Valiokunnan lausunto
PeVL
48
2018 vp
Perustuslakivaliokunta
Hallituksen esitys eduskunnalle laiksi pankki- ja maksutilien valvontajärjestelmästä ja eräiksi siihen liittyviksi laeiksi
Talousvaliokunnalle
JOHDANTO
Vireilletulo
Hallituksen esitys eduskunnalle laiksi pankki- ja maksutilien valvontajärjestelmästä ja eräiksi siihen liittyviksi laeiksi (HE 167/2018 vp): Asia on saapunut perustuslakivaliokuntaan lausunnon antamista varten. Lausunto on annettava talousvaliokunnalle. 
Asiantuntijat
Valiokunta on kuullut: 
lainsäädäntöneuvos, yksikön päällikkö
Armi
Taipale
valtiovarainministeriö
lainsäädäntöneuvos
Virpi
Korhonen
oikeusministeriö
tietosuojavaltuutettu
Reijo
Aarnio
tietosuojavaltuutetun toimisto
professori
Raija
Huhtanen
professori
Juha
Lavapuro
professori
Tuomas
Ojanen
professori
Janne
Salminen
HALLITUKSEN ESITYS
Esityksessä ehdotetaan säädettäviksi uusi laki pankki- ja maksutilien valvontajärjestelmästä ja laki virtuaalivaluutan tarjoajista. Lisäksi esityksessä ehdotetaan muutettaviksi useita muita lakeja. Pääosin ehdotetuilla uudistuksilla pantaisiin täytäntöön rahanpesun ja terrorismin rahoittamisen estämistä koskeva Euroopan parlamentin ja neuvoston direktiivi.  
Esitys liittyy valtion vuoden 2019 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.  
Lait on tarkoitettu tulemaan voimaan 1 päivänä tammikuuta 2019. Pankki- ja maksutilien valvontajärjestelmää ja rekisteröintivaatimuksia koskisivat tietyt siirtymäsäännökset.  
Hallituksen esitykseen sisältyvissä säätämisjärjestysperusteluissa lakiehdotuksia tarkastellaan perustuslain 8 §:ssä turvatun rikosoikeudellisen laillisuusperiaatteen, 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan, 18 §:ssä turvatun elinkeinovapauden, 21 §:ssä turvatun oikeusturvan, asetuksen antamista ja lainsäädäntövallan siirtämistä koskevan 80 §:nsekä valtion veroja ja maksuja koskevan 81 §:n kannalta. 
Hallituksen käsityksen mukaan lakiehdotus voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Koska ehdotettua pankki- ja maksutilien valvontajärjestelmää on hallituksen mukaan arvioitava myös EU:n yleisen tietosuoja-asetuksen ja tietosuojalain kannalta, on esityksestä hallituksen mielestä perusteltua pyytää perustuslakivaliokunnan lausunto.  
VALIOKUNNAN PERUSTELUT
Arvion lähtökohdat
Esityksessä ehdotetaan säädettäväksi laki pankki- ja maksutilien valvontajärjestelmästä, joka muodostuu tiedonhakujärjestelmästä ja rekisteristä. Lain tarkoituksena on edistää viranomaisten sähköistä tiedonsaantia pankki- ja maksutileistä. Ehdotuksella pantaisiin täytäntöön rahanpesun ja terrorismin rahoittamisen estämistä koskeva Euroopan parlamentin ja neuvoston direktiivi (jäljempänä myös rahanpesudirektiivi).  
Luottolaitoksen on ehdotuksen mukaan ylläpidettävä sähköistä pankki- ja maksutilien tiedonhakujärjestelmää, jonka avulla se voi välittää tietoja pankki- ja maksutileistä viipymättä ja salassapitosäännösten estämättä toimivaltaiselle viranomaiselle. Finanssivalvonnan luvalla luottolaitos voisi olla perustamatta tiedonhakujärjestelmää, jolloin sen olisi toimitettava tiedot pankki- ja maksutilirekisteriin. Viranomaiselle luovutettaisiin tiedot sen lakisääteistä tehtävää varten tilinhaltijasta ja tilin käyttöoikeudenhaltijasta, tosiasiallisesta edunsaajasta, tallelokeron vuokraajasta, luotoista ja niiden vakuutena olevasta omaisuudesta sekä pankki- ja maksutilin yksilöintitietoja. Lisäksi olisi mahdollista luovuttaa tilinhaltijan tai sen käyttöoikeudenhaltijan asiakkuuteen liittyviä muita tietoja.  
Oikeus tietojensaantiin tiedonhakujärjestelmästä olisi Verohallinnolla, Tullilla, ulosottovirastolla, rahanpesulaissa tarkoitetuilla toimivaltaisilla viranomaisilla ja asianajajayhdistyksellä, rahanpesun selvittelykeskuksella, poliisilla ja Rajavartiolaitoksella, Kansaneläkelaitoksella, Finanssivalvonnalla ja konkurssiasiamiehen toimistolla.  
Hallituksen esityksen säätämisjärjestysperusteluissa viitataan siihen, että rahanpesudirektiivin 32 a artiklan 1 kohdassa säädetään jäsenvaltioille velvollisuus ottaa käyttöön keskitettyjä automatisoituja mekanismeja, kuten keskitettyjä rekistereitä tai keskitettyjä sähköisiä tietojenhakujärjestelmiä, joiden avulla voidaan tunnistaa luonnollinen henkilö tai oikeushenkilö, joka on niiden alueella toimivassa luottolaitoksessa olevan IBAN-tunnisteisen maksutilin ja pankkitilin sekä tallelokeron haltija tai jolla on määräysvalta tällaiseen tiliin tai tallelokeroon. 
Hallituksen esityksen 1. lakiehdotuksessa ehdotetaan säädettäväksi rahanpesudirektiivin 32 a artiklan täytäntöönpanemiseksi pankki- ja maksutilien valvontajärjestelmästä, joka muodostuu pankki- ja maksutilien tiedonhakujärjestelmästä ja pankki- ja maksutilirekisteristä. Tiedonhakujärjestelmä mahdollistaa henkilötietojen ja pankkisalaisuuden piiriin kuuluvien varallisuustietojen luovuttamisen sähköisesti luottolaitoksilta laissa määriteltäville viranomaisille näiden lakisääteistä tehtävää varten. Tietoja ei varastoida järjestelmään, vaan ne luovutetaan luottolaitokselta suoraan viranomaiselle. Viranomaisen on esitettävä lainsäädännön peruste, jonka nojalla sillä on oikeus tiedot saada. Luottolaitos vastaa luovutettavien tietojen oikeellisuudesta.  
Sääntely on merkityksellistä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Perustuslakivaliokunta on EU:n yleisen tietosuoja-asetuksen soveltamisen alkamisen johdosta tarkistanut aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä (ks. PeVL 14/2018 vp, s. 4). 
Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 14/2018 vp, s. 5 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä vuoksi esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp).  
Perustuslakivaliokunta on aiemmin katsonut, että pankkisalaisuus ei ole yksityiselämän ydinalueeseen kuuluva seikka (PeVL 14/2002 vp, s. 4/II, PeVL 7/2000 vp, s. 4/I). Valiokunta on sittemmin arvioinut uudelleen yksityiselämän suojan ydinalueen merkitystä. Valiokunnan aiemmassa käytännössä esimerkiksi luottamuksellisen viestin tunnistamistietojen katsottiin jäävän luottamuksellisen viestin salaisuutta suojaavan perusoikeuden ydinalueen ulkopuolelle (ks. esim. PeVL 33/2013 vp, s. 3/I, PeVL 6/2012 vp, s. 3—4, PeVL 29/2008 vp, s. 2/II ja PeVL 3/2008 vp, s. 2/I). Valiokunta on tarkistanut tätä käytäntöään, koska sähköisen viestinnän käyttöön liittyvät tunnistamistiedot sekä mahdollisuus niiden kokoamiseen ja yhdistämiseen voivat olla yksityiselämän suojan näkökulmasta siinä määrin ongelmallisia, että kategorinen erottelu suojan reuna- ja ydinalueeseen ei aina ole perusteltua, vaan huomiota on yleisemmin kiinnitettävä myös rajoitusten merkittävyyteen (PeVL 18/2014 vp, s. 6/II, ks. myös PeVL 36/2018 vp, s. 22).  
Perustuslakivaliokunta on katsonut myös EU-oikeuteen perustuvan yksityiselämän ja henkilötietojen suojan kannalta merkityksellisen kansallisen sääntelyn valmistelussa olevan syytä kiinnittää huomiota erityisesti EU-tuomioistuimen asioissa Digital Rights Ireland (C-293/12 ja C-594/12), Schrems (C-362/14) ja Tele2 Sverige ja Watson (C-698/15 ja C-203/15) antamiin ratkaisuihin (PeVL 36/2017 vp, s. 7, PeVL 35/2018 vp, s. 6, PeVL 13/2017 vp, s. 4—5, PeVL 9/2017 vp, s. 5). EU-tuomioistuin on Tele2 Sverige ja Watson -tapauksessa todennut, että liikenne- ja paikkatietojen kokonaisuus voi mahdollistaa hyvin tarkkojen päätelmien tekemisen niiden henkilöiden, joiden tietoja on säilytetty, yksityiselämästä, kuten elämäntavoista, vakituisista tai väliaikaisista oleskelupaikoista, päivittäisestä tai muusta liikkumisesta, tekemisestä sekä näiden henkilöiden sosiaalisista suhteista ja heidän sosiaalisesta ympäristöstään (kohta 99, ks. myös Digital Rights -tuomio, 27 kohta). Tuomioistuin korosti, että näiden tietojen perusteella voidaan laatia asianomaisten henkilöiden profiili, joka on yksityiselämän kunnioittamista koskevan oikeuden kannalta aivan yhtä arkaluonteista tietoa kuin itse viestinnän sisältö. 
Perustuslakivaliokunnan mielestä mitä suurimmassa määrin yksityisten ihmisten maksuliikenne siirtyy käteisen rahan käytöstä pankkitilin välityksellä tapahtuvaan maksuliikenteeseen, sitä yksityiskohtaisemman kuvan henkilön yksityiselämästä voi muodostaa pankkitilin tilitapahtumista. Tilitapahtumista voi ilmetä suoraan jopa arkaluonteisia tietoja, kuten tietoja uskonnollisen yhdyskunnan jäsenyydestä tai terveydenhuoltopalvelujen käytöstä. Valiokunnan mielestä luonnollisen henkilön yksityiskohtaiset tilitiedot rinnastuvat tämän johdosta yksityiselämän suojan ydinalueelle kuuluviin arkaluonteisiin tietoihin. 
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 15/2018 vp, s. 37, PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen mukaan sen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on tietosuoja-asetuksen mahdollistamissa puitteissa edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta (PeVL 14/2018 vp, s. 6). 
Perustuslakivaliokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina myös arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3). Valiokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat valiokunnan mukaan voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta ei kuitenkaan ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (PeVL 19/2012 vp, s. 4/I ja siinä mainitut lausunnot).  
Perustuslakivaliokunta painottaa, että erottelussa tietojen saamisen tai luovuttamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että salassapitosäännösten edelle menevässä tietojensaantioikeudessa on viime kädessä kysymys siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (ks. esim. PeVL 17/2016 vp, s. 6 ja siinä viitatut lausunnot). Valiokunnan mielestä tällaisia lähtökohtia voidaan soveltaa myös tietojen saamiseen ja luovuttamiseen pankkisalaisuuden estämättä.  
Perustuslakivaliokunnan mukaan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan (PeVL 14/2018 vp, s. 7). 
Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että tällainen arvio on mahdollinen vain, jos hallituksen esityksessä eritellään riittävällä seikkaperäisyydellä ne syyt, joiden vuoksi henkilötietojen käsittely katsotaan lakiehdotuksessa välttämättömäksi. Valiokunta ei ole pitänyt riittävänä johtopäätöksenomaisia toteamuksia siitä, että ehdotettu laintasoinen sääntely on täsmällistä ja tarkkarajaista sekä perusoikeusjärjestelmän kokonaisuuden kannalta hyväksyttävää ja että ehdotetut muutokset ovat oikeasuhtaisia suhteessa niiden käyttötarkoitukseen eikä tavoitetta ole saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin, mikäli säätämisjärjestysperusteluissa ei ole kuitenkaan lainkaan täsmennetty niitä perusteita, joiden valossa uusia valtuuksia henkilötietojen käsittelyyn voitaisiin pitää perustuslain näkökulmasta hyväksyttävään syyhyn perustuvina ja oikeasuhtaisina (PeVL 38/2016 vp, s. 3). Valiokunta on painottanut, että tällainen puute lakiehdotuksen perusteluissa voi äärimmillään johtaa siihen, että lakiehdotuksen arvioidaan olevan asianmukaisesti perustelematta jääneiltä osiltaan perustuslain vastainen (ks. esim. PeVL 38/2016 vp, s. 3, PeVL 9/2016 vp, s. 6 ja PeVL 19/1998 vp, s. 3—4). 
Täsmällisyys- ja tarkkarajaisuus
Hallituksen esityksen 1. lakiehdotuksen 3 §:ssä säädetään oikeudesta saada tietoja pankki- ja maksutilien valvontajärjestelmästä. Säännöksen sanamuodon mukaan siinä luetelluilla toimivaltaisilla viranomaisilla on oikeus saada salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä tietoa pankki- ja maksutilien valvontajärjestelmästä, jos se on välttämätöntä säännöksessä lueteltujen tehtävien suorittamiseksi. Säännösehdotuksen perusteluissa (s. 73) viitataan siihen, että tiedonsaantia eivät estäisi eri laeissa säädetyt salassapitosäännökset tai muut tiedonsaantia koskevat rajoitukset, jos tiedot ovat välttämättömiä käsiteltävänä olevan asian ratkaisemista varten tai jos ne muuten ovat välttämättömiä pykälässä mainittujen tehtävien toimeenpanossa. Perustelujen mukaan välttämättömyyden edellytyksistä on säädetty toimivaltaisten viranomaisten tehtäviä koskevissa erityislaeissa. Lisäksi perusteluissa viitataan siihen, että luovutettaviksi ehdotetut tiedot kuuluvat luottolaitostoiminnasta annetun lain mukaan pankkisalaisuuden piiriin ja ovat myös viranomaisten toiminnan julkisuudesta annetun lain nojalla salassa pidettäviä. 
Hallituksen esityksen 1. lakiehdotuksen 4 §:n 2 momentissa säädettäisiin tiedoista, jotka tietojärjestelmän kautta luovutetaan. Säännöksessä viitataan toimivaltaisen viranomaisen lakisääteiseen tehtävään, jonka nojalla sillä on jo voimassa olevan lain nojalla oikeus saada tietoja pankki- ja maksutileistä. Perusteluissa (s. 76) mainitaan, että viranomainen vastaa siitä, että sillä on lakisääteinen oikeus pyytää tiedot, ja peruste tulee määrittää tietoja pyydettäessä. 
Perustuslakivaliokunnan mielestä sääntely on arkaluonteisten tietojen käsittelyyn nähden ongelmallisen avointa ja tulkinnanvaraista. Ehdotetun sääntelyn sanamuoto jättää epäselväksi sen, mikä olisi tiedon saamista ja luovuttamista koskevien 1. lakiehdotuksen 3 ja 4 §:n keskinäinen suhde sekä suhde niihin muihin edellytyksiin, jotka eri toimivaltaisten viranomaisten tehtäviä koskevissa erillislaeissa asetetaan tiedon saannin edellytyksiksi. Koska arkaluonteisten tietojen käsittely on valiokunnan käytännön mukaan rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään, on sääntelyä täsmennettävä ja selkiytettävä olennaisesti. Tällaiset muutokset ovat edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Hallituksen esityksen 1. lakiehdotuksen 4 §:n 3 momentin mukaan tiedonhakujärjestelmän kautta voidaan luovuttaa luonnollisen henkilön tai oikeushenkilön asiakkuuteen liittyviä välttämättömiä tietoja. Perustelujen mukaan kyse on muista kuin 2 momentissa luetteloiduista tiedoista. Tällaisia tietoja voivat olla esimerkiksi sijoitusvarallisuuteen liittyvät tiedot (s. 77). Kohta perustuisi perustelujen mukaan direktiivin 32 a artiklan 4 kohtaan, jossa säädetyn jäsenvaltio-option mukaan jäsenvaltiot voivat edellyttää muiden olennaisten tietojen saamista keskitettyjen mekanismien kautta. Perustuslakivaliokunnan käsityksen mukaan kyseessä on siten kansallisen harkintavallan alaan kuuluva sääntely. Valiokunnan käytännössä on edellytetty, että tällaiseen sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta. Hallituksen esityksen 1. lakiehdotuksen 4 §:n 3 momenttia on täsmennettävä siten perustelulausumien mukaiseksi siten, että säännöksen sanamuodosta ilmenee, minkä tarkoituksen kannalta välttämättömyyttä arvioidaan. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Kansallisen liikkumavaran käyttö
Perustuslakivaliokunnan valtiosääntöisiin tehtäviin ei lähtökohtaisesti kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Valiokunta korostaa kuitenkin edelleen, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 1/2018 vp, PeVL 25/2005 vp). Perustuslakivaliokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (ks. esim. PeVL 1/2018 vp, s. 3, PeVL 26/2017 vp, s. 42). 
Hallituksen esityksessä painotetaan lähtökohtaa, jonka mukaan pääosin ehdotetuilla uudistuksilla pantaisiin täytäntöön rahanpesun ja terrorismin rahoittamisen estämistä koskeva Euroopan parlamentin ja neuvoston direktiivi. Valiokunta pitää erityisen valitettavana, että hallituksen esityksessä selostetaan kansallisen liikkumavaran alaa puutteellisesti. Valiokunta kiinnittää valtioneuvoston vakavaa huomiota tähän seikkaan, josta valiokunta on huomauttanut useasti (ks. esim. PeVL 26/2018 vp, s. 4, PeVL 2/2017 vp, s.2). 
Perustuslakivaliokunnan mielestä ehdotetun kaltainen sääntely, jolla mahdollistetaan yksityiselämän suojan ydinalueelle ulottuva arkaluonteisten henkilötietojen käsittely salassapitovelvollisuuden estämättä, on valmisteltava, perusteltava ja laadittava sisällöltään erityisen huolellisesti perustuslain asettamat vaatimukset huomioiden. 
Perustuslakivaliokunnan saaman selvityksen mukaan hallituksen esityksessä ehdotettu Kansaneläkelaitoksen tiedonsaantioikeus ei ole miltään osin rahanpesudirektiivin edellyttämä. Säännöstä perustellaan lähinnä sillä, että tiedonsaantioikeus tehostaisi muun muassa toimeentulotukipäätösten tekoa, mikä näkyisi tukiasiakkaille yksinkertaistettuna palveluna ja nopeampina tukipäätöksinä. Yhdessä tulorekisterin kanssa pankki- ja maksutilien valvontajärjestelmä voisi perustelujen mukaan mahdollisesti auttaa Kansaneläkelaitosta automatisoimaan osan tukipäätösmenettelystä (s. 67). Valiokunta pitää esitettyjä perusteluja menettelyn nopeuttamisesta sinänsä hyväksyttävinä ja perustuslain 21 §:n 1 momentissa säädetyn käsittelyn viivytyksettömyyden vaatimuksen mukaisina. Valiokunnan mielestä yksin menettelyn nopeuttamisella ja sujuvoittamisella ei voi kuitenkaan perustella esitetyn kaltaista etuuden hakijan suostumuksesta riippumatonta syvälle käyvää rajoitusta yksityiselämän suojaan. 
