaventamista, sen tulisi olla kunkin yksittäisen viranomaisen osalta välttämätöntä. Esityksen jatkovalmistelussa perusteluja on täydennetty.

Oikeusministeriö toteaa, että ehdotettujen tiedonsaantioikeuksien osalta on syytä lisäksi ottaa huomioon, että mitä laajemmin tietoon pääsy sallitaan, sen enemmän riskejä sääntelyyn liittyy luonnollisen henkilön yksityiselämän ja henkilötietojen suojan kannalta. Lisäksi on syytä huomata, että ehdotetun 7 a §:n mukaan tietojen siirtäminen uudella sovelluksella olisi käytännössä automatisoitua. Näin ollen on kyseenalaista, missä määrin siihen voisi liittyä rekisterinpitäjän harkintaa. Oikeusministeriö kiinnittää tältä osin huomiota tietosuoja-asetuksen 31 kappaleeseen, jonka mukaan lähtökohtana on, että viranomaisten lähettämien luovutuspyyntöjen olisi aina oltava kirjallisia, perusteltuja ja satunnaisia. Jatkovalmistelun aikana olisi myös näistä syistä johtuen syytä varmistaa myös säännöstasolla, että riskejä pyritään minimoimaan rajaamalla tietoon pääsy siihen, mikä on välttämätöntä yksittäisen viranomaisen tehtävän hoitamiseksi.

Oikeusministeriö toteaa, että se ei pidä perusteltuna tarkoituksenmukaisuus- ja kustannussyistä sitä, että syyttäjillä olisi suora pääsy tietojärjestelmään. Esityksen jatkovalmistelussa syyttäjien suora pääsy pankki- ja maksutilien valvontajärjestelmään on poistettu esityksestä.

Ulosottolaitoksen osalta oikeusministeriö katsoo, että suora pääsy järjestelmään koostavan sovelluksen välityksellä olisi perusteltua, ja tukee ehdotusta lähtökohtaisesti. Ulosottolaitoksen tehtävänä on panna täytäntöön muun muassa laiminlyötyjä maksuvelvoitteita, vakuustakavarikkopäätöksiä ja väliaikaisia vakuustakavarikkopäätöksiä. Osassa ulosottoasioissa kyse on rikoksen perusteella tuomitun vahingonkorvauksen tai rahamääräisen menettämisseuraamuksen perimisestä tai tällaisen tulevan maksuvelvoitteen turvaamisesta. Lisäksi ulosottoviranomainen huolehtii varojen jäädyttämisestä terrorismin torjumiseksi annetun lain (325/2013) mukaisten varojen jäädyttämispäätösten täytäntöönpanosta. Oikeusministeriö kiinnittää huomiota siihen, että vaikka Ulosottolaitos ei ainakaan kaikkien tehtäviensä osalta ole rahoitustietodirektiivin tarkoittama toimivaltainen viranomainen, on osalla sen tehtävistä kuitenkin hyvin läheinen liityntä direktiivin soveltamisalaan.

Suorapääsyllä järjestelmään olisi viranomaisen työtä tehostavaa vaikutusta. Ulosottolaitos tekee esitysluonnoksen mukaan vuosittain noin 10 miljoonaa pankkitiedustelua. Ulosottolaitoksen osalta myös tehokkuus- ja tarkoituksenmukaisuussyyt puoltavat suoraa pääsyä järjestelmään koostavan sovelluksen välityksellä. Oikeusministeriö toteaa, että myös tämän viranomaisen osalta on silti syytä kiinnittää erityistä huomiota ehdotetun laajennuksen osalta perusteluihin. Esityksen perusteluita on täydennetty jatkovalmistelussa.

Oikeusministeriö kiinnittää sisäministeriön huomiota siihen, että koostavasta sovelluksesta huolimatta järjestelmään liittyminen edellyttäisi rajanpinnan rakentamista myös tietoa hakevan viranomaisen tietojärjestelmään. Esitysluonnoksesta puuttuvat kokonaan kustannusarviot siinä ehdotettujen yksittäisten viranomaisten osalta. Oikeusministeriö katsoo, että nämä tulee lisätä esitysluonnokseen, jotta ehdotuksen toteutettavuutta ja kustannustehokkuutta on mahdollista arvioida. Oikeusministeriö toteaa, että kasvavat tietohallintomenot aiheuttavat Ulosottolaitokselle kustannuspaineita. Kustannusarvion tarkennuttua tulisi arvioida mahdollinen lisämäärärahatarve Ulosottolaitoksen valtion talousarvion mukaiseen kehykseen. Esityksen jatkovalmistelussa kustannusvaikutuksia on selvennetty.

Konkurssiasiamiehen osalta oikeusministeriö toteaa, että esitysluonnoksessa ei ole kuvattu tarkemmin konkurssiasiamiehen tarvetta järjestelmästä saataviin tietoihin, tietojen tarpeen laajuutta eikä esitetty arviota järjestelmään liittymisen kustannuksista. Esitysluonnoksen perusteella ei voida arvioida konkurssiasiamiehen osalta ehdotuksen tietosuojalainsäädännön mukaisuutta, toteutettavuutta ja kustannustehokkuutta. Jatkovalmistelussa konkurssiasiamiestä koskeva ehdotus on poistettu esityksestä oikeusministeriön huomioiden johdosta.

Oikeusministeriön lausunnossa kiinnitetään huomiota lokitietoja koskeviin säännöksiin ja henkilökunnan tietoon pääsyn edellytyksistä toimivaltaisten viranomaisten osalta ehdotettuun säännökseen. Lausunnossa katsotaan, että jatkovalmistelun aikana olisi arvioitavat tarkemmin, miltä osin tietosuoja-asetus mahdollistaa sitä täydentävät säännökset ja miltä osin tietosuoja-asetuksen säännösten mukauttamista pidetään välttämättöminä henkilötietojen suojan kannalta, ja tarpeen mukaan huomioitava se ehdotetuissa säännöksissä ja perusteluissa. Perusteluista olisi myös syytä ilmetä, mitä tietosuoja-asetuksen säännöksiä erityissäännöksillä on tarkoitus mukauttaa. Tietoturvallisuuteen liittyviä vaatimuksia seuraa rekisterinpitäjälle suoraan 24, 25 ja 32 artiklasta. Esimerkiksi henkilökuntaa koskevasta tietoon pääsystä säädetään tietosuoja-asetuksen 32 artiklan 4 kohdassa. Sen sijaan lokitiedoista ei sisälly tietosuoja-asetukseen nimenomaisia säännöksiä.

Oikeusministeriö katsoo, että rekisterinpitäjän määrittely uuden koostavan sovelluksen osalta on sinänsä perusteltua. Oikeusministeriö on kuitenkin jo aiempien lainmuutosten valmistelun yhteydessä kiinnittänyt valtiovarainministeriön huomiota siihen, että rekisterinpitovastuut ovat voimassa olevassa laissa jokseenkin epäselvät. Valvontajärjestelmässä vaikuttaisi olevan jatkossa kyse kolmen osan muodostamasta kokonaisuudesta, jonka osalta jää epäselväksi, mistä syystä tiedonhakujärjestelmän osalta on poikettu viranomaisen rekisterinpitotehtävästä. Oikeusministeriö ehdottaa arvioitavaksi jatkovalmistelun aikana, olisiko rekisterinpitoa koskevia säännöksiä syytä selkiyttää samalla, kun lakiin ehdotetaan lisättäväksi uusi rekisterinpitotehtävä.

Uhkasakkoa koskevan 11 §:n osalta kyse on pykälään kaavaillun lainmuutoksen johdosta tehtävästä lisäyksestä. Pykälän perussisältö olisi pitkälti sama kuin jo voimassa olevassa laissakin. Oikeusministeriöllä ei ole ehdotettuun säännökseen huomautettavaa teknistä huomiota lukuunottamatta.

Oikeusministeriöllä on samansuuntaisia huomioita esityksen 2. lakiehdotukseen kuin oikeuskanslerinvirastolla ja lisäksi oikeusministeriö esittää lausunnoissaan joitakin teknisiä huomioita, jotka on otettu huomioon esityksen jatkovalmistelussa.

Poliisihallitus toteaa lausunnossaan muun muassa, että pitää välttämättömänä, että erillinen hanke tilitapahtumatietojen lisäämiseksi pankki- ja maksutilien valvontajärjestelmään käynnistettäisiin asian selvittämiseksi ja valmistelemiseksi mahdollisimman nopeasti sisäministeriön toimesta. Poliisihallitus huomioi ehdotetun koostavan sovelluksen osalta, että niin kauan kuin tämän rajapinnan kautta saadaan vain osa tiedoista (tilin omistaja/haltijat ja tallelokerotiedot), on operatiivinen hyöty poliisille minimaalinen. Poliisi tarvitsee työssään keskeisesti tilitapahtumatietoja.

Poliisihallitus katsoo, että kokonaiskuvaa mietittäessä on hyvä vielä ottaa huomioon kansainvälinen lainsäädäntö ja sen kautta tulevat mahdolliset muutokset ja tarpeet. EMPACT-työryhmä on lausunnossaan Harmonizing Bank Statement Formats 11.12.2020 todennut, että se tulee suosittamaan Suomessakin käytössä olevaa rakennetta (ISO20022) kansainväliseen pankkitiedusteluiden yhtenäistämiseen. Lisäksi odotettavissa on EU:n laajuinen PMJ-järjestelmien yhteen liittäminen, jonka kannalta paras ratkaisu olisi hakurajapintojen sijaan yksi keskitetty tilirekisteri, kuten keskusrikospoliisi on työryhmässä esittänyt. Se olisi helposti liitettävissä eurooppalaiseen järjestelmään sen sijaan, että kansainväliset kyselyt välitettäisiin edelleen suomalaisten pankkien hakurajapintoihin.

Poliisihallitus esittää lisäksi muutoksen hallituksen esityksen perusteluihin liittyen poliisin tiedonhakujärjestelmän kustannuksiin. Poliisihallitus toteaa yhtyvänsä lisäksi Keskusrikospoliisin lausunnossaan esille ottamiin seikkoihin.

Suojelupoliisi toteaa, että pankkisalaisuuden alaiset tiedot muodostavat keskeisen tietolähteen Suojelupoliisille ennalta estettäessä rikoksia ja suojattaessa kansallista turvallisuutta. Suojelupoliisi pitää toimintansa kannalta erittäin tärkeänä, että PMJ-järjestelmän käyttö mahdollistettaisiin myös kansallisen turvallisuuden suojaamiseksi. Toiminnan kannalta olisi haasteellista, mikäli PMJ-järjestelmää ei voitaisi käyttää kaikkien Suojelupoliisille laissa säädettyjen tehtävien hoitamiseen, vaan ainoastaan rajoitetusti rikosten ennalta estämiseen.

Rahoitustietodirektiivin täytäntöönpanoa valmistelleen työryhmän työskentelyn aikana kiinnitettiin huomiota siihen, että pankki- ja maksutilien valvontajärjestelmässä on tällä hetkellä saatavilla vain ns. tilin omistajuustiedot. Työryhmä tarkasteli myös mahdollisuutta lisätä tilitapahtumatiedot pankki- ja maksutilien valvontajärjestelmään. Tältä osin todettiin tarpeelliseksi siirtää asian valmistelu erilliseksi hankkeeksi, jotta asia voidaan valmistella riittävän huolellisesti siihen kytkeytyvien perustuslaillisten huomautusten johdosta.

Suojelupoliisi pitää sisäministeriön ratkaisua erottaa tilitapahtumatietojen saaminen järjestelmän kautta omaan hankkeeseensa perusteltuna, erityisesti ottaen huomioon direktiivin täytäntöönpanolle asetetut aikarajat. Suojelupoliisin näkemyksen mukaan tilitapahtumatietojen sisällyttämistä PMJ-järjestelmän kautta luovutettaviin tietoihin puoltaa kuitenkin usea tietosuojaan ja tehokkuuteen liittyvä seikka, jonka vuoksi on tärkeää, että erillinen hanke laitetaan vireille mahdollisimman pikaisesti. Asialla saattaa myös olla merkitystä esimerkiksi kehitettäessä tietojärjestelmiä nyt lausuttavana olevan esityksen johdosta. Suojelupoliisi esittää, että jatkohankkeessa selvitettäisiin myös mahdollisuutta käyttää PMJ-järjestelmää osana laajan turvallisuusselvityksen taloudellisten sidonnaisuuksien selvittämistä. Suojelupoliisi voi selvityksen kohteen antamalla luvalla hankkia tietoja luotto- ja rahoituslaitoksista turvallisuusselvityksen laatimiseksi. Mahdollisuus käyttää PMJ-järjestelmää tehostaisi turvallisuusselvitysmenettelyä lyhentämällä käsittelyaikoja ja samalla vähentäisi Suojelupoliisille ja luotto- ja rahoituslaitoksille aiheutuvaa työmäärää. Taloudellisia sidonnaisuuksia selvitetään osana laajaa turvallisuusselvitystä noin 600 asiassa vuosittain.

Tietosuojavaltuutetun toimistonlausunnossa kiinnitetään huomiota siihen, että esitys koskee viranomaisten tiedonsaantioikeuksia, jotka on annettu ennen tietosuoja-asetusta ja niiden tarkoituksena on ollut säätää poikkeuksia erityisesti pankkisalaisuuteen. Tietosuojavaltuutetun toimisto toteaa lausunnossaan, että vaikka perusteet säätää poikkeuksia salassapitosäännöksiin on useimmiten samat kuin ne, jotka voidaan esittää käyttötarkoitussidonnaisuudesta poikkeamiselle, on tietosuoja-asetuksen 23 artiklan 1 kohdasta löydettävissä monia tässä yhteydessä esitettyjä tavoitteita. Kun mainitun 23 artiklan 2 kohdassa on vaatimuksia lainsäädännölle, on ehdotuksessa syytä arvioida viranomaiskohtaisesti kulloinkin sovellettavat tavoitteet, niistä johdettavat tarpeet pankkien ja maksulaitosten asiakastiedoille ja siten arvioida sääntelyn välttämättömyyttä ja oikeasuhteisuutta demokraattisessa yhteiskunnassa. Lisäksi ehdotuksessa on syytä arvioida myös tarvetta säätää 23 artiklan 2 kohdassa esitetyistä vaatimuksista kuten d) alakohdassa tarkoitettuja suojatoimia tai g) alakohdassa tarkoitettuja rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä.

Tietosuojavaltuutetun toimisto toteaa, että ehdotuksessa esitetty jokaisen toimivaltaisen viranomaisen vastuu tietosuoja-asetuksen 35 artiklassa tarkoitetusta vaikutusten arvioinnin laatimisesta ei välttämättä kata rekisteröityjen näkökulmasta tällaisen keskitetyn kyselyjärjestelmän kokonaisvaikutuksia, jotka tulisi nimenomaan olla vaikutusarvioinnin tavoitteena. Tietosuojavaltuutetun toimisto katsoo, että ehdotuksen tietosuojavaikutusten arvioinnin tekemistä valmistelun yhteydessä on syytä harkita, vaikka se ei kokonaan poistakaan tarvetta rekisterinpitäjien tekemille vaikutustenarvioinneille. Esityksen jatkovalmistelussa on lisätty koostavan sovelluksen osalta tietosuojavaikutusten arviointi.

Tietosuojavaltuutetun toimisto katsoo, että rahoitustietodirektiivin 5 artikla näyttäisi edellyttävän sen lisäksi mitä ehdotuksen 3 a §:ssä säädetään, että kyseisellä henkilöstöllä on korkea ammatillinen taso, mihin voi katsoa kuuluvan viranomaiskohtaisesti yksityiskohtaisemmat ohjeet tavanomaisista kyselytapauksista. Kun ehdotettu 3 a § voidaan ymmärtää yksinkertaisena henkilöstön jäsenen nimeämisvaatimuksena, tietosuojavaltuutetun toimisto ehdottaa, että säännöksen sanamuodosta tai perusteluista ilmenisi kyselyiden tekemisen keskittämisen tarkoitus viranomaiskohtaisesti oikeutettujen kyselytilanteiden yksilöimiseksi ja ohjeistamiseksi. Tämä on nimenomaan kyseisten viranomaisorganisaatioiden (rekisterinpitäjien) velvollisuus alaisuudessaan toimivan henkilöstön korkean ammatillisen tason ylläpitämiseksi ja arvioitaessa yksittäiseen virkamieheen kohdistuvia virkavastuukysymyksiä jälkikäteen. Esitystä on tältä osin selvennetty jatkovalmistelussa.

Tietosuojavaltuutetun toimisto katsoo, että ehdotuksen mukaan käytönvalvonnalle ei olla asettamassa sellaisia vaatimuksia, joita voitaisiin pitää perusteltuina tietosuoja-asetuksen 23 artiklan 2 kohdan d) alakohdan mukaan varsinkin, kun tarkoituksena on myöhemmin esittää myös tilitapahtumatietojen lisäämistä pankki- ja maksutilien valvontajärjestelmään. Tietosuojavaltuutetun toimistolla on 2. lakiehdotuksen osalta samansuuntaisia huomioita kuin oikeuskanslerinvirastolla ja oikeusministeriöllä.

Tulli pohtii lausunnossaan, onko ehdotettu 3 §:n 1 kohta tarpeellinen, kun kuitenkin saman pykälän muissa kohdissa myönnetään toimivalta poliisille, Tullille, Rajavartiolaitokselle ja syyttäjille paljon kattavammin. Esityksen jatkovalmistelussa on todettu, että edellä mainittu säännösehdotus koskee rahoitustietodirektiivin 3 artiklan 1 kohdassa säädetyn toimivaltaisten viranomaisten nimeämisvelvoitteen täytäntöönpanoon.

Lokitietoja koskevaan PMJ-lain 10 §:n 1 mom. 1 kohtaan ehdotetaan lisättäväksi, että lokikirjan on sisällettävä asian viitetiedot. Tullissa on käyty keskustelua siitä, mitä nämä direktiivissäkin mainitut kansalliset viitetiedot ovat. Asian voisi ymmärtää esimerkiksi niin, että viitetiedot sisältäisivät esimerkiksi esitutkintaviranomaisen r-numeron tai muun vastaavan viraston sisäisen diaarinumeron, jonka nojalla haku pankki- ja maksutilien valvontajärjestelmään on tehty. Ilmeisesti kyseessä ei siis ole pankki- ja maksutilien valvontajärjestelmän itse luoma viitenumero. Jatkovalmistelussa perusteluja on tältä osin selvennetty.

Tiedonhakujärjestelmän valvonta parantaa järjestelmän luotettavuutta ja johtaa siihen, että tiedonantovelvollisia kohdellaan tasapuolisesti riippumatta siitä, kumpaa järjestelmää tiedonantovelvollinen käyttää.

Tulli toteaa lausunnossaan, että esityksen mukaista valvontajärjestelmään ehdotettavaa muutosta liittyen asianajajan asiakasvaratileihin ei ole ehdotettu tilirekisterin osalta. Lisäksi Tullilla on selventävä ehdotus liittyen siihen, kuinka haku voitaisiin tehdä. Asia on jatkovalmistelussa muutettu lausunnon mukaisesti.

Tulli esittää huomioita useista asioista, joiden osalta pankki- ja maksutilien valvontajärjestelmässä ei ole säädetty yhdenmukaisesti. Tulli huomioi, että tiedonhakujärjestelmän osalta ei ole säädetty velvollisuutta toimittaa tietoja asiakkuuden alkamis- ja päättymispäivästä silloin, kun tilinhaltija on luonnollinen henkilö. Oikeushenkilön ollessa tilinhaltija kyseinen velvollisuus on säädetty. Tilirekisterin osalta on nimenomaisesti säädetty omassa kohdassaan, että myös asiakkuuden alkamis- ja päättymispäivä tulee ilmoittaa. Lisäksi tiedonhakujärjestelmän osalta myöskään tilin käyttöoikeudenhaltijasta tai tosiasiallisesta edunsaajasta ei tule voimassa olevan lain mukaan ilmoittaa asiakkuuden alkamis- ja päättymispäivää. Tilirekisterin osalta ei ole säädetty tilin avaamis- ja sulkemispäivää koskevin tietojen tallentamisesta. Tiedonhakujärjestelmän osalta ei ole säädetty velvollisuudesta oikaista tietoja ilman aiheetonta viivytystä. Tilitietojen toimittamisesta tilanteissa, joissa tili on ehditty jo lakkauttaa, ei ole säädetty. Jatkovalmistelussa lain sisäisen systematiikan varmistamiseksi on muotoiltu edellä mainituista seikoista säännösehdotukset.

Ulosottolaitoskatsoo lausunnossaan, että esityksessä tulisi selventää tarkemmin koostavan sovelluksen toimintamekanismia, sillä esityksestä ei käy selkeästi ilmi, että koostava sovellus tekisi tiedonhakujärjestelmän kyselyt vain niihin luottolaitoksiin, joista asiakkuus on tilirekisterin kautta löytynyt. Tällä on merkitystä, sillä lain mukaan tiedonhakujärjestelmän tiedusteluissa luottolaitoksille tulee ilmoittaa yksilöity säännös, jonka perusteella tiedustelu tehdään. Esityksen jatkovalmistelussa on todettu, että osa valvontajärjestelmän tiedoista on tilirekisterissä ja osa tiedonhakujärjestelmissä, eikä pelkästään tilirekisteristä tehtävällä haulla ole mahdollista selvittää tiedonhakujärjestelmässä olevia tietoja.

Valtiovarainministeriö katsoo lausunnossaan, että esityksen osalta tulisi selventää sitä, mikä sääntely liittyy direktiivin täytäntöönpanoon ja mikä on kansallisista tarpeista ehdotettavaa sääntelyä. Valtiovarainministeriö huomioi, että esityksessä jää mainitsematta, miksi kansallista direktiivin alaan liittymätöntä sääntelyä ehdotetaan. Valtiovarainministeriö ehdottaa, että erikseen erotetaan EU oikeudenalaan liittyvä asian tausta ja valmistelu ja kansallisen lain valmistelun tausta ja valmistelu väärinymmärryksen välttämiseksi. Esitystä on jatkovalmistelussa selvennetty.

Hallituksen esityksen luonnoksen sivulla 7 on todettu, että verorikokset eivät kuulu Europol-asetuksen liitteessä lueteltuihin rikoksiin, mutta jos veroviranomaiset ja korruption torjunnasta vastaavat viranomaiset ovat kansallisen lainsäädännön mukaisesti toimivaltaisia rikosten ennalta estämisessä, paljastamisessa tai niihin liittyvissä syytetoimissa, heitä olisi myös pidettävä viranomaisina, jotka voidaan nimetä tämän direktiivin tarkoituksia varten, direktiivin johdantokappaleen 11 mukaan. Jäsenvaltioille jätetään harkintavaltaa veroviranomaisten ja korruption torjunnasta vastaavien viranomaisten nimeämisen osalta direktiivin mukaisiksi toimivaltaisiksi viranomaisiksi. Edelleen esitysluonnoksessa on todettu, että Suomessa Verohallinnolle ei ole säädetty toimivaltaa rikosten ennalta estämisen osalta. Valtiovarainministeriö ehdottaa tässä yhteydessä nostettavan esille, että Suomessa Tullin toimivaltaan kuuluvat tulliverotusta koskevien säännösten noudattamisen valvonta ja täytäntöönpano ja että näiden osalta myös verorikokset kuuluvat Tullin toimivaltaan ja siten ovat direktiivin tarkoittamalla tavalla toimivaltaisia viranomaisia tulliverorikosten ennalta estämissä ja paljastamisessa. Lisäksi Tulli on toimivaltainen estämään, paljastamaan ja tutkimaan sellaisia valmisteverorikoksia ja maahantuonnissa epäiltyjä arvonlisäverorikoksia, joissa verot kantaa Verohallinto. Esityksen perusteluja on jatkovalmistelussa tältä osin muutettu.

