8.10.2015 6/2015

Lupa - Arkaluonteinen tieto - Tärkeä yleinen etu - Arvo-osuusjärjestelmä - Finanssipakotteet

Tietosuojalautakunta myönsi Euroclear Finland Oy:lle henkilötietolain 43 §:n 1 momentissa tarkoitetun luvan käsitellä henkilötietoja. Tietosuojalautakunta katsoi, että Euroclear Finland Oy:llä on tärkeään yleiseen etuun nojautuva peruste käsitellä henkilötietoja hakemuksessa kuvatulla tavalla, eikä käsittely vaaranna rekisteröidyn yksityisyyden suojaa. Näin ollen lupa voitiin myöntää. Hakija pyysi lupaa henkilötietojen käsittelyyn, jotta se voi varmistaa onko hakijan ylläpitämässä rekisterissä yhdysvaltalaisen Office of Foreign Assets Control -nimisen viranomaisen (OFAC) listauksilla olevien tahojen tietoja. Hakijan mukaan riskienhallinnan edellyttämistä syistä finanssialan toimijoiden on seurattava pakotelistoja kansainvälisen maksuliikenteen ja muiden rajat ylittävien finanssipalveluiden toimivuuden turvaamiseksi sekä kansainvälisten velvoitteiden täyttämiseksi. 

ASIA            Henkilötietolain 43 §:n mukainen lupahakemus

HAKIJA      Euroclear Finland Oy                

HAKEMUS
Euroclear Finland Oy (Euroclear Finland) pyytää, että tietosuojalautakunta myöntäisi henkilötietolain (523/1999) 43 §:n perusteella Euroclear Finlandille toistaiseksi voimassa olevan luvan USA:n Office of Foreign Assets Control (OFAC) -nimisen viranomaisen asettamien pakotteiden noudattamisessa tarvittavaan henkilötietojen käsittelyyn.

Perustelut

Henkilötietojen käsittelyn tarkoitus     

Henkilötietojen käsittelyn tarkoituksena on toteuttaa toimenpiteet, joita OFAC-pakotteiden noudattaminen edellyttää.

Käsiteltävät henkilötiedot

Arvo-osuusjärjestelmään lain mukaan kirjattavat tiedot sekä OFAC-listojen sisältämät tiedot.

Edellä mainitut käsiteltävät henkilötiedot sisältävät mm. seuraavia tietoja:

             - nimi, henkilötunnus, passin numero, osoite ja muut yhteystiedot

             - ikä, sukupuoli, kansalaisuus, syntymäpäivä

             - arvo-osuustilit ja muut taloudelliset tiedot

             - yhteiskunnalliset ja poliittiset kytkökset, hallinnolliset sanktiot ja rikosrekisterit

Kansainväliset finanssipakotteet

Suomea sitovat kansainväliset pakotteet perustuvat YK:n turvallisuusneuvoston tai EU:n ministerineuvoston päätöksiin. EU:ssa pakotteita koskevat tarkemmat määräykset annetaan neuvoston asetuksina, jotka ovat suoraan sovellettavaa lainsäädäntöä kaikissa EU:n jäsenmaissa.

OFAC-pakotteilla tarkoitetaan USA:n Office of Foreign Assets (OFAC) -nimisen viranomaisen listauksia henkilöistä ja yhteisöistä, joiden varat tulee OFAC:n mukaan esim. jäädyttää. USA:n kansallisen lainsäädännön (USA Patriot Act) perusteella USA:n viranomaiset voivat asettaa sanktioita myös ulkomaisille rahoituslaitoksille, jotka eivät noudata OFAC-pakotteita.

Arvo-osuusrekisteri ja asiakassuhde

Arvo-osuusrekisterin pitämisestä säädetään arvo-osuusjärjestelmästä ja selvitystoiminnasta annetussa laissa (749/2012). Lain 1 luvun 3 §:n 1 momentin 3 kohdan mukaan arvo-osuusrekisterillä tarkoitetaan arvo-osuustileistä, arvo-osuustileille kirjatuista arvo-osuuksista sekä arvo-osuustileihin ja arvo-osuuksiin kohdistuvista oikeuksista ja velvollisuuksista arvopaperikeskuksessa Suomessa pidettävää rekisteriä. Euroclear Finland on saanut arvo-osuusjärjestelmästä ja selvitystoiminnasta annetun lain mukaisen toimiluvan hoitaa arvopaperikeskuksen tehtäviä. Tämän lisäksi Euroclear Finland toimii myös arvo-osuustileistä ja selvitystoiminnasta annetun lain 1 luvun 3 §:n ja 9 kohdan mukaisena tilinhoitajana.

Arvo-osuusjärjestelmästä ja selvitystoiminnasta annetun 8 luvun 4 §:n mukaan arvopaperikeskuksen ja tilinhoitajan sekä niiden konsolidointiryhmään kuuluvan rahoituslaitoksen on tunnettava asiakkaansa. Asiakkaan tuntemisesta säädetään lisäksi rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisessä annetussa laissa (503/2008, jäljempänä ”ResL”). Asiakkaalla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, jolle ilmoitusvelvollisuus tarjoaa palveluita tai joka pyytää tai käyttää ilmoitusvelvollisen palveluita.

Vaikka kaikki arvo-osuustilit on keskitetty Suomessa Euroclear Finlandin ylläpitämään arvo-osuusrekisteriin, niin tilinhoitajat (eli käytännössä pankit ja sijoituspalveluyritykset) hoitavat sijoittajien arvo-osuustilejä ja tekevät niitä koskevat kirjaukset. Arvo-osuustileistä (827/1991) annetun lain 16 a §:n mukaan arvopaperikeskus tai muu tilinhoitaja voi toimeksiannosta avata asiakkaalle arvo-osuustilin. Lakia koskevan hallituksen esityksen mukaan arvo-osuustilin avaaminen edellyttää asiakkaan ja tilinhoitajan välistä sopimusta. Näin ollen asiakassuhde ja siihen liittyvät asiakkaan tuntemista koskevat velvoitteet muodostuvat asiakkaan ja tilinhoitajan välille. Euroclear Finlandilla ei ole asiakassuhdetta eikä asiakkaan tuntemista koskevia velvoitteita suhteessa muiden tilinhoitajien asiakkaisiin.

Henkilötietojen käsittelyn peruste

OFAC-pakotelistat eivät ole juridisesti sitovia Suomessa, eikä oikeutta pakotelistojen seuraamisessa tarvittavien henkilötietojen käsittelyyn voida perustaa suoraan yhdysvaltalaisesta lainsäädännöstä. Finanssivalvonnan standardin mukaan ”Vaikka OFAC - listaukset eivät ole Suomessa juridisesti sitovia eikä valvottava näin ollen ole velvollinen jäädyttämään OFAC -pakotelistoilla olevien tahojen varoja Suomessa, voidaan OFAC -listojen seuraamista pitää kuitenkin perustellusti ResL 9 §:n 3 momentin selonottovelvollisuuden piiriin kuuluvana tilanteena. Myös liiketoimen keskeyttämistä lisäselvityksen hankkimista varten voidaan perusteella ResL 26 §:n 1 momentin noudattamisella”.

Omien asiakkaidensa lisäksi Euroclear Finlandilla on tiedot myös muiden tilinhoitajien asiakkaista, koska kaikkia arvo-osuustilejä koskevat tiedot on lain mukaan keskitetty Suomessa Euroclear Finlandin ylläpitämään arvo-osuusrekisteriin. Näiden tietojen osalta on tulkinnanvaraista voidaanko oikeutta henkilötietojen käsittelyyn perustaa rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annettuun lakiin, koska Euroclear Finlandilla ei ole asiakkaan tuntemista koskevia velvoitteita suhteessa muiden tilinhoitajien asiakkaisiin.

Finanssipakotteiden laaja soveltaminen

OFAC-pakotelistojen seuraamisen ulottaminen kaikkiin käytettävissä oleviin tietoihin on tärkeää, koska kansainvälisessä finanssipakotteissa tutkimusvelvollisuus nähdään laajana eikä sitä ole sidottu ResL:n mukaisen asiakassuhteen olemassaoloon. Esimerkiksi EU-pakotteiden osalta ilmoittamisvelvollisuus koskee henkilön tai yhteisön hallussa olevia tietoja, jotka edistäisivät jäädyttämistoimenpiteiden soveltamista. Tähän kuuluvat jäädytettyjen tilien tiedot ja muut tiedot, jotka saattavat olla hyödyllisiä. Myös Finanssivalvonnan standardissa puhutaan yleisesti ”rekistereiden” tarkastamisesta. Tämän takia tutkimusvelvollisuutta ei voida rajoittaa ainoastaan omiin asiakkaisiin.

Riskienhallinta

Arvo-osuusjärjestelmästä ja selvitystoiminnasta annetun lain 2 luvun 15 §:n mukaan arvopaperikeskuksen on varmistettava toimintaansa liittyvien riskien hallinta, sisäisen valvontansa toimivuus ja toimintansa jatkuvuus kaikissa tilanteissa. Myös arvopaperikeskuksen toiminnan järjestämistä ja ylläpitoa koskeva EU:n arvopaperikeskusasetus sisältää vastaavalla tavalla arvopaperikeskuksen toiminnan vakautta koskevia vaatimuksia (mm. artiklat 42 - 47). Sääntelyn tarkoituksena on varmistaa arvopaperikeskusten tarjoamien palvelujen luotettavuus ja jatkuvuus. Arvo-osuusjärjestelmän luotettavuus ja toimintojen jatkuvuus edellyttää, että Euroclear Finland ottaa riskinhallinnassaan huomioon myös sanktioriskin, jolle finanssialan toimija altistuu, ellei se toteuta OFAC-pakotteiden edellyttämiä toimenpiteitä.

USA:n kansallisen lainsäädännön (USA Patriot Act) perusteella USA:n viranomaiset voivat asettaa sanktioita myös ulkomaisille rahoituslaitoksille, jotka eivät noudata OFAC-pakotteita. Esimerkkinä sanktioriskin todellisuudesta voidaan mainita viimeaikaiset BNP Baribasin ja Clearstreamin tapaukset, joissa tuomittiin suuret sanktiot USA:n sanktioiden rikkomisesta (963 ja 152 miljoonaa yhdysvaltain dollaria).

Riskienhallinnan edellyttämistä syistä finanssialan toimijoiden on seurattava pakotelistoja kansainvälisen maksuliikenteen ja muiden rajat ylittävien finanssipalveluiden toimivuuden turvaamiseksi sekä kansainvälisten velvoitteidensa täyttämiseksi.

Yksityisyyden suoja ei vaarannu

Henkilörekistereiden tarkastaminen OFAC-pakotteiden noudattamista varten merkitsee vain vähäistä puuttumista henkilöiden yksityisyyden suojaan, koska OFAC-listat ovat julkisesti saatavilla kyseisen viranomaisen internet-sivuilla.     

Myös arvo-osuusrekisterissä olevien tilinhaltijoiden ja muiden oikeudenhaltijoiden yksityisyyden suojaan puututaan vain vähän, koska myös tilejä ylläpitävät tilinhoitajat ovat finanssialan toimijoina velvollisia noudattamaan kansainvälisiä finanssipakotteita ja siten tarkistamaan, etteivät heidän asiakkaansa ole pakotteiden kohteena.

KUULEMINEN

Tietosuojavaltuutetun lausunto 14.11.2014

Tietosuojavaltuutettu on antanut asiassa lausunnon. Tietosuojavaltuutettu on muun muassa todennut, että hakija tarvitsee tietosuojalautakunnan luvan henkilötietojen käsittelyyn, jossa OFAC-listojen henkilötietoja käsitellään pakotteiden täytäntöönpanemiseksi sellaisten henkilöiden löytämiseksi arvo-osuusrekisteristä, jotka eivät ole hakijan asiakkaita.

SOVELLETTAVA LAINSÄÄDÄNTÖ

Henkilötietolain (523/1999) 8 §:ssä säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Henkilötietoja saa pykälän 1 momentin 9 kohdan mukaan käsitellä myös, jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Henkilötietolain 11 §:n mukaan arkaluonteisina henkilötietoina pidetään muun muassa henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista tai rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta.

Henkilötietolain 43 §:n mukaan tietosuojalautakunta voi antaa edellä mainitun luvan, jos henkilötietojen käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa taikka yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Pykälän toisen momentin mukaan tietosuojalautakunta voi antaa luvan arkaluonteisten henkilötietojen käsittelyyn tärkeää yleistä etua koskevasta syystä.

Arvo-osuusjärjestelmästä ja selvitystoiminnasta annetun 1 luvun lain 3 §:n mukaan arvo-osuusrekisterillä tarkoitetaan arvo-osuustileistä, arvo-osuustileille kirjatuista arvo-osuuksista sekä arvo-osuustileihin ja arvo-osuuksiin kohdistuvista oikeuksista ja velvollisuuksista arvopaperikeskuksessa Suomessa pidettävää rekisteriä. Tilinhoitajalla tarkoitetaan puolestaan yhteisöä, jolle arvopaperikeskus on myöntänyt oikeuden tehdä kirjauksia arvo-osuusrekisteriin. Saman pykälän mukaan arvo-osuusjärjestelmällä tarkoitetaan puolestaan tietojärjestelmäkokonaisuutta, joka muodostuu arvo-osuustileistä annetussa laissa tarkoitetuista arvo-osuustileistä ja niihin liittyvistä luetteloista.

Arvo-osuusjärjestelmästä ja selvitystoiminnasta annetun lain 2 luvun 16 §:ssä säädetään arvopaperikeskuksen tehtävistä. Arvo-osuusjärjestelmän yhteisten tehtävien hoitamiseksi arvopaperikeskus muun muassa vastaa arvo-osuusjärjestelmän toiminnan edellyttämien keskustietojärjestelmien ylläpitämisestä ja huolehtii tässä laissa tarkoitetusta arvo-osuusjärjestelmästä ja tarjoaa siihen liittyviä palveluja.

Arvo-osuusjärjestelmästä ja selvitystoiminnasta annetun lain 8 luvun 4 §:n mukaan arvopaperikeskuksen ja tilinhoitajan sekä niiden konsolidointiryhmään kuuluvan rahoituslaitoksen on tunnettava asiakkaansa. Tilinhoitajan ja arvopaperikeskuksen sekä niiden konsolidointiryhmään kuuluvan rahoituslaitoksen on lisäksi tarvittaessa tunnettava asiakkaan todellinen edunsaaja ja henkilö, joka toimii asiakkaan lukuun. Tässä momentissa säädettyä velvollisuutta täytettäessä voidaan hyödyntää 2 momentissa tarkoitettuja järjestelmiä.

Tilinhoitajalla ja sen konsolidointiryhmään kuuluvalla rahoituslaitoksella sekä arvopaperikeskuksella on oltava riittävät riskienhallintajärjestelmät, joilla ne voivat arvioida asiakkaista toiminnalleen aiheutuvia riskejä.

Asiakkaan tuntemisesta säädetään lisäksi rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetussa laissa. Lain 9 § 3 momentin mukaan ilmoitusvelvollisen on erityisesti kiinnitettävä huomiota liiketoimiin, jotka rakenteeltaan tai suuruudeltaan taikka ilmoitusvelvollisen koon tai toimipaikan osalta poikkeavat tavanomaisesta. Samoin on meneteltävä, jos liiketoimilla ei ole ilmeistä taloudellista tarkoitusta tai ne eivät sovi yhteen sen kokemuksen tai tietojen kanssa, jotka ilmoitusvelvollisella on asiakkaasta. Tarvittaessa liiketoimeen liittyvien varojen alkuperä on selvitettävä.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS JA PERUSTELUT

Tietosuojalautakunta voi myöntää luvan henkilötietojen käsittelyyn rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Luvan myöntäminen arkaluonteisten henkilötietojen käsittelyyn edellyttää lisäksi että käsittelylle on olemassa tärkeää yleistä etua koskeva syy. Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta.

Rekisterinpitäjällä ei ole suoraan lakiin perustuva oikeutta verrata OFAC-listojen tietoja omissa rekistereissään oleviin tietoihin. Hakija on pyytänyt tietosuojalautakunnalta lupaa henkilötietojen käsittelyyn, jotta voisi varmistaa onko hakijan ylläpitämässä rekisterissä OFAC-listauksilla olevien tahojen tietoja. Osa hakemuksessa mainituista tiedoista on henkilötielain 11 §:ssä tarkoitettuja arkaluonteisia tietoja, kuten yhteiskunnalliset ja poliittiset kytkökset, hallinnolliset sanktiot ja rikosrekisterit.

Hakija on arvioinut voivansa joutua merkittävän sanktiouhan alle, mikäli jättää seuraamatta OFAC-listauksia. Hakijan mukaan riskienhallinnan edellyttämistä syistä finanssialan toimijoiden on seurattava pakotelistoja kansainvälisen maksuliikenteen ja muiden rajat ylittävien finanssipalveluiden toimivuuden turvaamiseksi sekä kansainvälisten velvoitteiden täyttämiseksi. Euroclearilla on vähintään osavastuu myös tilinhoitajien tallettamien tietojen osalta. Tietosuojalautakunta katsoo, että hakijan oikeutettu etu ja myös tärkeä yleinen etu puoltavat hakemuksessa tarkoitettua henkilötietojen käsittelyä.

OFAC-listat ovat julkisesti saatavilla USA:n kyseisen viranomaisen internet-sivuilla. Euroclearin ylläpitämään rekisteriin merkintöjä tekevät tilinhoitajat ovat hakijan mukaan velvollisia tarkistamaan, etteivät heidän asiakkaansa ole pakotteiden kohteena. Ottaen myös huomioon Euroclearin tehtävä arvo-osuusrekisterin keskitettynä ylläpitäjänä hakemuksessa tarkoitettujen tietojen käsittelyn ei voida katsoa vaarantavan rekisteröidyn yksityisyyden suojaa. 

Päätös           Tietosuojalautakunta myöntää hakijalle luvan verrata OFAC-listojen tietoja sen ylläpitämässä arvo-osuusrekisterissä oleviin tietoihin.

SOVELLETUT SÄÄNNÖKSET

                      Henkilötietolaki (523/1999) 6 §, 8 §, ja 43 §

                      Arvo-osuusjärjestelmästä ja selvitystoiminnasta annettu laki (749/2012) 1 luvun 3 §, 2 luvun 16 §, 8 luvun 4 §

                      Rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annettu laki (503/2008) 9 § 3 mom.

Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Sanna Helopuro, Hannu Rautiainen, Tuula Sario, Kirsi Taipale ja Tapani Tarvainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.