FA ehdottaa täsmennyksiä lakimuutosesitykseen

Samankaltaiset tiedostot
Valtiovarainministeriölle.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Lausuntoyhteenveto 1 (9) VM003:00/ Rahoitusmarkkinaosasto

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Tietosuoja-asetus ja sen kansallinen implementointi

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Määräykset ja ohjeet 14/2013

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Määräykset ja ohjeet 7/2016

Määräykset ja ohjeet 14/2013

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Määräykset ja ohjeet 26/2013

Määräykset ja ohjeet X/2013

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Määräykset ja ohjeet 5/2016

Standardi RA1.2. Määräysvallan hankkiminen Euroopan talousalueen ulkopuolisessa maassa sijaitsevasta. Määräykset ja ohjeet

Määräykset ja ohjeet 3/2013

Suomen liittyessä Euroopan talousalueeseen sekä myöhemmin Suomen liittymisestä Euroopan unioniin tehdyn sopimuksen yhteydessä

Määräykset ja ohjeet 5/2018

7 Poliisin henkilötietolaki 50

HE 193/1996 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Hallituksen esitys eduskunnalle Finanssivalvonnasta annetun lain muuttamisesta (71 a, Finanssivalvonnan whistle blow järjestelmä)

Määräykset ja ohjeet 3/2013

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Laki. Finanssivalvonnasta annetun lain muuttamisesta

Määräykset ja ohjeet 20/2013

Määräykset ja ohjeet 20/2013

Määräykset ja ohjeet 9/2014

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Määräykset ja ohjeet 20/2013

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Informaatiovelvoite ja tietosuojaperiaate

Määräykset ja ohjeet 26/2013

Julkaistu Helsingissä 14 päivänä elokuuta /2014 Laki. talletuspankkien yhteenliittymästä annetun lain muuttamisesta

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Laki. EDUSKUNNAN VASTAUS 15/2009 vp. Hallituksen esitys laiksi Finanssivalvonnasta annetun lain muuttamisesta ja eräiksi siihen liittyviksi laeiksi

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Määräykset ja ohjeet 10/2014

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

HE 228/2016 vp Lausunto HE laiksi rahanpesun ja terrorismin rahoittamisen estämisestä jne. Etelä-Suomen aluehallintovirasto

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Laki. ulkomaisista vakuutusyhtiöistä annetun lain muuttamisesta

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Määräykset ja ohjeet 20/2013

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

EMIR ja johdannaissopimusten ilmoittaminen

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Valtiovarainministeriö E-KIRJE VM RMO Jaakkola Miia(VM) VASTAANOTTAJA: Suuri valiokunta

Helsingin kaupunginhallitus Pöytäkirjanote 1 (4)

Täydennys Finanssivalvonnan lausuntoon luonnoksesta hallituksen esitykseksi

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Kansallinen tietosuojalaki

Lausunto hallintovaliokunnalle HE 228/

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Laki. Finanssivalvonnasta annetun lain muuttamisesta

Nuorten Päivät 2016: Rahanpesun ja terrorismin rahoittamisen estäminen ja selvittäminen: ajankohtaiskatsaus

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Lausunto RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset.

TIETOSUOJAVALTUUTETUN TOIMISTO

Laki. muutetaan luottolaitostoiminnasta 30 päivänä joulukuuta 1993 annetun lain (1607/93)

Hallituksen esitys eduskunnalle laiksi EU-ympäristömerkistä annetun lain muuttamiseksi

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

HE 18/2015 vp. Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä poliisitoimessa annetun lain 40 :n muuttamisesta

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

1 luku. Yleiset säännökset. 2 luku. Käsittelyn oikeusperuste eräissä tapauksissa. OP Ryhmä. Lausunto Asia: 1/41/2016.