Valtiovarainministeriö toteaa, että rahoitustietodirektiivin 2 artiklan määritelmien mukaan keskitetyllä pankkitilirekisterillä tarkoitetaan keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tiedonhakujärjestelmiä, jotka on otettu käyttöön rahanpesudirektiivin 32 a artiklan 1 kohdan mukaisesti. Valtiovarainministeriö toteaa, että esityksessä Tullin ylläpitämää koostavaa sovellusta tulisi käsitellä direktiivin 2 artiklan määritelmän mukaisena keskitetyn pankkirekisterin osana ja osana rahoitustietodirektiivin täytäntöönpanoa. Tullin ylläpitämän koostavan sovelluksen tarkoituksena ei ole siten viranomaisjoukon laajennuksen täytäntöönpano, vaan rahoitustietodirektiivin täytäntöönpano, joka käy siis yksiselitteisesti ilmi rahoitustietodirektiivin 2 artiklan keskitettyä pankkirekisteriä koskevasta määritelmästä. Esityksen perusteluja on tältä osin selvennetty.

Rahoitustietodirektiivin 3 artiklan 1 kohdan mukaan jokaisen jäsenvaltion on nimettävä niiden viranomaistensa joukosta, joilla on toimivalta rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa, ne, joilla on valtuudet päästä jäsenvaltioiden perustamiin kansallisiin keskitettyihin pankkitilirekistereihin ja tehdä niissä hakuja. Valtiovarainministeriön näkemyksen mukaan esitysluonnoksessa olisi kauttaaltaan pyrittävä täsmällisemmin ja tarkkarajaisemmin erittelemään, milloin viranomainen on nimetty rahoitustietodirektiivin 3 artiklan nojalla ja milloin viidennen rahanpesudirektiivin nojalla ja milloin toimivaltaiset viranomaiset nimetään nyt ehdotettavan lakiesityksen nojalla. Osalle näistä rahoitustietodirektiivin 3 artiklan nojalla nimettäville toimivaltaisille viranomaisille on jo aiemmin säädetty tai ehdotetaan tällä esityksellä säädettäväksi muihinkin kyseessä olevien viranomaisten tehtäviin liittyvät valtuudet päästä kansallisiin keskitettyihin pankkitilirekistereihin ja tehdä niissä hakuja. Asiaa on jatkovalmistelussa selvennetty.

Valtiovarainministeriö kiinnittää huomiota myös rahoitustietodirektiivin 3 artiklan 2 kohdassa säädettyyn, jonka mukaan toimivaltaisilla viranomaisilla ei ole tämän direktiivin nojalla pääsyä niihin lisätietoihin, joita jäsenvaltiot voivat pitää tärkeinä ja viedä keskitettyihin pankkitilirekistereihin rahanpesudirektiivin 32 a artiklan 4 kohdan nojalla, jonka mukaan jäsenvaltiot voivat harkita edellyttävänsä, että muiden tietojen, jotka katsotaan olennaisiksi, jotta rahanpesun selvittelykeskukset ja toimivaltaiset viranomaiset voivat täyttää tämän direktiivin mukaiset velvoitteensa, on oltava saatavilla keskitettyjen mekanismien kautta siten, että niihin voidaan tehdä hakuja. Viranomaisille säädetyt valtuudet päästä jäsenvaltioiden perustamiin kansallisiin keskitettyihin pankkitilirekistereihin ja tehdä niissä hakuja johdetaan eri perusteista. Siksi valtiovarainministeriön näkemyksen mukaan olisi selkeämpää, jos nämä eri perusteet ilmenisivät täsmällisemmin ja tarkkarajaisemmin toisistaan normitasolla, jotta myöhempi 32 a artiklan 4 kohdan mukaisten tietojen kohdentaminen vain tiettyihin nimenomaisiin toimivaltaisen viranomaisten tehtäviin olisi helpompaa.

Rahoitustietodirektiivin V lukuun on sijoitettu henkilötietojen käsittelyä koskevat lisäsäännökset. Tältä osin valtiovarainministeriö haluaa kiinnittää erityistä huomiota direktiivin 18 artiklaan, joka koskee rajoituksia rekisteröityjen oikeuksiin. Valtiovarainministeriö haluaa erityisesti kiinnittää huomiota mahdollisuuteen rajoittaa kokonaan rekisteröidyn oikeutta päästä käsiteltyihin heitä koskeviin henkilötietoihin. Tällainen kokonaan rekisteröidyn oikeuksia rajoittava normi tulisi säätää erityisesti silloin, kun kyse on rahoitustietodirektiivin täytäntöönpanoon liittyvistä käsittelytoimista, joita suoritetaan Tullin ylläpitämän koostavan sovelluksen avulla. Nämä rahoitustietodirektiiviin perustuvat toimivaltaisten viranomaisten henkilötiedon käsittelytoimet kuuluvat rikosasioiden tietosuojadirektiivin alaan. Käsittely on valtiovarainministeriön näkemyksen mukaan sen luontoista, että pääsy keskitettyihin pankkirekistereihin ja oikeus tehdä siellä hakuja täyttää poikkeuksetta ne kriteerit, joilla viranomaisen on mahdollista käyttää harkintaansa rajoittaa rekisteröidyn oikeuksia häntä koskeviin henkilötietoihin. Kun ennalta jo voidaan olettaa, että kriteerit oikeuksien rajoittamiseksi täyttyvät, on perusteltua, että rekisteröidyn oikeudet rajoitetaan lainsäädännön tasolla. Jos rekisteröidyn oikeuksia ei rajoiteta, kuuluu tälle oikeus saada rekisterinpitäjältä tietoja esimerkiksi siitä, onko viranomainen tehnyt hakuja häntä koskeviin tilitietoihin ja mitä tarkoitusta varten.

Valtiovarainministeriön käsityksen mukaan jättämällä käyttämättä direktiivissä säädetty mahdollisuus kansallisin lainsäädäntötoimin kokonaan rajoittaa rekisteröidyn oikeudet käsiteltyihin heitä koskeviin tietoihin, tarkoittaa käytännössä sitä, että arvio on tehtävä joka kerta erikseen viranomaisen toimesta tapauskohtaisesti. Rekisteröidyn tulee tehdä pyyntönsä rekisterinpitäjälle ja rekisterinpitäjä on velvollinen vastaamaan pyyntöön. Tulli on rekisterinpitäjä koostavan sovelluksen käsittelyn osalta, joka tarkoittaa käytännössä sitä, että rekisterinpitäjänä Tullilla tulisi olla pääsy tietoihin, joihin Tullilla ei toimivaltansa puitteissa muuten olisi, kyetäkseen vastaamaan näihin rekisteröidyn esittämiin käsittelyä koskeviin pyyntöihin. Jos rekisteröidyn oikeudet olisivat kokonaan pankki- ja maksutilien valvontajärjestelmästä annetussa laissa koostavan sovelluksen osalta rajoitetut, ei Tullilta rekisterinpitäjänä edellytettäisi ensin tapauskohtaisesti sen selvittämistä, ovatko yleisen tietosuojalain tai rikosasioiden tietosuojalain edellytykset käsillä. Jatkovalmistelussa asiaan liittyen on tehty esityksessä ehdotus.

Valtiovarainministeriö katsoo, että hallituksen esityksen luonnoksen taloudellisia vaikutuksia esitetty varsin tiiviisti. Niitä olisi kokonaisuudessaan hyvä vielä tarkentaa erityisesti kustannusten ja hyötyjen osalta. Hallituksen esityksen luonnoksen mukaan keskitetty koostava sovellus säästää rajapinnoissa kolme miljoona euroa, mutta luonnoksesta ei käy ilmi rajapintakustannusten kokonaismäärä eikä organisaatiokohtaiset kustannukset. Esitystä tulisi täydentää tältä osin. Lisäksi rahoitustietodirektiivin aiheuttamia lisäkustannuksia olisi hyvä tarkentaa erityisesti Tullin vastuiden osalta. Esityksen perusteluja on jatkovalmistelussa täydennetty.

Hallituksen esitys luonnoksen mukaan Tulli rakentaisi koostavan sovelluksen pankki- ja maksutilien valvontajärjestelmään. Alustavan arvion mukaan koostava sovellus voitaisiin toteuttaa jo Tullin tilirekisteri-hankkeelle aiemmin myönnetyllä rahoituksella. Lisäksi pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisille toimivaltaisille viranomaisille syntyisi kustannuksia siitä, kun ne rakentaisivat rajapintoja koostavaan sovellukseen. Valtiovarainministeriön näkemyksen mukaan edellä mainitut kustannukset voidaan rahoittaa viranomaisille aiemmin myönnetyillä määrärahoilla. Asia on otettu huomioon esityksen jatkovalmistelussa.

Valtiovarainministeriöllä on lisäksi yksityiskohtaisia huomioita 1. lakiehdotuksesta, jotka on pyritty ottamaan jatkovalmistelussa huomioon.

Verohallinto toteaa lausunnossaan pitävänsä tärkeänä pankki- ja maksutilien valvontajärjestelmän kehittämistä jatkossa kattamaan myös tilitapahtumia koskevat tiedot. Tilitapahtumatietojen kyselyiden keskittämisellä tehostettaisiin Verohallinnon ja muiden viranomaisten valvontatehtävää ja tällä olisi merkittävä vaikutus harmaan talouden torjunnassa sekä rahanpesun estämiseen liittyvissä tehtävissä. Keskittämisellä vähennettäisiin merkittävästi sekä viranomaisten että pankkien hallinollista taakkaa liittyen tiitietojen käsittelyyn.

Lausuntokierroksen jälkeen jatkovalmisteltu hallituksen esitysluonnos lähetettiin lainsäädännön arviointineuvostolle 18.6.2021. Lainsäädännön arviointineuvosto toteaa 16.8.2021 antamassa lausunnossaan muun muassa, että esityksen vaikutukset rahanpesun torjuntaan jäävät pääosin käsittelemättä. Arviointineuvoston lausunnon johdosta esitykseen on lisätty arviota sen vaikutuksista rahanpesun torjuntaan. Arviointineuvosto katsoo lausunnossaan, että rahanpesun ja maksupetosten nykytilan kuvaus on liian suppea. Esitykseen on lisätty lausunnon johdosta kuvausta liittyen rahanpesun ja terrorismin rahoittamisen nykytilaan. Arviointineuvosto katsoo myös, että luonnoksen perusteella ei saa riittävää käsitystä rahanpesun nykyisestä mittaluokasta. Esitykseen on tämän johdosta lisätty tietoja liittyen muun muassa epäilyttäviä liiketoimia koskeviin ilmoituksiin ja niiden käsittelyyn rahanpesun selvittelykeskuksessa sekä rahanpesua koskevista tuomioista.

Arviointineuvosto huomioi lausunnossaan, että rahanpesun torjunnan keinojen vaikutukset kansalaisille ja yrityksille jäävät monin osin epäselviksi. Esityksessä on pyritty avaamaan rahanpesun ja terrorismin rahoittamisen estämisen vaikutuksia kansalaisille ja yrityksille. Arviointineuvosto toteaa, että melko teknistä esitysluonnosta voisi konkretisoida esimerkeillä rahanpesutapauksista ja yksityisten toimijoiden ja viranomaisten yhteistyöstä. Esitykseen on lisätty kuvausta yksityisten ja viranomaisten välisestä yhteistyöstä ja konkreettisista tapauksista. Arviointineuvosto huomioi lausunnossaan, että joillekin viranomaisille annetaan pääsy pankki- ja maksutilien valvontajärjestelmään, jotta pankki- ja maksutilien valvontajärjestelmän käyttöön oikeutettujen viranomaisten joukko ja järjestelmän käyttöaste eivät jäisi liian suppeaksi. Arviointineuvosto toteaa, että esitysluonnoksessa voisi selventää, millaisia vaikutuksia tästä koituu ja lisäksi voisi kuvata, missä määrin direktiivit sisältävät sääntelyn liikkumavaraa. Esityksessä on pyritty selventämään pankki- ja maksutilien valvontajärjestelmän käytön laajentamisen vaikutuksia. Direktiivien sisältämää liikkumavaraa ja kansallisesta tarpeista ehdotettua sääntelyä on käsitelty esityksessä.

7 Säännöskohtaiset perustelut
7.1 Laki pankki- ja maksutilien valvontajärjestelmästä

2 §.Määritelmät. Lain 2 §:ään lisättäisiin Tullin koostavaa sovellusta koskeva määritelmä. Koostavalla sovelluksella tarkoitettaisiin teknistä ratkaisua, joka olisi osa kansallista viidennen rahanpesudirektiivin täytäntöönpanon alaan kuuluvaa pankkitilirekistereitä ja tiedonhakujärjestelmiä koskevaa automatisoitua mekanismia, joka mahdollistaa pankki- ja maksutilien sekä tallelokeroiden haltijoiden oikea-aikaisen tunnistamisen. Koostavan sovelluksen avulla Tulli välittäisi tietoja pankki- ja maksutilien valvontajärjestelmästä toimivaltaisille viranomaisille. Kyse olisi siten myös viidennen rahanpesudirektiivin 32 a artiklan 1 kohdan mukaisesta keskitetystä automatisoidusta mekanismista sekä rahoitustietodirektiivin 4 artiklan tarkoittamasta teknisestä ratkaisusta, jota kansallinen viranomainen ylläpitäisi toimittaakseen tilitiedot toimivaltaisille viranomaisille nopeasti automaattisen mekanismin välityksellä edellytyksin, ettei mikään välittävä laitos voi puuttua pyydettyihin tai toimitettaviin tietoihin. Koostavaa sovellusta koskevien perustelujen osalta viitataan siihen, mitä 7 a §:n perusteluissa on todettu. Lisäksi pykälän kohtaan 10 ehdotetaan teknistä muutosta, koska viitatussa luottolaitostoiminnasta annetun lain säännöksessä kyseessä ovat talletukset, eivätkä tilit.

3 §.Pankki ja maksutilien valvontajärjestelmää käyttävät viranomaiset. Voimassaolevassa pykälässä on säädetty, että rahanpesulaissa tarkoitetuilla valvontaviranomaisilla ja asianajajayhdistyksellä on oikeus käyttää pankki- ja maksutilien valvontajärjestelmää mainitussa laissa tarkoitetun valvontatehtävän suorittamiseen. Rahanpesulain mukaisia valvontaviranomaisia ovat Finanssivalvonta, Poliisihallitus rahapelien osalta, Patentti- ja rekisterihallitus ja aluehallintovirasto sekä säännöksessä erikseen mainittu Asianajajayhdistys. Rahanpesun selvittelykeskuksella on oikeus käyttää valvontajärjestelmää rahanpesun selvittelykeskuksesta annetun lain 2 §:n 1 momentin 1–4 ja 7 kohdassa tarkoitettujen tehtävien hoitamiseen ja rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 9 luvun 5 §:n mukaisilla viranomaisilla, eli Tulli, rajavartio-, vero- ja ulosottoviranomaisella sekä konkurssiasiamiehellä rahanpesulain mukaisen huolehtimisvelvoitteen toteuttamiseksi. Lisäksi edellytyksenä valvontajärjestelmän käyttämiselle on se, että se on välttämätöntä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi.

Pykälää ehdotetaan muutettavaksi niin, että laajennettaisiin käyttötarkoituksia niihin tarkoituksiin, joita varten pankki- ja maksutilien valvontajärjestelmää saa käyttää rahoitustietodirektiivin täytäntöönpanon edellyttämällä tavalla, kuin myös kansallisista tarpeista johtuen erikseen säädettäväksi ehdotettaviin käyttötarkoituksiin. Uusien käyttötarkoitusten myötä vastaavasti valvontajärjestelmän käyttämiseen oikeutettujen viranomaisten piiri laajenisi. Kyseessä olevilla viranomaisilla on jo voimassa olevan lainsäädännön nojalla pääsy pankki- ja maksutilitietoihin, tarkoitus on ainoastaan säätää tavasta, jolla tietoihin päästään keskitetyn automatisoidun valvontajärjestelmän kautta.

Voimassaolevassa pykälässä on säädetty pankki- ja maksutilien valvontajärjestelmän käyttämisen välttämättömyydestä rahanpesun ja terrorismin rahoittamisen estämiseksi, paljastamiseksi ja selvittämiseksi. Rahoitustietodirektiivin 4 artiklan mukaan nimetyillä kansallisilla toimivaltaisilla viranomaisilla tulee olla valtuudet päästä tilitietoihin ja tehdä niitä koskevia hakuja suoraan ja välittömästi aina, kun se on tarpeen heidän tehtäviensä suorittamiseksi voidakseen estää ennalta, paljastaa ja tutkia rikoksia tai niihin liittyviä syytetoimia varten tai tukea vakaviin rikoksiin liittyvää rikostutkintaa, mukaan lukien tutkintaan liittyvien varojen tunnistaminen, jäljittäminen ja jäädyttäminen. Perustuslain vakiintuneen tulkintakäytännön mukaan pykälässä säädettäisiin oikeudesta päästä järjestelmässä oleviin, lain 4 §:n mukaisesti luovutettuihin ja 6 §:n mukaisesti tallennettuihin tietoihin, jos se on välttämätöntä pykälässä lueteltujen tehtävien suorittamiseksi. Välttämättömyysedellytystä on tulkittava säännöksen sanamuodon ja perustuslakivaliokunnan vakiintuneen tulkintakäytännön mukaisesti tiukasti. Yleensäkin välttämättömyysedellytyksen tulkinnassa on välttämätön tietojen luovutus suppeasti rajattu poikkeus pääsäännöstä olla luovuttamatta tietoja. Lisäksi pykälässä säädettäisiin, että viranomaisella tulee olla muualla laissa säädetty oikeus saada pankki- ja valvontajärjestelmään luovutetut ja tallennetut tiedot.

Voimassaolevan pykälän 3 kohdassa on säädetty pääsystä järjestelmään rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 9 luvun 5 §:n mukaisilla viranomaisilla, eli Tulli-, Rajavartio-, Vero- ja ulosottoviranomaisella sekä konkurssiasiamiehellä rahanpesulain mukaisen huolehtimisvelvoitteen toteuttamiseksi. Normi on käytännössä jäänyt tehottomaksi, sillä rahanpesulain mukainen huolehtimisvelvoite ei mahdollista edellä mainittujen viranomaisten pääsyä järjestelmään ja se ehdotetaan tästä syystä poistettavaksi.

Pykälän 1kohdan mukaan oikeus päästä pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin olisi poliisilla, rahanpesun selvittelykeskuksella, Tullilla ja Rajavartiolaitoksella Europol-asetuksen liitteen I mukaisten rikosten ennalta estämiseksi, paljastamiseksi ja tutkimiseksi. Säännöksen tarkoituksena olisi täytäntöönpanna rahoitustietodirektiivin 3 artiklan 1 kohta, jonka mukaan jäsenvaltioiden on nimettävä niiden viranomaisten joukosta, joilla on toimivalta rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa, ne viranomaiset, joilla on valtuudet päästä jäsenvaltioiden perustamiin kansallisiin keskitettyihin pankkitilirekistereihin ja tehdä niissä hakuja. Käytännössä kohdassa olevat pääsyoikeudet olisivat osittain päällekkäisiä myöhempänä pykälässä säädettyjen edellä mainittujen viranomaisten pääsyoikeuksien kanssa. Ehdotettu säännös olisi tarpeellinen, koska kansallisessa lainsäädännössä ei ole samanlaista erottelua Europol-asetuksen liitteen I mukaisten rikosten osalta, joilla rahoitustietodirektiivissä tarkoitetaan vakavia rikoksia ja direktiivin mukaisen nimeämisvelvoitteen vuoksi. Edellä mainitut viranomaiset ilmoitettaisiin Suomen osalta komissiolle rahoitustietodirektiivin 3 artiklan 3 kohdan edellyttämällä tavalla 3 artiklan 1 kohdan mukaisesti nimetyiksi viranomaisiksi.

Pykälän 2 kohdan mukaan Verohallinnolla olisi oikeus saada tiedot verotusmenettelystä annetun lain sivullisen erityistä tiedonantovelvollisuutta koskevan 19 §:n kohdentamiseksi. Mainitussa säännöksessä säädetään, että jokaisen on annettava Verohallinnon kehotuksesta nimen, pankkitilin numeron, tilitapahtuman tai muun vastaavan yksilöinnin perusteella tietoja, jotka saattavat olla tarpeen muun verovelvollisen verotusta tai muutoksenhakua koskevan asian käsittelyä varten ja jotka selviävät hänen hallussaan olevista asiakirjoista tai muutoin ovat hänen tiedossaan, jollei hänellä lain mukaan ole oikeutta kieltäytyä todistamasta asiasta. Verotukseen vaikuttavia, taloudellista asemaa koskevia tietoja ei kuitenkaan saa kieltäytyä antamasta. Verohallinnolla on myös rahanpesun ja terrorismin rahoituksen estämistä koskevan lain 9 luvun 5 §:n mukainen velvollisuus ottaa toiminnassaan huomioon rahanpesun ja terrorismin rahoittamisen estäminen ja paljastaminen. Rahanpesun estämisen ja paljastamiseen osalta tulee ottaa huomioon, että vero- ja kirjanpitorikos ovat usein rahanpesun esirikoksia. Rahanpesulain mukaista huolenpitovelvoitetta ei ole täsmällisesti määritelty, mutta rahanpesun ja rahanpesun esirikoksena olevan vero- ja kirjanpitorikosten estäminen ja paljastaminen edellyttää muun muassa tilitietojen käsittelyä tietyissä Verohallinnon tehtävissä.

Pankki- ja maksutilien valvontajärjestelmän käyttö täydentäisi Verohallinnon nykyisiä oikeuksia tilitietojen käsittelyssä. Järjestelmän käyttö vähentäisi tilitietojen kyselyn hallinnollista taakkaa ja parantaisi asiakkaiden suojaa, kun kyselyt voitaisiin kohdentaa niihin pankki- ja maksulaitoksiin, joissa asiakkaalla on tili eikä kyselyä olisi tarpeen enää lähettää kaikkiin pankki- ja maksulaitoksiin.

Pykälän 3kohta koskisi Tullin oikeutta saada tietoja pankki- ja maksutilien valvontajärjestelmästä. Tullilla olisi oikeus saada tiedot Tullin, tullilain 102 §:n 2 momentissa säädetyn tiedonantovelvollisuuden kohdentamiseksi verotus- tai verovalvontatehtävää varten sekä esitutkintaan ja rikostorjunnasta Tullissa annetun lain 1 luvun 1 §:n 3 ja 4 kohdassa tarkoitettuihin tullirikosten estämis- ja paljastamistehtäviin.

Tullin suorittama verotus ja verovalvonta

Tulli kantaa EU:n ulkopuolelta eli kolmansista maista tuotavista tavaroista tullimaksut. Tullimaksuilla tarkoitetaan tulliveroa sekä muita tullin kaltaisia veroja ja maksuja (ns. EU:n perinteiset omat varat). Tulli kantaa myös maahantuonnin arvonlisäveron yksityisiltä maahantuojilta sekä myös valmisteverot esimerkiksi silloin, kun tullivelka syntyy tuontisäännösten noudattamatta jättämisestä. Tullilla on verotus- ja verovalvontatehtävissä oikeus pyytää tilitietoja suoraan pankeilta ja muilta vastaavilta luottolaitoksilta tullilain 102 §:n 2 momentin nojalla, jonka mukaan henkilön, jolla on hallussaan toisen tulliverotusta tai siitä johtuvaa muutoksenhakua koskevaa asiaa varten tarpeellisia tietoja, on annettava ne Tullille sen kehotuksesta määräajassa.

Tullin yritystarkastus tekee tarkastustoiminnassaan tilitietokyselyitä suoraan pankeille. Tilitietokyselyiden määrät vaihtelevat tarkastettavien juttujen laadun mukaan. Tilitapahtumakyselyt liittyvät lähinnä tulliverotuksen oikeellisuuden tarkistamiseen ja tilitapahtumat pyydetään yleensä koko tarkastusajanjaksolta tai tietyltä osalta siitä. Tilitietokyselyissä saaduista tiliotteista pyritään selvittämään esimerkiksi tullausarvon oikeellisuus eli tavarasta tosiasiassa maksettu hinta sekä maksajan ja maksunsaajan tiedot. Lisäksi tilitietokyselyillä voidaan pyrkiä selvittämään yrityksen muita tilejä, joissa voi olla tilitapahtumia ns. piilokaupoista. Tilitapahtumien avulla voidaan myös vertailla kirjanpidon sekä tulli-ilmoitusten oikeellisuutta. Ehdotettu säännös nopeuttaisi pankki- ja maksutilitietojen saamista, koska vältyttäisiin turhilta tilitietokyselyiltä. Samalla Tullin suorittama verotus ja verovalvonta tehostuisivat, kun tilitietokyselyt voitaisiin suunnata suoraan oikeille pankeille ja luottolaitoksille. Tilitietokyselyt kuormittavat myös tiedonantovelvollisia. Tullin oikeus käyttää pankki- ja maksutilien valvontajärjestelmää verotukseen ja verovalvontaan vähentäisi sitä kautta myös tiedonantovelvollisten raportointivelvollisuutta.

Tullin oikeus käyttää pankki- ja maksutilien valvontajärjestelmää koskisi kaikkia verotukseen tai verovalvontaan liittyviä toimenpiteitä ja vaiheita, kuten esimerkiksi tavarantarkastusta, varastotarkastusta, asiakirjatarkastusta, yritystarkastusta, oikaisuvaatimuksen käsittelyä, lausunnon antamista hallintotuomioistuimelle veroasiassa sekä muuta vastaavaa toimenpidettä.

Tullirikostorjunta

Tulli on esitutkintalaissa tarkoitettu esitutkintaviranomainen ja Tulli vastaa tullirikostorjunnasta siten kuin siitä rikostorjunnasta Tullissa annetussa laissa sekä muualla lainsäädännössä säädetään. Tullirikos on määritelty rikostorjunnasta Tullissa annetun lain 1 luvun 2 §:n 1 kohdassa.

Tullirikoksella tarkoitetaan:

a) rikosta, jolla rikotaan sellaista tullilain tai muun lain säännöstä, jonka noudattamisen valvonta tai täytäntöönpano on Tullin tehtävänä;

b) tullimieheen kohdistuvaa rikoslain (39/1889) 16 luvun 3 §:ssä tarkoitettua haitantekoa virkamiehelle sekä 4 b §:ssä tarkoitettua niskoittelua tullimiestä vastaan;

c) rikoslain 46 luvun 6 ja 6 a §:ssä tarkoitettua laitonta tuontitavaraan ryhtymistä;

d) sellaista rikosta, johon sisältyy omaisuuden maahantuontia, maastavientiä tai Suomen kautta kuljettamista.

Tullilla on rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n 1 momentin nojalla oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen tai hallintoneuvoston jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä tarvittavat tiedot tullirikoksen estämiseksi, paljastamiseksi tai selvittämiseksi. Tilitietoja pyydetään Tullin rikostutkinnassa usein esimerkiksi talousrikosten ja huumausainerikosten tutkinnassa sekä rikoshyödyn jäljittämisessä.

Ehdotettu säännös mahdollistaisi Tullille sen, että pankki- ja maksutilitietojen valvontajärjestelmästä saataisiin suoraan tiedot siitä, missä henkilöllä on tilejä tai onko hän jonkun virtuaalivaluutan tarjoajan asiakkaana. Ehdotettu säännös siis nopeuttaisi tilitietojen pyytämistä, sillä pyynnöt voitaisiin kohdentaa oikeisiin luottolaitoksiin, joissa kohdehenkilöllä tosiasiassa olisi pankki- tai maksutilejä. Tämä edesauttaisi rikostutkinnan onnistumista sekä sitä, että varat voitaisiin tunnistaa, jäljittää ja jäädyttää ajoissa niiden takavarikoimiseksi.

Ulosottokaaren mukainen täytäntöönpano

Ulosottoviranomaisten toimivaltuuksista säädetään ulosottokaaressa. Lain 2 luvussa on tarkemmin säädetty ulosottoperusteista, 3 luvussa menettelysäännöksistä ja 4 luvussa ulosmittauksesta. Ulosottolaitoksella olisi voimassaolevien ulosottokaaren säännösten perusteella oikeus saada 4kohdan nojalla tietoja pankki- ja maksutilien valvontajärjestelmästä ulosoton täytäntöönpanon suorittamiseen.

Ulosottokaaren 3 luvun 64 § on yleinen säännös sivullisen ja viranomaisen tiedonantovelvollisuudesta. Sen lisäksi, mitä muussa laissa säädetään, ulosottomiehellä on oikeus salassapitosäännösten estämättä maksutta saada jäljempänä säädetyt tiedot, asiakirjat ja aineistot, jos ne ovat yksittäisessä ulosottoasiassa välttämättömiä täytäntöönpanoa varten. Välttämättömyyden arvioi ulosottomies. Tiedot voidaan antaa teknisen käyttöyhteyden avulla.

Ulosottolaitoksella on oikeus salassapitosäännösten estämättä maksutta saada keskitetysti jäljempänä säädetyt tiedot, asiakirjat ja aineistot ja luovuttaa niitä ulosottomiehille käytettäviksi yksittäisissä ulosottoasioissa, jos keskitetty tietojen hankkiminen on täytäntöönpanoa varten tarkoituksenmukaista.

Arkaluontoisista henkilötiedoista säädetään ulosottokaaren 3 luvun 65 §:ssä. Säännöksen mukaan sivulliselta tietoja hankittaessa on vältettävä sitä, että ulosottomiehen haltuun joutuu ulosottoasiaan kuulumattomia tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja tai 10 artiklassa tarkoitettuja henkilötietoja. Ulosottomiehellä on oikeus saada säädetyt tiedot, vaikka samalla paljastuu tietoja myös ulkopuolisen taloudellisesta asemasta, jollei tietoja ole muulla tavoin saatavissa.

Ulosottokaaren 3 luvun 66 §:ssä on vielä tarkennettu sivullisen tietojenantovelvollisuuden sisältöä.

Ulosottolaitoksen tehtävänä on panna täytäntöön muun muassa laiminlyötyjä maksuvelvoitteita, vakuustakavarikkopäätöksiä ja väliaikaisia vakuustakavarikkopäätöksiä. Osassa ulosottoasioissa kyse on rikoksen perusteella tuomitun vahingonkorvauksen tai rahamääräisen menettämisseuraamuksen perimisestä tai tällaisen tulevan maksuvelvoitteen turvaamisesta. Lisäksi ulosottoviranomainen huolehtii varojen jäädyttämisestä terrorismin torjumiseksi annetun lain (325/2013) mukaisten varojen jäädyttämispäätösten täytäntöönpanosta.

Suorapääsyllä järjestelmään olisi viranomaisen työtä tehostavaa vaikutusta. Ulosottolaitos tekee esitysluonnoksen mukaan vuosittain noin 10 miljoonaa pankkitiedustelua. Ulosottolaitoksen osalta myös tehokkuus- ja tarkoituksenmukaisuussyyt puoltavat suoraa pääsyä järjestelmään koostavan sovelluksen välityksellä.

Ulosottokaaren sääntelyn voidaan katsoa tukevan mahdollisuutta antaa ulosottomiehille suora pääsy järjestelmään. Vaikka Ulosottolaitos ei ainakaan kaikkien tehtäviensä osalta ole rahoitustietodirektiivin tarkoittama toimivaltainen viranomainen, on osalla sen tehtävistä kuitenkin hyvin läheinen liityntä direktiivin soveltamisalaan.

Rahanpesulain 7 luvussa säädetään valvontaviranomaisista, joita ovat Finanssivalvonta, Poliisihallitus, Patentti- ja rekisterihallitus ja aluehallintovirasto sekä Ahvenanmaan maakunnan hallitus. Lisäksi asianajajayhdistys valvoo rahanpesulain 1 luvun 2 §:n 1 momentin 12 kohdassa tarkoitettuja ilmoitusvelvollisia. Nämä toimivaltaiset viranomaiset ja asianajajayhdistys voisivat saada tietoja 5 kohdan mukaan järjestelmästä rahanpesulaissa tarkoitettuun valvontatehtävän suorittamiseen, säännös vastaisi voimassaolevan pykälän kohtaa 1.

Pykälän 6kohdan nojalla rahanpesun selvittelykeskuksella olisi oikeus saada tietoja rahanpesun selvittelykeskuksesta annetun lain 2 §:n 1 momentin 1—4 ja 7 ja 8 kohdassa tarkoitettujen tehtävien suorittamiseen. Kohta säilyisi muuten voimassaolevaa lakia vastaavana, mutta rahanpesun tehtäviin lisättäisiin rahanpesun selvittelykeskuksesta annettuun lakiin tehtyyn muutoksen johdosta viittaus operatiivisten ja strategisten analyysien tekemiseen.

Poliisin ja Rajavartiolaitoksen oikeudesta tiedonsaantiin säädettäisiin 7kohdassa. Poliisilla tarkoitetaan sekä Poliisihallituksen alaisia yksiköitä että suojelupoliisia ja Ahvenanmaan poliisia, joista jälkimmäiseen sovelletaan poliisilain pankkitilitietoja koskevia toimivaltuussäännöksiä. Kohdan nojalla tietoja voisi saada esitutkintaan, rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. Poliisi voisi saada tietoja myös uudessa rahankeräyslaissa tarkoitettuun rahankeräysten valvontatehtävän suorittamiseen. Lisäksi tiedot voitaisiin saada kansallisen turvallisuuden ylläpitämiseen, millä on tarkoitus turvata erityisesti suojelupoliisin lakisääteiset tiedonsaantitarpeet. Poliisilain 6 luvussa säädetään poliisitutkinnassa tarvittavista tiedoista. Lain 4 luvun 3 §:n 1 momentin mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Poliisilla on sama oikeus saada 6 luvussa tarkoitetussa poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii.

Pykälän 8kohdan mukaan Puolustusvoimilla olisi oikeus päästä pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin liittyen laissa sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa tarkoitettuun rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen sekä sotilastiedustelusta annetun lain 104 §:ssä säädetyn mukaisesti.

Finanssivalvonnan tehtävistä säädetään Finanssivalvonnasta annetussa laissa, rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa, sekä lukuisissa erityislaeissa ja EU-asetuksissa. Pykälän 9 kohdan mukaan Finanssivalvonta voisi hyödyntää Finanssivalvonnasta annetun lain 3 §:n mukaisten tehtävien suorittamiseen pankki- ja maksutilien valvontajärjestelmää. Finanssivalvonnalla olisi oikeus saada tietoja myös 4 kohdan mukaisesti rahanpesun ja terrorismin rahoittamisen estämiseen ja paljastamiseen.

3 a §.Toimivaltaisten viranomaisten pääsy tietoihin ja niitä koskevien hakujen tekemistä koskevat edellytykset. Pykälä olisi uusi ja siinä säädettäisiin rahoitustietodirektiivin 5 artiklan mukaisesti toimivaltaisten viranomaisten tietoihin pääsylle ja tietohakujen tekemisille eräitä edellytyksiä. Pykälän mukaan pääsy lain 4 ja 6 §:ssä tarkoitettuihin tietoihin ja mahdollisuus tehdä niitä koskevia hakuja on ainoastaan sellaisella lain 3 §:ssä tarkoitetun viranomaisen henkilöstön jäsenellä, joka on nimetty ja valtuutettu suorittamaan näitä tehtäviä.

Direktiivin 5 artiklan mukaan jäsenvaltioiden on varmistettava, että nimettyjen toimivaltaisten viranomaisten henkilöstö ylläpitää korkeaa ammatillista tasoa, luottamuksellisuutta ja tietosuojaa koskevat normit mukaan luettuina ja että se on erittäin luotettava ja että sillä on asianmukainen pätevyys. Lisäksi artiklan mukaan jäsenvaltioiden on varmistettava, että toimivaltaisten viranomaisten pääsyä tietoihin ja niitä koskevien hakujen tekemistä tuetaan korkeiden teknologisten standardien mukaisilla tietoturvan takaavilla teknisillä ja organisatorisilla toimenpiteillä 4 artiklan mukaisesti. Säännöksen tarkoituksena on keskittää kyselyt viranomaiskohtaisesti oikeutettujen kyselytilanteiden yksilöimiseksi ja ohjeistamiseksi, mikä kuuluu rekisterinpitäjien velvollisuuteen alaisuudessaan toimivan henkilöstön korkean ammatillisen tason ylläpitämiseksi ja arvioitaessa yksittäiseen virkamieheen kohdistuvia virkavastuukysymyksiä jälkikäteen. Korkean ammatillisen tason ylläpitäminen tarkoittaisi esimerkiksi pääsyyn oikeutetun henkilön säännöllistä kouluttamista henkilötietojen käsittelemistä ja tietosuojaa koskevista vaatimuksista.

Tiedonhallintalaissa säädetään muun muassa tietoturvallisuudesta, mukaan lukien luotettavuutta edellyttävien tehtävien tunnistaminen, käyttöoikeuksien antaminen ja luotettavuudesta varmistuminen sekä tietoaineistojen ja tietojärjestelmien tietoturvallisuus. Tiedonhallintalaissa annettu sääntely täyttää pääosin rahoitustietodirektiivin 5 artiklan vaatimukset, eikä artiklan täytäntöönpano muilta kuin esityksessä ehdotetuilta osin edellytä kansallisen lisäsääntelyn antamista.

4 §.Pankki- ja maksutilien tiedonhakujärjestelmä.Pykälän toista momenttia ehdotetaan täydennettäväksi niin, että siinä tarkoitetut tiedot tulee luovuttaa kuluvan vuoden ja viiden edellisen vuoden ajalta.

Tilitietoja tarvitaan esimerkiksi rikosten esitutkinnassa. Usein tilitapahtumatietoja pyydetään joltain tietyltä ajalta, kuten vaikkapa vuosilta 2017-2018. Pankki- ja maksutilien valvontajärjestelmästä annetussa laissa on säädetty puutteellisesti tilitietojen toimittamisesta tilanteissa, joissa tili on jo ehditty lakkauttaa. Tilirekisterin osalta on Tullissa linjattu, että tilitiedot tulee toimittaa viiden vuoden ajalta. Asiasta ei kuitenkaan säädetä pankki- ja maksutilien valvontajärjestelmästä annetussa laissa, vaan linjaus on tehty sillä perusteella, että pankki- ja maksutilien valvontajärjestelmästä annetun lain 6 §:n 2 momentissa säädetään tietojen toimittamisen perusedellytykseksi se, että asiakkaan tulee olla rahanpesulain (2017/444) 3 luvun 2 §:ssä säädetyn tunnistamisvelvollisuuden piirissä. Kun asiakas on tunnistettu, on tietoja säilytettävä saman luvun 3 §:n nojalla viiden vuoden ajan asiakassuhteen päättymisestä. Kyseinen tulkinta on tehty siis siksi, että kun ilmoitusvelvollisuus aktualisoituu tunnistamisvelvollisuuden täyttyessä, niin tiedot ovat tunnistamisvelvollisilla tallessa ainakin viiden vuoden ajan. Rahanpesulain velvollisuus säilyttää tietoja koskee vain asiakkaan tunnistamiseen liittyviä tietoja. Tiedot ovat kuitenkin saman tyyppisiä kuin mitä pankki- ja maksutilien valvontajärjestelmästä annetussa laissa on säädetty ilmoitettavaksi muutamaa yksittäistä poikkeusta lukuun ottamatta. Edellä mainittu linjaus ei perustu kuitenkaan suoraan pankki- ja maksutilien valvontajärjestelmästä annettuun lakiin. Tilirekisterin osalta asia ei ole niin ongelmallinen kuin mitä se on tiedonhakujärjestelmän osalta. Tilirekisteristä tiedot tulee poistaa 10 vuoden kuluttua sen perusteen päättymisestä, jolla tiedot on rekisteriin merkitty, joten ajan kuluessa tilirekisterissä tulee olemaan kattavat tiedot tileistä. Sen sijaan tiedonhakujärjestelmän osalta voidaan esittää tulkinta, jonka mukaan voimassa oleva laki mahdollistaisi ainoastaan vallitsevan tilanteen ilmoittamisen. Eli jos tili on perustettu vaikkapa vuonna 1952, niin kyseinen tili tulee ilmoittaa, jos se on edelleen olemassa. Sen sijaan, jos tili on perustettu vuonna 2017 ja päätetty vuonna 2018, niin tällöin tiliä ei ilmeisesti ole tarvetta ilmoittaa, sillä mistään aikamääreestä ei pankki- ja maksutilien valvontajärjestelmästä annetussa laissa ole säädetty, jonka puitteissa tiedot tulee toimittaa.

Edellä mainittu koskee myös esimerkiksi tosiasiallisia edunsaajia ja tilien käyttöoikeudenhaltijoita. Jos henkilö x on ollut yhtiössä y tosiasiallisena edunsaajana viisi kuukautta vuonna 2018, niin tämä jää ilmoitusvelvollisuuden ulkopuolelle, koska laissa ei ole säädetty siitä, että ilmoitettavat tiedot on toimitettava viideltä edelliseltä vuodelta. Asia tulee ratkaista, koska esityksessä ehdotettavan koostavan sovelluksen kehittämisessä tulee ratkaista, kuinka pitkältä ajalta tietoja toimitetaan.

Pykälän 2 momentin 1 ja 2 kohtaa ehdotettaisiin muutettavaksi liittyen tilinhaltijaan, käyttöoikeuden haltijaan ja tosiasialliseen edunsaajaan niin, että myös edellä mainittujen osalta tulisi luovuttaa asiakkuuden alkamis- ja päättymispäivä, sillä asiasta on voimassaolevassa laissa säädetty ainoastaan oikeushenkilöiden osalta. Pankki- ja maksutilirekisterin osalta on säädetty velvollisuus luovuttaa asiakkaasta asiakkuuden alkamis- ja päättymispäivää koskevat tiedot. Asiakkuuden alkamis- ja päättymispäivä ovat tarpeellisia tietoja myös muiden kuin oikeushenkilöiden osalta ja velvollisuudesta luovuttaa tiedot tulisi säätää tiedonhakujärjestelmän osalta tilirekisteriä vastaavalla tavalla. Tilin käyttöoikeudenhaltijaa koskevat tiedot ovat viidennen rahanpesudirektiivin 32 a artiklan 3 kohdassa tarkoitettuja tietoja, joiden on oltava saatavilla jäsenvaltioiden keskitettyjen pankkitilirekisterien kautta siten, että niihin voidaan tehdä hakuja. Tilin käyttöoikeudenhaltija on asiakas, joka toimii omaksi hyödykseen, mutta tilinhaltijan lukuun.

Pykälän 3 momenttiin ehdotetaan lisättäväksi säännös koskien luottolaitosten velvoitetta vastata luovutettavien tietojen oikeellisuudesta ja virheelliseksi havaittujen tietojen oikaisemista ilman aiheetonta viivytystä. Pankki- ja maksutilien valvontajärjestelmästä annetun lain 5 §:n 3 momentissa säädetään tilirekisterin asiakkaiden velvollisuudesta oikaista tiedot ilman aiheetonta viivästystä. Tiedonhakujärjestelmän osalta vastaavaa säännöstä ei ole. Jos siis tiedonhakujärjestelmän välityksellä on toimitettu virheellisiä tietoja, niin velvollisuutta tietojen oikaisemiseen koskevat tietosuoja-asetuksen 16-19 artiklat, joita soveltaen oikaisu voidaan tällöin tehdä tiedonantovelvollisen valitsemalla parhaaksi katsomallaan tavalla. Koska nykyisin tietojen oikaisuvelvoitteesta säädetään toisaalla, ei Tulli voi velvoittaa toimittamaan oikaisutietoja. Olisi lain soveltamisen sekä myös lain systematiikan kannalta selkeämpää säätää myös tiedonhakujärjestelmän osalta tietojen oikaisuvelvoitteesta. Tämä myös parantaisi rekisteröityjen oikeusturvaa.

Voimassaolevan pykälän 4 momentti koskee asianajajan asiakasvaratilejä, joiden yhteyteen on merkittävä nimenomainen tieto siitä, että pankki- tai maksutili on asianajajan asiakasvarojen tili, jota koskee asianajajan salassapitovelvollisuus. Lisäksi momentissa säädetään, että tietoja asiakasvaratileistä ei saa luovuttaa tiedonhakujärjestelmän kautta. Säännöstä tarkennettaisiin niin, että tiedonhakujärjestelmän kautta saisi ainoastaan luovuttaa tiedon siitä, että kyseessä on asianajajan asiakasvaratili. Viranomaisen tulee voida saada tieto siitä, että tili on asianajajan asiakasvaratili sekä tiedon siitä, minkä asianajajan asiakasvaratili on kyseessä ja voimassa oleva säännös jättää tämän tiedon luovuttamisen osalta epäselvyyttä.

Pykälän 5 momenttia täydennettäisiin siten, että siinä säädettäisiin Tullin roolista pykälän 1 ja 2 momentissa tarkoitettujen velvoitteiden noudattamista valvovana viranomaisena. Lain 5 §:ssä on säädetty, että Tulli on pankki- ja maksutilirekisterin rekisterinpitäjä ja tietojärjestelmän rekisterinpitäjä vastaa aina järjestelmän valvonnasta suoraan yleisen tietosuoja-asetuksen nojalla. Laissa ei kuitenkaan ole säädetty pankki- ja maksutilien tiedonhakujärjestelmää koskevien lain mukaisten tietojen välittämiseen liittyvien velvoitteiden valvovasta viranomaisesta. Pankki- ja maksutilitiedot sisältävät salassa pidettävää, pankkisalaisuuden piiriin kuuluvaa tietoa ja on perusteltua, että myös tiedonhakujärjestelmän kautta tapahtuvaa pykälän 1 ja 2 momentissa tarkoitettujen velvoitteiden noudattamista valvoo viranomainen. Neljännen rahanpesudirektiivin 48 artiklan 1 kohdan mukaan jäsenvaltioiden on edellytettävä, että toimivaltaiset viranomaiset valvovat tehokkaasti direktiivin noudattamista ja toteuttavat tarvittavat toimenpiteet sen noudattamisen valvomiseksi.

Pankki- ja maksutilien tiedonhakujärjestelmä mahdollistaa henkilötietojen ja pankkisalaisuuden piiriin kuuluvien varallisuustietojen luovuttamisen sähköisesti luottolaitoksilta laissa määriteltäville viranomaisille näiden lakisääteistä tehtävää varten. Tietoja ei varastoida järjestelmään vaan ne luovutetaan rekisterinpitäjänä toimivalta luottolaitokselta viranomaiselle suoraan. Viranomaisen on esitettävä lainsäädännön peruste, jonka nojalla sillä on oikeus tiedot saada. Luottolaitos vastaa rekisterinpitäjänä luovutettavien tietojen oikeellisuudesta. Ehdotetun sääntelyn tarkoituksena on säätää luottolaitoksille asetettujen velvoitteiden noudattaminen valvonnan piiriin. Tästä on tarpeen säätää laissa eri toimijoiden yhdenvertaisen ja tasapuolisen kohtelun vuoksi. Lisäksi on tiedossa, että joillakin luottolaitoksilla on ilmennyt haasteita rakentaa tiedonhakujärjestelmä. Nämä merkittävät viivästykset voinevat osittain johtua siitä, että valvovaa viranomaista velvollisuudelle rakentaa tiedonhakujärjestelmä ja välittää sen kautta tietoja ei ole.

Tällä hetkellä Tullin valvontavastuu ulottuu ainoastaan pankki- ja maksutilirekisterin valvontaan. Johdonmukaista olisi, että valvontavastuu pankki- ja maksutilien valvontajärjestelmässä olisi yhden viranomaisen tehtävänä ja valvontatehtävä sopii kokonaisuutena Tullille. Tulli on antanut määräyksen tiedonhakujärjestelmän teknisistä vaatimuksista ja ohjeistanut luottolaitoksia tiedonhakujärjestelmän rakentamisessa. Tullin voidaan täten arvioida olevan näistä lähtökohdista sopiva taho valvomaan myös tiedonhakujärjestelmää ja sitä kautta tiedonantovelvollisuuden täyttäviä luottolaitoksia.

Pankki- ja maksutilien tiedonhakujärjestelmään kohdistuvan viranomaisvalvonnan tulee kattaa järjestelmän ylläpidon sekä myös tiedonantovelvollisuuden noudattamisen valvonta. Tiedonhakujärjestelmän osalta valvonta liittyy siis siihen, että pyritään varmistamaan luottolaitosten sekä muiden tiedonhakujärjestelmän välityksellä tietoja toimittavien tahojen järjestelmien rakentaminen ja asianmukainen ylläpito niin, että toimivaltaiset viranomaiset voivat tehdä tiedonhakujärjestelmän välityksellä hakuja luottolaitosten pankki- ja maksutileihin. Lisäksi valvonnan tulee kattaa tiedonantovelvollisuuden noudattamisen valvonta. Tällä tarkoitetaan sitä, että valvonta kohdistuu tiedonantovelvollisten toimittamien tietojen oikeellisuuden valvontaan. Tiedonhakujärjestelmän välityksellä toimitettavien tietojen tulee olla ajan tasalla ja kattaa luottolaitoksen kaikki ilmoitusvelvollisuuden piiriin kuuluvat pankki- ja maksutilit. Valvonnan ulottaminen tiedonhakujärjestelmään on tärkeää EU-oikeuden tehokkaan täytäntöönpanon vaatimuksen täyttämiseksi ja sillä pystytään varmistumaan siitä, että pankki- ja maksutilien valvontajärjestelmä antaa oikeat ja ajan tasalla olevat tiedot hakuja tekeville toimivaltaisille viranomaisille sekä asianajajayhdistykselle. Valvontaa koskevan sääntelyn ulottaminen koskemaan tiedonhakujärjestelmää on tarkoituksenmukaista myös sen vuoksi, koska luottolaitoksia ei tietojen luovuttamisvelvoitteen osalta valvota muun lainsäädännön nojalla.

Pankki- ja maksutilien tiedonhakujärjestelmässä välitettävissä tiedoissa on kyse henkilötietojen käsittelystä, johon sovelletaan osittain EU:n yleistä tietosuoja-asetusta ja osittain rikosasioiden tietosuojalakia. Tästä syystä tietojen välittämiseen liittyvät velvoitteet eivät rajaudu ainoastaan pankki- ja maksutilien valvontajärjestelmästä annetussa laissa säädettyihin tietojenantovelvollisuuksiin. Tietosuojavaltuutettu toimii tietosuojalain 8 §:n mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena, joka valvoo rikosasioiden tietosuojalain 45 §:n mukaan myös mainitun lain noudattamista Tietosuojavaltuutettu valvoo siten tietojenvaihtojärjestelmässä tapahtuvaan henkilötietojen käsittelyyn liittyvien velvoitteiden noudattamista sekä yleisen tietosuoja-asetuksen että rikosasioiden tietosuojalain soveltamisalalla.

6 §.Pankki ja maksutilirekisteriin tallennettavat tiedot. Pykälän 2 momenttia esitetään täydennettäväksi niin, että siinä säädettäisiin, että maksutilirekisteriin tulee tallentaa tiedot kuluvan vuoden ja viiden edellisen vuoden ajalta. Perustelujen osalta viitataan edellä 4 §:n osalta vastaavan muutosehdotuksen osalta esitettyihin perusteluihin.

Pykälän 2 momentin 3 kohtaan ehdotetaan lisättäväksi tilin avaamis- ja sulkemispäivää koskevat tiedot, joiden tallentamisesta tilirekisteriin ei ole säädetty. Edellä mainittujen tietojen luovuttamisesta pankki- ja maksutilien tiedonhakujärjestelmän kautta on säädetty 4 §:n 2 momentin 3 kohdassa ja nämä tiedot ovat yhtälailla tarpeellisia myös tilirekisterin osalta. Pykälän 5 momenttiin, joka koskee asianajajan asiakasvaratilejä, ehdotetaan tehtäväksi sama muutos kuin 4 §:ään ehdotetaan tehtäväksi asiakasvaratilien osalta, eli tilirekisterin kautta saisi ainoastaan luovuttaa tiedon siitä, että kyseessä on asianajajan asiakasvaratili. Perustelujen osalta viitataan 4 §:ssä esitettyihin perusteluihin. Järjestelmä ilmoittaisi tilinumerolla haettaessa, että kyseessä on tietyn asianajajan asiakasvaratili. Sen sijaan asianajajan nimellä tai henkilötunnuksella haettaessa tietoja asiakasvaratileistä ei toimitettaisi.

Pykälän 3 momentin 1 kohtaan esitetään lisättäväksi käyttöoikeuden haltijaa koskevat tiedot, perustelujen osalta viitataan edellä 4 §:n osalta esitettyihin perusteluihin.

7 §.Tietojen antaminen pankki- ja maksutilirekisteristä.Säännökseen 2 momenttiin ehdotetaan teknistä muutosta liittyen yleistä tietosuoja-asetusta koskevaan viittaukseen. Muutosehdotus johtuu siitä, että EU-säädöksen viralliseen nimeen sisältyvä lyhytnimike pitää ottaa käyttöön kursivoimalla se.

7 a §.Tietojen luovuttaminen siirtämällä pankki- ja maksutilien valvontajärjestelmästä toimivaltaisille viranomaisille. Lakiin esitetään lisättäväksi uusi 7 a §, jossa säädettäisiin Tullin ylläpitämästä koostavasta sovelluksesta. Koostavaa sovellusta voitaisiin käyttää asiakastietojen luovuttamiseen siirtämällä. Koostavan sovelluksen myötä Tullille tulisi rooli rekisterinpitäjänä koostavan sovelluksen kautta siirrettävien tietojen sekä sinne tallennettavien lokitietojen osalta.

Ehdotuksen mukaan lain 3 §:ssä tarkoitetut pankki- ja maksutilien valvontajärjestelmää käyttävät viranomaiset voisivat toimivaltansa puitteissa tehdä kyselyitä Tullin toteuttaman automatisoidun koostavan sovelluksen avulla ja hyödyntää Tullin toteuttamia integraatioita. Koostava sovellus koostaisi kaikki pankki- ja maksutilirekisterin ja pankki- ja maksutilien tiedonhakujärjestelmän tiedot ja välittäisi ne viranomaisen sovellukseen. Koostavaa sovellusta voitaisiin käyttää pankki- ja maksutilien valvontajärjestelmän kautta luovutettavien ja tallennettavien asiakas- ja tilitietojen välittämiseen. Tiedonhakujärjestelmiä ylläpitävien toimijoiden velvollisuus toimittaa tiedot koostavaan sovellukseen perustuisi nyt ehdotettavaan lain 7 a §:ään ja saman lain 4 §:ään, jonka 1 momentin mukaan luottolaitoksen tulee luovuttaa välittömästi ja salassapitosäännösten estämättä pykälän 2 momentissa tarkoitettuja tietoja asiakkaistaan toimivaltaiselle viranomaiselle. 

Koostavassa sovelluksessa ei voitaisi välittää tietopyynnön esittäneen viranomaisen ja tiedonantovelvollisen välillä muita tietoja kuin 1. lakiehdotuksen 3 §:n johdantokappaleessa viitattuja lain 4 §:n mukaisesti luovutettavia ja 6 §:n mukaisesti tallennettuja tietoja.

Ehdotuksen mukaan 7 a §:n 1 momentissa säädettäisiin Tullin roolista rekisterinpitäjänä. Tulliin sovellettaisiin rekisterinpitäjänä koostavan sovelluksen osalta EU:n yleisessä tietosuoja- asetuksessa tai, tapauksen mukaan, rikosasioiden tietosuojadirektiivissä määriteltyjä rekisterinpitäjän vastuita.

Rekisterinpitäjällä asetuksessa tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

Pykälän 2 momentin mukaan Tulli vastaanottaisi ja välittäisi lain 3 §:ssä tarkoitetun toimivaltaisen viranomaisen 4 ja 6 §:ssä tarkoitettuja tietoja koskevat tietopyynnöt pseudonymisoituna pankki- ja maksutilien valvontajärjestelmästä luottolaitokselle, jos viranomainen ei ole rakentanut omaa teknistä ratkaisuaan saada tietoja järjestelmästä. Rekisteröidylle koituu korkea riski, mikäli Tulli välittää 3 §:n mukaisten viranomaisten tietopyynnöt luottolaitokselle sellaisenaan, joten tästä syystä tietopyyntö toimitettaisiin pseudonymisoituna, eli niin, että henkilötietoa käsiteltäisiin niin, että sitä ei voida enää yhdistää tiettyyn rekisteröityyn lisätietoja käyttämättä.

Koostavan sovelluksen välityksellä tapahtuva tiedon luovuttaminen olisi automaattista. Tullilla ei olisi viranomaisena sen enempää pääsyä tilirekisteriin tehtyihin pyyntöihin kuin koostavalla sovelluksella tehtyihin pyyntöihin, vaan kyselyt olisivat suoria ja sisäänrakennettu teknisesti siten, ettei Tulli voisi puuttua siihen, mitä viranomainen kysyy ja mitä tietoja luovutetaan. Valvonta, jota järjestelmän kautta tehtävien tiedonluovutusten osalta voitaisiin tehdä lokitietojen perusteella, olisi jälkikäteistä.

Elokuussa 2021 Tullilla olevien tietojen mukaan Tullin pankki- ja maksutilirekisteriin on toimittamassa pankki- ja maksutilien valvontajärjestelmästä säädetyn lain 5 ja 6 §:n mukaisia tietoja yhteensä 19 toimijaa, joista 15 on tuotannossa ja 4 osalta tiedot vielä puuttuvat. Suomessa toimivat isot luottolaitokset ja kaksi suurinta virtuaalivaluuttatoimijaa tulevat toteuttamaan pankki- ja maksutilien tiedonhakujärjestelmän, tiedonhakujärjestelmien osalta 7 toimijaa ovat tehneet teknisen testauksen ja 8 toimijalla testaus tai selvittely oli elokuussa 2021 käynnissä, eli yhtään tiedonhakujärjestelmää ei ollut vielä tuotannossa. Yli 95 prosenttia pankki- ja maksutilejä koskevista pankki- ja maksutilien valvontajärjestelmässä olevista tiedoista on tulossa siis tiedonhakujärjestelmiin. Mikäli viranomaiset haluavat pääsyn pankki- ja maksutilien tiedonhakujärjestelmiin, tulee jokaisen viranomaisen rakentaa rajapinta. Esimerkiksi poliisi on rakentamassa rajapinnat vain muutamaan suurimpaan pankkiin, eli suurin osa tiedonhakujärjestelmistä ja niissä olevasta tiedosta on tämän hetkisten tietojen mukaan jäämässä hyödyntämättä. Esityksen mukaan viranomaisen rajapinta olisi mahdollista rakentaa Tullin ylläpitämään koostavaan sovellukseen, jolloin suorien rajapintojen rakentaminen olisi siten tarpeetonta. Suora rajapinta luottolaitoksiin luo rekisteröityjen oikeuksille korkeamman riskin kuin, jos tietopyynnöt luottolaitokselle ohjataan yhdenmukaisesti koostavan sovelluksen kautta.

Tiedonhallintalain tarkoituksena on muun muassa varmistaa viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi. Lain 5 luku koskee tietoaineistojen muodostamista ja sähköistä luovutustapaa. Sen 22 §:n 1 momentin mukaan viranomaisten on toteutettava säännöllisesti toistuva ja vakiosisältöinen sähköinen tietojen luovuttaminen tietojärjestelmien välillä teknisten rajapintojen avulla, jos vastaanottavalla viranomaisella on tietoihin laissa säädetty tiedonsaantioikeus. Säännöllisesti toistuva ja vakiosisältöinen tietojen sähköinen luovuttaminen voidaan toteuttaa muulla tavalla, jos teknisen rajapinnan toteuttaminen tai käyttö ei ole teknisesti tai taloudellisesti tarkoituksenmukaista. Viranomainen voi avata teknisen rajapinnan tiedonsaantiin oikeutetulle viranomaiselle myös muissa tilanteissa. Asiakirjojen ja tietojen antamisesta muulla tavalla säädetään erikseen. Lisäksi pykälän mukaan sen lisäksi, mitä 4 luvussa säädetään, tietojen luovuttaminen teknisten rajapintojen avulla on toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja.

Valtion tieto- ja viestintäteknisten toimintojen tehostamiseksi olisi perusteltua, etteivät kaikki viranomaiset rakenna omia teknisiä toteutuksiaan pankki- ja maksutilien valvontajärjestelmässä olevien tietojen saamiseksi. Säännöksellä mahdollistettaisiin se, että ne viranomaiset, jotka eivät rakentaisi omia teknisiä toteutuksiaan, voisivat pyytää tietoja Tullilta Tullin rakentaman teknisen ratkaisun kautta. Tulli toteuttaisi koostavan sovelluksen ja siihen liittyvät rajapinnat siten, että luotaisiin kyvykkyys kutsua sekä Tullin ylläpitämää pankki- ja maksutilirekisteriä, että luottolaitosten, maksulaitosten, sähkörahayhteisöjen ja virtuaalivaluuttatoimijoiden ylläpitämiä tiedonhakujärjestelmiä. Ratkaisussa sovellus koostaisi kyselyyn liittyvät vastaukset ja palauttaisi vastaukset sekä Tullin tilirekisteristä että tiedonhakujärjestelmästä viranomaisen määrittelemään rajapintaan. Rajapinta tehtäisiin olemassa olevaan viranomaisen tai asianajajayhdistyksen sovellukseen. Näin tiedonhyödyntäjä, eli viranomainen tai asianajajayhdistys, saisi tyhjentävän näkemyksen tiedustelun kohteen pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisista tiedoista Suomessa ilmoitusvelvollisten toimesta rakentamalla yhden rajapinnan Tullin pankki- ja maksutilien valvontajärjestelmän tekniseen toteutukseen; toimivaltaisten viranomaisten, rahanpesulain mukaisten valvontaviranomaisten ja asianajajayhdistyksen tehtäväksi jäisi ratkaisussa kyselyrajapinnan rakentaminen Tullin koostavaan sovellukseen. Siitä, että viranomaisten ei tarvitsisi rakentaa omia rajapintojaan, syntyisi merkittävää kustannussäästöä. Säännöksellä pyrittäisiin myös valtion teknisten ratkaisujen yhdenmukaistamiseen sekä keskitetyn tiedonhankinnan myötä henkilötietojen käsittelyn parempaan tietosuojaan.

Kun toimivaltainen viranomainen tekisi lain 4 ja 6 §:ssä tarkoitettuja tietoja koskevan kyselyn Tullin kautta, sen tulisi ilmoittaa se peruste, jonka nojalla tietoja pyydetään, Tullille. Tieto viranomaisesta ja perusteesta jäisi Tullin koostavaan sovellukseen, eikä sitä välitettäisi tiedonhakujärjestelmää ylläpitäville toimijoille. Tämä parantaisi merkittävästi tietosuojaa ja vähentäisi mahdollisuutta käyttää väärin tietoa siitä, mitä tarkoitusta varten ja mikä viranomainen on pyytänyt tietoa. Sekä tietopyyntö, että siihen annetun vastauksen sisältö olisivat salassa pidettäviä, 7 a §:n 2 momentin nojalla. Yleisesti viranomaisen asiakirjan salassapidosta säädetään julkisuuslaissa. Pankki- ja maksutilien valvontajärjestelmässä annetussa laissa olisi tarpeen säätää koostavalla sovelluksella välitettävien tietojen salassapidosta, koska salassapito tulisi ulottaa tietoja koostavan sovelluksen välityksellä luovuttaviin yksityisiin toimijoihin. Vaikka esityksen mukaan koostavan sovelluksen kautta tehdyn tietopyynnön osalta tiedonhakujärjestelmää ylläpitävä toimija ei saisi tietoa siitä, mikä viranomainen on pyytänyt tietoa eikä sitä, millä perusteella tietoa on pyydetty, saisi tiedonantovelvollinen kuitenkin tiedon siitä, mistä asiakkaasta tietoa on kysytty ja mihin aikaan. Salassapidosta tulisi säätää, koska tietosuoja-asetus velvoittaa, että henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään, eli tietojen minimointiin. Koostavan sovelluksen käsittelyn tekninen luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Lisäksi salassapidosta säätämällä turvattaisiin viranomaisen toimintaa. Automatisoitu koostava sovellus merkitsee rekisteröidyn oikeuksiin kajoamista ja jotta tietojen käsittely olisi oikeasuhtaista eikä aiheuttaisi korkeaa riskiä rekisteröidyn oikeuksiin nähden, ei tätä voida minimoida muulla tavalla kuin siten, että sekä tietopyynnöt, kuin myös luovutetut tiedot ovat salassapidettäviä.

Salassapito tarkoittaisi sitä, että tiedonantovelvollinen ei saisi ilmaista tiedustelun kohteelle tätä koskevan viranomaisen tietopyynnön ja siihen annetun vastauksen olemassaoloa ja sen sisältöä eikä myöskään käyttää itse hyväksi tietoaan viranomaisen tietopyynnön olemassaolosta ja sen sisällöstä. Salassapitovelvoitteen perusteena olisi rekisteröidyn oikeuksien suojaaminen ja viranomaisen toiminnan turvaaminen niin, ettei tiedonantovelvollinen saisi käyttää viranomaisen tietopyyntöä omaksi tai toisen hyödyksi tai toisen vahingoksi. Tietopyyntö voi johtua esimerkiksi viranomaisessa vireillä olevasta rikostutkinnasta, jonka kohde voi osoittautua syyttömäksi, eikä tietopyynnöllä tulisi esimerkiksi tästä syystä olla negatiivisia vaikutuksia tietopyynnön kohteena olevan asiakkuuteen. Toisaalta taas tietopyynnön paljastaminen voisi vaarantaa viranomaisessa vireillä olevan rikostutkinnan ja esimerkiksi varojen takaisinsaannin.

Pykälän 3 momentissa mukaan koostavan sovelluksen kautta tapahtuva tietojen käsittely on automaattista. Momentissa säädettäisiin siitä, että sovelluksen kautta luovutetut tiedot poistetaan sovelluksesta välittömästi tietojen luovuttamisen jälkeen.

EU:n yleisen tietosuoja-asetuksen 4 artiklassa on määritelty, se, mitä asetuksessa tarkoitetaan käsittelyllä. Määritelmän mukaan käsittely kattaa toiminnot tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

Pykälän 4 momentissa säädettäisiin rajoituksista rekisteröidyn oikeuksiin, ehdotus liittyisi rahoitustietodirektiivin 18 artiklan täytäntöönpanoon. Edellä mainittu artikla koskee rajoituksia rekisteröityjen oikeuksiin ja sen mukaan jäsenvaltiot voivat hyväksyä lainsäädäntötoimenpiteitä, joilla kokonaan tai osittain rajoitetaan rekisteröityjen oikeutta päästä rahoitustietodirektiivin nojalla käsiteltyihin heitä koskeviin henkilötietoihin, yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan tai, tapauksen mukaan, rikosasioiden tietosuojadirektiivin 15 artiklan 1 kohdan mukaisesti. Luotto- ja maksulaitosten luovuttaessa henkilötietoja, rahoitustietodirektiivin täytäntöönpanosta annetun lain säädösten velvoittamana, voidaan kokonaan tai osittain rajoittaa rekisteröidyn oikeutta päästä tietoihin yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan nojalla ja viranomaisen kerätessä tietoja luotto- ja maksulaitoksilta koostavan sovelluksen avulla ja luovuttaessa siirtämällä tiedot niitä koostavan sovelluksen kautta pyytäneelle toimivaltaiselle viranomaiselle voidaan kokonaan tai osittain rajoittaa rekisteröidyn oikeutta päästä tietoihin rikosasioiden tietosuojadirektiivin 15 artiklan 1 kohdan mukaisesti.

Yleisen tietosuoja-asetuksen 23 artiklan mukaan rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa muun muassa 15 artiklassa säädettyä rekisteröidyn oikeutta tutustua tietoihin, joita hänestä on kerätty, jos se on välttämätöntä ja oikeasuhtaista artiklan 1 kohdassa mainittujen seikkojen varmistamiseksi. Tietosuojalain 34 §:n mukaisesti rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin muun muassa jos 1) tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä; 2) henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi.

Kun rikosasioiden tietosuojalaissa tarkoitettu toimivaltainen viranomainen käsittelee tietoja rikosasioiden tietosuojalain mukaisessa tarkoituksessa, on rekisteröidyn oikeuksia mahdollista rajoittaa lain 28 §:n mukaisesti, jos se on rekisteröidyn oikeudet huomioon ottaen oikeasuhtaista ja välttämätöntä 1) rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi; 2) viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi; 3) yleisen turvallisuuden suojelemiseksi; 4) kansallisen turvallisuuden suojelemiseksi; tai 5) muiden henkilöiden oikeuksien suojelemiseksi. Rikosasioiden tietosuojalain 29 §:ssä säädetään myös rekisteröidyn oikeudesta pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen ja niiden käsittelyn lainmukaisuus, jos rekisteröidyn tarkastusoikeutta on lykätty, rajoitettu tai evätty tai jos rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta. Lisäksi sovellettavaksi tulevat tältä osin erityislainsäädännössä, kuten poliisin, Rajavartiolaitoksen ja Tullin henkilötietolaeissa, säädetyt tarkastusoikeuden rajoitukset.

Viranomaisten rikosasioita koskevaan tietojenkäsittelyyn ja myös ehdotettuun Tullin ylläpitämään automaattiseen koostavaan sovellukseen sovelletaan rikosasioiden tietosuojadirektiiviä. Käsittely koostavalla sovelluksella on automaattista ja rahoitustietodirektiivi edellyttää, ettei minkään välittävän laitoksen, ei siten myöskään Tullin koostavan sovelluksen rekisterinpitäjän ominaisuudessa, tule puuttua tietoihin, joita se koostavan sovelluksen avulla välittää toimivaltaisille viranomaisille. Rahoitustietodirektiivin täytäntöönpano kohdentuu henkilötietoihin, jotka liittyvät rikosten ennalta estämiseen, paljastamiseen, tutkimiseen ja niihin liittyviin syytetoimiin, siten viranomaisen käsitellessä näitä tietoja koostavalla sovelluksella tulee viranomaisen noudattaa käsittelyssä rikosasioiden tietosuojadirektiiviä ja rikosasioiden tietosuojalakia.Koska koostavalla sovelluksella käsitellään lisäksi viidennen rahanpesudirektiivin alaan kuuluvia henkilötietoja, on huomioitava myös se, että viranomaisen käsittelyyn soveltuvat myös yleisen tietosuoja-asetuksen mukaiset säännökset. Siltä osin kuin on ehdotettu kansallisella lailla toimivaltaisille viranomaisille pääsyä koostavaan sovellukseen ja tehdä sen kautta hakuja tiedonhakujärjestelmiin, sovelletaan joko yleisen tietosuoja-asetuksen ja tietosuojalain sääntelyä tai rikosasioiden tietosuojalakia.

Pykälän 4 momentissa säädettäisiin, että poiketen siitä, mitä säädetään yleisen tietosuoja-asetuksen 15 artiklassa rekisteröidyn oikeudesta saada pääsy tietoihinja rikosasioiden tietosuojalain 23 §:ssä rekisteröidyn tarkastusoikeudesta, pääsyä tietoihin tai tarkastusoikeutta ei ole, kun tietoja käsitellään koostavalla sovelluksella.  Rekisteröidyn oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä säädetään rikosasioiden tietosuojalain 29 §:ssä ja tietosuojalain 34 §:ssä. Oikeuksien käyttämistä koskeva pyyntö on esitettävä tietosuojavaltuutetulle taikka Tullille sen mukaisesti, kuin laissa henkilötietojen käsittelystä Tullissa 35 §:n 2 momentissa säädetään. Tullille esitetty pyyntö on toimitettava viipymättä tietosuojavaltuutetulle. Lisäksi momentissa säädettäisiin, että rekisteröidyn oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä säädetään rikosasioiden tietosuojalain 29 §:ssä ja tietosuojalain 34 §:ssä. Oikeuksien käyttämistä koskeva pyyntö olisi esitettävä tietosuojavaltuutetulle taikka Tullille sen mukaisesti, kuin laissa henkilötietojen käsittelystä Tullissa 35 §:n 2 momentissa säädetään. Tullille esitetty pyyntö olisi toimitettava viipymättä tietosuojavaltuutetulle.

Mikäli rekisteröidyn oikeuksia ei rajoiteta, kuuluu tälle oikeus saada rekisterinpitäjältä tietoja esimerkiksi siitä, onko viranomainen tehnyt hakuja häntä koskeviin tilitietoihin ja mitä tarkoitusta varten. Jos rekisteröidyn oikeuksia ei rajoitettaisi, olisi arvio tehtävä joka kerta erikseen viranomaisen toimesta tapauskohtaisesti. Rekisteröidyn tulee tehdä pyyntönsä rekisterinpitäjälle ja rekisterinpitäjä on velvollinen vastaamaan pyyntöön. Tullin osalta esityksessä ehdotetaan rekisterinpitäjän roolia koostavan sovelluksen käsittelyn osalta, joka tarkoittaisi käytännössä sitä, että rekisterinpitäjänä Tullilla tulisi olla pääsy tietoihin, joihin Tullilla ei toimivaltansa puitteissa muuten olisi, kyetäkseen vastaamaan näihin rekisteröidyn esittämiin käsittelyä koskeviin pyyntöihin. Jos rekisteröidyn oikeudet olisivat kokonaan pankki- ja maksutilien valvontajärjestelmästä annetussa laissa koostavan sovelluksen osalta rajoitetut, ei Tullilta rekisterinpitäjänä edellytettäisi ensin tapauskohtaisesti sen selvittämistä, ovatko yleisen tietosuojalain tai rikosasioiden tietosuojalain edellytykset käsillä.

Tietosuojavaltuutetulla on tietosuojaa koskevan sääntelyn nojalla oikeus rekisteröidyn pyynnöstä tarkistaa henkilötietojen käsittelyn lainmukaisuus. Tietosuojalain 5 luvun 34 §:n 4 momentin mukaan, jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä. Henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 29 §:n 1 momentin mukaan rekisteröidyllä on oikeus pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen ja niiden käsittelyn lainmukaisuus, jos tämän tai muun lain nojalla rekisteröidyn tarkastusoikeutta on lykätty, rajoitettu tai evätty tai jos rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta.

10 §.Lokitiedot. Voimassaolevassa pankki- ja maksutilien valvontajärjestelmää koskevan lain 10 §:ssä säädetään lokitietoja koskevia velvoitteita sekä tilirekisteriä ylläpitävälle Tullille, että tiedonhakujärjestelmää käyttäville, lain 3 §:n mukaisille toimivaltaisille viranomaisille. Säännöstä tulisi muuttaa rahoitustietodirektiivin 6 artiklan täytäntöönpanemiseksi sekä hallituksen esityksessä ehdotettavan, koostavaa sovellusta koskevan ehdotuksen johdosta.

Pykälän ensimmäistä momenttia muutettaisiin niin, että Tullille säädettäisiin velvoite pitää lokitietoja myös koostavan sovelluksen kautta tehtävistä hauista. Lisäksi Tullille säädettäisiin velvoite luovuttaa pankki- ja maksutilien tiedonhakujärjestelmästä ja Tullin tilirekisteristä koostavan sovelluksen kautta tehtyjä hakuja koskevat lokitiedot 3 §:ssä tarkoitetuille viranomaisille pyynnöstä. Lokitietojen avulla toimivaltaiset viranomaiset voisivat täydentää laillisuusvalvontaansa.

Lisäksi lokirekisterin sisältöä koskien ensimmäistä momenttia täsmennettäisiin niin, että voimassaolevassa säännöksessä olevien tietojen lisäksi lokitietoihin tulisi merkitä sen asian viitetiedot, johon tietopyyntö on liittynyt sekä tiedustelun tai haun tuloksen tunnistetiedot, näillä muutoksilla implementoitaisiin rahoitustietodirektiivin 6 artiklassa säädetyt lokirekisterin sisältöä koskevat vaatimukset, joista ei ole aikaisemmin säädetty kansallisesti. Viitetiedot sisältäisivät esimerkiksi esitutkintaviranomaisen r-numeron tai muun vastaavan viraston sisäisen diaarinumeron, jonka nojalla haku pankki- ja maksutilien valvontajärjestelmään on tehty.

Pykälän kolmannessa momentissa säädetään toimivaltaisille viranomaisille velvollisuus pitää lokirekisteriä, josta käy ilmi 4 §:ssä tarkoitetusta tiedonhakujärjestelmästä tiedustelun tai haun suorittaneen henkilön ja sen määränneen henkilön tunnistetiedot. Rahoitustietodirektiivin 6 artiklan täytäntöönpanemiseksi momenttiin lisättäisiin velvoite merkitä lokirekisteriin, jos mahdollista, myös tiedustelun tai haun tulosten vastaanottajan tunnistetiedot. Säännöksen mukaan toimivaltaisen viranomaisen on nimettävä henkilö, joka valvoo tiedonhakujärjestelmän käyttöä. Rahoitustietodirektiivin 6 artiklan 2 kohdan mukaan tietosuojavastaavien, jotka vastaavat keskitetyistä pankkitilirekistereistä, on tarkistettava lokikirjat säännöllisesti. Pykälässä ehdotetaan säädettäväksi rahoitustietodirektiivin täytäntöönpanemiseksi tietosuojavastaavia koskeva velvoite tarkistaa pykälässä tarkoitetut lokirekisterit säännöllisesti. Säännöllinen tarkastaminen tarkoittaisi sitä, että lokirekisterit tarkastettaisiin tietyin väliajoin.

Rahoitustietodirektiivin 6 artiklan 2 kohdassa säädetään lisäksi, että lokikirjat on pyynnöstä asetettava rikosasioiden tietosuojadirektiivin 41 artiklan mukaisesti perustetun toimivaltaisen valvontaviranomaisen saataville. Suomessa kyseessä oleva viranomainen on tietosuojavaltuutettu, jolla on jo voimassa olevan sääntelyn, eli tietosuojalain 3 luvun 18 §:n ja lain henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 8 luvun 47 §:n nojalla jo toimivaltuudet saada salassapitosäännösten estämättä tehtäviensä hoidon kannalta tarpeelliset tiedot.

Pykälän neljättä momenttia, jonka mukaan lokitiedot tulee säilyttää kymmenen vuotta, muutettaisiin niin, että lokitiedot tulee säilyttää kuluva vuosi ja viisi seuraavaa vuotta, ellei niitä tarvita kesken olevassa asiassa. Rahoitustietodirektiivin 6 artiklan 3 kohta edellyttää, että lokitiedot poistetaan viiden vuoden kuluttua niiden luomisesta, paitsi jos niitä tarvitaan jo aloitetussa valvontamenettelyssä. Tiedonhallintalain 21 §:n mukaan säilytysaikojen määrittämisessä on otettava huomioon rikosoikeudelliset vanhentumisajat ja tästä syystä säilytysajan esitetään olevan rikosvastuun todentamisen näkökulmasta kuluva vuosi ja viisi seuraavaa vuotta.

11 §.Uhkasakko. Pykälään täydennettäisiin viittaus lain 4 §:n 1—3 momenttiin. Tämän myötä Tullille säädettäisiin oikeus asettaa uhkasakko voimassa olevan lain mukaisen pankki- ja maksutilirekisteriä koskevan tiedonantovelvollisuuden lisäksi myös pankki- ja maksutilien tiedonhakujärjestelmän ylläpitovelvoitteen ja pankki- ja maksutilien tiedonhakujärjestelmän kautta tapahtuvan tietojen luovuttamisen tehosteeksi.

Voimassa olevassa laissa ei ole säädetty pankki- ja maksutilien tiedonhakujärjestelmään liittyvää valvovaa viranomaista. Pykälän mukainen uhkasakon asettaminen ja myös 12 §:n mukainen rikemaksun määrääminen liittyvät ainoastaan pankki- ja maksutilirekisteriin kohdistuvaan tiedonantovelvollisuuteen. Jos luottolaitos ei noudata lain velvoitteita pankki- ja maksutilien tiedonhakujärjestelmän ylläpidon ja tietojenantovelvollisuuden osalta, ei voimassa oleva lainsäädäntö mahdollista laiminlyöntien sanktioimista. Pankki- ja maksutilien tiedonhakujärjestelmään liittyvästä valvonnasta ja siihen liittyvien velvoitteiden rikkomisesta on tarpeen säätää laissa myös eri toimijoiden yhdenvertaisen ja tasapuolisen kohtelun vuoksi.

Tullilla 4 §:n 5 momenttia koskevan ehdotuksen mukaisena pankki- ja maksutilien tiedonhakujärjestelmää valvovana viranomaisena tulisi olla käytössään tehokkaat, oikeasuhtaiset sekä varoittavat velvoitteiden rikkomisesta määrättävät seuraamukset. Hallinnollisen ohjauksen keinoja ei voida pitää riittävinä, kun huomioidaan pankki- ja maksutilien tiedonhakujärjestelmään liittyvien mahdollisten rikkomusten vakavuus ja muut seikat. Pankki- ja maksutilien tiedonhakujärjestelmän valvontaan soveltuu parhaiten hallinnolliset sanktiot samaan tapaan kuin pankki- ja maksutilirekisterin valvonnasta on säädetty. Sanktioinnin kohteena on yleensä oikeushenkilön tekemät rikkomukset, joskin uhkasakko voidaan kohdistaa esimerkiksi yhteisön hallituksen jäseneen tai toimitusjohtajaan. Myös rikemaksu voidaan määrätä luonnolliselle henkilölle tilirekisteriin liittyvän valvonnan osalta. Sääntelyn tulisi olla näiltä osin yhteneväistä tiedonhakujärjestelmän sekä tilirekisterin valvonnan osalta. Sanktiojärjestelmällä pyritään varmistamaan se, että niiden määräämisen perustana olevaa sääntelyä noudatetaan ja tiedonantovelvollisille asetetut velvoitteet täytetään.

12 §.Rikemaksu. Pykälän 1 momenttiin täydennettäisiin viittaukset lain 4 §:n 1 ja 2 momenttiin. Tämän myötä Tullille säädettäisiin oikeus määrätä rikemaksu myös sille, joka tahallaan tai huolimattomuudesta laiminlyö tai rikkoo 4 §:n 1 ja 2 momentissa säädetyt velvollisuudet ylläpitää pankki- ja maksutilien tiedonhakujärjestelmää tai luovuttaa toimivaltaiselle viranomaiselle pankki- ja maksutilien tiedonhakujärjestelmän kautta 4 §:n 2 momentissa tarkoitettuja tietoja.

Lisäksi viitataan edellä 11 §:n osalta esitettyihin perusteluihin ehdotuksesta säätää Tullille oikeus asettaa uhkasakko pankki- ja maksutilien tiedonhakujärjestelmän ylläpitovelvoitteen ja pankki- ja maksutilien tiedonhakujärjestelmän kautta tapahtuvan tietojen luovuttamisen tehosteeksi.

7.2 Laki rahanpesun selvittelykeskuksesta

2 §.Rahanpesun selvittelykeskus ja sen tehtävät. Rahanpesun selvittelykeskuksesta annetun lain 2 §:n 1 momentin 3 kohdan mukaan rahanpesun selvittelykeskuksen tehtävänä on yhteistyö viranomaisten kanssa rahanpesun ja terrorismin rahoittamisen torjunnassa. Rahanpesun selvittelykeskuksesta annetun lain 2 §:än 1 momentin 3 kohtaa esitetään muutettavaksi niin, että rahanpesun selvittelykeskuksen tehtäväksi säädettäisiin myös yhteistyö Europol-asetuksen liitteen I mukaisten rikosten estämiseksi, paljastamiseksi, selvittämiseksi sekä tutkintaan saattamiseksi. Rahoitustietodirektiivi edellyttää, että rahanpesun selvittelykeskuksen tulee voida tehdä yhteistyötä viranomaisten kanssa Europol-asetuksen liitteessä I tarkoitettujen rikosten estämiseksi, sillä direktiivin 2 artiklan 5 kohdassa olevan määritelmän mukaan rahoitustiedoilla tarkoitetaan kaikenlaisia rahanpesun selvittelykeskusten jo hallussa olevia tietoja, kuten tietoja, jotka koskevat rahoitusvaroja, varainsiirtoja tai rahoitusalan liikesuhteita, rahanpesun ja terrorismin rahoituksen ennalta estämiseksi, paljastamiseksi ja tehokkaaksi torjumiseksi ja direktiivin 7 artiklan mukaan rahanpesun selvittelykeskuksen tulee pystyä vastamaan viipymättä nimettyjen toimivaltaisten viranomaisten esittämiin, riittävällä tavalla perusteltuihin rahoitustietoja- ja analyysejä koskeviin pyyntöihin aina, kun kyseisiä rahoitustietoja tai -analyysejä tarvitaan tapauskohtaisesti vakavien rikosten ennalta estämistä, paljastamista, tutkimista ja niihin liittyviä syytetoimia varten. Rahanpesun selvittelykeskuksen 7 artiklassa määriteltyyn velvoite luovuttamiselle kattaa rahoitustietojen lisäksi myös analyysit, mikä on laajempi käsite kuin määritelmässä mainitut rahoitustiedot.

Voimassaolevan rahanpesun selvittelykeskuksesta annetun lain 2 §:n 2 momentin mukaan edellä 1 momentin 1 kohdassa rahanpesun ja terrorismin rahoittamisen estämisellä, paljastamisella ja selvittämisellä tarkoitetaan rahanpesun ja terrorismin rahoittamisen epäilyihin liittyvien ilmoitusten ja näihin epäilyihin liittyvien tietojen vastaanottamista, tallettamista ja muuta käsittelemistä sekä rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu tai saataisiin, estämistä, paljastamista ja selvittämistä. Rahanpesun selvittelykeskuksen tehtävät on voimassaolevan lainsäädännön mukaan rajattu rahanpesun ja terrorismin rahoittamisen sekä niiden esirikosten estämiseen, paljastamiseen ja tutkintaan saattamiseen. Rahanpesurikoksen kohteena on Suomen rikoslain mukaan rikoksella hankittu omaisuus tai rikoksen tuottama hyöty. Terrorismin rahoittamiseen ei välttämättä liity esirikosta eli siihen käytetyt varat voivat olla laillisesti hankittuja.

Europol-asetuksen liite I sisältää myös sellaisia erittäin vakavia henkeen ja terveyteen tai itsemääräämisoikeuteen sekä omaisuuteen ja yleiseen turvallisuuteen sekä yhteiskuntaan kohdistuvia rikoksia, joissa ei aina ole taloudellista hyötymistarkoitusta ja jotka eivät siis tällöin kuulu rahanpesun tai terrorismin rahoittamisen esirikosten tämänhetkiseen määritelmään. Europol-asetuksen liite I sisältää muun muassa seuraavat rikokset, jotka eivät tällä hetkellä ole rahanpesun esirikoksia, tilanteissa, joissa näissä rikoksissa ei ole taloudellista hyötymistarkoitusta; terrorismi, järjestäytynyt rikollisuus, tahallinen henkirikos, pahoinpitely ja vakavan ruumiinvamman aiheuttaminen, ydin- ja radioaktiivisiin aineisiin liittyvät rikokset, ihmisryöstö, vapaudenriisto ja panttivangin ottaminen, rasismi ja muukalaisviha, tietotekniikkarikollisuus, ympäristörikollisuus, mukaan lukien alusten aiheuttama meren pilaantuminen, seksuaalinen hyväksikäyttö ja seksuaalinen riisto, mukaan lukien lasten hyväksikäyttöön liittyvä materiaali ja lapsen houkuttelu seksuaalisiin tarkoituksiin, joukkotuhonta, rikokset ihmisyyttä vastaan ja sotarikokset.

Rahoitustietodirektiivin 7 artiklan mukaisesti rahanpesun selvittelykeskuksen tulee voida luovuttaa tietoja vakaviin rikoksiin, jotka määritellään Europol-asetuksen liitteessä. Tällä hetkellä rahanpesun selvittelykeskuksella on mahdollisuus luovuttaa tietoa rahanpesun esirikoksiin eli rikoksiin, joilla on taloudellinen hyötymistarkoitus. Tämä poissulkee esimerkiksi törkeät henkeen ja terveyteen kohdistuvat rikokset sekä törkeät omaisuuteen kohdistuvat vahingontekotyyppiset rikokset, joissa ei ole taloudellista hyötymistarkoitusta. Näin ollen Europol-asetuksen mukainen vakava rikos ja rahanpesun esirikos eivät ole sama asia. Jotta rahanpesun selvittelykeskus voi luovuttaa muiden EU-maiden viranomaisille tietoa Europol-asetuksen mukaisista vakavista rikoksista, tarvitaan kansalliseen lakiin direktiivin edellyttämä laajennus. Arvion mukaan listalla olevat rikostyypit ovat harvalukuisempia kuin rahanpesun selvittelykeskuksen ydinalaan kuuluvat rahanpesu, terrorismin rahoittaminen ja niiden esirikokset, mutta on direktiivin edellyttämällä tavalla tärkeää turvata rahanpesun selvittelykeskuksen toimintakyky myös näiden rikosten torjunnassa yhteistyössä muiden maiden toimivaltaisten viranomaisten kanssa. Direktiivin vaatimuksella yhtenäistetään jäsenvaltioiden rahanpesun selvittelykeskusten toimintavalmiuksia EU:ssa.

4 §.Rahanpesun selvittelykeskuksen oikeus saada, käyttää ja luovuttaa tietoa. Pykälän4 momenttia esitetään muutettavaksi ensinnäkin niin, että rahanpesurekisterin tietoja saa käyttää ja luovuttaa salassapitosäännösten estämättä myös Europol-asetuksen liitteen I mukaisten rikosten estämiseksi, paljastamiseksi ja selvittämiseksi sekä tutkintaan saattamiseksi. Lisäksi samaan momenttiin lisättäisiin maininta siitä, että tietoja voidaan luovuttaa Europolille. Rahoitustietodirektiivin 12 artiklassa edellytetään, että rahanpesun selvittelykeskus tekee yhteistyötä Europolin kanssa ja luovuttaa tietoja Europolin niitä pyytäessä. Rahoitustietodirektiivin mukaan rahanpesun selvittelykeskuksella tulee olla oikeus vastata asianmukaisesti perusteltuihin pyyntöihin, joita Europol esittää Europolin kansallisen yksikön välityksellä tai rahanpesun selvittelykeskuksen ja Europolin suoran yhteydenpidon kautta, jos kyseinen jäsenvaltio sen sallii. Tällaisten pyyntöjen on koskettava rahoitustietoja ja -analyysejä, ja ne on esitettävä tapauskohtaisesti Europolin vastuun rajoissa ja Europolin tehtävien suorittamista varten.

Perustelujen osalta viitataan muuten 2 §:ssä esitettyihin perusteluihin. Lisäksi esitetään lisättäväksi pykälän neljänteen momenttiin, että poliisi, Rajavartiolaitos, Tulli ja syyttäjät voivat pyytää rahanpesun selvittelykeskukselta rahoitustietoja- ja analyysejä Europol -asetuksen liitteessä I tarkoitettujen rikosten estämiseksi, paljastamiseksi ja selvittämiseksi sekä tutkintaan saattamiseksi. Säännöksellä täytäntöönpantaisiin rahoitustietodirektiivin 3 artiklan 2 kohta, jonka mukaan jokaisen jäsenvaltion on nimitettävä niiden viranomaistensa joukosta, joilla on toimivalta rikosten ennalta estämisessä, paljastamisessa, tutkimisessa ja niihin liittyvissä syytetoimissa, toimivaltaiset viranomaiset, jotka voivat pyytää ja saada rahoitustietoja ja -analyyseja rahanpesun selvittelykeskuksilta. Edellä mainitut viranomaiset ilmoitettaisiin Suomen osalta komissiolle rahoitustietodirektiivin 3 artiklan 3 kohdan edellyttämällä tavalla 3 artiklan 2 kohdan mukaisesti nimetyiksi viranomaisiksi. Säännöksen tarkoituksena on parantaa rahanpesun selvittelykeskusten ja toimivaltaisten viranomaisten välistä tiedonvaihtoa ja rahanpesun selvittelykeskusten laatimien rahoitustietojen ja -analyysien hyödyntämistä rikosten ennalta estämisessä, paljastamisessa ja niihin liittyvissä syytetoimissa.

8 Lakia alemman asteinen sääntely

Hallituksen esitykseen liittyen ei ole tarkoituksena antaa lakia alemman asteista sääntelyä.

9 Voimaantulo

Ehdotetaan, että lait tulevat voimaan mahdollisimman pian. Tullin koostavaa sovellusta koskevia säännöksiä sovellettaisiin 1.9.2022, koska koostavan sovelluksen rakentaminen vaatii tietojärjestelmiin tehtäviä muutoksia, joille tulee varata riittävä aika

10 Toimeenpano ja seuranta

Esitys liittyy rahoitustietodirektiivin ja 5. rahanpesudirektiivin täytäntöönpanoon ja sisäministeriö vastaisi direktiivien täytäntöönpanemiseksi annettavan sääntelyn notifioinnista Euroopan komissiolle.

Tulli vastaisi esityksessä ehdotetun koostavan sovelluksen rakentamisesta. Tulli toimii valtiovarainministeriön hallinnonalla ja valtiovarainministeriö seuraisi koostavan sovelluksen rakentamista, käyttöön ottamista ja toimintaa.

Pankki- ja maksutilien valvontajärjestelmää koskeva lainsäädäntö kuuluu valtiovarainministeriön valmisteluvastuulle ja valtiovarainministeriö seuraa lain toimivuutta.

Rahanpesun selvittelykeskus on sisäministeriön hallinnonalalla ja sisäministeriö seuraisi rahanpesun selvittelykeskuksesta annettujen lainmuutosten osalta sääntelyn toimivuutta.

11 Suhde muihin esityksiin

Valtiovarainministeriö on asettanut 11.12.2020 työryhmän rahanpesun ja terrorismin rahoittamisen estämisen uudistamiseksi (VN/25829/2020). Hankkeen toimikausi on 1.1.2021-31.8.2021 ja tehtävänä on valmistella ehdotus tarvittaviksi lakimuutoksiksi ja täydennyksiksi rahanpesun ja terrorismin rahoittamisen estämiseen liittyvään lainsäädäntöön.

Euroopan komissio antoi 20.7.2021 lainsäädäntöehdotuksia rahanpesun ja terrorismin rahoittamista koskien, ehdotukseen sisältyy ehdotus rahanpesudirektiivin muuttamiseksi, eli niin kutsuttu kuudes rahanpesudirektiivi (COM(2021) 423 final). Komission uusi säännösehdotus edellyttää, että jäsenvaltioiden on varmistettava, että keskitetyistä pankkitilirekistereistä saatavat tiedot ovat saatavilla komission kehittämän ja ylläpitämän pankkitilirekisterien keskitetyn yhteyspisteen kautta. Ehdotukseen liittyen komissio antoi myös ehdotuksen COM(2021) 429 final rahoitustietodirektiivin muuttamiseksi. Rahanpesua koskevien ehdotusten tarkoituksena on muun muassa selkeyttää sääntelyä koskien rahanpesun selvittelykeskusten tiedonsaantioikeuksia, sekä yhteistyötä ja tiedonvaihtoon käytettäviä kanavia. Säädösehdotus sisältää myös esityksen jäsenvaltioiden pankkitilirekisterien yhteenliittämisestä.

11.1 Esityksen riippuvuus muista esityksistä

Esitys ei ole riippuvainen muista esityksistä.

