Senast publicerat 27-11-2021 09:34

Regeringens proposition RP 163/2021 rd Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om ett övervakningssystem för bank- och betalkonton och lagen om centralen för utredning av penningtvätt

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I propositionen föreslås att lagen om ett övervakningssystem för bank- och betalkonton och lagen om centralen för utredning av penningtvätt ska ändras. Syftet med propositionen är att genomföra direktivet om finansiell information, komplettera genomförandet av det femte penningtvättsdirektivet samt utfärda kompletterande bestämmelser till följd av nationella ändringsbehov. 

På det sätt som genomförandet av direktivet om finansiell information förutsätter föreslås i propositionen att de myndigheter som ska få åtkomst till övervakningssystemet för bank- och betalkonton ska anges i enlighet med direktivet. Vidare föreslås att centralen för utredning av penningtvätts uppgifter ska utökas så att de omfattar samarbete med myndigheter för att förebygga, upptäcka och utreda sådana allvarliga brott som avses i direktivet. 

I samband med genomförandet av direktivet om finansiell information och kompletteringen av genomförandet av det femte penningtvättsdirektivet föreslås en teknisk lösning med vars hjälp det ska var möjligt att från övervakningssystemet för bank- och betalkonton förmedla information till behöriga myndigheter. 

Utöver de ovan nämnda ändringar som genomförandet av direktivet om finansiell information och penningtvättsdirektivet förutsätter föreslås till följd av nationella ändringsbehov att vissa andra behöriga myndigheter som enligt gällande lagstiftning har rätt att få uppgifter om bank- och betalkonton ska få åtkomst till övervakningssystemet för bank- och betalkonton. 

Lagarna avses träda i kraft så snart som möjligt med undantag för vissa bestämmelser om övervakningssystemet för bank- och betalkonton som avses träda i kraft den 1 september 2022. 

MOTIVERING

Bakgrund och beredning

1.1  1.1 Allmänt

Europaparlamentets och rådets direktiv (EU) 2019/1153 om fastställande av bestämmelser för att underlätta användning av finansiell information och andra uppgifter för att förebygga, upptäcka, utreda eller lagföra vissa brott och om upphävande av rådets beslut 2000/642/RIF (nedan kallat direktivet om finansiell information) antogs den 20 juni 2019. Direktivet trädde i kraft den 31 juli 2019. Medlemsstaterna ska senast den 1 augusti 2021 sätta i kraft de lagar och andra författningar som är nödvändiga för att följa direktivet.  

Enligt direktivet om finansiell information ska medlemsstaterna utse de myndigheter som har befogenhet att få åtkomst till och söka i centraliserade nationella bankkontoregister som medlemsstaterna inrättat. I direktivet avses med centraliserade bankkontoregister centraliserade automatiserade mekanismer såsom centrala register eller centrala elektroniska datasöksystem. Åtkomsten till bankkontouppgifter ska enligt direktivet vara direkt och omedelbar. Dessutom ålägger direktivet medlemsstaterna att utse de behöriga myndigheter som kan begära och ta emot finansiell information och finansiella analyser från finansunderrättelseenheterna. I direktivet föreskrivs också om utbyte av uppgifter mellan finansunderrättelseenheterna och med Europeiska unionens byrå för samarbete inom brottsbekämpning (nedan Europol). 

Frågan har anknytning till regeringsprogrammet. Enligt statsminister Sanna Marins regeringsprogram ska myndigheternas informationsutbyte förbättras och övervakningen skärpas i syfte att bekämpa penningtvätt och finansiering av terrorism, och det ska säkerställas att myndigheterna har tillräckliga resurser för verksamheten.  

1.2  1.2 Bakgrund

Penningtvätt och finansiering av terrorism  

Penningtvätt är enligt 32 kap. 6 § i strafflagen (39/1889) verksamhet som innebär att medel som förvärvats genom brott överförs via lagliga betalningssystem i syfte att dölja eller maskera medlens faktiska natur, ursprung eller ägare. Penningtvätt förutsätter förbrott för att dölja medlens faktiska natur, ursprung eller ägare. Ett förbrott kan vara vilken straffbar gärning som helst som innebär ekonomisk vinning för gärningsmannen. Penningtvätt är mottagande, användning, omvandling, överlåtelse, överföring, förmedling eller innehav av sådana medel. En person ska ha penningtvättssyfte, det vill säga att syftet är ekonomisk vinning, att bistå gärningsmannen eller dölja egendomens olagliga ursprung. Penningtvätt är också att dölja eller maskera den genom brott förvärvade egendomens rätta karaktär, ursprung eller belägenhet eller förfogandet över den eller de rättigheter som är knutna till den. 

Genom att förhindra penningtvätt kan man också förhindra annan brottslighet, eftersom penningtvättaren kan finansiera nya brott med medlen. Penningtvätt är ofta en del av organiserad och internationell brottslighet. 

Penningtvätt kan hota det finansiella systemets stabilitet, tillförlitlighet och konkurrenskraft. Instabiliteten kan till exempel höja kostnaderna för lån, betalningsrörelser och försäkringar, och konsekvenserna kan också påverka ekonomin inom andra områden. 

Enligt Statistikcentralen fick myndigheterna 2019 kännedom om 449 fall med rubriken penningtvätt, grov penningtvätt, penningtvätt av oaktsamhet och penningtvättförseelse. Av dessa var 235 penningtvätt och 186 grov penningtvätt. Den nedre gränsen för ekonomisk vinning av grov penningtvätt ansågs i lagens förarbeten och i rättspraxis vara 13 000 euro, men gränsen är inte absolut. I hela landet väcktes 2019 åtal för penningtvättbrott i 303 fall, åtal för penningtvätt väcktes i 134 fall och för grov penningtvätt i 168 fall.  

Också i Finland har det funnits fall där penningtvätten har gällt stora tillgångar. Österbottens tingsrätt meddelade 29.1.2020 dom R 20/36 som gällde grov penningtvätt och medhjälp till grov penningtvätt, där fyra män åtalades för överföring av 4,3 miljoner euro från utländska konton till Finland och vidare till utlandet. Vasa hovrätt förlängde 25.9.2020 den huvudåklagades dom. Vanligtvis rör det sig dock om mindre belopp. Östra Finlands hovrätt meddelade 26.4.2018 en dom i mål R 18/44 där A på begäran av C, D och E, som A av en tillfällighet mött i en park och inte kände sedan tidigare, låtit dessa överföra 6 000 euro till hans konto som han sedan tagit ut och överlämnat i kontanter till C, D och E, och sedan mottagit utlovade 350 euro i belöning. Hovrätten fann att A:s förfarande uppfyllde rekvisitet för penningtvätt av oaktsamhet i motsats till tingsrätten som ansåg att A genom sitt förfarande hade gjort sig skyldig till häleri av oaktsamhet. I Högsta domstolens avgörande 18.12.2020 i mål R 2019/334 hade A i Y Ab:s namn utan vederlag tagit emot fordonsmateriel av X Ab, fastän A måste ha känt till eller åtminstone ha ansett det övervägande sannolikt att B, som företrädde X Ab, genom överlåtelsen gjorde sig skyldig till ett brott. A hade sedermera överfört fordonsmaterielen i Z Ab:s namn. Därefter hade han ytterligare överfört samma materiel från Z Ab:s namn i C:s namn. Högsta domstolen ansåg att A genom att ta emot fordonsmaterielen hade gjort sig skyldig till medhjälp till grov oredlighet som gäldenär begången av B. De två vidareöverlåtelser som följde på A:s medhjälpsgärning bedömdes som ett fall av grov penningtvätt och den grova penningtvätten ansågs på det sätt som förutsätts i 32 kap. 11 § strafflagen utgöra den väsentligaste och mest klandervärda delen av brotten. A kunde utöver medhjälp till förbrottet även tillräknas grov penningtvätt.  

FN:s kontor mot narkotika och brottslighet UNOCD har uppskattat att mellan 2 och 5 procent av den globala bruttonationalprodukten per år är föremål för penningtvätt, vilket motsvarar 715 miljarder eller 1,87 biljon euro per år. Inom EU uppgick de olagliga inkomsterna av brottslig verksamhet till 139 miljarder euro 2019 vilket motsvarar 1 procent av EU:s bruttonationalprodukt (Study on Mapping the risk of serious and organised crime infiltration in legitimate businesses, mars 2021, DR0221244EN, https://data.europa.eu/doi/10.2837/64101). Enligt Europols rapport Criminal Asset Recovery in the EU beslagtas uppskattningsvis 98,9 procent av vinningen av brott inte.  

För kredit- och betalningsinstituten medför iakttagandet av den reglering som gäller dem kostnader, inklusive lagstiftningen som gäller förhindrande av penningtvätt och finansiering av terrorism. Europeiska bankmyndigheten publicerade 7.6.2021 rapporten Study of the cost of compliance with supervisory reporting requirements (EBA/Rep/2021/15) där man uppskattar kostnaderna som iakttagande av regleringen och rapportering medför för kredit- och betalningsinstituten. Enligt rapporten är kostnaderna 0,9 biljoner euro inom Europeiska ekonomiska samarbetsområdet.  

Finansiering av terrorism är verksamhet där man tillhandahåller eller samlar in tillgångar för terroristiskt syfte. Tillgångar som tillhandahålls eller samlas in för finansiering av terroristbrott kan ha lagligt eller olagligt ursprung. Finansiering av terrorism definieras i 34 a kap. 5 § i strafflagen och anses omfatta finansiering av terroristiska gärningar och förberedelser till terroristiska gärningar samt ekonomiskt understöd till annan terroristisk verksamhet eller till en terroristgrupp och främjande av terroristisk verksamhet. Faser i finansieringen av terrorism är insamling, överföring och användning av medel. Terrorism finansieras huvudsakligen med medel från lagliga källor och penningöverföringarna sker genom kontotransaktioner, överlåtelse av kontanta medel eller genom tillhandahållare av penningförmedlingstjänster. Penningöverföringarna sker ofta mellan flera olika länder. 

I syfte att bekämpa terrorism och förhindra finansiering av terrorism kan naturliga eller juridiska personers tillgångar frysas på det sätt som det föreskrivs i lagen om frysning av tillgångar i syfte att bekämpa terrorism (325/2013). I Finland fattar Centralkriminalpolisen beslut om frysning av tillgångar och för en offentlig förteckning över frysningsbeslut. Utmätningsmyndigheterna verkställer frysningsbesluten.  Enligt Utsökningsverkets statistik över specialindrivningen 2019 frystes tillgångar för något under 1 000 euro. 2018 var beloppet något över 10 000 euro, och 2017 frystes inga tillgångar. 

För att motverka terrorism och förhindra finansiering av terrorism utfärdas också sanktioner som i praktiken är begränsningar av ekonomiskt eller annat samarbete som riktar sig mot bestämda aktörer. Med sanktionerna vill man påverka verksamhet som t.ex. anses vara ett hot mot säkerheten. I bekämpningen av terrorism kan sanktionerna vara finansiella sanktioner som frysning av tillgångar. Utrikesministeriet för bland annat en förteckning över sanktioner mot terrorism på sin webbsida. 

I Finland har hittills endast ett fall av finansiering av terrorism behandlats i domstol. Fallet anknöt huvudsakligen till hawala-aktörer och al-Shabaab, det vill säga finansiering med hjälp av ett informellt system för överföring av pengar. Helsingfors tingsrätt dömde de åtalade till villkorligt fängelse, men Helsingfors hovrätt förkastade åtalen som gällde finansiering av terrorism och andra terroristbrott (Helsingfors hovrätt 23.3.2016, R 15/526). I en utredning som centralen för utredning av penningtvätt publicerade 26.4.2021, ”Terrorismin rahoittamiseen liittyvät tuomiot Euroopassa 2015–2020 - julkinen lyhennelmä” (Domar som har samband med finansiering av terrorism i Europa 2015–2020 – offentligt sammandrag), anses att orsaken till att det finns så få domar och rättsfall kan bero på strafflagens rekvisit för finansiering av terrorism, tröskeln för inledande för förundersökning av terroristbrott och svårigheterna att samla bevis och bevisning internationellt. 

Aktörer som ansvarar för förhindrande av penningtvätt och finansiering i Finland 

Finansministeriet och inrikesministeriet är ansvarsministerier för förhindrande av penningtvätt och finansiering av terrorism. Andra centrala ministerier som deltar i arbetet är justitieministeriet, utrikesministeriet, arbets- och näringsministeriet och social- och hälsovårdsministeriet. 

Finansministeriet ansvarar för penningtvättslagen, utfärdande av författningar och den nationella bedömningen av risker för penningtvätt. Finansministeriet ansvarar också nationellt för samordningen av internationella penningtvättärenden. Inrikesministeriet ansvarar för lagen om centralen för utredning av penningtvätt och utfärdandet av författningar samt för den nationella bedömningen av riskerna för finansiering av terrorism. Inrikesministeriet ansvarar också för åtgärdsplanen som hör till strategin för bekämpning av grå ekonomi och ekonomisk brottslighet. Utrikesministeriet ansvarar i Finland för samordningen av verkställandet av FN:s och EU:s finansiella sanktioner. 

Genom lagstiftningen säkerställer man att det finns lämpliga och tillräckliga åtgärder som kan användas för förhindrande av penningtvätt och finansiering av terrorism. De aktörer som hör till lagens tillämpningsområde, alltså aktörer som är rapporteringsskyldiga, måste iaktta penningtvättslagen. I lagen föreskrivs om förfaranden och tillvägagångssätt. Aktörerna kan påföras administrativa påföljder om skyldigheterna försummas. Penningtvätt och finansiering av terrorism är straffbara gärningar. 

Myndigheter som utövar tillsyn över rapporteringsskyldiga enligt penningtvättslagen är Finansinspektionen, som ansvarar för tillsynen över rapporteringsskyldiga i finanssektorn, Polisstyrelsens lotteriförvaltning som ansvarar för tillsynen över penningspel i Fastlandsfinland, Patent- och registerstyrelsen som ansvarar för tillsynen över revisorer, Södra Finlands regionsförvaltningsverk som ansvarar för tillsynen över andra rapporteringsskyldiga, Lotteriinspektionen, som är tillsynsmyndighet lotteriverksamhet i landskapet Åland och Ålands landskapsregering som är tillsynsmyndighet för Ålands fastighetsförmedlingsrörelser. Dessutom övervakar Finlands Advokatförening advokaterna. 

Bakgrund till direktivet om finansiell information 

Beredningen av direktivet om finansiell information inleddes med Europeiska kommissionens meddelande från 2016 om en åtgärdsplan för förstärkning av kampen mot finansiering av terrorism där kommissionen åtog sig att undersöka möjligheten till en separat rättsakt för att utvidga tillgången till centraliserade bank- och betalkontoregister för medlemsstaternas myndigheter, inklusive för myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott, för kontor för återvinning av tillgångar, för skattemyndigheter och för korruptionsbekämpande myndigheter. Bakom låg oron att medlemsländernas behöriga myndigheter har en alltför inskränkt åtkomst till de centraliserade bank- och betalkontoregistren. Vidare efterlystes i åtgärdsplanen en kartläggning av vilka hinder som finns för åtkomst till, utbyte av och användning av information samt för det operativa samarbetet mellan finansunderrättelseenheterna. 

Syftet med direktivet om finansiell information är att underlätta användningen av finansiell information för att förebygga, upptäcka, utreda och lagföra allvarliga brott. I ingressen till direktivet konstateras att det för att stärka säkerheten, förbättra lagföringen av ekonomisk brottslighet, bekämpa penningtvätt och förebygga skattebrott i medlemsstaterna och i hela unionen är nödvändigt att förbättra tillgången till information för finansunderrättelseenheter och offentliga myndigheter som ansvarar för att förebygga, upptäcka, utreda eller lagföra allvarliga brott, stärka deras förmåga att genomföra finansiella utredningar och förbättra samarbetet mellan dem. För medlemsstaternas utsedda myndigheter som är ansvariga för att förebygga, upptäcka, utreda eller lagföra brott fastställer direktivet bestämmelser om direkt åtkomst till uppgifter i centraliserade bankkontoregister.  

Genomförande av det femte penningtvättsdirektivet 

Direktivet om finansiell information hänför sig till Europaparlamentets och rådets direktiv (EU) 2018/843 om ändring av direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, och om ändring av direktiven 2009/138/EG och 2013/36/EU (nedan det femte penningtvättsdirektivet). De bakomliggande orsakerna till det femte penningtvättsdirektivet var i synnerhet de terrordåd som hade riktats mot Europa och de nya former för att finansiera terroristgrupper och genomföra terroristiska operationer som kom till i samband med dessa dåd. Det femte penningtvättsdirektivet förutsätter att medlemsstaterna inför centraliserade bankkontoregister eller datasöksystem som gör det möjligt att med nödvändig skyndsamhet identifiera personer som är innehavare av bank- och betalkonton och bankfack.  

I artikel 32a.1 i det femte penningtvättsdirektivet fastställs att medlemsstaterna ska införa centraliserade automatiserade mekanismer, t.ex. centrala register eller centrala elektroniska datasöksystem, som gör det möjligt att med nödvändig skyndsamhet fastställa identiteten hos fysiska eller juridiska personer som innehar eller kontrollerar betalkonton och bankkonton som identifieras med IBAN-nummer samt bankfack som innehas av ett kreditinstitut inom deras territorium. Medlemsstaterna ska informera kommissionen om egenskaperna hos dessa nationella mekanismer. Uppgifterna ska vara direkt tillgängliga på ett omedelbart och ofiltrerat sätt för finansunderrättelseenheter. Uppgifterna ska också vara tillgängliga för behöriga myndigheter för att de ska kunna fullgöra sina skyldigheter enligt detta direktiv. Medlemsstaterna ska se till att varje finansunderrättelseenhet med nödvändig skyndsamhet kan tillhandahålla uppgifter som finns i de centraliserade mekanismer som avses i punkt 1 i denna artikel till andra finansunderrättelseenheter, i enlighet med artikel 53. 

Bestämmelser om uppgifter som ska finnas tillgängliga finns i punkt 3 i denna artikel. Dessa är:  

– För innehavaren av kundkontot och alla personer som förmodas agera i kundens namn: namn, kompletterat med antingen övriga identifieringsuppgifter som krävs enligt nationella bestämmelser som införlivar artikel 13.1 a eller ett unikt identifieringsnummer.  

– För den verkliga huvudmannen för innehavaren av kundkontot: namn, kompletterat med antingen övriga identifieringsuppgifter som krävs enligt nationella bestämmelser som införlivar artikel 13.1 b eller ett unikt identifieringsnummer.  

– För bank- eller betalkontot: IBAN-nummer och datumet för kontots öppnande och avslutande. 

– För bankfacket: hyrestagarens namn, kompletterat med antingen övriga identifieringsuppgifter som krävs enligt nationella bestämmelser som införlivar artikel 13.1 eller ett unikt identifieringsnummer och hyresperiodens varaktighet.  

Enligt artikel 32a.4 kan medlemsstaterna förutsätta att få övriga väsentliga uppgifter via de centraliserade mekanismerna, dvs. punkten innehåller möjligheten att utnyttja det nationella handlingsutrymmet.  

I Finland har det femte penningtvättsdirektivet genomförts bl.a. genom lagen om ett övervakningssystem för bank- och betalkonton (571/2019), som trädde i kraft den 1 maj 2019, men lagens bestämmelser om datasöksystemet för och registret över bank- och betalkonton har tillämpats från och med den 1 september 2020.  

Tullen är personuppgiftsansvarig för registret över bank- och betalkonton och samordnar ett projekt för att skapa ett kontoregister i vilket det införs uppgifter om kundrelationer, kundkonton och bankfack som förvaltas av betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor. Kreditinstitut kan under vissa förutsättningar och med Finansinspektionens tillstånd lämna uppgifterna till kontoregistret. I övrigt ska kreditinstituten administrera ett elektroniskt datasöksystem för bank- och betalkonton med hjälp av vilket de förmedlar de uppgifter som anges i lagen till de behöriga myndigheterna. Betalningsinstitut, institut för elektroniska pengar, kreditinstitut och tillhandahållare av virtuella valutor ska lämna de uppgifter som anges i lagen till kontoregistret via Tullens gränssnitt.  

I regeringens proposition med förslag till lag om ett övervakningssystem för bank- och betalkonton och till vissa lagar som har samband med den utnyttjades det nationella handlingsutrymme som artikel 32a.4 i direktivet tillåter, och det föreslogs att kontots saldo och kontoutdragsuppgifterna ska fås ur övervakningssystemet. Med grund i den nationella regleringen föreslogs det dessutom att åtkomst till övervakningssystemet för bank- och betalkonton ska ges till fler myndigheter och för fler användningsändamål, om vilka det inte finns bestämmelser i penningtvättsdirektivet. I regeringens proposition föreslogs det att Skatteförvaltningen, Tullen, Utsökningsverket, behöriga myndigheter enligt lagen om förhindrade av penningtvätt och av finansiering av terrorism (444/2017, nedan penningtvättslagen) och advokatföreningen, centralen för utredning av penningtvätt, polisen och Gränsbevakningsväsendet, Folkpensionsanstalten, Finansinspektionen och konkursombudsmannens byrå ska ha rätt att få uppgifter ur övervakningssystemet för bank- och betalkonton. Syftet med datasöksystemet var att göra det möjligt att lämna ut personuppgifter och förmögenhetsuppgifter som omfattas av banksekretessen elektroniskt från kreditinstitut till de myndigheter som anges i lagen för att dessa ska kunna fullgöra sin lagstadgade uppgift. Uppgifterna sparas inte i systemet utan överlåts direkt från kreditinstitutet till myndigheten. I propositionen föreslogs att myndigheten ska ange en lagstiftningsgrund med stöd av vilken den har rätt att få uppgifterna och att kreditinstitutet ska ansvara för att de uppgifter som lämnas ut är korrekta. I regeringens proposition föreslogs det att även uppgifter om kontotransaktioner ska lagras i systemet. Vid riksdagsbehandlingen inskränktes de föreslagna rättigheterna för myndigheterna att få uppgifter ur övervakningssystemet för bank- och betalkonton avsevärt, liksom datainnehållet i övervakningssystemet för bank- och betalkonton. Grundlagsutskottet ansåg i sitt betänkande GrUU 48/2018 rd bl.a. att eftersom behandlingen av känsliga uppgifter enligt utskottets praxis ska avgränsas till det absolut nödvändiga med exakta och noga avgränsade bestämmelser ska de aktuella bestämmelserna preciseras och förtydligas väsentligt. 

När lagen om ett övervakningssystem för bank- och betalkonton träder i kraft begränsas rätten att använda övervakningssystemet för bank- och betalkonton till tillsynsmyndigheter enligt penningtvättslagen och advokatföreningen för utförandet av en sådan övervakningsuppgift som avses i den lagen, centralen för utredning av penningtvätt för utförandet av de uppgifter som avses i lagen om centralen för utredning av penningtvätt (445/2017) och till tull-, gränsbevaknings-, skatte- och utsökningsmyndigheterna samt konkursombudsmannen för fullgörandet av omsorgsplikten enligt penningtvättslagen. Genomförandet av den omsorgsplikt som tull-, gränsbevaknings-, skatte- och utsökningsmyndigheterna och konkursombudsmannen enligt penningtvättslagen har och som avses i lagen om centralen för utredning av penningtvätt är ingen behörighetsnorm för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, utan normen om omsorgsplikt ger myndigheten endast rätt att överlåta uppgifter den redan förfogar över till centralen för utredning av penningtvätt. Med stöd av omsorgsplikten kan tull-, gränsbevaknings-, skatte- och utsökningsmyndigheterna samt konkursombudsmannen sålunda inte begära de uppgifter ur övervakningssystemet för bank- och betalkonton som dessa myndigheter getts i den gällande lagen om ett övervakningssystem för bank- och betalkonton, dvs. normen har blivit verkningslös. En förutsättning för att övervakningssystemet ska kunna användas för ovannämnda ändamål är enligt lagen om ett övervakningssystem för bank- och betalkonton dessutom att det är nödvändigt för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism. I systemet finns inte uppgifter om kontotransaktioner, utan endast uppgifter om kundrelationen, uppgifter för identifiering av kontot och uppgifter om den verkliga förmånstagaren.  

I sitt betänkande EkUB 43/2018 konstaterade ekonomiutskottet att det inte anser det helt uteslutet att senare lagstifta om andra myndighetsbefogenheter på det sätt som beskrivs i det första lagförslaget i RP 167/2018 rd. Ekonomiutskottet ansåg dock att det är klart att lagförslaget innehåller bestämmelser som inte kan behandlas i vanlig lagstiftningsordning. Kärnan i den aktuella regeringspropositionen är ändå det nationella genomförandet av direktivet inklusive tidsfrister. På dessa grunder ansåg ekonomiutskottet det vara bäst att i enlighet med grundlagsutskottets utlåtande hålla sig till den reglering om bekämpning av penningtvätt och terrorism som direktivet förutsätter och föreslå att de kompletterande nationella bestämmelserna utvärderas i en fortsatt beredning. Ekonomiutskottet konstaterade i sitt utlåtande att om det framgår att myndigheternas befogenheter måste utökas för att målen med regleringen ska nås, kan statsrådet vidta behövliga lagstiftningsåtgärder. I det sammanhanget ska även lagstiftningsordningen uppmärksammas efter behov.  

Enligt direktivet om finansiell information kan rätt att använda bank- och betalkontoregister beviljas myndigheter som har behörighet att förebygga, upptäcka, utreda och lagföra allvarliga brott. Enligt direktivet om finansiell information ska åtminstone kontoren för återvinning av tillgångar utses till sådana myndigheter. I Finland har centralkriminalpolisen utsetts till kontor för återvinning av tillgångar.  

I skäl 19 till direktivet konstateras dessutom att medlemsstaterna också bör kunna underlätta de utsedda behöriga myndigheternas åtkomst till finansiell information och uppgifter om bankkonton för att förebygga, upptäcka, utreda och lagföra andra brott än allvarliga brott. I samma skäl konstateras också att medlemsstaterna bör kunna besluta att utvidga den omfattning i vilken finansiell information och uppgifter om bankkonton kan utbytas mellan finansunderrättelseenheter och utsedda behöriga myndigheter.  

Centralen för utredning av penningtvätt 

Direktivet om finansiell information innehåller bl.a. bestämmelser om informationsutbytet mellan finansunderrättelseenheterna och de behöriga myndigheterna. Europaparlamentets och rådets direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (nedan kallat det fjärde penningtvättsdirektivet) har i Finland genomförts bl.a. genom penningtvättslagen. Beträffande centralen för utredning av penningtvätt åläggs medlemsstaterna i artikel 32 i det fjärde penningtvättsdirektivet att inrätta en finansunderrättelseenhet för att förhindra, upptäcka och effektivt bekämpa penningtvätt och finansiering av terrorism. Enligt 3 punkten i den nämnda artikeln ska varje finansunderrättelseenhet vara operativt oberoende och självständig, vilket innebär att finansunderrättelseenheten ska ha behörighet och kapacitet att utföra sina uppgifter fritt, inklusive att kunna fatta självständiga beslut om att analysera, begära och sprida specifik information. I egenskap av nationell centralenhet ansvarar centralen för utredning av penningtvätt för att ta emot och analysera anmälningar om tvivelaktiga transaktioner och andra uppgifter i anslutning till penningtvätt, förbrott till penningtvätt eller finansiering av terrorism. Centralen för utredning av penningtvätt ansvarar för att lämna ut analysresultaten och annan eventuellt väsentlig information till behöriga myndigheter om det finns skäl att misstänka penningtvätt, förbrott till penningtvätt eller finansiering av terrorism och den ska kunna skaffa tilläggsuppgifter hos de rapporteringsskyldiga. Centralen för utredning av penningtvätt finns vid centralkriminalpolisen. 

Under 2020 mottog centralen för utredning av penningtvätt 62 041 anmälningar om tvivelaktiga transaktioner. Bankernas anmälningar ökade från föregående år med cirka 28 procent. Tillhandahållare av virtuella valutor, som blev rapporteringsskyldiga i december 2019, gjorde 9 000 anmälningar under 2020. Centralen för utredning av penningtvätt inledde 1 845 nya undersökningar under året och lämnade ut information i 1 881 fall, av undersökningarna gällde 85 eventuell finansiering av terrorism. I jämförelse med 2019 ökade antalet inledda undersökningar med cirka 22 procent och utlämnandet av information med cirka 16 procent. I antalet mottagna anmälningar har det skedd en märkbar ökning 2021 som beror på att tillhandahållarna av virtuella valutor har blivit rapporteringsskyldiga. Centralen för utredning av penningtvätt har 2021 fram till den 1 september tagit emot 3 476 947 anmälningar om tvivelaktiga transaktioner, av vilka 3 443 515 gjordes av tillhandahållare av virtuella valutor och 33 432 av andra aktörer. Man försöker svara på den stora ökningen av anmälningar bl.a. med projekt som gäller automatisering av behandlingen av anmälningarna. 

Centralen för utredning av penningtvätt meddelade 73 förordnanden att avbryta transaktioner 2019, det vill säga frysningsförordnanden. 2020 var antalet frysningsförordnanden 126. Frysningsförordnandenas sammanlagda värde uppgick 2020 till 7 497 526 euro, av detta belopp finns 4 606 373 euro kvar hos myndigheterna. Centralen sände 41 begäranden om frysning av tillgångar till utländska utredningscentraler som gällde tillgångar som sänts utomlands till exempel i samband med olika bedrägerier. Det sammanlagda värdet på de tillgångar som begärandena gällde uppgick till 1 620 464 euro. Centralen för utredning av penningtvätt har 2021 fram till den 1 september inlett 1 167 undersökningar och fattat sammanlagt 79 frysningsbeslut, samt lämnat ut information i 1 349 fall. 

Under de senaste åren har värdet på förordnandena om avbrytande av transaktioner värde uppgått till mellan 5,3 och 9,8 miljoner euro.  

Aktörerna som är rapporteringsskyldiga enligt penningtvättslagen gjorde 2020 sammanlagt 45 anmälningar som enligt deras uppfattning eventuellt gällde finansiering av terrorism. Föregående år, 2019 var antalet anmälningar 25, eller på samma nivå som under flera tidigare år. Allt som allt mottog centralen för utredning av penningtvätt 124 anmälningar som gällde finansiering av terrorism eller tecken på finansiering av terrorism samt 15 anmälningar som gällde sanktioner med anknytning till terrorism. Utöver dessa klassificerades en stor mängd anmälningar om tvivelaktiga transaktioner utifrån sitt innehåll eller personanknytningar som fall som eventuellt har samband med finansiering av terrorism. På grundval av anmälningarna inledde centralen för utredning av penningtvätt 85 undersökningar med anknytning till finansiering av terrorism. Fram till september 2021 har centralen för utredning av penningtvätt mottagit sammanlagt 87 anmälningar, där den rapporteringsskyldiga har misstänker eventuell finansiering av terrorism, och inlett sammanlagt 55 undersökningar som gäller finansiering av penningtvätt. 

Kommissionen lämnade den 25 januari 2019 ett motiverat yttrande till Finland om brister i genomförandet av det fjärde penningtvättsdirektivet och i samband med det femte penningtvättsdirektivet har det framkommit behov av tekniska ändringar i lagen om ett övervakningssystem för bank- och betalkonton. I maj 2020 meddelade kommissionen att den kommer att avsluta det överträdelseförfarande mot Finland som gällde det fjärde penningtvättsdirektivet. Efter genomförandet av det fjärde och femte penningtvättsdirektivet har det framkommit behov av att precisera de bestämmelser genom vilka direktiven har genomförts och i ärendet har det utfärdats författningsändringar närmast av teknisk natur.  

Det finns redan praktisk erfarenhet av användningen av övervakningssystemet för bank- och betalkonton och hur det fungerar. Man kan därför bedöma att nyttan av att inrätta systemet och användningen av systemet har blivit betydligt mindre än vad som eftersträvades när systemet planerades. Den största delen av uppgifterna i övervakningssystemet för bank- och betalkonton kommer att finnas i kredit- och betalningsinstitutens, instituten för elektroniska pengars och tillhandahållarna av virtuella valutors datasökssystem. I augusti 2021 fanns det emellertid inte ett enda datasöksystem som var i drift, och inte heller något system som utnyttjade informationen. I den gällande lagen om ett övervakningssystem för bank- och betalkonton har rätten till åtkomst och innehållet i systemet avgränsats mycket snävt och den enda myndighet som utnyttjar Tullens register är centralen för utredning av penningtvätt. Samtidigt har flera nationella myndigheter med stöd av den gällande lagstiftningen rätt att få uppgifter om bank- och betalkonton, men de har inte rätt att få uppgifterna via övervakningssystemet för bank- och betalkonton. Utlämnandet av uppgifter om bank- och betalkonton är till stor del verkningslöst, eftersom det inte finns bestämmelser om den form och den kanal i vilken uppgifterna bör lämnas.  

1.3  1.3 Beredning

Beredningen av EU-rättsakten

Kommissionen lade fram ett förslag till direktiv den 17 april 2018. Statsrådets U-skrivelse lämnades till riksdagen den 20 juni 2018. Förhandlingar om direktivförslaget fördes i rådets arbetsgrupp för brottsbekämpning och senare med Europaparlamentet. Direktivet antogs den 20 juni 2019 och det trädde i kraft den 31 juli 2019. 

Beredningen av propositionen

För beredningen av propositionen tillsattes en arbetsgrupp för perioden 10.1.2020–31.12.2020. I arbetsgruppen ingick företrädare för finansministeriets finansmarknads- och skatteavdelningar, Tullen, Polisstyrelsen, skyddspolisen, centralkriminalpolisen, Skatteförvaltningen, Riksfogdeämbetet, Regionförvaltningsverket i Södra Finland, Finansinspektionen och Finlands Advokatförbund. I arbetsgruppens möten har också företrädare för försvarsministeriet, Försvarsmakten och riksåklagarämbetet deltagit, och vid två av mötena har företrädare för justitieministeriet och dataombudsmannen hörts angående dataskyddsfrågor som anknyter till propositionen. I samband med beredningen hördes också Finanssiala ry och representanter för kreditinstituten om propositionens konsekvenser för aktörerna inom den privata sektorn.  

Under arbetets gång påpekades att det i övervakningssystemet för bank- och betalkonton för närvarande endast finns tillgång till uppgifter om vem som äger kontot. Arbetsgruppen granskade också huruvida övervakningssystemet för bank- och betalkonton också skulle kunna omfatta uppgifter om kontotransaktioner. Till denna del konstaterades att frågan bör utredas i ett separat projekt som kommer att inledas av inrikesministeriet. 

EU-rättsaktens målsättning och huvudsakliga innehåll

Syftet med direktivet om finansiell information är att fastställa åtgärder för att underlätta behöriga myndigheters åtkomst till och användning av finansiell information och uppgifter om bankkonton för att förebygga, upptäcka, utreda och lagföra allvarliga brott. I direktivet fastställs också åtgärder för att underlätta finansunderrättelseenheternas åtkomst till brottsbekämpningsrelaterad information för att förebygga och bekämpa penningtvätt, associerade förbrott och finansiering av terrorism samt åtgärder för att underlätta samarbetet mellan finansunderrättelseenheterna. 

I skäl 8 till direktivet om finansiell information konstateras att för att en brottsutredning ska kunna utföras framgångsrikt eller för att relaterade tillgångar med nödvändig skyndsamhet ska kunna identifieras, spåras och frysas i syfte att förverkas är det ofta nödvändigt med omedelbar och direkt åtkomst till uppgifter i centraliserade bankkontoregister. Enligt skälet är direkt åtkomst den snabbaste typen av åtkomst till de uppgifter som finns i centraliserade bankkontoregister, och direktivet bör därför fastställa bestämmelser om direkt åtkomst till uppgifter i centraliserade bankkontoregister för medlemsstaternas utsedda myndigheter som är ansvariga för att förebygga, upptäcka, utreda eller lagföra brott. Enligt skälet bör direktivet inte påverka kanaler för utbyte av information mellan behöriga myndigheter eller deras befogenheter att erhålla information från ansvariga enheter enligt unionsrätten eller nationell rätt. Nationella myndigheters åtkomst till uppgifter i centraliserade register för andra syften än sådana som sammanhänger med tillämpningen av direktivet om finansiell information eller med avseende på andra brott än de som omfattas av direktivet faller utanför direktivets tillämpningsområde.  

Finansunderrättelseenheternas rättsliga ställning varierar mellan olika medlemsstater, från att ha administrativ eller brottsbekämpande status till att vara hybrider av dessa. Finansunderrättelseenheternas befogenheter omfattar rätt att få åtkomst till de finansiella och administrativa uppgifter samt brottsbekämpningsrelaterad information som de behöver för att förebygga, upptäcka och bekämpa penningtvätt, associerade förbrott och finansiering av terrorism. Det finns skillnader mellan medlemsstaterna vad gäller finansunderrättelseenheternas tillgång till rättsliga databaser, vilket leder till ett otillräckligt informationsutbyte mellan brottsbekämpande organ eller åklagarmyndigheter och finansunderrättelseenheter. Finansunderrättelseenheterna bör sträva efter att snabbt utbyta finansiell information och finansiella analyser i brådskande undantagsfall om informationen eller analyserna rör terrorism eller organiserad brottslighet med kopplingar till terrorism. 

Direktivets tillämpningsområde omfattar de allvarliga brott som förtecknas i bilaga 1 till Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF, (nedan Europolförordningen). Dessa brott inkluderar terrorism, organiserad brottslighet, narkotikahandel, penningtvätt, brottslighet som har samband med nukleära och radioaktiva ämnen, illegal människosmuggling, människohandel, handel med stulna fordon, mord och grov misshandel, olaglig handel med mänskliga organ och vävnader, människorov, olaga frihetsberövande och tagande av gisslan, rasism och främlingsfientlighet, rån och grov stöld, olaglig handel med kulturföremål, inbegripet antikviteter och konstverk, svindleri och bedrägeri, brott mot unionens finansiella intressen, insiderhandel och otillbörlig marknadspåverkan, beskyddarverksamhet och utpressning, förfalskning och piratkopiering, förfalskning av administrativa dokument och handel med sådana förfalskningar, penningförfalskning och förfalskning av betalningsmedel, it-brottslighet, korruption, olaglig handel med vapen, ammunition och sprängämnen, olaglig handel med hotade djurarter, olaglig handel med hotade växtarter och växtsorter, miljöbrott, däribland förorening från fartyg, olaglig handel med hormonpreparat och andra tillväxtsubstanser, sexuella övergrepp och sexuellt utnyttjande, inbegripet material med övergrepp mot barn och kontaktsökning med barn i sexuellt syfte, folkmord, brott mot mänskligheten och krigsförbrytelser. Det bör noteras att skattebrott inte hör till de brott som räknas upp i Europolförordningen. I ingressen till direktivet konstateras att i den utsträckning skattemyndigheter och korruptionsbekämpande organ är behöriga att förebygga, upptäcka, utreda eller lagföra brott enligt nationell rätt, bör de också anses vara myndigheter som kan utses med avseende på tillämpningen av detta direktiv. Medlemsstaterna ges således prövningsrätt huruvida skattemyndigheter och korruptionsbekämpande myndigheter utses till behöriga myndigheter i enlighet med direktivet. Till de brott som förtecknas i bilagan till Europolförordningen hör brott mot unionens finansiella intressen som i Finland kan vara skattebrott. Samtidigt konstateras det i skäl 11 att administrativa utredningar, med undantag för sådana som utförs av finansunderrättelseenheter vid förebyggande, upptäckt och effektivt bekämpande av penningtvätt och finansiering av terrorism, inte bör omfattas av detta direktiv. Undvikande av skatt och skattebrott kan ingå i många andra brott och brottet kan också avslöjas i samband med skattekontrollen. Skatteförvaltningen har i praktiken behörighet att verkställa beskattningen och utöva skattekontroll och dessa omfattar administrativa åtgärder. I Finland har Skatteförvaltningen inte getts behörighet när det gäller att förebygga brott. Dessutom bör det beaktas att i Finland ingår det i Tullens behörighet att övervaka och genomföra att bestämmelserna om tullbeskattning följs och i fråga om dessa ingår även skattebrotten i Tullens behörighet och således är Tullen behörig myndighet på det sätt som direktivet avser i förhindrandet och avslöjandet av tullskattebrott. Tullen har även behörighet att förhindra, avslöja och utreda sådana punktskattebrott och misstänkta mervärdesskattebrott vid import där Skatteförvaltningen tar ut skatten.  

Direktivets kapitel I innehåller allmänna bestämmelser. Artikel 1 gäller direktivets syfte. Enligt artikel 1.1 fastställs i direktivet åtgärder för att underlätta behöriga myndigheters åtkomst till och användning av finansiell information och uppgifter om bankkonton för att förebygga, upptäcka, utreda och lagföra allvarliga brott. I direktivet fastställs också åtgärder för att underlätta finansunderrättelseenheternas åtkomst till brottsbekämpningsrelaterad information för att förebygga och bekämpa penningtvätt, associerade förbrott och finansiering av terrorism samt åtgärder för att underlätta samarbetet mellan finansunderrättelseenheterna. I artikel 1.2 i direktivet anges att direktivet inte påverkar tillämpningen av penningtvättsdirektivet och tillhörande bestämmelser i nationell rätt, inbegripet finansunderrättelseenheternas organisatoriska ställning enligt nationell rätt eller deras operativa oberoende och självständighet, och inte heller kanaler för utbyte av information mellan behöriga myndigheter eller behöriga myndigheters befogenheter enligt unionsrätten eller nationell rätt att erhålla information från ansvariga enheter, tillämpningen av Europolförordningen (EU) 2016/794 eller de skyldigheter som följer av unionens instrument om ömsesidig rättslig hjälp eller om ömsesidigt erkännande av domar i brottmål och av rådets rambeslut 2006/960/RIF. 

I artikel 2 i direktivet definieras centraliserade bankkontoregister, kontor för återvinning av tillgångar, finansunderrättelseenheter, ansvariga enheter, finansiell information, brottsbekämpningsrelaterad information, uppgifter om bankkonton, penningtvätt och associerade förbrott, finansiering av terrorism, finansiell analys och allvarliga brott. Med centraliserade bankkontoregister avses centraliserade automatiserade mekanismer såsom centrala register eller centrala elektroniska datasöksystem som införts i enlighet med artikel 32a.1 i penningtvättsdirektivet. 

Artikel 3 gäller utseende av behöriga myndigheter. Enligt artikel 3.1 ska varje medlemsstat, bland de myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott, utse de behöriga myndigheter som har befogenhet att få åtkomst till och söka i dess nationella centraliserade bankkontoregister. Dessa behöriga myndigheter ska åtminstone omfatta kontoren för återvinning av tillgångar. I Finland har centralkriminalpolisen utsetts till kontor för återvinning av tillgångar. I skäl 9 konstateras att eftersom det i varje medlemsstat finns en mängd myndigheter eller organ som är behöriga vad gäller att förebygga, upptäcka, utreda och lagföra brott, och för att säkerställa proportionell åtkomst till finansiell information och andra uppgifter enligt detta direktiv, bör medlemsstaterna vara skyldiga att utse de myndigheter eller organ som ges befogenhet att få åtkomst till de centraliserade bankkontoregistren och vilka som får begära information från finansunderrättelseenheterna vid tillämpningen av detta direktiv. I samma skäl konstateras att medlemsstaterna vid genomförandet av direktivet bör beakta dessa myndigheters och organs karaktär, organisatoriska ställning, uppgifter och rättigheter i enlighet med sin nationella rätt, inklusive befintliga mekanismer för att skydda finansiella system mot penningtvätt och finansiering av terrorism. Enligt skäl 10 bör kontoren för återvinning av tillgångar utses bland de behöriga myndigheterna och de bör få direkt åtkomst till uppgifter i de centraliserade bankkontoregistren när det gäller att förebygga, upptäcka eller utreda ett specifikt allvarligt brott eller stödja en specifik brottsutredning, inbegripet att identifiera, spåra och frysa tillgångar. 

Enligt artikel 3.2 ska varje medlemsstat, bland de myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott, utse de behöriga myndigheter som kan begära och ta emot finansiell information eller finansiella analyser från finansunderrättelseenheterna. Artikel 3.3 gäller underrättelser till kommissionen om utsedda myndigheter. 

I kapitel II föreskrivs om de behöriga myndigheternas åtkomst till uppgifter om bankkonton. Artikel 4 gäller de behöriga myndigheternas åtkomst till och sökningar i uppgifter om bankkonton. Enligt artikel 4.1 ska medlemsstaterna säkerställa att de behöriga nationella myndigheter som utsetts i enlighet med artikel 3.1 har befogenhet att få åtkomst till och direkt och omedelbart söka i uppgifter om bankkonton när det är nödvändigt för fullgörandet av deras uppgifter i syfte att förebygga, upptäcka, utreda eller lagföra allvarliga brott eller stödja en brottsutredning som rör ett allvarligt brott, inbegripet identifiering, spårning och frysning av tillgångar i samband med en sådan utredning. Enligt samma punkt i artikeln ska åtkomst och sökningar anses vara direkta och omedelbara, bl.a. i fall där de nationella myndigheter som förvaltar de centrala bankkontoregistren skyndsamt överför uppgifterna om bankkonton till de behöriga myndigheterna genom en automatiserad mekanism, förutsatt att ingen mellanliggande institution kan påverka de begärda uppgifterna eller den information som ska tillhandahållas. Enligt punkt 2 i artikeln ska de ytterligare uppgifter som medlemsstaterna anser vara väsentliga och inkluderar i de centraliserade bankkontoregistren i enlighet med artikel 32a.4 i penningtvättsdirektivet inte vara tillgängliga och sökbara för behöriga myndigheter enligt direktivet om finansiell information. Enligt nämnda artikel i penningtvättsdirektivet kan medlemsstaterna överväga att kräva att andra uppgifter som anses vara viktiga för finansunderrättelseenheter och behöriga myndigheter när de fullgör sina skyldigheter enligt detta direktiv finns tillgängliga och sökbara via de centraliserade mekanismerna. 

Artikel 5 i direktivet gäller villkor för de behöriga myndigheternas åtkomst och sökningar. Enligt artikeln ska endast personal som särskilt och i varje enskilt fall utsetts av de behöriga myndigheterna och bemyndigats att utföra uppgifterna ha åtkomst till och möjlighet att göra sökningar i uppgifter om bankkonton. Medlemsstaterna ska säkerställa att personal vid de utsedda behöriga myndigheterna håller hög yrkesmässig standard när det gäller konfidentialitet och uppgiftsskydd, samt har stor integritet och rätt kompetens. Enligt artikel 5.3 ska medlemsstaterna säkerställa tekniska och organisatoriska åtgärder för att säkerställa datasäkerhet i enlighet med höga tekniska standarder för de behöriga myndigheternas utövande av befogenheten att ha åtkomst till, och göra sökningar i, uppgifter om bankkonton, i enlighet med artikel 4.  

I artikel 6 föreskrivs om övervakning av de behöriga myndigheternas åtkomst och sökningar. Artikeln innehåller krav på att loggar ska föras varje gång myndigheter får åtkomst till och söker i registret. Enligt artikeln ska dataskyddsombuden vid de centrala bankkontoregistren regelbundet kontrollera loggarna. I artikeln föreskrivs också om användningen av loggarna och om medlemsstaternas åtgärder i fråga om dataskyddsreglerna.  