Työelämän tietosuojalaki Johanna Ylitepsa

Haminan tietosuojapolitiikka

Lausuntopyyntö SM048:00/2003

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

1994 ~ - HE 113 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ YLEISPERUSTELUT

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Laki. Finanssivalvonnasta annetun lain muuttamisesta. Valvottavat

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

EU:N UUSI TIETOSUOJA- ASETUS

Roolit henkilötietojen käsittelyssä LOTTA YLÄ-SULKAVA

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Hallituksen esitys. Finrail Oy. Lausunto Asia: LVM/2394/03/2017. Yleiset kommentit hallituksen esityksestä

PÄÄASIALLINEN SISÄLTÖ

Määräykset ja ohjeet 7/2017

1. Rekisterinpitäjän sekä tietosuojavastaavan nimi ja yhteystiedot

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

(ETA:n kannalta merkityksellinen teksti)

Tietosuojavastaavana toimii POP Pankkiliitto osk:n tietosuojavastaava. Pohjanmaa Osuuspankissa toimii tietosuoja-asioiden yhteyshenkilö

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

10 Yksityiselämän suoja

Valtiovarainministeriölle.

Tutkittavan informointi ja suostumus

Transkriptio:

Lausunto 1 (6) VM - valtiovarainministeriö VM003:00/2018 Lausuntopyyntö luonnoksesta hallituksen esitykseksi eduskunnalle laiksi Finanssivalvonnasta annetun lain ja eräiden siihen liittyvien lakien muuttamisesta FA ehdottaa täsmennyksiä lakimuutosesitykseen Sääntelymuutokset luottolaitosten asiakashäiriörekisterin jatkon turvaamiseksi ovat periaatteiltaan kannatettavia. Yksityiskohtiin on kuitenkin kiinnitettävä vielä huomiota. Mahdollisuudet automatisoituun päätöksentekoon on oltava samat eri finanssialan toimijoille. Kielteisten julkisten henkilötietojen käsittely (ns. Adverse Media Search) on mahdollistettava. Oikeustilaa on täsmennettävä OFAC- ja muiden kansallisten pakotelistausten seurannan osalta. 1 Luottolaitosten asiakashäiriörekisterin jatko turvattava Luottolaitosten asiakashäiriörekisterin käyttö pohjautuu tällä hetkellä tietosuojalautakunnan myöntämään poikkeuslupaan. Tietosuoja-asetuksen tullessa sovellettavaksi toukokuussa 2018 asiakashäiriörekisterin hyödyntäminen edellyttää kansallista lainsäädäntöä. Oikeustilan jatkuvuuden turvaamiseksi on ensiarvoisen tärkeää, että luottolaitoslakiin sisällytetään säännökset sekä henkilötietojen käsittelystä että tietojen luovuttamisesta pääsääntöisen salassapitovelvollisuuden estämättä. Näillä säännöksillä mahdollistetaan asiakashäiriörekisterin käyttö myös jatkossa, mikä on tärkeää väärinkäytösten ennaltaehkäisemiseksi sekä tekijöiden kiinnijäämisriskin kasvattamiseksi. Ehdotetut lakipykälät väärinkäytöksiin liittyvien henkilötietojen käsittelystä sekä tietojen luovuttamisesta ovat FA:n näkemyksen mukaan periaatteiltaan kannatettavia. FA kiinnittää kuitenkin vielä huomiota muutamiin seikkoihin lausunnolla olevassa luonnoksessa hallituksen esitykseksi. Ehdotetun luottolaitoslain 15 luvun 18 a :ssä säädetään väärinkäytösrekisterin edellytyksistä. Pykälän 5 momentin mukaan rekisteröidylle on ilmoitettava ensimmäisen kerran häntä koskevan rekisterimerkinnän tekemisestä, mikä pohjautuu tietosuojalautakunnan myöntämän poikkeusluvan lupamääräykseen numero 6 (tietosuojalautakunnan päätös 16/23.8.1999 drno 21/72/99). Luottolaitoslain väärinkäytösrekisterin edellytyksiä koskevassa pykälässä on kuitenkin tärkeää huomioida Helsingin hallinto-oikeuden päätös, jolla kyseinen lupamääräys poistettiin (päätös 04/1066/2). Hallinto-oikeus katsoi päätöksessään, että väärinkäytöstietoja käsiteltäessä henkilötietolain 24 :ssä säädetystä pääsääntöisestä tiedonantovelvollisuudesta on välttämätöntä poiketa rikosten ehkäisemiseksi ja selvittämiseksi.