11.2 Suhde talousarvioesitykseen

Esityksen mukaan Tulli rakentaisi koostavan sovelluksen pankki- ja maksutilien valvontajärjestelmään. Alustavan arvion mukaan koostava sovellus voitaisiin toteuttaa jo Tullin tilirekisterihankkeelle aiemmin myönnetyllä rahoituksella. Lisäksi pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisille toimivaltaisille viranomaisille syntyisi kustannuksia siitä, kun ne rakentaisivat rajapintoja koostavaan sovellukseen. Edellä mainitut kustannukset voidaan rahoittaa viranomaisille aiemmin myönnetyillä määrärahoilla.

12 Suhde perustuslakiin ja säätämisjärjestys
12.1 Henkilötietojen suoja

Esityksessä ehdotettu sääntely on merkityksellistä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta.

Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 14/2018 vp, s. 5 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä vuoksi esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4‒5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp).

Perustuslakivaliokunta on aiemmin katsonut, että pankkisalaisuus ei ole yksityiselämän ydinalueeseen kuuluva seikka (PeVL 14/2002 vp, s. 4/II, PeVL 7/2000 vp, s. 4/I). Valiokunta on sittemmin arvioinut uudelleen yksityiselämän suojan ydinalueen merkitystä. Valiokunnan aiemmassa käytännössä esimerkiksi luottamuksellisen viestin tunnistamistietojen katsottiin jäävän luottamuksellisen viestin salaisuutta suojaavan perusoikeuden ydinalueen ulkopuolelle (ks. esim. PeVL 33/2013 vp, s. 3/I, PeVL 6/2012 vp, s. 3‒4, PeVL 29/2008 vp, s. 2/II ja PeVL 3/2008 vp, s. 2/I). Valiokunta on tarkistanut tätä käytäntöään, koska sähköisen viestinnän käyttöön liittyvät tunnistamistiedot sekä mahdollisuus niiden kokoamiseen ja yhdistämiseen voivat olla yksityiselämän suojan näkökulmasta siinä määrin ongelmallisia, että kategorinen erottelu suojan reuna ja ydinalueeseen ei aina ole perusteltua, vaan huomiota on yleisemmin kiinnitettävä myös rajoitusten merkittävyyteen (PeVL 18/2014 vp, s. 6/II, ks. myös PeVL 36/2018 vp, s. 22).

Perustuslakivaliokunta on katsonut, että EU:n yleisen tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä (ks. PeVL 14/2018 vp, s. 4). Sen sijaan rikosasioiden tietosuojadirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen käsittelyä koskevaa sääntelyä on tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta. Henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan kuitenkin joiltain osin täyttää myös tietosuoja-asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (ks. PeVL 14/2018 vp, s. 7, PeVL 26/2018 vp, s. 3‒4, PeVL 51/2018 vp, s. 3).

Perustuslakivaliokunta on katsonut myös EU-oikeuteen perustuvan yksityiselämän ja henkilötietojen suojan kannalta merkityksellisen kansallisen sääntelyn valmistelussa olevan syytä kiinnittää huomiota erityisesti EU-tuomioistuimen asioissa Digital Rights Ireland (C-293/12 ja C-594/12), Schrems (C-362/14) ja Tele2 Sverige ja Watson (C-698/15 ja C-203/15) antamiin ratkaisuihin (PeVL 36/2017 vp, s. 7, PeVL 35/2018 vp, s. 6, PeVL 13/2017 vp, s. 4‒5, PeVL 9/2017 vp, s. 5). EU-tuomioistuin on Tele2 Sverige ja Watson -tapauksessa todennut, että liikenne- ja paikkatietojen kokonaisuus voi mahdollistaa hyvin tarkkojen päätelmien tekemisen niiden henkilöiden, joiden tietoja on säilytetty, yksityiselämästä, kuten elämäntavoista, vakituisista tai väliaikaisista oleskelupaikoista, päivittäisestä tai muusta liikkumisesta, tekemisestä sekä näiden henkilöiden sosiaalisista suhteista ja heidän sosiaalisesta ympäristöstään (kohta 99, ks. myös Digital Rights -tuomio, 27 kohta). Tuomioistuin korosti, että näiden tietojen perusteella voidaan laatia asianomaisten henkilöiden profiili, joka on yksityiselämän kunnioittamista koskevan oikeuden kannalta aivan yhtä arkaluonteista tietoa kuin itse viestinnän sisältö.

Perustuslakivaliokunta on katsonut lausunnossaan (PeVL 48/2018 vp), että mitä suurimmassa määrin yksityisten ihmisten maksuliikenne siirtyy käteisen rahan käytöstä pankkitilin välityksellä tapahtuvaan maksuliikenteeseen, sitä yksityiskohtaisemman kuvan henkilön yksityiselämästä voi muodostaa pankkitilin tilitapahtumista. Tilitapahtumista voi ilmetä suoraan jopa arkaluonteisia tietoja, kuten tietoja uskonnollisen yhdyskunnan jäsenyydestä tai terveydenhuoltopalvelujen käytöstä. Valiokunnan mielestä luonnollisen henkilön yksityiskohtaiset tilitiedot rinnastuvat tämän johdosta yksityiselämän suojan ydinalueelle kuuluviin arkaluonteisiin tietoihin.

Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 15/2018 vp, s. 37, PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen mukaan sen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on tietosuoja-asetuksen mahdollistamissa puitteissa edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta (PeVL 14/2018 vp, s. 6).

Perustuslakivaliokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina myös arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3). Valiokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen.

Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat valiokunnan mukaan voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2‒3 ja siinä viitatut lausunnot). Valiokunta ei kuitenkaan ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (PeVL 19/2012 vp, s. 4/I ja siinä mainitut lausunnot).

Perustuslakivaliokunnan mukaan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan (PeVL 14/2018 vp, s. 7). Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että tällainen arvio on mahdollinen vain, jos hallituksen esityksessä eritellään riittävällä seikkaperäisyydellä ne syyt, joiden vuoksi henkilötietojen käsittely katsotaan lakiehdotuksessa välttämättömäksi. Valiokunta ei ole pitänyt riittävänä johtopäätöksenomaisia toteamuksia siitä, että ehdotettu laintasoinen sääntely on täsmällistä ja tarkkarajaista sekä perusoikeusjärjestelmän kokonaisuuden kannalta hyväksyttävää ja että ehdotetut muutokset ovat oikeasuhtaisia suhteessa niiden käyttötarkoitukseen eikä tavoitetta ole saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin, mikäli säätämisjärjestysperusteluissa ei ole kuitenkaan lainkaan täsmennetty niitä perusteita, joiden valossa uusia valtuuksia henkilötietojen käsittelyyn voitaisiin pitää perustuslain näkökulmasta hyväksyttävään syyhyn perustuvina ja oikeasuhtaisina (PeVL 38/2016 vp, s. 3). Valiokunta on painottanut, että tällainen puute lakiehdotuksen perusteluissa voi äärimmillään johtaa siihen, että lakiehdotuksen arvioidaan olevan asianmukaisesti perustelematta jääneiltä osiltaan perustuslain vastainen (ks. esim. PeVL 38/2016 vp, s. 3, PeVL 9/2016 vp, s. 6 ja PeVL 19/1998 vp, s. 3‒4).

Pääsy pankki- ja maksutilien valvontajärjestelmään

Pankki- ja maksutilien valvontajärjestelmää koskeneesta lakiehdotuksesta (HE 167/2018 vp) poistettiin eduskuntakäsittelyssä tilitapahtumia koskevat tiedot, eli pankki- ja maksutilien valvontajärjestelmä ei sisällä arkaluonteisia tietoja, joiden perusteella voitaisiin esimerkiksi saada kuva henkilön yksityiselämästä. Voimassaolevan lain mukaan pankki- ja maksutilien valvontajärjestelmään sisältyvät asiakkuutta, kuten tilinhaltijaa tai käyttöoikeuden haltijaa koskevat tiedot, pankkitilin yksilöintitiedot, kuten IBAN-numero sekä tosiasiallista edunsaajaa koskevat tiedot. Tiedonhakujärjestelmä mahdollistaa henkilötietojen ja pankkisalaisuuden piiriin kuuluvien varallisuustietojen luovuttamisen sähköisesti luottolaitoksilta laissa määriteltäville viranomaisille näiden lakisääteistä tehtävää varten. Tietoja ei tallenneta järjestelmään vaan ne luovutetaan rekisterinpitäjänä toimivalta luottolaitokselta viranomaiselle suoraan. Viranomaisen on esitettävä lainsäädännön peruste, jonka nojalla sillä on oikeus tiedot saada. Luottolaitos vastaa rekisterinpitäjänä luovutettavien tietojen oikeellisuudesta. Tulli toimii pankki- ja maksutilirekisterin rekisterinpitäjänä. Pankki- ja maksutilirekisterin käyttötarkoituksena on vastaanottaa ja tallentaa maksulaitosten, sähkörahayhteisöjen ja virtuaalivaluutan tarjoajien toimittamia tietoja. Tiedot vastaavat osin pankki- ja maksutilien tiedonhakujärjestelmän kautta luottolaitoksilta saatavia asiakastietoja.

Hallintolain (434/2003) 6 § sisältää hallinnon oikeusperiaatteet. Pykälän mukaan viranomaisen on kohdeltava hallinnossa asioivia tasapuolisesti sekä käytettävä toimivaltaansa yksinomaan lain mukaan hyväksyttäviin tarkoituksiin. Viranomaisen toimien on oltava puolueettomia ja oikeassa suhteessa tavoiteltuun päämäärään nähden. Niiden on suojattava oikeusjärjestyksen perusteella oikeutettuja odotuksia. Suhteellisuusperiaatteen keskeisenä sisältönä on, että viranomaisen toimien on oltava oikeassa suhteessa tavoiteltuun päämäärään nähden. Toisin sanoen viranomaisen toimen on oltava asianmukainen, tarpeellinen ja oikein mitoitettu sen tavoitteen kannalta, johon kysymyksessä olevalla toimella pyritään. Käytännössä suhteellisuusperiaate edellyttää, että viranomainen mitoittaa toimintansa alimmalle sellaiselle tasolle, jolla saadaan aikaan tarvittava vaikutus. Myös useassa erityislaissa, kuten poliisilain 1 luvun 3 §:ssä ja lain rikostorjunnasta Tullissa 1 luvun 6 §:ssä säädetään suhteellisuusperiaatteen soveltamisesta viranomaisen toiminnassa.

Hallituksen esityksessä pankki- ja maksutilien tiedonhakujärjestelmän osalta esitettävät käyttöoikeudet perustuvat viranomaisten voimassaolevan lainsäädännön mukaisiin toimivaltuuksiin ja tiedonsaantioikeuksiin. Esityksessä ei esitetä viranomaisille uusia toimivaltuuksia saada pankki- ja maksutilitietoja, eikä esityksen mukaisten viranomaisten osalta kyse ei siis ole tiedonsaantioikeussääntelystä, vaan ensisijaisesti tietyn teknisen järjestelmän käyttöoikeutta koskevasta sääntelystä. Nykytilanteeseen verrattuna esitys muuttaisi siis sitä tapaa, jolla tiedot toimitetaan luottolaitosten toimesta toimivaltaisille viranomaisille, eli tiedon saantia sähköistettäisiin. Lisäksi osalla viranomaisista, kuten esimerkiksi poliisilla, Ulosottolaitoksella ja Verohallinnolla on jo olemassa sähköinen tiedonkulkukanava usean pankin kanssa. Esityksen mukaan viranomaiset voisivat saada voimassaolevien toimivaltuuksiensa nojalla pääsyn pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin, jolloin pankki- ja maksutilejä koskevien kohdistamattomien tiedustelujen määrä ja niihin kohdentuva työaika vähenisivät sekä viranomaisilta, että luotto- ja maksulaitoksilta, päällekkäiset kyselyt vähenisivät ja kyselyjen tietosuoja, lokitiedot ja kyselyihin kohdistuva laillisuusvalvonta paranisivat.

Esityksessä ehdotetaan, että toimivaltaisilla viranomaisilla olisi oikeus päästä pankki- ja maksutilien valvontajärjestelmään lain 4 §:n mukaisesti luovutettaviin ja 6 §:ssä säädetyn mukaisesti tallennettuihin tietoihin, jos se on välttämätöntä säännöksessä lueteltujen tehtävien suorittamiseksi ja viranomaisella on muualla laissa säädetty oikeus saada pankki- ja maksutilien valvontajärjestelmään luovutetut ja tallennetut tiedot. Valvontajärjestelmän kautta luovutettavat tiedot olisi siis selkeästi rajattu laissa säädettyihin valvontajärjestelmässä oleviin tietoihin, välttämättömyysedellytykseen sekä viranomaisella muualla laissa säädettyyn oikeuteen saada pankki- ja maksutilejä koskevia tietoja. Välttämättömyysedellytystä olisi tulkittava tiukasti ja mikäli viranomainen harkinnassaan päätyisi siihen, että tiedot eivät ole välttämättömiä lakisääteisen tehtävän suorittamiseksi, ei tietopyyntöä voitaisi tehdä. On tärkeää huomioida, että pankki- ja maksutilien valvontajärjestelmän kautta ovat saatavissa vain asiakkuutta koskevat tiedot, pankkitilin yksilöintitiedot sekä tosiasiallista edunsaajaa koskevat tiedot. Tähän ei esitetä hallituksen esityksessä muutosta, eli mahdollinen tilitapahtumia koskeva tietopyyntö tapahtuisi muuta kautta, kuin pankki- ja maksutilien valvontajärjestelmää käyttäen.

Esityksessä esitetään ensinnäkin pääsyä pankki- ja maksutilien valvontajärjestelmään Europol-asetuksen liitteen I mukaisten rikosten ennalta estämiseksi, paljastamiseksi ja tutkimiseksi poliisille, rahanpesun selvittelykeskukselle, Tullille ja Rajavartiolaitokselle. Ehdotuksella täytäntöönpantaisiin rahoitustietodirektiivin 3 artiklan 1 kohta, jonka mukaan jäsenvaltioiden on nimettävä ne viranomaiset, joilla on pääsy pankki- ja maksutilien valvontajärjestelmään rikosten ennalta estämiseksi, paljastamiseksi, tutkimiseksi ja niihin liittyvien syytetoimien vuoksi. Pääsy järjestelmään kyseisen säännöksen nojalla edellyttäisi, että sen tulisi olla välttämätöntä Europol-asetuksen liitteen I mukaisen rikoksen ennalta estämiseksi, paljastamiseksi ja tutkimiseksi. Edellä mainitut rikokset ovat vakavia rikoksia ja niihin liittyvien tehtävien vuoksi pääsy järjestelmään olisi perusteltua rikosten ennalta estämisen, paljastamisen ja tutkimisen näkökulmasta.

Lisäksi esityksessä ehdotetaan pääsyä viranomaisille muihin käyttötarkoituksiin, kuin rahoitustietodirektiivissä säädettyihin. Esityksessä käytettäisiin tältä osin rahoitustietodirektiivin sallimaa pankki- ja maksutilien valvontajärjestelmää koskevaa kansallista liikkumavaraa.

Esityksessä Verohallinnolle ehdotetaan pääsyä pankki- ja maksutilien valvontajärjestelmään veromenettelystä annetun lain 19 §:ssä säädetyn tiedonantovelvollisuuden kohdentamiseksi. Ehdotus ei väljentäisi tai laajentaisi harkintavaltaa näiden tietojen käsittelylle verotuksessa. Verohallinnon virkailija tekee harkinnan pankkitilitietojen käsittelystä verotusmenettelystä annetun lain 19 §:n nojalla ja siinä säädetyn harkintavallan perusteella, vaikka kyselyn teknisessä toteutustavassa käytettäisiin pankki- ja maksutilien valvontajärjestelmää. Käytännössä pyynnön lähettäminen ensivaiheessa pankki- ja maksutilien valvontajärjestelmään olisi tekninen toimenpide, joka auttaisi kohdistamaan tilitapahtumia koskevan pyynnön niihin pankki- ja maksulaitoksiin, joissa henkilöllä on tili tai tilejä. Olennaista on, ettei pankki- ja maksutilien valvontajärjestelmän ehdotettu 3 § siten asiallisesti laajentaisi sitä harkintavaltaa tai oikeutta tietojen käsittelyyn liittyen pankkitilitietoihin, joka Verohallinnolla verotusmenettelystä annetun lain nojalla nykytilassa vakiintuneesti on. Sivullisen tiedonantovelvollisuutta koskevan sääntelyn voidaan katsoa myös tukevan ehdotettua mahdollisuutta antaa Verohallinnolle käyttöoikeus pankki- ja maksutilien valvontajärjestelmään.

Verohallinnon tehtävillä on läheinen tai välillinen liityntä rahoitustietodirektiivin soveltamisalaan. Valvontajärjestelmään perustuva pankki- ja maksutilitietojen käyttö Verohallinnon tehtävissä edistäisi välillisesti myös rahoitustietodirektiivin tarkoituksen ja tavoitteiden toteutumista. Esimerkiksi oikeus käyttää pankki- ja maksutilien valvontajärjestelmää verotuksessa voisi välillisesti pienentää mahdollisuutta käyttää pankkijärjestelmää väärin. Lisäksi mahdollisuus käyttää valvontajärjestelmän kautta pankki- ja maksutilitietoja verotuksessa voisi myös auttaa paljastamaan rahanpesuun liittyviä rikosepäilyjä aikaisessa vaiheessa, esimerkiksi jo verotuksen toimittamisen tai verotarkastuksen yhteydessä.

Tullille ehdotettaisiin pääsyä pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin Tullin suorittamaan verotukseen ja verovalvontaan, Tullin suorittamaan esitutkintaan ja rikostorjunnasta Tullissa annetun lain 1 luvun 2 §:n 3 ja 4 kohdassa tarkoitettuihin tullirikosten estämis- ja paljastamistehtäviin. Edellytyksenä tietoihin pääsyyn olisi se, että ne ovat välttämättömiä edellä mainittujen tehtävien suorittamiseksi. Tullin verotustoiminnoilla on merkittävä rooli varojen takaisin hankkimisessa erityisesti EU:n perinteisten omien varojen osalta. Tullin verotustoiminnot myös turvaavat unionin taloudellisia etuja. Rikostorjunnan osalta Tulli on esitutkintalaissa tarkoitettu esitutkintaviranomainen ja Tulli vastaa tullirikostorjunnasta siten kuin siitä rikostorjunnasta Tullissa annetussa laissa sekä muualla lainsäädännössä säädetään.

Tullilla on rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n 1 momentin nojalla oikeus saada yksityiseltä tai julkiselta yhteisöltä tai henkilöltä yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen tai hallintoneuvoston jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä tarvittavat tiedot tullirikoksen estämiseksi, paljastamiseksi tai selvittämiseksi.

Tullin tutkinnan toimintayksikkö tutkii muun muassa huumausainerikoksia, lääkerikoksia, veropetoksia, salakuljetusrikoksia sekä muita maahantuonnin yhteydessä tehtyjä rikoksia. Veropetosrikokset liittyvät usein EU:n taloudellisia intressejä vahingoittaviin tekoihin, kuten esimerkiksi tullien tai polkumyyntitullien välttämiseen, mutta Tulli tutkii myös valmisteverotukseen kohdistuvat rikokset. Tilitietoja tullirikosten tutkinnassa pyydetään yleensä vakiomuotoisella lomakkeella, johon merkitään kaikki tarpeelliset tiedot pyydettävistä tiedoista ja tutkittavasta rikoksesta. Tulli on tehnyt luotto- ja maksulaitoksiin tullirikosten tutkinnan yhteydessä vuosina 2017 ja 2018 noin 24 000 tilitietokyselyä vuodessa.

Ulosottoviranomaiselle esitettäisiin pääsyä ulosottokaaressa tarkoitettua täytäntöönpanoa varten, Ulosottomiehen tiedonsaantioikeus on ulosottokaaressa sidottu tietojen välttämättömyyteen yksittäisessä ulosottoasiassa. Välttämättömyyden arvioi ulosottomies. Ulosottokaaren sääntelyn voidaan katsoa tukevan mahdollisuutta antaa ulosottomiehille suora pääsy pankki- ja maksutilien valvontajärjestelmään.

Rahanpesun selvittelykeskuksen osalta esitetään niiden voimassaolevassa laissa säädettyjen tehtävien, joihin pääsy pankki- ja maksutilien valvontajärjestelmään voidaan myöntää, lisäksi pääsyä rahanpesun selvittelykeskuksesta annetun lain 2 §:n 1 momentin 8 kohdan mukaisten tehtävien nojalla, eli operatiivisten ja strategisten analyysien tekemiseksi koskien rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu tai saataisiin, tekotapoja, ilmiöitä, suuntauksia ja menetelmiä. Edellä mainittu tehtävä on säädetty rahanpesun selvittelykeskukselle 10.5.2021 voimaan tulleessa lainmuutoksessa, joka liittyy neljännen rahanpesudirektiivin täytäntöönpanon täydentämiseen. Esitetty pääsy valvontajärjestelmään liittyisi tältä osin rahanpesudirektiivistä tulevan velvoitteen johdosta rahanpesun selvittelykeskukselle säädettyyn lakisääteiseen tehtävään ja mahdollistaisi pääsyn pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin näiden tehtävien toteuttamiseksi. Pankki- ja maksutilitietojen käyttäminen on välttämätöntä, jotta rahanpesun selvittelykeskus voi suorittaa sille laissa säädetyt tehtävät.

Poliisille ja Rajavartiolaitokselle säädettäisiin pääsyä valvontajärjestelmään liittyen esitutkintaan, rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen ja kansallisen turvallisuuden ylläpitämiseen, poliisilla rahankeräyslaissa tarkoitettuun rahankeräysten valvontatehtävän suorittamiseen sekä poliisilain mukaisessa poliisitutkinnassa tarvittavia tietoja varten, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Pääsy valvontajärjestelmään mahdollistaisi poliisin ja Rajavartiolaitoksen edellä mainittujen tehtävien suorittamisen tehokkaalla tavalla.

Voimassa olevassa laissa poliisin tiedonsaantioikeudet on ensinnäkin rajattu rikoksen estämiseen tai selvittämiseen tai tärkeään yleiseen tai yksityiseen etuun. Käytännössä poliisissa päätöksen kyseisten tietojen hankkimisesta tekisi päällystöön kuuluva poliisimies kussakin yksittäistapauksessa erikseen, jolloin myös päätöksentekotaso on riittävän korkealla. Tietojen hankinnasta tehdään erillinen päätös ja pyyntö.

Rajavartiolaitoksella on voimassa olevan lainsäädännön mukaan oikeus saada pidättämiseen oikeutetun virkamiehen pyynnöstä Rajavartiolaitoksen tutkittavan rikoksen ennalta estämiseksi, paljastamiseksi tai selvittämiseksi tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Rajavartiolaitoksella on sama oikeus saada rajavartiolain 27 §:ssä tarkoitettua tutkintaa varten tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Kuten poliisilla, myös Rajavartiolaitoksella päätöksentekotaso on pankkitilitietoja hankittaessa riittävän korkealla ja tiedonsaantioikeudet on rajattu rikosten ennalta estämiseen, paljastamiseen tai selvittämiseen tai tärkeään yleiseen tai yksityiseen etuun liittyen rajavartiolaissa tarkoitettua tutkintaa.

Kansallisen turvallisuuden ylläpitämistä koskevat pääsyoikeudet pankki- ja maksutilien valvontajärjestelmään liittyisivät suojelupoliisin tehtäviin kansallisen turvallisuuden suojaamiseksi, eli siviilitiedustelun suorittamiseksi. Siviilitiedustelun kohteina voi olla muun muassa terrorismi, ulkomainen tiedustelutoiminta, joukkotuhoaseet, yhteiskunnan elintärkeitä toimintoja uhkaava toiminta ja sellainen vieraan valtion toiminta, joka voi aiheuttaa vahinkoa Suomen tärkeille eduille. On huomioitava, että terrorismin rahoittamista koskeva tiedonhankinta kuuluu näin ollen suojelupoliisin tehtäviin myös sen suorittaessa siviilitiedustelua. Suojelupoliisin käyttötarve ei rajoitu terrorismin ja sen rahoittamisen estämiseen, vaan se koskee yhtäläisesti suojelupoliisin kaikkia toimintasektoreita eli muun muassa vakoilun, proliferaation ja valtiollisen vaikuttamisen torjuntaa. Vaikka rahoitustietodirektiivi sinänsä koskee ensisijaisesti talousrikollisuuden ja terrorismin rahoittamisen torjuntaa, ei se estä säätämästä kansallisesti siitä, että tietojärjestelmää voidaan käyttää myös muiden vakavien rikosten tai kansallista turvallisuutta uhkaavien ilmiöiden torjumiseksi.

On huomioitava, että pankki- ja maksutilien tiedonhakujärjestelmä ei sisällä eikä sen ole tarkoitettu sisältävän mitään sellaista tietoa, jota koskien suojelupoliisilla ei jo olisi tiedonsaantioikeutta poliisilain 4 luvun 3 §:n 1 momentin ja 5 a luvun 50 §:n nojalla. Valvontajärjestelmän käyttöoikeuden antamisessa suojelupoliisille ei näin ollen ole kyse siitä, että sille perustettaisiin täysin uusi tiedonsaantioikeus, vaan pikemmin siitä, että muun lain nojalla jo olemassa olevan tiedonsaantioikeuden käyttöä sujuvoitettaisiin.

Valvontajärjestelmän käyttöä suojelupoliisin toiminnassa rajaisi se, mitä suojelupoliisin tiedonsaantioikeuksista muualla on säädetty: poliisilain 5 a luvun 50 § esimerkiksi edellyttää, että 1) tietojen on oltava tarpeen sellaisen saman luvun 3 §:ssä mainitun toiminnan, joka vakavastiuhkaa kansallista turvallisuutta, selvittämisessä, 2) tarpeellisuusarvioinnin on oltava yksittäistapauksellista ts. sen tulee koskea jokaista pyydettävää tietoa erikseen, ja 3) tietojen pyytäjänä tulee olla päällystöön kuuluva poliisimies. Rahoitustietodirektiivi myös edellyttää tietojärjestelmältä muun muassa sellaista lokinpitoa, että tiedonhaun toimivaltaperuste on jälkikäteen luotettavasti selvitettävissä. Suojelupoliisin toiminnassa tapahtuvan henkilötietojen käsittelyn lain- ja asianmukaisuuden valvonta aivan poikkeuksellisen tarkkaa, sillä sitä valvoo paitsi tietosuojavaltuutettu, myös erityisvaltuutettuna toimiva tiedusteluvalvontavaltuutettu.

Rahankeräyslaissa säädetään rahankeräyslain soveltumisesta myös sellaisiin rahankeräyksiin, joiden tarkoituksena on joko osittain tai kokonaan virtuaalivaluutan kerääminen. Pankki- ja maksutilien valvontajärjestelmästä annettavaan lakiin olisi tärkeää sisällyttää tiedonhakua koskevat säännökset rahankeräyslaissa tarkoitetun keräysten valvontatehtävän suorittamista varten, koska virtuaalivaluuttakeräysten valvonta perustuu pääasiallisesti edellä mainittuihin, järjestelmästä saataviin tietoihin. Ilman tiedonhaun mahdollistavia säännöksiä virtuaalivaluuttakeräysten valvonta on käytännössä lähes mahdotonta. Lisäksi voittoa tavoittelemattomia organisaatioita, jotka voivat kerätä rahaa, ei ole huomioitu rahanpesulaissa eikä niiden osalta siten ei ole nimettyä valvontaviranomaista rahanpesun ja terrorismin rahoittamisen osalta. Näissä asioissa valvonta voittoa tavoittelemattoman sektorin osalta tapahtuu mahdollisesti erinäisten toimijoiden muun valvonnan ohessa.

Puolustusvoimien osalta esitys mahdollistaisi pääsyn liittyen laissa sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa tarkoitettuun rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen sekä sotilastiedustelusta annetun lain säädetyn mukaisesti. Esitys helpottaisi Puolustusvoimien pääsyä pankki- ja maksutilitietoihin liittyen esimerkiksi omaisuus- ja petosrikosten selvittämiseen sekä sotilastiedusteluun. Viimeksi mainitulla tehtävä liittyy tiedon hankkimiseen Suomeen kohdistuvasta tai Suomen turvallisuusympäristön kannalta merkityksellisestä sotilaallisesta toiminnasta. taikka sellaisesta vieraan valtion toiminnasta tai muusta sellaisesta toiminnasta, joka vakavasti uhkaa Suomen maanpuolustusta tai vaarantaa yhteiskunnan elintärkeitä toimintoja. Valvontajärjestelmään pääsy auttaisi toteuttamaan maanpuolustuksen turvaamiseen liittyvää tehtävää.

Esityksessä esitetään Finanssivalvonnalle pääsyä pankki- ja maksutilien valvontajärjestelmään Finanssivalvonnasta annetussa laissa tarkoitettujen tehtävien suorittamiseen; Finanssivalvonnan osalta valvottavien on finanssivalvonnasta annetun lain nojalla toimitettava salassapitosäännösten estämättä Finanssivalvonnalle sen pyytämät tiedot ja selvitykset, jotka ovat tarpeen Finanssivalvonnalle laissa säädetyn tehtävän hoitamiseksi. Vastaava velvollisuus on sillä, jolla on kirjanpitolaissa tarkoitettumääräysvalta valvottavassa tai muussa finanssimarkkinoilla toimivassa tai joka on valvottavan tai muun finanssimarkkinoilla toimivan määräysvallassa. Edellä mainitut tiedot ovat olleet välttämättömiä silloin, kun niille on ollut tarvetta. Tiedoille on ollut tarvetta muun muassa tutkintapyyntöjen laatimisen sekä virka-avun tarjoamisen yhteydessä. Finanssivalvonnan valvontatehtävien laadukkaan suorittamisen vuoksi pääsy pankki- ja maksutilitietoihin on välttämätöntä.

Euroopan tietosuojavaltuutettu on pitänyt rahoitustietodirektiivin vaikutustenarviointiin SWD (2018) 114 final sisältyneellä konsultaatiokierroksella pankkitilejä koskevia kohdentamattomia tiedusteluita selkeästi ongelmallisena tietosuojanäkökulmasta ja ehdotetut muutokset vähentäisivät näiden kohdentamattomien tiedustelujen tekemisen tarvetta toimivaltaisten viranomaisten osalta, kun pankki- ja maksutilien valvontajärjestelmän kautta olisi mahdollista saada tieto siitä, missä pankissa on asiakkuuksia.

Pääsy pankki- ja maksutilien valvontajärjestelmään olisi kunkin viranomaisen osalta vain tähän tarkoitukseen koulutetulla ja valtuutetulla henkilöstöllä ja pääsy liittyisi aina viranomaisessa vireillä tai käsittelyssä olevaan yksittäiseen tapaukseen, jonka käsittelemiseksi ja ratkaisemiseksi valvontajärjestelmässä olevat tiedot olisivat välttämättömiä. Järjestelmän kautta tehtävät haut edellyttäisivät käytännössä sitä, että viranomaisessa tehdään tiedonhaun osalta harkinta, jossa määritellään se toimivaltuus, jonka nojalla tietoa pyydetään, sekä tiedon välttämättömyys. Kyse ei olisi viranomaisten osalta automaattisesta päätöksenteosta tai pankki- ja maksutilien valvontajärjestelmään kohdistuvista, yksilöimättömistä massahauista. Viranomaiset toimivat virkavastuulla ja tiedonhaun sähköistämisen seurauksena laillisuusvalvonta niiden osalta helpottuisi toimivaltaisessa viranomaisessa entisestään. Järjestelmästä tehdyt haut ja se, mihin toimivaltuuteen ne ovat perustuneet, merkittäisiin järjestelmän lokitietoihin.

Pankki- ja maksutilien valvontajärjestelmän on tarkoitus sisältää tietoja, jotka koskevat asiakkuutta luotto- ja maksulaitoksessa. Kuten esityksessä on edellä kuvattu, järjestelmä ei tällä hetkellä ole käytännössä toiminnassa kuin osittain, sillä tiedonhakujärjestelmiä ei ole tuotannossa ollenkaan eikä tilirekisterinkään osalta ole muita käyttäjiä kuin rahanpesun selvittelykeskus. Esityksessä esitetään pääsyoikeuksia järjestelmään viranomaisille, joilla on jo tälläkin hetkellä oikeus voimassaolevan lainsäädännön nojalla saada kyseessä olevat tiedot.

Kun punnitaan henkilötietojen suojaa ja pääsyn oikeasuhtaisuutta, oleellinen kysymys on se, miksi maksulaitosten, sähkörahayhteisöjen, luottolaitosten ja virtuaalivaluutan tarjoajien asiakkuutta koskevat tiedot olisivat sellaisia tietoja, että viranomaisten, joilla on oikeus voimassaolevan lainsäädännön nojalla saada kyseiset tiedot, ei tulisi saada pääsyä näihin tietoihin sähköisessä muodossa, kun kyseessä olevat tiedot tällä hetkellä saadaan vähintään paperimuodossa. Pankki- ja maksutilien valvontajärjestelmässä olevista tiedoista ei muodostu kattavaa kuvaa henkilön taloudellisesta asemasta tai yksityiselämästä, koska tiedot sisältävät vain asiakkuutta koskevia tietoja. Ottaen huomioon sen, että pääsyoikeuksilla toteutettaisiin viranomaisten lakisääteisiä tehtäviä ja sen, että tietosuojasta olisi huolehdittu esityksen mukaisella tavalla, pääsyn myöntäminen järjestelmään on oikeasuhtaista ja siihen liittyvä henkilötietojen käsittely perusteltua.

Koostava sovellus

Rahoitustietodirektiivin 4 artiklan 1 kohta edellyttää, että direktiivin 3 artiklan 1 kohdan mukaisesti nimetyillä kansallisilla toimivaltaisilla viranomaisilla on valtuudet päästä tilitietoihin ja tehdä niitä koskevia hakuja suoraan ja välittömästi aina, kun se on tarpeen heidän tehtäviensä suorittamiseksi voidakseen estää ennalta, paljastaa ja tutkia rikoksia tai niihin liittyviä syytetoimia varten tai tukea vakaviin rikoksiin liittyvää rikostutkintaa, mukaan lukien tutkintaan liittyvien varojen tunnistaminen, jäljittäminen ja jäädyttäminen. Myös viidennen rahanpesudirektiivin 32 a artiklan 2 kohta sisältää edellytyksen siitä, että pankkitilirekisterien tietojen tulee olla saatavissa välittömästi ja suodattamattomina. Rahoitustietodirektiivi vastaa viidettä rahanpesudirektiiviä tietojen luovuttamisvelvollisen mahdollisuuksista saattaa tietopyynnön laillisuus arvioitavaksi. Tältä osin rahoitustietodirektiivissä ei ole säädetty kansallista liikkumavaraa, vaan tiedot on luovutettava välittömästi siten, ettei tietojen luovuttajalla ole oikeutta yksittäistapauksessakaan kyseenalaistaa tietojen luovutusta ja sen lainmukaisuutta.

Osin rahoitustietodirektiivin 4 artiklan 1 kohdan täytäntöönpanoon ja viidennen rahanpesudirektiivin 32 a artiklan 2 kohdan täytäntöönpanoon liittyen esityksessä ehdotetaan, että pankki- ja maksutilien valvontajärjestelmästä voitaisiin välittää tietoja automatisoidun koostavan sovelluksen kautta ensinnäkin direktiivin 3 artiklan 1 kohdan mukaisesti nimetyille toimivaltaisille viranomaisille ja kansallisena laajennuksena myös muille pankki- ja maksutilien valvontajärjestelmästä annetun lain 3 §:ssä nimetyille toimivaltaisille viranomaisille. Tiedonhakujärjestelmiä ylläpitävien toimijoiden velvollisuus luovuttaa tieto koostavaan sovellukseen perustuisi pankki- ja maksutilien valvontajärjestelmästä annetun lain 4 §:ään ja ehdotettuun uuteen 7 a §:ään. Esityksessä ehdotettu koostava sovellus parantaisi henkilötietojen suojaa, sillä suora rajapinta luottolaitoksiin luo rekisteröityjen oikeuksille korkeamman riskin kuin, jos tietopyynnöt luottolaitokselle ohjataan yhdenmukaisesti koostavan sovelluksen kautta. Lisäksi tietosuojaa parantaisi merkittävästi se, että ehdotuksen mukaan tietoa pyynnön tehneestä viranomaisesta ja pyynnön perusteesta ei toimitettaisi tiedonhakujärjestelmää ylläpitävälle toimijalle. Esityksen mukainen muutos sen osalta, että luottolaitokset eivät saisi koostavan sovelluksen välityksellä tehtyjen pyyntöjen osalta tietoa siitä viranomaisesta, joka on pyytänyt tietoa ja säännöksestä, jonka nojalla pyyntö on tehty, tarkoittaisi sitä, että tiedonluovuttajalta poistuisi mahdollisuus jälkikäteiseen hakujen laillisuuden arviointiin. Muutos merkitsisi sitä, että lokitietojen käyttö olisi tietosuoja-asetuksen velvoitteiden mukaista ja rajoitettu siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä voi lain ja asetusten mukaisesti käsitellä, eli tietojen käsittely minimoitaisiin. Automaattinen tietojen luovutus perustuu pankki- ja maksutilien valvontajärjestelmää koskevaan lakiin, joka säätää tiedonluovutuksen rekisterinpitäjän velvollisuudeksi ilman rekisterinpitäjän osoitusvelvollisuutta siitä, että se on kussakin yksitäistapauksessa varmistunut tietojen luovutuksen olleen lainmukainen. Edelleen viranomaisella olisi velvollisuus esittää oikeusperuste jo tiedonhakua tehtäessä, mutta tämä tieto jäisi lokitietoihin, josta se voitaisiin jälkikäteisellä laillisuusvalvonnalla saattaa tietosuojavaltuutetun tutkittavaksi.

Yleinen tietosuoja-asetus velvoittaa, että henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään, eli velvollisuutena on tietojen minimointi. Koostavan sovelluksen käsittelyn tekninen luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen aiheuttaisi luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, mikäli tietopyynnöt välittyisivät luottolaitosten tiedonhakujärjestelmien lokitietoihin. Luottolaitoksille ei ole tarpeellista saada tietoa siitä, mihin oikeusperusteeseen yksittäinen tietopyyntö on perustunut, koska luottolaitosten tiedonluovutuksen oikeusperuste ei perustuisi yksittäiseen tietopyyntöön, vaan pankki- ja maksutilien valvontajärjestelmästä annetussa laissa säädettävään velvollisuuteen luovuttaa automaattisesti ilman ennakkotarkastusta tiedot Tullin koostavaan sovellukseen. Puolestaan viranomaisen oikeusperuste saada tiedot perustuisi edelleen kussakin yksittäistapauksessa nimenomaiseen tiedonsaantinormiin ja arvioon tiedon välttämättömyydestä käsillä olevassa viranomaisen tehtävässä.  Voidaan kysyä, mikä olisi se jälkikäteinen tarkoitus, mihin luottolaitos käyttäisi lokitietoja viranomaisen esittämästä oikeusperusteesta, kun rekisterinpitäjällä, eli tässä tapauksessa luottolaitoksella, ei ole säädetty tietosuoja-asetuksen 5 artiklan 2 kohdassa jälkikäteiseen laillisuusvalvontaan oikeutta, vaan osoitusvelvollisuus tietojen luovutuksen lainmukaisuudesta on asetettu ainoastaan aikaan ennen tietojenluovutusta.

Kuten esityksessä on edellä todettu, on jo voimassaolevan pankki- ja maksutilien valvontajärjestelmästä annetun lain 4 §:n 1 momentin mukaisesti luottolaitoksen välitettävä tiedot toimivaltaiselle viranomaiselle välittömästi, eli ilman mahdollisuutta ennakkokontrolliin. Tiedonluovuttajalla ei siis ole käytännössä mahdollisuutta kieltäytyä toimittamasta tietoa voimassaolevan sääntelyn mukaan, eikä esitys merkitsisi muutosta tähän. Sitä vastoin esitys muuttaisi luottolaitosten mahdollisuutta jälkikäteen käsitellä lokitietoja viranomaisen tietopyynnön oikeusperusteesta, koska viranomaisen tietopyyntö tapahtuisi koostavan sovelluksen kautta, joka mahdollistasi sen, ettei luottolaitokselle välitettäisi tarpeetonta tietoa yksittäisen kyselyn tehneestä viranomaisesta ja viranomaisen oikeusperusteesta. Ehdotettu sääntely on yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan mukaisten tietojen käsittelyä koskevien periaatteiden mukaista ja vastaa henkilötietojen käsittelyn osalta tietojen minimointia koskevaa velvoitetta.

Asiaa on käsitelty yksityiskohtaisemmin koostavan sovelluksen tietosuojavaikutuksia koskevassa osiossa sivuilla 57 – 59. Pankki- ja maksutilien valvontajärjestelmään esitetyt muutosehdotukset liittyen koostavaan sovellukseen ja sen käyttöön, kuten lokitietoihin ja henkilöstön valtuuttamiseen, ovat tarkkarajaisia ja täsmällisiä. Esitetty muutos olisi oikeasuhtainen ja välttämätön, koska sillä parannettaisiin merkittävästi rekisteröidyn henkilötietojen suojaa. Koostavan sovelluksen osalta Tulli toimisi rekisterinpitäjänä ja Tullia sitoisivat tässä tehtävässä rekisterinpitäjää koskevat lainsäädännön velvoitteet.

Esityksessä ehdotetaan koostavaan sovellukseen liittyen rekisteröidyn oikeuksien rajoittamista rahoitustietodirektiivin 18 artiklan mahdollistamalla tavalla. Rajoitus perustuisi sekä yleisen tietosuoja-asetuksen 23 artiklassa ja tietosuojalain 34 §:ssä säädettyyn mahdollisuuteen rajoittaa rekisteröidyn oikeuksia tutustua hänestä kerättyihin tietoihin, jos 1) tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä; 2) henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi sekä rikosasioiden tietosuojalain 28 §:ssä säädettyyn mahdollisuuteen rajoittaa rekisteröidyn oikeuksia, jos se on rekisteröidyn oikeudet huomioon ottaen oikeasuhtaista ja välttämätöntä 1) rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi; 2) viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi; 3) yleisen turvallisuuden suojelemiseksi; 4) kansallisen turvallisuuden suojelemiseksi; tai 5) muiden henkilöiden oikeuksien suojelemiseksi. Viranomaisten rikosasioita koskevaan tietojenkäsittelyyn ja myös ehdotettuun Tullin ylläpitämään automaattiseen koostavaan sovellukseen sovelletaan rikosasioiden tietosuojadirektiiviä. Lisäksi, koska koostavalla sovelluksella käsitellään lisäksi viidennen rahanpesudirektiivin alaan kuuluvia henkilötietoja, viranomaisen käsittelyyn soveltuvat myös yleisen tietosuoja-asetuksen mukaiset säännökset. Käsittely koostavalla sovelluksella olisi automaattista ja rahoitustietodirektiivi edellyttää, ettei minkään välittävän laitoksen, eikä siten myöskään Tullin koostavan sovelluksen rekisterinpitäjän ominaisuudessa, tule puuttua tietoihin, joita se koostavan sovelluksen avulla välittää toimivaltaisille viranomaisille. Rekisteröidyn oikeuksien rajoitus olisi perusteltu ja perustuslain mukainen koostavan sovelluksen osalta tietosuojasääntelyn nojalla.

Rahanpesun selvittelykeskuksen tehtävät

Rahanpesun selvittelykeskuksen osalta esityksessä ehdotetaan, että selvittelykeskuksen tehtäviin lisättäisiin yhteistyö viranomaisten kanssa Europol-asetuksen liitteessä I tarkoitettujen rikosten estämiseksi, paljastamiseksi, selvittämiseksi sekä tutkintaan saattamiseksi. Lisäksi esitetään, että rahanpesun selvittelykeskuksella olisi oikeus luovuttaa tietoja edellä mainittuihin tarkoituksiin. Ehdotetuilla muutoksilla täytäntöönpantaisiin rahoitustietodirektiivin 7 artiklan 2 kohta, jonka mukaan jäsenvaltion on huolehdittava siitä, että sen kansalliselta rahanpesun selvittelykeskukselta edellytetään, että se tekee yhteistyötä 3 artiklan 2 kohdassa tarkoitettujen nimettyjen toimivaltaisten viranomaistensa kanssa ja että se pystyy vastaamaan viipymättä näiden nimettyjen toimivaltaisten viranomaisten esittämiin, riittävällä tavalla perusteltuihin rahoitustietoja ja -analyysejä koskeviin pyyntöihin aina, kun kyseisiä rahoitustietoja tai -analyysejä tarvitaan tapauskohtaisesti vakavien rikosten ennalta estämistä, paljastamista, tutkimista ja niihin liittyviä syytetoimia varten ja kun tietopyynnöt perustellaan näihin liittyvillä syillä. Rahoitustietodirektiivi siis edellyttää, että selvittelykeskus tekee yhteistyötä toimivaltaisten viranomaisten kanssa ja pystyy vastamaan näiden esittämiin tietopyyntöihin direktiivin mukaisiin vakaviin rikoksiin liittyen. Esitetty muutosehdotus olisi tarpeellinen, koska rahanpesun selvittelykeskuksen nykyiset tehtävät kattavat rahanpesun ja terrorismin rahoittamisen ja niiden esirikokset. Europol-asetuksen liite I sisältää myös sellaisia erittäin vakavia henkeen ja terveyteen tai itsemääräämisoikeuteen sekä omaisuuteen ja yleiseen turvallisuuteen sekä yhteiskuntaan kohdistuvia rikoksia, joissa ei aina ole taloudellista hyötymistarkoitusta ja jotka eivät siis tällöin kuulu rahanpesun tai terrorismin rahoittamisen esirikosten tämänhetkiseen määritelmään.

Esitys laajentaisi rahanpesun selvittelykeskuksen nykyisiä toimivaltuuksia ja sillä on vaikutuksia henkilötietojen suojan kannalta. On tärkeää, että Suomessa voidaan tehokkaasti estää, paljastaa ja tutkia vakavia rikoksia ja esityksen mukainen rahanpesun selvittelykeskusten tiedonvaihto rikosten estämisestä, paljastamisesta, tutkimisesta ja syyteharkintaan saattamisesta vastaavien toimivaltaisten viranomaisten kanssa toteuttaisi rikostorjunnan ja -selvittämisen intressiä ja henkilötietojen välittämisen näiden tietojen vaihtamisen yhteydessä voidaan katsoa olevan välttämätöntä ja perusteltua sekä sopusoinnussa perustuslain turvaaman henkilötietojen suojan kanssa.

12.2 EU:n yleinen tietosuoja-asetus ja rikosasioiden tietosuojadirektiivi

Perustuslakivaliokunta on todennut, että tietosuoja-asetus on EU:n säädös, joka on kaikilta osiltaan velvoittava ja jota sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (PeVL 1/2018 vp). Perustuslakivaliokunta on myös todennut, että sen valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Perustuslakivaliokunta on kuitenkin esittänyt huomioita unionin lainsäädännön ja kansallisen lainsäädännön suhteesta. Valiokunta on tulkintakäytännössään pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4).

Perustuslakivaliokunnan mukaan henkilötietojen suojan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa valtiosääntöisessä arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan. Valtiosääntöisiä kysymyksiä liittyy myös esimerkiksi kansallista sääntelyä edellyttäviin oikeusturvan ja hyvän hallinnon takeisiin (ks. PeVL 14/2018 vp, s. 7). Perustuslakivaliokunta painottaa edelleen, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden (ks. PeVL 14/2018 vp, s. 8). Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 54/2014 vp, s. 2/II, PeVL 10/2014 vp, s. 4/II). Valiokunta on korostanut erityisesti asiakirjajulkisuuden ja henkilötietojen suojan välistä tasapainoa (PeVL 22/2008 vp, s. 4/I).

Perustuslakivaliokunta on tietosuoja-asetusta täydentävää lainsäädäntöä koskevassa lausunnossaan pitänyt perusteltuna tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. (PeVL 14/2018 vp, s. 4) Perustuslakivaliokunta katsoo myös, että sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellainen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa. Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (PeVL 14/2018 vp, s. 5).

Esityksessä tarkoitettu henkilötietojen käsittely kuuluu osittain rikosasioiden tietosuojadirektiivin ja sen kansallisen täytäntöönpanolainsäädännön soveltamisalaan tilanteissa, joissa tietoja käsiteltäisiin rikosasioiden tietosuojalain mukaisten toimivaltaisen viranomaisten toimesta laissa määriteltyihin käyttötarkoituksiin. Osana perustuslain 10 §:n tulkintakäytäntöön kohdistuvaa tarkistusta perustuslakivaliokunta katsoi, että rikosasioiden tietosuojadirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen käsittelyä koskevaa sääntelyä on tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta. Merkityksellistä tässä suhteessa on myös, että rikosasioiden tietosuojalaki on soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityislainsäädännöllä. Henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan kuitenkin joiltain osin täyttää myös tietosuoja-asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 14/2018 vp, PeVL 26/2018 vp, PeVL 51/2018 vp).

Esitykseen sisältyvässä koostavaa sovellusta koskevassa ehdotuksessa on pyritty huomioimaan tietosuoja-asetuksen ja muun tietosuojasääntelyn asettamat vaatimukset. Rahoitustietodirektiivin edellyttämästä sääntelystä ja kansallisen liikkumavaran käytöstä on tehty tarkemmin selkoa hallituksen esityksen osiossa 5.1 Vaihtoehdot ja niiden vaikutukset. Esityksessä ehdotettu henkilötietojen käsittelyä koskeva erityissääntely on arvioitu välttämättömäksi.

Esityksen tavoitteena on helpottaa tiedonsaantia teknisen sovelluksen avulla niiden viranomaisten osalta, joilla voimassaolevan lainsäädännön mukaan on jo oikeus saada näitä tietoja. Esityksen valmistelussa on arvioitu, että ehdotettu henkilötietojen käsittelyä ja salassapidettävien tietojen luovuttamista koskeva sääntely ei merkitse pidemmälle menevää perusoikeuksien rajoitusta kuin on perusteltua, ottaen huomioon ehdotusten taustalla olevien tavoitteiden painavuus suhteessa rajoitettavaan perusoikeuteen. Ehdotetun sääntelyn on arvioitu olevan välttämätön ja oikeasuhtainen toimenpide esityksen tavoitteiden saavuttamiseksi.

12.3 Erityiset henkilötietoryhmät

Perustuslakivaliokunnan mielestä arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. (PeVL 14/2018 vp ja PeVL 15/2018 vp). Vaikka EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (ks. myös PeVL 14/2018 vp), pitää perustuslakivaliokunta edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi (PeVL 15/2018 vp). Näillä tarkoitetaan laajempaa tietojoukkoa kuin vain tietosuoja-asetuksessa tarkoitetut erityiset henkilötietoryhmät (ks. tältä osin myös esim. PeVL 17/2018 vp.). Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 15/2018 vp, myös 13/2016 vp, PeVL 14/2009 vp).

Myös tietosuoja-asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Perustuslakivaliokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 15/2018 vp). Perustuslakivaliokunta on katsonut, että luonnollisen henkilön yksityiskohtaiset tilitiedot rinnastuvat tämän johdosta yksityiselämän suojan ydinalueelle kuuluviin arkaluonteisiin tietoihin.

Pankki- ja maksutilien valvontajärjestelmä sisältää vain asiakkuuteen, pankkitilin yksilöintiin ja tosiasiallista edunsaajaa koskevia tietoja. Esityksen mukainen pääsy pankki- ja maksutilien valvontajärjestelmässä oleviin tietoihin ei koskisi erityisiä henkilötietoryhmiä tai arkaluonteisia henkilötietoja, koska valvontajärjestelmä sisältää vain edellä mainitut tiedot.

Edellä todettu huomioon ottaen esityksessä ehdotetun sääntelyn arvioidaan täyttävän perustuslain 10 §:stä seuraavat vaatimukset.

12.4 12.4. Hallinnolliset seuraamukset

Perustuslakivaliokunnan vakiintuneen tulkintakäytännön mukaan lainvastaisesta teosta määrät-tävä maksu ei ole perustuslain 81 §:n mukainen vero tai maksu vaan rangaistusluonteinen taloudellinen seuraamus. Valiokunta on asiallisesti rinnastanut rangaistusluonteisen rahamääräi-sen seuraamuksen rikosoikeudelliseen seuraamukseen (PeVL 4/2001 vp, s. 7, PeVL 32/2005 vp, s. 2, PeVL 55/2005 vp, s. 2, PeVL 17/2012 vp s. 6). Hallinnollisen seuraamuksen yleisistä perusteista on säädettävä perustuslain 2 §:n 3 momentin edellyttämällä tavalla lailla, koska sen määräämiseen sisältyy julkisen vallan käyttöä. Laissa on valiokunnan mukaan täsmällisesti ja selkeästi määriteltävä seuraamuksen ja sen suuruuden perusteista ja oikeusturvasta samoin kuin lain täytäntöönpanon perusteista (PeVL 32/2005 vp, s. 2‒3, PeVL 55/2005 vp, s. 2, PeVL 57/2010 vp, s. 2, PeVL 17/2012 vp s. 6). Perustuslakivaliokunta on todennut, että vaikka perus-tuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen täsmällisyysvaatimus ei sellaisenaan koh-distu hallinnollisten seuraamusten sääntelyyn, tarkkuuden yleistä vaatimusta ei kuitenkaan voida tällaisen sääntelyn yhteydessä sivuuttaa (PeVL 9/2012 vp, s. 2, PeVL 57/2010 vp, s. 2 ja PeVL 74/2002 vp, s. 5).

Ehdotuksen mukaan Tulli voisi asettaa pankki ja maksutilien valvontajärjestelmästä annetun lain 4 §:n 1 ja 2 momentissa tarkoitetun tietojenantovelvollisuuden tehosteeksi uhkasakon, jos laiminlyönti ei ole vähäinen ja määrätä rikemaksun edellä mainitun lain 4 §:n 2 momentissa säädetyn tietojen toimittamista koskevan velvoitteen joko huolimattomuudesta laiminlyöneelle tai velvollisuuden rikkoneelle.

Tullille ehdotetut toimivaltuudet ovat perustuslakivaliokunnan tulkintakäytännön mukaisesti täsmälliset ja tarkkarajaiset.

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.

Ponsi

Edellä esitetyn perusteella ja koska rahoitustietodirektiivissä ja viidennessä rahanpesudirektiivissä on säännöksiä, jotka ehdotetaan pantaviksi täytäntöön lailla, annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

1.

Laki pankki- ja maksutilien valvontajärjestelmästä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan pankki- ja maksutilien valvontajärjestelmästä annetun lain (571/2019) 2 §:n 10 kohta, 3 §, 4 §:n 2 momentin johdantokappale ja 1 ja 2 kohta sekä 3—5 momentti, 6 §:n 2 momentin johdantokappale ja 3 kohta, 3 momentin 1 kohta sekä 5 momentti, 7 §:n 2 momentti, 10 ja 11 § sekä 12 §:n 1 momentti, sellaisina kuin niistä ovat 2 §:n 10 kohta, 4 §:n 2 momentin 1 kohta, 6 §:n 2 momentin johdantokappale ja 3 kohta sekä 3 momentin 1 kohta sekä 11 § laissa 730/2020, sekä

lisätään 2 §:ään uusi 11 kohta sekä lakiin uusi 3 a ja 7 a § seuraavasti:

2 §
Määritelmät

Tässä laissa tarkoitetaan:


10) muilla talletustileillä sellaisia luottolaitostoiminnasta annetun lain 1 luvun 9 §:ssä tarkoitettua talletusta koskevia tilejä, jotka eivät ole maksulaitoslain 5 §:n 4 kohdassa tarkoitettuja maksutilejä;

11) koostavalla sovelluksella Tullin ylläpitämää automatisoitua teknistä ratkaisua, jonka avulla se välittää tietoja pankki- ja maksutilien valvontajärjestelmästä toimivaltaisille viranomaisille.

3 §
Pankki- ja maksutilien valvontajärjestelmää käyttävät viranomaiset

Seuraavilla toimivaltaisilla viranomaisilla on oikeus päästä pankki- ja maksutilien valvontajärjestelmään 4 §:n mukaisesti luovutettaviin ja 6 §:n mukaisesti tallennettuihin tietoihin, jos se on välttämätöntä seuraavien tehtävien suorittamiseksi ja viranomaisella on muualla laissa säädetty oikeus saada edellä mainitut tiedot:

1) poliisilla, rahanpesun selvittelykeskuksella, Tullilla ja Rajavartiolaitoksella Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794, jäljempänä Europol-asetus, liitteen I mukaisten rikosten ennalta estämiseksi, paljastamiseksi ja tutkimiseksi;

2) Verohallinnolla verotusmenettelystä annetun lain (1558/1995) 19 §:ssä säädetyn tiedonantovelvollisuuden kohdentamiseksi;

3) Tullilla tullilain (304/2016) 102 §:n 2 momentissa säädetyn tiedonantovelvollisuuden kohdentamiseksi verotus- ja verovalvontatehtävää varten sekä esitutkintaan ja rikostorjunnasta Tullissa annetun lain (623/2015) 1 luvun 2 §:n 3 ja 4 kohdassa tarkoitettuihin tullirikosten estämis- ja paljastamistehtäviin;

4) Ulosottoviranomaisella ulosottokaaressa (705/2007) tarkoitettua täytäntöönpanoa varten;

5) rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa (444/2017) tarkoitetuilla toimivaltaisilla viranomaisilla ja asianajajayhdistyksellä mainitussa laissa tarkoitettuun valvontatehtävän suorittamiseen;

6) rahanpesun selvittelykeskuksella rahanpesun selvittelykeskuksesta annetun lain (445/2017) 2 §:n 1 momentin 1—4, 7 ja 8 kohdassa tarkoitettujen tehtävien hoitamiseen;

7) poliisilla ja Rajavartiolaitoksella esitutkintaan, rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen ja kansallisen turvallisuuden ylläpitämiseen, poliisilla rahankeräyslaissa (863/2019) tarkoitettuun rahankeräysten valvontatehtävän suorittamiseen sekä poliisilain (872/2011) 6 luvun mukaiseen poliisitutkintaan tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii;

8) Puolustusvoimilla sotilaskurinpidosta ja rikostorjunnasta Puolustusvoimissa annetussa laissa (255/2014) tarkoitettuun rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen sekä sotilastiedustelusta annetun lain (590/2019) 104 §:n mukaisesti;

9) Finanssivalvonnalla Finanssivalvonnasta annetun lain (878/2008) 3 §:ssä tarkoitettujen tehtävien suorittamiseen.

3 a §
Toimivaltaisten viranomaisten pääsy tietoihin ja niitä koskevien hakujen tekemistä koskevat edellytykset

Pääsy 4 ja 6 §:ssä tarkoitettuihin tietoihin ja mahdollisuus tehdä niitä koskevia hakuja on ainoastaan sellaisella 3 §:ssä tarkoitetun viranomaisen henkilöstön jäsenellä, joka on nimetty ja valtuutettu suorittamaan näitä tehtäviä.

4 §
Pankki- ja maksutilien tiedonhakujärjestelmä

Tiedonhakujärjestelmän kautta luovutetaan toimivaltaiselle viranomaiselle seuraavat tiedot kuluvan vuoden ja viiden edellisen vuoden ajalta, jos toimivaltainen viranomainen on ne salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä oikeutettu muun lain nojalla saamaan:

1) tilinhaltijan ja sen käyttöoikeudenhaltijan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus sekä asiakkuuden ja tilin käyttöoikeuden alkamis- ja päättymispäivä, tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen, asiakkuuden ja tilin käyttöoikeuden alkamis- ja päättymispäivä sekä kaikki tilin käyttöoikeudenhaltijat ja näiden luonnollista henkilöä koskevat edellä mainitut tiedot;

2) rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 1 luvun 5—7 §:ssä tarkoitettujen tosiasiallisten edunsaajien täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus sekä asiakkuuden alkamis- ja päättymispäivä;


Toimivaltaisen viranomaisen on yksilöitävä säännös, jonka nojalla se pyytää tietoa. Luottolaitoksen on toimitettava tieto toimivaltaiselle viranomaiselle maksutta. Luottolaitokset vastaavat luovutettavien tietojen oikeellisuudesta sekä tietojen oikaisemisesta ilman aiheetonta viivytystä.

Asianajajan asiakasvaratilien yhteyteen on merkittävä nimenomainen tieto siitä, että pankki- tai maksutili on asianajajan asiakasvarojen tili, jota koskee asianajajan salassapitovelvollisuus. Tietoja asiakasvaratileistä ei saa luovuttaa tiedonhakujärjestelmän kautta, vaan ainoastaan tiedon siitä, että kyseessä on asianajajan asiakasvaratili sekä minkä asianajajan asiakasvaratili on kyseessä.

Tulli valvoo 1 ja 2 momentissa tarkoitettujen velvoitteiden noudattamista sekä antaa määräyksen pankki- ja maksutilien tiedonhakujärjestelmän teknisistä vaatimuksista.

6 §
Pankki- ja maksutilirekisteriin tallennettavat tiedot

Pankki- ja maksutilirekisteriin tallennetaan seuraavat tiedot kuluvan vuoden ja viiden edellisen vuoden ajalta maksulaitoksen, sähkörahayhteisön ja virtuaalivaluutan tarjoajan rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 3 luvun 2 §:ssä tunnistettavaksi säädetystä asiakkaasta:


3) maksutilin IBAN-numero tai muu yksilöintitunnus sekä tilin avaamis- ja sulkemispäivä.


Jos luottolaitos on saanut Finanssivalvonnalta 4 §:n 1 momentissa tarkoitetun luvan poiketa tiedonhakujärjestelmän ylläpitovelvoitteesta, pankki- ja maksutilirekisteriin tallennetaan seuraavat tiedot:

1) tilinhaltijan ja sen käyttöoikeudenhaltijan täydellinen nimi, syntymäaika ja suomalainen henkilötunnus tai sen puuttuessa kansalaisuus sekä asiakkuuden ja tilin käyttöoikeuden alkamis- ja päättymispäivä, tai jos tilinhaltija on oikeushenkilö, sen täydellinen nimi, rekisterinumero, rekisteröimispäivä ja rekisteriviranomainen, asiakkuuden ja tilin käyttöoikeuden alkamis- ja päättymispäivä sekä kaikki tilin käyttöoikeudenhaltijat ja näiden luonnollista henkilöä koskevat edellä mainitut tiedot;


Asianajajan asiakasvaratilien yhteyteen on merkittävä nimenomainen tieto siitä, että pankki- tai maksutili on asianajajan asiakasvarojen tili, jota koskee asianajajan salassapitovelvollisuus. Tietoja asiakasvaratileistä ei saa luovuttaa rekisterin kautta, vaan ainoastaan tiedon siitä, että kyseessä on asianajajan asiakasvaratili sekä minkä asianajajan asiakasvaratili on kyseessä.

7 §
Tietojen antaminen pankki- ja maksutilirekisteristä

Tiedot voidaan luovuttaa sen estämättä, mitä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 18 artiklan 1 kohdan a alakohdassa säädetään rekisteröidyn oikeudesta siihen, että rekisterinpitäjä rajoittaa henkilötietojen käsittelyä.


7 a §
Tietojen luovuttaminen siirtämällä pankki- ja maksutilien valvontajärjestelmästä toimivaltaisille viranomaisille

Tulli ylläpitää koostavaa sovellusta, jolla 4 ja 6 §:ssä tarkoitetut tiedot luovutetaan siirtämällä ne pankki- ja maksutilien valvontajärjestelmästä toimivaltaisille viranomaisille. Tulli on koostavalla sovelluksella käsiteltävien henkilötietojen rekisterinpitäjä.

Tulli välittää 3 §:ssä tarkoitettujen viranomaisten 4 ja 6 §:ssä säädettyjä tietoja koskevat tietopyynnöt, joiden osalta on yksilöity 3 §:ssä tarkoitettu käyttötarkoitus, pseudonymisoituna luottolaitokselle sekä siirtää pankki- ja maksutilien valvontajärjestelmästä vastaanotetut tiedot tietopyynnön mukaisesti toimivaltaiselle viranomaiselle koostavalla sovelluksella. Tietopyyntö ja siihen annetun vastauksen sisältö ovat salassa pidettäviä.

Edellä 1 momentissa tarkoitettu henkilötietojen käsittely on automaattista. Koostavan sovelluksen kautta luovutetut tiedot on poistettava sovelluksesta välittömästi sen jälkeen, kun tiedot on luovutettu.

Poiketen siitä, mitä yleisen tietosuoja-asetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada pääsy tietoihin ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 23 §:ssä rekisteröidyn tarkastusoikeudesta, pääsyä tietoihin tai tarkastusoikeutta ei ole, kun tietoja käsitellään koostavalla sovelluksella. Rekisteröidyn oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä säädetään mainitun lain 29 §:ssä ja tietosuojalain (1050/2018) 34 §:ssä. Oikeuksien käyttämistä koskeva pyyntö on esitettävä tietosuojavaltuutetulle taikka Tullille noudattaen henkilötietojen käsittelystä Tullissa annetun lain 35 §:n 2 momenttia. Tullille esitetty pyyntö on toimitettava viipymättä tietosuojavaltuutetulle.

10 §
Lokitiedot

Tullin on ylläpidettävä lokirekisteriä pankki- ja maksutilirekisterin sekä koostavan sovelluksen kautta tapahtuvan pankki- ja maksutilien tiedonhakujärjestelmän käyttökerroista ja luovutettava lokitiedot 3 §:ssä tarkoitetuille viranomaisille pyynnöstä. Lokirekisterin on sisällettävä vähintään seuraavat tiedot:

1) asian viitetiedot;

2) oikeusperusta, jonka nojalla tietoja pyydetään;

3) tiedustelun tai haun päivämäärä ja kellonaika;

4) tiedustelussa tai haussa käytettyjen tietojen tyyppi;

5) tiedustelun tai haun tuloksen tunnistetiedot;

6) rekisteriä käyttäneen toimivaltaisen viranomaisen nimi.

Mitä 1 momentissa säädetään lokirekisterin sisältämistä vähimmäistiedoista, sovelletaan myös toimivaltaisen viranomaisen 4 §:ssä tarkoitetun pankki- ja maksutilien tiedonhakujärjestelmän käytöstä ylläpitämään lokirekisteriin.

Lisäksi kunkin toimivaltaisen viranomaisen on pidettävä lokirekisteriä, josta käy ilmi 4 §:ssä tarkoitetusta pankki- ja maksutilien tiedonhakujärjestelmästä tiedustelun tai haun suorittaneen henkilön ja sen määränneen henkilön tunnistetiedot ja jos mahdollista, tiedustelun tai haun tulosten vastaanottajan tunnistetiedot. Toimivaltaisen viranomaisen on nimettävä henkilö, joka valvoo tiedonhakujärjestelmän käyttöä. Tulli rekisterinpitäjänä valvoo pankki- ja maksutilirekisterin käyttöä. Tietosuojavastaavan on tarkastettava 1—3 momentissa tarkoitetut lokirekisterit säännöllisesti.

Lokitiedot säilytetään ainoastaan henkilötietojen suojan ja tietoturvallisuuden sekä oikeusturvan varmistamiseksi, ja ne on suojattava epäasialliselta käytöltä. Lokitietoja säilytetään kuluva vuosi ja viisi seuraavaa vuotta, paitsi jos niitä tarvitaan kesken olevassa valvonta-asiassa.

11 §
Uhkasakko

Tulli voi asettaa 4 §:n 1 ja 2 momentissa tarkoitettujen velvoitteiden noudattamisen tehosteeksi tai 6 §:n 1—3 momentissa tarkoitetun tietojenantovelvollisuuden tehosteeksi uhkasakon, jos laiminlyönti ei ole vähäinen. Uhkasakon tuomitsemisesta päättää Tulli, jollei muualla laissa toisin säädetä. Muilta osin uhkasakon asettamisesta ja tuomitsemisesta säädetään uhkasakkolaissa (1113/1990).

12 §
Rikemaksu

Tulli määrää rikemaksun sille, joka tahallaan tai huolimattomuudesta laiminlyö tai rikkoo velvollisuuden ylläpitää 4 §:n 1 momentissa tarkoitettua pankki- ja maksutilien tiedonhakujärjestelmää tai velvollisuuden toimittaa Tullille 4 §:n 2 momentissa taikka 6 §:n 2 tai 3 momentissa tarkoitettuja tietoja.



Tämä laki tulee voimaan päivänä kuuta 20 . Sen 7 a §:ää sovelletaan kuitenkin 1 päivästä syyskuuta 2022.


2.

Laki rahanpesun selvittelykeskuksesta annetun lain 2 ja 4 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan rahanpesun selvittelykeskuksesta annetun lain (445/2017) 2 §:n 1 momentin 3 kohta sekä 4 §:n 4 momentti, sellaisena kuin niistä on 4 §:n 4 momentti laissa 576/2019, seuraavasti:

2 §
Rahanpesun selvittelykeskus ja sen tehtävät

Keskusrikospoliisissa on rahanpesun selvittelykeskus, jonka tehtävänä on:


3) yhteistyö viranomaisten kanssa rahanpesun ja terrorismin rahoittamisen torjunnassa sekä Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794, jäljempänä Europol-asetus, liitteen I mukaisten rikosten estämiseksi, paljastamiseksi, selvittämiseksi sekä tutkintaan saattamiseksi;


4 §
Rahanpesun selvittelykeskuksen oikeus saada, käyttää ja luovuttaa tietoa

Rahanpesurekisterin tietoja saa käyttää ja luovuttaa salassapitosäännösten estämättä vain rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu tai saataisiin, sekä Europol-asetuksen liitteen I mukaisten rikosten estämiseksi, paljastamiseksi ja selvittämiseksi sekä tutkintaan saattamiseksi ja kansallisen turvallisuuden suojaamiseksi. Rahanpesun selvittelykeskus saa luovuttaa tietoja myös ilman pyyntöä. Lisäksi tietoja saa luovuttaa ulkoministeriölle varojen jäädyttämisestä terrorismin torjumiseksi annetun lain 9 §:ssä säädettyjen tehtävien ja ulosottomiehelle mainitun lain 14 §:ssä säädettyjen tehtävien ja eräiden Suomelle Yhdistyneiden Kansakuntien ja Euroopan unionin jäsenenä kuuluvien velvoitusten täyttämisestä annetun lain (659/1967) 2 b §:ssä säädettyjen tehtävien hoitamiseksi. Tietoja saadaan luovuttaa myös rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa tarkoitetulle toimivaltaiselle valvontaviranomaiselle ja asianajajayhdistykselle, jos luovutettava tieto on välttämätön toimivaltaisen valvontaviranomaisen tai asianajajayhdistyksen mainitussa laissa tarkoitetun tehtävän suorittamiseksi. Tietoja voidaan luovuttaa Europolille. Päätöksen tässä momentissa tarkoitetusta tietojen luovuttamisesta tekee rahanpesun selvittelykeskuksessa työskentelevä päällystöön kuuluva poliisimies. Tässä momentissa tarkoitettuja tietoja saa luovuttaa tietojoukkona tai sähköisesti. Poliisilla, Tullilla, Rajavartiolaitoksella ja syyttäjällä on oikeus saada rahoitustietoja ja -analyyseja rahanpesun selvittelykeskukselta Europol-asetuksen liitteen I mukaisten rikosten estämiseksi, paljastamiseksi, tutkimiseksi ja syyteharkintaan saattamiseksi.



Tämä laki tulee voimaan päivänä kuuta 20 .


Helsingissä 7.10.2021

Pääministeri
Sanna Marin

Sisäministeri
Maria Ohisalo

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.