Perustuslakivaliokunta on arvioinut sääntelyä, jossa Kansaneläkelaitoksella on oikeus salassapitosäännösten estämättä ja asianomaisen henkilön suostumuksesta riippumatta saada käsiteltävänä olevan asian ratkaisemista varten välttämättömät tiedot rahalaitoksilta siitä lähtökohdasta, että sääntely merkitsee etuuden hakijan tai saajan pankkisalaisuuden murtamista. Vaikka valiokunta ei tuolloin pitänyt pankkisalaisuutta yksityiselämän ydinalueeseen kuuluvana seikkana, valiokunta piti säätämisjärjestyskysymyksenä viimesijaisuutta eli sitä, että tietopyyntö oli kytketty edellytykseen, ettei riittäviä tietoja ja selvityksiä saada muutoin ja oli perusteltua syytä epäillä etuuden hakijan tai saajan antamien tietojen riittävyyttä tai luotettavuutta (PeVL 14/2002 vp, s. 4/II). Valiokunnan mielestä hallituksen esityksen perusteluista ei selviä, miten mainitut seikat on tarkoitus huomioida nyt ehdotetun sääntelyn soveltamisessa.Valiokunta edellytti mainitussa lausunnossa myös, että ennen pyynnön esittämistä hakijalle tai saajalle oli annettava tieto tästä (PeVL 14/2002 vp, s. 4/II). Nyt ehdotetun sääntelyn mukaan Kansaneläkelaitoksen olisi ilmoitettava asiakkaalleen, jos se on hakenut asiakkaan pankki- ja maksutilien tietoja päätöksentekoa varten. Kyse olisi siis jälkikäteisestä ilmoittamisesta.  
Perustuslakivaliokunnan käsityksen mukaan sääntelyllä perustetaan järjestelmä, jonka puitteissa pankkisalaisuuden alaisia henkilötietoja annettaisiin useiden viranomaisten käyttöön ilman riittävää ennakollista kontrollia. Hallituksen esityksessä viitataan kontrollin osalta lähinnä siihen, että tietojärjestelmän kautta toimivaltainen viranomainen yksilöisi oikeusperustan, jonka nojalla se pyytää tietoa, ja järjestelmään jäisi myös lokitieto tiedon pyytäneestä virkamiehestä (s. 75). 
Perustuslakivaliokunnan mielestä hallituksen esitykseen ei sisälly hyväksyttävästi perusteltua, perustuslain kannalta asianmukaista, täsmällistä ja tarkkarajaista sääntelyä Kansaeläkelaitoksen tiedonsaantioikeudesta 1. lakiehdotuksen 3 §:ssä tarkoitettuun valvontajärjestelmään.Valiokunnan mielestä 1. lakiehdotuksen 3 §:n 1 momentin 7 kohta on poistettava lakiehdotuksesta. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Perustuslakivaliokunnan käsityksen mukaan vaikuttaa ilmeiseltä, että 1. lakiehdotuksen 3 §:n 1 momentissa ehdotetaan perustettaviksi myös muille viranomaisille tiedonsaantioikeuksia, jotka eivät ole rahanpesudirektiivin edellyttämiä. Koska näidenkään osalta hallituksen esitykseen ei sisälly hyväksyttävästi perusteltua, perustuslain kannalta asianmukaista, täsmällistä ja tarkkarajaista sääntelyä, on talousvaliokunnan tarkasteltava 1. lakiehdotuksen suhdetta direktiiviin huolellisesti ja poistettava 1. lakiehdotuksen 3 §:n 1 momentista muut kuin direktiivin edellyttämät tiedonsaantioikeudet. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Valvontajärjestelmän tietosisältö
Hallituksen esityksen 1. lakiehdotuksen 4 §:n 2 momentissa säädetään pankki- ja maksutilien tiedonhakujärjestelmän kautta toimivaltaiselle viranomaiselle salassapitosäännösten ja muiden tiedon saantia koskevien rajoitusten estämättä luovutettavista tiedoista. Momentin 3 kohdan mukaan luovutettaviin tietoihin kuuluu muun ohella tilin saldo, tilivaluutta ja kopiot tilinavausasiakirjoista. Momentin 4 kohdan mukaan luovutettaviin tietoihin kuuluutiedot tilitapahtumista vähintään edeltäviltä kolmelta vuodelta. Tietoihin sisältyy pyydetyn jakson alku- ja loppusaldo, arkistointitunnus tai muu yksilöivä tunniste, päivämäärä ja kellonaika, tapahtumatyyppi, summa tilivaluutassa, lähtevien maksujen vastaanottajan tilinumero ja nimi, saapuvien maksujen lähettäjän tilinumero ja nimi ja maksun viesti ja viitenumero.  
Perustuslakivaliokunnan saaman selvityksen mukaan rahanpesudirektiivi ei edellytä tilitietojen ehdotetun laajuista käsittelyä. Valiokunnan mielestä tilitietojen näin laaja käsittely ilman yksittäistapauksellista päätöksentekoa merkitsee edellä sanotun mukaisesti syvälle käyvää rajoitusta yksityiselämän suojaan. Hallituksen esityksen 1. lakiehdotuksen 4 §:n 2 momentin 4 kohta on tämän johdosta poistettava. Lisäksi momentin 3 kohdasta on poistettava maininnat tilin saldosta, tilivaluutasta ja tilinavausasiakirjoista.Tällaiset muutokset ovat edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Perustuslakivaliokunnan mielestä on selvää, että tämän johdosta mainittuja tietoja tilitapahtumista ei voi luovuttaa myöskään hallituksen esityksen 1. lakiehdotuksen 4 §:n 3 momentin säännöksellä mahdollisuudesta luovuttaa muita luonnollisen henkilön tai oikeushenkilön asiakkuuteen liittyviä välttämättömiä tietoja. Säännöstä on täsmennettävä rajauksella. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Perustuslakivaliokunnan mielestä talousvaliokunnan on muutoinkin tarkasteltava 1. lakiehdotuksen 4 §:n 2 momentin sääntelyä tiedoista, jotka tiedonhakujärjestelmän kautta luovutetaan, ja rajattava tiedonhakujärjestelmän kautta luovutettavien tietojen sisältö rahanpesudirektiivissä edellytettyyn.  
Pankki- ja maksutilirekisteri
Hallituksen esityksen 1. lakiehdotuksen 4 §:n 1 momentin mukaan luottolaitos voi poiketa tiedonhakujärjestelmän ylläpitovelvoitteesta Finanssivalvonnan myöntämän luvan perusteella, jos se on luottolaitoksen koko sekä toiminnan luonne ja laajuus huomioon ottaen perusteltua. Säännöksen perusteluissa viitataan siihen, että jos kyseessä on kooltaan esimerkiksi pieneen maksulaitokseen rinnastettava luottolaitos, se saisi valita tiedon toimittamisen tiedonhakujärjestelmän tai rekisterin kautta (s. 75). Rekisteristä ja sen tietojen käsittelystä säädetään lakiehdotuksen 5—9 §:ssä. Lakiehdotuksen 7 §:n mukaan Tullin tehtävänä on luovuttaa pankki- ja maksutilirekisterin tietoja toimivaltaisille viranomaisille. 
Perustuslakivaliokunnan mielestä tavallisen lainsäätämisjärjestyksen käytön edellytyksenä on, että tällaisissa tapauksissa mahdollisuus luovuttaa tietoja pankki- ja maksutilirekisteristä ei voi kansallisen harkinnan perusteella muodostua tietosisällöiltään vastaavaksi kuin edellä perustuslainvastaiseksi todetut tiedonsaantioikeudet. Talousvaliokunnan on tarvittaessa täsmennettävä sääntelyä. 
Tulli toimisi 1. lakiehdotuksen 5 §:n mukaan pankki- ja maksutilirekisterin rekisterinpitäjänä, joka ylläpitää rekisteriä ja vastaa rekisteriin tallennetun tiedon välittämisestä toimivaltaisille viranomaisille. Hallituksen esityksen säätämisjärjestysperusteluissa (s. 49) viitataan siihen, että Tulli ei tekisi rekisterinpitäjänä yksittäisiä rekisteröityjä koskevia hallintopäätöksiä. Rekisterin toiminta perustuisi säätämisjärjestysperusteluiden mukaan pitkälle automatisoituun tietojen vastaanottamiseen, tallettamiseen ja välittämiseen viranomaisille näiden lakisääteisten tiedonsaantioikeuksien mukaisesti. Perusteluissa viitataan myös siihen, että rekisteröidyn oikeusturva toteutuu siten, että virheellisen tiedon korjaa pankki- ja maksutilirekisteriin tiedon toimittanut elinkeinonharjoittaja. 
Perustuslakivaliokunta kiinnittää huomiota siihen, että suoraan soveltuvan EU:n yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan mukaan käsiteltävien henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä ja kaikki mahdolliset kohtuulliset toimenpiteet on toteutettava sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa tästä, ja rekisterinpitäjän on myös pystyttävä osoittamaan, että kyseistä täsmällisyysvaatimusta on noudatettu. 
Hallituksen esityksen 1. lakiehdotuksen 5 §:n 2 momentin mukaan pankki- ja maksutilirekisterin käyttötarkoituksena on vastaanottaa ja tallentaa maksulaitosten, sähkörahayhteisöjen ja virtuaalivaluutan tarjoajien toimittamia 6 §:n 2 ja 3 momentissa tarkoitettuja tietoja ja luottolaitosten toimittamia 6 §:n 3 momentissa tarkoitettuja tietoja. Säädetystä käyttötarkoituksesta ei ilmene, mitä tarkoitusta varten vastaanottaminen ja tallettaminen tapahtuu. Valiokunnan käsityksen mukaan vaikuttaa kuitenkin siltä, että rekisterin pääasiallinen käyttötarkoitus on lakiehdotuksen 7 §:n mukainen tietojen antaminen pankki- ja maksutilirekisteristä. Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten. 
Perustuslakivaliokunta on katsonut, että lainsäätäjän toimivaltaan ei voi kuulua yksityiselämän suojan kannalta keskeisten arkaluonteisten tietojen käsittelystä säätäminen vastoin EU:n oikeuteen kuuluvan yleisen tietosuoja-asetuksen sääntelyä (PeVL 15/2018 vp, s. 45). Valiokunnan käsityksen mukaan rekisteriin saattaa edellä mainittujen rajausten jälkeenkin sisältyä rahanpesudirektiivin johdosta arkaluonteisia tietoja. Talousvaliokunnan on syytä tarkkaan selvittää sääntelyn yhteensopivuus tietosuoja-asetuksen kanssa erityisesti rekisterinpitäjän vastuun ja tarvittaessa laajemminkin myös muiden kysymysten osalta.  
Lakiehdotus virtuaalivaluutan tarjoajista
Hallituksen esityksen 2. lakiehdotuksen 14 §:ssä säädetään Finanssivalvonnan oikeudesta saada salassapitosäännösten ja muiden tiedonsaantia koskevien rajoitusten estämättä sakon täytäntöönpanosta annetussa laissa tarkoitetusta sakkorekisteristä tiedot, jotka ovat tarpeen tämän lain 7 §:ssä tarkoitetun henkilön luotettavuuden selvittämiseksi. Perustuslakivaliokunnan käsityksen mukaan tiedonsaantioikeus kattaa arkaluonteisiksi arvioitavia henkilötietoja, joiden käsittelystä säädetään myös tietosuoja-asetuksen 10 artiklassa. Ehdotettua sääntelyä on muutettava perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan johdosta valiokunnan edellä selostetun viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi sitomalla tiedonsaantioikeus välttämättömyyteen tai luetteloimalla oikeuden kohteena olevat tiedot. Tällainen muutos on edellytyksenä sille, että 2. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
VALIOKUNNAN PÄÄTÖSESITYS
Perustuslakivaliokunta esittää,
että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, jos valiokunnan sen 3, 4 ja 7 §:stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon, ja 2. lakiehdotus vain, jos valiokunnan sen 14 §:stä tekemä valtiosääntöoikeudellinen huomautus otetaan asianmukaisesti huomioon
Helsingissä 5.12.2018 
Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa
puheenjohtaja
Annika
Lapintie
vas
varapuheenjohtaja
Tapani
Tölli
kesk
jäsen
Maria
Guzenina
sd
jäsen
Hannu
Hoskonen
kesk
jäsen
Ilkka
Kantola
sd
jäsen
Kimmo
Kivelä
sin
jäsen
Antti
Kurvinen
kesk
jäsen
Mia
Laiho
kok
jäsen
Ville
Niinistö
vihr
jäsen
Juha
Rehula
kesk
jäsen
Wille
Rydman
kok
jäsen
Ville
Skinnari
sd
jäsen
Kaj
Turunen
kok
Valiokunnan sihteerinä on toiminut
valiokuntaneuvos
Mikael
Koillinen
Viimeksi julkaistu 8.1.2019 14:03