Lausunto 2 (6) Tietosuojalautakunnan alun perin asettaman lupamääräyksen mukainen ilmoitusvelvollisuus voisi estää väärinkäytösrekisterin tarkoituksen toteutumisen tai ainakin vaikeuttaa sitä. Yhteiskunnan kannalta on välttämätöntä, että erilaiset petosrikokset saadaan selvitetyksi ja niistä aiheutuvat vahingot minimoiduiksi. Väärinkäytöstietojen rekisteröinnillä pyritään ennaltaehkäisemään väärinkäytöksiä ja niiden myötä syntyviä vahinkoja. Rekisterimerkintä tehdään pääsääntöisesti pian rikosilmoituksen tekemisen jälkeen. Kun rekisterimerkinnästä ilmoitetaan rekisteröidylle, hän saa mahdollisuuden hävittää asian selvittämisen kannalta oleellista näyttöä ennen kuin poliisi on ehtinyt aloittaa esitutkinnan. Ilmoittaminen vaikeuttaa väärinkäytösten selvittämistä ja rikostutkintaa. Poikkeuksista tietosuoja-asetuksen 14 artiklan mukaiseen tiedonantovelvollisuuteen säädetään artiklan 5 kohdassa, jonka alakohdat b d ovat merkityksellisiä tässä asiassa. WP 29 on alakohtaa b koskevassa tulkinnassaan (Guidelines on Transparency under Regulation 2016/679, WP260, s. 28) todennut, että 14 artiklan mukaisesta tiedonantovelvollisuudesta voidaan poiketa, jos rekisterinpitäjä osoittaa ilmoitusvelvollisuuden estävän henkilötietojen käsittelyn tarkoituksen toteutumisen tai ainakin vaikeuttavan sitä suuresti. Jotta sääntely vastaisi nyt käytössä olevan asiakashäiriörekisterin edellytyksiä ja ottaisi huomioon tietosuoja-asetuksen sallimat poikkeusmahdollisuudet rekisteröidyn informoimisesta, FA esittää, että luottolaitoslain 15 luvun 18 a :stä poistetaan ehdotettu 5 momentti. Ehdotettu luottolaitostoiminnasta annetun lain 15 luvun 18 b koskee tietojen luovuttamista samaan konserniin, konsolidointiryhmään, rahoitus- ja vakuutusryhmittymien valvonnasta annetussa laissa tarkoitettuun rahoitus- ja vakuutusryhmittymään tai luottolaitosten yhteenliittymään kuulumattomalle luottolaitokselle tai muulle yhteisölle. Luottolaitosten asiakashäiriörekisterin osalta tietoja luovutetaan myös samaan konsolidointiryhmään, rahoitus- ja vakuutusryhmittymään tai yhteenliittymään kuuluvalle yritykselle, josta lainsäädäntöteknisesti säädetään luottolaitostoiminnasta annetun lain 15 luvun 15 :ssä. FA:n käsityksen mukaan voimassa olevaa luottolaitoslain 15 luvun 15 :ää tulee joka tapauksessa muuttaa niin, että siitä poistetaan viittaus nykyiseen henkilötietolakiin. FA esittää, että samassa yhteydessä säännöstä täsmennetään niin, että se mahdollistaa tietojen luovuttamisen ryhmän sisällä vastaavasti kuin ryhmän ulkopuolelle. 2 Samat mahdollisuudet automatisoitujen päätösten tekemiseen eri finanssialan toimijoille Ehdotetussa uudessa luottolaitostoiminnasta annetun lain 15 luvun 18 c :ssä säädetään automatisoidusta päätöksenteosta. Automatisoitu päätöksenteko on sallittua, jos päätös tehdään sopimuksen tekemisen tai täytäntöönpanon yhteydessä taikka päätöksellä täytetään asiakkaan sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö. Ehdotettu pykälä toistaa osittain ja hieman eri ilmaisuin kuin tietosuoja-asetuksen 22 artiklassa on säädetty automatisoidun päätöksenteon edellytyksistä. Lainsäädäntöteknisesti tätä ei voida pitää hyvänä ratkaisuna. Lähtökohtaisesti

Lausunto 3 (6) esimerkiksi EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mukaan asetuksen tekstiä tulisi toistaa kansallisessa lainsäädännössä vain harkiten (TATTI:n mietintö, s. 38, OM 35/2017). Lisäksi automatisoidun päätöksenteon mahdollistavien tilanteiden mainitseminen vain osittain kansallisessa laissa ei ole omiaan edistämään oikeusvarmuutta ja voi johtaa tulkinnallisiin hankaluuksiin. Sama pätee kansallisessa sääntelyssä käytettyihin ilmaisuihin, jotka eroavat asetuksen tekstistä. FA kiinnittää huomiota myös siihen, että sosiaali- ja terveysministeriön tammikuussa 2018 päättyneellä lausuntokierroksella olleessa luonnoksessa vakuutusyhtiötä koskevan vastaavan vakuutusyhtiölain säännöksen sisältö oli laajempi (ehdotettu uusi vakuutusyhtiölain 31 luvun 11 ) mahdollistaen vakuutusyhtiöille yleisesti tietosuoja-asetuksen 22 artiklan 1 kohdan mukaisten automaattisten päätösten tekemisen. Vakuutusyhtiöitä koskevalla kansallisella sääntelyllä mahdollistetaan esityksen perustelujen mukaan se, että vakuutuslaitokset voisivat tehdä automatisoituja päätöksiä muutoinkin kuin, jos se on välttämätöntä sopimuksen tekemistä tai täytäntöönpanoa varten tai perustuu rekisteröidyn nimenomaiseen suostumukseen. Tämä on tärkeää, sillä vakuutustoiminnassa on useita käytännön tilanteita esimerkiksi vakuutuskorvausten osalta, joissa päätökset koskevat kolmansia osapuolia ja näin ollen tietosuoja-asetuksen määrittelemä sopimus- tai suostumusperuste ei ole sovellettavissa tai on erityisen hankala toteuttaa. Lisäksi säännökset mahdollistaisivat sen, että tulevaisuudessa tietotekniikkaa ja sähköisiä menettelytapoja olisi mahdollista hyödyntää nykyistä enemmän, siltä osin kuin se on asioiden laatuun ja laajuuteen nähden tarkoituksenmukaista ottaen huomioon hyvän hallinnon vaatimukset ja perusoikeuksien toteutumisen. Luottolaitoksilla on vakuutusyhtiöitä vastaavaa tarve tietosuoja-asetuksen 22 artiklan mukaisille automatisoiduille päätöksille tilanteissa, joissa automatisoidun päätöksenteon yhteydessä käsitellään muunkin kuin sopimusosapuolena olevan rekisteröidyn henkilötietoja automaattisesti. Esimerkki tällaisesta automatisoidusta päätöksestä on OFAC-sanktiolistausten automatisoitu käsittely maksutoimeksiantojen toteutuksen yhdessä, vaikka se tällä hetkellä saattaa vaatia manuaalista käsittelyä. Viitattujen listausten ja niihin liittyvien päätösten käsittely edellyttää tietyissä tilanteissa myös rikoksiin liittyvien henkilötietojen käsittelyä. Edellä mainitun luonnoksen yleisperusteluissa todetaan, että lainsäädännössä on mahdotonta yksityiskohtaisesti säätää niistä asiaryhmistä, joissa päätöksiä voidaan tehdä automaattisesti, sillä tietotekniikan kehitys voi laajentaa automaattisen käsittelyn käyttöalaa. Tulevaisuudessa esimerkiksi tekoälyn avulla voi olla mahdollista tehdä automaattisia päätöksiä oikeusturvan vaarantumatta myös sellaisissa asioissa, joissa päätöksenteko ei vielä nykytekniikalla ole mahdollista. Samoin perusteluissa tuodaan esille, että digitalisaation mahdollisuuksien hyödyntäminen on yksi pääministeri Juha Sipilän hallituksen keskeisistä tavoitteista. Tähän liittyen hallituksen kärkihankkeita ovat julkisten palvelujen digitalisointi ja digitaalisen liiketoiminnan kasvuympäristön rakentaminen. FA esittää, että ehdotettua luottolaitostoiminnasta annetun lain 15 luvun 18 c :ää automatisoidusta päätöksenteosta muutetaan vastaamaan ehdotettua vakuutusyhtiölain säännöstä. Ei ole perusteltua, että vakuutusyhtiöitä ja