I kapitel III i direktivet föreskrivs om informationsutbyte mellan behöriga myndigheter och finansunderrättelseenheter samt mellan finansunderrättelseenheter. Artikel 7 gäller behöriga myndigheters begäranden om information av finansunderrättelseenheter. Med förbehåll för nationella förfaranden ska varje medlemsstat säkerställa att dess nationella finansunderrättelseenhet är skyldig att samarbeta med de utsedda behöriga myndigheter som avses i artikel 3.2 och att med nödvändig skyndsamhet kunna besvara motiverade begäranden om finansiell information eller finansiella analyser från dessa utsedda behöriga myndigheter. I artikeln anges också i vilka fall en finansunderrättelseenhet inte är skyldig att svara på en begäran om information. Enligt artikeln måste användning för andra ändamål än de som ursprungligen godkänts godkännas på förhand av finansunderrättelseenheten.  

I artikel 8 i direktivet föreskrivs om finansunderrättelseenheters begäranden om information av behöriga myndigheter. De utsedda behöriga myndigheterna ska utan dröjsmål besvara en begäran om brottsbekämpningsrelaterad information från en nationell finansunderrättelseenhet, om informationen är nödvändig för att förebygga, upptäcka och bekämpa penningtvätt, associerade förbrott och finansiering av terrorism.  

I artikel 9 i direktivet föreskrivs om informationsutbyte mellan olika medlemsstaters finansunderrättelseenheter. Enligt bestämmelsen ska medlemsstaterna säkerställa att deras finansunderrättelseenheter i brådskande undantagsfall har rätt att utbyta finansiell information eller finansiella analyser som kan vara relevanta för deras behandling eller analys av information som rör terrorism eller organiserad brottslighet med kopplingar till terrorism. I artikeln förutsätts att medlemsstaterna i ovannämnda fall och med beaktande av operativa begränsningar säkerställer att finansunderrättelseenheterna strävar efter att snabbt utbyta information.  

Artikel 10 gäller informationsutbyte mellan behöriga myndigheter i olika medlemsstater. Enligt artikeln ska varje medlemsstat med förbehåll för nationella rättssäkerhetsgarantier säkerställa att dess behöriga myndigheter som utsetts enligt direktivet om finansiell information kan utbyta finansiell information eller finansiell analys som erhållits från finansunderrättelseenheten i den egna medlemsstaten, på begäran och från fall till fall, med en utsedd behörig myndighet i en annan medlemsstat, om den finansiella informationen eller den finansiella analysen är nödvändig för att förebygga, upptäcka och bekämpa penningtvätt, associerade förbrott och finansiering av terrorism. Varje medlemsstat ska säkerställa att dess utsedda behöriga myndigheter använder den finansiella information eller den finansiella analys som utbyts endast för det ändamål för vilket den begärdes eller lämnades ut. Användning av dessa uppgifter för andra ändamål än de ursprungligen godkända måste godkännas på förhand av finansunderrättelseenheten.  

Kapitel IV i direktivet om finansiell information gäller utbyte av information med Europol. Enligt artikel 11 ska varje medlemsstat säkerställa att dess behöriga myndigheter har rätt att genom den nationella Europolenheten eller, om den medlemsstaten tillåter detta, via direkta kontakter med Europol besvara vederbörligen motiverade begäranden avseende uppgifter om bankkonton som gjorts av Europol efter en bedömning från fall till fall inom ramen för sina befogenheter och för att fullgöra sina uppgifter. I artikeln hänvisas det till tillämpningen av artikel 7.6 och 7.7 i Europolförordningen som gäller den nationella Europolenheten.  

I artikel 12 i direktivet föreskrivs om informationsutbyte mellan Europol och finansunderrättelseenheterna. Enligt artikeln ska varje medlemsstat säkerställa att dess finansunderrättelseenhet har rätt att genom den nationella Europolenheten, eller om den medlemsstaten tillåter detta, via direkta kontakter mellan finansunderrättelseenheten och Europol, besvara vederbörligen motiverade begäranden som gjorts av Europol. Sådana begäranden ska röra finansiell information och finansiell analys och ska göras efter en bedömning från fall till fall inom ramen för Europols befogenheter och för att fullgöra sina uppgifter. På informationsutbytet tillämpas artikel 32.5 i penningtvättsdirektivet och artikel 7.6 och 7.7 i Europolförordningen. Underlåtenhet att tillmötesgå begäran ska motiveras på behörigt sätt.  

I artikel 13 i direktivet finns bestämmelser om detaljerade arrangemang för informationsutbytet. Enligt artikeln ska medlemsstaterna säkerställa att informationsutbyte enligt artiklarna 11 och 12 i detta direktiv äger rum elektroniskt i enlighet med Europolförordningen och genom Siena eller dess efterföljare på det språk som gäller för Siena, eller i förekommande fall FIU.net eller dess efterföljare. Medlemsstaterna ska dessutom säkerställa att informationsutbyte enligt artikel 12 genomförs med nödvändig skyndsamhet och att begäranden om information som kommer från Europol, i det avseendet, behandlas som om de kommer från en annan finansunderrättelseenhet.  

I artikel 14 finns bestämmelser om dataskyddskrav. Enligt artikeln ska behandling av personuppgifter som rör bankkontouppgifter, finansiell information och finansiella analyser som avses i artiklarna 11 och 12 i direktivet utföras i enlighet med artikel 18 i Europolförordningen och endast av Europols personal som särskilt har utsetts och bemyndigats. Europol ska informera det dataskyddsombud som utsetts i enlighet med Europolförordningen om allt informationsutbyte i enlighet med artiklarna 11, 12 och 13 i direktivet.  

I kapitel V finns ytterligare bestämmelser om behandling av personuppgifter. Enligt artikel 15 är kapitlet endast tillämpligt på utsedda behöriga myndigheter och finansunderrättelseenheter vad gäller informationsutbyte enligt kapitel III och avseende utbyte av finansiell information och finansiella analyser där Europols nationella enheter involveras enligt kapitel IV. I artikel 16 föreskrivs om behandling av känsliga personuppgifter. Enligt artikeln ska behandling av personuppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet eller uppgifter om en fysisk persons hälsotillstånd, sexualliv eller sexuella läggning endast vara tillåten om det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med tillämpliga dataskyddsregler. Enligt artikeln kan endast anställda med särskild utbildning och som uttryckligen bemyndigats av den personuppgiftsansvarige få åtkomst till och behandla de uppgifter som avses i punkt 1 under vägledning av dataskyddsombudet. 

I artikel 16.2 sägs det dessutom att endast anställda med särskild utbildning och som uttryckligen bemyndigats av den personuppgiftsansvarige kan få åtkomst till och behandla de uppgifter som avses i punkt 1 under vägledning av dataskyddsombudet. 

Artikel 17 gäller dokumentation över begäranden om information. Enligt artikeln ska medlemsstaterna säkerställa att begäranden om information enligt direktivet dokumenteras. Dokumentationen ska innehålla åtminstone följande uppgifter: a) namn och kontaktuppgifter för den organisation och den anställda som begär informationen och, i möjligaste mån, för mottagaren av resultatet av förfrågan eller sökningen, b) referensuppgifter till det nationella ärende avseende vilket informationen begärs, c) vad begäran avser, och d) verkställighetsåtgärder för begäran.  

Enligt artikeln ska dokumentationen bevaras under fem års tid efter att den skapats och ska enbart användas för att kontrollera att behandlingen av personuppgifter är laglig. De berörda myndigheterna ska på begäran göra alla uppgifter tillgängliga för den nationella tillsynsmyndigheten. 

Direktivets artikel 18 gäller begränsningar av registrerades rättigheter. Enligt artikeln får medlemsstaterna anta lagstiftningsåtgärder som helt eller delvis begränsar de registrerades rätt att få åtkomst till personuppgifter som rör dem och som behandlas enligt detta direktiv i enlighet med artikel 23.1 i förordning (EU) 2016/679 eller med artikel 15.1 i direktiv (EU) 2016/680 (nedan dataskyddsdirektivet för brottsbekämpande myndigheter) beroende på vilken som är tillämplig. Finland har utnyttjat det handlingsutrymme som ingår i förordningen genom 33 och 34 § i den nationella dataskyddslagen (1050/2018), som innehåller begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information och begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. Motsvarande bestämmelser har också använts i 4 kap. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen avseende brottmål) samt i annan speciallagstiftning om behandling av personuppgifter. 

Kapitel VI i direktivet innehåller slutbestämmelser. I artikel 19 åläggs medlemsstaterna att utvärdera hur effektiva deras system är vad gäller att bekämpa allvarliga brott genom att föra omfattande statistik. Kommissionen ska senast den 1 februari 2020 fastställa ett detaljerat program för övervakning av effekterna av direktivet. Enligt artikeln ska programmet ange med vilka metoder uppgifter och andra nödvändiga bevis ska samlas in och med vilka intervaller. Medlemsstaterna ska förse kommissionen med de uppgifter och övriga bevis som är nödvändiga för övervakningen. Enligt artikeln ska statistiken under alla omständigheter innehålla följande information: a) antalet sökningar som genomförts av de utsedda behöriga myndigheterna i enlighet med artikel 4, b) uppgifter om antalet begäranden som utfärdats av varje myndighet enligt detta direktiv, uppföljningen av dessa begäranden, antalet ärenden som utretts, antalet personer som åtalats och antalet personer som dömts för allvarliga brott, om sådana uppgifter är tillgängliga, c) uppgifter om hur lång tid det tar för en myndighet att besvara en begäran efter det att begäran mottagits, d) om tillgängliga, uppgifter om kostnader för personella resurser eller it-resurser som har avsatts för inhemska och gränsöverskridande begäranden som omfattas av detta direktiv.  

Enligt artikeln ska medlemsstaterna organisera framtagning och insamling av statistik och årligen överlämna den statistik som avses i punkt 3 till kommissionen. 

Artikel 20 gäller förhållandet till andra instrument. Enligt den ska direktivet inte förhindra medlemsstaterna från att sinsemellan bibehålla eller ingå bilaterala eller multilaterala avtal eller överenskommelser om informationsutbyte mellan behöriga myndigheter, förutsatt att dessa avtal eller överenskommelser är förenliga med unionsrätten och särskilt med detta direktiv.  

Enligt artikel 20.2 påverkar direktivet om finansiell information inte medlemsstaternas eller unionens eventuella skyldigheter och åtaganden enligt befintliga bilaterala eller multilaterala avtal med tredjeländer.  

Utan att det påverkar fördelningen av befogenheter mellan unionen och medlemsstaterna, i enlighet med unionsrätten, ska medlemsstaterna enligt artikel 20.3 underrätta kommissionen om sina avsikter att inleda förhandlingar om, och ingå, avtal mellan medlemsstater och tredjeländer som är avtalsslutande parter i Europeiska ekonomiska samarbetsområdet, om frågor som omfattas av tillämpningsområdet för kapitel II i detta direktiv.  

Om kommissionen inom två månader från det att den mottagit underrättelsen om en medlemsstats avsikt att inleda sådana förhandlingar som avses i första stycket konstaterar att förhandlingarna sannolikt kommer att undergräva relevant unionspolitik eller leda till ett avtal som är oförenligt med unionsrätten, ska den informera medlemsstaten om detta. Medlemsstaterna ska fortlöpande underrätta kommissionen om sådana förhandlingar och, när så är lämpligt, bjuda in kommissionen att delta som observatör.  

Medlemsstaterna ska bemyndigas att provisoriskt tillämpa eller ingå sådana avtal som avses i första stycket, förutsatt att de är förenliga med unionsrätten och inte är till skada för målet och syftet med relevant unionspolitik. Kommissionen ska anta sådana beslut om bemyndigande genom genomförandeakter. Dessa genomförandeakter ska antas i enlighet med det rådgivande förfarande som avses i artikel 22. 

Artikel 21 gäller utvärdering av genomförandet av direktivet. Kommissionen ska utarbeta en rapport om genomförandet senast den 2 augusti 2024 och i enlighet med penningtvättsdirektivet bedöma hinder och möjligheter när det gäller att förbättra samarbetet mellan finansunderrättelseenheterna i unionen, inbegripet om det är möjligt och lämpligt att inrätta en mekanism för samordning och stöd. Kommissionen ska utfärda en rapport med en bedömning av om det finns behov av, och är proportionellt, att utvidga definitionen av finansiell information till att omfatta all slags information eller data som innehas av offentliga myndigheter eller ansvariga enheter och som är tillgänglig för finansunderrättelseenheterna utan vidtagande av tvångsåtgärder enligt nationell rätt eller direktivet om finansiell information, och ska vid behov lägga fram ett lagstiftningsförslag. Enligt artikeln ska kommissionen senast den 2 augusti 2024 genomföra en bedömning av möjligheter och utmaningar vad gäller att utvidga utbytet av finansiell information eller finansiell analys mellan finansunderrättelseenheterna inom unionen till andra allvarliga brott än terrorism eller organiserad brottslighet med kopplingar till terrorism. Enligt artikeln ska kommissionen utvärdera direktivet tidigast den 2 augusti 2027.  

I artikel 22 föreskrivs om kommittéförfarandet och hänvisas till den kommitté som avses i förordning (EU) nr 182/2011.  

I artikel 23 föreskrivs om införlivande i den nationella lagstiftningen. Medlemsstaterna ska genomföra direktivet senast den 1 augusti 2021 och utan dröjsmål underrätta kommissionen om detta. När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till direktivet eller åtföljas av en sådan hänvisning när de offentliggörs. Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av direktivet.  

Artikel 24 gäller upphävande av beslut 2000/642/RIF och enligt artikel 25 träder direktivet i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning. Enligt artikel 26 riktar sig direktivet till medlemsstaterna i enlighet med fördragen. 

Nuläge och bedömning av nuläget

3.1  Lagstiftningen

Kreditinstitutslagen 

I 15 kap. 14 § i kreditinstitutlagen (610/2014) finns bestämmelser om bankhemlighet. Med bankhemlighet avses skydd av sådana uppgifter som gör det möjligt att identifiera en kund i ett kreditinstitut. Uppgifter som omfattas av bankhemligheten är uppgifter som uppkommit före och under kundförhållandet och som kreditinstitutet har fått ta del av. Kunden kan själv muntligen eller skriftligen ge sitt samtycke till att uppgifter som omfattas av bankhemligheten lämnas ut, eller med en fullmakt befullmäktiga en annan person att få information om kundens bankärenden. Enligt 1 mom. är en person som i egenskap av medlem eller suppleant i ett organ inom ett kreditinstitut eller företag inom samma finansiella företagsgrupp, inom en sammanslutning av kreditinstitut eller inom företag som kreditinstitutet anlitar som ombud eller inom något annat företag som agerar för kreditinstitutets räkning eller i egenskap av anställd hos dessa eller vid utförande av någon uppgift på uppdrag av dem har fått kännedom om den ekonomiska situationen hos någon av kreditinstitutets kunder eller hos kunder till företag som tillhör samma finansiella företagsgrupp eller samma konglomerat enligt lagen om tillsyn över finans- och försäkringskonglomerat som kreditinstitutet eller hos någon annan person med anknytning till kreditinstitutets eller företagets verksamhet eller om någons personliga förhållanden eller om en affärs- eller yrkeshemlighet, skyldig att hemlighålla saken, om inte den till vars förmån tystnadsplikten har bestämts ger sitt samtycke till att saken röjs. Sekretessbelagda uppgifter får inte heller lämnas till bolagsstämma, principalmöte, andelsstämma eller fullmäktige eller till en hypoteksförenings stämma eller till aktieinnehavare eller medlemmar som deltar i stämman eller mötet.  

Kreditinstitut och företag som hör till samma finansiella företagsgrupp är skyldiga att lämna upplysningar som avses i 14 § 1 mom. till åklagar- eller förundersökningsmyndigheterna för utredning av brott samt till andra myndigheter som enligt lag har rätt att få sådana upplysningar.  

I 15 § finns det bestämmelser om utlämnande av information till företag inom samma finansiella företagsgrupp, finans- och försäkringskonglomerat eller sammanslutning. Ett kreditinstitut och ett företag som hör till samma finansiella företagsgrupp som detta har rätt att lämna ut information som avses i 14 § till ett företag som hör till samma koncern, samma finansiella företagsgrupp eller samma i lagen om tillsyn över finans- och försäkringskonglomerat avsedda finans- och försäkringskonglomerat för kundbetjäning och annan skötsel av kundförhållanden, för marknadsföring samt för koncernens, gruppens eller finans- och försäkringskonglomeratets riskhantering, om mottagaren av uppgifterna omfattas av tystnadsplikten enligt denna lag eller av motsvarande tystnadsplikt. Ett kreditinstitut och ett företag som hör till samma finansiella företagsgrupp kan lämna ut sådana uppgifter ur sitt kundregister som behövs för marknadsföring samt för kundbetjäning och annan skötsel av kundförhållanden till ett företag som hör till samma ekonomiska sammanslutning som kreditinstitutet, om den som tar emot uppgifterna omfattas av tystnadsplikten enligt kreditinstitutlagen eller av motsvarande tystnadsplikt. Rätten att lämna ut uppgifter gäller inte utlämnande av särskilda kategorier av personuppgifter enligt artikel 9.1 i den allmänna dataskyddsförordningen eller uppgifter som rör fällande domar i brottmål och överträdelser enligt artikel 10 i samma förordning.  

Enligt 15 § 3 mom. i kapitlet har ett kreditinstitut rätt att till en i 14 § 1 mom. avsedd sammanslutning av kreditinstitut, vars medlem kreditinstitutet är, lämna ut information som behövs för sammanslutningens verksamhet.  

I 21 kap. 4 § föreskrivs det om brott mot tystnadsplikt. Till straff för brott mot tystnadsplikten döms enligt 38 kap. 1 och 2 § i strafflagen (39/1889), om inte strängare straff för gärningen föreskrivs på något annat ställe i lag. 

Lagen om betalningsinstitut  

Bestämmelser om betalningsinstituts verksamhet finns i lagen om betalningsinstitut (297/2010) och i betaltjänstlagen (290/2010). I 37 § i lagen om betalningsinstitut finns det bestämmelser om tystnadsplikt. Enligt 1 mom. är en person som i egenskap av medlem eller suppleant i ett organ hos ett betalningsinstitut eller företag inom samma grupp eller hos ett företag som betalningsinstitutet anlitar som ombud eller hos ett annat företag som verkar för betalningsinstitutets räkning eller i egenskap av anställd hos dessa eller vid utförande av någon uppgift på uppdrag av dem har fått kännedom om den ekonomiska situationen hos någon av betalningsinstitutets kunder eller hos kunder till företag som hör till samma grupp som betalningsinstitutet eller hos någon annan person med anknytning till betalningsinstitutets eller företagets verksamhet eller om någons personliga förhållanden eller en affärs- eller yrkeshemlighet, skyldig att hemlighålla saken, om inte den till vars förmån tystnadsplikten har bestämts ger sitt samtycke till att saken röjs. Sekretessbelagd information får inte heller lämnas till en bolagsstämma, andelsstämma eller till fullmäktige och inte heller till aktieägare eller medlemmar som deltar i stämman eller mötet.  

Betalningsinstitut och företag som hör till samma grupp är, trots vad som föreskrivs om tystnadsplikt, skyldiga att lämna uppgifter som avses i 37 § 1 mom. till åklagar- och förundersökningsmyndigheter för utredning av brott samt till andra myndigheter som enligt lag har rätt att få sådan information. 

Lagen om ett övervakningssystem för bank- och betalkonton 

I lagen om ett övervakningssystem för bank- och betalkonton föreskrivs om ett system för övervakning av bank- och betalkonton som består av ett register över och datasöksystem för bank- och betalkonton. I regeringens proposition 167/2018 rd ansågs det att en fördel med ett kombinerat datasöksystem och register över bank- och betalkonton är att det gör det möjligt att dels beakta särdragen i olika rapporteringsskyldiga gruppers verksamhet samt riskerna för penningtvätt och finansiering av terrorism, dels minska riskerna med registret bl.a. av den anledningen att registret har en mindre datamängd. I propositionen föreslogs därför att ett kombinerat datasöksystem och register ska införas. Syftet med lagen är enligt dess 1 § att främja myndigheternas elektroniska tillgång till information om bank- och betalkonton och effektivisera myndigheternas förfrågningar så att de riktas till rätt mottagare. I lagen anges de uppgifter som ska föras in i datasöksystemet för bank- och betalkonton och i registret över bank- och betalkonton samt de behöriga myndigheter som har tillgång till uppgifterna i datasöksystemet och kontoregistret.  

Lagen om ett övervakningssystem för bank- och betalkonton har ändrats genom ändringslag 730/2020. Lagändringarna trädde i kraft den 1 november 2020. Då korrigerades vissa definitioner i lagen som har lett till oklarheter i tillämpningen av lagen. Dessutom korrigerades och preciserades vilka uppgifter som ska lämnas ut via datasöksystemet och föras in i registret över bank- och betalkonton. Genom lagändringarna preciserades i synnerhet vilka uppgifter varje uppgiftslämnare enligt lag är skyldig att lämna ut via datasöksystemet eller lämna till Tullen för registrering i registret över bank- och betalkonton. Lagen om ett övervakningssystem för bank- och betalkonton har dessutom ändrats genom ändringslag 378/2021 som trädde i kraft den 10 maj 2021. Genom lagändringen utökades skyldigheten att anmäla uppgifter om innehavare som har rätt att använda kontot till kontoregistret även beträffande juridiska personer. 

I 3 § anges de myndigheter till vilka uppgifter får lämnas ut ur övervakningssystemet för bank- och betalkonton och för vilka ändamål. Rätt att använda övervakningssystemet för bank- och betalkonton har tillsynsmyndigheter enligt penningtvättslagen och advokatföreningen för utförandet av en sådan övervakningsuppgift som avses i den lagen, centralen för utredning av penningtvätt för utförandet av de uppgifter som avses i lagen om centralen för utredning av penningtvätt och tull-, gränsbevaknings-, skatte- och utsökningsmyndigheterna samt konkursombudsmannen för fullgörandet av omsorgsplikten enligt penningtvättslagen. En förutsättning för att övervakningssystemet ska kunna användas är enligt lagen om ett övervakningssystem för bank- och betalkonton dessutom att det är nödvändigt för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism. I praktiken har de myndigheter som använder övervakningssystemet för bank- och betalkonton och de uppgifter för vilka övervakningssystemet kan användas i den gällande lagen begränsats till det minimum som krävs i penningtvättsdirektivet.  

Enligt 4 § 1 mom. i lagen om ett övervakningssystem för bank- och betalkonton ska ett kreditinstitut administrera ett elektroniskt datasöksystem för bank- och betalkonton, med hjälp av vilket det omedelbart och trots sekretessbestämmelserna till en behörig myndighet förmedlar sådana uppgifter om sina kunder som avses i 2 mom. Om det är motiverat med tanke på kreditinstitutets storlek och verksamhetens karaktär och omfattning kan kreditinstitutet avvika från skyldigheten att administrera ett datasöksystem, om Finansinspektionen beviljar tillstånd för detta. I lagens 4 § 2 mom. anges vilka uppgifter som ska lämnas ut. Dessa uppgifter ska lämnas ut till behöriga myndigheter om de, trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av information, enligt någon annan lag har rätt att få dem. Följande uppgifter ska lämnas ut: fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt datumet för när kundrelationen har börjat och upphört, samt alla hos den juridiska personen som har rätt att använda kontot och sådana uppgifter om dem som ovan nämns för fysiska personer, fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för de verkliga förmånstagare som avses i 1 kap. 5–7 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism, i fråga om bank- och betalkonton IBAN-nummer eller något annat identifikationssignum samt datum för öppnande och avslutande av kontot, fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för den som hyr ett bankfack och den som har användningsrätt till det eller, om det är fråga om en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt identifieringsuppgifter om bankfacket och hyrestidens längd. I 4 § föreskrivs dessutom att den behöriga myndigheten ska specificera enligt vilken bestämmelse den begär information. Kreditinstitutet ska lämna informationen till den behöriga myndigheten avgiftsfritt. I samband med gemensamma konton som förvaltas av en advokat ska det uttryckligen antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. Uppgifter om gemensamma konton som förvaltas av en advokat får inte utlämnas via datasöksystemet. 

I 5 § i lagen om ett övervakningssystem för bank- och betalkonton föreskrivs om ett register över bank- och betalkonton där Tullen är personuppgiftsansvarig och i 6 § om de uppgifter som ska föras in i registret. I registret över bank- och betalkonton ska införas följande uppgifter om sådana kunder i betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor som enligt 3 kap. 2 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism ska identifieras: fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot samt kunder i tillhandahållare av virtuella valutor eller, om kontoinnehavaren eller kunden i en tillhandahållare av virtuella valutor är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum för när kundrelationen har börjat och upphört samt i fråga om betalkonton IBAN-nummer eller annat identifikationssignum.  

Uppgifterna i registret över bank- och betalkonton är sekretessbelagda enligt lagens 1 § 4 mom. 

På registret över bank- och betalkonton tillämpas lagen om offentlighet i myndigheternas verksamhet (621/1999), nedan offentlighetslagen, 11 § om en parts rätt att ta del av en handling, 12 § om rätt att ta del av en handling som gäller en själv, 26 § 3 mom. om utlämnande av uppgifter ur en sekretessbelagd handling för handräckning samt för ett uppdrag eller någon uppgift som i övrigt handhas för myndighetens räkning, och 29 § om utlämnande av sekretessbelagda uppgifter till en annan myndighet. 

Om ett kreditinstitut har fått ett i 4 § 1 mom. avsett tillstånd från Finansinspektionen att avvika från skyldigheten att administrera ett datasöksystem ska följande uppgifter införas i registret över bank- och betalkonton: fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datumet för när kundrelationen har börjat och upphört samt alla hos den juridiska personen som har rätt att använda kontot och sådana uppgifter om dem som ovan nämns för fysiska personer, fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för de verkliga förmånstagare som avses i 1 kap. 5–7 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism, i fråga om bank- och betalkonton IBAN-nummer eller något annat identifikationssignum samt datum för öppnande och avslutande av kontot, fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för den som hyr ett bankfack och den som har användningsrätt till det eller, om det är fråga om en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt identifieringsuppgifter om bankfacket och hyrestidens längd. 

Uppgifterna ska lämnas elektroniskt. Tullen kan meddela närmare föreskrifter om vilket elektroniskt förfarande som ska användas och på vilket sätt uppgifterna ska vara certifierade för att kunna lämnas. I lagen förutsätts att det i samband med gemensamma konton som förvaltas av en advokat uttryckligen ska antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. Uppgifter om gemensamma konton får inte lämnas ut till registret. 

Lagen om centralen för utredning av penningtvätt 

Lagen om centralen för utredning av penningtvätt innehåller bestämmelser om centralen för utredning av penningtvätt och om ett register för förhindrande, avslöjande och utredning av penningtvätt och av finansiering av terrorism. Lagen anknöt till genomförandet av det fjärde penningtvättsdirektivet med avseende på bestämmelserna om centralen för utredning av penningtvätt. Centralen för utredning av penningtvätt har enligt lagens 2 § till uppgift att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism och föra sådana ärenden till undersökning, ta emot och analysera rapporter enligt 4 kap. 1 § i lagen om förhindrade av penningtvätt och av finansiering av terrorism (444/2017) och ge återkoppling om verkningarna av dem, samarbeta med myndigheterna vid bekämpning av penningtvätt och finansiering av terrorism, samarbeta och utbyta information med sådana myndigheter i en främmande stat och internationella organisationer som har till uppgift att förhindra och utreda penningtvätt och finansiering av terrorism, samarbeta med rapporteringsskyldiga, föra statistik över antalet rapporter enligt 4 kap. 1 § i lagen om förhindrade av penningtvätt och av finansiering av terrorism och antalet avbrutna transaktioner enligt 5 § i det kapitlet, över antalet anmälningar om tvivelaktiga transaktioner som förts till undersökning och över gjorda, mottagna, avvisade och besvarade informationsförfrågningar, ta emot och behandla anmälningar enligt 3 § 2 mom. i lagen om frysning av tillgångar i syfte att bekämpa terrorism (325/2013), utreda grunderna för frysningsbeslut som avses i 4 § i den lagen och göra framställningar om frysningsbeslut. Dessutom har centralen för utredning av penningtvätt i uppgift att göra operativa och strategiska analyser av gärningssätt, fenomen, trender och metoder rörande penningtvätt samt finansiering av terrorism och det brott genom vilket den egendom eller den vinning har fåtts eller kan fås som är föremål för penningtvätt eller finansiering av terrorism.  

Enligt 4 § i lagen har centralen för utredning av penningtvätt, trots bestämmelserna om hemlighållande av uppgifter om affärs- och yrkeshemligheter eller uppgifter om en enskild persons, sammanslutnings eller stiftelses ekonomiska förhållanden, ekonomiska ställning eller beskattningsuppgifter, rätt att av myndigheter, av sammanslutningar som har ålagts en offentlig uppgift och av rapporteringsskyldiga avgiftsfritt få uppgifter och handlingar som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism. Beslut om inhämtande av sekretessbelagda uppgifter fattas av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt.  

Enligt 4 § 2 mom. har centralen för utredning av penningtvätt, trots tystnadsplikten för en medlem, en revisor, en verksamhetsgranskare, en styrelseledamot eller en anställd, på skriftlig begäran av en polisman som hör till befälet och arbetar vid centralen rätt att av en enskild sammanslutning, stiftelse eller person avgiftsfritt få uppgifter som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism. Uppgifterna får lämnas ut till centralen för utredning av penningtvätt som en datamängd eller i elektronisk form. 

3.2  Myndigheternas åtkomst till bank- och betalkontouppgifter och till övervakningssystemet för bank- och betalkonton

Finansinspektionen  

Finansinspektionen utövar tillsyn över att de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 1–8 och 8 a punkten i lagen om förhindrande av penningtvätt och av finansiering av terrorism följer den lagen och de bestämmelser och föreskrifter som utfärdats med stöd av den. Finansinspektionen utövar dessutom tillsyn över att de rapporteringsskyldiga som står under dess tillsyn följer Europaparlamentets och rådets förordning (EU) N:o 596/2014 av den 16 april 2014 om marknadsmissbruk (marknadsmissbruksförordning) och om upphävande av Europaparlamentets och rådets direktiv 2003/6/EG och kommissionens direktiv 2003/124/EG, 2003/125/EG och 2004/72/EG till den del som de tar emot eller gör överföringar av medel enligt den förordningen.  

I 18 § i lagen om Finansinspektionen (878/2008) föreskrivs det om rätten att få uppgifter av tillsynsobjekt och andra finansmarknadsaktörer. Tillsynsobjekt och andra finansmarknadsaktörer ska utan hinder av sekretessbestämmelserna och utan obefogat dröjsmål till Finansinspektionen lämna de för utförandet av dess lagstadgade uppdrag relevanta uppgifter och redogörelser som den ber om. Motsvarande skyldighet har den som i ett tillsynsobjekt eller en annan finansmarknadsaktör har bestämmande inflytande enligt 1 kap. 5 § i bokföringslagen (1336/1997) och den som tillsynsobjektet eller någon annan finansmarknadsaktör har bestämmande inflytande i. Uppgifterna i fråga har varit nödvändiga när det funnits behov av dem. Det har funnits behov av uppgifter bl.a. när begäranden om utredning har upprättats och handräckning getts.  

Vid Finansinspektionen inrättades våren 2019 en separat byrå för förhindrande av penningtvätt som uttryckligen har till uppgift att övervaka arbetet mot penningtvätt och finansiering av terrorism. Till följd av organisationsförändringen har nya tjänstemän rekryterats till Finansinspektionen för att övervaka arbetet mot penningtvätt. Vid utförandet av tjänstemännens tillsynsuppgifter har användningen av uppgifter om bank- och betalkonton en central ställning, och i vissa tillsynsuppgifter är användningen mycket omfattande. För att tillsynsuppgifter i dagsläget ska kunna utföras på ett högkvalitativt sätt är det nödvändigt att använda uppgifter om bank- och betalkonton. 

Finansinspektionen övervakar med stöd av 3 § i lagen om Finansinspektionen emissionen av och handeln med finansiella instrument. Med stöd av lagens 50 h § är Finansinspektionen den behöriga myndighet som avses i artikel 22 i marknadsmissbruksförordningen (MAR). MAR innehåller bestämmelser om marknadsmissbruk, dvs. insiderhandel, olagligt röjande av insiderinformation, marknadsmanipulation och offentliggörande av insiderinformation. Dessutom innehåller MAR skyldigheter för bl.a. personer i ledande ställning hos emittenterna och dem närstående personer samt marknadsoperatörer och värdepappersföretag. En av Finansinspektionens centrala uppgifter är att övervaka att bestämmelserna i MAR iakttas. Finansinspektionen utreder och undersöker bl.a. misstankar om missbruk av insiderinformation och marknadsmanipulation. Som en del av utredningen kan det vara nödvändigt att utreda bank- och betalkontouppgifterna för de aktörer som utredningen gäller. Detta gäller t.ex. situationer där man misstänker användning av bulvaner, flera aktörers samarbete (t.ex. insiderringar) eller döljande av ägande. Hittills har Finansinspektionen begärt dessa uppgifter genom en separat begäran med stöd av 18 eller 20 § i lagen om Finansinspektionen. Rätten att använda registret över bank- och betalkonton effektiviserar Finansinspektionens utredningsverksamhet. 

Finansinspektionens utredningar i anslutning till brottsmisstankar kan också gälla annat än insiderhandel och marknadsmanipulation enligt marknadsmissbruksförordningen (vilka nämns som allvarliga brott i bilagan till Europolförordningen). Finansinspektionen övervakar också t.ex. efterlevnaden av värdepappersmarknadslagen (746/2012). I värdepappersmarknadslagen föreskrivs bl.a. om anmälan av betydande ägar- och röstandelar, offentliga uppköpserbjudanden och skyldighet att lämna erbjudanden. För tillsynen över att dessa skyldigheter iakttas och för utredningen av eventuella relaterade brottsmisstankar kan Finansinspektionen behöva utreda bank- och betalkontouppgifter i situationer där det uppstår misstanke om t.ex. dolda innehav eller användning av bulvaner. Då kan det vara fråga om ett sådant informationsbrott som gäller värdepappersmarknaden som avses i 51 kap. 5 § i strafflagen. Gärningarna kan i vissa situationer också uppfylla t.ex. rekvisitet för bedrägeri. Ett motsvarande behov av att få bank- och betalkontouppgifter kan också ha samband med andra brottsmisstankar som framkommit vid utförandet av uppgifter enligt 3 § i lagen om Finansinspektionen.  

För närvarande gör Finansinspektionen bankförfrågningar per e-post och med hjälp av sina egna system eller system som den har tillgång till. Finansinspektionen använder krypterad e-post i sin e-postkommunikation med finansiella institut. Finansinspektionens egna system och informationssäkerheten i dem följer Europeiska Centralbanksystemets informationssäkerhetskrav. Informationssäkerheten i systemen testas dessutom av utomstående aktörer. I systemen beaktas också kraven i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan dataskyddsförordningen

När ett svar på en förfrågan kommer in behandlas det på samma sätt som förfrågningshandlingen i enlighet med Finlands Banks och Finansinspektionens interna regler för klassificering och hantering av handlingar. Hanteringsreglerna bygger på offentlighetslagen och lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen) och de innehåller förpliktande anvisningar om behandlingen av handlingar, behandlingssätten för handlingar och hur de inverkar på behandlingen. 

Tillsynen över behandlingen av bankkonto- och personuppgifter är för närvarande organiserad så att den är indelad i allmän tillsyn som utförs av cheferna och i laglighetsövervakning i efterhand. Dessutom loggas behandlingen av handlingarna, vilket möjliggör kontroll i efterhand. Exempel på andra tillsynsmetoder är åtkomsträttigheter till handlingar och arbetsmappar som fastställts utifrån arbetsuppgifterna. 

Även när det gäller behandlingen av handlingar med uppgifter ur övervakningssystemet för bank- och betalkonton och tillsynen över behandlingen har Finansinspektionen för avsikt att förfara på det sätt som beskrivs ovan. 

Lotteriförvaltningen vid Polisstyrelsen 

Lotteriförvaltningen vid Polisstyrelsen utövar med stöd av 7 kap. 1 § 2 punkten tillsyn över penningspelssammanslutningar (Veikkaus Ab) enligt 1 kap. 2 § 1 mom. 9 samt i 1 kap. 2 § 2 mom. avsedda näringsidkare och sammanslutningar som förmedlar deltagaravgifter och deltagaranmälningar för penningspel som tillhandahålls av sådana penningspelssammanslutningar som avses i 1 kap. 2 § 1 mom. 9 punkten.  

Tillsynsansvaret på Åland enligt penningtvättslagen har från och med den 1 juli 2018 överförts från Polisstyrelsen till Ålands myndigheter genom republikens presidents förordning om skötseln på Åland av vissa uppgifter enligt lagen om förhindrande av penningtvätt och av finansiering av terrorism (500/2018, nedan överenskommelseförordningen).  

Bestämmelser om tillsynen över anordnandet av lotterier finns i 8 kap. i lotterilagen (1047/2001). Anordnandet av lotterier övervakas för att garantera rättsskyddet för dem som deltar i lotterier, förhindra oegentligheter och brott samt minska de sociala problem och hälsoproblem som lotterier medför.  

Polisstyrelsen ansvarar för den riksomfattande tillsynen över anordnandet av lotterier och för statistikföringen som gäller lotteriverksamheten. Polisstyrelsen kan ge utlåtanden och meddela anvisningar om anordnandet av lotterier och tillsynen över anordnandet. Polisinrättningen övervakar lotterier som anordnas inom dess område. Vid tillsynen över anordnandet av penningspel ska elektroniska övervakningssystem användas vid behov. Närmare bestämmelser om elektroniska övervakningssystem för penningspel får utfärdas genom förordning av statsrådet.  

Enligt 44 § i lotterilagen har tillsynsmyndigheterna rätt att trots bestämmelserna om tystnadsplikt av Veikkaus Ab, av en sammanslutning eller en stiftelse som erhållit tillstånd att anordna lotterier och av dem som i praktiken anordnar varulotterier erhålla de upplysningar och handlingar som behövs för tillsynsuppgiften. Enligt 7 kap. 2 § 1 mom. i penningtvättslagen ska de rapporteringsskyldiga, utöver vad som föreskrivs någon annanstans i lag, trots sekretessbestämmelserna utan ogrundat dröjsmål avgiftsfritt på begäran lämna tillsynsmyndigheten och advokatföreningen sådana uppgifter och utredningar som är nödvändiga för skötseln av uppgifter som avses i denna lag eller i bestämmelser och föreskrifter som utfärdats med stöd av den.  

En näringsidkare och sammanslutning enligt 1 kap. 2 § 2 mom. i penningtvättslagen ska på begäran av Polisstyrelsen avgiftsfritt ge denna sådana uppgifter som är nödvändiga för tillsynen. Lotteriförvaltningen vid Polisstyrelsens utför för närvarande inte bankförfrågningar i samband med tillsynen enligt penningtvättslagen.  

Patent- och registerstyrelsen 

Patent- och registerstyrelsen (nedan PRS) övervakar att de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 11 punkten i penningtvättslagen följer den lagen och de bestämmelser och föreskrifter som utfärdats med stöd av den.  

Tillsynen gäller revisorer enligt revisionslagen (1141/2015) när de utför lagstadgad revision enligt 1 kap. 1 § 1 mom. i den lagen.  

Bankuppgifterna kommer indirekt till revisionstillsynen och stiftelsetillsynen vid PRS. Revisionstillsynen utövar tillsyn över revisorer vilken t.ex. gäller kassa och bank hos en revisors revisionsobjekt, såsom en sammanslutning, en stiftelse eller ett revisionsobjekt inom den offentliga förvaltningen och ekonomin, men även då utförs revisionen med hjälp av de kontouppgifter som innehas av revisorn eller revisionsobjektet.  

Revisionstillsynen vid PRS övervakar att revisorerna och revisionssammanslutningarna följer revisionslagen och god revisionssed och att revisorerna iakttar skyldigheterna enligt penningtvättslagen. Revisionsnämnden vid revisionstillsynen är självständig i sina avgöranden och kan påföra revisorer påföljder enligt revisionslagen och ordningsavgift för brott mot penningtvättslagen.  

Stiftelsetillsynen vid PRS övervakar att en stiftelses verksamhet bedrivs med iakttagande av stiftelselagen och bestämmelserna i stiftelsens stadgar. Även stiftelsetillsynen får bankuppgifter endast indirekt. Bankuppgifter har på begäran erhållits från stiftelser och andra myndigheter.  

Revisionstillsynen vid PRS har med stöd av 8 kap. 1 § i revisionslagen trots sekretessbestämmelserna rätt att av tillsynsobjekten utan obefogat dröjsmål få de upplysningar och redogörelser som revisionstillsynen begär och som behövs för tillsynen, öppet och sanningsenligt. Tillsynsobjektet ska också i övrigt bistå vid utredandet av ett tillsynsärende. Revisionstillsynen har rätt att av revisorn få alla de handlingar och övriga upptagningar som den anser behövliga för tillsynen, i en för tillsynen relevant form samt att avgiftsfritt få behövliga kopior av dessa. Rätten att få uppgifter gäller också en revisor i en sammanslutning eller stiftelse som är ett moderföretag, om det inte finns sådana hinder för att ge uppgifter om koncernrevisionen som föranleds av lagstiftningen i en annan stat eller något annat hinder som inte beror på revisorn. Revisorn ska visa att hindret existerar.  

Revisionstillsynen har även rätt att få uppgifter av andra personer. Enligt 8 kap. 2 § i revisionslagen har revisionstillsynen trots sekretessbestämmelserna rätt att av revisionsobjektet, dess moderbolag eller den som revisionsobjektet har bestämmande inflytande i, få alla sådana uppgifter som de har om revisorn eller revisionen och som revisionstillsynen behöver för att fullgöra sitt lagstadgade tillsynsuppdrag. Enligt 8 kap. 2 § 2 mom. i revisionslagen har revisionstillsynen trots sekretessbestämmelserna rätt att för en specificerad tillsynsåtgärd få nödvändiga uppgifter av andra än dem som avses ovan, om de av grundad anledning kan antas vara i besittning av sådana uppgifter.  

Revisionstillsynen och revisionsnämnden får påföra sanktioner oavsett om de har haft tillgång till bankuppgifter som erhållits genom direkta bankförfrågningar. 

Regionförvaltningsverket i Södra Finland 

Regionförvaltningsverket i Södra Finland utövar tillsyn över att rapporteringsskyldiga enligt 1 kap. 2 § 1 mom. 13–24 punkten i penningtvättslagen följer lagen och de bestämmelser och föreskrifter som har utfärdats med stöd av den, till den del de inte med stöd av 1 punkten står under Finansinspektionens tillsyn.  

Näringstillsynsenheten vid Regionförvaltningsverket i Södra Finland övervakar att de rapporteringsskyldiga som enligt penningtvättslagen står under enhetens tillsyn fullgör sina skyldigheter enligt lagen.  

Regionförvaltningsverket i Södra Finland påför de rapporteringsskyldiga som står under verkets tillsyn, samt på framställning av advokatföreningen dess medlemmar, administrativa påföljder för brott mot penningtvättslagen.  

För närvarande gör Regionförvaltningsverket i Södra Finland inga bankförfrågningar om konto- och transaktionsuppgifter som omfattas av banksekretessen, utan verket får uppgifterna om bankkonton indirekt, dvs. av tillsynsobjekten. 

Det huvudsakliga användningsändamålet för kontouppgifterna är att rikta tillsynen på basis av vilka av regionförvaltningsverkets tillsynsobjekt som har ett gemensamt konto. Ett behov av förfrågningar kan också uppstå genom annan normal tillsyn. Volymen är liten och uppgifterna behöver inte analyseras särskilt ingående. 

I regionförvaltningsverkets ärendehanteringssystem arkiveras alla de uppgifter som införts i det och där kan man kontrollera vem som har åtkomsträtt till uppgifterna. Tillgång till sekretessbelagda uppgifter har endast personer med åtkomsträtt. Regionförvaltningsverket kommer att genomföra behandlingen av uppgifter som gäller övervakningssystemet för bank- och betalkonton så att det för en eventuell begäran om information skapas ett nytt ärendediarium i regionförvaltningsverkets ärendehanteringssystem Uspa. 

Finlands Advokatförbund rf 

Advokatföreningen (Finlands Advokatförbund) utövar tillsyn över de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 12 punkten i penningtvättslagen.  

Systemet för tillsyn över advokaters yrkesutövning grundar sig på lagen om advokater. Advokatförbundets tillsyn omfattar förutom advokater även offentliga rättsbiträden och rättegångsbiträden med tillstånd. En advokats kund, en motpart, en myndighet eller någon annan missnöjd person kan kontakta den tillsynsnämnd som finns i samband med förbundet och anföra klagan över en advokat, ett offentligt rättsbiträde eller ett rättegångsbiträde med tillstånd.  

Till tillsynsnämndens uppgifter hör i första hand att utreda om en advokat, ett offentligt rättsbiträde eller ett rättegångsbiträde med tillstånd har följt anvisningarna om god advokatsed (gäller advokater och offentliga rättsbiträden) eller de lagstadgade yrkesetiska skyldigheter som motsvarar god advokatsed (gäller rättegångsbiträden med tillstånd). Tillsynsnämnden kan påföra en disciplinär påföljd för en eventuell förseelse.  

Dessutom utövar Advokatförbundets styrelse tillsyn över advokaterna genom att årligen utföra byrågranskningar, inspektioner enligt lagen om förhindrande av penningtvätt och av finansiering av terrorism samt skuldsättningsutredningar. I samband med skuldsättningsutredningar kan Advokatförbundets styrelse bestämma att en inspektion ska utföras vid advokatbyrån. I samband med den går man vid behov också igenom de gemensamma konton som förvaltas av advokaten och relaterad bokföring.  

Gemensamma konton som förvaltas av en advokat omfattas av advokatsekretessen och transaktionsuppgifter från kontona får inte lämnas ut via en teknisk anslutning och inte heller manuellt av någon annan än advokaten själv. Information om att advokaten förvaltar ett gemensamt konto och kontots identifieringsuppgifter, såsom IBAN-nummer, eller uppgifter om bankkonton i övrigt, är däremot inte sekretessbelagda uppgifter. Kontotransaktioner som innehåller uppgifter om advokatens huvudman eller motpart (namn och vad betalningen gäller) får alltså inte vidareutlämnas av någon annan än advokaten. Gemensamma konton som förvaltas av en advokat ska öronmärkas så att de tekniskt sett kan särskiljas från t.ex. advokatens personliga konton som inte omfattas av advokatsekretessen. Detta kräver tekniska åtgärder av banken.  

Enligt 6 § 1 mom. i lagen om advokater (496/1958) ska advokatföreningens styrelse se till att advokaterna när de uppträder inför domstol eller någon annan myndighet samt även i sin övriga verksamhet uppfyller sina förpliktelser.  

Enligt 7 kap. 1 § 2 mom. i penningtvättslagen utövar Advokatförbundet tillsyn över att advokater iakttar bestämmelserna i penningtvättslagen. Advokater ska kunna visa advokatföreningen att deras metoder för kundkontroll och fortlöpande övervakning är tillräckliga med avseende på risken för penningtvätt och finansiering av terrorism.  

Advokater är skyldiga att iaktta bestämmelserna i penningtvättslagen när de sköter uppdrag som avses i 1 kap. 2 § 12 punkten i penningtvättslagen. 

En advokat är skyldig att ge styrelsen de uppgifter som behövs för denna tillsyn. En advokat ska även tillåta en person som har förordnats av styrelsen att göra inspektioner i advokatens byrå, om styrelsen finner att det är nödvändigt för tillsynen, och då ska advokaten visa de handlingar som ska granskas vid inspektionen.  

Advokatförbundet har meddelat att det i detta skede inte tar i bruk registerförfrågningar, utan att uppgifterna vid behov fås direkt av advokaten.  

Centralen för utredning av penningtvätt 

Centralen för utredning av penningtvätt får uppgifter ur övervakningssystemet för bank- och betalkonton för utförandet av de uppgifter som avses i 2 § 1 mom. 1–4 och 7 punkten i lagen om centralen för utredning av penningtvätt. Användningen av bank- och betalkontouppgifter är nödvändig för att centralen för utredning av penningtvätt ska kunna utföra sina ovannämnda lagstadgade uppgifter.  

Enligt 4 § i lagen om centralen för utredning av penningtvätt har centralen, trots bestämmelserna om hemlighållande av uppgifter om affärshemligheter eller uppgifter om en enskild persons, sammanslutnings eller stiftelses ekonomiska förhållanden, ekonomiska ställning eller beskattningsuppgifter, rätt att av myndigheter, av sammanslutningar som har ålagts en offentlig uppgift och av rapporteringsskyldiga avgiftsfritt få uppgifter och handlingar som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism. Beslut om inhämtande av sekretessbelagda uppgifter fattas av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt.  

Trots tystnadsplikten för en medlem, en revisor, en verksamhetsgranskare, en styrelseledamot eller en anställd har centralen för utredning av penningtvätt på skriftlig begäran av en polisman som hör till befälet och arbetar vid centralen rätt att av en enskild sammanslutning, stiftelse eller person avgiftsfritt få uppgifter som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism.  

På grund av den centraliserade registerförfrågan kommer antalet bankförfrågningar från centralen för utredning av penningtvätt att öka. Ökningen beror på att förfrågningarna inriktas bättre och att den information som fås är av bättre kvalitet och lättare att analysera, något som ytterligare framhäver vikten av bankförfrågningar och att verksamheten sker i rätt tid. Spårning och återtagande av vinning av brott är en väsentlig del av straffansvaret. Centralen för utredning av penningtvätt ska efter sin inledande analys och utredning överlämna ärendet till en polisenhet eller någon annan förundersökningsmyndighet för eventuell brottsutredning.  

Centralen för utredning av penningtvätt har förut tagit på årsnivå emot cirka 60 000 anmälningar om penningtvätt, men mängden har ökat signifikant. En del av dessa anmälningar väljs ut för fortsatt utredning och årligen öppnas cirka 1 800 utredningar. I en utredning kan flera personer och bolag vara delaktiga, och var och en av dem kan i typiska fall ha samband med cirka 1–5 olika anmälningar om penningtvätt. Förfrågningar i övervakningssystemet för bank- och betalningsuppgifter ska göras i alla dessa fall.  

Laglighetsövervakningen avseende användningen av övervakningssystemet för bank- och betalkonton kommer att genomföras på motsvarande sätt som övervakningen av användningen av de övriga systemen vid centralen för utredning av penningtvätt. Användningen av systemen övervakas som en del av laglighetsövervakningen vid centralkriminalpolisens rättsenhet och underrättelseavdelning. Dessutom övervakar Polisstyrelsen och dataombudsmannen användningen av registren. För laglighetsövervakningen kan centralen för utredning av penningtvätt och polisens enheter, dvs. Polisstyrelsen och centralkriminalpolisen, begära logguppgifter av Tullen i enlighet med 7 § i lagen om ett övervakningssystem för bank- och betalkonton. Logguppgifterna hänför sig till uppföljningen och övervakningen av centralens egen verksamhet. Laglighetsövervakningen avseende användningen av övervakningssystemet för bank- och betalkonton kommer att genomföras bl.a. inom ramen för förvaltningen av åtkomsträttigheterna, dvs. att var och en som har åtkomsträttigheter har en egen användarkod med vilken den som gör en förfrågan kan identifieras. Dessutom kan förfrågningar endast göras på arbetsstationer som är kopplade till säkerhetsnätet (TUVE), som används av inrikesförvaltningen. För inloggning i arbetsstationerna krävs ett personligt smartkort och en pinkod. 

Utöver den normala kontrollen av åtkomsträttigheter finns det i 4 § i lagen om centralen för utredning av penningtvätt uttryckliga bestämmelser om inhämtande och utlämnande av uppgifter. Beslut om inhämtande av sekretessbelagda uppgifter fattas av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt. För närvarande finns det fyra personer på chefsnivå som har rätt att fatta beslut, då hela personalstyrkan är cirka 40 personer, och dessa personer ansvarar för lagligheten i de begäranden om information som skickas.  

För varje uppgiftsutlämnande i vilka sökta uppgifter kan ingå fattas ett separat beslut på motsvarande sätt. På motsvarande sätt som vid förfrågningar om uppgifter fattas beslut om vidareutlämnande av uppgifter av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt. Centralkriminalpolisens rättsenhet och underrättelseavdelning har en laglighetsövervakningsplan enligt vilken lagligheten i användningen av informationssystemen övervakas. För detta ansvarar separat avdelningens laglighetsövervakare och centralkriminalpolisens allmänna laglighetsövervakning i fråga om användning av registren. Dataombudsmannen säkerställer lagligheten genom de registrerades indirekta rätt till insyn i penningtvättsregistret, där också begäranden om information och utlämnanden av uppgifter sparas. 

Tullen  

Tullen ska enligt 2 § 1 mom. i lagen om Tullens organisation (960/2012) sköta tullklareringen och tullbeskattningen, tullövervakningen av varor som importeras och exporteras och av utlandstrafiken, förhindra och avslöja tullbrott samt sköta andra tullåtgärder och enligt vad som föreskrivs särskilt verkställa punktbeskattning, mervärdesbeskattning och annan beskattning och utföra skattekontroll och förundersökning av tullbrott. 

Tullen har inte med stöd av gällande lagstiftning behörighet att använda övervakningssystemet för bank- och betalkonton, eftersom Tullen inte har någon särskild rätt att få information för att fullgöra omsorgsplikten enligt 9 kap. 5 § i penningtvättslagen. Rätten att använda övervakningssystemet för bank- och betalkonton har för de myndigheter som avses i 3 § 1 mom. 3 punkten i lagen om övervakningssystemet (571/2019) begränsats till fullgörandet av omsorgsplikten. De myndigheter som avses i momentet, inklusive Tullen, har rätt att använda övervakningssystemet för att fullgöra denna omsorgsplikt, om det är nödvändigt för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism. En sådan särskild bestämmelse om rätt att få information finns inte i penningtvättslagen, eftersom omsorgsplikten handlar om att fästa uppmärksamhet vid bekämpning av penningtvätt och finansiering av terrorism och vid förmedling till centralen för utredning av penningtvätt av information som myndigheten har fått i samband med sin verksamhet och som är av betydelse för förhindrandet av penningtvätt och av finansiering av terrorism. På grund av principen om ändamålsbundenhet har myndigheterna enbart genom att hänvisa till omsorgsplikten inte rätt att få uppgifter med stöd av befogenheter som grundar sig på annan lagstiftning. Tullen är även förundersökningsmyndighet vid penningtvättsbrott när det är fråga om tullbrott. I lagen om ett övervakningssystem för bank- och betalkonton föreskrivs det inte att förundersökningsmyndigheter för penningtvätt har rätt att använda övervakningssystemet. 

I tullbeskattningen tar Tullen ut tullskatt och andra skatter och tulliknande avgifter på varor som importeras från länder utanför EU. Det handlar alltså om EU:s s.k. traditionella egna medel, som medlemsstaternas tullmyndigheter tar ut och sedan redovisar till EU. Tullen tar i samband med import av varor också ut mervärdesskatt på import av varor av privatimportörer samt punktskatter t.ex. när en tullskuld uppkommer på grund av att importbestämmelserna inte iakttas.  

Tullen har i beskattnings- och skattekontrolluppgifter rätt att begära kontouppgifter direkt av banker och andra motsvarande kreditinstitut med stöd av 102 § 2 mom. i tullagen (304/2016), enligt vilket den som innehar uppgifter som behövs för en annan persons tullbeskattning eller för ett ärende som gäller ändringssökande och som följer av tullbeskattning på uppmaning av Tullen ska lämna uppgifterna till Tullen inom utsatt tid. 

Inom Tullens skattekontroll görs förfrågningar om kontouppgifter främst i den kontrollverksamhet som utförs av Tullens företagsgranskning. Förfrågningar om kontouppgifter görs direkt hos bankerna och antalet varierar beroende på hurdana fall som granskas. Förfrågningar om kontotransaktioner har samband med kontrollen av riktigheten i tullbeskattningen och transaktionsuppgifterna begärs i allmänhet för hela granskningsperioden eller en viss del av den. Med hjälp av de kontoutdrag som erhållits genom förfrågningarna strävar man efter att utreda t.ex. tullvärdets riktighet, dvs. det pris som faktiskt betalats för varan samt betalarens och betalningsmottagarens uppgifter. Dessutom kan man med hjälp av förfrågningarna utreda företagets andra konton där det kan finnas kontotransaktioner om s.k. dolda affärer. Med hjälp av kontotransaktionerna kan man också jämföra bokföringens och tulldeklarationernas riktighet. 

När beskattningsbeslut upprättas görs det färre förfrågningar om kontouppgifter eftersom Tullens företagsgranskning, som svarar för skattekontrollen, i allmänhet gör behövliga utredningar innan ärendet överförs till Tullens beskattningsverksamhet t.ex. för upprättande av beslut om efteruppbörd. Det kan dock bli aktuellt med att begära kontouppgifter av bankerna t.ex. också när en begäran om omprövning av beskattningen behandlas. Då kan det vara nödvändigt att på basis av kontotransaktionsuppgifterna kontrollera t.ex. den köpesumma som faktiskt betalats för varorna.  

Tullens beskattningsverksamhet spelar en viktig roll i återvinningen av medel, särskilt när det gäller EU:s traditionella egna medel. Tullens beskattningsverksamhet tryggar också unionens ekonomiska intressen.  

Inom brottsbekämpningen är Tullen en förundersökningsmyndighet enligt förundersökningslagen (805/2011) och svarar för tullbrottsbekämpningen på det sätt som föreskrivs i lagen om brottsbekämpning inom Tullen (623/2015) och i annan lagstiftning. Tullbrott definieras i 1 kap. 2 § 1 punkten i lagen om brottsbekämpning inom Tullen. 

Med tullbrott avses  

a) brott som innebär överträdelse av en sådan bestämmelse i tullagen eller någon annan lag vars iakttagande Tullen ska övervaka eller som Tullen ska verkställa,  

b) mot tullman riktat hindrande av tjänsteman enligt 16 kap. 3 § och tredska mot tullman enligt 16 kap. 4 b § i strafflagen (39/1889),  

c) olaga befattningstagande med infört gods enligt 46 kap. 6 och 6 a § i strafflagen,  

d) sådant brott i vilket ingår import, export eller transitering genom Finland av egendom. 

Med stöd av 2 kap. 14 § 1 mom. i lagen om brottsbekämpning inom Tullen har Tullen, oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar, förvaltningsrådsmedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet, rätt att av en privat eller offentlig sammanslutning eller en enskild få information som behövs för förhindrande, avslöjande eller utredning av tullbrott.  

Tullens utredningsenhet utreder bl.a. narkotikabrott, läkemedelsbrott, skattebedrägerier, smugglingsbrott och andra brott som begåtts i samband med import. Skattebedrägerier har ofta samband med gärningar som skadar EU:s ekonomiska intressen, såsom undvikande av tullar eller antidumpningstullar, men Tullen utreder också brott som gäller punktbeskattningen. När tullbrott utreds begärs kontouppgifter vanligen på en standardiserad blankett där allt behövligt om de uppgifter som begärs och det brott som utreds antecknas. I samband med tullbrottsutredningar gjorde Tullen cirka 24 000 förfrågningar om kontouppgifter till kredit- och betalningsinstitut såväl 2017 som 2018. 

Tullen övervakar användningen av registren och lagligheten i behandlingen av personuppgifter i sin interna laglighetsövervakning. Tullens bevakningsavdelning utarbetar årligen en plan för laglighetskontroll som inkluderar objekt av olika slag. Kontrollerna kan gälla t.ex. Tullens användning av registren eller lagligheten i förfrågningarna om kontouppgifter. Vid kontrollerna fästs alltid särskild vikt vid att behandlingen av personuppgifter är lagenlig. Dessutom utför Tullen också s.k. ad hoc-kontroller som föranleds av någon yttre faktor eller händelse. En slutrapport om kontrollerna enligt den årliga planen för laglighetskontroll utarbetas och resultaten presenteras för ledningen för Tullens bevakningsavdelning. Om det upptäcks missförhållanden vid kontrollerna görs det upp åtgärdsrekommendationer och behövliga åtgärder vidtas. Slutrapporten sänds separat på begäran också till riksdagens justitieombudsman för kännedom. 

Tullens kontoregisterprojekt 

Övervakningssystemet för bank- och betalkonton består av ett bank- och betalkontoregister och ett datasöksystem. Tullen är personuppgiftsansvarig för bank- och betalkontoregistret och samordnar kontoregisterprojektet som fått en förlängning för tiden 5.5.2021–31.5.2022. Tullen har skapat ett kontoregister i vilket det införs uppgifter om kundrelationer, kundkonton och bankfack som förvaltas av betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor. Också kreditinstitut kan lämna ut uppgifter till kontoregistret med tillstånd av Finansinspektionen. Betalningsinstitut, institut för elektroniska pengar, kreditinstitut och tillhandahållare av virtuella valutor ska lämna de uppgifter som anges i lagen till kontoregistret via Tullens gränssnitt. 

Principen är att kreditinstituten administrerar datasöksystem med vilka behöriga myndigheter kan hämta uppgifter om kundrelationer, kundkonton och bankfack via kreditinstitutens sökgränssnitt. Också betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor kan om de så önskar bygga datasöksystem. Tullen meddelade den 21 oktober 2019 en föreskrift om datasöksystemens frågegränssnitt samt anvisningar för utförandet av gränssnittet. Varje kreditinstitut eller andra uppgiftslämnare som bygger ett datasöksystem tolkar föreskriften om gränssnittet och gränssnittsbeskrivningen samt skapar i enlighet med föreskriften ett datasöksystem som lämpar sig för deras egna system och arkitektur.  

De behöriga myndigheter som anges i lagen om ett övervakningssystem för bank- och betalkonton kan göra elektroniska förfrågningar i båda systemen. Över 95 procent av uppgifterna i övervakningssystemet för bank- och betalkonton kommer att finnas tillgängliga via datasöksystemen. 

Enligt Tullens uppgifter i augusti 2021 kommer sammanlagt 19 aktörer att lämna uppgifter enligt 5 och 6 § i lagen om ett övervakningssystem för bank- och betalkonton till registret över bank- och betalkonton, av vilka 15 är i drift och information fortfarande saknas om fyra. De stora kreditinstituten med verksamhet i Finland kommer att införa datasöksystemet för bank- och betalkonton, sju aktörer har testat datasökssystemen tekniskt och hos åtta aktörer pågick tester eller utredningar i augusti 2021. Den största delen av informationen i övervakningssystemet för bank- och betalkonton kommer enligt de uppgifter som finns nu att finnas i kredit- och betalningsinstitutens, instituten för elektroniska pengars och tillhandahållare av virtuella valutors datasöksystem. Leveransen av datasöksystemen har emellertid fördröjts och i augusti 2021 var inte ett enda datasöksystem i drift, men å andra sidan var inte heller ett enda system för utnyttjande av informationen i drift. 

Gränsbevakningsväsendet  

I lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019) föreskrivs det om Gränsbevakningsväsendets rätt att få uppgifter i 20 §, som gäller rätten att få uppgifter av privata sammanslutningar och personer. Trots att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företagshemlighet, bankhemlighet eller försäkringshemlighet, har Gränsbevakningsväsendet på begäran av en anhållningsberättigad tjänsteman rätt att få uppgifter för att förebygga, avslöja eller utreda brott som undersöks av Gränsbevakningsväsendet. Om ett viktigt allmänt eller enskilt intresse kräver det, har Gränsbevakningsväsendet samma rätt att få uppgifter för en utredning enligt 27 § i gränsbevakningslagen.  

Gränsbevakningsväsendet riktar årligen cirka 200–300 förfrågningar om kontoinnehavare och kontotransaktioner till banker eller betalningsinstitut. Förfrågningarna görs skriftligt, i huvudsak per e-post. Det uppskattade antalet förfrågningar gäller tiden före Covid-19-pandemin, eftersom brottsligheten 2020 och 2021 i samband med olaglig invandring minskade och ändrade form till följd av pandemin. Förfrågningarna har gjorts med stöd av 20 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019). 

Förfrågningarna anknyter huvudsakligen till kärnuppgiften i Gränsbevakningsväsendets brottsbekämpning, dvs. brottslighet i samband med olaglig invandring. Varje år gäller ett litet antal förfrågningar brottslighet i samband med penningtvätt, men de utgör klart en liten minoritet. Gränsbevakningsväsendet meddelar centralen för utredning av penningtvätt misstänkta transaktioner eller misstankar om finansiering av terrorism som framkommit i samband med skötseln av dess uppgifter.  

Penningtvättbrott hör i princip inte till Gränsbevakningsväsendets utredningsbehörighet. Gränsbevakningsväsendet får undantagsvis utreda penningtvättbrott endast på begäran av en annan förundersökningsmyndighet i enlighet med 5 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet, om penningtvättsbrottet hänför sig till en förundersökning som Gränsbevakningsväsendet har inlett och åtalet i ärendet kan handläggas vid domstol samtidigt som åtalet för ett brott som håller på att undersökas av Gränsbevakningsväsendet. 

Ett förbrott till penningtvättsbrott kan vara t.ex. grovt ordnande av olaglig inresa eller människohandel. I praktiken har Gränsbevakningsväsendet på denna grund undersökt endast ett fåtal enskilda och mindre penningtvättsbrott. Om det i Gränsbevakningsväsendets verksamhet upptäcks tecken på ett misstänkt penningtvättsbrott ska centralen för utredning av penningtvätt underrättas om saken och ärendet överföras till polisen för utredning.  

Skatteförvaltningen 

Skatteförvaltningens rätt att behandla uppgifter enligt lagen om ett övervakningssystem för bank- och betalkonton grundar sig på 3 §, enligt vilken de uppgifter som behandlas ska vara nödvändiga för Skatteförvaltningens fullgörande av sin omsorgsplikt enligt 9 kap. 5 § i penningtvättslagen.  

Skatteförvaltningens uppgift enligt 2 § i lagen om Skatteförvaltningen (503/2010) är att verkställa beskattningen, utöva skattekontroll, uppbära, driva in och redovisa skatter och avgifter samt bevaka skattetagarnas rätt. Skatteförvaltningen har inte någon uttrycklig tillsynsuppgift enligt penningtvättslagen. Skatteförvaltningen har enligt 9 kap. 5 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism en skyldighet att i sin verksamhet se till att uppmärksamhet riktas på förhindrande och avslöjande av penningtvätt och finansiering av terrorism och på att tvivelaktiga transaktioner och misstänkt finansiering av terrorism som uppdagas i samband med att de sköter sina uppgifter anmäls till centralen för utredning av penningtvätt. Skatteförvaltningen har i enlighet med 18 § 1 mom. i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter (1346/1999) rätt att underrätta centralen för utredning av penningtvätt, när det i samband med skattekontrollen har upptäckts tvivelaktiga affärstransaktioner eller när det kan misstänkas att medel som ingår i en affärstransaktion används till finansiering av terrorism eller till straffbart försök till detta. I 23 a § i lagen om beskattningsförfarande (1558/1995) föreskrivs om rapporteringsskyldigas skyldighet enligt 1 kap. 2 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism att för granskning lägga fram de uppgifter som de innehar och med stöd av vilka rapporterande finska finansinstitut har iakttagit de förpliktelser och de aktsamhetsprocedurer för identifiering av rapporteringspliktiga konton som avses i 17 a–17 d § i den lagen. Skatteförvaltningen har med stöd av 18 § 1 mom. 12 punkten i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter rätt att till Finansinspektionen och Patent- och registerstyrelsen lämna ut sådana uppgifter som har iakttagits under skattekontroll och som kan ha betydelse vid tillsynen över de skyldigheter i samband med kundkontroll som föreskrivs i lagen om förhindrande av penningtvätt och av finansiering av terrorism. 

För närvarande är det oklart hur förutsättningarna enligt 3 § i lagen om ett övervakningssystem för bank- och betalkonton ska tillämpas i förhållande till de uppdrag inom Skatteförvaltningen som hänför sig till omsorgsplikten enligt 9 kap. 5 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism. I 3 § i lagen om ett övervakningssystem för bank- och betalkonton föreskrivs att en förutsättning för användning av uppgifterna är att de är nödvändiga för fullgörandet av omsorgsplikten. I praktiken behövs uppgifterna i övervakningssystemet för bank- och betalkonton i Skatteförvaltningens arbete, och fullgörandet av omsorgsplikten i anslutning till förhindrande av penningtvätt sker i samband med Skatteförvaltningens arbete. Skatteförvaltningen har tills vidare inte ansett det nödvändigt att använda övervakningssystemet för bank- och betalkonton, utan skyldigheten att lämna ut uppgifter om bankkonton har fullgjorts med stöd av lagstiftningen om beskattningsförfarande.  

Skatteförvaltningen får för närvarande uppgifter om bank- och betalkonton med stöd av 19 § i lagen om beskattningsförfarande om utomståendes skyldighet att lämna uppgifter. 19 § i lagen om beskattningsförfarande kan tillämpas brett när det gäller olika skatteslag. I bestämmelserna om förfaranden som gäller för olika skatteslag hänvisas till tillämpningen av bestämmelserna om beskattningsförfarande. T.ex. enligt 30 § i lagen om beskattningsförfarandet beträffande skatter som betalas på eget initiativ (768/2016) tillämpas 19 § i lagen om beskattningsförfarande på utomståendes särskilda skyldighet att lämna uppgifter. Skatteförvaltningen kan också med stöd av 23 a § granska förfarandena kring kundkontrolluppgifter. I enlighet med 19 § i lagen om beskattningsförfarande ska var och en på uppmaning av Skatteförvaltningen, på basis av namn, bankkontonummer, kontotransaktion eller annan motsvarande identifikation lämna sådana uppgifter som kan behövas för beskattning av någon annan skattskyldig eller behandling av en ändringsansökan och som framgår av handlingar som han eller hon har i sin besittning eller annars känner till, om han eller hon inte enligt lag har rätt att vägra vittna i saken. Ingen får dock vägra lämna sådana uppgifter om någon annans ekonomiska ställning som inverkar på beskattningen. Skatteförvaltningen kan med stöd av detta sända förfrågningar om kontouppgifter till banker och betalningsinstitut. En förutsättning är att kontouppgifterna kan behövas för behandlingen av ett skatteärende. Uppgifterna ska lämnas i enlighet med 22 § 4 mom. trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av uppgifter. Skatteförvaltningen kan också med stöd av 5 § bestämma att uppgifterna ska lämnas med hjälp av elektronisk dataöverföring. 

Behovet av kontouppgifter bedöms och övervägs inom Skatteförvaltningen från fall till fall och under tjänsteansvar. I praktiken behövs kontoförfrågningar i bekämpningen av grå ekonomi vid utredning av skattebedrägerier, som ofta har samband med andra ekonomiska brott. Inom Skatteförvaltningen har särskilt den personal som är specialiserad på bekämpning av grå ekonomi förutsättningar att i samband med skattekontrollen upptäcka även andra ekonomiska brott, såsom korruption, penningtvätt eller missbruk av sociala förmåner. Sådana iakttagelser rapporteras till tillsynsmyndigheten.  

Skatteförvaltningen gör för närvarande cirka 25 000 förfrågningar om kontouppgifter som gäller fysiska personer och sammanslutningar per år. Skatteförvaltningen har i princip ingen kännedom om den skattskyldiges bankkontouppgifter, varför förfrågan i allmänhet skickas till alla banker. Åtkomsträtten till övervakningssystemet för bank- och betalkonton effektiviserar och påskyndar således det nuvarande förfarandet i och med att onödiga förfrågningar inte längre behöver skickas. Beviljandet av åtkomsträtt till övervakningssystemet ökar eller utvidgar inte Skatteförvaltningens rätt att få bankkontouppgifter, utan den föreslagna ändringen minskar den administrativa bördan genom att effektivisera den nuvarande verksamheten och göra den smidigare. Antalet förfrågningar kan öka i framtiden, om nya aktörer kommer in på den finska finansmarknaden. 

Kontouppgifter som behandlas för beskattningen är sekretessbelagda inom Skatteförvaltningen på det sätt som föreskrivs i 1 och 4 § i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter. Med dessa uppgifter avses för närvarande uppgifter som Skatteförvaltningen fått direkt från banken med stöd av 19 § i lagen om beskattningsförfarande. Uppgifter som kan kopplas till en fysisk person är också sådana personuppgifter som avses i den allmänna dataskyddsförordningen (EU) 2016/679. Skatteförvaltningen behandlar uppgifter vid fullgörandet av sitt uppdrag enligt 2 § i lagen om Skatteförvaltningen. De tjänstemän som behandlar uppgifterna handlar under tjänsteansvar. Direktivet om finansiell information förutsätter bl.a. sådan loggföring i informationssystemet att grunden för behörigheten att söka information kan utredas på ett tillförlitligt sätt i efterhand. Tillsynen över lagligheten och ändamålsenligheten i behandlingen av personuppgifter i Skatteförvaltningens verksamhet är exakt. Kontoförfrågningar ska alltid ha samband med de angivna åtgärderna och all behandling ska kunna verifieras i efterhand. Skatteförvaltningen övervakar behandlingen av uppgifterna bl.a. genom förfaranden för granskning av logguppgifter.  

Bank- och betalkontouppgifter som behandlas för beskattningen skyddas genom samma skyddsförfaranden som övriga beskattningsuppgifter. Skatteförvaltningen har de skyldigheter som anges i 4 kap. i informationshanteringslagen och i avsnitt 2 i den allmänna dataskyddsförordningen att sörja för informationssäkerheten i fråga om de uppgifter som den behandlar.  

Inom Skatteförvaltningen behandlas uppgifter om bank- och betalkonton endast av de tjänstemän till vars arbetsuppgifter behandlingen av uppgifterna hör. Till denna del styrs och övervakas behandlingen av uppgifter i enlighet med principerna för behörighetshantering (VH/5995/00.01.02/2019). I principerna beskrivs riktlinjer och principer, hantering av användarrättigheter, tillsyn, spårbarhet och rapportering samt lagring av uppgifter.  

Efterhandstillsynen över behandlingen av uppgifter baserar sig på Skatteförvaltningens principer för teknisk övervakning och logghantering (VH/799/09.09.00/2019). I principerna beskrivs rollerna och ansvarsfördelningen i den tekniska övervakningen och logghanteringen. Dessutom behandlas principer och mål, insamling och förvaring av logguppgifter, logghantering och tillsyn, utlämnande av uppgifter samt behandling av och följder av missbruk. 

I praktiken görs förfrågningar om bank- och betalkontouppgifter för närvarande i informationssystemet för beskattning. En förutsättning för att en förfrågan ska kunna göras är att ett skatteärende är anhängigt och att förfrågningar inte får göras på något annat sätt. I arbetsföreskrifterna anges de tjänstemän som har rätt att göra förfrågningar.  

Utsökningsverket  

Bestämmelser om utmätningsmannens rätt att få uppgifter finns i utsökningsbalken och i förordningen om utsökningsförfarandet. I författningarna föreskrivs inte om någon särskild rätt att få uppgifter för att fullgöra omsorgsplikten enligt 9 kap. 5 § i penningtvättslagen. Utsökningsmyndigheterna kan för närvarande inte använda övervakningssystemet för bank- och betalkonton för det ändamål som anges i lagen, eftersom speciallagstiftningen inte ger dem sådan rätt att få uppgifter som berättigar till användning av systemet.  

Utsökningsmyndigheterna har dock i enlighet med bestämmelserna i utsökningsbalken rätt att på annat sätt få exakt samma uppgifter som finns tillgängliga via övervakningssystemet för bank- och betalkonton. Utmätningsmännen har omfattande rätt att få uppgifter i enlighet med bestämmelserna i utsökningsbalken. Alla bankförfrågningar eller andra förfrågningar som gäller gäldenärer görs dock efter den ansvarige utmätningsmannens prövning, om uppgifterna bedöms vara nödvändiga för verkställigheten. I informationssystemet Uljas behandlas de svar på bankförfrågningar som för närvarande kommer till utsökningsmyndigheterna via gränssnitten, och också de uppgifter som fås från övervakningssystemet för bank- och betalkonton kommer enligt förslaget att behandlas i samma system. Endast gäldenärens ansvariga utmätningsman och dennes chef samt de tjänstemän inom specialverkställigheten inom specialindrivningen som arbetar med bekämpning av grå ekonomi ser innehållet i de svar på bankförfrågningar som kommit in i informationssystemet. 

Laglighetsövervakningen genomförs i huvudsak av rättsliga enheten vid Utsökningsverkets centralförvaltning inom ramen för behandlingen av klagomål. Dessutom utförs vid Utsökningsverket systematisk intern laglighetsövervakning av verksamheten. För närvarande är det i huvudsak dataskyddsombudets uppgift att övervaka logguppgifterna. Det kan också göras stickprovskontroller av logguppgifter i samband med den interna revisionen. Processen för kontroll av logguppgifter utvecklas för närvarande i syfte att effektivisera den.  

På all behandling av personuppgifter vid Utsökningsverket tillämpas EU:s allmänna dataskyddsförordning och den nationella lagstiftning som kompletterar den. Vid Utsökningsverket behandlas personuppgifter omsorgsfullt och med beaktande av den registrerades rättigheter. Personuppgifter behandlas för utförande av de lagstadgade uppgifter som hör till utsökningsmyndigheterna. 

Konkursombudsmannen  

Konkursombudsmannen har till uppgift att vid behov sörja för att gäldenärens räkenskaper och verksamhet granskas och vidta nödvändiga åtgärder då konkursombudsmannen har fått kännedom om försummelser eller missbruk eller andra omständigheter som kräver rättelse.  

Konkursombudsmannen har inte någon särskild rätt att få uppgifter för att fullgöra omsorgsplikten enligt 9 kap. 5 § i penningtvättslagen. Utan den planerade utvidgningen av tillämpningsområdet för lagen om ett övervakningssystem för bank- och betalkonton kan konkursombudsmannen inte använda systemet.  

Enligt 4 § 1 mom. i lagen om övervakning av förvaltningen av konkursbon har konkursombudsmannen rätt att granska konkursboets handlingar och andra upptagningar som gäller gäldenären eller konkursboet och som konkursombudsmannen anser vara behövliga för utförandet av uppdraget.  

Enligt lagens 4 § 2 mom. har konkursombudsmannen trots sekretessbestämmelserna samma rätt som gäldenären eller konkursboet att få uppgifter om gäldenärens eller konkursboets verksamhet och ekonomiska situation samt uppgifter om gäldenärens eller konkursboets bankkonton och betalningsrörelse samt om avtal och förbindelser som gäller finansieringen. Informationen ska ges avgiftsfritt.  

Enligt lagens 5 § 1 mom. kan konkursombudsmannen förordna en eller flera inspektörer att utföra särskild granskning av gäldenärens eller konkursboets förvaltning, räkenskaper eller verksamhet. Inspektörerna har de rättigheter som anges i 4 § 1 mom.  

Uppgifter om bank- och betalkonton som gäller gäldenärer som försatts i konkurs eller konkursbon är nödvändiga för att konkursombudsmannen ska kunna sköta sina lagstadgade uppgifter. 

Försvarsmakten 

Bestämmelser om Försvarsmaktens behörighet att få tillgång till uppgifter om bank- och betalkonton finns i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) och i lagen om militär underrättelseverksamhet (590/2019). 

I lagen om militär disciplin och brottsbekämpning inom försvarsmakten föreskrivs om brottsbekämpning inom försvarsmakten, vilken omfattar förebyggande och avslöjande av brott samt utredning av sådana brott som omfattas av ett militärdisciplinförfarande. I lagen föreskrivs dessutom om förfarandet i ett militärdisciplinärende, om de påföljder som påförs i det samt om inledandet av ett militärrättegångsförfarande. 

På brottsbekämpningen inom försvarsmakten tillämpas bestämmelserna om förebyggande, avslöjande och utredning av brott i polislagen, förundersökningslagen och tvångsmedelslagen (806/2011) samt i annan lagstiftning, om inget annat följer av det som föreskrivs nedan. Bankförfrågningar har använts vid utredning av egendoms- och bedrägeribrott med stöd av den rätt som föreskrivs i 4 kap. 3 § 1 mom. i polislagen.  

Syftet med militär underrättelseverksamhet är att till stöd för den högsta statsledningens beslutsfattande inhämta och behandla information om militär verksamhet som riktar sig mot Finland eller som är av betydelse med tanke på Finlands säkerhetsmiljö eller om någon annan verksamhet som allvarligt hotar det finska försvaret eller som äventyrar samhällets vitala funktioner. I 104 § i lagen om militär underrättelseverksamhet föreskrivs att militärunderrättelsemyndigheten trots företags-, bank- eller försäkringshemlighet har rätt att av privata sammanslutningar få sådana uppgifter som i enskilda fall kan antas behövas t.ex. för utredning av den ekonomiska verksamheten hos den som är föremål för underrättelseinhämtning (personer/juridiska personer). Paragrafen motsvarar till sitt syfte i hög grad den behörighet som föreskrivs i 4 kap. 3 § i polislagen, men syftet med begäran om uppgifter är dock inte att förhindra eller utreda brott utan den hänför sig till föremålet för militär underrättelseinhämtning.  

I anslutning till försvarsmaktens brottsbekämpning har det gjorts cirka 10 bankförfrågningar per år. Det finns inga uppgifter om hur många förfrågningar som gjorts med stöd av lagen om militär underrättelseverksamhet, som trädde i kraft i juni 2019.  

Polisen 

Enligt 4 kap. 3 § i polislagen har polisen oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet på begäran av en polisman som hör till befälet rätt att få information som behövs för att förhindra eller utreda brott. Om ett viktigt allmänt eller enskilt intresse kräver det har polisen samma rätt att få information som behövs vid polisundersökning enligt 6 kap. Polisens rätt att få uppgifter har begränsats genom polislagen och i praktiken fattas beslutet om inhämtande av uppgifter av en polisman som hör till befälet separat i varje enskilt fall, varvid också besluten fattas på tillräckligt hög nivå. I praktiken fattas ett separat beslut om inhämtande av uppgifter och en separat begäran görs. 

Det bör noteras att polisens behörighet inte är begränsad till situationer enligt penningtvättslagen, utan behovet av att få och använda uppgifter inbegriper alla brottstyper. 

I den nya lagen om penninginsamlingar (863/2019), som trädde i kraft den 1 mars 2020, föreskrivs det att lagen också ska tillämpas på penninginsamlingar vars syfte antingen delvis eller helt är att samla in virtuell valuta. I regeringens proposition med förslag till lag om penninginsamlingar föreslogs det att Polisstyrelsen och polisenheter som lyder under Polisstyrelsen ska ha rätt att ur övervakningssystemet för bank- och betalkonton få uppgifter t.ex. om anordnaren av penninginsamlingen över huvud taget har anlitat en växlingstjänst för virtuell valuta. Enligt propositionen kan ur övervakningssystemet för bank- och betalkonton till myndigheten utlämnas också insamlingsanordnarens bankkontonummer, dit insamlingsanordnarens virtuella valuta har överförts via växlingstjänsten. Enligt propositionen var det viktigt att i lagen om ett övervakningssystem för bank- och betalkonton ta in bestämmelser om informationssökning för utförande av det tillsynsuppdrag i anslutning till penninginsamlingar som avses i lagen om penninginsamlingar, eftersom tillsynen över insamlingar av virtuella valutor i huvudsak baserar sig på ovannämnda uppgifter. Utan bestämmelser som möjliggör informationssökning är det i praktiken nästan omöjligt att övervaka insamlingar av virtuella valutor.  

När det gäller reformen av lagen om penninginsamlingar är det viktigt att notera att organisationer utan vinstsyfte inte har beaktats i penningtvättslagen och att det därför inte finns någon utsedd tillsynsmyndighet för penningtvätt och finansiering av terrorism. Tillsynen över den icke-vinstdrivande sektorn sker i dessa frågor eventuellt vid sidan av den övriga tillsynen av olika aktörer.  

I penningtvättslagen anges de myndigheter som utövar tillsyn över att lagen följs. Rätten för Polisstyrelsen och de polisenheter som lyder under den att använda övervakningssystemet för bank- och betalkonton är ett sätt att öka övervakningen av penningtvätt och finansiering av terrorism.  

Skyddspolisen 

Bestämmelser om Skyddspolisens uppgifter finns i polisförvaltningslagen (110/1992). Enligt lagens 10 § har skyddspolisen till uppgift att i enlighet med inrikesministeriets styrning inhämta information för att skydda den nationella säkerheten samt upptäcka, förhindra och avslöja sådan verksamhet, sådana förehavanden och sådana brott som kan hota statsskicket och samhällsordningen eller rikets inre eller yttre säkerhet. Skyddspolisen ska även upprätthålla och utveckla en allmän beredskap för att upptäcka och förhindra verksamhet som hotar samhällets säkerhet. 

Skyddspolisens uppdrag är uppdelat i två delar. För det första har skyddspolisen till uppgift att förhindra och avslöja brott som är straffbara enligt 12, 13 och 34 a kap. i strafflagen. Lagens 12 kap. gäller landsförräderibrott, 13 kap. högförräderibrott och 34 a kap. terroristbrott. Således hör t.ex. förhindrande av finansiering av terrorism till skyddspolisens behörighet. 

För det andra har skyddspolisen till uppgift att skydda den nationella säkerheten, dvs. utföra civil underrättelseinhämtning. Bestämmelser om de hot som kan bli föremål för civil underrättelseinhämtning finns i 5 a kap. 3 § i polislagen. Föremål för civil underrättelseinhämtning kan vara bl.a. terrorism, utländsk underrättelseverksamhet, massförstörelsevapen, verksamhet som hotar samhällets vitala funktioner och sådan främmande statsverksamhet som kan skada Finlands viktiga intressen. Inhämtande av uppgifter om finansiering av terrorism hör således till skyddspolisens uppdrag också när den utför civil underrättelseinhämtning. 

Skyddspolisens rätt att trots sekretessbestämmelserna få uppgifter av privata aktörer för att förhindra brott anges i 4 kap. 3 § 1 mom. i polislagen, där det sägs att polisen oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet på begäran av en polisman som hör till befälet har rätt att få information som behövs för förhindrande eller utredning av brott. Den rätt att få uppgifter som avses i bestämmelsen gäller därmed bl.a. uppgifter som omfattas av banksekretessen och andra uppgifter som gäller finansiella instituts kundrelationer. Bestämmelser om den rätt att få uppgifter av privata sammanslutningar som ska tillämpas på skyddspolisens uppdrag inom civil underrättelseinhämtning finns i 5 a kap. 50 § i polislagen. Också 5 a kap. 50 § i polislagen omfattar i och med sitt uttryckliga omnämnande kunduppgifter som omfattas av banksekretessen och som hänför sig till annan finansverksamhet. Huruvida rätten att få uppgifter enligt 4 kap. 3 § eller 5 a kap. 50 § i polislagen ska tillämpas bestäms enbart på grundval av om uppgifterna behövs för förhindrande av brott eller för utförande av ett uppdrag inom civil underrättelseinhämtning. 

Digitalisering av polisens bankförfrågningar 

Syftet med projektet för att digitalisera polisens bankförfrågningar är att skapa en enhetlig och datasäker elektronisk plattform för bankförfrågningar för polisen. Bygget av ett digitalt bankförfrågningssystem för polisen grundar sig på ett tidigare samarbete mellan myndigheterna och Finanssiala ry om att digitalisera bankförfrågningarna. I det sammanhanget skapades en internationell standard för det gränssnitt som ska användas. Gränssnittsbygget baserar sig på ömsesidig frivillighet. Polisens projekt inleddes 2017 och hittills har det byggts tre separata system vid centralkriminalpolisen som tillsammans bildar det samlade bankförfrågningssystemet.  

De egentliga bankförfrågningarna hos polisen görs via systemet Sapatti. Förfrågningarna förmedlas tillsvidare till bankerna med e-post. Systemet pilottestas för närvarande hos centralkriminalpolisen. Den riksomfattande användningen inleds under 2021 då polisens övriga enheter ansluter sig. Avsikten är att Gränsbevakningsväsendet och skyddspolisen ska komma med från början av 2022.  

För svaren från bankerna har det skapats två system, de är ett automationsgränssnitt (systemet Patti) och en funktion av typ Dropbox (systemet Supi). Det är också möjligt med en hybridmodell av dessa två. Systemen testas som bäst och meningen är att pilotanvändningen ska inledas under sommaren eller hösten 2021. Det riksomfattande ibruktagandet är planerat till slutet av 2021 eller början av 2022. 

Polisens digitala bankförfrågningssystem skiljer sig från övervakningssystemet för bank- och betalkonton såtillvida att det förutom om ägare eller kontoinnehavare går att göra förfrågningar om och få svar på alla övriga bankuppgifter också, som t.ex. kontotransaktioner, krediter och egendomsförvar. 

Som ett led i detta projekt har centralen för utredning av penningtvätt getts åtkomst till kontoregistret i övervakningssystemet för bank- och betalkonton. I det senare utnyttjas ett delsystem i polisens system för elektroniska bankförfrågningar. För polisens egna elektroniska bankförfrågningar har det byggts upp tre olika system. I det första systemet görs själva förfrågningarna och via de två sistnämnda skickar bankerna svar till slutanvändarna. Utöver dessa två sätt kan bankerna välja också e-post som ett sätt att ta emot eller leverera uppgifterna. Polisens system håller för närvarande på att tas i bruk. Avsikten är att användningen för polisens del ska bli riksomfattande.  

När det gäller kontoregistret har det för utnyttjandet av polisens system för elektroniska bankförfrågningar fastställts och byggts ett gränssnitt från det system som centralen för utredning av penningtvätt förvaltar till polisens system. Förfrågningar från centralen för utredning av penningtvätt styrs via polisens elektroniska datasöksystem till kontoregistret eller direkt till kreditinstitutet. De svar som kontoregistret och bankerna producerar skickas via datasöksystemet till centralen för utredning av penningtvätt. 

3.3  Myndigheter som ansvarar för förebyggande, utredning och åtalsprövning av brott

Behöriga myndigheter i Finland när det gäller förebyggande, utredning och åtalsprövning av brott är polisen inklusive skyddspolisen, Tullen, Gränsbevakningsväsendet, åklagarna och i vissa fall Försvarsmakten och Brottspåföljdsmyndigheten.  

Definitionen av förhindrande av brott infördes i 5 kap. 1 § 2 mom. i polislagen vid den helhetsreform som trädde i kraft vid ingången av 2014. Med förhindrande av brott avses åtgärder som syftar till att förhindra brott, försök till brott och förberedelse till brott, när det utifrån iakttagelser av en persons verksamhet eller utifrån annan information om en persons verksamhet finns grundad anledning att anta att personen i fråga kommer att göra sig skyldig till brott, samt åtgärder som syftar till att avbryta ett redan påbörjat brott eller begränsa den direkta skada eller fara som brottet medför. Det är fråga om förhindrande av brott när gärningen skulle kunna förhindras innan en verkställighetsåtgärd enligt rekvisitet har vidtagits (RP 224/2010 rd, s. 92). 

Det förebyggande av brott som avses i 1 kap. 1 § i polislagen är dock som begrepp mer vidsträckt än förhindrande av brott. Förebyggande av brott anknyter också till överbegreppet brottsbekämpning, som täcker avslöjande och utredning av brott och förande av brott till åtalsprövning, men också till sådana egenskaper som säkerhet och säkerhetskänsla. I förarbetena till polislagen konstateras på allmän nivå att åtgärder i anslutning till brott anses hänföra sig till tryggandet av rätts- och samhällsordningen som överbegrepp (RP 224/2010 rd, s. 73). Förebyggande av brott är en del av polisens förebyggande verksamhet som man strävar efter att på ett heltäckande sätt genomföra i all polisverksamhet. Därmed har begreppet ett nära samband också med upprätthållandet av allmän ordning och säkerhet. 

Enligt motiveringen till den polislag som trädde i kraft 1995 är brottsbekämpningen en på polisen ankommande helhetsbetonad verksamhet där det inte är möjligt att skilja mellan förebyggande åtgärder och åtgärder för utredning av brott (RP 57/1994 rd, s. 64). I kommentaren betonas komplexiteten för och den stora omfattningen av polisens verksamhetsfält. Syftet med brottsförebyggande verksamhet är i första hand preventivitet, där man påverkar potentiella gärningsmän redan innan brottet har skett. Verksamhetsmodellen Ankkuri, som polisen genomför som myndighetssamarbete, är ett exempel på sådant säkerhetsarbete i ett tidigt skede. 

I anknytning till ramen för brottsbekämpning delar rådet för brottsförebyggande in förebyggande av brott i två kategorier; socialt förebyggande och situationell prevention. Vid socialt förebyggande är strävan att påverka människornas självkontroll och förbindande till ett normalt samhälle, bl.a. genom åtgärder till ungdomar som riskerar att bli marginaliserade eller återfallsförbrytare. I den situationella preventionen ingår att öka ansträngningen som krävs för att genomföra ett brott, öka risken för den som har för avsikt att begå brott och minska belöningen för den som begår brott. (Rådet för brottsförebyggande, 2013). Inom båda dessa dimensioner har polisen sin egen roll tillsammans med andra myndigheter. Brottsförebyggande brottsanalyser kräver kunskap som grund. Identifiering av olika hot redan på grund av svaga signaler och eventuellt genom sammanställning av information från olika källor förbättrar polisverksamhetens effektivitet samt polisens möjligheter att bekämpa brott och brottslighet i ett så tidigt skede som möjligt. Före brottets förhindrande känner man inte alltid till det exakta brottsrekvisitet eller den exakta brottsrubriceringen. Det kan vara fråga om att polisen fått information om att en person är skuldsatt och planerar att begå ett egendomsbrott. Som ett annat exempel kan nämnas en situation där en person frigetts från fängelset efter att ha avtjänat ett långt straff för våldsbrott. Enligt de kriminalunderrättelser som polisen har fått är personens beteende fortfarande våldsamt, i synnerhet i samband med bruk av rusmedel. Det finns skäl att anta att personen i framtiden kommer att göra sig skyldig till ett våldsbrott, men någon närmare brottsrubricering kan inte anges. Behandling av sådan information gör det möjligt att göra en bedömning av nivån på det antagna hotet samt om eventuella åtgärder ska inledas. Åtgärderna kan inbegripa bl.a. strävan att bryta missbruksspiralen samt olika stödåtgärder i samarbete med andra myndigheter och aktörer såsom organisationer. 

Enligt 1 kap. 1 § i polislagen är polisens uppgift att trygga rätts- och samhällsordningen, skydda den nationella säkerheten, upprätthålla allmän ordning och säkerhet samt att förebygga, avslöja och utreda brott och föra brott till åtalsprövning. I syfte att upprätthålla säkerheten samarbetar polisen med övriga myndigheter och sammanslutningar och invånare och sköter det internationella samarbete som deras uppgifter omfattar. Polisen ska dessutom sköta uppgifter i samband med tillståndsförvaltningen och andra uppgifter som uttryckligen föreskrivs i lag samt inom ramen för sina uppgifter ge var och en den hjälp som han eller hon behöver. Om det finns grundad anledning att anta att en person har försvunnit eller råkat ut för en olycka ska polisen vidta de åtgärder som behövs för att finna personen. I förundersökningslagen (805/2011) föreskrivs om förundersökning av brott och i tvångsmedelslagen (806/2011) om tvångsmedel i samband med förundersökning av brott.  

Enligt 1 § i lagen om brottsbekämpning inom Tullen tillämpas lagen på sådana åtgärder för att förhindra, avslöja och utreda tullbrott och väcka åtal mot misstänkta för tullbrott som hör till Tullens uppgifter. Till den del inte något annat föreskrivs i lagen iakttas vid utredningen av ett tullbrottmål vad som i förundersökningslagen och tvångsmedelslagen samt någon annanstans i lag föreskrivs om förundersökning och tvångsmedel.  

Enligt 1 § i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018) tillämpas lagen på till Gränsbevakningsväsendets uppgifter hörande åtgärder för förhindrande, avslöjande, utredning och överlämnande för åtalsprövning av brott. Om inte något annat föreskrivs i lagen, ska vid sådan förundersökning av brottmål som hör till Gränsbevakningsväsendets uppgifter iakttas vad som i förundersökningslagen och tvångsmedelslagen samt någon annanstans i lag föreskrivs om förundersökning och tvångsmedel. 

Brottspåföljdsmyndighetens uppgift är att upprätthålla fängelsesäkerheten och förhindra kriminalitet under fängelsetiden. I den gällande fängelselagen (765/2005) ges Brottspåföljdsmyndigheten behörighet när det gäller förhindrande av brott. För att garantera anstaltssäkerheten ska det i Brottspåföljdsmyndighetens verksamhet för en bedömning av en händelse som upptäckts i fängelset eller annars kommit till kännedom och som äventyrar fängelsesäkerheten, eller för en bedömning av en eventuell brottslig verksamhet utredas vad som ska anses ha inträffat i ärendet, på vems initiativ och hur det är skäl att gå vidare i ärendet. 

Med utredning av ett brott avses de åtgärder som vidtas efter att den tröskel för förundersökning som avses i 3 kap. 3 § 1 mom. har överskridits. Enligt 2 kap. 1 § i förundersökningslagen görs förundersökningen av polisen. Förundersökningsmyndigheter är förutom polisen även gränsbevaknings-, tull- och militärmyndigheterna. I och med att underrättelselagarna trädde i kraft slopades skyddspolisens förundersökningsbefogenheter. Bestämmelser om dessa finns i lagen om brottsbekämpning inom Gränsbevakningsväsendet, lagen om brottsbekämpning inom Tullen och lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Förutom förundersökningsmyndigheterna deltar även åklagaren i förundersökning. I den lagstiftning som gäller Tullen och Gränsbevakningsväsendet har utredning av brott definierats som förundersökning, i den lagstiftning som gäller försvarsmakten hänvisas till förundersökningslagen. Utredning av ett brott har därmed i lagstiftningen definierats som en del av förundersökningen av ett brott.  

Brottspåföljdsmyndigheten hade tidigare enligt lag behörighet att använda vissa befogenheter också vid utredning av brott, men lagen har ändrats genom en lag som trädde i kraft 1.5.2021. Brottspåföljdsmyndighetens behörighet att utreda brott har slopats, eftersom utredningen av brott uteslutande hör till förundersökningsmyndigheterna. Brottspåföljdsmyndighetens behörighet när det gäller förhindrande av brott kvarstår.  

Försvarsmaktens brottsbekämpning omfattar enligt lagen om militär disciplin och brottsbekämpning inom försvarsmakten förebyggande och avslöjande av brott samt utredning av sådana brott som omfattas av ett militärdisciplinförfarande. Vid försvarsmaktens förebyggande och avslöjande av brott sörjs det för att brott som anknyter till underrättelseverksamhet som riktar sig mot Finland på det militära försvarets område och till sådan verksamhet som äventyrar syftet med det militära försvaret förebyggs och avslöjas. 

3.4  Uppgifterna för centralen för utredning av penningtvätt och dess informationsutbyte med myndigheterna och de rapporteringsskyldiga

Uppgifterna för centralen för utredning av penningtvätt finns angivna i 2 § i lagen om centralen för utredning av penningtvätt. Dess uppgifter är att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism och föra sådana ärenden till undersökning, ta emot och analysera rapporter enligt 4 kap. 1 § i lagen om förhindrade av penningtvätt och av finansiering av terrorism (444/2017) och ge återkoppling om verkningarna av dem, samarbeta med myndigheterna vid bekämpning av penningtvätt och finansiering av terrorism, samarbeta och utbyta information med sådana myndigheter i en främmande stat och internationella organisationer som har till uppgift att förhindra och utreda penningtvätt och finansiering av terrorism samt samarbeta med rapporteringsskyldiga. Dessutom ska centralen för utredning av penningtvätt föra statistik över antalet rapporter enligt 4 kap. 1 § i lagen om förhindrade av penningtvätt och av finansiering av terrorism och antalet avbrutna transaktioner enligt 5 § i det kapitlet, över antalet anmälningar om tvivelaktiga transaktioner som förts till undersökning och över gjorda, mottagna, avvisade och besvarade informationsförfrågningar. Centralen för utredning av penningtvätt ska även ta emot och behandla anmälningar enligt 3 § 2 mom. i lagen om frysning av tillgångar i syfte att bekämpa terrorism (325/2013), utreda grunderna för frysningsbeslut som avses i 4 § i den lagen och göra framställningar om frysningsbeslut. Till dess uppgifter hör dessutom att göra operativa och strategiska analyser av gärningssätt, fenomen, trender och metoder rörande penningtvätt samt finansiering av terrorism och det brott genom vilket den egendom eller den vinning har fåtts eller kan fås som är föremål för penningtvätt eller finansiering av terrorism.  

I 4 § 4 mom. i lagen om centralen för utredning av penningtvätt föreskrivs om centralens rätt att lämna ut uppgifter och om användningen av uppgifter. Uppgifterna i penningtvättsregistret får oberoende av sekretessbestämmelserna användas och lämnas ut endast för att förhindra, avslöja och utreda penningtvätt, finansiering av terrorism och det brott genom vilket den egendom eller den vinning har fåtts eller kan fås som är föremål för penningtvätt eller finansiering av terrorism samt för att föra ärendet till undersökning och för att skydda den nationella säkerheten. Centralen för utredning av penningtvätt får lämna ut uppgifter också utan begäran. Dessutom får uppgifter lämnas ut till utrikesministeriet för skötsel av uppgifter enligt 9 § i lagen om frysning av tillgångar i syfte att bekämpa terrorism och till utmätningsmannen för skötsel av uppgifter enligt 14 § i den lagen och uppgifter enligt 2 b § i lagen om uppfyllande av vissa förpliktelser som grundar sig på Finlands medlemskap i Förenta Nationerna och Europeiska unionen (659/1967). Uppgifter får lämnas ut också till en behörig tillsynsmyndighet och en advokatförening som avses i lagen om förhindrade av penningtvätt och av finansiering av terrorism, om den uppgift som lämnas ut är nödvändig för att den behöriga tillsynsmyndigheten eller advokatföreningen ska kunna utföra de uppgifter som avses i den lagen. 

Uppgifterna för centralen för utredning av penningtvätt är i gällande lagstiftning begränsade till förhindrande, avslöjande och utredning av penningtvätt och av finansiering av terrorism samt av förbrott till dem. Föremål för penningtvättsbrott är enligt den finska strafflagen egendom som förvärvats genom brott eller vinning av brott. Det finns inte nödvändigtvis något förbrott till finansiering av terrorism, dvs. de tillgångar som används för finansieringen kan ha förvärvats på lagligt sätt. 

3.5  3.5 Slutsatser om nuläget

Myndigheterna i Finland har tillräckliga rättigheter att få uppgifter om bank- och betalkonton samt övriga tillgångar. Däremot är rutinerna för begäran om uppgifter manuella och ineffektiva. Det decentraliserade övervakningssystemet för bank- och betalkonton som infördes i samband med genomförandet av det femte penningtvättsdirektivet ser ut att användas i mindre utsträckning än avsikten var när övervakningssystemet planerades. Övervakningssystemet är för närvarande dessutom till stor del inte ens färdigt eftersom datasöksystemen inte är i drift.  

Med tanke på digitaliseringen av myndigheternas verksamhet och en ändamålsenlig inriktning av resurserna inom myndighetsverksamheten bör åtkomst till det elektroniska övervakningssystemet för bank- och betalkonton ges de myndigheter som med stöd av gällande lagstiftning och sina befogenheter redan har rätt att få och behandla dessa uppgifter. Också för verksamhetsområdet uppstår kostnadsbesparingar till följd av att svaren på förfrågningarna automatiseras och antalet förfrågningar minskar genom bättre inriktning.  

Enskilda myndigheter såsom polisen, Skatteförvaltningen och Utsökningsverket har byggt upp elektroniska gränssnitt med vissa kreditinstitut. Arrangemanget grundar sig på ett inbördes avtal parterna emellan. De kostnader som orsakats av detta har t.ex. inom polisen uppgått till cirka 300 000 euro exklusive personalkostnader för myndigheternas del och till cirka 400 000—500 000 euro inklusive personalkostnader för kreditinstitutens del. När ett system väl har skapats är det betydligt förmånligare att kopiera det för elektroniska förbindelser som upprättas med andra aktörer. 

Alla myndigheter har inte ett behov av att upprätta ett separat elektroniskt gränssnitt, eftersom de gör så få förfrågningar. Exempel på sådana myndigheter är Patent- och registerstyrelsen, Ålands landskapsregering och åklagarna. Myndigheternas verksamhet skulle effektiviseras av möjligheten att kunna utnyttja en annan myndighets elektroniska system. Det är dock inte nödvändigtvis motiverat att skapa förutsättningar för förmedling av information mellan myndigheter om det handlar om några enstaka förfrågningar per år, med tanke på den administrativa börda och de kostnader som orsakas den myndighet som förmedlar informationen. 

Såväl antalet myndigheter som får åtkomsträtt till övervakningssystemet för bank- och betalkonton som systemets användningsändamål är enligt den gällande lagstiftningen begränsade, vilket innebär att nyttan av systemet också är mindre än vad som var meningen när det planerades. Dessutom har det för vissa myndigheter föreskrivits åtkomst till övervakningssystemet för bank- och betalkonton med stöd av den omsorgsplikt som anges penningtvättslagen, men i praktiken möjliggör regleringen emellertid inte att dessa myndigheter använder systemet för detta ändamål. Med stöd av omsorgsplikten kan tull-, gränsbevaknings-, skatte- och utsökningsmyndigheterna samt konkursombudsmannen emellertid inte göra de informationsbegäranden i övervakningssystemet för bank- och betalkonton som dessa myndigheter i den gällande lagen om ett övervakningssystem för bank- och betalkonton har, dvs. normen har blivit utan verkan.  

I den decentraliserade modell som gällande lagstiftning innebär uppstår i stället för en centraliserad mekanism för datasöksystemet flera olika datasöksystem. Användningen av de decentraliserade systemen kommer dessutom att vara mycket begränsad på grund av det stora antalet integreringar hos de myndigheter som utnyttjar informationen, kostnaderna för dessa och det begränsade informationsinnehållet. I dagens läge håller de datasöksystem som kreditinstituten bygger upp till stora delar på att bli outnyttjade eftersom myndigheterna inte bygger gränssnitt mot dem. Den enda användaren av kontoregistret är centralen för utredning av penningtvätt. 

När det gäller åtkomsten till uppgifterna i övervakningssystemet för bank- och betalkonton kan man ställa frågan om informationen om personers tillgångar är sådana uppgifter som åtkomsten till ska vara svår, långsam och manuell för behöriga myndigheter som sköter uppgifter som de har enligt lag, när den i stället kan vara snabb, elektronisk och skyddad. Vid bedömningen av skyddet av personuppgifter och banksekretessen som har en stark anknytning till frågan bör det beaktas att det finns stater som har en mycket stark banksekretess som också omfattar myndigheter och att dessa stater ofta uppfyller Organisationen för ekonomiskt samarbete och utveckling OECD:s definition på skatteparadis. 

Tullen har av finansministeriet fått en särskild finansiering på 3 940 000 euro för utvecklande av det register över bank- och betalkonton som hör till övervakningssystemet för bank och betalkonton. Dessutom medför datasöksystemet betydande kostnader för kreditinstitut, betalningsinstitut, institut för elektroniska pengar och aktörer inom virtuella valutor. Enligt en bedömning i regeringens proposition 167/2018 rd uppskattades det att priset för en övergång till elektroniska kontoförfrågningar för ett stort kreditinstitut blir 300 000–1 000 000 euro. Enligt de uppskattningar som kontoregisterprojektet fått uppgår kostnaderna för anslutning till registret över bank- och betalkonton till cirka 100 000 euro per uppgiftslämnare, dvs. kreditinstitut, betalningsinstitut, institut för elektroniska pengar eller tillhandahållare av virtuella valutor och kostnaderna för datasöksystemet till cirka 300 000 euro per uppgiftslämnare. Enligt en försiktig uppskattning blir den privata sektorns kostnader minst 3 000 000 euro. Centralkriminalpolisens central för utredning av penningtvätt uppskattar att kostnaderna för genomförandet av fyra gränssnitt uppgår till cirka 300 000 euro. De kostnadskalkyler som presenteras ovan inbegriper inte kostnader för ibruktagandet och driftskostnader. Enligt Tullens kontoregisterprojekt kommer kostnaderna för myndigheternas gränssnitt i fortsättningen att vara lägre, eftersom det tekniska genomförandet blir effektivare i takt med att kunskapen och erfarenheten ökar. 

De rättigheter centralen för utredning av penningtvätt har för att få och lämna ut information håller en god nivå, men för att genomföra direktivet om finansiell information bör regleringen kompletteras. För att genomföra artikel 3.2 i direktivet om finansiell information bör det utses myndigheter som har rätt att av centralen för utredning av penningtvätt få finansiella uppgifter och analyser för att förebygga, upptäcka, utreda och lagföra allvarliga brott enligt direktivet, dvs. brott som avses i bilaga I till Europolförordningen.  

Enligt lagen om centralen för utredning av penningtvätt har centralen för utredning av penningtvätt till uppgift att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism och föra sådana ärenden till undersökning och att samarbeta med myndigheterna vid bekämpning av penningtvätt och finansiering av terrorism. Direktivet om finansiell information förutsätter att centralen för utredning av penningtvätt ska kunna förebygga, upptäcka och utreda brott som avses i bilaga I till Europolförordningen. Enligt definitionen i direktivet om finansiell information avses med finansiell information all slags information eller data, såsom data om finansiella tillgångar, överföringar av medel eller finansiella affärsrelationer, som redan innehas av finansunderrättelseenheten för att förebygga, upptäcka och effektivt bekämpa penningtvätt och finansiering av terrorism. Enligt direktivet ska centralen dessutom med nödvändig skyndsamhet kunna besvara motiverade begäranden om finansiell information eller finansiella analyser från utsedda behöriga myndigheter, där sådan finansiell information eller sådana finansiella analyser som rör förebyggande, upptäckt, utredning eller lagföring av allvarliga brott krävs från fall till fall. Den skyldighet centralen för utredning av penningtvätt har att lämna ut uppgifter enligt direktivet om finansiell information omfattar också analyser, vilket är ett mer omfattande begrepp än den finansiella information som nämns i definitionen. Centralen för utredning av penningtvätt ska kunna samarbeta med behöriga myndigheter för att förebygga, upptäcka och utreda brott enligt bilaga I till Europolförordningen.  

Enligt gällande 2 § 2 mom. i lagen om centralen för utredning av penningtvätt avses med förhindrande, avslöjande och utredning av penningtvätt och finansiering av terrorism i 1 mom. 1 punkten mottagande, registrering och annan handläggning av rapporter om misstankar om penningtvätt och finansiering av terrorism och, i anslutning till dessa misstankar, av uppgifter om penningtvätt och finansiering av terrorism samt förhindrande, avslöjande och utredning av penningtvätt, av finansiering av terrorism och av det brott genom vilket den egendom eller den vinning har fåtts eller kan fås som är föremål för penningtvätt eller finansiering av terrorism.  

Bilaga I till Europolförordningen innehåller också sådana mycket allvarliga brott mot liv och hälsa eller personlig självbestämmanderätt samt mot egendom, allmän säkerhet och samhället som inte begås i vinningssyfte och således inte är förbrott till penningtvätt eller finansiering av terrorism. Bilaga I till Europolförordningen innehåller bl.a. följande brott som för närvarande inte är förbrott: terrorism, organiserad brottslighet, mord, grov misshandel och orsakande av svår kroppsskada, brottslighet som har samband med nukleära och radioaktiva ämnen, människorov, olaga frihetsberövande och tagande av gisslan, rasism och främlingsfientlighet, it-brottslighet, miljöbrott, däribland förorening från fartyg, sexuella övergrepp och sexuellt utnyttjande, inbegripet material med övergrepp mot barn och kontaktsökning med barn i sexuellt syfte, folkmord, brott mot mänskligheten och krigsförbrytelser.  

Enligt artikel 7 i direktivet om finansiell information ska centralen för utredning av penningtvätt kunna lämna ut uppgifter vid allvarliga brott som definieras i bilagan till Europolförordningen. För närvarande har centralen för utredning av penningtvätt möjlighet att lämna ut uppgifter om förbrott till penningtvätt, dvs. brott som begås i vinningssyfte. Detta utesluter t.ex. grova brott mot liv och hälsa eller grova skadegörelsebrott mot egendom som inte syftar till ekonomisk vinning.  

Förslagen och deras konsekvenser

4.1  4.1 De viktigaste förslagen

Genomförandet av direktivet om finansiell information och det femte penningtvättsdirektivet 

I propositionen föreslås att till sådana behöriga myndigheter i enlighet med artiklarna 3 och 4 i direktivet om finansiell information som har rätt att få uppgifter ur övervakningssystemet för bank- och betalkonton för förebyggande, utredning och lagföring av brott som avses i bilaga I till Europolförordningen utses i lagen om ett övervakningssystem för utredning av penningtvätt följande myndigheter: polisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet, vilka har nationell behörighet när det gäller förebyggande, utredning och överlämnande till åtalsprövning av brott som avses i bilaga I till Europolförordningen. Direktivet förutsätter att åtminstone kontoren för återvinning av tillgångar utses till myndigheter i enlighet med artikel 3.1 i direktivet om finansiell information och eftersom centralpolisen har utsetts till den uppgiften i Finland uppfyller förslaget att utse polisen skyldigheten enligt direktivet. Utseendet av övriga myndigheter har enligt artikel 3.1 överlåtits på medlemsstaterna. Vid beredningen av propositionen har det ansetts motiverat att utse de nämnda myndigheterna med beaktande av den för myndigheterna föreskrivna befogenheten att förhindra, förebygga, utreda och föra till åtalsprövning allvarliga brott som avses i direktivet om finansiell information. I propositionen föreslås inte att åklagarna utses till myndigheter i enlighet med artikel 3.1 i direktivet om finansiell information eftersom polisen i nästan alla brott är förundersökningsmyndighet i Finland och åklagaren får de för åtalsprövningen behövliga uppgifterna om bank- och betalkonton från polisens förundersökning. Åklagaren är ledande utredningsmyndighet i fall där en polis är misstänkt för brott. Med beaktande av det ringa antalet fall av detta slag och kostnaderna för att bygga ett gränssnitt skulle det inte vara ändamålsenligt att åklagarna har direkt åtkomst till övervakningssystemet för bank- och betalkonton. 

Enligt artikel 3.2 i direktivet om finansiell information ska varje medlemsstat, bland de myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott, utse de behöriga myndigheter som kan begära och ta emot finansiell information eller finansiella analyser från finansunderrättelseenheterna. I propositionen föreslås att polisen, Tullen, Gränsbevakningsväsendet och åklagarna utses till sådana myndigheter eftersom de nämnda myndigheterna har nationell behörighet att förhindra, förebygga, utreda och föra till åtalsprövning brott som nämns i bilaga I till Europolförordningen. I detta fall förorsakar det inga nämnvärda tilläggskostnader att utse åklagarna eftersom det inte behöver byggas gränssnitt eller datasystem för att få uppgifter från centralen för utredning av penningbrott.  

Av kostnadsskäl är det inte ändamålsenligt att en del av de behöriga myndigheter som anges i propositionen skapar ett gränssnitt till övervakningssystemet för bank- och betalkonton, och därför föreslås det att dessa myndigheter ska kunna få uppgifterna av Tullen, som är personuppgiftsansvarig för registret över bank- och betalkonton. I propositionen föreslås att Tullen för genomförandet av artikel 4 i direktivet om finansiell information och för att komplettera genomförandet av artikel 32a i det femte penningtvättsdirektivet bygger ett sammanställningsprogram med vilket Tullen centraliserat erbjuder både uppgifterna i kontoregistret som den administrerar och i datasöksystemen som administreras av de enligt penningtvättslagen rapporteringsskyldiga till de myndigheter som inte själva bygger förbindelser till de nämnda informationssystemen. Ett sammanställningsprogram motsvarar bättre penningtvättsdirektivets krav på ett centraliserat datasöksystem som man kan göra sökningar i omedelbart och direkt, än det nuvarande decentraliserade datasöksystemet i och med att det inte föreskrivs täckande på lagnivå om de tekniska krav som gäller för datasöksystem.  

I propositionen föreslås vissa ändringar i fråga om lagringen av logguppgifter som hänför sig både till genomförandet av artikel 6 i direktivet om finansiell information och till det föreslagna sammanställningsprogrammet. De föreslagna ändringarna preciserar skyldigheterna att lagra logguppgifter enligt 10 § i den gällande lagen om ett övervakningssystem för bank- och betalkonton.  

I propositionens andra lagförslag föreslås det för genomförandet av direktivet om finansiell information att det i lagen om centralen för utredning av penningtvätt föreskrivs att centralen för utredning av penningtvätt har i uppgift att samarbeta med myndigheterna för att förhindra, avslöja och utreda brott som avses i bilaga I i Europolförordningen och dessutom att centralen för utredning av penningtvätt kan lämna ut uppgifter för det ovan nämnda ändamålet. I propositionen föreslås att centralen för utredning av penningtvätt ska få lämna ut uppgifter ur penningtvättsregistret till Europol i enlighet med vad som föreskrivs i artikel 12 i direktivet.  

Förslag till följd av nationella ändringsbehov 

I propositionen föreslås utöver de gällande åtkomsträttigheterna i lagen om ett övervakningssystem för bank- och betalkonton att Skatteförvaltningen, Tullen, Utsökningsverket, polisen och Gränsbevakningsväsendet, Försvarsmakten och Finansinspektionen ska ha åtkomst till övervakningssystemet för bank- och betalkonton avseende de befogenheter som föreskrivs de ovannämnda myndigheterna i den gällande lagstiftningen. Propositionen utvidgar ändamålen som övervakningssystemet för bank- och betalkonton kan användas för, eftersom systemet för närvarande endast kan användas om det är nödvändigt för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism. I propositionen föreslås inga nya befogenheter för de ovannämnda myndigheterna när det gäller åtkomst till bank- och betalkontouppgifter, utan avsikten är att de myndigheter som redan för närvarande har tillgång till dessa uppgifter enligt gällande lagstiftning ska kunna använda sig av övervakningssystemet för bank- och betalkonton. En förutsättning för användningen är att uppgifterna i övervakningssystemet är nödvändiga för myndigheten. Det bör beaktas att det för centralen för utredning av penningtvätt inte handlar om en utvidgning på nationell nivå eftersom det femte penningtvättsdirektivet förutsätter att centralen för utredning av penningtvätt har direkt åtkomst till övervakningssystemet för bank- och betalkonton.  

Det föreslås att Tullen ska övervaka att de skyldigheter som gäller förmedling av i lagen avsedda uppgifter ur datasöksystemet för bank- och betalkonton följs. Enligt den gällande lagen omfattar Tullens tillsynsansvar endast tillsynen över registret över bank- och betalkonton. Myndighetstillsynen över övervakningssystemet för bank- och betalkonton omfattar tillsyn över såväl administrationen av systemet som över efterlevnaden av skyldigheten att lämna uppgifter. Tullen ska få rätt att förena såväl iakttagandet av skyldigheten enligt gällande lag att lämna uppgifter ur registret över bank- och betalkonton som iakttagandet av skyldigheten att administrera ett datasöksystem och att lämna uppgifter via detta system med vite. Dessutom ges Tullen rätt att påföra en ordningsavgift också för den som uppsåtligen eller av vårdslöshet försummar eller bryter mot skyldigheten enligt 4 § 1 och 2 mom. att administrera ett datasöksystem eller att via datasöksystemet lämna den behöriga myndigheten de uppgifter som avses i 4 § 2 mom. 

Förslagen om åtkomsträtt till övervakningssystemet för bank- och betalkonton  

I propositionen föreslås åtkomsträtt till övervakningssystemet för bank- och betalkonton för olika myndigheter och olika användningsändamål. Förslaget utvidgar de användningsändamål för vilka övervakningssystemet för bank- och betalkonton kan användas, eftersom systemet för närvarande kan användas endast om det är nödvändigt för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism. Sammantaget kan man konstatera åtkomst till övervakningssystemet för bank- och betalkonton för de ändamål som avses i direktivet om finansiell information föreslås för polisen, inklusive skyddspolisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet. Dessa föreslagna åtkomsträttigheter är de viktigaste i denna proposition eftersom de sammanhänger med genomförandet av direktivet om finansiell information. 

Dessutom föreslås på grund av nationella ändringsbehov att utöver de gällande åtkomsträttigheter som det förskrivs om i lagen om ett övervakningssystem för bank- och betalkonton att Skatteförvaltningen, Tullen, Utsökningsverket, polisen och Gränsbevakningsverket, Försvarsmakten och Finansinspektionen ska ha åtkomst till övervakningssystemet för bank- och betalkonton i anslutning till de befogenheter dessa myndigheter har i gällande lagstiftning. Så som konstateras ovan är det inte fråga om en nationell utvidgning för centralen för utredning av penningtvätts del, eftersom det femte penningtvättsdirektivet förutsätter att centralen för utredning av penningtvätt har direkt åtkomst till övervakningssystemet för bank- och betalkonton.  

4.1.1  Bestämmelser i direktivet som inte kräver ändring i den nationella lagstiftningen

Artikel 1 om syftet med direktivet om finansiell information och artikel 2 om definitioner förutsätter inga ändringar i den nationella lagstiftningen.  

Direktivets artikel 5.2 och 5.3, som gäller villkoren för de behöriga myndigheternas åtkomst och sökningar förutsätter inga ändringar i den nationella lagstiftningen, eftersom bestämmelserna i informationshanteringslagen, som omfattar kraven i direktivet, tillämpas på dem.  

Artikel 8, som gäller finansunderrättelseenheters begäranden om information av behöriga myndigheter, förutsätter inga ändringar i den gällande lagstiftningen, eftersom centralen för utredning av penningtvätt redan med stöd av 4 § i lagen om centralen för utredning av penningtvätt har rätt att få omfattande information av behöriga myndigheter. 

I artikel 9 föreskrivs om informationsutbyte mellan medlemsstaternas finansunderrättelseenheter. Enligt bestämmelsen ska medlemsstaterna säkerställa att finansunderrättelseenheterna i brådskande undantagsfall har rätt att utbyta finansiell information eller finansiella analyser som kan vara relevanta för deras behandling eller analys av information som rör terrorism eller organiserad brottslighet med kopplingar till terrorism. I 5 § i lagen om centralen för utredning av penningtvätt föreskrivs bl.a. om informationsutbytet mellan finansunderrättelseenheter, och genomförandet av bestämmelsen förutsätter inte att nationell lagstiftning utfärdas.  

I artikel 10 föreskrivs om informationsutbyte mellan behöriga myndigheter i olika medlemsstater. I enlighet med artikeln ska det säkerställas att de behöriga myndigheter som utsetts i enlighet med direktivet på begäran och från fall till fall kan utbyta finansiella uppgifter och analyser, om dessa uppgifter och analyser är nödvändiga för att förebygga, avslöja och bekämpa penningtvätt, associerade förbrott och finansiering av terrorism. I artikeln föreskrivs dessutom om finansunderrättelseenheternas förhandsgodkännande och datasäkerhet. Bestämmelser om informationsutbyte som avser centralen för utredning av penningtvätt finns i 5 § i lagen om centralen för utredning av penningtvätt. I 9 kap. 3 § i penningtvättslagen finns bestämmelser om internationellt samarbete och informationsutbyte mellan tillsynsmyndigheter enligt penningtvättslagen och advokatföreningen. Enligt ovannämnda bestämmelse ska tillsynsmyndigheterna och advokatföreningen samarbeta med sådana tillsynsmyndigheter och andra aktörer i andra EES-stater och i stater utanför Europeiska ekonomiska samarbetsområdet som sköter tillsynsuppgifter som motsvarar uppgifterna i denna lag i syfte att bekämpa penningtvätt och finansiering av terrorism. Tillsynsmyndigheterna och advokatföreningen ska, trots det som annars föreskrivs om sekretess, utan dröjsmål ge utländska tillsynsmyndigheter och andra aktörer som sköter tillsynsuppgifter som motsvarar uppgifterna i denna lag i syfte att bekämpa penningtvätt och finansiering av terrorism, sådan information som de har och som är nödvändig för att förhindra och avslöja penningtvätt och finansiering av terrorism. Genomförandet av artikeln förutsätter inte att nationella bestämmelser utfärdas.  

I artikel 11 i direktivet om finansiell information föreskrivs om utlämnande av uppgifter om bankkonton till Europol. Enligt artikeln ska varje medlemsstat säkerställa att dess behöriga myndigheter har rätt att genom den nationella Europolenheten eller via direkta kontakter med Europol, besvara begäranden avseende uppgifter om bankkonton som gjorts av Europol. I 3 § i lagen om Europeiska unionens byrå för samarbete inom brottsbekämpning (214/2017) föreskrivs det om kontakter mellan behöriga myndigheter och Europol. I Finland är centralkriminalpolisen den nationella enhet som avses i Europolförordningen. Bestämmelser om samarbete och informationsutbyte med Europol finns också i speciallagar som gäller de brottsbekämpande myndigheterna. Artikel 11 i direktivet förutsätter inte att nationella bestämmelser utfärdas.  

I artikel 14 föreskrivs om dataskyddskrav och de gäller Europol. Artikeln förutsätter inte att nationella bestämmelser utfärdas.  

I artikel 15 föreskrivs om tillämpningsområdet med avseende på behandling av personuppgifter och i artikel 16 om behandling av känsliga personuppgifter. Enligt artikel 16 ska behandling av personuppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet eller uppgifter om en fysisk persons hälsotillstånd, sexualliv eller sexuella läggning endast vara tillåten om det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter i enlighet med tillämpliga dataskyddsregler. Artiklarna förutsätter inte att det utfärdas nationella bestämmelser, eftersom det i den allmänna dataskyddsförordningen, dataskyddslagen avseende brottmål, informationshanteringslagen och de speciallagar som gäller de behöriga myndigheterna föreskrivs om dataskydd för och behandling av särskilda kategorier av personuppgifter och känsliga uppgifter. 

Artikel 17 gäller dokumentation över begäranden om information i samband med informationsutbyte enligt kapitel III och kapitel IV i direktivet samt utbyte av finansiell information och finansiella analyser enligt kapitel IV. Enligt artikeln ska medlemsstaterna säkerställa att begäranden om information enligt direktivet dokumenteras. I 10 § i lagen om ett övervakningssystem för bank- och betalkonton föreskrivs om registrering av logguppgifter. Dessutom är de behöriga myndigheterna personuppgiftsansvariga i fråga om uppgifter som förmedlas till deras egna system och ska föra en loggbok över sina egna begäranden om information och följa t.ex. domstolsbehandlingar av ärenden som de behandlat och avgjort. Artikeln förutsätter inga ytterligare nationella bestämmelser.  

I artikel 19 i direktivet föreskrivs om övervakning och den förpliktar medlemsstaterna att föra omfattande statistik. Enligt 2 kap. 1 § 4 mom. i penningtvättslagen ska inrikesministeriet, finansministeriet och justitieministeriet säkerställa att det till stöd för riskbedömningen sammanställs statistik som gör det möjligt att utvärdera hur effektivt penningtvätt och finansiering av terrorism bekämpas. Inrikesministeriet och finansministeriet ska offentliggöra en årlig sammanfattning av statistiken. Artikeln förutsätter inte att nationella bestämmelser utfärdas.  

Artikel 20 gäller förhållandet till andra instrument. Enligt den ska direktivet inte förhindra medlemsstaterna från att sinsemellan bibehålla eller ingå bilaterala eller multilaterala avtal eller överenskommelser om informationsutbyte mellan behöriga myndigheter. Dessutom föreskrivs i artikeln om befintliga bilaterala eller multilaterala avtal med tredjeländer och förhandlingar om sådana avtal. Artikeln kräver inte att nationella bestämmelser utfärdas.  

Direktivets övriga slutbestämmelser i artiklarna 21–25 förutsätter inte att nationella bestämmelser utfärdas. 

4.1.2  Bedömning i förhållande till EU:s allmänna dataskyddsförordning och dataskyddsdirektivet för brottsbekämpande myndigheter

Personuppgiftsansvarig och förmedling av uppgifter till behöriga myndigheter  

Enligt propositionen ska Tullen vara personuppgiftsansvarig i fråga om det sammanställningsprogram som förmedlar uppgifter ur övervakningssystemet för bank- och betalkonton. I den föreslagna 3 § i lagen om ett övervakningssystem för bank- och betalkonton specificeras de myndigheter som har rätt att få uppgifter via övervakningssystemet för bank- och betalkonton. Bestämmelser om grunderna för utlämnande finns i de speciallagar om de behöriga myndigheternas verksamhet som det hänvisas till i den föreslagna 3 §.  

Enligt artikel 4.9 i EU:s allmänna dataskyddsförordning avses med mottagare en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte. Offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte.  

I skäl 31 i förordningen konstateras att offentliga myndigheter som för sin myndighetsutövning mottar personuppgifter i enlighet med en rättslig förpliktelse, t.ex. skatte- och tullmyndigheter, finansutredningsgrupper, oberoende administrativa myndigheter eller finansmarknadsmyndigheter med ansvar för reglering och övervakning av värdepappersmarknader inte bör betraktas som mottagare om de tar emot personuppgifter som är nödvändiga för utförandet av en särskild utredning av allmänt intresse, i enlighet med unionsrätten eller medlemsstaternas nationella rätt. Offentliga myndigheters begäranden om att uppgifter ska lämnas ut ska alltid vara skriftliga och motiverade, läggas fram i enskilda fall och inte gälla hela register eller leda till att register kopplas samman. Dessa offentliga myndigheters behandling av personuppgifter bör ske i överensstämmelse med de bestämmelser för dataskydd som är tillämpliga på behandlingens ändamål.  

I den gällande lagen om ett övervakningssystem för bank- och betalkonton finns bestämmelser om vilka uppgifter som ska föras in i kontoregistret och som ska lämnas ut via datasöksystemen. I lagen föreskrivs dessutom om kraven på systemet för logguppgifter i samband med begäranden om information, och det föreslås att bestämmelsen preciseras.  

Lagligheten i och syftet med behandlingen av uppgifter  

Förslaget om ett sammanställningsprogram hör till tillämpningsområdet för EU:s allmänna dataskyddsförordning och dataskyddsdirektivet för brottsbekämpande myndigheter. Artikel 6.1 i EU:s allmänna dataskyddsförordning innehåller en förteckning över de grunder på vilka behandlingen av personuppgifter kan anses vara laglig. Åtminstone ett av de villkor som anges i denna punkt måste uppfyllas. Enligt artikel 6.1 c och e i EU:s allmänna dataskyddsförordning är behandlingen laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åligger den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. I propositionen motsvarar den lagstadgade uppgift Tullen har som personuppgiftsansvarig för sammanställningsprogrammet artikel 6.1 c, och sammanställningsprogrammets ändamål, vilket framgår av speciallagstiftningen om de behöriga myndigheter som räknas upp i den föreslagna 3 §, motsvarar artikel 6.1 e. 

Enligt förslaget ska övervakningssystemet för bank- och betalkonton också utnyttjas i enlighet med syftet med direktivet om finansiell information, dvs. att fastställa åtgärder för att underlätta behöriga myndigheters åtkomst till och användning av finansiell information och uppgifter om bankkonton för att förebygga, upptäcka, utreda och lagföra allvarliga brott. Till denna del tillämpas dataskyddsdirektivet för brottsbekämpande myndigheter och den nationella genomförandelagstiftningen, eftersom EU:s allmänna dataskyddsförordning enligt dess artikel 2 i inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. 

I artikel 6.3 fastställs att den grund för behandlingen som avses i punkt 1 c och e ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.  

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt punkt 1 e, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s allmänna dataskyddsförordning, bl.a.: de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling, däribland för behandling i andra särskilda situationer enligt kapitel IX. Unionsrätten eller medlemsstaternas lagstiftning ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.  

Artikel 9 i EU:s allmänna dataskyddsförordning innehåller bestämmelser om behandling av särskilda kategorier av personuppgifter. Enligt artikel 9.1 ska behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning vara förbjuden.  

I artikel 9.2 föreskrivs om ett undantag från förbudet enligt punkt 1. Enligt artikel 9.2 g ska punkt 1 inte tillämpas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.  

Enligt artikel 43 i det femte penningtvättsdirektivet betraktas behandling av personuppgifter i enlighet med direktivet i syfte att bekämpa sådan i artikel 1 avsedd penningtvätt och finansiering av terrorism som en fråga enligt EU:s allmänna dataskyddsförordning som gäller allmänna intressen. I artikel 32a fastställs att medlemsstaterna ska införa centraliserade automatiserade mekanismer, t.ex. centrala register eller centrala elektroniska datasöksystem, som gör det möjligt att med nödvändig skyndsamhet fastställa identiteten hos fysiska eller juridiska personer som innehar eller kontrollerar betalkonton och bankkonton som identifieras med IBAN-nummer samt bankfack som innehas av ett kreditinstitut inom deras territorium.  

I skäl 20 i direktivet konstateras att fördröjd tillgång till information för centralen för utredning av penningtvätt och andra behöriga myndigheter avseende identiteten hos innehavare av bank- och betalkonton och bankfack, särskilt anonyma sådana, gör det svårare att spåra överföringar av medel med anknytning till terrorism. Nationella uppgifter som gör det möjligt att identifiera bank- och betalkonton och bankfack tillhörande en viss person är fragmenterade och därför inte tillgängliga för centralen för utredning av penningtvätt och andra behöriga myndigheter med nödvändig skyndsamhet. Det är därför viktigt att införa centraliserade automatiserade mekanismer, såsom register eller datasöksystem, i alla medlemsstater som ett effektivt sätt att få snabb tillgång till uppgifter om identiteten hos innehavare av bank- och betalkonton och bankfack, deras fullmaktshavare och deras verkliga huvudmän.  

Vid tillämpningen av bestämmelserna om tillgång är det lämpligt att befintliga mekanismer används, förutsatt att de nationella finansunderrättelseenheterna kan få tillgång till de uppgifter med avseende på vilka de gör utredningar på ett omedelbart och ofiltrerat sätt. Medlemsstaterna bör överväga att låta andra uppgifter som bedöms vara nödvändiga och proportionella ingå i dessa mekanismer för att på ett mer effektivt sätt minska risker med avseende på penningtvätt och finansiering av terrorism. Full konfidentialitet bör säkerställas avseende sådana utredningar och begäranden om därtill kopplad information av finansunderrättelseenheterna och andra behöriga myndigheter än de myndigheter som ansvarar för lagföring.  

Vidare konstateras i skäl 21 att i syfte att respektera den personliga integriteten och att skydda personuppgifter bör ett minimum av uppgifter som är absolut nödvändiga för genomförandet av utredningar rörande bekämpning av penningtvätt och finansiering av terrorism finnas i centraliserade automatiserade mekanismer för bank- och betalkonton, såsom register eller datasöksystem. Det bör vara möjligt för medlemsstaterna att bestämma vilka uppgifter som det är ändamålsenligt och proportionellt att samla in, med beaktande av befintliga system och rättsliga traditioner så de verkliga huvudmännen kan identifieras på ett meningsfullt sätt. Vid införlivandet av de bestämmelser som rör dessa mekanismer bör medlemsstaterna fastställa lagringsperioder som motsvarar lagringsperioderna för den dokumentation och information som erhålls inom ramen för tillämpningen av åtgärder för kundkännedom. Det bör vara möjligt för medlemsstaterna att förlänga lagringstiden generellt genom lag, utan att kräva beslut i enskilda fall. Den ytterligare lagringstiden bör inte överstiga en period på ytterligare fem år. Den perioden bör inte påverka tillämpningen av nationell rätt med andra datalagringskrav som möjliggör beslut i enskilda fall för att underlätta straffrättsliga eller administrativa förfaranden. Tillgång till dessa mekanismer bör beviljas på grundval av principen om behovsenlig behörighet.  

Syftet med behandlingen av de uppgifter som ska samlas in i övervakningssystemet för bank- och betalkonton och förmedlas via det föreslagna sammanställningsprogrammet är motiverat för att utföra en uppgift av allmänt intresse i enlighet med artikel 6.1 e i EU:s allmänna dataskyddsförordning. I enlighet med artikel 6.3 i förordningen föreskrivs i det femte penningtvättsdirektivet om grunden för behandlingen av uppgifter, och eftersom användningsområdet för övervakningssystemet för bank- och betalkonton föreslås bli mer omfattande än vad direktivet förutsätter, föreskrivs det om grunden för behandlingen på nationell nivå. Förslaget och den gällande lagen om ett övervakningssystem för bank- och betalkonton innehåller särskilda bestämmelser om de uppgifter som behandlas, aktörer som registrerar uppgifter, behöriga myndigheter till vilka personuppgifter får lämnas ut och förmedlas samt om hur länge uppgifterna ska bevaras. Utgångspunkten är att dataskyddslagen tillämpas på övervakningssystemet för bank- och betalkonton och på de uppgifter som förmedlas via det föreslagna sammanställningsprogrammet.  

I samband med genomförandet av direktivet om finansiell information utvidgas behandlingen av personuppgifter i övervakningssystemet för bank- och betalkonton så att den till vissa delar också omfattas av dataskyddsdirektivet för brottsbekämpande myndigheter. Direktivet har genomförts nationellt genom dataskyddslagen avseende brottmål. I 1 § i dataskyddslagen avseende brottmål föreskrivs att lagen ska tillämpas på behöriga myndigheter (polisen, åklagarna, de allmänna domstolarna, Brottspåföljdsmyndigheten, Tullen, Gränsbevakningsväsendet och andra behöriga myndigheter som riksdagens justitieombudsman och justitiekanslern, RP 31/2018 rd) när de behandlar personuppgifter, när det är fråga om 1) förebyggande, avslöjande och utredning av brott eller förande av brott till åtalsprövning, 2) åtalsprövning och annan åklagarverksamhet i samband med brott, d) handläggning av brottmål i domstol, 4) verkställighet av straffrättsliga påföljder eller 5) skydd mot eller förhindrande av brott mot den allmänna säkerheten i samband med verksamhet som avses i 1–4 punkten.  

Med beaktande av att lagen om dataskydd avseende brottmål endast omfattar en del av de myndigheter som enligt denna proposition ska ges lättare åtkomst till information, kan det i fråga om övervakningssystemet för bank- och betalkonton och det föreslagna sammanställningsprogrammet bli aktuellt att tillämpa den lagen t.ex. när en begäran om information från behöriga myndigheter som avses i lagen om dataskydd avseende brottmål behandlas för att förebygga, utreda och avslöja allvarliga brott, trots att de uppgifter som omfattas av den ovannämnda begäran om information ursprungligen har registrerats för de ändamål som anges i den allmänna dataskyddsförordningen. Vilken dataskyddslagstiftning som ska tillämpas bestäms alltså utifrån den myndighet som behandlar ärendet och ändamålet med behandlingen.  

I artikel 23 i EU:s allmänna dataskyddsförordning föreskrivs att det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. En förutsättning som anges i artikeln är att en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa, t.ex. enligt led d, förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Enligt led e ska grunden för begränsning anknyta till andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet.  

Enligt artikel 15 i EU:s allmänna dataskyddsförordning ska den registrerade ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och de uppgifter som specificeras närmare i artikeln. Artikel 18 i direktivet om finansiell information gäller begränsningar av registrerades rättigheter. Enligt artikeln får medlemsstaterna anta lagstiftningsåtgärder som helt eller delvis begränsar de registrerades rätt att få åtkomst till personuppgifter som rör dem och som behandlas enligt detta direktiv i enlighet med artikel 23.1 i den allmänna dataskyddsförordningen eller med artikel 15.1 i dataskyddsdirektivet för brottsbekämpande myndigheter, beroende på vilken som är tillämplig. Finland har utnyttjat det handlingsutrymme som ingår i förordningen genom 33 och 34 § i den nationella dataskyddslagen, som innehåller begränsningar i den personuppgiftsansvariges skyldighet att tillhandahålla de registrerade information och begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. Motsvarande bestämmelser finns också i 4 kap. i dataskyddslagen avseende brottmål. Enligt lagens 28 § får den registrerades rättigheter begränsas om det med beaktande av den registrerades rättigheter är en proportionell och nödvändig åtgärd i syfte att 1) undvika menlig inverkan på förebyggande, avslöjande, utredning av brott eller på åtgärder som avser åtal för brott eller på verkställighet av straffrättsliga påföljder, 2) trygga andra undersökningar, utredningar eller motsvarande förfaranden hos myndigheter, 3) skydda den allmänna säkerheten, 4) skydda den nationella säkerheten eller 5) skydda andra personers rättigheter. När det gäller övervakningssystemet för bank- och betalkonton och sammanställningsprogrammet blir det aktuellt att begränsa den registrerades rättigheter i enlighet med 28 § i dataskyddslagen avseende brottmål när de behöriga myndigheternas begäranden om information i syfte att förebygga, utreda och avslöja allvarliga brott behandlas. 

4.2  De huvudsakliga konsekvenserna

4.2.1  Ekonomiska konsekvenser

Sammanställningsprogrammets utförande 

I propositionen föreslås att Tullen kan lämna uppgifterna i övervakningssystemet för bank- och betalkonton till de behöriga myndigheterna via ett sammanställningsprogram. Tullens kontoregisterprojekt har gjort en preliminär kalkyl över de kostnadsbesparingar som den centraliserade lösningen ger. Enligt förslaget är de behöriga myndigheterna sammanlagt elva av vilka polisen, centralen för utredning av penningtvätt, Gränsbevakningsväsendet och Försvarsmakten skulle använda samma gränssnitt. I modellen med ett sammanställningsprogram skapar varje myndighet ett enda gränssnitt till Tullens tjänst i stället för att bygga gränssnitt till kontoregistret och alla datasöksystem.  

Sammanställningsprogrammet skulle betjäna såväl centralen för utredning av penningtvätt, tillsynsmyndigheterna enligt penningtvättslagen och advokatföreningen, som enligt den gällande lagen om ett övervakningssystem för bank- och betalkonton har åtkomst till uppgifterna i systemet, som de nya myndigheter som i propositionen föreslås få åtkomst till systemet. Av de aktörer som enligt den gällande lagstiftningen har åtkomst till övervakningssystemet har endast centralen för utredning av penningtvätt byggt ett gränssnitt till kontoregistret och vissa datasöksystem. 

Europeiska kommissionen lade i juli 2021 fram ett förslag till ändring av reglerna för bekämpning av penningtvätt som också innehåller ett förslag till sammankoppling av de centraliserade bankkontoregistren. Förslaget i propositionen om att Tullen ska vara den som lämnar ut information ur övervakningssystemet för bank- och betalkonton och om sammanställningsprogrammet som skapas för detta ändamål möjliggör även att de bestämmelser som framöver bereds om en sammankoppling av bankkontoregistren i EU genomförs till lägre kostnader än vad som det nuvarande decentraliserade systemet skulle medföra. 

De olika myndigheternas uppskattning av vad det skulle kosta att bygga gränssnitt varierar beroende på om myndigheten utöver gränssnittet även skulle bygga ett datasöksystem åt sig, om ett sådant inte redan finns. Från polisens digitala bankförfrågningsprojekt finns det redan erfarenhet av gränssnittsbygge med kreditinstitut, men även uppgifter om kontotransaktioner kan förmedlas via polisens system, dvs. det skulle bli mer omfattande än övervakningssystemet för bank- och betalkonton. Dessutom medför systemprojekten kostnader för polisen eftersom polisen använder Statens center för informations- och kommunikationsteknik Valtoris säkerhetsnät (TUVE).  

För Finansinspektionens del är bedömningen att gränssnittsbygget skulle medföra kostnader på cirka 20 000 euro. Skatteförvaltningen har bedömt att kostnaden för gränssnittet skulle bli cirka 100 000 euro. För Utsökningsverkets del bedöms kostnaderna för gränssnittet bli 50 000–115 000 euro. Kostnaden beror på i vilken utsträckning det går att använda liknande eller färdiga gränssnitt. För Regionförvaltningsverket i Södra Finlands del bedöms kostnaden för gränssnittet bli cirka 30 000 euro, vilket skulle täcka integrationen och hithörande testning. 

Gränsbevakningsväsendet har deltagit i polisens projekt för att digitalisera bankförfrågningarna och meningen är att Gränsbevakningsväsendet ska utnyttja polisens gränssnitt, och kostnaderna skulle då bli små. Enligt planerna ska också Försvarsmakten utnyttja polisens gränssnitt, och då skulle de eventuella tilläggskostnaderna vara små.  

Den potentiella kostnadsbesparingen för myndigheterna uppgår även enligt en försiktig uppskattning till cirka 3 000 000 euro. Om utgångspunkten är den kostnad för byggande av gränssnittet som centralen för utredning av penningtvätt har rapporterat till kontoregisterprojektet, kan besparingen bli till och med betydligt större än så. Dessutom skulle det innebära kostnadsbesparingar också för kreditinstitut, betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor i och med att de behöver bygga gränssnitt till endast en myndighet, dvs. Tullen. Kostnadsbesparingen inom den privata sektorn skulle vara av samma storleksklass som för myndigheterna, dvs. knappt 3 000 000 euro. Uppskattningen baserar sig på antalet gränssnitt mellan de behöriga myndigheterna, advokatföreningen och de datasöksystem som planeras. 

En preliminär uppskattning av kostnaderna för alternativet med ett sammanställningsprogram för det centraliserade datasöksystemet är för närvarande cirka 700 000–800 000 euro. Kostnaderna för sammanställningsprogrammet preciseras efter en preliminär utredning. Den preliminära utredningen utgår från att programmet använder gränssnitt och en helhetsarkitektur som redan är specificerade samt att minimikraven fastställs tillsammans med minst en myndighet. Exempelvis kraven på sökfunktionerna i sammanställningsprogrammet kräver att specifikationerna preciseras noggrannare. Också kraven i samband med lagring av logguppgifter måste preciseras för att de ska uppfylla laglighetskraven och kraven i direktivet om finansiell information. 

Polisen, Utsökningsverket och Skatteförvaltningen har egna informationssystem med vissa kreditinstitut via vilka uppgifter om bank- och betalkonton begärs och lämnas ut. Inrättandet av informationssystemen har baserat sig på avtal mellan myndigheterna och kreditinstituten, medan övervakningssystemet för bank- och betalkonton är obligatoriskt för aktörer som anges i lag, som t.ex. kreditinstitut. Också uppgifter om kontotransaktioner lämnas ut via informationssystemen, dvs. de är mer täckande än övervakningssystemet för bank- och betalkonton, där det endast är möjligt att begära och lämna uppgifter om kontoinnehav. Även om det i enlighet med propositionen för ovannämnda myndigheter skulle föreskrivas om en mer utvidgad åtkomst till övervakningssystemet för bank- och betalkonton än i den gällande lagen, skulle det inte gå att slopa de befintliga informationssystemen på grund av deras mer omfattande innehåll, om det inte också läggs till uppgifter om kontotransaktioner i övervakningssystemet för bank- och betalkonton. Uppgifterna om kontotransaktioner är behövliga eller nödvändiga i de ovannämnda myndigheternas uppgifter och antalet årliga förfrågningar är stort. Fördelen med övervakningssystemet för bank- och betalkonton är att systemet är obligatoriskt för kredit- och betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor. De behöriga myndigheterna kan således via systemet få uppgifter om hantering och identifiering av kontot, för att en eventuell begäran om kontotransaktioner ska kunna dirigeras till rätt aktör. Av denna anledning skulle myndigheternas befintliga informationssystem – trots det föreslagna sammanställningsprogrammet – fortfarande vara behövliga både för myndigheterna och kreditinstituten, för vilka de gör utlämnandet av uppgifter smidigare. Att upprätthålla dem skulle fortsättningsvis orsaka myndigheterna kostnader.  

Extrakostnader till följd av direktivet om finansiell information 

Genomförandet av direktivet om finansiell information medför för Tullen ytterligare ansvar till följd av skyldigheterna att föra register och hantera större mängder logguppgifter i samband med sammanställningsprogrammet. Utöver rapporteringen föreslås för Tullen uppgifter i anslutning till tillsynen av datasöksystemet för bank- och betalkonton, dvs. uppföljning, styrning och vägledning av branscher och aktörer. För tillsynen och rapporteringen har Tullen preliminärt uppskattat att det krävs en satsning på två ytterligare årsverken till en kostnad på 140 000 euro per år. 

Enligt polisens uppskattning uppgår kostnaderna för att utvidga övervakningssystemet för bank- och betalkonton till polisens datasöksystem i enlighet med direktivet om finansiell information till 300 000 euro för åren 2022–2023, dvs. 150 000 euro om året. De kostnadskalkyler som presenteras ovan inbegriper inte kostnader för ibruktagande och drift, vilka ytterligare bör beaktas. 

4.2.2  Kredit- och betalningsinstitut

Iakttagandet av lagstiftningen om penningtvätt och finansiering av terrorism, inklusive myndigheternas begäranden om information om bank- och betalkonton, medför kostnader för kredit- och betalningsinstituten. Det har varit obligatoriskt för kreditinstituten att ansluta sig till övervakningssystemet för bank- och betalkonton, och konstuktunen av datasöksystem och lämnandet av information till kontoregistret har medfört kostnader för instituten, och administreringen av systemen innebär också fortlöpande kostnader. De utvidgade åtkomsträtterna till övervakningssystemet för bank- och betalkonton som föreslås för myndigheterna gör dessa kostnader mer motiverade när systemen inte har byggts upp för ett snävt användningsändamål och några få myndigheter.  

Att förfrågningar om uppgifter om bank- och betalkonton görs via övervakningssystemet för bank- och betalkonton minskar kreditinstitutens och betalningsinstitutens administrativa börda till den del myndigheternas förfrågningar gäller personer eller företag som inte har något konto hos kreditinstitutet eller betalningsinstitutet i fråga. Å andra sidan kan den minskande effekten för den administrativa bördan minska genom att det inte ska vara möjligt att lämna ut kontotransaktioner via övervakningssystemet för bank- och betalkonton, och dessutom bedöms det föreslagna nödvändighetskriteriet minska användningen av systemet. Det är svårt att uppskatta i euro hur stor inbesparing det kan betyda för kredit- och betalinstituten. När det gäller aktörer som administrerar datasöksystem enligt lagen om ett övervakningssystem för bank- och betalkonton är det tydligast om förfrågningarna kommer centraliserat. Därför föreslås det att Tullen ska kunna lämna ut uppgifter ur övervakningssystemet för bank- och betalkonton till de behöriga myndigheter som inte bygger ett eget gränssnitt till systemet. 

Sammanställningsprogrammet uppskattas inte ha verkningar som medför ytterligare kostnader till exempel i anslutning till datasystem och administreringen av dem för kredit- och betalningsinstituten som administrerar datasöksystemen eller aktörer som lämnar ut uppgifter från bank- och betalkontoregistret. Ett ökat informationsutbyte som sker smidigare och elektroniskt kan uppskattas medföra kostnadsinbesparingar för kredit- och betalningsinstituten, eftersom informationsutbytet kräver mindre arbetstid.  

I propositionen föreslås att Tullen i fråga om datasöksystemet för bank- och betalkonton ansvarar för tillsynen av systemadministrationen och skyldigheten att lämna uppgifter. För att effektivisera övervakningen föreslås det att Tullen ges rätt att förelägga vite utöver för den informationsskyldighet som gäller bank- och betalkontoregistret enligt den gällande lagen även för skyldigheten att administrera ett datasöksystem och utlämnandet av uppgifter via datasöksystemet och att Tullen ges rätt att påföra ordningsavgift för den som uppsåtligen eller av oaktsamhet försummar eller bryter mot skyldigheten att administrera ett datasöksystem eller att via det lämna ut uppgifter. För kredit- och betalningsinstitutens del skulle förslaget göra regleringen mer jämlik mellan de aktörer som administrerar datasöksystem och de aktörer som ger uppgifter till kontoregistret. I det nuvarande läget har det inte varit möjligt med sanktioner för underlåtelse att administrera datasöksystem för bank- och betalkonton eftersom det inte funnits bestämmelser om det i lag. 

4.2.3  Centralisering av informationsförvaltningen inom den offentliga förvaltningen

I och med de föreslagna lagändringarna kommer fler myndigheter än tidigare att kunna utnyttja de uppgifter som registreras i övervakningssystemet för bank- och betalkonton. I och med förslaget om Tullens rätt att lämna ut uppgifter ur övervakningssystemet för bank- och betalkonton minskar behovet hos de myndigheter som har rätt att få uppgifter om bank- och betalkonton att bygga egna gränssnitt till systemet, vilket förverkligar målet att centralisera statsförvaltningens informationssystem och minska behovet av överlappande informationssystem. Eftersom det inte fås uppgifter om kontotransaktioner ur övervakningssystemet för bank- och betalkonton skulle de föreslagna ändringarna inte eliminera myndigheternas behov av de befintliga informationssystemen helt eftersom de tillhandahåller mer omfattande information.  

4.2.4  Behandling av personuppgifter och laglighetsövervakning

I och med användningen av övervakningssystemet för bank- och betalkonton kan detaljerade begäranden om information bättre än tidigare riktas till aktörer vars kunder är föremål för undersökning. När uppgifter behandlas i skyddade system som skapats uttryckligen för detta ändamål, förbättrar det också skyddet av personuppgifter för dem som är föremål för förfrågningarna. Också polisens elektroniska system för bankförfrågningar, genom vilket även övervakningssystemet kommer att användas, förbättrar tack vare logguppgifterna väsentligen tillsynen över förfrågningarnas laglighet. 

I artiklarna 6, 17 och 19 i direktivet om finansiell information fastställs krav som gäller förandet av loggar, såsom referensnummer för den nationella akten, datum och klockslag för förfrågan eller sökningen, typen av uppgifter som används i förfrågan eller sökningen, resultatens unika identifierare, namnet på den utsedda behöriga myndighet som söker i registret samt den unika användaridentiteten på den tjänsteman som gjorde förfrågan eller sökningen och i tillämpliga fall på den tjänsteman som beställde förfrågan eller sökningen, och, i möjligaste mån, den unika användaridentiteten på mottagaren av förfrågans eller sökningens resultat. Tullen har försökt beakta dessa krav redan i det nuvarande registret över bank- och betalkonton. När det gäller datasöksystemen kan Tullen dock inte inom ramen för gällande lagstiftning säkerställa en uttömmande rapportering, eftersom den endast kan meddela föreskrifter om det tekniska utförandet och inte har något tillsynsansvar i fråga om datasöksystemen. Enligt förslaget ska Tullen inte bli personuppgiftsansvarig i fråga om de datasöksystem för bank- och betalkonton som administreras av kreditinstitut, utan kreditinstituten ska fortfarande vara personuppgiftsansvariga i fråga om sina egna datasöksystem. Däremot ska Tullen ha rollen som personuppgiftsansvarig i fråga om sammanställningsprogrammet, eftersom programmet behandlar och förmedlar personuppgifter och även lagrar dem i form av logguppgifter. Bestämmelser om logguppgifternas innehåll finns i 10 § i lagen om ett övervakningssystem för bank- och betalkonton, och det föreslås vissa ändringar som gäller innehållet. Uppgifterna ska lagras i sammanställningsprogrammet. I programmet lagras inga andra uppgifter utöver logguppgifterna. Tullens roll som personuppgiftsansvarig hänför sig således till säkerställandet av dataskyddet och informationssäkerheten, fullgörandet av ansvarsskyldigheten, informationen om de registrerades rättigheter och andra motsvarande uppgifter som den personuppgiftsansvarige har.  

De behöriga myndigheterna ska vara personuppgiftsansvariga för de uppgifter som de tar emot och som förmedlas via sammanställningsprogrammet. De omfattas på motsvarande sätt av de skyldigheter som gäller personuppgiftsansvariga och behandling av personuppgifter enligt dataskyddsförordningen och den kompletterande nationella lagstiftningen samt de speciallagar som gäller myndigheterna. De behöriga myndigheterna ska själva säkerställa att deras förfrågningar är lagenliga och Tullen ska vid behov förmedla logguppgifter till de behöriga myndigheterna för detta ändamål. Information om förfrågningar som gäller bankkonton registreras också i de behöriga myndigheternas egna system, vilket möjliggör kontroller i efterhand.  

I artikel 35 i den allmänna dataskyddsförordningen föreskrivs om konsekvensbedömning avseende dataskydd. I artikeln sägs det att om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Varje behörig myndighet enligt propositionen ansvarar för utarbetandet av en konsekvensbedömning avseende dataskydd i enlighet med artikel 35 i dataskyddsförordningen. Konsekvensbedömningen hjälper den registeransvarige att iaktta dataskyddslagstiftningens krav, att dokumentera och påvisa informationssäkerheten. 

Om riskerna inte kan minimeras, ska förhandssamråd enligt artikel 36 i dataskyddsförordningen hållas med dataombudsmannen. Dataombudsmannen ska inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgiftsansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som den har enligt artikel 58, t.ex. införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. 

Konsekvensbedömning avseende dataskyddet och sammanställningsprogrammet 

Som det konstaterats ovan i propositionen ska var och en av de enligt förslaget behöriga myndigheterna göra en konsekvensbedömning i enlighet med dataskyddsförordningen med avseende på de uppgifter som myndigheten förmedlar och registrerar via sammanställningsprogrammet. I propositionen ingår dessutom en konsekvensbedömning av sammanställningsprogrammets informationssäkerhet. 

Med hjälp av det automatiserade sammanställningsprogrammet förmedlas behöriga myndigheters begäranden om information enligt lagen om ett övervakningssystem för bank- och betalkonton pseudonymiserade till aktörerna som administrerar datasöksystem. Genom automatiseringen av systemet uppfylls kravet i artikel 32a.2 i femte penningtvättsdirektivet och artikel 4.1 i direktivet om finansiell information att uppgifterna i bank- och betalkontoregistret ska vara direkt tillgängliga på ett omedelbart sätt för de enligt direktiven behöriga myndigheterna. I artikel 4.1 i direktivet om finansiell information föreskrivs dessutom att åtkomst och sökningar kan anses vara direkta och omedelbara också när de nationella myndigheter som förvaltar de centrala bankkontoregistren skyndsamt överför uppgifterna om bankkonton till de behöriga myndigheterna genom en automatiserad mekanism, förutsatt att ingen mellanliggande institution kan på verka de begärda uppgifterna eller den information som ska tillhandahållas. 

Enligt förslaget är de behöriga myndigheterna sammanlagt elva av vilka polisen, centralen för utredning av penningtvätt, Gränsbevakningsväsendet och Försvarsmakten använder samma gränssnitt. Myndigheten ska specificera enligt vilken bestämmelse den begär information. Uppgifter om denna grund och om den myndighet som gjort begäran lagras i Tullens system för logguppgifter och i logguppgifterna i det system myndigheten i fråga upprätthåller. Vid pseudonymiseringen behandlas personuppgifterna så att grunden för förfrågan och myndigheten som begär uppgifter inte längre kan kombineras med den registrerade utan att man använder logguppgifterna i Tullens sammanställningsprogram och logguppgifterna som finns i varje myndighets eget system, vilket minimerar riskerna som den automatiserade behandlingen av personuppgifter medför för den registrerade. 

Skyldigheten för aktörer som upprätthåller datasöksystem att lämna ut information genom sammanställningsprogramen skulle baseras på det föreslagna nya 7 a § och 4 § 1 mom. i lagen om ett övervakningssystem för bank- och betalkonton.  

Bestämmelser om den personuppgiftsansvariges skyldigheter finns i dataskyddsförordningen. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att de föreskrivna principerna om behandlingen av personuppgifter i artikel 5.1 efterlevs. En av dessa principer är bl.a. att personuppgifter ska behandlas på ett sådant sätt som säkerställer deras skydd mot obehörig eller otillåten behandling. Dataskyddsförordningen förpliktar den personuppgiftsansvarige att se till att inte lämna ut uppgifter utan laglig grund till myndigheten. Enligt förslaget utgör de ändringar som nu föreskrivs i övervakningssystemet för bank- och betalkonton laglig grund för utlämnande av uppgifter via det automatiserade sammanställningsprogrammet. Den personuppgiftsansvarige uppfyller skyldigheten i dataskyddsförordningen att visa att principerna efterlevs genom att stödja sig på den skyldighet som föreskrivs genom lag. 

Enligt 4 § 3 mom. i den gällande lagen om ett övervakningssystem för bank- och betalkonton ska myndigheten specificera enligt vilken bestämmelse den begär information. Eftersom informationsförmedlingen via datasöksystemet enligt 4 § 1 mom. i samma lag ska vara omedelbar och till följd av de krav som femte penningtvättsdirektivet och direktivet om finansiell information ställer på sökningar kan kreditinstitutet dock inte i förväg, innan uppgiften lämnas ut, bedöma de lagliga förutsättningarna för myndighetens uppgiftsbegäran. I praktiken är detta inte möjligt i ett automatiserat system eftersom direktiven förutsätter att information via centraliserade automatiserade datasöksystem ska finnas tillgänglig omedelbart, dvs. genast utan fördröjning. På nationell nivå lämnar direktiven inget handlingsutrymme när det gäller att information måste finnas tillgänglig omedelbart. I fråga om begäranden till ett kreditinstituts datasöksystem om uppgifter som förmedlas via sammanställningsprogrammet endast vilken registrerad, dvs. kund informationsbegäran gäller. I praktiken lagras denna uppgift i datasöksystemets logguppgifter varför det till denna del fortfarande behöver föreskrivas om sekretess för uppgifterna för att kreditinstitutet inte ska kunna använda sig av eller röja dessa logguppgifter för att skaffa sig själv eller någon annan fördel och inte heller för att skada någon annan. Sålunda får ett kreditinstitut inte heller för kunden eller någon annan part uppge om en myndighet har gjort en informationsbegäran om en registrerad och om det har getts ett svar på den, dvs. inte ens existensen av en informationsbegäran får uppges. 

Artikel 25 i dataskyddsförordningen gäller inbyggt dataskydd och dataskydd som standard, dvs. den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Nuvarande tekniska förbindelser ska innehålla adekvata kontroller med vilka man begränsar och kontrollerar behandlingen av uppgifter, som utlämnande av uppgifter. För uppgifter som förmedlas via sammanställningsprogrammet föreslås det att avsaknaden av en förhandsbedömning av de lagliga förutsättningarna för utlämnande av information ska ersättas av en teknisk inbyggd förhandskontroll i systemet, dvs. det ska endast vara möjligt att begära uppgifter ur systemet genom att ange den bestämmelse enligt vilken man begär information, med hjälp av de logguppgifter som sparas i systemet och organisatorisk kontroll, dvs. endast så att personal som myndigheten bemyndigat och utbildat har rätt att göra förfrågningar och dessutom med dataombudsmannens rätt att kontrollera i efterhand. 

Den personuppgiftsansvariges ansvar i enlighet med dataskyddsregleringen är således föregripande ansvar för att utlämnandet av uppgifter uppfyller de förutsättningar som ställs på det. Som ovan konstateras möjliggör inte heller bestämmelserna om det nuvarande datasöksystemet föregripande tillsyn eftersom informationen ska lämnas ut omedelbart, dvs. de aktörer som upprätthåller datasystem har samtidigt med stöd av bestämmelserna befriats från ansvaret för föregripande kontroll. Den föreslagna ändringen om att kreditinstitut inte ska få uppgifter om vilken myndighet som har begärt informationen och enligt vilken bestämmelse myndigheten har begärt den innebär inte en utvidgning av myndighetens befogenheter att få uppgifter om bankkonton, utan att skyldigheterna i artikel 5.1 c i dataskyddsförordningen säkerställs. Personuppgifterna ska vara adekvata, relevanta och begränsade till vad som krävs i förhållande till de ändamål för vilka de behandlas. Det är befogat att fråga sig för vilka ändamål kreditinstitut skulle använda uppgifter i efterhand. Dataskyddsförordningen förpliktar den personuppgiftsansvarige att försäkra sig om grunderna för behandlingen av personuppgifter innan uppgifterna lämnas ut, och alltså inte längre efter att uppgifterna har lämnats ut, varvid det finns skäl att även överväga på vilken bestämmelse kreditinstitutets efterhandstillsyn ska grunda sig. Användningen av logguppgifter ska begränsas i förhållande till de ändamål för vilka de behandlas, dvs. till efterhandstillsyn på det sätt som det enligt lag och förordningar är möjligt. Kreditinstitut kan t.ex. behöva logguppgifter när det finns fel i personuppgifter i deras register och den registrerade är skyldig att meddela om felet. Då räcker logguppgiften om personen och tidpunkten när uppgifterna har lämnats till Tullens sammanställningsprogram för en anmälan till Tullen. Tullen är som personuppgiftsansvarig för sammanställningsprogrammet skyldig att meddela vidare om fel som har förmedlats till en behörig myndighet med sammanställningsprogrammet. Den personuppgiftsansvariges skyldighet anknyter till den föregripande kontrollen och om det efter utlämnandet framgår att den personuppgiftsansvarige inte i tillräcklig omfattning har försäkrat sig om att principerna för behandling av personuppgifter har efterlevts innebär det då att det har skett en personuppgiftsincident. Det följer av den pseudonymiseringslösning som föreslås i förslaget att myndighetens åtgärder skulle hållas hemliga för den privata parten och registrator för sammanställningsprogrammet, dock på ett sådant sätt att en översyn av lagligheten av den rättsliga grunden är möjlig i efterhand under egen tillsyn av varje behörig myndighet i enlighet med 10 § i lagen om ett övervakningssystem för bank- och betalkonton och av dataskyddsombuden. 

Sammantaget är den föreslagna ändringen om uppgifter som förmedlas till kreditinstitut en proportionell och nödvändig åtgärd för att behandlingen av personuppgifter via sammanställningsprogrammet ska ha ett så omfattande dataskydd som möjligt och att de förmedlade uppgifterna är begränsade endast till nödvändiga uppgifter. 

När det gäller de behöriga myndigheter som använder systemet ska informationen som begäran gäller ska vara nödvändig för fullgörande av en uppgift som myndigheten har enligt lag, dvs. myndigheten ska bedöma om nödvändighetskriteriet uppfylls innan en begäran görs. Dessutom ska det föreskrivas i en ny 3 a § i lagen om ett övervakningssystem att åtkomsten till de uppgifter som avses i 4 och 6 § och möjlighet att göra sökningar i dem ska endast den personal vid myndigheten ha som har utnämnts och bemyndigats att utföra dessa uppgifter. 

I det föreslagna sammaställningsprogrammet ska myndigheterna i stället för att bygga gränssnitt till kontoregistret och gränssnitt till varje datasöksystemen ha ett enda gränssnitt till Tullens tjänst i sammanställningsprogrammet. Tullen bygger upp sammanställningsprogrammet med gränssnitt så att det blir möjligt att kontakta både bank- och kontoregistret som administreras av Tullen och datasöksystemen som administreras av kreditinstituten, betalningsinstituten, instituten för elektroniska pengar och tillhandahållarna av virtuella valutor. Programmet ska sammanställa svaren som hör till begärandena och sända svaren både från Tullens kontoregister och datasöksystemet till det gränssnitt som myndigheten preciserar. I sammanställningsprogrammet ska det inte vara möjligt att förmedla andra uppgifter mellan myndigheten som framställer begäran och den som är skyldig att lämna uppgifter än de uppgifter som det hänvisas till i det inledande stycket i 3 § i det första lagförslaget och som lämnas ut enligt 4 § och har registrerats enligt 6 §. Uppgifterna är alltså uppgifter som identifierar innehavaren av kundkontot, den verkliga huvudmannen och kontot eller bankfacket. I artikel 32a.3 i femte penningtvättsdirektivet förutsätts att följande uppgifter ska finnas tillgängliga och vara sökbara via bankkontoregistren:  

För innehavaren av kundkontot och alla personer som förmodas agera i kundens namn: namn, kompletterat med antingen övriga identifieringsuppgifter som krävs enligt nationella bestämmelser som införlivar artikel 13.1 a eller ett unikt identifieringsnummer.  

För den verkliga huvudmannen för innehavaren av kundkontot: namn, kompletterat med antingen övriga identifieringsuppgifter som krävs enligt nationella bestämmelser som införlivar artikel 13.1 b eller ett unikt identifieringsnummer;  

För bank- eller betalkontot: IBAN-nummer och datumet för kontots öppnande och avslutande. 

För bankfacket: hyrestagarens namn, kompletterat med antingen övriga identifieringsuppgifter som krävs enligt nationella bestämmelser som införlivar artikel 13.1 eller ett unikt identifieringsnummer och hyresperiodens varaktighet. 

Sökkriterier i sammanställningsprogrammet är i enlighet med femte penningtvättsdirektivet de ovan nämna uppgifterna, dvs. antingen uppgifter som gäller identifiering av ett konto, t.ex. kontonummer, eller identifiering av en fysisk person eller en juridisk person, t.ex. namn, personnummer eller registernummer. 

Uppgifter som lämnas ut genom sammanställningsprogrammet raderas omedelbart ur programmet efter utlämnandet. Endast logguppgifter bevaras och det föreskrivs täckande om logguppgifterna i 10 § i lagen om ett övervakningssystem för bank- och betalkonton på det sätt som direktivet om finansiell information förutsätter. 

Ett sammanställningsprogram enligt förslaget förbättrar den registrerades dataskydd beroende på pseudonymiseringen av personuppgifterna som det redogjorts för ovan och andra nödvändiga skyddsåtgärder, bl.a. att informationen om grunden för förfrågan och vilken myndighet som gjort förfrågan bevaras i sammanställningsprogrammets och myndighetens logguppgifter. På detta sätt skyddas de registrerades rättigheter och övervakning i efterskott möjliggörs genom att den blir en del av behandlingen, eftersom också de skyddsåtgärder som krävs för att minimera risken under behandlingen för den registrerade motsvarar kraven i den allmänna dataskyddsförordningen och dataskyddsdirektivet för brottsbekämpande myndigheter och de nationella dataskyddslagarna. Vidare förbättras den registrerades dataskydd eftersom de manuella förfrågningarna som är förenade med en hög risk med tanke på fysiska personers rättigheter och friheter, ersätts med en centraliserad mekanism där den personuppgiftsansvarige redan före behandlingen är skyldig att genomföra en bedömning av de planerade tekniska och automatiserade behandlingsåtgärdernas konsekvenser för skyddet av personuppgifter i och med att det inte ingår övervakning på förhand i det automatiserade systemet. Den personuppgiftsansvarige är i sammanställningsprogrammet uppbyggnadsfas skyldig att identifiera, bedöma och minimera risker som systemet medför för de registrerade, och att tekniskt och organisatoriskt utföra ett inbyggt dataskydd som standard så att det är dokumenterat, heltäckande och möjliggör laglighetsövervakning i efterskott som kan genomföras på ett enkelt sätt, regelbundet och vid behov snabbt. Myndigheternas laglighetsövervakning underlättas märkbart med hjälp av de centraliserat insamlade logguppgifterna om sökningarna i bank- och betalkontouppgifter, och det blir enklare att ingripa vid eventuella oegentligheter, t.ex. när man upptäcker onödiga förfrågningar. Myndigheternas förfrågningar lämnar alltid och utan undantag ett spår i det centraliserade sammanställningsprogrammets logguppgifter i motsats till de tidigare manuella förfrågningarna där laglighetsövervakning i efterskott på motsvarande sätt inte har varit möjligt att utföra elektroniskt och centraliserat.  

I och med att informationssökningen är centraliserad uppnås också ett bättre dataskydd när det gäller behandlingen av personuppgifter. Myndigheternas detaljerade förfrågningar som gäller kontouppgifter kan riktas till de aktörer där det finns en kundrelation. 

Tullens sammanställningsprogram gör åtkomsten till uppgifterna i övervakningssystemet för bank- och betalkonton enklare och mer täckande än tidigare, eftersom man med hjälp av sammanställningsprogrammet samtidigt kan söka uppgifter i datasöksystemen och i kontoregistret. Även om en del av de myndigheter som avses i propositionen har egna arrangemang för utlämnande av uppgifter med olika kreditinstitut, har inte en enda myndighet ett system som gör det möjligt att med en enda förfrågning få uppgifter om kundrelationer i olika kredit- och betalinstitut. Samtidigt betyder programmet snabbare och effektivare åtkomst till bank- och betalkontouppgifter och också de personuppgifter som de innehållet, till denna del minskar förslaget skyddet för personuppgifter och skyddet för privatlivet.  

Avsikten är att övervakningssystemet för bank- och betalkonton ska innehålla uppgifter som gäller kundrelationer i kredit- och bankinstituten, men som det konstateras ovan i propositionen, fungerar systemet för närvarande endast delvis, eftersom inte ett enda datasöksystem har tagits i drift och det inte heller i fråga om kontoregistret finns andra användare än centralen för utredning av penningtvätt. I propositionen föreslås åtkomst till systemet för myndigheter som också för närvarande enligt gällande lagstiftning har åtkomsträtt till uppgifterna. 

När man överväger skyddet av personuppgifter och åtkomstens proportionalitet, är den väsentliga frågan varför uppgifterna om betalningsinstitutens, instituten för elektroniska pengars, kreditinstitutens och tillhandahållarna av virtuella valutors kundrelationer ska vara sådana uppgifter som myndigheterna inte ska få åtkomst till i elektronisk form, när uppgifterna för närvarande kan fås åtminstone på papper. Myndigheterna har redan enligt gällande lagstiftning rätt att få tillgång till uppgifterna, De uppgifter som detta gäller omfattas av banksekretessen, men de myndigheter som ska vara behöriga enligt förslaget har redan enligt gällande lagstiftning åtkomst till uppgifterna. I propositionen förutsätts dessutom att ett villkor för begäran om information är att uppgifterna är nödvändiga för fullgörande av myndighetens uppgifter, det vill säga att om en myndighet kan fullgöra sin uppgift utan bank- och betalkontouppgifterna kan en begäran om information inte göras via sammanställningsprogrammet. På grundval av personuppgifter som förmedlas via övervakningssystemet för bank- och betalkonton är det inte möjligt att till exempel få en täckande uppfattning om en persons ekonomiska ställning, eftersom det inte är möjligt att få mer detaljerade uppgifter som uppgifter om kontotransaktioner via systemet. För att få mer detaljerade uppgifter förutsätts vidare en ny begäran om information som görs på något annat sätt än via övervakningssystemet för bank- och betalkonton och med hjälp av sammanställningsprogrammet. 

Sammanställningsprogrammet omfattar behandling av personuppgifter, vilket alltid är en risk för skyddet av personuppgifter. Med beaktande av ändamålet med behandlingen, de förutsättningar som anges för den, såsom grunden för att begära information och dess nödvändighet, och olika riskreducerande åtgärder, såsom lagring av logguppgifter och kravet på utsedd och befullmäktigad personal för att använda de behöriga myndigheternas system, kan den återstående risken anses vara berättigad. 

4.2.5  Konsekvenser för myndigheterna

Åtkomst till övervakningssystemet för bank- och betalkonton samt sammanställningsprogrammet 

För de syften som anges i direktivet om finansiell information föreslås det att åtkomst till övervakningssystemet för bank- och betalkonton ska beviljas polisen, inklusive skyddspolisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet.  

Dessutom föreslås att vissa behöriga myndigheter som enligt den gällande lagen har rätt att få uppgifter om bank- och betalkonton, men inte rätt att få dem via övervakningssystemet för bank- och betalkonton, ska ges åtkomst till övervakningssystemet för bank- och betalkonton. För andra ändamål än de som föreskrivs i direktivet om finansiell information eller i det femte penningtvättsdirektivet och som anges i den gällande lagstiftningen om myndigheten i fråga föreslås att åtkomst beviljas Skatteförvaltningen, Tullen, Utsökningsverket, polisen, Gränsbevakningsväsendet och Försvarsmakten. Det handlar inte om att utöka myndigheternas befogenheter, utan om en ändring i det tekniska sättet att få information.  

I propositionen föreslås det att Tullen ska bygga upp ett sammanställningsprogram genom vilket Tullen som en centraliserad tjänst tillhandahåller uppgifter både ur Tullens register över bank- och betalkonton och ur de datasöksystem för bank- och betalkonton som administreras av de rapporteringsskyldiga enligt penningtvättslagen till de myndigheter för vilka det inte är ändamålsenligt att bygga upp en egen förbindelse till övervakningssystemet för bank- och betalkonton.  

För de behöriga myndigheter som föreslås i propositionen skulle åtkomst till övervakningssystemet för bank- och betalkonton via sammanställningsprogrammet göra det smidigare att få uppgifter om kundrelationer och att dirigera förfrågningar om kontouppgifter. Förslaget skulle minska myndigheternas arbetstidsåtgång för förfrågningar om bank- och kontouppgifter och överlappande förfrågningar, underlätta lagringen av logguppgifter om förfrågningar och effektivisera laglighetsövervakningen avseende förfrågningarna,  

Vissa av de myndigheter som anges i propositionen har dessutom separat bedömt vad de föreslagna ändringarna skulle innebära för deras verksamhet.  

För polisen skulle åtkomsten till övervakningssystemet för bank- och betalkonton innebära ett mervärde och sparad arbetstid såtillvida att ägar- och innehavaruppgifterna och vissa kundrelationsuppgifter lätt och snabbt skulle fås via systemet även om den aktör som lämnar ut uppgifterna inte skulle ha anslutit sig till det frivilliga system avseende polisens digitala bankförfrågningar. Med dessa uppgifter kan man göra fortsatta förfrågningar manuellt och undvika att sända dem till aktörer som inte har information och kundrelationer med dem som är föremål för undersökning. 

Finansinspektionen bedömer att de föreslagna ändringarna inte har någon betydande inverkan på dess verksamhet. Om man via Tullen med hjälp av sammanställningsprogrammet och en enda begäran/förfrågan skulle få möjlighet att få uppgifter från flera penninginstitut, kan detta bidra till att effektivisera verksamheten. På längre sikt kan de ändringar som föreslås i propositionen uppskattas medföra ekonomisk nytta i och med att mängden manuellt arbete minskar. Detta innebär i sin tur att myndighetsresurser kan inriktas på annat myndighetsarbete på ett mer kostnadseffektivt sätt.  

Övervakningssystemet för bank- och betalkonton främjar också Skatteförvaltningens elektroniska behandling av kontoförfrågningar och inriktar förfrågningarna mer effektivt samt minskar behandlingen av onödiga uppgifter. Användningen av övervakningssystemet för bank- och betalkonton effektiviserar användningen av de tillsynsmetoder som anges i lagen i och med att Skatteförvaltningen snabbt och effektivt kan få uppgifter om bank- och betalkonton som innehas av de personer eller företag som är föremål för tillsynen.  

Användningen av övervakningssystemet för bank- och betalkonton effektiviserar ytterligare Skatteförvaltningens användning av de tillsynsmetoder som anges i lagen, om det i framtiden utöver kreditinstitut kommer in fler betalningsinstitut, betalningssystem, institut för elektroniska pengar och tillhandahållare av virtuella valutor på marknaden. 

Användningen av övervakningssystemet för bank- och betalkonton tryggar också genomförandet av skattekontrollen och skyddar kundernas integritet i och med att de detaljerade förfrågningarna riktas till den aktör där kontot de facto finns. I nuläget kan förfrågningar riktas också till aktörer som inte tillhandahåller något konto och då ges onödig information ut om den person eller det företag som är föremål för skattekontroll.  

Utsökningsverket gör årligen cirka 10 miljoner bankförfrågningar. Största delen av förfrågningarna görs via Utsökningsverkets informationssystem. En del av förfrågningarna görs dock fortfarande manuellt, eftersom det i Utsökningsverkets informationssystem finns gränssnitt endast till vissa banker. Utsökningsverket har inga uppgifter om i vilka banker gäldenärerna eller svarandena har bankkonton och förfrågningar görs därför nästan utan undantag till alla de största bankerna. Bankförfrågningarnas omfattning beror bl.a. på skuldbeloppet och om det redan finns tillräckliga uppgifter om t.ex. bankförfrågningar som görs via systemet. 

Rätten att använda övervakningssystemet för bank- och betalkonton gör det möjligt för Utsökningsverket att rikta de slutliga bankförfrågningarna endast till de banker där gäldenären eller svaranden har bankkonton. Detta minskar den administrativa bördan för bankerna och finansinstituten och sparar Utsökningsverkets resurser. Riktade förfrågningar förbättrar dataskyddet. Vid Utsökningsverket är behandlingen av kontouppgifter noggrant organiserad. Endast gäldenärens ansvariga utmätningsman och den häradsfogde som sköter ärendet har åtkomst till uppgifter som beställts via informationssystemet. Utöver dessa har de tjänstemän inom specialverkställigheten som arbetar med bekämpning av grå ekonomi åtkomst till kontouppgifterna för gäldenärerna eller svarandena inom sitt område. 

Utmätningsmännen verkställer utöver vanliga fordringsärenden även andra privaträttsliga förpliktelser samt kvarstad och tillfällig kvarstad enligt tvångsmedelslagen. Även säkringsåtgärder enligt 7 kap. i rättegångsbalken verkställs i enlighet med bestämmelserna i utsökningsbalken.  

Övergången till övervakningssystemet för bank- och betalkonton märks vid Utsökningsverket i synnerhet genom att det inte längre behöver göra förfrågningar till banker för att reda ut om ett eventuellt kundförhållande existerar. Samtidigt kan det antas att antalet manuella bankförfrågningar, som det kan ta flera veckor att få svar på, minskar. Byggandet och ibruktagandet av det nya systemet medför kostnader i initialfasen, men samtidigt kan det uppskattas att sammanställningsprogrammet ger vissa besparingar på lång sikt eftersom onödiga bankförfrågningar för utredning av kundrelationer försvinner. 

Utvidgande av Tullens ansvar och den personuppgiftsansvariges skyldigheter 

I propositionen föreslås att Tullens tillsynsansvar utvidgas till datasöksystemen för bank- och betalkonton. Förslaget utvidgar Tullens gällande tillsynsansvar, eftersom dessa ansvar enligt den gällande lagen omfattar endast tillsynen över bank- och betalkontoregistret. Myndighetstillsynen över datasöksystemet för bank- och betalkonton omfattar tillsyn över såväl administrationen av systemet som över efterlevnaden av skyldigheten att lämna uppgifter. För att effektivisera övervakningen föreslås det att Tullen ges rätt att förelägga vite utöver för den informationsskyldighet som gäller bank- och betalkontoregistret enligt den gällande lagen även för skyldigheten att administrera ett datasöksystem och utlämnandet av uppgifter via datasöksystemet och att Tullen ges rätt att påföra ordningsavgift för den som uppsåtligen eller av oaktsamhet försummar eller bryter mot skyldigheten att administrera ett datasöksystem eller att via det lämna ut uppgifter. Förslaget skulle effektivisera tillsynen över datasöksystemet och göra regleringen mer jämlik mellan de aktörer som administrerar datasöksystem och de aktörer som ger uppgifter till kontoregistret. I det nuvarande läget har det inte varit möjligt med sanktioner för underlåtenhet att lämna uppgifter till datasöksystem för bank- och betalkonton eftersom det inte funnits bestämmelser om det.  

För det föreslagna sammanställningsprogrammets del föreslås det att Tullen åläggs skyldigheten som personuppgiftsansvarig, vilket skulle öka Tullens uppgifter och kräva att resurser anvisas för uppdraget.  

Utvidgning av uppgifterna för centralen för utredning av penningtvätt gällande brott som avses i bilaga I till Europolförordningen och utlämnande av information till Europol 

Det föreslås att centralen för utredning av penningtvätt i lagen åläggs att samarbeta med myndigheterna för att förhindra, avslöja och utreda brott som avses i bilaga I till Europolförordningen. Det föreslås även att centralen för utredning av penningtvätt ska ges rätt att lämna ut uppgifter ur penningtvättsregistret för ovannämnda ändamål. Förslaget anknyter till genomförandet av direktivet om finansiell information och utvidgar till denna del de uppgifter centralen för utredning av penningtvätt har till att även omfatta förhindrande av sådana brott som inte är förbrott associerade till penningtvätt eller finansiering av terrorism. De föreslagna bestämmelserna förbättrar myndigheternas samarbete i förhindrande, avslöjande och utredning av sådana allvarliga brott som avses i direktivet om finansiell information. För genomförandet av direktivet om finansiell information föreslås dessutom att centralen för utredning av penningtvätt ska kunna lämna ut uppgifter för förhindrande, avslöjande och utredning av brott som avses i bilaga I till Europolförordningen.  

För genomförandet av artikel 12 i direktivet om finansiell information föreslås dessutom att centralen för utredning av penningtvätt ska få lämna ut information till Europol. Förslaget förbättrar informationsutbytet med Europol.  

4.2.6  Effektivare spårning av vinning av brott och konsekvenser för förhindrande av penningtvätt och finansiering av terrorism

Ett av målen med övervakningssystemet för bank- och betalkonton är att påskynda och effektivisera spårningen av vinning av brott och brottsutredningen. Bankkontouppgifterna är ofta nödvändiga för att en brottsutredning ska lyckas och för att tillgångarna ska kunna identifieras, spåras och frysas i tid så att de kan tas i beslag. Det är obligatoriskt för alla banker att ansluta sig till systemet och de föreslagna sanktionerna för underlåtelse att leverera datasöksystem kan i praktiken också bättre än för närvarande motivera till att man uppfyller skyldigheten. I fråga om spårning av vinning av brott och frysning av tillgångar är det viktigt att det sker snabbt, så att inte tillgångarna kan flyttas utom räckhåll för myndigheterna. De föreslagna ändringarna innebär ett mervärde och arbetstidsbesparingar för polisen såtillvida att uppgifter om ägare och innehavare av konton och bankfack samt kunduppgifter om vissa aktörer inom finansbranschen fås enkelt och snabbt i fråga om vissa brott, även om den aktör som lämnar uppgifterna inte har anslutit sig till polisens frivilliga system för elektroniska bankförfrågningar. Med dessa uppgifter kan man göra fortsatta förfrågningar manuellt och undvika att sända dem till aktörer som inte har information och kundrelationer med dem som är föremål för undersökning, vilket försnabbar spårningen av vinningen av brott. 

Tillgång till uppgifter om bank- och betalkonton är avgörande när det gäller förhindrande och utredning av penningtvätt och finansiering av terrorism. I synnerhet centralen för utredning av penningtvätt har en central roll som mottagare av anmälningar om tvivelaktiga transaktioner och misstankar om finansiering av terrorism. Ett sammanställningsprogram som det som föreslås i propositionen gör centralen för utredning av penningtvätts åtkomst datasöksystemen smidigare eftersom centralen inte bygger gränssnitt till alla aktörer som förvaltar datasöksystem. Centralen för utredning av penningtvätt har redan med stöd av gällande lagstiftning åtkomst till övervakningssystemet för bank- och betalkonton, vilket betyder att förslaget inte har några betydande konsekvenser för centralen för utredning av penningtvätts åtkomsträttigheter. Propositionens förslag som gäller utvidgade befogenheter till åtkomst till övervakningssystemet för bank- och betalkonton och ett sammanställningsprogram försnabbar och gör det smidigare för polisen att få åtkomst till bank- och betalkontonas kunduppgifter på elektronisk väg och på så sätt i viss mån minska arbetstiden som används för manuella förfrågningar.  

Det bör dock beaktas att övervakningssystemet för bank- och betalkonton inte innehåller uppgifter om kontotransaktioner, varför propositionen inte har några konsekvenser för åtkomsten till information om kontotransaktioner. Det kan dock uppskattas att förslaget i viss mån minskar den arbetstid som de behöriga myndigheterna använder för att göra förfrågningar, och arbetstiden kan användas för skötseln av myndighetens uppgifter, exempelvis undersökning av fler misstänkta fall av penningtvätt.  

4.2.7  Konsekvenser av förändringar i informationshanteringen

Vid lagberedningen ska konsekvenserna av förändringar i informationshanteringen bedömas i enlighet med informationshanteringslagen då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Enligt 3 kap. 8 § i informationshanteringslagen ska det ministerium som ansvarar för verksamhetsområdet göra en bedömning enligt 5 § 3 mom. då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Dessutom ska ministeriet bedöma planerade bestämmelsers konsekvenser för handlingsoffentligheten och handlingssekretessen. I anslutning till finansministeriet finns en informationshanteringsnämnd för den offentliga förvaltningen. Finansministeriets informationshanteringsnämnd har utfärdat en rekommendation om bedömning av konsekvenserna av förändringar i informationshanteringen (finansministeriets publikationer 2020:53).  

I propositionen föreslås det att Tullen ska bygga upp ett sammanställningsprogram genom vilket Tullen förmedlar uppgifter ur registret över bank- och betalkonton och datasöksystemen för bank- och betalkonton till de behöriga myndigheterna. Propositionen återverkar därmed på informationsmaterial och informationssystem.  

Informationshanteringsenheten ska i sin bedömning av förändringar som avser informationshantering beakta interoperabiliteten mellan informationslager samt möjligheterna att utnyttja informationslager för skapande och utnyttjande av informationsmaterial. På basis av bedömningen ska informationshanteringsenheten vidta de åtgärder som behövs för att ändra informationshanteringsmodellen och genomföra ändringarna. I den decentraliserade modell som den gällande lagen om ett övervakningssystem för bank- och betalkonton innebär uppstår i stället för en centraliserad mekanism för datasöksystemet flera olika datasöksystem. Användningen av de decentraliserade systemen kommer dessutom att vara mycket begränsad bl.a. på grund av det stora antalet integreringar hos de myndigheter som utnyttjar informationen, kostnaderna för dessa och det begränsade informationsinnehållet.  

Tullen meddelade den 21 oktober 2019 en föreskrift om frågegränssnitt för kreditinstitutens datasöksystem samt anvisningar för utförandet av gränssnittet. Varje kreditinstitut eller andra uppgiftslämnare såsom betalningsinstitut, institut för elektroniska pengar eller tillhandahållare av virtuella valutor som bygger ett datasöksystem tolkar föreskriften om gränssnittet och gränssnittsbeskrivningen samt skapar i enlighet med föreskriften ett datasöksystem som lämpar sig för deras egna system och arkitektur. Enligt den information som kontoregisterprojektet fått kommer det att finnas 17 datasöksystem som administreras av kreditinstitut, betalningsinstitut och aktörer inom virtuella valutor och som innehåller över 95 procent av alla kontouppgifter och kunduppgifter. I ett decentraliserat system bygger varje uppgiftsanvändare sina egna gränssnitt till frågegränssnitten med Tullens tekniska krav som grund. De behöriga myndigheterna skulle bli tvungna att samla in svar från flera olika datasöksystem och därtill från Tullens register över bank- och betalkonton. Därmed skulle varje myndighet behöva bygga upp ett stort antal gränssnitt för att få heltäckande kunduppgifter och uppgifter om bank- och betalkonton. Enligt propositionen ska Tullens sammanställningsprogram förmedla uppgifterna från datasöksystemen och kontoregistret till de behöriga myndigheterna. Programmet sammanställer svaren på förfrågningarna och returnerar svaren från både kontoregistret och datasöksystemet via ett gränssnitt som myndigheten fastställt. Propositionen minskar avsevärt myndigheternas behov av att bygga separata gränssnitt till kreditinstitutens datasöksystem och underlättar användningen av uppgifter i datasöksystemen. 

Enligt informationshanteringslagen ska det i samband med lagberedning bedömas om lagens bestämmelser om planering och genomförande av informationssäkerhetsåtgärder räcker till för att skydda uppgifter som hör till särskilda kategorier av personuppgifter eller andra känsliga uppgifter. Exempelvis när uppgifter behandlas i flera organisationer kan det vara nödvändigt att bedöma om det i lag bör föreskrivas närmare om informationssäkerhetsåtgärder för att uppnå en enhetlig informationssäkerhetsnivå. I den decentraliserade modellen enligt den gällande lagen om ett övervakningssystem för bank- och betalkonton är ansvaret för kontrollen av lagligheten, såsom loggföring och övervakning av användningen av systemet, decentraliserat mellan myndigheter, advokatföreningen och uppgiftslämnare, dvs. kreditinstitut, betalningsinstitut, institut för elektroniska pengar eller tillhandahållare av virtuella valutor. Varje uppgiftslämnare och uppgiftsanvändare ska ha ett i lagen avsett loggsystem där förfrågningar via gränssnitten registreras. Uppgiftslämnarna får också information om vilken myndighet eller advokatförening som begär uppgifter och med vilka befogenheten förfrågan har gjorts. Propositionens förhållande till EU:s allmänna dataskyddsförordning bedöms närmare ovan i avsnitt 4.1.3 Bedömning i förhållande till EU:s allmänna dataskyddsförordning och dataskyddsdirektivet för brottsbekämpande myndigheter.  

I bedömningen av ändringarnas konsekvenser ska hänsyn tas till de planerade bestämmelsernas konsekvenser för handlingarnas offentlighet och sekretess. Vid beredningen av ny lagstiftning bör man bedöma vilka slags handlingar det bildas hos myndigheterna vid tillämpningen av lagstiftningen och vilket deras datainnehåll är. Tullens sammanställningsprogram ska enligt förslaget förmedla uppgifter ur kreditinstitutens datasöksystem och Tullens kontoregister till de behöriga myndigheterna. I sammanställningsprogrammet sparas inga uppgifter om bankkonton som förmedlas, utan endast logguppgifter som uteslutande används för kontroll av lagligheten. De behöriga myndigheterna ska vara personuppgiftsansvariga i fråga om de uppgifter som förmedlas till deras egna informationssystem via sammanställningsprogrammet och svara för sekretessen, skyddet av personuppgifter och lagligheten i behandlingen av de uppgifter som de behandlar och lagrar.  

I konsekvensbedömningen ska de ekonomiska konsekvenserna av förändringar som påverkar informationshanteringen bedömas. De ekonomiska konsekvenserna av det föreslagna sammanställningsprogrammet behandlas närmare ovan i avsnittet om ekonomiska konsekvenser.  

I 3 kap. 9 § i informationsförvaltningslagen föreskrivs om utlåtandeförfarandet. Enligt paragrafen ska de statliga ämbetsverken och inrättningarna tillställa finansministeriet en på basis av 5 § 3 mom. och 8 § 1 mom. gjord bedömning för utlåtande om utnyttjandet av informationslager och informationssystem samt om interoperabiliteten och informationssäkerheten, då en förändring bedöms få betydande ekonomiska eller funktionella konsekvenser för informationshanteringen eller verksamheten eller då det är fråga om väsentliga förändringar i strukturella gränssnitt för gemensamma informationslager inom den offentliga förvaltningen. Finansministeriet har för avgivande av utlåtande rätt att trots sekretessbestämmelserna få nödvändig information från statliga myndigheter. Närmare bestämmelser om utlåtandeförfarandet finns i 2 § i statsrådets förordning om utlåtandeförfarandet i ärenden som gäller förändringar i informationshanteringen (1301/2019). Enligt paragrafen ska ett statligt ämbetsverk och en statlig inrättning av finansministeriet begära utlåtande om en förändring i informationshanteringen när ämbetsverket eller inrättningen bedömer att 1) totalkostnaden för upphandling, utveckling eller ändring av den offentliga förvaltningens eller statens gemensamma informations- och kommunikationstekniska tjänster eller informationslager uppgår till minst 1 miljon euro, 2) totalkostnaden för upphandling, utveckling eller ändring av informations- och kommunikationstekniska tjänster eller informationslager som är avsedda för ett eller flera verksamhetsområdens gemensamma bruk uppgår till minst 5 miljoner euro, 3) totalkostnaden för upphandling, utveckling eller ändring av informations- och kommunikationstekniska tjänster eller informationslager som är avsedda för ämbetsverkets eller inrättningens eget bruk uppgår till minst 5 miljoner euro och ibruktagandet av tjänsten eller informationslagret har konsekvenser för andra myndigheters tillgång till information. 

Enligt 2 mom. ska ett statligt ämbetsverk eller en statlig inrättning dessutom begära utlåtande av finansministeriet när ämbetsverket eller inrättningen bedömer att totalkostnaden för en förändring i strukturella gränssnitt för den offentliga förvaltningens eller statens gemensamma informationslager uppgår till minst 1 miljon euro. 

Eftersom det i fråga om sammanställningsprogrammet handlar om ett gemensamt system för verksamhetsområdena enligt 2 § 1 mom. 3 punkten i den ovannämnda statsrådsförordningen, är gränsen i euro för att begära utlåtande 5 miljoner euro. Det uppskattas att kostnaderna för sammanställningsprogrammet kommer att uppgå till cirka 800 000 euro, vilket innebär att utlåtande inte behöver begäras. 

4.2.8  Konsekvenser för konsumenterna

Iakttagandet av lagstiftningen om förhindrande av penningtvätt och finansiering av terrorism medför kostnader för kredit- och betalningsinstituten. Kostnaderna kan för sin del påverka priserna på kredit- och betalningsinstitutens tjänster. Förslaget om utvidgad åtkomst till övervakningssystemet för bank- och betalkonsten för myndigheterna och ett sammanställningsprogram kan uppskattas ha konsekvenser för konsumenterna såtillvida att det minskar kreditinstitutens kostnader för lämnande av kontouppgifter och administrativa börda, vilket igen kan påverka konsumentpriserna på olika kreditinstituts tjänster och produkter. En negativ verkan på minskningen av den administrativa bördan har dock det att uppgifterna som förmedlas genom övervakningssystemet för bank- och betalkonton är begränsade, och det inte kommer att vara möjligt att förmedla uppgifter om kontotransaktioner via systemet eller det föreslagna sammanställningsprogrammet.  

Förslaget om utvidgad åtkomst till övervakningssystemet för bank- och betalkonton och förslaget om ett sammanställningsprogram hjälper till att koncentrera och rikta förfrågningar som gäller bankkonton och minskar myndigheternas behov att göra förfrågningar om kontotransaktioner i de kredit- eller betalinstitut, där det inte finns kundrelationer, vilket förbättrar skyddet av personuppgifter och minskar den onödiga behandlingen av personuppgifter. En begäran om information från en myndighet kan ha konsekvenser för bedömningen av kundrelationen i det kreditinstitut som tagit emot begäran om information. 

Alternativa handlingsvägar

5.1  Handlingsalternativen och deras konsekvenser

Genomförandet av direktivet om finansiell information förutsätter att den nationella lagstiftningen om övervakningssystemet för bank- och betalkonton samt lagen om centralen för utredning av penningtvätt ändras.  

Direktivet om finansiell information kan genomföras nationellt genom att genomföra endast de lagstiftningsändringar som direktivet förutsätter. I huvuddrag skulle detta innebära att man för det nationella genomförandet av direktivet fastställer och utser de myndigheter som har rätt att få åtkomst till övervakningssystemet för bank- och betalkonton och som kan begära uppgifter av centralen för utredning av penningtvätt för att förebygga, avslöja, utreda och lagföra allvarliga brott. Enligt direktivet ska det åtminstone utses ett kontor för återvinning av tillgångar, dvs. om man vill genomföra artikel 3.1 i direktivet om finansiell information i dess minsta omfattning betyder det att det utses endast ett kontor för återvinning av tillgångar vid centralkriminalpolisen för att uppfylla den ovannämnda skyldigheten.  

Dessutom förutsätter direktivet att bland de myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott, utse de behöriga myndigheter som kan begära och ta emot finansiell information eller finansiella analyser från finansunderrättelseenheterna. Enligt direktivet får medlemsstaterna själva avgöra vilka dessa myndigheter är. Vid beredningen av propositionen ansågs det vara ändamålsenligt att utse de myndigheter som har behörighet att förebygga, upptäcka, utreda och lagföra brott som avses i bilaga I till Europolförordningen.  

I direktivet hänvisas det i fråga om allvarliga brott till bilaga I till Europolförordningen. Dessutom borde det till lagen om centralen för utredning av penningtvätt fogas hänvisningar till de allvarliga brott som avses i bilagan till Europolförordningen för att centralen för utredning av penningtvätt ska ha behörighet att samarbeta med behöriga myndigheter för att förebygga, upptäcka och utreda ovannämnda brott och lämna ut uppgifter för detta ändamål. Det bör noteras att bilagan till Europolförordningen inte innehåller flera typer av brott i fråga om vilka polisen och andra myndigheter med stöd av gällande lagstiftning har behörighet att få uppgifter om bank- och betalkonton. En avgränsning till de brott som nämns i bilagan till Europolförordningen skulle enligt direktivet om finansiell information innebära att åtkomsten till övervakningssystemet för bank- och betalkonton bör begränsas till dessa brott. Brotten i bilagan till Europolförordningen omfattar inte heller t.ex. brott som hotar den nationella säkerheten och som ur nationell synvinkel är allvarliga brott.  

Enligt gällande lagstiftning hör förebyggande, avslöjande, utredning och lagföring av brott i Finland till polisens, Tullens, Gränsbevakningsväsendets och åklagarnas samt i vissa fall till Försvarsmaktens och Brottspåföljdsmyndighetens behörighet. Till uppgifterna för centralen för utredning av penningtvätt hör förhindrande, avslöjande och utredning av penningtvätt och finansiering av terrorism och att föra sådana ärenden till undersökning. Att begränsa detta till åtkomst till uppgifter i anslutning till brott som avses i bilaga I till Europolförordningen lämnar i praktiken bland dessa myndigheter kvar polisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet.  

Polisens datasöksystem för bankkonton omfattar alla brott som omfattas av polisens behörighet och rätt till information enligt polislagen. Åtkomsträtt enligt direktivet om finansiell information innebär i fråga om kontoregistret och datasöksystemet att åtkomsträtten begränsas till brott enligt bilaga I till Europolförordningen.  

Det skulle inte vara ändamålsenligt att för polisen bygga upp ett helt nytt system för användning av registret över bank- och betalkonton enligt direktivet om finansiell information och datasöksystemet för bank- och betalkonton, utan dessa funktioner ska enligt förslaget byggas upp som en del av polisens nästan färdiga system. Det borde göras tekniska tillägg och ändringar genom vilka polisens åtkomsträtt till uppgifterna i registret över bank- och betalkonton och datasöksystemet för bank- och betalkonton skulle begränsas till vissa brott på det sätt som lagen förutsätter. Kostnaderna för detta uppskattas till cirka 80 000 euro.  

Om man vid genomförandet av direktivet endast skulle göra de ändringar som direktivet förutsätter, skulle antalet myndigheter som har rätt att använda övervakningssystemet för bank- och betalkonton och användningsgraden för systemet fortfarande vara mycket begränsade. Detta skulle varken vara kostnadseffektivt eller ändamålsenligt och skulle inte uppfylla direktivets syften.  

Användningen av övervakningssystemet för bank- och betalkonton måste övervakas för att man ska kunna rapportera om konsekvenserna av direktivet om finansiell information på ett lämpligt sätt. Om direktivet skulle genomföras endast i enlighet med minimikraven, skulle övervakningen av användningen förutsätta nya rapporteringsegenskaper i polisens elektroniska system för bankförfrågningar, för att polisens användning enligt direktivet om finansiell information skulle kunna särskiljas från annan användning av polisens datasöksystem som gäller alla typer av brott. Sådana egenskaper har inte införts före de aktuella lagändringarna och utvidgningarna av användningsområdet. Kostnaderna för byggandet av ett uppföljnings- och rapporteringsverktyg skulle uppgå till cirka 20 000 euro. 

I propositionen föreslås att det byggs ett sammanställningsprogram genom vilket uppgifter i övervakningssystemet för bank- och betalkonton kan lämnas ut till behöriga myndigheter. Till denna del ansluter förslaget till kompletteringen av genomförandet av femte penningtvättsdirektivet och förebådar också de sjätte penningtvättsdirektivet som innehåller ett förslag om sammankoppling av bank- och betalkontoregistren. Om kommissionens förslag om sammankoppling av medlemsstaternas bank- och betalkontoregister träder i kraft, gör det nuvarande decentraliserade övervakningssystemet för bank- och betalkonton där man måste bygga ett eget gränssnitt till varje datasöksystem och kontoregister det inte möjligt för behöriga myndigheter i andra medlemsstater att får direkt och omedelbar åtkomst till uppgifterna i övervakningssystemet för bank- och betalkonton på ett fungerande och kostnadseffektivt sätt. I fråga om det nationella genomförandet av det sjätte penningtvättsdirektivet kan man vänta att man i vilket fall som helst måste bygga ett system som är mer centraliserat än det nuvarande och genom vilket man kan direkt och omedelbar kan svara på begäranden om information från behöriga myndigheter i andra medlemsstater. 

Det nationella handlingsutrymmet och hur det används 

När det gäller handlingsutrymmet som direktivet om finansiell information och penningtvättsdirektivet tillåter kan det sammantaget konstateras att det för det första har använts när det gäller förslagen om åtkomst till övervakningssystemet för bank- och betalkonton för andra myndigheter än centralen för utredning av penningtvätt och nationellt behöriga myndigheter för att fullgöra skyldigheter enligt penningtvättsdirektivet och för kontoret som ansvarar för återvinning av tillgångar för ändamål enligt direktivet om finansiell information. Vidare har handlingsutrymmet använts när det på grund av nationella behov föreslås åtkomst till övervakningssystemet för bank- och betalkonton för andra ändamål än de som penningtvättsdirektivet och direktivet om finansiell information förutsätter.  

5.2  Handlingsmodeller som planeras eller används i andra medlemsstater

I april 2020 gjordes en informell enkät till de övriga EU-medlemsstaterna om vilka åtgärder medlemsstaterna har planerat eller vidtagit för att genomföra direktivet om finansiell information. Enligt enkäten hade genomförandet av direktivet om finansiell information ännu inte inletts i 14 av de medlemsstater som besvarade enkäten. I flera medlemsstater pågick då genomförandet av det femte penningtvättsdirektivet fortfarande, inklusive inrättandet av ett centraliserat register över bank- och betalkonton eller ett datasöksystem.  

I kommissionens konsekvensbedömning 30.4.2018 SWD (2018) 114 final om förslaget till direktiv om finansiell information konstaterades att 16 medlemsstater hade inrättat ett bankkontoregister eller datasöksystem. I en del medlemsstater hade direkt eller indirekt åtkomst till registret eller datasöksystemet beviljats för vissa brottsbekämpande myndigheter och i en del medlemsstater för kontor för återvinning av tillgångar. I konsekvensbedömningen fästes uppmärksamhet vid att brottsbekämpande myndigheter inte har fått åtkomst till dessa system och att de fortfarande är tvungna att göra ospecificerade förfrågningar om bank- och betalkonton hos flera banker. Detta kan leda till att banken omvärderar hela kundrelationen med den kund som förfrågan gäller och flyttar kunden till en annan riskkategori eller att banken låter bli att inleda en kundrelation, om en sådan begäran har framställts om kunden. I konsekvensbedömningen konstateras på sidan 12 att Europeiska datatillsynsmannen ansåg i de i riktade konsultationerna med berörda parter att ospecificerade förfrågningar om bankkonton är uppenbart problematiska ur ett dataskyddsperspektiv.  

I Tyskland har det sedan 2003 funnits ett centraliserat datasöksystem som förvaltas av den tyska federala finansinspektionen (BaFin). Via datasöksystemet kan man söka bank- och betalkontonummer, värdeandelskontonummer, datum för öppnande och avslutande av kontot, kontoinnehavarens namn och födelsetid, namn på den juridiska person som har rätt att använda kontot eller den verkliga förmånstagarens namn och adress. Förutom uppgifter om bank- och betalkonton innehåller systemet också uppgifter om inlåningskonton och värdeandelskonton. Flera myndigheter har rätt att få information om systemet, inklusive finansinspektionen, den federala skattemyndigheten (BZSt), de brottsbekämpande myndigheterna och finansunderrättelseenheten. Endast finansinspektionen och skattemyndigheten har direkt åtkomst till systemet och andra myndigheter ska begära uppgifter av dem. De brottsbekämpande myndigheterna sänder sina förfrågningar till finansinspektionen, som ofta besvarar brådskande förfrågningar under samma dag.  

Grekland har ett register över bank- och betalkonton som finansunderrättelseenheten, kontoret för återvinning av tillgångar, poliser som utreder ekonomisk brottslighet och åklagarna har indirekt åtkomst till. Dessa myndigheter sänder förfrågningar via den oberoende skattemyndigheten och alla förfrågningar besvaras inom 48 timmar. 

I Frankrike har olika myndigheter såsom de brottsbekämpande myndigheterna och finansunderrättelseenheten omfattande åtkomst till bankkontoregistret.  

Belgien har ett centraliserat register över bank- och betalkonton, vars uppgifter uppdateras årligen. Det belgiska registret över bank- och betalkonton innehåller kontonummer i IBAN-format på belgiska och utländska enskilda personers, företags och föreningars konton och uppgifter om kontoinnehavarna samt vissa i lagstiftningen angivna finansieringsavtal, t.ex. en del låneavtal, leasingavtal, placeringsavtal och penningöverföringar. I detta register, som uppdaterats år 2018, införs också uppgifter om personer som har beviljats användningsrätt till kontot genom fullmakt. Belgiska centralbanken ser en gång per år till att uppgifter till registret samlas in från kreditinstitut, valutaväxlingsbyråer och vissa andra yrkesmässiga kreditgivare som har sitt säte i Belgien. Registret innehåller också uppgifter om kontoavtal som gäller en kortare tid än ett år. Sedan 2014 är enskilda personer som bor i Belgien också skyldiga att anmäla numren på sina bank- och betalkonton utomlands till registret. 

Remissvar

Propositionsutkastet var ute på remiss 11.2.2021–26.3.2021, och hos Ålands landskapsregering 24.2.2021–8.4.2021. Yttranden lämnades av Ålands landskapsregering, Regionförvaltningsverket i Södra Finland, Finanssiala ry, centralkriminalpolisen, justitiekanslersämbetet, skyddspolisen, Dataombudsmannens byrå, Tullen, Utsökningsverket, finansministeriet och Skatteförvaltningen. Försvarsministeriet konstaterade att det inte har något att yttra om propositionen.  

Ålands landskapsregering konstaterar i sitt yttrande att man i motiveringarna till förslaget med polisen avser både enheter som lyder under Polisstyrelsen och skyddspolisen. Ålands landskapsregering anser att bestämmelserna bör utformas så att även Ålands polismyndighet har rätt att ta del av uppgifterna i övervakningssystemet för bank- och betalkonton. Ålands polismyndighet är inte underställd inrikesministeriet utan Ålands landskapsregering. 

Bestämmelser om tillämpningen av polislagen finns i landskapslagen (2021:12). Enligt den lagen tillämpas de bestämmelser i polislagen med stöd av vilka rikets polismyndighet har rätt att få uppgifter om bankkonton även på Ålands polismyndighet med vissa i lagen nämnda undantag. Bestämmelserna i polislagen som avser behörighet att få uppgifter om bankkonton tillämpas även på Ålands polismyndighet. I den fortsatta beredningen av förslaget har motiveringarna till de föreslagna bestämmelserna om åtkomsten till övervakningssystemet för bank- och betalkonton tydliggjorts så att åtkomsten även gäller Ålands polismyndighet.  

Finanssiala ry konstaterar i sitt yttrande bl.a. att den understöder digitaliseringen och automatiseringen av de bankförfrågningar som myndigheterna gör inom ramen för deras befogenheter i den omfattning det är möjligt med beaktande av kundens, bankens och eventuella tredje parters rättigheter och skyddet av dem. För att minska de administrativa och ekonomiska kostnaderna för de ömsesidiga lösningarna mellan myndigheterna och bankerna anser remissinstansen det vara förnuftigt att även utreda möjligheterna till ett mer omfattande utnyttjande av övervakningssystemet för bank- och betalkonton eller någon annan centraliserad lösning.  

Finanssiala ry anser det vara nödvändigt att de tekniska och administrativa lösningar som väljs till alla delar beaktar skyldigheterna i lagstiftningen beträffande bankernas dataskydd och bankhemlighet. Om en centraliserad lösning genomförs, måste det också säkerställas, t.ex. utifrån övervakningssystemet för bank- och betalkonton, att den ersätter de befintliga och planerade ömsesidiga datasöksystemen mellan myndigheterna och bankerna.  

Om det beslutas att det föreslagna sammanställningsprogrammet genomförs, anser Finanssiala ryatt det är nödvändigt att samtidigt precisera bestämmelserna så att frågan om den personuppgiftsansvarige kan lösas klart och tydligt även för datasöksystemet för bank- och betalkonton.  

Finanssiala ry anser att kreditinstitut under alla omständigheter ska kunna verifiera vem som har frågat efter uppgifter, för vilket ändamål, på vilka grunder och vilken frågeställarens ställning är för att kunna säkerställa att frågeställaren har rätt att få uppgifterna. Kreditinstituten ska även i efterhand kunna visa att de innan uppgifterna lämnades ut har säkerställt att den aktör som begärde uppgifterna enligt lag har rätt till och behov att få personuppgifter.  

I den fortsatta beredningen av propositionen konstateras att det föreslås att Tullen ska vara personuppgiftsansvarig för sammanställningsprogrammet. Kreditinstituten lämnar uppgifter till datasöksystemet för bank- och betalkonton ur sina egna system och fungerar fortfarande som personuppgiftsansvariga för dem.  

Finanssiala ry fäster uppmärksamhet vid att utkastet förefaller utgå från att den användarrätt som baserar sig på den nationella utvidgningen av antalet användare av och ändamål för övervakningssystemet för bank- och betalkonton, som föreslås i 3 § i lagen om ett övervakningssystem för bank- och betalkonton, automatiskt skulle ge de aktuella myndigheterna åtkomst till alla uppgifter i övervakningssystemet som gäller en viss kund, ett visst konto eller ett visst bankfack. Remissinstansen anser det emellertid vara klart att varje myndighets rätt att få eller behandla uppgifter i övervakningssystemet begränsar sig endast till de uppgifter den har rätt att behandla och ett faktiskt på lag baserat användningsbehov och anser att kreditinstituten inte har förutsättningar till sådana avgränsningar när de svarar på myndigheternas uppgiftsförfrågningar, utan att avgränsningarna ska göras via de tekniska specifikationerna i Tullens sammanställningsprogram och kreditinstitutens datasöksystem. Ansvaret för adekvata förfrågningar och för tillsynen ska finnas hos myndigheterna, inte hos kreditinstituten.  

I den fortsatta beredningen av propositionen har bestämmelserna om de uppgifter som förmedlas via datasöksystemen för bank- och betalkonton gjorts tydligare, likaså myndigheternas rätt att få uppgifter. 

Finanssiala ry uppmärksammar att det i artikel 6 i direktivet om finansiell information föreskrivs om övervakning av de behöriga myndigheternas åtkomst och sökningar. Artikeln förutsätter att de som ansvarar för dataskyddet för bank- och betalkontoregistren ska kontrollera loggarna regelbundet och loggarna ska på begäran göras tillgängliga för den inrättade behöriga myndigheten i enlighet med artikel 41 i polisdirektivet. Finanssiala ry förundrar sig över att de nämnda skyldigheterna inte ingår i de ändringar som föreslås i 10 § i lagen om ett övervakningssystem för bank- och betalkonton.  

I den fortsatta beredningen av propositionen konstateras att dataombudsmannen har rätt att få de uppgifter ur loggregistret som avses i 10 § i lagen om ett övervakningssystem för bank- och betalkonton redan med stöd av den gällande lagstiftningen. Det finns också bestämmelser om dataskyddsombudets uppgifter i dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, men för genomförandet av direktivet har det i propositionen tagits med ett förslag att loggarna ska granskas regelbundet.  

Finanssiala ry konstaterar att det anser att förslaget till begränsning av den registrerades rättigheter enligt det nya 7a § 4 mom. går för långt och föreslår att det slopas. I den fortsatta beredningen av propositionen har förslaget om begränsning av den registrerades rättigheter ändrats på det sätt som direktivet om finansiell information möjliggör så att det är mer omfattande än i förslaget som är ute på remiss.  

Finanssiala ry anser det vara nödvändigt och konsekvent att även behandlingen av de nationella utvidgningarna av antalet användare av och användningsändamål för övervakningssystemet förs över till det separata projektet om att lägga till kontotransaktioner, och att det propositionsutkast som nu är på remiss skulle begränsas endast till de ändringar som är nödvändiga för att genomföra direktivet om finansiell information före den 1 augusti 2021. Dessutom föreslår Finanssiala ry att det för den fortsatta beredningen ska inrättas en separat bredbasig arbetsgrupp. 

Centralkriminalpolisen uppmärksammade i sitt yttrande att enligt dess uppfattning kan brott mot unionens finansiella intressen i Finland vara skattebrott. Dessutom lägger centralkriminalpolisen fram synpunkter på övervakningssystemet för bank- och betalkonton i dess helhet. Centralkriminalpolisen har dessutom vissa förtydligande synpunkter som har beaktats i den fortsatta beredningen av propositionen. Centralkriminalpolisen anser det vara viktigt att beredningen av att införliva uppgifterna om kontotransaktioner i systemet sker i snabb ordning eftersom det nuvarande systemet medför osäkerhet och överlappande kostnader både hos myndigheterna och de finansiella aktörerna.  

Justitiekanslersämbetet fäster i sitt utlåtande uppmärksamhet vid att regeringens proposition har flera syften och konstaterar att mångfalden i dem förutom tillräcklig noggrannhet i identifieringen och presentationen av det nationella handlingsutrymme de enskilda direktiven medger även förutsätter anpassning av förslagen till den helhet av normer och funktioner genom vilka man försöker förhindra användningen av det finansiella systemet för penningtvätt och numera även finansiering av terrorism. Justitiekanslersämbetet anser det klart att den föreslagna nationella användningen av centraliserade mekanismer som är mer omfattande än i direktivet om finansiell information ska motiveras särskilt ingående i ljuset av dels grundlagsutskottets utlåtande GrUU 48/2018 rd och övriga praxis, dels rättspraxis vid Europeiska unionens domstolar. 

Justitiekanslersämbetet uppmärksammar att propositionsutkastet inte uttrycker vad som slutligen avses med ”bankförfrågningar” i polisens system för elektroniska förfrågningar som det hänvisas till. I den fortsatta beredningen av propositionen förklaras verksamheten i polisens system för elektroniska förfrågningar.  

Justitiekanslersämbetet påpekar att det bör beaktas att varken innehållet i en uppgiftsbegäran och svaret på den eller uppgifterna om en uppgiftsbegäran eller svaret på den som görs i sammanställningsprogrammet till någon del eller i någon relation i propositionsutkastet föreslås hållas hemliga med dithörande tystnadsplikt och utnyttjandeförbud. I den fortsatta beredningen av förslaget ingår ett förslag till bestämmelse om detta i lagen om ett övervakningssystem för bank- och betalkonton. 

Justitiekanslersämbetet anser att det bör beaktas att det föreslagna nya 7a § 2 mom. i lagen om övervakningssystemet är ovanligt vagt formulerat och anser att avgränsningen av vad aktörerna de facto ska förmedla till varandra i det nya sammanställningsprogrammet inte kan vara beroende endast av Tullens rätt att fastställa de tekniska kraven, utan att det måste finnas tillräckliga grundläggande bestämmelser i lagen. Propositionen har till denna del preciserats i den fortsatta beredningen.  

Justitiekanslersämbetet föreslår att de föreslagna bestämmelser som gäller centralen för utredning av penningtvätt begränsas. Detta förslag har beaktats i den fortsatta beredningen. 

Justitiekanslersämbetet anser att det i motiveringarna till lagstiftningsordning ingående bör beskrivas och specificerat motiveras vad de enskilda direktiven i detta sammanhang förutsätter, vad de tillåter och vilket deras allmänna syfte är samt vad som görs av rent nationella behov och varför. Den i propositionsutkastet mer omfattande nationella användningen av centraliserade mekanismer än det som direktivet om finansiell information anger ska motiveras särskilt ingående i ljuset av dels grundlagsutskottets utlåtande GrUU 48/2018 rd och övriga praxis, dels rättspraxis vid Europeiska unionens domstolar. Motiveringen i propositionen har förtydligats till denna del i den fortsatta beredningen.  

Justitiekanslersämbetet anser att propositionsutkastet inte heller på ett lämpligt sätt har lyckats vikta de olika användningsändamålen för sammanställningsprogrammet och väga de olika syftena mot varandra varken gällande privatlivet och skyddet för personuppgifter eller övriga grundläggande rättigheter i anslutning till informationen och den tyngd de ges. Detta är ett avvägande som ska göras med hjälp av de allmänna inskränkningsgrunderna för de konstitutionella grundläggande rättigheterna och de särskilda inskränkningsgrunderna för de specifika grundläggande rättigheterna och intresseavvägningen i relation till dessa rättigheter. Propositionens motiveringar har kompletterats till denna del i den fortsatta beredningen.  

Justitiekanslersämbetet anser att förslaget om antalet myndigheter som använder sammanställningsprogrammet och som är berättigade att få uppgifter och de ändringar som gjorts i de bestämmelser som tidigare godkänts av riksdagen bör gås igenom ingående i motiveringarna till lagstiftningsordningen. Likaså ska utseendet till behörig myndighet som förutsätts i artikel 3 i direktivet om finansiell information och dess eventuella konsekvenser för rättigheterna att få information motiveras separat i behövlig omfattning för varje myndighet i motiveringarna till lagstiftningsordningen. Justitiekanslersämbetet anser att det handlar om huruvida förslaget om sammanställningsprogrammet och förslagen om de myndigheter som har rätt att använda det och om dess användningsändamål är godtagbara med tanke på skyddet för privatlivet och personuppgifter och de samlade grundläggande rättigheter som knyter an till informationen. De myndigheter som avses i förslaget har uppenbarligen redan de rättigheter att få information som det hänvisas till i propositionsutkastet till övriga delar än den omsorgsplikt som nämns i penningtvättslagen. Slutligen ställs då mot varandra å ena sidan de allmänna syften, som dessa rättigheter att få information i sig onekligen gagnar, och de kostnadsbesparingar som vid utnyttjandet av dessa rättigheter att få information uppnås med hjälp av sammanställningsprogrammet, där uppnåendet dock i propositionsutkastet är förbundet med outtalade villkor, och å andra sidan att användningen av sammanställningsprogrammet redan i sig innebär ett djupare ingripande i skyddade rättigheter och antagligen även det att man i allt snabbare takt ingriper i ett ökande antal personers privatliv och skydd av personuppgifter. 

Justitiekanslersämbetet anser att det när det gäller bestämmelsernas noggrannhet bör övervägas om det ändå i 3 §, som föreslås ändras i lagen om övervakningssystemet, bör tas med ett omnämnande av att myndigheten bör ha en någon annanstans i lag föreskriven rätt att få de uppgifter som är tillgängliga via användningen av sammanställningsprogrammet. Förslaget har tagits med vid den fortsatta beredningen av propositionen.  

Justitiekanslersämbetet konstaterar att de föreslagna ändringarna i lagen om centralen för utredning av penningtvätt inte har bedömts i motiveringarna till lagstiftningsordningen i propositionsutkastet. Emellertid utvidgar även dessa ändringsförslag informationsutbytet mellan myndigheterna, vilket förutsätter att de bedöms åtminstone med hänsyn till skyddet för privatliv och personuppgifter. Motiveringen till lagstiftningsordningen har kompletterats till denna del.  

I justitieministeriets utlåtande konstateras att grundlagsutskottets tolkningspraxis gällande behandlingen av personuppgifter, inklusive behandlingen av personuppgifter i den informationssystemhelhet som avses i det första lagförslaget i propositionsutkastet har tydliggjorts på ett adekvat och detaljerat sätt. Justitieministeriet uppmärksammar att motiveringarna dock till vissa delar är till och med alltför detaljerade med beaktande av innehållet i propositionsutkastet. I den fortsatta beredningen har propositionen förtydligats till denna del och motiveringarna komprimerats. Justitieministeriet anser att det bör framgå av propositionen i vilken utsträckning direktiven medger handlingsutrymme i lagstiftningen och den har kompletterats till denna del.  

Justitieministeriet anser att den föreslagna ändringen i 3 § i det första lagförslaget är problematisk av konstitutionella skäl. Enligt ändringen ska de behöriga myndigheter som nämns i den ha rätt till åtkomst till de uppgifter som finns lagrade i systemet om det är nödvändigt för att utföra de uppgifter som nämns i paragrafen. Den gällande bestämmelsen förutsätter att uppgifterna är nödvändiga. Förslaget har slopats i den fortsatta beredningen av propositionen.  

Justitieministeriet anser att det bör beaktas att även om känsliga uppgifter inte direkt syns när uppgifter söks, förefaller datasökningen i ljuset av lagförslaget vara till den grad automatiserad att det skulle gå att begära och lämna ut känsliga uppgifter snabbare och effektivare än tidigare. I den fortsatta beredningen konstateras att övervakningssystemet för bank- och betalkonton inte innehåller känsliga uppgifter eftersom uppgifter om kontotransaktioner inte lämnas ut till eller lagras i systemet.  

Som en allmän iakttagelse om dataskyddet fäster justitieministeriet uppmärksamhet vid att propositionsutkastet som en omständighet som talar för förslaget framför att antalet ospecificerade förfrågningar minskar, och till denna del hänvisas även till Europeiska dataskyddsombudsmannens åsikt. I propositionsutkastet förblir det emellertid oklart på vilket sätt dataskyddet skulle förbättras eftersom information om grunderna för att få uppgifter enligt propositionen skulle förmedlas till den som lämnar ut uppgifterna (s. 58). Av motiveringarna i propositionsutkastet är det svårt att få en uppfattning om på vilket sätt de ospecificerade förfrågningarna skulle minska om en uppgiftsbegäran i sammanställningsprogrammet alltid leder till att uppgifter söks både i bank- och betalkontoregistret och datasöksystemen, till vilka det alltså förmedlas information om förfrågan och grunderna för förfrågan till den som lämnar ut uppgifter i det skede när den som begär uppgifterna ännu inte vet i vilka banker det finns kundrelationer. Propositionen har till denna del preciserats i den fortsatta beredningen.  

Justitieministeriet uppmärksammar att det i 3 § i lagförslaget föreslås att flera myndigheter, vilkas koppling till systemets användningsändamål inte är särskilt uppenbar, får åtkomst till systemet. När det i lagstiftningen föreslås märkbara inskränkningar i skyddet för privatlivet bör det för varje myndighet vara nödvändigt. Motiveringarna har kompletterats i den fortsatta beredningen av propositionen.  

Justitieministeriet konstaterar att det i samband med de föreslagna rättigheterna att få information dessutom bör beaktas att ju mer omfattande åtkomst till uppgifter det tillåts, desto fler risker är lagstiftningen förknippad med när det gäller fysiska personers privatliv och skydd för personuppgifter. Dessutom finns det anledning att beakta att överföringen av uppgifter med det nya programmet i praktiken enligt den föreslagna 7a § skulle vara automatiserad. Det kan således ifrågasättas i vilken mån den personuppgiftsansvarige här har möjlighet till övervägande. Justitieministeriet fäster till denna del uppmärksamhet vid artikel 31 i dataskyddsförordningen enligt vilken utgångspunkten är att myndigheternas begäranden om att uppgifter ska lämnas ut alltid ska vara skriftliga och motiverade och läggas fram i enskilda fall. I den fortsatta beredningen är det också av dessa anledningar skäl att även på författningsnivå säkerställa att man försöker minimera riskerna genom att begränsa åtkomsten till uppgifter till vad som är nödvändigt för en enskild myndighets skötsel av sina uppgifter.  

Justitieministeriet konstaterar att det inte anser att det av ändamåls- och kostnadsskäl är motiverat att åklagarna har direkt åtkomst till informationssystemet. I den fortsatta beredningen av propositionen har åklagarnas direkta åtkomst till övervakningssystemet för bank- och betalkonton slopats.  

För Utsökningsverkets del anser justitieministeriet att det är motiverat med direkt åtkomst till systemet via sammanställningsprogrammet och att det i princip stöder förslaget. Utsökningsverkets uppgift är att verkställa bl.a. försummade betalningsskyldigheter samt beslut om kvarstad och tillfällig kvarstad. I en del av utsökningsärendena handlar det om skadestånd eller indrivning av en förverkandepåföljd i form av pengar eller tryggandet av en sådan förestående betalningsskyldighet. Dessutom ser Utsökningsverket enligt lagen om frysning av tillgångar i syfte att bekämpa terrorism (325/2013) till verkställandet av beslut om frysning av medel enligt lagen om bekämpning av terrorism. Justitieministeriet fäster uppmärksamhet vid att även om Utsökningsverket inte i alla sina uppgifter är en sådan behörig myndighet som avses i direktivet om finansiell information, är en del av dess uppgifter dock nära kopplade till direktivets tillämpningsområde.  

Direkt åtkomst till systemet skulle effektivisera myndighetens arbete. Utsökningsverket gör enligt propositionsutkastet årligen cirka 10 miljoner bankförfrågningar. Även effektivitets- och ändamålsenlighetsskäl talar för Utsökningsverkets del för direkt åtkomst till systemet via sammanställningsprogrammet. Justitieministeriet anser att det även för den här myndighetens del dock finns anledning att fästa särskild uppmärksamhet vid motiveringarna till den föreslagna utvidgningen. Motiveringarna i propositionen har kompletterats vid den fortsatta beredningen. 

Justitieministeriet fäster inrikesministeriets uppmärksamhet vid att anslutningen till systemet trots sammanställningsprogrammet förutsätter att det byggs ett gränssnitt även till informationssystemet hos den myndighet som söker information. I propositionsutkastet saknas kostnadsuppskattningarna helt för de enskilda föreslagna myndigheterna. Justitieministeriet anser att de ska läggas till i propositionsutkastet för att det ska vara möjligt att bedöma förslagets genomförbarhet och kostnadseffektivitet. Justitieministeriet konstaterar att de ökande informationsförvaltningsutgifterna innebär ett kostnadstryck för Utsökningsverket. När kostnadsuppskattningen preciseras bör ett eventuellt behov av extra anslag för Utsökningsverket inom ramen för statsbudgeten bedömas. Vid den fortsatta beredningen har kostnadseffekterna förtydligats.  

För konkursombudsmannens del konstaterar justitieministeriet att propositionsutkastet inte desto mer noggrant beskriver konkursombudsmannens behov av uppgifter från systemet och behovets omfattning och inte heller lägger fram någon kostnadsuppskattning för anslutning till systemet. Utifrån propositionsutkastet går det inte att för konkursombudsmannens del bedöma förslagets förenlighet med dataskyddslagstiftningen, dess genomförbarhet och kostnadseffektivitet. Vid den fortsatta beredningen slopades förslaget som gällde konkursombudsmannen till följd av justitieministeriets anmärkningar.  

I justitieministeriets yttrande fästs uppmärksamhet vid bestämmelserna om logguppgifterna och vid förutsättningarna för personalens åtkomst till uppgifterna i den föreslagna bestämmelsen om de behöriga myndigheterna. Enligt yttrandet bör det vid den fortsatta beredningen mer specifikt bedömas till vilka delar dataskyddsförordningen möjliggör bestämmelser som kompletterar den och till vilka delar en anpassning av bestämmelserna i dataskyddsförordningen anses nödvändiga för skyddet av personuppgifter. Detta bör vid behov beaktas i de föreslagna bestämmelserna och motiveringarna. Det bör även framgå av motiveringarna vilka av bestämmelserna i dataskyddsförordningen som är tänkta att anpassas med specialbestämmelser. Dataskyddskraven på den personuppgiftsansvarige följer direkt av artiklarna 24, 25 och 32. Om exempelvis personalens åtkomst till uppgifter föreskrivs direkt i artikel 32.4 i dataskyddsförordningen. Däremot ingår det inte uttryckliga bestämmelser om logguppgifter i dataskyddsförordningen. 

Justitieministeriet anser att angivandet av personuppgiftsansvarig för det nya sammanställningsprogrammet i sig är motiverad. Justitieministeriet har emellertid redan i samband med beredningen av tidigare lagändringar fäst finansministeriets uppmärksamhet vid att personuppgiftsansvaren i de gällande lagarna är något otydliga. Övervakningssystemet förefaller framöver handla om en helhet bestående av tre delar, där det blir oklart av vilken anledning det har avvikits från myndighetens uppgift som personuppgiftsansvarig i fråga om datasöksystemet. Justitieministeriet föreslår att det vid den fortsatta beredningen bedöms om det finns anledning att förtydliga bestämmelserna om personuppgiftsansvaret samtidigt som det föreslås att det läggs till en ny uppgift som personuppgiftsansvarig i lagen.  

Angående 11 § som avser vite handlar det om ett tillägg till följd av den planerade lagändringen i paragrafen. Det centrala innehållet i paragrafen är till stora delar detsamma som i den gällande lagen. Justitieministeriet har inget att anmärka på den föreslagna bestämmelsen med undantag av den tekniska iakttagelsen.  

Justitieministeriets iakttagelser om det andra lagförslaget i propositionen är närmast desamma som justitiekanslersmyndighetens och dessutom lägger justitieministeriet fram vissa tekniska iakttagelser i sitt yttrande som har beaktats vid den fortsatta beredningen av propositionen.  

Polisstyrelsen konstaterar i sitt yttrande bl.a. att den anser det vara nödvändigt att inleda ett separat projekt för att lägga till uppgifter om kontotransaktioner i övervakningssystemet för bank- och betalkonton för att inrikesministeriet ska kunna utreda frågan som fort som möjligt. Polisstyrelsen uppmärksammar beträffande sammanställningsprogrammet att så länge som endast en del av uppgifterna fås via detta gränssnitt (ägarna/innehavarna av kontot och uppgifter om bankfack) är den operativa nyttan minimal för polisen. Det centrala polisen behöver i sitt arbete är uppgifter om kontotransaktioner. 

Polisstyrelsen anser att det för helhetsbildens skull ytterligare vore bra att beakta den internationella lagstiftningen och eventuella ändringar och behov som den föranleder. Arbetsgruppen EMPACT har i sitt utlåtande Harmonizing Bank Statements Formats från den 11 november 2020 konstaterat att den även i Finland kommer att rekommendera den befintliga strukturen (ISO20022) för ett internationellt förenhetligande av bankförfrågningar. Dessutom är att förvänta en sammanslagning av bank- och betalkontosystemen på EU-nivå, för vilket den bästa lösningen vore ett centraliserat kontoregister i stället för olika sökgränssnitt, såsom centralkriminalpolisen har föreslagit i en arbetsgrupp. Det skulle vara enkelt att koppla till det europeiska systemet jämfört med att de internationella förfrågningarna fortfarande skulle förmedlas till sökgränssnitten i de finska bankerna. 

Polisstyrelsen föreslår dessutom en ändring i propositionens motiveringar till kostnaderna för polisens datasöksystem. Polisstyrelsen konstaterar att den instämmer i de omständigheter som centralkriminalpolisen tar fram i sitt yttrande. 

Skyddspolisen konstaterar att de uppgifter som omfattas av bankhemligheten utgör en central datakälla för skyddspolisen vid förebyggande av brott och vid skydd av den nationella säkerheten. Skyddspolisen anser att det skulle vara mycket viktigt att även för skyddet av den nationella säkerheten kunna använda bank- och betalkontosystemet i dess verksamhet. Problematiskt vore om bank- och betalkontosystemet inte skulle kunna användas för att sköta alla de uppgifter som skyddspolisen åläggs i lag, utan endast begränsat för att förebygga brott. 

Den arbetsgrupp som beredde genomförandet av direktivet om finansiell information påpekades att det i övervakningssystemet för bank- och betalkonton för närvarande endast finns tillgång till uppgifter om vem som äger kontot. Arbetsgruppen granskade också huruvida övervakningssystemet för bank- och betalkonton också skulle kunna omfatta uppgifter om kontotransaktioner. Den konstaterade att ärendet behöver beredas i ett separat projekt för att beredningen till följd av de anknytande grundlagsrelaterade anmärkningarna ska bli tillräckligt omsorgsfull. 

Skyddspolisen anser att inrikesministeriets lösning att avskilja möjligheten att få uppgifter om kontotransaktioner via systemet till ett separat projekt som motiverad, i synnerhet med beaktande av de tidsgränser som satts för genomförandet av direktivet. Enligt skyddspolisens åsikt talar flera omständigheter i anslutning till dataskyddet och effektiviteten för att inkludera uppgifter om kontotransaktioner i övervakningssystemet för bank- och betalkonton, varför det är viktigt att ett separat projekt aktualiseras så fort som möjligt. Detta kan även ha betydelse t.ex. vid utvecklingen av informationssystem i anslutning till det aktuella förslaget som varit ute på remiss. Skyddspolisen föreslår att det fortsatta projektet även skulle utreda möjligheten att utnyttja övervakningssystemet för bank- och betalkonton som en del av omfattande säkerhetsutredningar för att klargöra ekonomiska bindningar. Skyddspolisen kan med tillstånd av den som utredningen gäller inhämta uppgifter hos kredit- och finansinstitut för upprättandet av en säkerhetsutredning. Möjligheten att utnyttja övervakningssystemet för bank- och betalkonton skulle göra säkerhetsutredningsförfarandet mer effektivt genom kortare behandlingstider och skulle samtidigt minska skyddspolisens och kredit- och finansinstitutens arbetsmängd. Inom ramen för omfattande säkerhetsutredningar klargörs ekonomiska bindningar i cirka 600 ärenden varje år.  

Dataombudsmannens byrå fäster i sitt yttrande uppmärksamhet vid att förslaget handlar om myndigheternas rätt att få uppgifter som har getts innan dataskyddsförordningen kom till och syftet med dem var att föreskriva om undantag i synnerhet gällande bankhemligheten. Dataombudsmannens byrå konstaterar i sitt yttrande att även om motiveringarna till att föreskriva om undantag till bestämmelserna om sekretess oftast är desamma som de som kan anföras för att avvika från användningsändamålsenligheten finns det i artikel 23.1 många mål som föreslagits i det här sammanhanget. Eftersom det i artikel 23.2 finns krav på lagstiftningen, finns det i förslaget anledning att för varje myndighet bedöma de mål som vid varje tidpunkt tillämpas och de ur dem härledda behoven av kunduppgifter från banker och betalningsinstitut och således bedöma bestämmelsernas nödvändighet och proportionalitet i ett demokratiskt samhälle. I propositionen bör dessutom behovet av bestämmelser om kraven i artikel 23.2 bedömas, som skyddsåtgärderna i led d eller riskerna för den registrerades rättigheter och friheter i led g. 

Dataombudsmannens byrå konstaterar att det ansvar varje behörig myndighet har att upprätta en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen inte nödvändigtvis ur de registrerades synvinkel täcker de samlade konsekvenserna av ett centraliserat frågesystem, vilket uttryckligen bör vara konsekvensbedömningens mål. Dataombudsmannens byrå anser att man bör överväga att göra en bedömning av dataskyddskonsekvenserna i samband med beredningen även om en sådan inte helt eliminerar behovet av de personuppgiftsansvariges konsekvensbedömningar. Vid den fortsatta bedömningen har tillsätts en bedömning av dataskyddskonsekvenserna som gäller det centraliserat frågesystem. 

Dataombudsmannens byrå anser att artikel 5 i penningtvättsdirektivet förefaller förutsätta att personalen utöver det som föreskrivs i 3 a § i förslaget har en hög yrkesmässig standard till vilket man kan anse att det hos varje myndighet hör mer detaljerade anvisningar om de vanligaste förfrågningarna. Eftersom den föreslagna 3 a § kan förstås som ett enkelt krav på utnämning av personal, föreslår Dataombudsmannens byrå att av bestämmelsens ordalydelse eller motiveringar ska framgå syftet med att centralisera förfrågningarna för identifiering och vägledning av berättigade förfrågningar per myndighet. Det här är uttryckligen en skyldighet för myndighetsorganisationerna i fråga (personuppgiftsansvariga) för att upprätthålla en hög yrkesmässig standard hos sin personal och vid bedömningen av frågor om tjänsteansvar för en enskild tjänsteman i efterhand. Propositionen har till denna del förtydligats i den fortsatta beredningen. 

Dataskyddsombudsmannens byrå anser att det inte är aktuellt med sådana krav på övervakningen av användningen som skulle kunna anses vara motiverade enligt artikel 23.2 d, i synnerhet när avsikten senare är att föreslå att även uppgifter om kontotransaktioner läggs till i övervakningssystemet för bank- och betalkonton. Dataombudsmannens byrå har liknande synpunkter på det andra lagförslaget som justitiekanslersämbetet och justitieministeriet.  

Tullen dryftar i sitt yttrande om den föreslagna 3 § 1 punkten behövs, eftersom det dock i de övriga punkterna i samma paragraf beviljas mycket mer täckande befogenheter till polisen, Tullen, Gränsbevakningsväsendet och åklagarna. Vid den fortsatta beredningen av propositionen har det konstaterats att den ovannämnda föreslagna bestämmelsen gäller verkställandet av skyldigheten att utse en behörig myndighet enligt artikel 3.1 i direktivet om finansiell information. 

Det föreslås att det i 10 § 1 mom. om logguppgifter i lagen om ett övervakningssystem för bank- och betalkonton fogas till att ärendets referensuppgifter ska inkluderas i loggboken. Vid Tullen har det diskuterats vad dessa nationella referensuppgifter som nämns även i direktivet är. Det kan t.ex. förstås så att referensuppgifterna skulle innehålla t.ex. förundersökningsmyndighetens r-nummer eller något annat motsvarande internt diarienummer vid myndigheten med stöd av vilket sökningen i övervakningssystemet för bank- och betalkonton har gjorts. Antagligen handlar det alltså inte om ett referensnummer som övervakningssystemet för bank- och betalkonton självt skapar. Motiveringarna har till denna del förtydligats vid den fortsatta beredningen.  

Tillsynen över datasöksystemen förbättrar systemets tillförlitlighet och leder till att de uppgiftsskyldiga behandlas jämlikt oberoende av vilket system de använder.  

Tullen konstaterar i sitt yttrande att den ändring som enligt propositionen föreslås i övervakningssystemet gällande gemensamma konton som förvaltas av en advokat inte har föreslagits för kontoregistret. Dessutom har Tullen ett förtydligande förslag till hur sökningen skulle kunna göras. Detta har vid den fortsatta beredningen ändrats i enlighet med yttrandet.  

Tullen lägger fram iakttagelser om ett flertal aspekter i fråga om vilka regleringen om övervakningssystemet för bank- och betalkonton inte är enhetlig. Tullen konstaterar att det inte i fråga om datasöksystemet har angetts någon skyldighet att lämna uppgifter om när kundrelationen börjat och slutat då kontoinnehavaren är en fysisk person. Om kontoinnehavaren är en juridisk person finns det bestämmelser om denna skyldighet. För kontoregistrets del föreskrivs det uttryckligen i en egen punkt att även datum när kundrelationen börjar och slutar ska uppges. Inte heller för datasöksystemets del behöver kundrelationens start- och slutdatum uppges om innehavare av användningsrätt till kontot eller faktiska förmånstagare enligt den gällande lagen. För kontoregistret har det inte föreskrivits om att uppgifterna om kontots öppnings- och avslutningsdag ska sparas. För datasöksystemet saknas bestämmelser om skyldigheten att korrigera uppgifterna utan oskäligt dröjsmål. Om lämnandet av kontouppgifter då kontot redan har avslutats finns heller inga bestämmelser. För att säkerställa lagens inre samstämmighet vid den fortsatta beredningen har det formulerats förslag till bestämmelser om de ovannämnda frågorna.  

Utsökningsverket anser i sitt yttrande att propositionen mer ingående bör förtydliga mekanismen för hur sammanställningsprogrammet fungerar eftersom det av propositionen inte tydligt framgår att sammanställningsprogrammet inte gör förfrågningar i datasöksystem endast hos de kreditinstitut hos vilka det via kontoregistret har hittats en kundrelation. Det här har betydelse, eftersom det enligt lagen vid förfrågningar i datasöksystem till kreditinstituten ska uppges en specifik bestämmelse enligt vilken förfrågningen har gjorts. Vid den fortsatta beredningen av propositionen har det konstaterats att en del av uppgifterna i övervakningssystemet finns i kontoregistret och en del i datasöksystemen, och enbart en sökning i kontoregistret gör det inte möjligt att ta reda på uppgifter som ingår i datasöksystemet.  

Finansministeriet anser i sitt yttrande att propositionen bör förtydligas beträffande vilka bestämmelser som hänför sig till genomförandet av direktivet och vilka bestämmelser som föreslås på grund av nationella behov. Finansministeriet uppmärksammar att det inte nämns i propositionen varför det föreslås nationell lagstiftning som inte hör till direktivets tillämpningsområde. Finansministeriet föreslår ett åtskiljande mellan den bakgrund och beredning av ärendet som tillhör EU:s rättsliga område och bakgrunden och beredningen av den nationella lagen för att undvika missförstånd. Propositionen har förtydligats vid den fortsatta beredningen.  

På s. 7 i utkastet till regeringens proposition konstateras att skattebrott inte hör till de brott som räknas upp i Europolförordningen, men att om skattemyndigheter och korruptionsbekämpande organ är behöriga att förebygga, upptäcka, utreda eller lagföra brott enligt nationell rätt, bör de också anses vara myndigheter som kan utses med avseende på tillämpningen av detta direktiv i enlighet med skäl 11 i direktivet. Medlemsstaterna ges prövningsrätt huruvida skattemyndigheter och korruptionsbekämpande myndigheter utses till behöriga myndigheter i enlighet med direktivet. Dessutom konstateras i propositionsutkastet att i Finland har Skatteförvaltningen inte getts behörighet när det gäller att förebygga brott. Finansministeriet föreslår att det i detta sammanhang lyfts fram att i Finland ingår det i Tullens behörighet att övervaka och genomföra att bestämmelserna om tullbeskattning följs och att i fråga om dessa även skattebrotten ingår i Tullens behörighet och således är Tullen behörig myndighet på det sätt som direktivet avser i förebyggandet och avslöjandet av tullskattebrott. Dessutom har Tullen behörighet att förhindra, avslöja och undersöka sådana punktskattebrott och misstänkta mervärdesskattebrott vid import där Skatteförvaltningen tar ut skatten. Motiveringarna har till denna del ändrats i propositionen.  

Finansministeriet konstaterar att det enligt definitionerna i artikel 2 i direktivet om finansiell information med centraliserade bankkontoregister avses centraliserade automatiserade mekanismer såsom centrala register eller centrala elektroniska datasöksystem som införts i enlighet med artikel 32a 1 i penningtvättsdirektivet. Finansministeriet konstaterar att det sammanställningsprogram som administreras av Tullen bör behandlas som en del av det centraliserade bankregistret enligt definitionen i artikel 2 i direktivet och som en del av genomförandet av direktivet om finansiell information. Syftet med sammanställningsprogrammet som Tullen administrerar är sålunda inte att utvidga antalet behöriga myndigheter, utan att genomföra direktivet om finansiell information, vilket alltså entydigt framgår av definitionen av ett centraliserat bankregister enligt artikel 2 i direktivet om finansiell information. Motiveringen i propositionen har förtydligats till denna del.  

Enligt artikel 3.1 i direktivet om finansiell information ska varje medlemsstat, bland de myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott, utse de behöriga myndigheter som har befogenhet att få åtkomst till och söka i dess nationella centraliserade bankkontoregister. Finansministeriet anser att propositionsutkastet genomgående borde ha eftersträvat att mer exakt och bättre avgränsat specificera när myndigheten har utsetts med stöd av artikel 3 i direktivet om finansiell information, när med stöd av det femte penningtvättsdirektivet och när de behöriga myndigheterna utses med stöd av det nu aktuella lagförslaget. För en del av dessa behöriga myndigheter som utses med stöd av artikel 3 i direktivet om finansiell information har det redan tidigare föreskrivits eller föreslås det i denna proposition befogenheter i anknytning till myndighetens övriga uppgifter att få åtkomst till nationella centraliserade bankregister och göra sökningar i dem. Detta har förtydligats vid den fortsatta beredningen.  

Finansministeriet fäster uppmärksamhet även vid det som föreskrivs i artikel 3.2 i direktivet om finansiell information enligt vilket de behöriga myndigheterna inte med stöd av detta direktiv har åtkomst till de ytterligare uppgifter som medlemsstaterna anser vara väsentliga och inkluderar i de centraliserade bankkontoregistren i enlighet med artikel 32a.4 i penningtvättsdirektivet, enligt vilket medlemsstaterna kan överväga att kräva att andra uppgifter som anses vara viktiga för finansunderrättelseenheter och behöriga myndigheter när de fullgör sina skyldigheter enligt detta direktiv finns tillgängliga och sökbara via de centraliserade mekanismerna. De befogenheter som myndigheterna ges i lag att få åtkomst till och söka i de nationella centraliserade bankkontoregister som medlemsstaterna inrättar härleds från olika grunder. Därför skulle det enligt finansministeriet vara tydligare att dessa olika grunder skulle framgå mer exakt och vara bättre avgränsade från varandra på normnivå för att senare på ett enklare sätt kunna rikta uppgifter enligt artikel 32 a.4 endast till vissa uttryckliga arbetsuppgifter hos de behöriga myndigheterna.  

I kapitel V i direktivet om finansiell information finns ytterligare bestämmelser om behandling av personuppgifter. Till denna del vill finansministeriet fästa särskild uppmärksamhet vid artikel 18 i direktivet som gäller begränsningar av den registrerades rättigheter. Finansministeriet vill särskilt uppmärksamma möjligheten att helt begränsa den registrerades rätt till åtkomst till behandlade personuppgifter om sig själv. En sådan norm som totalt begränsar den registrerades rättigheter bör föreskrivas i synnerhet när det handlar om behandlingsåtgärder i anslutning till genomförandet av direktivet om finansiell information och som utförs med hjälp av det sammanställningsprogram som administreras av Tullen. Dessa åtgärder för behandling av personuppgifter enligt direktivet om finansiell information som de behöriga myndigheterna utför hör till tillämpningsområdet för dataskyddsdirektivet för brottsbekämpande myndigheter. Enligt finansministeriet är behandlingen av det slag att åtkomst till centraliserade bankregister och rätt att göra sökningar i dem utan undantag uppfyller de kriterier enligt vilka en myndighet har möjlighet att utnyttja sin prövningsrätt för att begränsa den registrerades rättigheter till personuppgifter om den registrerade själv. Eftersom man redan i förväg kan anta att kriterierna för att begränsa rättigheterna uppfylls är det motiverat att den registrerades rättigheter begränsas på lagstiftningsnivå. Om den registrerades rättigheter inte begränsas har den registrerade rätt att av den personuppgiftsansvarige få uppgifter t.ex. om huruvida en myndighet har gjort sökningar i kontouppgifter som gäller den registrerade själv och för vilket ändamål.  

Enligt finansministeriets uppfattning innebär det att inte utnyttja den möjlighet som direktivet ger att genom nationella lagstiftningsåtgärder helt begränsa de registrerades rättigheter till uppgifter som gäller dem själva i praktiken det att myndigheterna måste göra bedömningen separat varje gång från fall till fall. Den registrerade ska lämna sin begäran till den personuppgiftsansvarige, som är skyldig att svara på begäran. Tullen är personuppgiftsansvarig för behandlingen i sammanställningsprogrammet, vilket i praktiken innebär att Tullen som personuppgiftsansvarig bör ha åtkomst till uppgifter som Tullen inte annars inom ramen för sin befogenhet har för att kunna svara på de begäranden den registrerade gör om behandlingen. Om den registrerades rättigheter skulle begränsas helt i lagen om ett övervakningssystem för bank- och betalkonton i fråga om sammanställningsprogrammet, skulle det av Tullen som personuppgiftsansvarig inte först krävas att den från fall till fall utreder om förutsättningarna i den allmänna dataskyddslagen eller dataskyddslagen avseende brottmål uppfylls. Vid den fortsatta beredningen har det lagts fram ett förslag i propositionen.  

Finansministeriet anser att de ekonomiska konsekvenserna i regeringens utkast till proposition har framställts mycket komprimerat. Det vore bra att övergripande precisera dem i synnerhet när det gäller kostnader och fördelar. Enligt propositionsutkastet sparar sammanställningsprogrammet tre miljoner euro för gränssnitt, men av utkastet framgår inte de totala kostnaderna för gränssnitt och inte heller de organisationsvisa kostnaderna. Propositionen bör kompletteras till denna del. Dessutom vore det bra att precisera i synnerhet extrakostnaderna till följd av direktivet om finansiell information särskilt när det gäller Tullens ansvar. Motiveringarna i propositionen har kompletterats vid den fortsatta beredningen.  

Enligt propositionsutkastet ska Tullen bygga upp ett sammanställningsprogram för övervakningssystemet för bank- och betalkonton. Enligt en preliminär bedömning kan sammanställningsprogrammet skapas med finansiering som tidigare beviljats Tullens kontoregisterprojekt. Dessutom uppstår kostnader för de behöriga myndigheter som avses i lagen om ett övervakningssystem för bank- och betalkonton när de bygger gränssnitt till sammanställningsprogrammet. Finansministeriet anser att de ovannämnda kostnaderna kan finansieras med anslag som beviljats myndigheterna tidigare. Dessa har beaktats vid den fortsatta beredningen av propositionen. 

Finansministeriet har dessutom gjort vissa detaljerade iakttagelser om det första lagförslaget. Strävan har varit att ta hänsyn till dem vid den fortsatta beredningen.  

Skatteförvaltningen konstaterar i sitt yttrande att den ser det som viktigt att övervakningssystemet för bank- och betalkonton framöver utvecklas så att det inbegriper även uppgifter om kontotransaktioner. Genom att centralisera förfrågningarna om kontotransaktionsuppgifter skulle Skatteförvaltningens och andra myndigheters tillsynsuppgift effektiviseras, något som skulle ha betydande effekt vid bekämpningen av grå ekonomi och bekämpningen av penningtvätt. Centraliseringen skulle avsevärt minska både myndigheterna och bankernas administrativa börda vid behandlingen av kontouppgifter. 

Efter den fortsatta beredning som följde efter remissrundan sändes utkastet den 18 juni 2021 till rådet för bedömning av lagstiftningen. Rådet konstaterar i sitt utlåtande den 16 augusti 2021 bland annat att propositionens konsekvenser för bekämpningen av penningtvätt till största delen lämnas obehandlade i förslaget. Med anledning av rådets utlåtande fogades en bedömning av konsekvenserna för förhindrande av penningtvätt till propositionen. Rådet för bedömning av lagstiftningen anser i sitt utlåtande att beskrivningen av nuläget i fråga om penningtvätt och betalningsbedrägerier är för knapphändigt. Med anledning av utlåtandet har en beskrivning av nuläget i fråga om penningtvätt och finansiering av terrorism fogats till propositionen. Rådet anser också att det inte utifrån propositionen går att få en tillräcklig uppfattning av penningtvättens nuvarande omfattning. Till propositionen fogades därför bland annat uppgifter som gäller anmälningarna av misstänkta transaktioner och behandlingen av dessa i centralen för utredning av penningtvätt samt om domar som gäller penningtvätt. 

Rådet för bedömning av lagstiftningen konstaterar i sitt utlåtande att konsekvenserna för medborgare och företag av metoderna som används för att bekämpa penningtvätt förblir till stor del otydliga. I propositionen har man försökt ge en bild av konsekvenserna för medborgare och företag. Rådet konstaterar vidare att det jämförelsevis tekniska utkastet till proposition kunde konkretiseras med exempel på penningtvätt och samarbete mellan privata aktörer och myndigheter. En beskrivning av myndighetssamarbetet och konkreta exempel på penningtvätt har fogats till propositionen. Rådet konstaterar i sitt utlåtande att vissa myndigheter ges åtkomst till övervakningssystemet för bank- och betalkonton så att antalet myndigheter som har åtkomst till övervakningssystemet för bank- och betalkonton inte ska bli för snävt och systemets utnyttjandegrad för låg. Rådet konstaterar att det i utkastet kunde förtydligas vilka konsekvenser detta medför och dessutom i vilken mån direktiven tillåter handlingsutrymme för lagstiftningen. I propositionen har man försökt förtydliga konsekvenserna av en utvidgning av användningen av övervakningssystemet för bank- och betalkonton. Det handlingsutrymme som direktiven tillåter och den reglering som föreslås på grund av nationella behov har behandlats i propositionen. 

Specialmotivering

7.1  Lagen om ett övervakningssystem för bank- och betalkonton

2 §.Definitioner. Till 2 § fogas en definition av Tullens sammanställningsprogram. Med sammanställningsprogram avses en teknisk lösning som ska utgöra en del av den automatiserade mekanism som gäller de bankkontoregister och datasöksystem som hör till området för genomförandet av det femte penningtvättsdirektivet, och som gör det möjligt att omedelbart identifiera innehavare av bank- och betalkonton och bankfack. Med hjälp av sammanställningsprogrammet ska Tullen förmedla uppgifter från övervakningssystemet för bank- och betalkonton till behöriga myndigheter. Det är alltså också en sådan i artikel 32a.1 i femte penningtvättsdirektivet avsedd centraliserad automatiserad mekanism och i artikel 4 i direktivet om finansiell information avsedd teknisk lösning som administreras av en nationell myndighet för skyndsam överföring av uppgifter till behöriga myndigheter genom en automatiserad mekanism, förutsatt att ingen mellanliggande institution kan påverka de begärda uppgifterna eller den information som ska tillhandahållas. I fråga om motiveringen till sammanställningsprogrammet hänvisas till det som konstateras i motiveringen till 7 a §. I 10 punkten föreslås dessutom en teknisk ändring eftersom det i bestämmelsen i kreditinstitutslagen som det hänvisas till gäller inlåning och inte konton.  

3 §.Myndigheter som använder övervakningssystemet för bank- och betalkonton. I den gällande paragrafen föreskrivs att tillsynsmyndigheter enligt penningtvättslagen och advokatföreningen har rätt att använda övervakningssystemet för bank- och betalkonton för utförandet av en sådan övervakningsuppgift som avses i den lagen. Tillsynsmyndigheter enligt penningtvättslagen är Finansinspektionen, Polisstyrelsen i fråga om penningspel, Patent- och registerstyrelsen och regionförvaltningsverket samt Advokatföreningen som nämns särskilt i bestämmelsen. Centralen för utredning av penningtvätt har rätt att använda övervakningssystemet för skötseln av de uppgifter som avses i 2 § 1 mom. 1–4 och 7 punkten i lagen om centralen för utredning av penningtvätt och de myndigheter som avses i 9 kap. 5 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism, dvs. Tullen, gränsbevaknings-, skatte- och utsökningsmyndigheterna samt konkursombudsmannen för fullgörandet av omsorgsplikten enligt penningtvättslagen. En förutsättning för att övervakningssystemet ska kunna användas är dessutom att det är nödvändigt för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism. 

Det föreslås att paragrafen ändras så att både de ändamål för vilka övervakningssystemet för bank- och betalkonton får användas och de myndigheter som har rätt att använda systemet utökas på det sätt som förutsätts i direktivet om finansiell information, och, till följd av nationella behov, för ändamål som det föreslås ska föreskrivas särskilt om. I och med de nya användningsändamålen utökas på motsvarande sätt också kretsen av myndigheter som har rätt att använda övervakningssystemet. Dessa myndigheter har redan enligt gällande lagstiftning åtkomst till bank- och betalkontouppgifter, avsikten är endast att föreskriva på vilket sätt uppgifterna blir tillgängliga via det centraliserade automatiserade övervakningssystemet. 

I den gällande paragrafen föreskrivs det att övervakningssystemet för bank- och betalkonton får användas om det är nödvändigt för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism. Enligt artikel 4 i direktivet om finansiell information ska de behöriga nationella myndigheterna ha befogenhet att få åtkomst till och direkt och omedelbart söka i uppgifter om bankkonton alltid när det är nödvändigt för fullgörandet av deras uppgifter i syfte att förebygga, upptäcka, utreda eller lagföra allvarliga brott eller stödja en brottsutredning som rör ett allvarligt brott, inbegripet identifiering, spårning och frysning av tillgångar i samband med en sådan utredning. I enlighet vedertagen tolkning av grundlagen ska det i paragrafen föreskrivas om rätt att få åtkomst till uppgifter i systemet som lämnats ut i enlighet med 4 § och lagrats i enlighet med 6 §, om det är nödvändigt för att utföra de uppgifter som räknas upp i paragrafen. Kravet på nödvändighet ska i överensstämmelse med bestämmelsens ordalydelse och grundlagsutskottets vedertagna tolkningspraxis tolkas snävt. Också allmänt är tolkningen av kravet på nödvändighet att ett begränsat nödvändigt utlämnande av uppgifter är ett undantag från huvudregeln som är att inte lämna ut uppgifter. Dessutom föreskrivs i paragrafen att myndigheten ska ha rätt enligt någon annan lag att få åtkomst till uppgifter som lämnas ut till och lagras i övervakningssystemet för bank- och betalkonton. 

I den gällande paragrafens 3 punkt föreskrivs att de myndigheter som avses i 9 kap. 5 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism för fullgörandet av omsorgsplikten har åtkomst till systemet, dvs. Tull-, gränsbevaknings-, skatte- och utsökningsmyndigheterna samt konkursombudsmannen för fullgörande av omsorgsplikten enligt den lagen. Bestämmelsen har i praktiken varit ineffektiv, eftersom omsorgsplikten enligt penningtvättslagen inte ger de ovan nämnda myndigheternas åtkomst till systemet och det föreslås därför att den stryks. 

Enligt 1 punkten ska polisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet har rätt att få åtkomst till uppgifter i övervakningssystemet för bank- och betalkonton för att förebygga, avslöja och utreda som avses i bilaga I till Europolförordningen. Syftet med bestämmelsen är att genomföra artikel 3.1 i direktivet om finansiell information enligt vilken varje medlemsstat ska, bland de myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott, utse de behöriga myndigheter som har befogenhet att få åtkomst till och söka i dess nationella centraliserade bankkontoregister. I praktiken överlappar dessa myndigheters åtkomsträtter delvis de åtkomsträtter som det föreskrivs om senare i paragrafen. Den föreslagna bestämmelsen behövs eftersom det i den nationella lagstiftningen inte finns en sådan åtskillnad mellan brott som avses i bilaga I till Europolförordningen och allvarliga brott enligt direktivet om finansiell information, och eftersom det enligt direktivet är en skyldighet att utse myndigheter. Dessa myndigheter anmäler Finland till kommissionen i enlighet med artikel 3.3 i direktivet om finansiell information som de enligt artikel 3.1 i samma direktiv utsedda myndigheterna. 

Enligt 2 punkten har Skatteförvaltningen rätt att få information för inriktande av skyldigheten att lämna uppgifter som det föreskrivs om i 19 § i lagen om beskattningsförfarande som gäller utomståendes särskilda skyldighet att lämna uppgifter. I den nämnda paragrafen föreskrivs att var och en ska på uppmaning av Skatteförvaltningen, på basis av namn, bankkontonummer, kontotransaktion eller annan motsvarande identifikation lämna sådana uppgifter som kan behövas för beskattning av någon annan skattskyldig eller behandling av en ändringsansökan och som framgår av handlingar som han har i sin besittning eller annars känner till, om han eller hon inte enligt lag har rätt att vägra vittna i saken. Ingen får dock vägra lämna sådana uppgifter om någon annans ekonomiska ställning som inverkar på beskattningen. Skatteförvaltningen har också en skyldighet enligt 9 kap. 5 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism att i sin verksamhet beakta förhindrande och avslöjande av penningtvätt och av finansiering av terrorism. När det gäller förhindrande och avslöjande av penningtvätt bör det noteras att skatte- och bokföringsbrott ofta är förbrott till penningtvätt. Omsorgsplikten enligt penningtvättslagen har inte definierats exakt, men förhindrande och avslöjande av penningtvätt och skatte- och bokföringsbrott som utgör förbrott till penningtvätt förutsätter bl.a. behandling av kontouppgifter i vissa arbetsuppgifter vid Skatteförvaltningen.  

Användningen av övervakningssystemet för bank- och betalkonton kompletterar Skatteförvaltningens nuvarande rättigheter när det gäller behandling av kontouppgifter. Användningen av systemet minskar den administrativa bördan av förfrågningar om kontouppgifter och förbättrar kundskyddet, eftersom förfrågningar kan riktas till de bank- och betalningsinstitut där kunden har ett konto och förfrågningarna inte längre behöver sändas till alla bank- och betalningsinstitut. 

Paragrafens 3punkt gäller Tullens rätt att få uppgifter ur övervakningssystemet för bank- och betalkonton. Tullen ska ha rätt att få information för inriktandet av skyldigheten att lämna uppgifter för beskattning och skattekontroll som det föreskrivs om i 102 § 2 mom. i tullagen och för förundersökning och för uppgifter i anslutning till utredning och avslöjande av tullbrott som avses i 1 kap. 1 § 3 och 4 punkten i lagen om brottsbekämpning inom Tullen.  

Tullens beskattning och skattekontroll 

Tullen tar ut tullavgifter för varor som importeras från länder utanför EU, dvs. från tredjeländer. Med tullavgifter avses tullskatt och andra skatter och tulliknande avgifter (s.k. EU:s traditionella egna medel). Tullen tar också ut mervärdesskatt på import av varor av privatimportörer samt punktskatter t.ex. när en tullskuld uppkommer på grund av att importbestämmelserna inte iakttas. Tullen har i beskattnings- och skattekontrolluppgifter rätt att begära kontouppgifter direkt av banker och andra motsvarande kreditinstitut med stöd av 102 § 2 mom. i tullagen, enligt vilket den som innehar uppgifter som behövs för en annan persons tullbeskattning eller för ett ärende som gäller ändringssökande och som följer av tullbeskattning på uppmaning av Tullen ska lämna uppgifterna till Tullen inom utsatt tid.  

I sin kontrollverksamhet gör Tullens företagsgranskning förfrågningar om kontouppgifter direkt till bankerna. Antalet förfrågningar om kontouppgifter varierar beroende på vilka typer av fall som granskas. Förfrågningar om kontotransaktioner har främst samband med kontrollen av riktigheten i tullbeskattningen och transaktionsuppgifterna begärs i allmänhet för hela granskningsperioden eller en viss del av den. Med hjälp av de kontoutdrag som erhållits genom förfrågningarna strävar man efter att utreda t.ex. tullvärdets riktighet, dvs. det pris som faktiskt betalats för varan samt betalarens och betalningsmottagarens uppgifter. Dessutom kan man med hjälp av förfrågningarna utreda företagets andra konton där det kan finnas kontotransaktioner om s.k. dolda affärer. Med hjälp av kontotransaktionerna kan man också jämföra bokföringens och tulldeklarationernas riktighet. Den föreslagna bestämmelsen försnabbar tillgången till bank- och betalkontouppgifter, eftersom onödiga förfrågningar kan undvikas. Samtidigt effektiviseras Tullens beskattning och skattekontroll, eftersom förfrågningar om kontouppgifter kan riktas direkt till rätta banker och kreditinstitut. Förfrågningar om kontouppgifter belastar också de uppgiftsskyldiga. Tullens rätt att använda övervakningssystemet för bank- och betalkonton för beskattning och skattekontroll minskar därmed också de uppgiftsskyldigas rapporteringsskyldighet.  

Tullens rätt att använda övervakningssystemet för bank- och betalkonton gäller alla åtgärder och skeden i anslutning till beskattning eller skattekontroll, såsom varukontroll, lagerkontroll, dokumentgranskning, företagsgranskning, behandling av begäran om omprövning, utlåtanden till förvaltningsdomstolen i skatteärenden och andra motsvarande åtgärder. 

Tullbrottsbekämpning 

Tullen är en förundersökningsmyndighet enligt förundersökningslagen och svarar för tullbrottsbekämpningen på det sätt som föreskrivs i lagen om brottsbekämpning inom Tullen och i annan lagstiftning. Tullbrott definieras i 1 kap. 2 § 1 punkten i lagen om brottsbekämpning inom Tullen.  

Med tullbrott avses 

a) brott som innebär överträdelse av en sådan bestämmelse i tullagen eller någon annan lag vars iakttagande Tullen ska övervaka eller som Tullen ska verkställa, 

b) mot tullman riktat hindrande av tjänsteman enligt 16 kap. 3 § och tredska mot tullman enligt 16 kap. 4 b § i strafflagen (39/1889), 

c) olaga befattningstagande med infört gods enligt 46 kap. 6 och 6 a § i strafflagen, 

d) sådant brott i vilket ingår import, export eller transitering genom Finland av egendom. 

Med stöd av 2 kap. 14 § 1 mom. i lagen om brottsbekämpning inom Tullen har Tullen, oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar, förvaltningsrådsmedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet, rätt att av en privat eller offentlig sammanslutning eller en enskild få information som behövs för förhindrande, avslöjande eller utredning av tullbrott. Tullens brottsutredning begär ofta kontouppgifter vid t.ex. utredning av ekonomiska brott och narkotikabrott samt vid spårning av vinning av brott.  

Den föreslagna bestämmelsen gör det möjligt för Tullen att få uppgifter direkt ur systemet för övervakning av bank- och betalkontouppgifter om var en person har konton eller om hen är kund hos en tillhandahållare av virtuella valutor. Den föreslagna bestämmelsen påskyndar således processen för begäran om kontouppgifter, eftersom begäran kan riktas till de kreditinstitut där personen i fråga de facto har bank- eller betalkonton. Förslaget bidrar till framgångsrika brottsutredningar och gör det möjligt att identifiera, spåra och frysa tillgångar i tid för att kunna beslagta dem. 

Verkställighet enligt utsökningsbalken 

Bestämmelser om utsökningsmyndigheternas befogenheter finns i utsökningsbalken. I lagens 2 kap. föreskrivs närmare om utsökningsgrunderna, i 3 kap. om förfarandet och 4 kap. om utmätning. Utsökningsverket har enligt utsökningsbalkens gällande bestämmelser rätt att med stöd av 4punkten få uppgifter ur övervakningssystemet för bank- och betalkonton för verkställande av utsökning.  

I utsökningsbalkens 3 kap. 64 § finns en allmän bestämmelse om skyldighet för utomstående och myndigheter att lämna uppgifter. Utöver vad som föreskrivs i någon annan lag, har utmätningsmannen rätt att utan hinder av sekretessbestämmelserna avgiftsfritt få nedan angivna uppgifter, handlingar och material, om de i ett enskilt utsökningsärende är nödvändiga för verkställigheten. Utmätningsmannen bedömer om uppgifterna är nödvändiga. Uppgifterna kan lämnas via en teknisk anslutning.  

Utsökningsverket har trots sekretessbestämmelserna rätt att avgiftsfritt få nedan angivna uppgifter, handlingar och material centralt och lämna ut dem till utmätningsmännen för användning i enskilda utsökningsärenden, om det är ändamålsenligt för verkställigheten att uppgifterna inhämtas centralt.  

I 3 kap. 65 § i utsökningsbalken föreskrivs det om känsliga personuppgifter. När uppgifter inhämtas hos en utomstående ska det enligt bestämmelsen undvikas att utmätningsmannen får tillgång till i artikel 9.1 i dataskyddsförordningen avsedda personuppgifter som hör till särskilda kategorier av personuppgifter eller i artikel 10 i den förordningen avsedda personuppgifter, om uppgifterna inte har samband med utsökningsärendet. Utmätningsmannen har rätt att få föreskrivna uppgifter trots att fakta om en utomståendes ekonomiska ställning samtidigt röjs, om uppgifterna inte kan fås på något annat sätt.  

I 3 kap. 66 § i utsökningsbalken preciseras ytterligare innehållet i utomståendes skyldighet att lämna uppgifter. 

Utsökningsverket uppgift är bl.a. att verkställa försummade betalningsskyldigheter, beslut om kvarstad och beslut om tillfällig kvarstad. En del av utsökningsärendena gäller ersättningsfordran som grundar sig på ett brott eller utsökning i pengar av förverkandepåföljd eller säkrande av en sådan kommande betalningsskyldighet. Vidare verkställer utsökningsmyndigheten frysningsbeslut i enlighet med lagen om frysning av tillgångar i syfte att bekämpa terrorism (325/2013). 

Direkt åtkomst till systemet gör myndighetens arbete effektivare. Utsökningsverket gör enligt utkastet till proposition årligen omkring 10 miljoner bankförfrågningar. När det gäller Utsökningsverket talar också effektivitets- och ändmålsenlighetskäl för direkt åtkomst till systemet genom sammanställningsprogrammet. 

Utsökningsbalkens bestämmelser kan anses stödja möjligheten att ge utmätningsmännen direkt åtkomst till systemet. Även om Utsökningsverket åtminstone inte i fråga om alla sina uppgifter är en sådan behörig myndighet som avses i direktivet om finansiell information, har dock en del av verkets uppgifter en mycket nära koppling till direktivets tillämpningsområde. 

I 7 kap. i penningtvättslagen föreskrivs om tillsynsmyndigheter, bl.a. Finansinspektionen, Polisstyrelsen, Patent- och registerstyrelsen och regionförvaltningsverket samt Ålands landskapsregering. Vidare övervakar advokatföreningen de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 12 punkten i penningtvättslagen. Dessa behöriga myndigheter och advokatföreningen har rätt att enligt 5 punkten få uppgifter ur systemet för utförandet av en sådan tillsynsuppgift som avses i penningtvättslagen, bestämmelsen motsvarar 1 punkten i den gällande paragrafen.  

Med stöd av 6 punkten har centralen för utredning av penningtvätt rätt att få uppgifter för utförandet av sådana uppgifter som avses i 2 § 1 mom. 1–4 och 7 och 8 punkten i lagen om centralen för utredning av penningtvätt. Punkten motsvarar annars den gällande lagen, utom att det till centralens uppgifter fogas en hänvisning till operativa och strategiska analyser till följd av en ändring som gjorts i lagen om centralen för utredning av penningtvätt. 

I 7 punkten föreskrivs om polisens och Gränsbevakningsväsendets rätt att få uppgifter. Med polisen avses både enheter som lyder under Polisstyrelsen och skyddspolisen och Ålands polis, av vilka den sistnämnda omfattas av polislagens bestämmelser om befogenheter som gäller information om bankkonton. Med stöd av denna punkt kan uppgifter fås för förundersökning, förebyggande, avslöjande och utredning av brott. Polisen kan också få uppgifter för utförandet av en sådan tillsynsuppgift i anslutning till penninginsamlingar som avses i den nya lagen om penninginsamlingar. Vidare kan uppgifter fås för upprätthållandet av den nationella säkerheten. Syftet med detta är att tillgodose särskilt skyddspolisens lagstadgade informationsbehov. I 6 kap. i polislagen föreskrivs om vilka uppgifter som behövs i en polisundersökning. Enligt lagens 4 kap. 3 § 1 mom. har polisen på begäran av en polisman som hör till befälet rätt att få information som behövs för förhindrande eller utredning av brott, oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet. Om ett viktigt allmänt eller enskilt intresse kräver det har polisen samma rätt att få information som behövs vid polisundersökning enligt 6 kap.  

Enligt 8 punkten ska Försvarsmakten ha rätt att få åtkomst till uppgifter i övervakningssystemet för bank- och betalkonton för förebyggande, avslöjande och utredning av brott som avses i lagen om militär disciplin och brottsbekämpning inom försvarsmakten samt i enlighet med vad som föreskrivs i 104 § i lagen om militär underrättelseverksamhet. 

Bestämmelser om Finansinspektionens uppgifter finns i lagen om Finansinspektionen, lagen om förhindrande av penningtvätt och av finansiering av terrorism samt i ett flertal speciallagar och EU-förordningar. Enligt 9 punkten kan Finansinspektionen utnyttja övervakningssystemet för bank- och betalkonton för utförandet av uppgifter enligt 3 § i lagen om Finansinspektionen. Finansinspektionen har också rätt enligt 4 punkten att få uppgifter för förhindrande och avslöjande av penningtvätt och av finansiering av terrorism.  

3 a §.Villkor för de behöriga myndigheternas åtkomst och sökningar. Paragrafen är ny och i den föreskrivs i enlighet med artikel 5 i direktivet om finansiell information om vissa villkor för behöriga myndigheters åtkomst till uppgifter och för sökning av uppgifter. Enligt paragrafen har åtkomst till uppgifter som avses i 4 och 6 § och möjlighet att göra sökningar endast den personal vid en i 3 § avsedd myndighet som har utnämnts och bemyndigats att utföra dessa uppgifter.  

Enligt direktivets artikel 5 ska medlemsstaterna säkerställa att personal vid de utsedda behöriga myndigheterna håller hög yrkesmässig standard när det gäller konfidentialitet och uppgiftsskydd, samt har stor integritet och rätt kompetens. Enligt artikeln ska medlemsstaterna dessutom säkerställa tekniska och organisatoriska åtgärder för att säkerställa datasäkerhet i enlighet med höga tekniska standarder för de behöriga myndigheternas utövande av befogenheten att ha åtkomst till, och göra sökningar i, uppgifter om bankkonton, i enlighet med artikel 4. Syftet med bestämmelsen är centralisera förfrågningarna myndighetsvis så att man kan definiera och ge anvisningar för befogade förfrågningar, vilket hör till de registeransvarigas skyldighet när det gäller att upprätthålla hög yrkesmässig standard hos personalen och när man i efterskott bedömer frågor om enstaka tjänstemäns ansvarighet. Upprätthållande av hög yrkesmässig standard avser t.ex. regelbunden utbildning i behandling av personuppgifter och dataskyddskrav för personer som beviljats åtkomst.  

I informationshanteringslagen föreskrivs bl.a. om informationssäkerhet, inbegripen identifiering av uppgifter som förutsätter tillförlitlighet, beviljande av användarrättigheter och säkerställande av tillförlitligheten samt informationssäkerhet i fråga om informationsmaterial och informationssystem. Bestämmelserna i informationshanteringslagen uppfyller kraven i artikel 5 i direktivet om finansiell information, och genomförandet av artikeln förutsätter till denna del inga ytterligare nationella bestämmelser. 

4 §. Datasöksystem för bank- och betalkonton. Det föreslås att paragrafens 2 mom. kompletteras så att de uppgifter som avses i momentet ska lämnas ut för det innevarande året och de fem föregående åren. 

Kontouppgifter behövs t.ex. i förundersökningen av brott. Ofta gäller en begäran om kontotransaktioner en viss tidsperiod, t.ex. 2017–2018. I lagen om ett övervakningssystem för bank- och betalkonton föreskrivs bristfälligt om utlämnande av kontouppgifter i fall där ett konto redan har avslutats. I fråga om kontoregister har Tullen tillämpat riktlinjen att lämnandet av kontuppgifter omfattar fem år. Detta föreskrivs inte i lagen om ett övervakningssystem för bank- och betalkonton, utan riktlinjen baserar sig på att det enligt 6 § 2 mom. är ett grundvillkor för lämnande av uppgifter att kunden ska omfattas av den identifieringsskyldighet som föreskrivs om i 3 kap. 2 § i penningtvättslagen (444/2017). När en kund har identifierats ska uppgifterna enligt 3 § i samma kapitel bevaras i fem år från det att kundförhållandet har upphört. Denna tolkning har alltså gjorts därför att när identifieringsskyldigheten har uppfyllts och anmälningsskyldigheten aktualiseras, så finns uppgifterna bevarade i minst fem år hos de identifieringsskyldiga. Penningtvättslagens skyldighet att bevara uppgifter gäller endast uppgifter som gäller identifieringen av kunden. Uppgifterna är dock av samma typ som de uppgifter som ska uppges enligt lagen om ett övervakningssystem för bank- och betalkonton med undantag för några enstaka uppgifter. Riktlinjen baserar sig dock inte direkt på lagen om ett övervakningssystem för bank- och betalkonton. När det gäller kontoregister är frågan inte så problematisk som den är för söksystemet. Uppgifterna i kontoregistret avförs ur registret tio år efter det att giltigheten för den grund på vilken uppgifterna förts in i registret har upphört, varför det med tiden kommer att finnas täckande uppgifter i kontoregistret. Däremot kan man i fråga om söksystemet göra tolkningen att den gällande lagen endast gör det möjligt att lämna ut uppgifter om den gällande situationen. Det betyder t.ex. att om ett konto har öppnats 1952, ska kontot ange om det fortfarande finns. Däremot om ett konto har öppnats 2017 och avslutats 2018, lämnas tydligen inte någon information om kontot, eftersom ingen tid inom vilken uppgifter måste lämnas anges i lagen om ett övervakningssystem för bank- och betalkonton. 

Detta gäller också t.ex. verkliga förmånstagare och den som har rätt att använda kontot. Om person x har varit verklig förmånstagare i ett bolag under fem månader 2018, så omfattas detta inte av utlämnandeskyldigheten, eftersom det inte föreskrivs i lagen att uppgifter som måste anges ska lämnas för de fem föregående åren. Frågan måste lösas, eftersom det vid utvecklandet av det sammanställningsprogram som föreslås i propositionen måste bestämmas för hur lång tid informationen ska lämnas ut. 

I paragrafens 2 mom. 1 och 2 punkten föreslås en ändring som gäller kontoinnehavaren, den som har rätt att använda kontot och den verkliga förmånstagaren så att också i fråga om dessa ska datum när kundrelationen börjat och slutat lämnas ut, eftersom detta föreskrivs i den gällande lagen i samband med juridiska personer. I fråga om registret över bank- och betalkonton föreskrivs om skyldighet att lämna ut uppgifter om när kundrelationen har börjat och upphört. Datum för när kundrelationen har börjat och upphört är viktiga uppgifter också för andra än juridiska personer och det bör föreskrivas om skyldigheten att lämna denna information också för datasöksystemet på motsvarande sätt som för kontoregistret. Uppgifterna om den som har rätt att använda kontot är de uppgifter som avses i 32a.3 i femte penningtvättsdirektivet som ska finnas tillgängliga och varar sökbara via medlemsstaternas centraliserade mekanismer. Den som har rätt att använda kontot är en kund som agerar till sin egen fördel, men för kontoinnehavarens räkning. 

Till paragrafens 3 mom. föreslås det att det fogas en bestämmelse om att kreditinstituten är skyldiga att ansvara för att de uppgifter som de lämnar är korrekta och att rättelser görs utan ogrundat dröjsmål. I 5 § 3 mom. i lagen om ett övervakningssystem för bank- och betalkonton föreskrivs att kontoregistrets kunder ska göra rättelser utan ogrundat dröjsmål. I fråga om datasöksystemet finns ingen motsvarande bestämmelse. Om det alltså via datasöksystemet har förmedlats oriktiga uppgifter, så omfattas skyldigheten att göra rättelser av artikel 16–19 i dataskyddsförordningen, vilket betyder att rättelser kan göras på det sätt den som är skyldig att lämna uppgifter finner bäst. Eftersom det för närvarande föreskrivs om skyldigheten att göra rättelser någon annanstans, kan Tullen inte kräva att informationen om rättelser lämnas ut. Det är med avseende på tillämpningen av lagen och också lagens systematik tydligare att föreskriva om skyldigheten att göra rättelser också i fråga om datasöksystemet. Detta förbättrar också de registrerades rättssäkerhet. 

Enligt den gällande paragrafens 4 mom. ska det i samband med gemensamma konton som förvaltas av en advokat uttryckligen antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. I momentet föreskrivs dessutom att uppgifter om gemensamma konton som förvaltas av en advokat inte får utlämnas via datasöksystemet. Bestämmelsen preciseras så att endast information om att det är fråga om ett gemensamt konto som förvaltas av en advokat får utlämnas via systemet. Myndigheterna ska kunna få information om att kontot är ett gemensamt konto som förvaltas av en advokat samt om vilken advokat som förvaltar kontot. Den gällande bestämmelsen är oklar på denna punkt.  

Paragrafens 5 mom. kompletteras så att där föreskrivs om Tullens roll som övervakande myndighet när det gäller efterlevnaden av de skyldigheter som avses i 1 och 2 mom. I 5 § föreskrivs att Tullen är personuppgiftsansvarig för registret över bank- och betalkonton och att den personuppgiftsansvarige alltid svarar för övervakningen av systemet direkt med stöd av den allmänna dataskyddsförordningen. I lagen anges dock inte vilken myndighet som ska övervaka efterlevnaden av de skyldigheter som gäller förmedling av lagstadgade uppgifter ur datasöksystemet för bank- och betalkonton. Bank- och betalkontouppgifter innehåller sekretessbelagd information som omfattas av banksekretessen, och det är motiverat att efterlevnaden av de skyldigheter i anslutning till datasöksystemet som avses i 1 och 2 mom. också övervakas av en myndighet. Enligt artikel 48.1 i det fjärde penningtvättsdirektivet ska medlemsstaterna kräva att de behöriga myndigheterna effektivt övervakar och vidtar de åtgärder som är nödvändiga för att säkerställa att direktivet efterlevs. 

