Lausunto pankki- ja maksutilijärjestelmän uudistamishankkeen arviomuistioista

29.6.2017

Viite: Valtiovarainministeriön lausuntopyyntö pankki- ja maksutilijärjestelmän uudistamishankkeen arviomuistioista VM008:00/2017

Tietosuojavaltuutetun lausunto

Valtiovarainministeriö on pyytänyt tietosuojavaltuutetun lausuntoa otsikon mukaisesta arviomuistiosta. Muistiossa on päädytty ehdottamaan neljännen rahanpesudirektiivin muutosdirektiivin mukaiset minimitiedot sisältävää rekisteriä, sekä sen lisäksi pankki- ja maksutilejä koskevaa tiedonhakujärjestelmää. Järjestelmä olisi mahdollisimman laajasti viranomaisten hyödynnettävissä niin, että näillä olisi järjestelmän kautta suora pääsy pankkitilien tietoihin ja tilitapahtumiin.

Yleinen osa – henkilötietojen suojasta säätäminen

Henkilötietojen käsittelyä koskeva lainsäädäntö

Henkilötietojen käsittelyä koskeva lainsäädäntökehikko on muuttumassa. Tällä hetkellä on meneillään siirtymäaika, jona valmistaudutaan soveltamaan yleistä tietosuoja-asetusta. Asetuksen soveltaminen alkaa 25.5.2018. Kaikessa lainsäädäntötyössä on jo nyt huomioitava asetuksesta johtuvat reunaehdot kansalliselle lainsäädännölle.

Asetuksen 2 artiklan 2. kohdan d-alakohdan mukaan asetusta ei kuitenkaan sovelleta henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Näihin tilanteisiin liittyvää henkilötietojen käsittelyä varten säädetty ns. poliisidirektiivi on implementoitava kansallisesti 6.5.2018 mennessä. Oikeusministeriö on asettanut valmistelevan työryhmän.

Tietosuoja-asetuksen 2 artiklan 2. kohdan a-alakohdan mukaan asetusta ei sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan. Lisäksi soveltamisalan ulkopuolelle jää henkilötietojen käsittely, jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Tietosuoja-asetus tulee sovellettavaksi kaikkeen henkilötietojen käsittelyyn, joka kuuluu unionin lainsäädännön alaan, mutta jää poliisidirektiivin soveltamisalan ulkopuolelle. EU:n toimivallan määrittely ei ole yksiselitteistä ja sen määrittelyyn vaikuttaa myös EU:n tuomioistuimen oikeuskäytäntö.

Jatkovalmistelu on näin ollen henkilötietojen käsittelyn osalta aloitettava arvioimalla, miltä osin suunniteltu käsittely kuuluu tietosuoja-asetuksen soveltamisalan piiriin ja miltä osin sitä säännellään muualla. EU:n uuden tietosuojapaketin myötä, 25.5.2018 alkaen kansallisesti voi tulla sovellettavaksi kolme yleislakia: yleinen tietosuoja-asetus, kansallinen tietosuojalaki (valmisteilla) ja III pilarin ns. poliisidirektiivin täytäntöönpanoa koskeva yleislaki.

Lainsäätäjän kansallisesta liikkumavarasta

Siltä osin kuin aiotaan säätää sellaisesta henkilötietojen käsittelystä, joka kuuluu myös yleisen tietosuoja-asetuksen soveltamisalaan, tulee aluksi tunnistaa asetuksen mukainen henkilötietojen käsittelyn peruste. Kansallinen lainsäädännöllinen liikkumavara on mahdollista arvioida vasta sen jälkeen.

Kansallinen henkilötietojen käsittelyä koskeva lainsäädäntö on mahdollista vain niiltä osin, kuin se asetuksessa nimenomaisesti sallitaan ja niiltä osin, kuin esitetyt säännökset ovat välttämättömiä yleisen tietosuoja-asetuksen säännösten täydentämiseksi. Kansallinen liikkumavara pohjautuu tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohtiin, sekä arkaluonteisten tietojen osalta 9 artiklan 2 kohdan alakohtiin, ja rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen osalta 10 artiklaan. Lisäksi asetuksessa on useita artiklakohtaisia täsmennyksiä kansallisesta liikkumavarasta. Lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtaista asetettuun tavoitteeseen nähden. Lainsäädännön on oltava selkeää ja täsmällistä ja sen soveltamisen ennakoitavaa.

Suunnitteilla olevaa henkilötietojen käsittelyä on tarkasteltava myös perusoikeusnäkökulmasta. Euroopan unionin perusoikeuskirjan rinnalla on huomioitava kansallinen perustuslaki ja perustuslakivaliokunnan sekä hallintovaliokunnan lausuntokäytäntö. Valiokuntien lausuntokäytäntöä onkin ansiokkaasti tarkasteltu arviomuistion sivulla 23.

Henkilötietojen suojan kansallisen sääntelyn tarpeesta suhteessa yleiseen tietosuoja-asetukseen perustuslakivaliokunta totesi lausunnossaan PeVL 38/2016 vp seuraavaa:
"Valiokunnan käsityksen mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla".

Komissio on yleisen tietosuoja-asetuksen täytäntöönpanoa koskevan työn yhteydessä toistuvasti painottanut, että kansallista liikkumavaraa tulee käyttää hyvin rajatusti. Tietosuoja-asetuksen määritelmiä ei saa määritellä uudelleen ja suoraa toistamista tulee välttää. Viittaukset asetukseen ovat kuitenkin mahdollisia.

Erityinen osa – yksityiskohtaiset huomiot

Henkilötietojen käsittelyn valvonta: omiin tietoihin pääsyn merkitys

Arviomuistiossa esitetään, että direktiivin vähimmäisvaatimukset täyttävän rekisterin lisäksi perustettaisiin kansallisesti motivoitu maksu- ja tilitietojen välitysjärjestelmä. Järjestelmässä voitaisiin välittää tietoja tilitapahtumista jopa 10 vuoden ajalta lukuisille eri viranomaisille ilman, että niiden rekisterinpitäjänä toimivalla luottolaitoksella tai muulla olisi mahdollisuuksia harkita tietojen luovuttamista yksittäistapauksessa.

Vaikka viranomaisten tiedonsaantioikeuksia ei lähtökohtaisesti ole tarkoitus muuttaa, ainoastaan parantaa tiedon liikkumista teknisesti, suunnitelma on käytännössä merkityksellinen henkilötietojen suojan kannalta. Emme voi varauksetta yhtyä muistiossa esitettyyn käsitykseen siitä, ettei muutoksella olisi vaikutuksia tietoturvan kannalta. Teknisen tietoturvan lisäksi on hallittava ihmisten uteliaisuutta.

Sanomattakin on selvää, että järjestelmää käytettäessä on synnyttävä lokitieto, josta ilmenee paitsi kysyvä organisaatio, myös kyselyn tehnyt ihminen. Lokitietoja tulee kerätä sekä kysyjän, että kyselyn vastaanottajan taholla.

Kyselyjä on odotettavissa vuosittain miljoonia, ja lokitietojen aidosti tehokas analysointi ja valvonta on vaikeaa. Järjestelmää suunniteltaessa on syytä kiinnittää korostetusti huomiota siihen, miten kyetään turvaamaan resurssit ja tekniset valmiudet valvontaan.

Käytännössä yksi olennainen tapa varmistaa kyselyjen lainmukaisuutta olisi se, että jokaisella pankkitilin haltijalla olisi lähtökohtaisesti mahdollisuus tarkistaa lokitiedoista, mikä organisaatio hänen tilitietojaan on kysynyt, ja millä perusteella. Käsityksemme mukaan tämä olisi suorastaan välttämätöntä, jotta voitaisiin käytännössä riittävän kattavasti varmentua, että järjestelmää käytetään vain perustelluista syistä.

Toki silloin, kun kyse olisi esimerkiksi rahanpesun tai terrorismin rahoituksen epäilystä tai muusta tietosuoja-asetuksen 23 artiklassa mainitusta tilanteesta, tarkastusoikeuden epäämiselle olisi tältä osin löydettävä tai säädettävä peruste. Arviomuistion perusteella kuitenkin näyttäisi siltä, että suurin massa tietoa siirtyisi ulosottoviranomaiselle ja Kelalle. Tässä tietojen käsittelyssä ei tyypillisesti liene estettä sille, etteikö ihminen saisi tietää tietojensa kysymisestä.

Jatkovalmistelussa tulee selvittää, miltä osin järjestelmän käyttöön liittyvistä rekisteröidyn oikeuksista säädetään tietosuoja-asetuksella ja valmisteilla olevalla kansallisella tietosuojalailla, miltä osin poliisidirektiivistä johtuvalla lainsäädännöllä, ja miten varmistettaisiin rekisteröidyn oikeuksien turvaaminen oikeasuhtaisella tavalla.

Mainittakoon esimerkkinä, että lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä on säädetty asiakkaan tiedonsaantioikeutta koskeva 18 §, jonka mukaan mm.

Asiakkaalla on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste. Asiakkaalla on vastaava oikeus saada Kansaneläkelaitokselta tieto 14 a §:ssä tarkoitettuun potilaan tiedonhallintapalveluun tallennettujen ja sen kautta näytettävien tietojen luovuttamisesta.

Muilla hallinnonaloilla lokitietoja luovutetaan harkinnanvaraisesti julkisuuslain asian-osaisen tiedonsaantioikeuden nojalla. Tietosuojaviranomaisen toimivalta ei ulotu julkisuuslain soveltamiseen, vaan tiedonsaantioikeus joudutaan ratkaisemaan viime kädessä oikeusteitse. Prosessin työläys ei ole omiaan nostamaan riskiä lainvastaisen menettelyn paljastumisesta.

Muutamia muita huomioita muistion kohtiin liittyen

6.4. Yhteiskunnalliset vaikutukset: Kansaneläkelaitoksen tiedonsaantioikeus

Esityksen alussa (s. 2) todetaan, että sähköistä järjestelmää luotaessa tiedonsaantioikeuksia ei ole lähtökohtaisesti tarvetta arvioida erikseen. Kuitenkin sivulla 42 todetaan, että Kansaneläkelaitoksella ei ole lainmukaista oikeutta saada luotto- tai maksulaitokselta pankkisalaisuuden piiriin kuuluvaa tietoa, vaan esimerkiksi toimeentulotuen asiakkaan täytyy itse toimittaa Kansaneläkelaitokselle nämä tiedot. Muistion mukaan "asiakas tietää tukea hakiessaan, että hakemukseen vaadittavat asiakirjat mukaan lukien tiliotteet pitää toimittaa viranomaiselle päätöksentekoa varten, joten Kansaneläkelaitoksen suhteen viranomainen voisi ilmoittaa asiakkaalleen, milloin he ovat käyneet hakemassa asiakkaan maksutilien tietoja."

Henkilötietojen käsittelyn näkökulmasta tietojen itse toimittaminen tai suostumuksen antaminen on eri asia, kuin jälkikäteinen informointi. Käsityksemme mukaan kyseistä lainkohtaa täytyisi muuttaa, jos tietoja haluttaisiin jatkossa hakea järjestelmän avulla.

Lokitietojen ja henkilötietojen käsittelyn valvonnasta

Muistion sivulla 43 viitataan mahdollisena mallilainkohtana säännökseen, jonka mukaan tietojen suoja varmistettaisiin mm. huolehtimalla siitä, että tietojen käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaalisen diaariin tai asiakirjaan. Nyt käsillä olevassa suunnitelmassa lienee selvää, että lokitietojen keräämisen tulisi olla täysin automatisoitua.

Ihmisen oikeus saada pääsy tietoihinsa

Muistion sivulla 45 sivutaan yleisen tietosuoja-asetuksen 23 artiklassa säädettyjä poikkeuksia rekisteröidyn oikeuksiin. Kuten edellä todettiin, vaikutuksiltaan näin mittavaa tietojärjestelmää suunniteltaessa rekisteröidyn oikeuksien mahdollisimman täysimääräinen toteuttaminen on demokraattisessa yhteiskunnassa ainoa oikeasuhtainen lähtökohta. Ottaen huomioon tietojen käsittelyn tarkoitukset, on toki selvää, että joistain oikeuksien rajoituksista on kuitenkin säädettävä.

Lisätiedot

Lisätietoja asiassa antaa tarvittaessa allekirjoittanut ylitarkastaja numerossa 029 5666794.

Tietosuojavaltuutettu Reijo Aarnio

Ylitarkastaja Johanna Järvinen

 
Julkaistu 4.7.2017