Lausunto 4 (6) luottolaitoksia kohdellaan lainsäädännössä automatisoidun päätöksenteon osalta eri tavalla. Samassa yhteydessä tulee käydä läpi rahastoyhtiöitä, vaihtoehtorahastojen hoitajia sekä sijoituspalveluyrityksiä koskevat säädökset ja lisätä niihin vastaava säännös yllä esitetyin perustein. Ehdotetun pykälän 2 momentin mukaan luottolaitoksella ja sen kanssa samaan konsolidointiryhmään kuuluvalla yrityksellä olisi velvollisuus ilmoittaa tietosuojavirastolle automatisoidun päätöksentekojärjestelmän käyttöönotosta sekä toimitettava tälle rekisteriseloste. Säännöksen tarpeellisuutta perustellaan yksityiskohtaisissa perusteluissa lyhyesti rekisteröidyn oikeusturvan toteuttamisella. On kuitenkin huomioitava, että EU:n yleinen tietosuoja-asetus pitää jo itsessään sisällään useita vaatimuksia, joilla tähdätään osaltaan samaan tavoitteeseen: rekisteröidyn oikeusturvan toteuttamiseen. Automatisoituja päätöksiä koskevan 22 artiklan 3 kohdan mukaan sopimus- ja suostumustilanteissa rekisteröidyllä on aina oltava vähintään oikeus vaatia, että tiedot käsittelee rekisterinpitäjän puolelta luonnollinen henkilö sekä oikeus esittää kantansa ja riitauttaa päätös. Yleisemmin rekisterinpitäjän on muun muassa tietosuoja-asetuksen 25 artiklan perusteella sovellettava sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia. Samoin rekisterinpitäjän on noudatettava tietosuoja-asetuksen 35 artiklan mukaisia vaatimuksia tietosuojan vaikutustenarvioinnista. Tietosuoja-asetuksesta rekisterinpitäjille aiheutuvat velvollisuudet huomioiden ehdotettu 2 momentti on FA:n näkemyksen mukaan tarpeeton ja tulisi merkittävästi kuormittamaan alan toimijoita sekä viranomaisia. Ehdotettu säännös olisi myös sellaista pääministeri Sipilän hallituksen ohjelmassa tarkoitettua kansallista lisäsääntelyä, josta on sovittu pidättäydyttäväksi EU-säännösten toimeenpanossa. FA esittää ehdotetun luottolaitostoiminnasta annetun lain 15 luvun 18 c :n 2 momentin poistamista. Sen sijaan automatisoitua päätöksentekoa koskevaan lainkohtaan voitaisiin lisätä tietosuoja-asetuksen 22 artiklan 3 kohdan mukainen vaatimus rekisterinpitäjille. 3 Kielteisten julkisten henkilötietojen käsittely Hallituksen esitysluonnoksessa on viitattu Euroopan pankkiviranomaisen, Euroopan arvopaperimarkkinaviranomaisen ja Euroopan vakuutus- ja lisäeläkeviranomaisen yhdessä julkaisemaan ohjeeseen neljännen rahanpesudirektiivin 17 ja 18 artiklassa tarkoitetuista yksinkertaistetussa ja tehostetussa asiakkaan tuntemismenettelyissä huomioon otettavista seikoista. Niiden toimivaltaisten valvontaviranomaisten, joihin edellä mainittu ohje soveltuu, on sisällytettävä ohjeen mukaiset menettelyt omiin valvottavilleen annettuihin ohjeisiin ja ilmoitettava määräajassa asianmukaiselle Euroopan viranomaiselle tulevatko noudattamaan ohjetta ja mikäli eivät tule noudattamaan, ilmoittaa syyt noudattamatta jättämiselle (comply or explain). Yleisen tietosuoja-asetuksen 10 artiklan mukaan rikostietojen käsittely edellyttää laintasoista säännöstä, joten se ei voi perustua toimivaltaisen viranomaisen ohjeeseen vaan käsittelystä tulee säätää lailla. Viitatun ohjeen mukaan asiakkaaseen tai tosiasialliseen edunsaajaan liittyviä riskitekijöitä arvioitaessa huomiota voidaan kiinnittää siihen, onko asiakkaasta tai tosiasiallisesta edunsaajasta kielteisiä uutisia tai muita merkittäviä tietoja, kuten syytöksiä rikollisesta toiminnasta tai terrorismista. Luotto- ja finanssilaitosten tulisi

Lausunto 5 (6) ohjeen mukaan arvioida, kuinka uskottavia ja luotettavia nämä ovat. Luotto- ja finanssilaitosten olisi arvioinnissaan kiinnitettävä huomiota muun muassa lähteiden luotettavuuteen ja jatkuvuuteen. Ohjeen mukaan ne eivät voi arviossaan nojautua ainoastaan rikosoikeudellisiin rangaistuksiin, vaan sen on otettava huomioon myös muu saatavilla oleva tieto. Ottaen huomioon edellä viitattu ohje sekä hallituksen esitysluonnoksessa kuvattu Ruotsin sääntely FA esittää, että rahanpesun estämistä ja terrorismin rahoittamista koskevaan lakiin otetaan Ruotsin sääntelyä vastaava säännös, jonka nojalla ilmoitusvelvollinen saa käsitellä rikoksiin liittyviä tai vastaavia muita kielteisiä henkilötietoja lain velvoitteiden edellyttämässä laajuudessa ja yleisen tietosuoja-asetuksen 10 artiklaa noudattaen, kun kyse on asiakkaan toiminnan tai maksujen seurannasta rahanpesun tai terrorismin rahoituksen havaitsemiseksi tai laissa säädetyn ilmoitusvelvollisuuden täyttämiseksi taikka asiakassuhteeseen liittyvän riskin arvioinnista. 4 OFAC- ja muut kansalliset pakotteet YK:n ja EU:n pakotteiden lisäksi eräillä valtioilla on omia kansallisia pakotelistauksia, joista tunnetuimpia ovat Yhdysvaltojen Office of Foreign Assets Control - viranomaisen (OFAC) listaukset henkilöistä ja yhteisöistä, joiden varat tulee jäädyttää. OFAC-listat julkistetaan kyseisen viranomaisen omilla verkkosivuilla. OFAC-listat, kuten muutkaan ulkomaiden pakotelistat eivät ole Suomessa juridisesti sitovia, eivätkä finanssialan toimijat näin ollen ole velvollisia jäädyttämään näillä listoilla olevien tahojen varoja Suomessa. Listojen seuraamista voidaan kuitenkin perustellusti pitää rahanpesulainsäädännön mukaisen selonottovelvollisuuden piiriin kuuluvana toimenpiteenä, kuten myös Finanssivalvonnan Standardissa 2.4 on mainittu. Myös liiketoimen keskeyttämistä lisäselvitysten hankkimista varten voidaan perustella rahanpesulainsäädännön noudattamisella. Yhdysvaltalaiset pankit ovat velvollisia jäädyttämään OFAC-listalla oleviin tahoihin liittyvät maksut, joten Suomessa toimivien finanssilaitosten on voitava huomioida tämä omassa riskienhallinnassaan. Ulkomaiden kansallisten pakotelistojen seuraaminen on tähän saakka perustunut toimijoiden omiin riskienhallinnallisiin päätöksiin, mutta oikeustilan selventämiseksi FA pitää tarpeellisena, että rahanpesulakiin esimerkiksi sen 3 luvun 4 :n selonottovelvollisuutta koskevaan säännökseen lisätään mahdollisuus seurata OFAC- ja muita kansallisia pakotelistoja osana asiakkaan riskiperusteista tuntemista ja selonottovelvollisuutta. 5 Yksityiskohtaisia huomioita Ehdotetun luottolaitostoiminnassa annetun lain 18 a :n 1 momentin yksityiskohtaisissa perusteluissa mainitaan, että rekisteriin, rekisterin ylläpitäjään ja rekisteröityyn sovellettaisiin EU:n yleistä tietosuoja-asetusta ja henkilötietojen suojaan liittyvää kansallista lainsäädäntöä, kuten henkilötietolakia. Henkilötietolain tullessa kumotuksi uudella kansallisella tietosuojalailla, perusteluteksti olisi selvyyden vuoksi hyvä päivittää. Samoin voimassa oleva luottolaitostoiminnasta annetun lain 7 luvun 6 :n säännös finanssimarkkinoita koskevien säännösten ja määräysten epäillystä rikkomisesta ja niistä ilmoittamisesta sisältää viittauksen voimassa olevaan

Lausunto 6 (6) henkilötietolakiin. Kyseinen lainkohta olisi luontevaa päivittää tämän lainsäädäntöhankkeen yhteydessä. Ehdotetun luottolaitostoiminnasta annetun lain 18 b :n yksityiskohtaisissa perusteluissa viitataan Suomen Asiakastieto Oy:ön säännöksen tarkoittamana muuna yhteisönä, jolle rekisterinpitäjänä toimiva luottolaitos voisi luovuttaa henkilötietoja. Ottaen huomioon Suomen Asiakastieto Oy:n oikeudellinen asema yleisen tietosuojaasetuksen tarkoittamana henkilötietojen käsittelijänä, jossa luottolaitokset siirtävät henkilötiedot Suomen Asiakastieto Oy:n käsiteltäväksi luottolaitoksen lukuun luottolaitokset (luottolaitokset eivät luovuta henkilötietojaan Suomen Asiakastieto Oy:lle), esitysluonnoksen yleis- ja yksityiskohtaisissa perusteluista tulisi poistaa viittaus Suomen Asiakastieto Oy:n tietojen luovutuksensaajana. Esitetyt lainmuutokset on ehdotettu tulevan voimaan 1.6.2018. Jotta luotto- ja rahoituslaitokset voivat keskeytyksettä ja lainmukaisesti jatkaa edellä kuvattua henkilötietojen käsittelyä mm. väärinkäytösrekisterin osalta myös välittömästi yleisen tietosuoja-asetuksen voimaantultua, tulisi ehdotettujen säännösten voimaantulopäiväksi asettaa 25.5.2018. FINANSSIALA RY Lea Mäntyniemi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute