2. Maksutoimeksiantopalveluja ja tilitietopalveluja koskeva sääntely

Samankaltaiset tiedostot
Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Organisaatioluvan hakeminen

Maksupalvelulain uudistaminen

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

Tiedollinen itsemääräämisoikeus ja MyData

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Tietoturva yhdistyksessä

Tietosuojanäkökulma biopankkilainsäädäntöön

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

TIETOSUOJAVALTUUTETUN TOIMISTO

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Tietosuojaa hanketoimijoille Maaseutuviraston tietosuojavastaava

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

T E R H O N E V A S A L O

Valinnanvapauslain mukainen kapitaatio ja rekisterinpitäjyys

PSD2. Keskeiset muutokset maksupalvelulainsäädäntöön Sanna Atrila. Finanssivalvonta Finansinspektionen Financial Supervisory Authority

Yhdistyksen jäsenluettelo ja EU:n tietosuoja-asetus

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Usein kysyttyjä kysymyksiä tietosuojasta

Työelämän tietosuojalaki Johanna Ylitepsa

EU:N TIETOSUOJA-ASETUKSET WALMU

Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädetään henkilötietojen käsittelyn lainmukaisuuden periaatteesta.

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

Tietosuoja. Julkisten ja hyvinvointialojen liitto JHL

PSD2 - Ajankohtaiskatsaus

Tutkittavan informointi ja suostumus

TYÖNTEKIJÄN ROKOTUSSUOJAA KOSKEVIEN HENKILÖTIETOJEN KÄSITTELY

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

EUROOPAN PARLAMENTTI

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Teknologia avusteiset palvelutverkostopalaveri

EU:n yleinen tietosuoja-asetus. Muuttuiko mikään?

EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

Lausunto RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset.

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuoja ja aineiston avaaminen. Anne Kärki

Kansallinen tietosuojalaki

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Pihamaa, Tietosuojavaltuutetun

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

FI Moninaisuudessaan yhtenäinen FI A8-0305/4. Tarkistus. Mireille D'Ornano ENF-ryhmän puolesta

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

EUROOPAN YHTEISÖJEN KOMISSIO KOMISSION LAUSUNTO

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2302/03/17. Sosiaali- ja terveysministeri

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

***I EUROOPAN PARLAMENTIN KANTA

Istuntoasiakirja LISÄYS. mietintöön

REKISTERISELOSTE Henkilötietolaki (523/99) 10

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Lausunto 4/2010 henkilötietojen käyttöä suoramarkkinoinnissa koskevista Euroopan suoramarkkinointiliiton (FEDMA) eurooppalaisista käytännesäännöistä

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Työaikasääntelyä selvittävän työryhmän mietintö - työaikalaki. Yleistä. Kirkon alat ry. Lausunto Asia: TEM/1225/00.04.

12310/16 pmm/mmy/pt 1 DG F 2B

EUROOPAN UNIONI EUROOPAN PARLAMENTTI

Luonnos hallituksen esitykseksi laiksi kliinisistä lääketutkimuksista ja eräiksi siihen liittyviksi laeiksi

KLIINISTEN LÄÄKETUTKIMUSTEN EU- ASETUKSEN KANSALLINEN TÄYTÄNTÖÖNPANO

Tietosuoja-asetus ja sen kansallinen implementointi

U 26/2017 vp. Helsingissä 16 päivänä maaliskuuta Oikeus- ja työministeri Jari Lindström. Lainsäädäntöjohtaja Tuula Majuri

1 luku. Yleiset säännökset. Suomalaisen Kirjallisuuden Seura. Lausunto Asia: 1/41/2016. Yleiset kommentit

5130/3/15 REV 3 ADD 1 team/msu/si 1 DPG


Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

LAUSUNTOLUONNOS. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti 2015/0068(CNS) oikeudellisten asioiden valiokunnalta

Laki. eurooppalaisesta tilivarojen turvaamismääräysmenettelystä. Soveltamisala

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

Transkriptio:

Tietosuojavaltuutetun toimisto Lausunto 02.05.2017 Asia: OM 1/479/2016 Maksupalvelulain uudistaminen 1. Yleistä Onko teillä yleistä lausuttavaa työryhmän ehdotuksesta? 2. Maksutoimeksiantopalveluja ja tilitietopalveluja koskeva sääntely Eräät kuluttajaluottoja tarjoavat yritykset ovat viime vuosina omaksuneet toimintatavan, jossa luotonhakija velvoitetaan päästämään ulkopuolinen palveluntarjoaja pankkitililleen keräämään tiedot tilitapahtumista esimerkiksi kuuden kuukauden aikaväliltä. Palveluntarjoaja laskee niiden perusteella arvion luotonhakijan luottokelpoisuudesta tai maksuvarasta, ja toimittaa sen luotonantajalle. Menettelytapa on vaikuttanut palvelevan pääasiassa luotonantajan sekä palveluntarjoajan etua, ja siihen on liittynyt monia käytännön ongelmia ja epäselvyyksiä. Tietoista suostumusta ei ilmeisesti ole pyydetty, luotonhakija ei ole saanut tietojaan itselleen, palveluntarjoaja ei ole tunnistautunut pankille, ja se on käyttänyt tietoja myös omiin tarkoituksiinsa. Toimintatapa ei ole vaikuttanut asiallisesti perustellulta, eivätkä kaikki maksutililtä kerättävät tiedot tarpeellisilta. Toisaalta tiedot ovat voineet kokonaisuutena antaa epätäydellisen vaikutelman luotonhakijan luottokelpoisuudesta. Henkilötietojen suojan kannalta kysymys on automatisoidusta päätöksenteosta ja profiloinnista, jolla on luotonhakijaa koskevia oikeusvaikutuksia. Tällainen toiminta edellyttää toisenlaisia suojatoimia, kuin tilanne, jossa ihminen haluaa käyttää tilitietopalvelua omiin tarkoituksiinsa. Kannatamme työryhmän ratkaisua pidättäytyä tässä vaiheessa säätämästä maksupalvelulakiin oikeutta käyttää tilitietopalveluja luottokelpoisuuden arvioimiseksi. Mahdollisuudet varmentua luottokelpoisuuden arvioimiseksi tarpeellisten tietojen oikeellisuudesta näyttäisivät joka Lausuntopalvelu.fi 1/5

tapauksessa olevan lisääntymässä lähivuosina. Käsityksemme mukaan tässä vaiheessa ei ole perusteltua ohjata luottokelpoisuuden arviointikäytäntöjä siihen suuntaan, että tilitapahtumien automatisoidusta analysoinnista tai tilinhaltijan profiloinnista alkaisi muodostua normi luotonannossa. Toinen vaihtoehto olisi toki ollut säätää luottokelpoisuuden arviointipalvelut maksupalvelulain soveltamisalan piiriin, ja palveluntuottajat Finanssivalvonnankin valvottaviksi. Tällöin laissa olisi käsityksemme mukaan pitänyt muun ohella vahvistaa myös yleisen tietosuojaasetuksen 22 artiklan 2 kohdan b alakohdan mukaiset asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. 3. Muut maksupalvelulain soveltamisalan muutokset 4. Maksutapalisiä koskeva sääntely 5. Vastuuta ja maksupalautusta koskeva sääntely 6. Vahvaa tunnistamista koskeva sääntely 7. Muut työryhmän ehdotukset 86 1 momentti: nimenomaisesta suostumuksesta ja erityisiä henkilötietoryhmiä koskevasta käsittelystä Kuten perusteluissa todetaan, EU:n yleinen tietosuojaasetus (2016/679) tuli voimaan 24 päivänä toukokuuta 2016. Asetuksen soveltaminen alkaa 25. päivänä toukokuuta 2018, jolloin tietosuojadirektiivi (95/46/EY) kumoutuu. On viisainta ottaa asetus jo nyt mahdollisimman täysimääräisesti huomioon kaikessa lainsäädäntötyössä. Lausuntopalvelu.fi 2/5

Työryhmän mietinnön yksityiskohtaisten perustelujen perusteella jää epäselväksi, mistä 82b ja 86 :iin ehdotetussa nimenomaisessa suostumuksessa on kyse, ja voisiko olla mahdollista, että kyseessä olisi muu oikeustoimi, kuin tietosuojalainsäädännössä tarkoitettu suostumus. Kuitenkin maksupalveludirektiivin 94 artiklan 2 kohdan sanamuoto "Payment service providers shall only access, process and retain personal data necessary for the provision of their payment services, with the explicit consent of the payment service user." johtaa ajattelua vahvasti siihen suuntaan, että kyse on henkilötietojen käsittelyn perusteeksi annettavasta nimenomaisesta suostumuksesta. Jos kyseessä on henkilötietojen käsittelyn perusteena toimiva nimenomainen suostumus, on syytä ottaa huomioon seuraavaa. Tietosuojadirektiivi on implementoitu henkilötietolailla, jonka nimenomaisen suostumuksen tulkintakäytännöistä mietinnössä pyritään irtautumaan. Henkilötietolaissa säädetyn suostumuksen tulkintakäytännöt ovat muodostuneet pitkälti eurooppalaisessa kontekstissa, mm. tietosuojadirektiivin 29 artiklan mukaisen tietosuojatyöryhmän suostumuksen määritelmästä antaman lausunnon 15/2011 perusteella. Linkki lausuntoon: http://ec.europa.eu/justice/dataprotection/article29/documentation/opinionrecommendation/files/2011/wp187_fi.pdf. Em. tietosuojatyöryhmän lausunnon (s. 36) mukaan Suostumuksen on oltava yksilöity. Yleinen suostumus, jossa ei määritellä tarkasti käsittelyn tarkoituksia, ei täytä vaatimuksia. Suostumukseen liittyviä tietoja ei voida lisätä sopimuksen yleisiin ehtoihin vaan on käytettävä erityisiä, yleisistä sopimusehdoista erillään pidettäviä suostumuslausekkeita. Lausunnon sivulla 7 käsitellään yksityisoikeudellisen suostumuksen ja direktiivin mukaisen suostumuksen päällekkäisyyttä ja todetaan: Sen lisäksi, että direktiivin 7 artiklan a kohdassa vaadittavaan suostumukseen on sovellettava yksityisoikeudellisia sopimuksen pätevyyttä koskevia yleisiä ehtoja, sen tulkinnassa on otettava huomioon myös direktiivin 2 artiklan h alakohta (suostumuksen määritelmä). Sikäli kuin henkilötietojen käsittelyä koskevan nimenomaisen suostumuksen määritelmä muuttuu tietosuojaasetuksen myötä, tulkintalinjaukset tähänkin muodostetaan yhteisesti EUtasolla. Tietosuojaasetus on lainsäädännön hierarkiassa maksupalveludirektiiviä ja lakia ylempänä. Siinä käytettyjä käsitteitä ei tule käyttää asetuksesta poikkeavalla tavalla, silloin kun säädetään henkilötietojen käsittelystä. Asetuksen 7 artiklan 2 alakohdassa säädetään suostumuksen edellytyksistä seuraavaa: Jos rekisteröity antaa suostumuksensa kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuksen antamista koskeva pyyntö on esitettävä selvästi erillään muista asioista helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Mikään tätä asetusta rikkova osa sellaisesta ilmoituksesta ei ole sitova. Toinen maksupalveludirektiivi jättää kansallisen lainsäätäjän haastavaan tilanteeseen, koska siinä on käytetty käsitettä explicit consent (artiklat 67 ja 94), mutta siitä ei selviä, missä määrin tietosuojaasetusta on voitu ottaa huomioon sitä laadittaessa. Direktiivissä ei mainita tuolloin vasta valmisteltavana ollutta tietosuojaasetusta lainkaan, ainoastaan joitakin asetukseen sittemmin päätyneitä uusia henkilötietojen käsittelyn periaatteita. Lausuntopalvelu.fi 3/5

Tietosuojaasetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Artiklan 1. kohdan mukaan sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. Tilitapahtumista voi, esimerkiksi tehdyistä maksusuorituksista johtuen, ilmetä ainakin poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus sekä ammattiliiton jäsenyys, terveyttä koskevia tietoja sekä seksuaalista suuntautumista koskevia tietoja. Lainsäätäjän on syytä selvittää, seuraako tästä, että tilitietojen käsittelylle on asetuksen soveltamisen alettua oltava 9 artiklan 2 kohdassa säädetty peruste. Jos tarkoitus on, että tilitietojen käsittelyn peruste on a alakohdan mukainen nimenomainen suostumus (explicit consent), on selvää, että suostumuksen on kaikilta osin täytettävä asetuksen vaatimukset, alkaen 7 artiklassa säädetyistä suostumuksen edellytyksistä. Oikeusvarmuuden ylläpitämiseksi lainsäätäjän on hyvä selkeyttää, minkä tietosuojaasetuksen mukaisen perusteen se on kulloinkin tarkoittanut toimivan henkilötietojen käsittelyn perusteena. Tietosuojanäkökulmasta yksi peruste kerrallaan riittää. Jos säädetään, että nimenomainen suostumus annetaan sopimuksessa, on vaarana ajautua henkilötietojen käsittelyn perusteen osalta epäselvään tilanteeseen. Palvelutarjoajien on tiedettävä, miten toimia lain mukaan. Onko ajatuksena, että puitesopimuksen henkilötietojen käsittely perustuu sopimukseen (tietosuojaasetuksen 6 artiklan 1 kohdan b alakohta), ja maksutilillä olevien tietojen käsittely nimenomaiseen suostumukseen (asetuksen 6 artiklan 1 aalakohta sekä 9 artiklan 2 kohdan a alakohta)? Jatkovalmistelussa on selvitettävä, mikä on maksupalvelulain mukaisen ja tietosuojaasetuksen mukaisen nimenomaisen suostumuksen välinen suhde, jotta varmistutaan, että lopullinen säädösteksti on yhteensopiva asetuksen kanssa. 86 2 4 momentit Työryhmä toteaa, että pykälän 3 ja 4 momentti, joissa on eräitä tarkempia säännöksiä 2 momentissa tarkoitetuista tilanteista, vastaisivat voimassa olevaa lakia. Näiden säännösten suhdetta EU:n yleiseen tietosuojaasetukseen arvioidaan mietinnön mukaan myöhemmin erikseen asetuksen edellyttämien lainsäädäntötoimien valmistelun yhteydessä. Niinpä tietosuojavaltuutetulla ei ole tässä vaiheessa syytä lausua esityksen näistä kohdista, vaan jäämme odottamaan lausuntopyyntöä. 8. Muuta Onko teillä muuta lausuttavaa työryhmän ehdotukseen liittyen? Lausuntopalvelu.fi 4/5

9. Komission tekniset sääntelystandardit Mahdollinen lausuntonne teknisten sääntelystandardien luonnoksesta asian neuvostokäsittelyä silmällä pitäen: Järvinen Johanna Tietosuojavaltuutetun toimisto Lausuntopalvelu.fi 5/5

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute