Lausunto rahanpesulainsäädännön uudistamistyöryhmän muistiosta

Dnro 3181/03/2015

28.1.2016

Viite

Valtiovarainministeriön lausuntopyyntö12.11.2015

Lausunto

Valtiovarainministeriö pyysi 12.11.2015 lausuntoa rahanpesulainsäädännön uudistamistyöryhmän muistiosta (VM:n julkaisuja 41/2015). Lainsäädännön muutosesityksellä saatetaan kansallisesti voimaan EU:n ns. neljäs rahanpesudirektiivi (2015/849/EU) ja toinen maksajan tiedot asetus (2015/847/EU).

Lausuntonani esitän kunnioittavasti seuraavan:

1. Oikeudellisen arvioinnin kriteereistä

Kyse on EU:n direktiivin täytäntöönpanosta, joka koskee vapauden, turvallisuuden ja oikeuden alueella tapahtuvaa lainvalvontaa. Kun yleistä henkilötietodirektiiviä (95/46/EY) ei tällaiseen toimintaan monelta osin sovelleta, on esitettyjä henkilötietojen käsittelyyn liittyviä ratkaisuja arvioitava Euroopan ihmisoikeussopimuksen 8 artiklan ja Euroopan ihmisoikeustuomioistuimen oikeuskäytännön valossa. Yksityiskohtaisemmin nämä kriteerit on julkaistu em. direktiivin 29. artiklassa tarkoitettu yhteistyöryhmän lausunnossa 1/2014, joka löytyy sivulta http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp211_fi.pdf

Ihmisoikeussopimuksen 8 artiklan 2 kohdassa tarkoitettuja edellytyksiä ovat ensinnäkin se, että puuttumisesta on laissa säädetty, toiseksi se, että sillä pyritään saavuttamaan jokin kyseisessä kohdassa vahvistettu laillinen tarkoitus (kuten rikollisuuden estäminen) ja kolmanneksi se, että puuttuminen on välttämätöntä demokraattisessa yhteiskunnassa. Ensimmäinen edellytys vastaa kansallisen perusoikeuden vaatimusta (perustuslain 10 §:n 1 momentti). Olennaisin vaatimus, joka tulee ihmisoikeussopimuksesta, liittyy yksityiselämän ja henkilötietojen suojaan puuttuvien toimien välttämättömyyteen demokraattisessa yhteiskunnassa.

Tämä vaatimus on em. lausunnossa EIT:n oikeuskäytännön perusteella jaettu vielä kolmeen näkökulmaan. Ensinnäkin puuttuminen tulee perustua pakottavaan yhteiskunnalliseen tarpeeseen. Toiseksi puuttuminen ei saa mennä pidemmälle kuin on tarpeen tavoitellun laillisen päämäärän saavuttamiseksi ts. puuttumisen pitää olla oikeasuhteinen. Kolmanneksi kyse on vielä siitä, että voidaan näyttöön esimerkiksi tutkimustuloksiin vedoten vakuuttua siitä, että esitetyt toimenpiteet toimivat keinoina kyseisten tavoitteiden saavuttamiseen eivätkä mene pidemmälle kuin näiden tavoitteiden saavuttaminen on tarpeen.

2. Tietojenkäsittelyn lailliset päämäärät ja torjuntajärjestelmän tietojenkäsittelyllinen perusta

Rahanpesulainsäädännössä on kyse rahoitusjärjestelmän väärinkäytön estämisestä ja selvittämisestä. Väärinkäytöllä tarkoitetaan sekä rikoslain 32 luvun 6 -10 luvussa tarkoitettua toimintaan (rahanpesu) että rikoslain 34 a luvun 5 ja 5 a §:ssä tarkoitettua toimintaan (terrorismin rahoittaminen). Rahanpesulla tarkoitetaan yleisesti rikoksella hankitun omaisuuden laittoman alkuperän peittämistä tai häivyttämistä, jolloin selvittämisen tiedollinen intressi liittyy siihen, mistä omaisuus on tullut. Terrorismin rahoitus liittyy taas varojen keräämiseen tai antamiseen tunnusmerkistössä määriteltyjen tekojen rahoittamiseen, jolloin tiedollinen intressi kohdistuu siihen, mihin varat menevät. Näin ollen on kyse myös niin tapahtuneiden tekojen (esirikokset) selvittämisestä kuin tulevaisuudessa mahdollisesti tapahtuvien tekojen (jälkitekojen) torjumisesta. Kyse ei siis ole vain edellä mainituista rikoksista vaan myös muista osittain myös törkeämmistä rikoksista. Muistion perusteella näyttäisi tekotavat jatkuvasti muuttuvan ja siirtyvän tietoverkkoihin kuten rahanpesun ja terrorismin rahoittamisen keinoina ilmitulleet massamarkkinointi- ja sijoitushuijaukset ja virtuaalivaluuttoihin liittyviä tapaukset. Tämän perusteella katson, että tällaisen moniulotteisen ja usein kansainvälisesti organisoidun rikollisuuden torjuntaan ja selvittämiseen on pakottava yhteiskunnallinen tarve. Kun rikosten estäminen ja selvittäminen kuten myös rahoituspalvelut ovat kummatkin hyvin tieto- ja tietotekniikkaintensiivisiä toimintoja, on selvää, että torjuntajärjestelmä perustuu pitkälti eriasteiseen henkilötietojen käsittelyyn.

Kansallisen torjuntajärjestelmän tietojenkäsittelyllisenä perustana tai runkona (backbone) voidaan pitää ilmoitusvelvollisten tekemiä ilmoituksia rahanpesun selvittelykeskukselle (4. luku) ja käsittelyä, jota rahanpesun selvittelykeskus suorittaa saamiensa ilmoitusten ja muuten saamiensa tai hankkimiensa tietojen perusteella (7. luku). Järjestelmän tiedonvaihto perustuu siihen, että ilmoitusvelvolliset tekevät epäilyttävistä liiketoimista tai terrorismin rahoittamisen epäilyistä ilmoituksen rahanpesun selvittelykeskukselle. Tämän käsittelyalustan toimivuuden ja tehokkuuden edellytys on se, että rahanpesun selvittämiskeskus saa ilmoituksia ja kykenee niitä käsittelemään tarkoitetulla tavalla. Viime kädessä järjestelmä perustuu ilmoitusvelvollisten liiketoiminnassa tapahtuvaan asiakkaiden ja heidän toimiensa tuntemiseen ja toimenpiteiden jatkuvaan seurantaan poikkeavuuksien havaitsemiseksi. Muistion mukaan rahanpesuilmoitusten määrät ovat vaihdelleet 20000-28000 välillä ja ilmoituksista otetaan tarkempaan selvittelyyn noin 10 prosenttia. Muistiossa ei sinänsä arvioida tämän perusjärjestelmän sisäistä tehokkuutta esimerkiksi siitä näkökulmasta tehdäänkö ilmoituksia liian herkästi ja kyetäänkö ilmoitukset tapahtumatietoineen (vuonna 2013 ilmoitukset sisälsivät noin puoli miljoonaa tapahtumatietoa) käsittelemään tarkoituksenmukaisella tavalla ja minkälaista näyttöä on tällaisen ilmoitusmäärän hyödyistä tai haitoista pyrittäessä toiminnan lailliseen päämäärään.

Muistiossa viitataan Poliisiammattikorkeakoulussa vuonna 2015 laadittuun kansalliseen riskiarvioon, jossa pyritään arvioimaan yhteiskunnan eri sektoreiden ja rahoitusjärjestelmän haavoittuvuutta ja rikollisuuden ilmenemismuotojen yhteyksiä rahanpesutilanteisiin ja terrorismin rahoittamisen menetelmiin. Vaikka raportin tarkoituksena ei ole ollut varsinaisesti olemassa olevan tietojenkäsittelyllisen perustan arviointi suhteessa tavoiteltaviin päämääriin ja puuttumisen oikeasuhteisuuteen, ilmenee raportista joitakin tähän liittyviä johtopäätöksiä kuten analyysitoimintaa olisi tarpeen lisätä ja resurssoida nykyistä vahvemmin sekä ilmoitusvelvollisille annetun palautteen täsmentämisestä, jotta voitaisiin puhua uuden rahanpesudirektiivin edellyttämästä riskiperusteisesta rikostorjunnasta.

Keskeinen muutos mitä neljäs rahanpesudirektiivi näyttäisi edellyttävän kansalliselta torjuntajärjestelmältä on kaikkien torjuntatoimien suhteuttaminen ajantasaisen riskiarvion mukaan niin kansallisesti kuin ilmoitusvelvolliskohtaisesti (artiklat 6-8). Riskiperusteista ilmoitusvelvollisuutta voidaan tietosuojallisesti pitää siinä mielessä parempana, että rikostorjuntaa suunnataan ja tietoja kerätään ajantasaisen ja toimialakohtaisen riskiarvioinnin perusteella, jolloin tehdyt ilmoitukset ovat todennäköisesti rikostorjunnan kannalta relevantimpia kuin yleisin ja kaavamaisin kriteerein tehdyt ilmoitukset. Jotta riskiarvio olisi toimialakohtainen tai ilmoitusvelvolliskohtainen, tulisi rahanpesun selvittämiskeskukselta saada palautetta tehdyistä ilmoituksista ja siitä, miten tällainen rikollisuus näyttää kehittyvän, jotta uusiin tekotapoihin kyettäisiin vastaavasti puuttumaan oikea-aikaisesti. Työryhmän muistiossa tällaista "feedback" -toimintoa ei kovin selkeästi käsitellä vaan se on ilmeisesti ajateltu toteutuvan ilmoitusvelvollisten kanssa tehtävän yhteistyön nimissä. Kun rikollisuuden tilanne- tai ilmiötietoon, vaikka se ei olisikaan henkilötietoa, voi liittyä julkisuuslain 24 §:n 5 kohdassa tarkoitettuja salassa pidettäviä seikkoja, olisi asia hyvä nostaa esille esimerkiksi hallituksen esityksessä sellaisten käytäntöjen kehittämiseksi, joissa suojattava salassapitointressi ei vaarannu, kun kyse ei ole ehdottomasta salassapitovelvollisuudesta.

Muut keskeiset muutokset nykyiseen torjuntajärjestelmään näyttäisivät liittyvän ensinnäkin ilmoitusvelvollisten parempaan viranomaishaltuunottoon säätämällä aluehallintoviraston ylläpitämästä rahanpesun valvontarekisteristä (5. luku) ja toiseksi rakentamalla lakisääteinen tietopalvelu yritysten ja yhteisöjen ns. edunsaajista (6. luku). Kolmantena henkilötietojen käsittelyn kannalta relevanttina muutoksena voidaan pitää ns. poliittisesti vaikutusvaltaisiin henkilöihin liittyvän sääntelyn ulottamista myös kotimaan poliittisesti vaikutusvaltaisiin henkilöihin ja heidän perheenjäseniinsä ja yhtiökumppaneihinsa (3. luku 13 §).

Lisäksi esitykseen sisältyy säännökset ns. whistle blowing – järjestelystä ja vastaavat valvontaviranomaisen ylläpitämät järjestelyt, joiden perusteella valvottavan työntekijät voivat ilmoittaa rahanpesurikkomuksista sekä säännökset rikemaksun, julkisen varoituksen ja seuraamusmaksun julkistamisesta ja pitämisestä valvontaviranomaisen internetsivulla viiden vuoden ajan.

3. Aluehallintoviraston rahanpesun valvontarekisteri

Kyseessä olisi uusi rekisteri, johon kerättäisiin kaikki tiedot niistä elinkeinonharjoittajista, jotka ovat rahanpesulain mukaan ilmoitusvelvollisia, mutta joita ei ole toimilupavalvonnan perusteella ole säädetty toisen viranomaisen valvottavaksi. Näitä ilmoitusvelvollisia olisi lakiehdotuksen 1 luvun 2 §:n 1 momentin 11-22 §:ssä tarkoitetut ilmoitusvelvolliset. Näihin ilmoitusvelvollisiin kuuluu muun muassa muut kuin Finanssivalvonnan valvomat luotonanto- ja rahoitustoiminta, maksupalvelujen tarjonta ja valuutanvaihto sekä sijoituspalvelut. Lisäksi näitä ilmoitusvelvollisia ovat muun muassa kiinteistönvälitys, perintätoimen harjoittaminen, yrityspalveluiden tarjonta.

Ideana koota yhteen viranomaisen valvontaan kuuluvien elinkeinonharjoittajien tiedot vaikuttaa sinänsä järkevältä. Valvontaviranomainen voi ottaa yhteyttä ja toteuttaa laissa säädettyä tehtäväänsä. Tällaiseen ei yleensä ole tarvittu mitään erityissäännöksiä ja henkilötietojenkin osalta voidaan katsoa, että kyseessä olisi elinkeinonharjoittajan edustajana toimivan henkilön tietojen käsittelystä henkilötietolain 8 §:n 1 momentin 4 kohdan (viranomaiselle säädetystä tehtävästä johtuva tarve) tai 8 kohdan (elinkeinoelämässä yleisesti saatavilla oleva tieto) perusteella. Näin ollen ehdotettu tietojärjestelmä ei näytäkään kovin tavanomaiselta viranomaisen "valvontarekisteriltä".

Esityksen mukaan rekisterin tarkoituksena on rahanpesun ja terrorismin rahoittamisen estämisen valvonta. Rekisteriin ei kuitenkaan hyväksyttäisi kaikkia vaan ainoastaan sellaiset hakijat, jotka täyttäisivät esityksen 5 luvun 3 §:n edellytykset. Rekisteröinnin edellytyksistä kohdat 2 (liiketoimintakielto) ja 4 (luotettavuusarviointi) ovat selvästi henkilöllisiä siten, että tietyistä henkilöistä tehdään säännösten perusteella muun muassa rikosrekisteritarkistus. Usein tällaista elinkeino-oikeudellista rajoitusta perustellaan esim. luottolaitoslain 3 luvun 24 a §:ssä (HE 32/2012 vp) sillä, että voitaisiin ylläpitää asiakkaiden ja yleisön luottamusta finanssimarkkinoiden toimintaan. Se, ettei hakijaa rekisteröidä tai tultaisi rekisteröimään näillä perusteilla, ei kuitenkaan voi tarkoita sitä, että tällainen elinkeinoharjoittaja olisi ilmoitusvelvollisuuden ulkopuolella, jos hän saa jatkaa elinkeinotoimintaa yleisen elinkeinovapauden perusteella. Voidaan jopa sanoa, että ne, joita ei rekisteröidä tai jotka eivät edes hakeudu rekisteriin, voisivat muodostaa viranomaisen varsinaisen valvontarekisterin ja tätä rekisteröityjen luetteloa voitaisiin kutsua osittain taustatarkistetuksi rahanpesun ilmoitusvelvollisiksi ilmoittautuneiden rekisteriksi.

Kyseisen tietojärjestelmän laajempi vaikutus on ilmeisesti ajateltu liittyvän sen erityisesti säädettyyn julkisuuteen, jossa poiketaan julkisuuslain 16 §:n 3 momentin pääsäännöstä. Tämä mahdollistaa henkilötietojen osalta luovuttamisen siten, ettei rekisterinpitäjän tarvitse selvittää kyselijän oikeutta käsitellä pyytämiään tietoja. Kun otetaan huomioon, ettei kyse ole vain yksilöinti- ja yhteystietojen jakamisesta vaan myös 9 luvussa tarkoitettujen kieltojen, kehotusten ja hallinnollisten seuraamusten jakelusta, tulisi myös näiltä osin arvioida sitä, miten näiden tietojen julkisuus palvelee torjuntajärjestelmän päämääriä eli rahanpesun ja terrorismin rahoittamisen selvittämistä ja torjuntaa. Julkisuus voi antaa esimerkiksi kilpailijalle aiheen ilmoittaa toisesta saman alan toimijasta, mikä voisi palvella nimenomaan tässä tarkoitettua valvontaa. Mutta jos julkisuuden tarkoitus on vaikuttaa nimenomaan elinkeinonharjoittajan maineeseen markkinoilla, tulee esimerkiksi hallinnolliseen seuraamukseen johtaneen teon olla siten yksilöity, ettei julkisuuden kautta synny epäselvyyttä mihin elinkeinonharjoittaja on syyllistynyt erotuksena varsinaisista rahanpesun ja terrorismin rahoittamisen rikoksista. Tällaiseen torjuntajärjestelmään liittyvien velvoitteiden laiminlyönnistä annettujen sanktioiden vaikutuksia ja julkisuutta tulisi myös suhteuttaa niihin vaikutuksiin ja julkisuuteen, jotka liittyvät varsinaisiin rahanpesun ja terrorismin rahoittamisen rikostuomioihin.

Ehdotetun valvontarekisterin päivittämisestä säädetään lakiesityksen 5 luvun 8 §:ssä. Esitetyssä muodossa säännös vaikuttaa tarpeettomalta, koska henkilötietolain 9 §:n 2 momentin mukaan rekisterinpitäjällä on suorastaan velvollisuus huolehtia tietojen oikeellisuudesta ja väestötietojärjestelmän, kaupparekisterin ja yritys- ja yhteisörekisterien säännökset näyttäisivät jo sellaisenaan mahdollistavan tällaisen päivittämisen. Sen sijaan esitän harkittavaksi sitä, että luotettavuusarviointi ei tapahtuisi vain rekisteröitäessä hakijaa vaan valvontaviranomainen saisi 5 luvun 5 §:ssä tarkoitetuista tietojärjestelmistä valvontaimpulssin kun rekisteröitymisen estettä tarkoittava tieto rekisteröidään näihin järjestelmiin jolloin valvontaviranomainen voisi ryhtyä toimiin 6 §:n perusteella.

4. Edunsaajarekisterin toteuttaminen hajautetun mallin mukaan

Työryhmä ehdottaa uuden ns. edunsaajarekisterin perustamista Patentti- ja rekisterihallitukseen. Esityksen mukaan edunsaajatiedot kerättäisiin kaupparekisterin ja muiden yhteisörekisterien ilmoitusten yhteydessä. Edunsaajalla tarkoitetaan lakiesityksen 1 luvun 5 §:n mukaan luonnollista henkilöä, jolla on enemmän kuin 25 %:a oikeushenkilön kaikkien osakkeiden tuottamasta äänimäärästä tai muu vastaava päätösvalta, joka perustuu omistukseen, jäsenyyteen, yhtiöjärjestykseen tai sopimukseen. Esityksen mukaan kantarekistereihin lisättäisiin uusina tietoina yritysten, yhdistysten säätiöiden ilmoittamat tiedot siitä, keitä ovat niiden omistajat ja tosiasialliset edunsaajat. Ilmoitettujen tietojen julkisuus määräytyisi kantarekisterien mukaan eli ne olisi julkisia siten kuin esimerkiksi kaupparekisterin tiedot.

Voimassa olevassa rahanpesulaissa (503/2008) on säännökset tosiasiallisen edunsaajan tunnistamisesta, mikä on käytännössä ilmeisesti jäänyt sen varaan, miten ilmoitusvelvolliset kykenevät asiakassuhteessa saamaan tietoa tosiasiallisista edunsaajista. Direktiivin vaatimus keskitetystä edunsaajarekisteristä näyttäisi resitaalien 12-17 kohtien perusteella liittyvän siihen, ettei ilmoitusvelvollisten omia keinoja asiakassuhteessa ole enää pidetty riittävinä vaan edunsaajista tulisi ylläpitää keskitettyä rekisteriä, josta nimenomaan ilmoitusvelvollinen voisi tarkistaa tietoja ja jopa täydentää niitä. Resitaalissa 14 todetaan, että jäsenvaltiot voivat päättää, että ilmoitusvelvolliset olisivat jopa vastuussa rekisterin täyttämisestä. Näin ollen ajatuksena on voinut olla se, että ilmoitusvelvollisilla ja viranomaisilla on käytössään tällainen yhteinen tietokanta, joita he voivat täydentää konkreettisten tapausten myötä.

Työryhmä on vaihtoehtoja arvioidessaan katsonut, ettei järjestelmää voida perustaa verohallinnon omistajatietojen varaan niiden puutteellisuuden takia ja päätynyt uuden erillisrekisterin sijaan esittämään hajautettua mallia, jossa edunsaajatietoja hallinnoitaisiin osana perusrekistereitä. Nämä perusrekisterit ovat yhteisörekistereitä, jotka olennaisesti poikkeavat oikeudelliselta luonteeltaan henkilörekistereistä, joita ylläpidetään ulkopuolisten toimesta tosiasiallisuuden perusteella. Yhteisörekisterit ovat kyseisiä oikeushenkilöitä konstituoivia ja niiden merkinnät perustuvat kyseisten yhtiöiden ja niiden edustajien ilmoituksiin ja viranomaispäätöksiin. Toimiakseen oikeushenkilöllisyys edellyttää sitä, että sitä edustaa ja sen puolesta toimii siihen valtuutettu luonnollinen henkilö. Tästä syystä oikeushenkilön rekisteritietoihin on liitettävä tiedot yhtiön oikeutetuista edustajista, jotka kaupparekisteriin merkittyinä saavat ns. positiivinen julkisuusvaikutus eli merkinnän katsotaan olevan yleisessä tiedossa ja ulkopuolinen voi lähtökohtaisesti luottaa rekisterimerkintöihin esimerkiksi niiltä osin, ketkä voivat edustaa yhtiötä.

Mielestäni kaupparekisteri ja muut yhteisöoikeudelliset rekisterit eivät oíkeudellisen luonteensa vuoksi sovellu tässä tarkoitettujen omistajatietojen ns. kantarekistereiksi. Ensinnäkin esityksessä on jäänyt epäselväksi se, voiko omistaja- ja edunsaajatiedot saada samanlaiset oikeusvaikutukset kuin muut kaupparekisteritiedot ts. ulkopuolinen voisi lähtökohtaisesti luottaa näihin tietoihin. Direktiivin 30 artikla 8 kohdassa kiinnitetään huomiota siihen, ettei ilmoitusvelvolliset ainakaan yksinomaan luottaisi tässä tarkoituksessa merkittyihin tietoihin. Entä muut kuin ilmoitusvelvolliset? Toisaalta omistajuuden perusteella määräysvallan kirjaaminen luotettavasti voi edellyttää muutakin kuin yksinkertaista ilmoitusta eikä tässä rahanpesun torjunnan tarkoituksessa ole edellytetty varallisuusoikeudellisen kirjaamisjärjestelmän perustamista (vrt. arvo-osuusjärjestelmä tai kiinteistöjen kirjaamisjärjestelmä). Kolmanneksi jos kaupparekisterin tiedot poikkeavat tosiasioista, näyttäisi väärän tiedon poistaminen edellyttävän tuomioistuimen lainvoimaista ratkaisua kaupparekisterilain 23 §:n mukaan eikä tietoja voisi täydentää esim. rahanpesun selvittämiskeskus tai ilmoitusvelvolliset käytännön havaintojen tai todisteiden eli tosiasiallisuuden perusteella. Neljäksi kaupparekisterissä omistajatiedot johtavat julkisuuteen, jota mielestäni direktiivi ei edellytä.

5. Edunsaajarekisterin julkisuus

Vaikka direktiivin 30 artiklan 3 kohdassa viitataan kaupparekisteriin mahdollisena toteutustapana, on saman artiklan 5 kohdassa todettu, että tätä kohtaa sovellettaessa on noudettava tietosuojasääntöjä. Keskeinen henkilötietojen suojaa koskeva periaate on ns. tarkoitussidonnaisuuden periaate, joka ilmenee kansallisesti henkilötietolain 7 §:stä ja henkilötietodirektiivin 6 artiklan 1 b alakohdasta sekä EU:n perusoikeuskirjan 8 artikla 2 kohdasta ja myös tämän rahanpesudirektiivin 41 artiklan 2 kohdasta. Rahanpesun ja terrorismin torjunnan tarkoituksissa kerättyjä tietoja ei saa käsitellä näiden tarkoitusten kannalta yhteensopimattomalla tavalla.

Työryhmä ehdottaa, että tässä tarkoituksessa kerättyjen tietojen julkisuus määräytyy kunkin kantarekisterin mukaan. Kaupparekisterilakia koskevassa esityksessä (1 a §:n 2 momentti) ehdotetaan poikkeamista julkisuuslain 16 §:n 3 momentin vaatimuksista jopa siten, että tiedot voidaan saattaa yleisesti saataville sähköisen tietoverkon kautta. Tällainen julkisuus ei kykene takaamaan sitä, että tietoja käsiteltäisi tarkoitussidonnaisuuden kannalta yhteensopivalla tavalla.

Rahanpesudirektiivissä tällaista käyttötarkoitukseen sidottua käsittelyä edustaa 30 artiklan 5 kohdassa esitetty luettelo, jossa on yksilöity kolme käyttäjäryhmää ja heidän erilaiset käyttöoikeutensa kyseessä oleviin tietoihin. Sen mukaan tosiasiallista omistajaa ja edunsaajaa koskevat tiedot on oltava 1) toimivaltaisten viranomaisten ja rahanpesun selvittelykeskusten käytössä rajoituksetta 2) ilmoitusvelvollisten käytössä asiakkaan tuntemisvelvollisuuden puitteissa ja 3) sellaisten henkilöiden tai järjestöjen käytössä, jotka pystyvät osoittamaan tietojen koskevan heidän oikeutettua etua.

Kun on kysymys yrityksiä, yhdistyksiä ja säätiöitä koskevista tiedoista ja erityisesti näitä yhteisöjä muodostaneista luonnollisista henkilöistä, ei tiedon kohteena ole viranomaistoiminta, johon sovellettaisiin yleisesti julkisuuslakia ja sen periaatteita. Kun myös perustuslain 12 §:n 2 momentissa tarkoitetun asiakirja- ja tallennejulkisuuden ideana on nimenomaan julkisen vallan käytön ja viranomaisten toiminnan avoimuuden turvaaminen, ei kyseessä ole myöskään siitä, että perustuslaillinen julkisuusperiaate syrjäyttäisi tässä yksityisyyden suojan ja henkilötietojen suojan perusoikeudet.

Ensimmäisessä luvussa esitellyn ihmisoikeussopimukseen perustuvan arvioinnin näkökulmasta on ratkaistava se, onko kyseessä oleva tieto omistajista ja edunsaajista sellainen tieto, jonka voisi katsoa kuuluvan ylipäänsä yksityiselämän suojan alaan. EIT on päätöksessä Campagnano v. Italy 23.3.2006 kohdassa 53 esitellyt tuomioistuimen oikeustapauskäytäntöä ja toteaa, että yksityiselämään kuuluu oikeus muodostaa ja kehittää suhteita muihin ihmisiin mukaan lukien myös ammatilliset ja liiketoiminnalliset suhteet eikä yksityiselämä siten periaatteessa sulje ulkopuolelle ammatillisia tai liikesuhteita. Tämän perusteella voidaan katsoa, että yksityiselämän suojaan kuuluu myös tiedot henkilöiden suhteista ammatillisissa ja liikesuhteissa ja siten tässä kerättäväksi ehdotettujen tietojen keräämistä tulee arvioida puuttumisena näin ymmärrettyyn yksityiselämään.

Ensimmäisessä luvussa esitettyjen kriteerien perusteella katson ensinnäkin, että toisessa luvussa esitetyillä perusteilla rahanpesun ja terrorismin rahoittamisen torjuntaan on painava yhteiskunnallinen syy. Sen sijaan työryhmän ehdottama hajautettu toteuttamismalli johtaa tietojen käsittelyyn, jota ei voi pitää tarkoitussidonnaisuuden kannalta yhteensopivana ja joka ei ole oikeasuhteinen tavoitellun päämäärän kannalta eikä ole siten välttämätöntä demokraattisessa yhteiskunnassa. Tämän perusteella esitän, että edunsaajarekisteri olisi erillinen rahanpesun selvittämiskeskuksen ja ilmoitusvelvollisten käyttöön tarkoitettu tietojärjestelmä, jota patentti- ja rekisterihallitus voisi ylläpitää ja päivittää, mutta johon viranomaiset ja ilmoitusvelvolliset voisivat täydentää tosiasiallisia omistajia ja edunsaajia koskevia tietoja siten kuin konkreettisissa tapauksissa on voitu todentaa. Luovutuksista niissä tilanteissa, joissa esitetään oikeutettu intressi tulisi säätää erikseen. Henkilötunnuksen käsittelyä pidän välttämättömänä näissä tilanteissa jo siitä syystä, että keskitetyssä tietojärjestelmässä, jota ylläpidetään rahanpesun ja terrorismin rahoittamisen torjumiseksi, on tiedon oikeellisuuden ja samannimisten oikeusturvan kannalta tarpeellista käsitellä henkilötunnusta, sikäli kun se on luotettavasti saatavilla.

Muistiossa ei ole tarkemmin arvioitu suhdetta luottotietolakiin (527/2007), jonka 22 §:ssä säädetään yrityksen vastuuhenkilöä koskevien tietojen täydentämisestä. Kun luottotietotoiminnan harjoittaja ei ole ilmoitusvelvollinen, ei sillä olisi oikeutta saada tietoja 22 §:ssä tarkoitettua rekisterinpitoa varten vaan ainoastaan silloin kun se voi toimia ns. kolmantena osapuolena esityksen 3 luvun 7 §:n mukaan.

6. Poliittisesti vaikutusvaltaiset henkilöt ja näiden tietojen saatavuuden ja oikeellisuuden varmistaminen

Muistion mukaan soveltamisala laajenee siten, että poliittisesti vaikutusvaltaisilla henkilöillä tarkoitettaisiin ulkomaisten poliittisesti vaikutusvaltaisia henkilöiden lisäksi myös kotimaisia poliittisesti vaikutusvaltaisia henkilöitä. Ilmoitusvelvollisen selonottovelvollisuus laajenisi näiden lakiesityksen 1 luvun 4 §:n 12 kohdassa tarkoitettuihin julkisen tehtävän hoitajiin, mutta myös heidän perheenjäseniin ja yhtiökumppaneihin. Jotta ilmoitusvelvolliset voisivat tällaisen laissa säädetyn riskin tunnistaa, heidän tulee tällaiset henkilöt erityisesti tunnistaa ja toimia siten kuin esityksen 3 luvun 13 §:ssä edellytetään. Jotta tämä olisi tehokasta tulisi ilmoitusvelvollisten tiedossa olla se, keitä vaatimukset tehostetusta tuntemisvelvollisuudesta koskevat.

Tällä hetkellä näyttäisi käytäntönä olevan se, että henkilöltä itseltään kysytään, onko hän poliittisesti vaikutusvaltainen henkilö tai tällaisen henkilön lähisukulainen tai yhtiökumppani. Ilmeisesti EU:ssä ei ole pidetty tarpeellisena ottaa käyttöön tehokkaampaa toteuttamistapaa esim. vastaava kuin edellä edunsaajien osalta. Muistiossa ei myöskään esitetä kansallista ratkaisua, jolla voitaisiin helpottaa ilmoitusvelvollisten toimia eli vähentää hallinnollista taakka ja todennäköisesti tehostaa ilmoitusvelvollisille asetettuja tuntemisvelvoitteita. Myöskään henkilötietolain 8 §:n 1 momentin 8 kohta ei sellaisenaan sovellu tällaisten henkilötietojen ylläpitämiseen, koska sen perusteella ei voida ainakaan perheenjäseniä koskevia tietoja kattavasti ylläpitää ilmoitusvelvollisten toimesta. Tästä syystä esitän harkittavaksi vastaavan keskitetyn tietojärjestelmän perustamista kansallisesti poliittisesti vaikutusvaltaisista henkilöistä ja heidän säännöksissä tarkoitetuista perheenjäsenistään ja yhtiökumppaneistaan, joita tehostettu tuntemisvelvollisuus koskee. Keskitetty tietojärjestelmä parantaisi myös näiden tietojen ajantasaisuutta siten, että tällaisen julkisen tehtävän päättymisen jälkeen kyseeseen henkilöön liittyvät tiedot voidaan poistaa käytössä olevasta tietojärjestelmästä lakiesityksen 3 luvun 13 §:n 3 momentissa tarkoitetun ajan päättyessä. Torjuntajärjestelmän hajautetun mallin mukaisesti tällaisen listan muodostaminen voisi parhaiten onnistua tai olla kytkettävissä Väestörekisterikeskuksen tehtäviin.

7. Ilmoituskanava työntekijöille ja ilmoituksiin sisältyvien henkilötietojen käsittely

Rahanpesudirektiivin 61 artiklassa jäsenmailta edellytetään järjestelyjä, jotka kannustaisivat ilmoitusvelvollisten työntekijöitä ilmoittamaan toimivaltaiselle viranomaisille ja sisäisesti näiden säännösten mahdollisesta tai todellisesta rikkomisesta. Näitä järjestelyjä kutsutaan ns. whistle blowing -järjestelyiksi, joissa on ensisijaisesti kyse riittävän suojatun jopa nimettömän viestintäkanavan ylläpitämisestä mahdollisia ilmoituksia varten. Henkilötietojen käsittelystä on kyse, jos ilmoitus sisältää tiettyä luonnollista henkilöä koskevan väärinkäytösepäilyn.

Suomessa ei näyttäisi olevan kansallisia erityissäännöksiä nimenomaan tällaisista whistle blowing -järjestelyistä. Tietosuojavaltuutetun toimiston oppaassa on pyritty soveltamaan henkilötietolakia ottaen huomioon artikla 29 työryhmän raportti WP 117 tilanteissa, joissa yhdysvaltalaista ns. Sarbanes-Oxley Actia on sovellettu myös Suomessa toimiviin yrityksiin.

Ilmoituskanavan osalta työryhmä ei esitä, että ilmoitus olisi voitava tehdä nimettömänä vaan ainoastaan sisäisesti riippumattoman kanavan kautta. Lisäksi esitetään, että ilmoituksen tekijän ja sen kohteen henkilötiedot olisivat salassa pidettäviä, jollei laissa toisin säädetä. Jotta salassapitovelvollisuus olisi tehokas olisi se kohdistuttava henkilöihin, jotka olisivat vaitiolovelvollisia ja täsmentää ilmoitusvelvollisen sisäistä salassapitoa siten, että sivullisia ovat myös muut ilmoitusvelvollisen työntekijät ja edustajat paitsi ne, joiden tehtäviin kuuluu näiden ilmoitusten vastaanotto ja niiden johdosta tapahtuva käsittely (ks. esim. työelämän tietosuojalain 759/2004 5 §:n 2 momentti).

Ilmoitukset voivat sisältää tiettyyn henkilöön kohdistuneen väärinkäytösepäilyn, jolloin kyse on siitä, mitä toimenpiteitä ilmoitusten vastaanottajilta edellytetään ja mihin tällaiset jatkotoimenpiteet (61 art. 2 kohdan a) alakohta) oikeudellisesti perustuvat. Ilmoitusten sisällöstä riippuen niillä näyttäisi olevan kolmenlaisia jatkotoimenpiteitä eli ilmoitusvelvolliset voisivat puuttua työoikeudellisesti antamiensa rahanpesun toimintaohjeiden/määräyksien laiminlyönteihin yksittäisten työntekijöiden osalta, jolloin käsittelyperuste on henkilötietolain 12 §:n 4 kohdassa tarkoitettu oikeudellisten vaatimusten esittäminen, jotka voitaneen johtaa ilmoitusvelvolliseen kohdistuvista tämän lain mukaisista vaatimuksista. Tässä tarkoitetut valvontaviranomaiset voisivat puuttua yksittäisten ilmoitusvelvollisten rikkomuksiin ja kolmantena vaihtoehtona näyttäisi olevan rikosoikeudellisesti relevantti väärinkäytösepäily, jolloin tulisi harkita tutkintapyyntöä poliisille tai ilmoitusta rahanpesun selvityskeskukselle.

8. Hallinnollisia seuraamuksia koskevien tietojen julkistaminen ja pitkäaikainen ylläpito viranomaisen internetsivulla

Lakiesityksen 9 luvun 8 §:ssä edellytetään, että valvontaviranomaisten määräämät hallinnollisia seuraamuksia koskevat tiedot julkistetaan ja niitä on ylläpidettävä valvontaviranomaisen internetsivulla viiden vuoden ajan. Säännökseen sisältyy joitakin kohtuullistamisperusteita, mitkä voivat johtaa siihen, että luonnollisten henkilöiden tietoja ei tarvitse kaikissa tapauksissa julkistaa ja ylläpitää viittä vuotta internet -sivulla.

Kun henkilötietoja päädytään julkistamaan ja ylläpitämään internet -sivulla, tulisi valvontaviranomaisten huolehtia myös siitä, että kyseessä olevat tiedot poistetaan internetin hakukoneista ja niiden välimuisteista kun viiden vuoden määräaika päättyy.

Tietosuojavaltuutettu Reijo Aarnio

Ylitarkastaja Heikki Partanen

 
Julkaistu 3.3.2016