16.2.2016 3/2016

Kansainvälinen pakotelistaus - Arkaluonteinen henkilötieto - Oikeutettu etu - Tärkeä yleinen etu - Tarpeellisuusvaatimus

Hakija pyysi, että sille myönnettäisiin henkilötietolain 43 §:ssä tarkoitettu lupa kerätä, käsitellä ja luovuttaa tietoja kansainvälisten pakotteiden kohteena olevista henkilöistä ja yhteisöistä. Hakemuksen kohteena olevia tietoja julkaistaan Euroopan unionin tai Yhdistyneiden kansakuntien pakoteluetteloissa sekä Yhdysvaltojen Office of Foreign Assets Control -viraston pakotelistassa. Kyse oli osin arkaluonteisista henkilötiedoista. Hakija ei hakemuksessaan esittänyt sellaisia perusteita, joiden valossa tietojen käsitteleminen olisi hakijan oikeutetun edun ja tärkeän yleisen edun mukaista. Henkilötietojen käsittelylle tarvittavan luvan edellytykset eivät  näin ollen täyttyneet, minkä vuoksi tietosuojalautakunta hylkäsi hakemuksen.                                                                                                                                                                                                    Hakija on valittanut päätöksestä Helsingin hallinto-oikeuteen.

HAKIJA   Suomen Asiakastieto Oy (jäljempänä myös hakija)

HAKEMUS

Hakija pyytää, että sille myönnettäisiin henkilötietolain 43 §:ssä tarkoitettu lupa kerätä, käsitellä ja luovuttaa tietoja kansainvälisten pakotteiden kohteena olevista henkilöistä ja yhteisöistä. Hakemuksen kohteena olevat tiedot on julkaistu Euroopan unionin (EU) tai Yhdistyneiden kansakuntien (YK) pakoteluetteloissa sekä Yhdysvaltojen Office of Foreign Assets Control -viraston (OFAC) pakotelistassa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS

Tietosuojalautakunta hylkää hakemuksen jäljempänä esitetyin perustein.

HAKEMUKSEN TAUSTA JA PERUSTELUT

Käsittelyn tarkoitus ja perustelut

Henkilötietojen käsittelyn tarkoituksena on tallettaa erilliseen tietokantaan hakemuksessa määritetyt pakotelistat, jotta niissä olevat tiedot olisivat tehokkaammin suomalaisten toimijoiden käytössä ja jotta nämä voivat toteuttaa toimenpiteet, joita pakotteiden noudattaminen edellyttää.

Kansainvälisillä pakotteilla tarkoitetaan esimerkiksi taloudellisen tai kaupallisen yhteistyön rajoittamista tai keskeyttämistä tietyn valtion tai tiettyjen ryhmien kanssa. Pakotteiden kohteeksi asetettuja tahoja ei saa ottaa asiakkaaksi eikä niille saa tarjota palveluita. Finanssipakotteiden noudattamiseksi asiakas- ja muut rekisterit tulee tarkistaa säännöllisesti ja seurata lähteviä ja saapuvia maksuja. Jos rekistereistä tai maksuliikenteestä löydetään taho, jonka yksilöintitiedot vastaavat pakotteiden kohteena olevien tahojen tietoja, tulee tällöin jäädyttää varat tai keskeyttää liiketoimi ja ilmoittaa asiasta ulkoasianministeriölle ja rahanpesun selvittelykeskukselle.

YK:n turvallisuusneuvosto voi asettaa taloudellisia ja muita pakotteita kansainvälisen rauhan ja turvallisuuden ylläpitämiseksi. EU:ssa kaikki YK:n turvallisuusneuvoston määräämät pakotteet pannaan täytäntöön EU:n lainsäädännöllä. Myös EU:n omista pakotteista säädetään EU:n neuvoston päätöksillä ja asetuksilla. Neuvoston asetukset ovat kaikissa jäsenvaltioissa sellaisenaan sovellettavaa oikeutta ja sitovat niin näiden maiden viranomaisia kuin yksityisiä toimijoitakin.

OFAC-pakotteilla tarkoitetaan Yhdysvaltojen Office of Foreign Assets (OFAC) -nimisen viranomaisen listauksia henkilöistä ja yhteisöistä, joiden varat tulee OFAC:n mukaan esimerkiksi jäädyttää. Yhdysvaltojen kansallisen lainsäädännön perusteella viranomaiset voivat asettaa sanktioita myös ulkomaisille rahoituslaitoksille, jotka eivät noudata OFAC-pakotteita.

Kansallinen yleissäädös pakotteiden kansallisessa täytäntöönpanossa on laki eräiden Suomelle Yhdistyneiden kansakuntien ja Euroopan unionin jäsenenä kuuluvien velvoitusten täyttämisestä (659/1967) eli niin sanottu pakotelaki. Pakotelain 4 §:n mukaan viranomaisen sen lain nojalla antaman säännöstelymääräyksen ja EU:n pakoteasetusten rikkominen tai sen yrittäminen on rangaistavaa rikoslain 46 luvun 1–3 §:n mukaisena säännöstelyrikoksena. YK:n turvallisuusneuvosto on merkittävin pakotteita asettava taho, mutta myös EU tai yksittäiset valtiot voivat asettaa pakotteita. OFAC-listat eivät sellaisenaan ole suomalaisia toimijoita juridisesti sitovia. Niiden noudattamatta jättäminen voisi kuitenkin aiheuttaa seurauksia, ja siksi finanssialalla toimijat seuraavat ja noudattavat myös näitä listoja.

Käsiteltävät tiedot

Käsiteltävät henkilötiedot sisältävät rekisteröidyistä muun muassa seuraavia tietoja:

- nimi, henkilötunnus, passin numero, osoite ja muut yhteystiedot;

- ikä, sukupuoli, kansalaisuus, syntymäpäivä; sekä

- yhteiskunnalliset ja poliittiset kytkökset, hallinnolliset sanktiot ja rikosrekisterit.

Henkilötietojen käsittely

Hakijan tarkoitus on ryhtyä ylläpitämään erillistä rekisteriä, johon merkitään tiedot henkilöistä (ja yhteisöistä) EU:n, YK:n ja Yhdysvaltojen julkaisemista pakoteluetteloista. Hakijan tarkoituksena on palvella tiedon käyttäjiä pitämällä erillistä rekisteriä näissä pakoteluetteloissa julkaistuista tiedoista sekä toteuttamalla palvelua, jossa voidaan kyselypohjaisesti automatisoida tiedon käyttö yksittäisissä transaktioissa.

Tietoja luovutetaan hakijan asiakkaille, joiden velvollisuutena on omassa päätöksenteossaan huomioida luetteloiden sisältö. Tietoja luovutetaan vastauksina yksittäisiä henkilöitä ja yhteisöjä koskeviin kyselyihin. Kaikki luovutukset on tarkoitus kirjata lokitiedostoon. Tietoja ei luovuteta listan muodossa eikä tietoja ole tarkoitus julkaista yleisessä tietoverkossa. Tiedon saaminen erillisestä rekisteristä helpottaa ja tehostaa tiedon automaattista käsittelyä päätöksenteon yhteydessä. Finanssipakotteiden noudattaminen liittyy asiakkaan tuntemista koskevaan sääntelyyn.

Rekisterinpito sanktiolistojen käytön tehostamista varten merkitsee vain vähäistä puuttumista henkilöiden yksilöiden suojaan, koska sanktiolistat ovat julkisesti kaikkien saatavilla viranomaisten internetsivuilla. Tiedot on tarkoitus poistaa rekisteristä, kun tieto on poistettu kansainvälisestä pakoteluettelosta.

KUULEMINEN

Tietosuojavaltuutetun lausunto 15.1.2016

Tietosuojalautakunta on pyytänyt lupahakemuksesta lausuntoa tietosuojavaltuutetulta. Tietosuojavaltuutettu toteaa lausunnossaan, että YK:n ja EU:n asettamien pakotteiden täytäntöönpanoon liittyvä henkilötietojen käsittely voi perustua henkilötietolain 8 §:n 4 kohtaan tai arkaluonteisten tietojen osalta 12 §:n 5 kohtaan. Kansallisesti pakotteista on säädetty ns. pakotelaissa, joka koskee YK:n ja EU:n asettamia pakotteita ja niiden täytäntöönpanoa. Laissa ei ole säädetty hakemuksen mukaisesta henkilötietojen käsittelystä. Pakotelaki ei koske Yhdysvaltojen asettamia pakotteita.

Kun hakijalla ei ole hakemuksessa tarkoitettuun käsittelyyn henkilötietolain 8 §:ssä tarkoitettuja käsittelyperusteita, kuten asiakassuhdetta tai edes sen mahdollisuutta, taikka 12 §:ssä tarkoitettuja käsittelyperusteita, edellyttää hakemuksen mukainen käsittely tietosuojavaltuutetun näkemyksen mukaan tietosuojalautakunnan lupaa.

Se, perustuuko hakemus hakijan asiakkaiden selkeisiin tietotarpeisiin, joita tämä järjestely voisi toteuttaa, ei ilmene hakemuksesta. Kun pakotelistojen tarkoituksena on estää niihin rekisteröidyiltä henkilöiltä oikeustoimia, tulee tällaisissa listoissa olevien tietojen olla yksiselitteisiä. Tietosuojavaltuutettu katsoo, että lupaa ei tulisi myöntää sen vuoksi, että kansainvälisen listan kattavaa ylläpitoa ei voida pitää asiallisesti perusteltuna hakijan toiminnan kannalta eikä tietojen yksilöintiin liittyviä virheettömyysvaatimuksia kyetä täyttämään.

TIETOSUOJALAUTAKUNNAN PÄÄTÖKSEN PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Henkilötietolain 9 §:n mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle

Henkilötietolain 11 §:n mukaan arkaluonteisten henkilötietojen käsittely on kielletty. Arkaluonteisina tietoina pidetään muun muassa henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta taikka rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta.

Henkilötietolain 12 §:n 1 momentin 13 kohdan mukaan mitä 11 §:ssä säädetään, ei estä tietojen käsittelyä, johon tietosuojalautakunta on antanut 43 §:n 2 momentissa tarkoitetun luvan.

Henkilötietolain 43 §:n 1 momentin mukaan tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn, jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa taikka yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Pykälän 2 momentin mukaan tietosuojalautakunta voi antaa 12 §:n 13 kohdassa tarkoitetun luvan arkaluonteisten henkilötietojen käsittelyyn tärkeää yleistä etua koskevasta syystä. Pykälän 3 momentin mukaan lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset. Määräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on tarpeen.

Luvan tarve

Suuri osa hakemuksessa mainituista tiedoista, kuten yhteiskunnalliset ja poliittiset kytkökset, hallinnolliset sanktiot ja rikosrekisterit, on henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia henkilötietoja. Hakijalla on täten oltava käsittelylle henkilötietolain 12 §:ssä säädetty peruste. Arkaluonteisten henkilötietojen käsittely on sallittua muun muassa silloin, kun tietojen käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi taikka kun käsittelystä säädetään laissa tai se johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Esimerkiksi finanssialan toimijalla voi olla velvollisuus suoraan lain nojalla käsitellä EU:n tai YK:n pakotelistoilla olevia tietoja.

Henkilötietolain 12 §:n 1 momentin 1–12 kohdissa säädetyt poikkeusperusteet eivät sovellu hakijan suorittamaan henkilötietojen käsittelyyn. Näin ollen hakija tarvitsee henkilötietojen käsittelemiseksi henkilötietolain 43 §:n 2 momentissa tarkoitetun luvan. Edellytyksenä luvan myöntämiselle on tällöin, että henkilötietojen käsittelylle on tärkeä yleistä etua koskeva syy.

Luvan myöntämisen edellytykset

Tietosuojalautakunta on päätöksessään 6/8.10.2015 (dnro 2/932/2014) myöntänyt Euroclear Finland Oy:lle (jäljempänä Euroclear) luvan verrata OFAC-listojen tietoja Euroclearin ylläpitämässä arvo-osuusrekisterissä oleviin tietoihin. Euroclearilla ei ollut suoraan lakiin perustuvaa oikeutta verrata OFAC-listojen tietoja omissa rekistereissään oleviin tietoihin. Riskienhallinnan edellyttämistä syistä finanssialan toimijoiden on seurattava pakotelistoja kansainvälisen maksuliikenteen ja muiden rajat ylittävien finanssipalveluiden toimivuuden turvaamiseksi sekä kansainvälisten velvoitteiden täyttämiseksi. Tietosuojalautakunta katsoi päätöksessään, että Euroclearilla on vähintään osavastuu myös tilinhoitajien tallettamien tietojen osalta. Tietosuojalautakunta katsoi niin ikään, että Euroclearin oikeutettu etu ja myös tärkeä yleinen etu puolsivat hakemuksessa tarkoitettua henkilötietojen käsittelyä.

Hakijalla ei ole vastaavaa tarvetta tai perustetta käsitellä hakemuksen kohteena olevia tietoja. Tältä osin henkilötietolain mukaiset käsittelyä koskevat yleiset periaatteet eivät täyty. Hakemuksen kohteena olevan henkilötietojen käsittelyn ei voida perustellusti katsoa olevan tärkeän yleisen edun mukaista eikä muutoinkaan tarpeellista ottaen huomioon, että pakotelistoilla olevat henkilötiedot ovat muutoinkin saatavilla niitä tarvitsevia varten.

Pakotelistauksissa mainituksi tulemisella voi olla huomattavia vaikutuksia rekisteröidyn kannalta. Hakija ei ole esittänyt sellaisia perusteita, joiden valossa tietojen käsitteleminen hakemuksessa kuvatulla tavalla olisi perusteltua sen oman toiminnan tai tärkeän yleisen edun kannalta.

SOVELLETUT SÄÄNNÖKSET       

Henkilötietolaki (523/1999) 6 §, 9 §, 11 §, 12 §:n 1 momentin 13 kohta ja 43 §

Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Ahti Saarenpää, Tuula Sario, Eila Ratasvuori, Pertti Saloranta ja Lea Mäntyniemi.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.