Datasöksystemet för bank- och betalkonton gör det möjligt att lämna ut personuppgifter och förmögenhetsuppgifter som omfattas av banksekretessen elektroniskt från kreditinstitut till de myndigheter som anges i lagen för att dessa ska kunna fullgöra sin lagstadgade uppgift. Uppgifterna lagras inte i systemet utan överlåts direkt från det kreditinstitut som agerar som personuppgiftsansvarig till myndigheten. Myndigheten ska ange en laglig grund för sin rätt att få uppgifterna. Kreditinstitutet ansvarar i egenskap av personuppgiftsansvarig för att de uppgifter som överlåts är korrekta. Syftet med den föreslagna regleringen är att kreditinstitutens efterlevnad av sina skyldigheter ska omfattas av övervakningen. Det är nödvändigt att föreskriva om detta i lag för att olika aktörer ska behandlas lika och rättvist. Dessutom är det känt att en del kreditinstitut har stött på utmaningar vid uppbyggandet av ett datasöksystem. Dessa betydande förseningar torde delvis bero på att det inte finns någon myndighet som övervakar att skyldigheten att bygga upp ett datasöksystem och förmedla uppgifter via det följs. 

För närvarande omfattar Tullens tillsynsansvar endast tillsynen över registret över bank- och betalkonton. Det blir konsekvent om övervakningsansvaret i övervakningssystemet för bank- och betalkonton ligger hos en enda myndighet, och övervakningsuppgiften som helhet lämpar sig för Tullen. Tullen har meddelat en föreskrift om de tekniska kraven på datasöksystemet för bank- och betalkonton och gett kreditinstituten anvisningar om hur datasöksystemet ska byggas upp. Tullen kan således utifrån dessa utgångspunkter anses vara den lämpliga aktören för att också övervaka datasöksystemet för bank- och betalkonton och därigenom de kreditinstitut som är skyldiga att lämna uppgifter.  

Myndighetstillsynen över datasöksystemet för bank- och betalkonton ska omfatta tillsyn över såväl administrationen av systemet som över efterlevnaden av skyldigheten att lämna uppgifter. Övervakningen av datasöksystemet för bank- och betalkonton anknyter alltså till målet att säkerställa att kreditinstituten och andra aktörer som lämnar uppgifter via datasöksystemet bygger upp och administrerar systemen på ett ändamålsenligt sätt så att de behöriga myndigheterna via datasöksystemet kan göra sökningar i kreditinstitutens bank- och betalkonton. Dessutom ska övervakningen omfatta efterlevnaden av skyldigheten att lämna uppgifter. Med detta avses att övervakningen inriktas på kontroll av riktigheten hos de uppgifter som de uppgiftsskyldiga lämnar. De uppgifter som lämnas via datasöksystemet ska vara uppdaterade och täcka kreditinstitutets alla bank- och betalkonton som omfattas av anmälningsskyldigheten. Det är viktigt att övervakningen utsträcks till att omfatta datasöksystemet för bank- och betalkonton för att kravet på ett effektivt genomförande av EU-rätten ska uppfyllas, och genom den säkerställs att övervakningssystemet för bank- och betalkonton förser både de behöriga myndigheter som gör sökningar och advokatföreningen med korrekta och aktuella uppgifter. Det är ändamålsenligt att utsträcka bestämmelserna om övervakning till att gälla datasöksystemet också därför att kreditinstituten inte övervakas med stöd av annan lagstiftning när det gäller skyldigheten att lämna uppgifter. 

I fråga om de uppgifter som förmedlas via datasöksystemet för bank- och betalkonton handlar det om behandling av personuppgifter. På behandlingen tillämpas delvis EU:s allmänna dataskyddsförordning och delvis dataskyddslagen avseende brottmål. Därför begränsar sig de skyldigheter som rör förmedling av uppgifter inte enbart till de uppgiftsskyldigheter som föreskrivs i lagen om ett övervakningssystem för bank- och betalkonton. Enligt 8 § i dataskyddslagen är dataombudsmannen den nationella tillsynsmyndighet som avses i dataskyddsförordningen och som enligt 45 § i dataskyddslagen avseende brottmål också övervakar efterlevnaden av den lagen. Dataombudsmannen övervakar således efterlevnaden av skyldigheterna i samband med behandlingen av personuppgifter i systemet för utbyte av information inom tillämpningsområdet för både den allmänna dataskyddsförordningen och dataskyddslagen avseende brottmål.  

6 §.Uppgifter som ska föras in i registret över bank- och betalkonton. Det föreslås att paragrafens 2 mom. kompletteras så att det föreskrivs att uppgifterna ska införas i registret över bank- och betalkonton för innevarande och fem föregående år. I fråga om motivering hänvisas till motiveringen till motsvarande ändring som föreslås i 4 §. 

Till 2 mom. 3 punkten föreslås att det fogas uppgift om datum för öppnande och avslutande av kontot, som inte tidigare skulle införas i registret. Om utlämnande av de ovan nämnda uppgifterna via datasöksystemet för registret över bank- och betalkonton föreskrivs i 4 § 2 mom. 3 punkten och dessa uppgifter är lika viktiga också med avseende på registret. I paragrafens 5 mom., som gäller gemensamma konton som förvaltas av en advokat, föreslås att det görs samma ändring som i 4 §, dvs. att det via registret endast får lämnas information om att det är fråga om ett gemensamt konto som förvaltas av en advokat. I fråga om motivering hänvisas till motiveringen till 4 §. När en sökning görs med kontonummer ska systemet meddela vilken advokat som förvaltar kontot. Däremot ska uppgifter om ett gemensamt konto inte förmedlas vid en sökning med advokatens namn eller personnummer. 

Till paragrafens 3 mom. 1 punkten föreslås att det fogas uppgifter som gäller den som har rätt att använda kontot, i fråga om motiveringen hänvisas till motiveringen till 4 §. 

7 §.Utlämnande av uppgifter ur registret över bank- och betalkonton. I paragrafens 2 mom. föreslås en teknisk ändring som gäller hänvisningen till allmänna dataskyddsförordningen. Ändringsförslaget beror på att en kortform av en EU-förordnings officiella namn som ingår i namnet ska införas genom att kortformen kursiveras. 

7 a §.Utlämnande av uppgifter genom överföring från övervakningssystemet för bank- och betalkonton till behöriga myndigheter. Det föreslås att det till lagen fogas en ny 7 a §, där det föreskrivs om ett sammanställningsprogram som administreras av Tullen. Sammanställningsprogrammet kan användas för att lämna ut kunduppgifter genom överföring. I och med sammanställningsprogrammet får Tullen rollen som personuppgiftsansvarig för de uppgifter som överförs via programmet som de logguppgifter som lagras i det. 

Enligt förslaget kan de i 3 § avsedda myndigheter som använder övervakningssystemet för bank- och betalkonton inom ramen för sina befogenheter göra förfrågningar med hjälp av det automatiserade sammanställningsprogram som administreras av Tullen och utnyttja de integrationer som Tullen genomför. Sammanställningsprogrammet sammanställer alla uppgifter i registret över bank- och betalkonton och datasöksystemet för registret över bank- och betalkonton och förmedlar informationen till myndighetens program. Sammanställningsprogrammet kan användas för förmedling av information om kunder och konton som lämnas ut och förs in med hjälp av övervakningssystemet för bank- och betalkonton. Skyldigheten för aktörer som administrerar datasöksystemet att ge information till sammanställningsprogrammet skulle baseras på nu föreslagna 7 a § och 4 § i lagen, där det föreskrivs i 1 mom, att kreditinstitut förmedlar omedelbart och trots sekretessbestämmelserna till en behörig myndighet sådana uppgifter om sina kunder som avses i 4 § 2 mom.  

I sammanställningsprogrammet ska det inte vara möjligt att förmedla andra uppgifter mellan den myndighet som begär information och den aktör som är skyldig att lämna uppgifter än sådana uppgifter som det hänvisas till det inledande stycket i 3 § i det första lagförslaget och som lämnas ut enligt lagens 4 § och som registrerats i enlighet med 6 §.  

I förslagets 7 a § 1 mom. föreskrivs det om Tullens roll som personuppgiftsansvarig. Tullen som personuppgiftsansvarig för sammanställningsprogrammet omfattas av den personuppgiftsansvariges ansvar enligt EU:s allmänna dataskyddsförordning eller, beroende på fall, den personuppgiftsansvariges ansvar enligt dataskyddsdirektivet för brottsbekämpande myndigheter. 

I EU:s allmänna dataskyddsförordning avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. 

Enligt 2 mom. ska Tullen från övervakningssystemet för bank- och betalkonton ta emot och till kreditinstitutet förmedla i 3 § avsedda behöriga myndigheters pseudonymiserade begäranden om information som avses i 4 och 6 §, om myndigheten inte har byggt upp en egen teknisk lösning för att få information från systemet. För den registrerade innebär det en stor risk om Tullen förmedlar begärandena om information från de i 3 § avsedda myndigheterna som sådana till kreditinstituten, därför ska begärandena vara pseudonymiserade, det vill säga personuppgifter ska behandlas så att de inte längre kan härledas till en viss registrerad utan att man använder ytterligare uppgifter. 

Lämnande av uppgifter via sammanställningsprogrammet ska vara automatiskt. Tullen ska inte ha mer åtkomst till förfrågningar som görs i kontoregistret än till förfrågningar som görs i sammanställningsprogrammet, utan förfrågningarna ska vara direkta och inbyggda tekniskt så att Tullen inte kan lägga sig i vad en myndighet frågar och vilka uppgifter som lämnas ut. Övervakningen som när det gäller utlämnandet av uppgifter via systemet kan göras på grund av logguppgifterna ska ske i efterskott. 

Enligt de uppgifter som Tullen hade tillgång till i augusti 2021 är det sammanlagt 19 aktörer som ska lämna ut i 5 och 6 § i lagen om ett övervakningssystem för bank- och betalkonton avsedda uppgifter till Tullens register över bank- och betalkonton, av vilka 15 är i drift och uppgifter saknas om fyra. De stora kreditinstitut som är verksamma i Finland och de två största aktörerna inom virtuella valutor kommer att skapa datasöksystem för bank- och betalkonton, i fråga om datasöksystemen har sju aktörer testat systemet och åtta aktörer testade eller undersökte system i augusti 2021, det vill säga att inte ett enda datasöksystem hade tagits i drift. Över 95 procent av de uppgifter om bank- och betalkonton som finns i övervakningssystemet för bank- och betalkonton kommer alltså att ingå i datasöksystemen. Om myndigheterna vill ha tillgång till datasöksystemen för bank- och betalkonton, måste varje myndighet bygga upp ett gränssnitt. Exempelvis polisen kommer att bygga upp gränssnitt endast till några av de största bankerna, dvs. största delen av datasöksystemen och informationen i dem kommer enligt aktuella uppgifter att bli outnyttjad. Enligt propositionen ska det vara möjligt att bygga myndighetsgränssnitt till sammanställningsprogrammet som administreras av Tullen, och i så falla är direkta gränssnitt onödiga. Direkta gränssnitt till kreditinstituten är en större risk för de registrerades rättigheter än om begäranden om information styrs enhetligt via ett sammanställningsprogram. 

Syftet med informationshanteringslagen är bl.a. att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas. Lagens 5 kap. gäller skapande och elektronisk överföring av informationsmaterial. Enligt lagens 22 § 1 mom. ska myndigheterna genomföra regelbundet återkommande och standardiserad elektronisk överföring av information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. Regelbundet återkommande och standardiserad elektronisk överföring av information kan genomföras på något annat sätt, om det inte är tekniskt eller ekonomiskt ändamålsenligt att genomföra eller använda ett tekniskt gränssnitt. En myndighet kan också i andra situationer öppna ett tekniskt gränssnitt för en myndighet som har rätt till information. Det föreskrivs särskilt om överföring av handlingar och information på annat sätt. I paragrafen sägs dessutom att utöver vad som föreskrivs i 4 kap. ska överföring av information mellan informationssystem via tekniska gränssnitt genomföras så att det tekniskt säkerställs att den information som ska överföras behövs i det enskilda fallet eller är nödvändig för att den mottagande myndigheten ska kunna sköta sina uppgifter, ifall överföringen avser personuppgifter eller sekretessbelagd information. 

För att effektivisera statens informations- och kommunikationstekniska verksamhet är det motiverat att inte alla myndigheter bygger upp egna tekniska lösningar för att få åtkomst till uppgifter i övervakningssystemet för bank- och betalkonton. Genom bestämmelsen blir det möjligt för de myndigheter som inte bygger upp egna tekniska lösningar att begära uppgifter av Tullen genom en teknisk lösning som Tullen har byggt upp. Tullen ska bygga upp ett sammanställningsprogram och anknytande gränssnitt för att möjliggöra åtkomst till såväl Tullens bank- och betalkontoregister som till de datasöksystem som administreras av kreditinstitut, betalningsinstitut, institut för elektroniska pengar och aktörer inom virtuella valutor. I denna lösning sammanställer programmet svaren på förfrågningarna och returnerar svaren från både Tullens kontoregister och datasöksystemet via ett gränssnitt som myndigheten fastställt. Gränssnittet skapas till en myndighets eller advokatförenings befintliga program. På så sätt får uppgiftsanvändaren, dvs. myndigheten eller advokatföreningen, en uttömmande överblick av de i lagen om ett övervakningssystem för bank- och betalkonton avsedda uppgifter om den som förfrågan gäller av rapporteringsskyldiga i Finland genom att bygga ett gränssnitt till Tullens övervakningssystem. De behöriga myndigheternas, de i penningtvättslagen avsedda tillsynsmyndigheternas och advokatföreningens uppgift blir att bygga ett gränssnitt för förfrågningar till Tullens sammanställningsprogram. Att myndigheterna inte behöver bygga egna gränssnitt medför betydande kostnadsbesparingar. Syftet med bestämmelsen är också att harmonisera statens tekniska lösningar samt att genom centraliserad informationsinhämtning förbättra dataskyddet vid behandlingen av personuppgifter. 

När en behörig myndighet gör en förfrågan som gäller den information som avses i 4 och 6 § via Tullen, ska myndigheten meddela Tullen på vilken grund uppgifterna begärs. Informationen om myndighet och grunden lagras i Tullens sammanställningsprogram och den förmedlas inte till aktörer som förvaltar datasöksystemet. Det innebär en märkbar förbättring av dataskyddet och minskar möjligheten att missbruka uppgiften om för vilket ändamål och vilken myndighet som begär uppgifter. Både begäran om information och innehållet i svaret är sekretessbelagda med stöd av 7 a § 2 mom. Allmänna bestämmelser om myndigheters handlingssekretess finns i offentlighetslagen. I lagen om ett övervakningssystem för bank- och betalkonton behövs bestämmelser om sekretess för uppgifter som förmedlas med sammanställningsprogrammet, eftersom sekretessen enligt förslaget ska utsträckas till privata aktörer som lämnar uppgifter med sammanställningsprogrammet. Även om en aktör som upprätthåller ett datasöksystem enligt förslaget inte får uppgift om vilken myndighet som begärt information via sammanställningsprogrammet och inte på vilken grund informationen har begärts får den uppgiftsskyldige dock information om vilken kund informationsbegäran gäller och när den gjorts. Det föreslås att det föreskrivs om sekretess eftersom dataskyddsförordningen förpliktar till att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas, dvs. uppgiftsminimering. Den tekniska karaktären, omfattningen, sammanhanget och ändamålen med behandlingen i sammanställningsprogrammet medför en hög risk för fysiska personers rättigheter och friheter. Dessutom tryggas myndighetens verksamhet genom att det föreskrivs om sekretess. Det automatiserade sammanställningsprogrammet innebär ett ingripande i registrerades rättigheter och för att behandlingen av uppgifterna ska vara proportionell och inte medföra en hög risk för den registrerades rättigheter kan detta inte minimeras på något annat sätt än att både begäran om information och den utlämnade informationen ska omfattas av sekretess. Sekretess innebär att den uppgiftsskyldige inte får yppa för den som begäran gäller att en myndighet begärt information och existensen av och innehållet i svaret på begäran och inte heller själv utnyttja sin kännedom om existensen av myndighetens informationsbegäran och dess innehåll. Grunden för sekretessen är att skydda den registrerades rättigheter och trygga myndighetens verksamhet så att den uppgiftsskyldige inte får utnyttja myndighetens informationsbegäran för att skaffa sig själv eller någon annan fördel eller för att skada någon annan. Begäran om information kan t.ex. ansluta sig till en pågående brottsutredning, men den som begäran gäller kan visa sig vara oskyldig och begäran om information får t.ex. inte av den anledningen inverka negativt på kundrelationen som är föremål för begäran. Och å andra sidan, om begäran om information avslöjas kan det äventyra myndighetens pågående brottsutredning och t.ex. återvinningen av medlen.  

Enligt 3 mom. sker behandlingen av uppgifter via sammanställningsprogrammet automatiskt. I momentet föreskrivs att uppgifter som lämnats ut via programmet ska raderas omedelbart efter utlämnandet.  

I artikel 4 i EU:s allmänna dataskyddsförordning definieras vad som avses med behandling i förordningen. Enligt definitionen omfattar behandling en åtgärd, eller serie av åtgärder, som vidtas med personuppgifter, eller uppsamlingar av personuppgifter, oberoende av om de utförs automatiserat eller ej, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, hämtning, läsning, användning, utlämning genom överföring, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, begränsning, utplåning eller förstöring. 

I paragrafens 4 mom. föreskrivs om begränsning av den registrerades rättigheter, förslaget sammanhänger med genomförandet av artikel 18 i direktivet om finansiell information. Artikeln gäller begränsning av de registrerades rättigheter. Enligt artikeln kan medlemsstaterna godkänna lagstiftningsåtgärder genom vilka de registrerades rätt att ta del av personuppgifter som gäller dem och som behandlats med stöd av direktivet om finansiell information helt eller delvis begränsas enligt artikel 23.1 i allmänna dataskyddsförordningen, eller, beroende på fall, enligt artikel 15.1 i dataskyddsdirektivet för brottsbekämpande myndigheter. När kredit- och betalningsinstituten lämnar ut personuppgifter i enlighet med skyldigheten som det föreskrivs om i lagen om genomförande av direktivet om finansiell information, kan de registrerades rätt att ta del av uppgifterna helt eller delvis begränsas med stöd av artikel 23.1 i allmänna dataskyddsförordningen, och när en myndighet samlar uppgifter från kredit- och betalningsinstituten med hjälp av sammanställningsprogrammet och lämnar ut information genom överföring via sammaställningsprogrammet till en behörig myndighet som begärt uppgifterna, kan den registrerades rätt att ta del av uppgifterna helt eller delvis begränsas enligt artikel 15.1 i dataskyddsdirektivet för brottsbekämpande myndigheter. 

Enligt artikel 23 i den allmänna dataskyddsförordningen ska det i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av vara möjligt att införa en lagstiftningsåtgärd som begränsar bl.a. den registrerades rätt enligt artikel 15 att få tillgång till uppgifter som samlats in om denne, om det är nödvändigt och proportionellt för att säkerställa det som anges i punkt 1 i artikeln. I enlighet med 34 § i dataskyddslagen har en registrerad inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne bl.a. om 1) lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott, 2) personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas. 

När en behörig myndighet som avses i dataskyddslagen avseende brottmål behandlar uppgifter för ändamål som avses i lagen, är det möjligt att begränsa den registrerades rättigheter i enlighet med 28 §, om det med hänsyn till den registrerades rättigheter är proportionerligt och nödvändigt för att 1) undvika menlig inverkan på förebyggande, avslöjande, utredning av brott eller på åtgärder som avser åtal för brott eller på verkställighet av straffrättsliga påföljder, 2) trygga andra undersökningar, utredningar eller motsvarande förfaranden hos myndigheter, 3) skydda den allmänna säkerheten, 4) skydda den nationella säkerheten, eller 5) skydda andra personers rättigheter. I 29 § i dataskyddslagen avseende brottmål föreskrivs också om den registrerades rätt att be dataombudsmannen kontrollera lagenligheten i personuppgifter och behandlingen av dem, om den registrerades rätt till insyn har skjutits upp, begränsats eller vägrats eller om den personuppgiftsansvarige inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifterna eller begränsning av behandlingen av dem. Till denna del tillämpas dessutom de begränsningar av rätten till insyn som föreskrivs i speciallagstiftning, såsom lagarna om behandling av personuppgifter i polisens, Gränsbevakningsväsendets och Tullens verksamhet. 

På myndigheternas behandling av information som gäller brottmål och också på det föreslagna automatiserade sammanställningsprogrammet som administreras av Tullen tillämpas dataskyddsdirektivet för brottsbekämpande myndigheter. Behandlingen med sammanställningsprogrammet är automatisk och direktivet om finansiell information förutsätter att ingen myndighet som förmedlar information, inte heller Tullen i egenskap av personuppgiftsansvarig för sammanställningsprogrammet, ska påverka uppgifterna som den med hjälp av sammanställningsprogrammet förmedlar till de behöriga myndigheterna. Genomförandet av direktivet om finansiell information gäller personuppgifter i anslutning till förebyggande, avslöjande, utredning av brott och åtgärder som avser åtal för brott, vilket innebär att en myndighet när den behandlar informationen med sammanställningsprogrammet ska iaktta dataskyddsdirektivet för brottsbekämpande myndigheter och dataskyddslagen avseende brottmål vid behandlingen. Eftersom också personuppgifter som omfattas av femte penningtvättsdirektivet behandlas med sammanställningsprogrammet, bör man dessutom beakta att också allmänna dataskyddsförordningens bestämmelser gäller myndighetens behandling av uppgifterna. Till den del som det föreslås genom nationell lagstiftning att behöriga myndigheter ska ha åtkomst till sammanställningsprogrammet och genom programmet ha möjlighet att göra sökningar i datasöksystemen, tillämpas antingen allmänna dataskyddsförordningen och dataskyddslagen eller dataskyddslagen avseende brottmål. 

I paragrafens 4 mom. föreskrivs att med avvikelse från det som föreskrivs i artikel 15 i den allmänna dataskyddsförordningen om den registrerades rätt att få tillgång till uppgifter och i 23 § i dataskyddslagen avseende brottmål om den registrerades rätt att kontrollera uppgifter, har den registrerade inte tillgång till uppgifter eller rätt att kontrollera uppgifter när uppgifterna behandlas med sammanställningsprogrammet. Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i dataskyddslagen avseende brottmål och i 34 § i dataskyddslagen. Begäran om utövande av rättigheter ska framställas till dataombudsmannen eller till Tullen enligt vad som föreskrivs i 35 § 2 mom. i lagen om behandling av personuppgifter inom Tullen. En begäran som framställs till Tullen ska utan dröjsmål lämnas till dataombudsmannen.  

Om den registrerades rättigheter inte begränsas har den registrerade rätt att av den personuppgiftsansvarige få information t.ex. om en myndighet har gjort sökningar i hans eller hennes kontouppgifter och för vilket ändamål. Om den registrerades rättigheter inte ska begränsas måste myndigheten från fall till fall och varje gång göra en separat bedömning. Den registrerade ska rikta sin begäran till den personuppgiftsansvarige och den personuppgiftsansvarige är skyldig att svara på begäran. I fråga om Tullen föreslås att den ska vara personuppgiftsansvarig när det gäller behandlingen i sammanställningsprogrammet, vilket i praktiken betyder att Tullen i egenskap av personuppgiftsansvarig ska ha åtkomst till uppgifter som Tullen inom ramen för sina befogenheter inte annars skulle ha, för att kunna svara på den registrerades frågor om behandlingen av uppgifter. Om den registrerades rättigheter begränsades helt i lagen om ett övervakningssystem för bank- och betalkonton när det gäller sammanställningsprogrammet, kan man inte förutsätta att Tullen från fall till fall först ska utreda om det är villkoren enligt allmänna dataskyddslagen eller dataskyddslagen avseende brottmål som gäller. 

Dataombudsmannen har enligt bestämmelserna om dataskydd rätt att på den registrerades begäran kontrollera lagenligheten i behandlingen av personuppgifter. Enligt 5 kap. 34 § 4 mom. i dataskyddslagen ska om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, de uppgifter som avses i artikel 15.1 i dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade. Enligt 29 § 1 mom. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten har den registrerade har rätt att be dataombudsmannen kontrollera lagenligheten i personuppgifter och behandlingen av dem, om den registrerades rätt till insyn har skjutits upp, begränsats eller vägrats med stöd av denna eller någon annan lag eller om den personuppgiftsansvarige inte godkänner den registrerades yrkande om rättelse, komplettering eller utplåning av personuppgifterna eller begränsning av behandlingen av dem.  

10 §.Logguppgifter. I 10 § i den gällande lagen om ett övervakningssystem för bank- och betalkonton fastställs skyldigheter i fråga om logguppgifter både för Tullen som för kontoregistret, och för de behöriga myndigheter enligt 3 § som använder datasöksystemet. Bestämmelsen behöver ändras dels för att genomföra artikel 6 i direktivet om finansiell information, dels på grund av det sammanställningsprogram som föreslås i propositionen.  

Paragrafens 1 mom. ändras så att det för Tullen föreskrivs en skyldighet att föra logg också om sökningar som görs via sammanställningsprogrammet. Dessutom åläggs Tullen en skyldighet att på begäran lämna ut logguppgifter om sökningar i datasöksystemet för bank- och betalkonton och Tullens kontoregister som gjorts via sammanställningsprogrammet till de myndigheter som avses i 3 §. Med hjälp av logguppgifterna kan de behöriga myndigheterna komplettera sin laglighetsövervakning.  

Dessutom preciseras 1 mom. i fråga om innehållet i loggregistret så att den utöver uppgifterna i den gällande bestämmelsen ska innehålla referensuppgifter om det ärende som begäran om information hänför sig till samt identifieringsuppgifter om resultatet av förfrågan eller sökningen. Genom dessa ändringar genomförs de krav på loggregistrets innehåll som anges i artikel 6 i direktivet om finansiell information och som inte tidigare har reglerats nationellt. Referensuppgifterna ska t.ex. innehålla förundersökningsmyndighetens r-nummer eller någon motsvarande intern diarienummer som använts vid sökningen i övervakningssystemet för bank- och betalkonton.  

Enligt paragrafens 3 mom. ska de behöriga myndigheterna föra ett loggregister som innehåller identifieringsuppgifter om den person som utfört en förfrågan eller en sökning i det datasöksystem som avses i 4 § och om den person som förordnat förfrågan eller sökningen. För att genomföra artikel 6 i direktivet om finansiell information införs i momentet en skyldighet att i loggregistret, om möjligt, också anteckna identifieringsuppgifter om mottagaren av resultaten av förfrågan eller sökningen. Enligt bestämmelsen ska den behöriga myndigheten utse en person som övervakar användningen av datasöksystemet. Enligt artikel 6.2 i direktivet om finansiell information ska dataskyddsombuden vid de centraliserade bankkontoregistren regelbundet kontrollera loggarna. För att genomföra direktivet om finansiell information föreslås att det i paragrafen föreskrivs att dataskyddsombudet regelbundet ska kontrollera de loggregister som avses i paragrafen. Regelbunden kontroll betyder att loggregistren ska kontrolleras med jämna mellanrum. 

I artikel 6.2 i direktivet om finansiell information föreskrivs dessutom att loggarna på begäran ska göras tillgängliga för den behöriga tillsynsmyndighet som inrättats i enlighet med artikel 41 i dataskyddsdirektivet. I Finland är denna myndighet dataombudsmannen som redan med stöd av gällande lagstiftning trots sekretessbestämmelserna har rätt att få de uppgifter som behövs för skötseln av sina uppgifter, dvs. med stöd av 3 kap. 18 § i dataskyddslagen och 8 kap. 47 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. 

Paragrafens 4 mom., enligt vilket logguppgifterna ska bevaras i tio år, ändras så att logguppgifterna ska bevaras innevarande år och fem följande år, såvida de inte behövs i ett pågående ärende. Artikel 6.3 i direktivet om finansiell information förutsätter att logguppgifterna raderas fem år efter det att de skapades, såvida de inte behövs för pågående övervakningsförfaranden. Enligt 21 § i informationshanteringslagen ska förvaringstiderna bestämmas med beaktande av de straffrättsliga preskriptionstiderna och därför föreslås att förvaringstiden ska vara innevarande och följande fem år med tanke på fastställandet av straffansvaret. 

11 §. Vite. Paragrafen kompletteras med en hänvisning till lagens 4 § 1–3 mom. I och med detta får Tullen rätt att förena såväl iakttagandet av skyldigheten enligt gällande lag att lämna uppgifter ur registret över bank- och betalkonton som iakttagandet av skyldigheten att administrera ett datasöksystem för bank- och betalkonton och att lämna uppgifter via detta system med vite.  

I den gällande lagen anges ingen tillsynsmyndighet i fråga om datasöksystemet för bank- och betalkonton. Föreläggandet av vite enligt paragrafen och även påförandet av ordningsavgift enligt 12 § hänför sig endast till skyldigheten att lämna uppgifter ur registret över bank- och betalkonton. Om ett kreditinstitut inte iakttar lagens skyldigheter när det gäller att administrera datasöksystemet för bank- och betalkonton och skyldigheten att lämna uppgifter, möjliggör gällande lagstiftning inte sanktioner för försummelser. Det är nödvändigt att i lag föreskriva om tillsynen i samband med datasöksystemet för bank- och betalkonton och om brott mot skyldigheter som hänför sig till systemet också för att olika aktörer ska behandlas lika och rättvist.  

Tullen ska i egenskap av den myndighet som övervakar datasöksystemet för bank- och betalkonton enligt det föreslagna 4 § 5 mom. ha tillgång till effektiva, proportionella och avskräckande påföljder för brott mot skyldigheterna. Metoderna för administrativ styrning kan inte anses tillräckliga med beaktande av allvaret i eventuella överträdelser som gäller datasöksystemet för bank- och betalkonton och andra omständigheter. För tillsynen i samband med datasöksystemet för bank- och betalkonton är det lämpligast med likadana administrativa sanktioner som för tillsynen i samband med registret över bank- och betalkonton. Sanktioner påförs i allmänhet för förseelser som begåtts av en juridisk person, även om vite kan riktas t.ex. mot en styrelsemedlem eller verkställande direktör i en sammanslutning. Ordningsavgift kan också påföras fysiska personer vid tillsynen över kontoregistret. Lagstiftningen bör till dessa delar vara enhetlig i fråga om tillsynen över både datasöksystemet och kontoregistret. Syftet med sanktionssystemet är att säkerställa att de bestämmelser som ligger till grund för påförandet av sanktionerna iakttas och att de uppgiftsskyldiga fullgör sina skyldigheter. 

12 §.Ordningsavgift. Paragrafens 1 mom. kompletteras med hänvisningar till 4 § 1 och 2 mom. I och med detta ges Tullen rätt att påföra en ordningsavgift också för den som uppsåtligen eller av vårdslöshet försummar eller bryter mot skyldigheten enligt 4 § 1 och 2 mom. att administrera ett datasöksystem för bank- och betalkonton eller att via datasöksystemet för bank- och betalkonton lämna den behöriga myndigheten de uppgifter som avses i 4 § 2 mom.  

Dessutom hänvisas det till motiveringen till 11 § avseende förslaget att ge Tullen rätt att förena skyldigheten att administrera ett datasöksystem för bank- och betalkonton och utlämnandet av uppgifter via systemet med vite.  

7.2  Lagen om centralen för utredning av penningtvätt

2 §.Centralen för utredning av penningtvätt och dess uppgifter. Enligt 2 § 1 mom. 3 punkten i lagen om centralen för utredning av penningtvätt har centralen för utredning av penningtvätt till uppgift att samarbeta med myndigheterna vid bekämpning av penningtvätt och finansiering av terrorism. Det föreslås att 2 § 1 mom. 3 punkten i lagen om centralen för utredning av penningtvätt ändras så att centralen också ska ha till uppgift att samarbeta för att förebygga, upptäcka, utreda och lagföra brott som avses i bilaga I till Europolförordningen. Direktivet om finansiell information förutsätter att centralen för utredning av penningtvätt ska kunna samarbeta med myndigheterna för att förebygga brott som avses i bilaga I till Europolförordningen, eftersom finansiell information enligt definitionen i artikel 2.5 i direktivet avser all slags information eller data, såsom data om finansiella tillgångar, överföringar av medel eller finansiella affärsrelationer, som redan innehas av FIU för att förebygga, upptäcka och effektivt bekämpa penningtvätt och finansiering av terrorism. Enligt artikel 7 i direktivet ska centralen dessutom med nödvändig skyndsamhet kunna besvara motiverade begäranden om finansiell information eller finansiella analyser från utsedda behöriga myndigheter, där sådan finansiell information eller sådana finansiella analyser som rör förebyggande, upptäckt, utredning eller lagföring av allvarliga brott krävs från fall till fall. Skyldigheten för centralen för utredning av penningtvätt att lämna ut uppgifter enligt definitionen i artikel 7 omfattar utöver finansiell information också analyser, vilket är ett mer omfattande begrepp än finansiell information.  

Enligt gällande 2 § 2 mom. i lagen om centralen för utredning av penningtvätt avses med förhindrande, avslöjande och utredning av penningtvätt och finansiering av terrorism i 1 mom. 1 punkten mottagande, registrering och annan handläggning av rapporter om misstankar om penningtvätt och finansiering av terrorism och, i anslutning till dessa misstankar, av uppgifter om penningtvätt och finansiering av terrorism samt förhindrande, avslöjande och utredning av penningtvätt, av finansiering av terrorism och av det brott genom vilket den egendom eller den vinning har fåtts eller kan fås som är föremål för penningtvätt eller finansiering av terrorism. Uppgifterna för centralen för utredning av penningtvätt är i gällande lagstiftning begränsade till förhindrande, avslöjande och utredning av penningtvätt och av finansiering av terrorism samt av förbrott till dem. Föremål för penningtvättsbrott är enligt den finska strafflagen egendom som förvärvats genom brott eller vinning av brott. Det finns inte nödvändigtvis något förbrott till finansiering av terrorism, dvs. de tillgångar som används för finansieringen kan ha förvärvats på lagligt sätt.  

Bilaga I till Europolförordningen innehåller också sådana mycket allvarliga brott mot liv och hälsa eller personlig självbestämmanderätt samt mot egendom, allmän säkerhet och samhället som inte alltid begås i vinningssyfte och således inte i så fall ingår i den nuvarande definitionen av förbrott till penningtvätt eller finansiering av terrorism. Bilaga I till Europolförordningen innehåller bl.a. följande brott som för närvarande inte utgör förbrott till penningtvätt i situationer där dessa brott inte begås i vinningssyfte: terrorism, organiserad brottslighet, mord, grov misshandel, orsakande av svår kroppsskada, brottslighet som har samband med nukleära och radioaktiva ämnen, människorov, olaga frihetsberövande och tagande av gisslan, rasism och främlingsfientlighet, it-brottslighet, miljöbrott, däribland förorening från fartyg, sexuella övergrepp och sexuellt utnyttjande, inbegripet material med övergrepp mot barn och kontaktsökning med barn i sexuellt syfte, folkmord, brott mot mänskligheten och krigsförbrytelser.  

Enligt artikel 7 i direktivet om finansiell information ska centralen för utredning av penningtvätt kunna lämna ut uppgifter vid allvarliga brott som definieras i bilagan till Europolförordningen. För närvarande har centralen för utredning av penningtvätt möjlighet att lämna ut uppgifter om förbrott till penningtvätt, dvs. brott som begås i vinningssyfte. Detta utesluter t.ex. grova brott mot liv och hälsa eller grova skadegörelsebrott mot egendom som inte syftar till ekonomisk vinning. Därmed är ett allvarligt brott enligt Europolförordningen och ett förbrott till penningtvätt inte samma sak. För att centralen för utredning av penningtvätt ska kunna lämna ut information om allvarliga brott enligt Europolförordningen till myndigheter i andra EU-länder behöver den nationella lagen kompletteras på det sätt som direktivet förutsätter. Det bedöms att de brottstyper som räknas upp på listan förekommer i mindre utsträckning än de som hör till kärnområdet för centralen för utredning av penningtvätt, dvs. penningtvätt, finansiering av terrorism och förbrott till dessa, men det är viktigt att man på det sätt som direktivet förutsätter säkerställer centralens handlingsförmåga också vid bekämpningen av dessa brott i samarbete med andra länders behöriga myndigheter. Genom kravet i direktivet förenhetligas handlingsberedskapen i EU bland medlemsstaternas finansunderrättelseenheter. 

4 §.Centralens rätt att få, använda och lämna ut uppgifter. Paragrafens 4 mom. ändras så att uppgifter i penningtvättsregistret trots sekretessbestämmelserna får användas och lämnas ut också för att förhindra, avslöja och utreda brott som avses i bilaga I till Europolförordningen samt för att föra dem till undersökning. Till samma moment fogas dessutom ett omnämnande av att uppgifter får lämnas ut till Europol. I artikel 12 i direktivet om finansiell information förutsätts att centralen för utredning av penningtvätt ska samarbeta med Europol och lämna ut uppgifter på begäran av Europol. Enligt direktivet om finansiell information ska centralen ha rätt att besvara vederbörligen motiverade begäranden som gjorts av Europol genom den nationella Europolenheten, eller om den medlemsstaten tillåter detta, via direkta kontakter mellan centralen och Europol. Sådana begäranden ska röra finansiell information och finansiell analys och ska göras efter en bedömning från fall till fall inom ramen för Europols befogenheter och för att fullgöra Europols uppgifter.  

I fråga om motivering hänvisas i övrigt till motiveringen till 2 §. Dessutom föreslås att det till 4 mom. fogas en bestämmelse om att polisen, Tullen, Gränsbevakningsväsendet och åklagarna har rätt att få finansiell information och finansiella analyser från centralen för utredning av penningtvätt för förebyggande, upptäckande, utredning och överlämnande för åtalsprövning av brott som avses i bilaga 1 till Europolförordningen. Genom direktivet genomförs artikel 3.2 i direktivet om finansiell information enligt vilken varje medlemsstat, bland de myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott, ska utse de behöriga myndigheter som kan begära och ta emot finansiell information eller finansiella analyser från FIU. De ovannämnda myndigheterna ska för Finlands del anmälas till kommissionen på det sätt som anges i artikel 3.3 i direktivet om finansiell information som de myndigheter som utnämns i enlighet med artikel 3.2. Syftet med bestämmelsen är att förbättra informationsutbytet mellan FIU och de behöriga myndigheterna och effektivera användningen av finansiell information och finansiella analyser från FIU för förebyggande, upptäckande och lagförande av brott. 

Bestämmelser på lägre nivå än lag

Avsikten är inte att utfärda bestämmelser på lägre nivå än lag i anslutning till propositionen. 

Ikraftträdande

Det föreslås att lagarna träder i kraft så snart som möjligt. Bestämmelserna om Tullens sammanställningsprogram tillämpas från och med den 1 september 2022, eftersom byggandet av sammanställningsprogrammet kräver ändringar i informationssystemen, för vilka det ska reserveras tillräckligt med tid. 

10  Verkställighet och uppföljning

Propositionen gäller genomförandet av direktivet om finansiell information och det femte direktivet om penningtvätt och enligt propositionen ansvarar inrikesministeriet för att notifiera Europeiska kommissionen om lagstiftning som utfärdas för att genomföra direktiven.  

Tullen ansvarar för byggandet av sammanställningsprogrammet som föreslås i propositionen. Tullen verkar inom finansministeriets förvaltningsområde och enligt förslaget följer finansministeriet upp byggandet, införandet och driften av sammanställningsprogrammet.  

Finansministeriet ansvarar för beredningen av lagstiftningen som gäller övervakningssystemet för bank- och betalkonton och ministeriet följer upp hur väl lagen fungerar.  

Centralen för utredning av penningtvätt hör till inrikesministeriets förvaltningsområde och enligt förslaget följer inrikesministeriet upp hur väl de lagändringar som ges om centralen för utredning av penningtvätt fungerar.  

11  Förhållande till andra propositioner

Finansministeriet har den 11 december 2020 tillsatt en arbetsgrupp för reform av bekämpning av penningtvätt och finansiering av terrorism (VN/25829/2020). Projektets mandatperiod är 1.1.2021–31.8.2021 och dess uppgift är bereda ett förslag till nödvändiga lagändringar och kompletteringar till lagstiftningen gällande bekämpning av penningtvätt och finansiering av terrorism. 

Europeiska kommissionen lade den 20 juli 2021 fram förslag till lagstiftning om penningtvätt och finansiering av terrorism, i förslaget ingår ett förslag till ändring av penningtvättsdirektivet, det så kallade sjätte penningtvättsdirektiv (COM(2021) 423 final). Kommissionens nya författningsförslag förutsätter att medlemsstaterna ser till att uppgifterna i de centraliserade registren över bankkonton är tillgängliga via en centraliserad åtkomstpunkt för registren som utvecklas och administreras av kommissionen. I anslutning till förslaget lade kommissionen också fram ett förslag till ändring av penningtvättsdirektivet, COM(2021) 429 final. Syftet med förslagen som gäller penningtvätt är bl.a. att förtydliga regleringen gällande rätten till information för centralerna för utredning av penningtvätt, deras samarbete och kanaler som används för informationsutbyte. Författningsförslaget innehåller också ett förslag till sammankoppling av medlemsstaternas bankkontoregister.  

11.1  Samband med andra propositioner

Propositionen har inget samband med andra propositioner.  

11.2  Förhållande till budgetpropositionen

Enligt propositionen ska Tullen bygga upp ett sammanställningsprogram för övervakningssystemet för bank- och betalkonton. Enligt en preliminär bedömning kan sammanställningsprogrammet skapas med finansiering som tidigare beviljats Tullens kontoregisterprojekt. Dessutom uppstår kostnader för de behöriga myndigheter som avses i lagen om ett övervakningssystem för bank- och betalkonton när de bygger gränssnitt till sammanställningsprogrammet. Ovan nämnda kostnader kan finansieras med anslag som tidigare beviljats myndigheterna. 

12  Förhållande till grundlagen samt lagstiftningsordning

12.1  Skyddet för personuppgifter

Bestämmelserna i förslaget är viktiga med tanke på skyddet för privatlivet och personuppgifter som tryggas i 10 § i grundlagen. 

Utöver detta har grundlagsutskottet särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 14/2018 rd, s. 5 och de utlåtanden som nämns där). Här är det relevant att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att tillåtande av behandling av i synnerhet känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd. s 2/I), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, däribland lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd, s. 4–5 och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd samt GrUU 14/2009 rd). 

Grundlagsutskottet har tidigare ansett att banksekretessen inte är en faktor som hör till kärnan i det som avses med privatlivet (GrUU 14/2002 rd, s 4/II, GrUU 7/2000 rd, s. 4/I). Sedan dess har utskottet utformat en ny syn på innebörden av kärnan i skyddet för privatlivet. Exempelvis har grundlagsutskottet i sin tidigare praxis ansett att identifieringsuppgifterna för ett meddelande ligger utanför kärnområdet för den grundläggande fri- och rättighet som skyddar hemligheten i fråga om förtroliga meddelanden (se t.ex. GrUU 33/2013 rd, s. 3/I, GrUU 6/2012 rd, s. 3–4, GrUU 29/2008 rd, s. 2/II och GrUU 3/2008 rd, s. 2/I). Utskottet har justerat den här praxisen, eftersom identifieringsuppgifter som anknyter till elektronisk kommunikation samt möjligheten att sammanställa och kombinera dem kan vara så pass problematiska med hänsyn till skyddet för privatlivet att en kategorisk uppdelning av skyddet i ett kärnområde och ett randområde inte alltid är motiverad, utan man måste på ett allmännare plan fästa vikt också vid hur betydelsefulla begränsningarna är (GrUU 18/2014 rd, s. 6/II, se även GrUU 36/2018 rd, s. 22). 

Korrekt tolkade och tillämpade motsvarar bestämmelserna i EU:s allmänna dataskyddsförordning enligt grundlagsutskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter (se GrUU 14/2018 rd, s. 4). Däremot innehåller dataskyddsdirektivet för brottsbekämpande myndigheter inte sådan detaljerad reglering som bildar en tillräcklig regleringsgrund med tanke på skyddet för privatlivet och personuppgifter, som tryggas i 10 § i grundlagen. Regleringen om behandling av personuppgifter ska i sådana här regleringssammanhang där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras fortfarande bedömas utifrån utskottets tidigare praxis som betonar bestämmelser på lagnivå, exakthet och omfattning. Kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter kan dock till vissa delar uppfyllas genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (se GrUU 14/2018 rd, s. 7, GrUU 26/2018 rd, s. 3–4, GrUU 51/2018 rd, s. 3). 

Utskottet har ansett att det också vid beredningen av nationell lagstiftning som har relevans för skyddet för privatliv och personuppgifter och grundar sig på EU-rätten finns anledning att fästa särskild uppmärksamhet vid EU-domstolens avgöranden i fallen Digital Rights Ireland (C-293/12 och C-594/12), Schrems (C-362/14) och Tele2 Sverige och Watson (C-698/15 och C-203/15) (GrUU 36/2017 rd, s. 7, GrUU 35/2018 rd, s. 6, GrUU 13/2017 rd, s. 4–5, GrUU 9/2017 rd, s. 5). I fallet Tele2 Sverige och Watson konstaterade domstolen att trafikuppgifterna och lokaliseringsuppgifterna sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i (99 punkten, se också domen i Digital Rights-fallet, 27 punkten). Domstolen påpekade att det utifrån de här uppgifterna är möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt ur integritetssynpunkt som själva innehållet i kommunikationerna. 

Grundlagsutskottet har i sitt utlåtande (GrUU 48/2018 rd) ansett att i ju större utsträckning privata människor gör sina betalningar via ett bankkonto i stället för att använda kontanter, desto mer detaljerad blir den bild man kan få av deras privatliv utifrån transaktionerna på kontot. Transaktionerna kan rentav avslöja känsliga uppgifter såsom medlemskap i religionssamfund och användning av hälso- och sjukvårdstjänster. Därför kan fysiska personers detaljerade kontouppgifter jämställas med känsliga uppgifter som hör till kärnan i skyddet för privatlivet. 

Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet har ansett att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 15/2018 rd, s. 37, GrUU 13/2016 rd, s. 4, GrUU 14/2009 rd, s. 3/I). Även i den allmänna dataskyddsförordningen sägs det att särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd, s. 5). Bestämmelserna om behandling av känsliga uppgifter bör fortfarande analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter ( GrUU 14/2018 rd, s. 6). 

I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). Utskottet har bedömt bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bl.a. vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. 

Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan enligt utskottet gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att uppgifterna är nödvändiga för ett visst syfte (t.ex. GrUU 17/2016 rd, s. 2–3 och de utlåtanden som nämns där). Utskottet har dock ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (GrUU 19/2012 rd, s. 4/I och de utlåtanden som nämns där).  

I en konstitutionell bedömning ska tyngdpunkten enligt grundlagsutskottet ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga kraven i fråga om skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter (GrUU 14/2018 rd, s. 7). Grundlagsutskottet har påpekat att en sådan bedömning är möjlig endast om propositionen tillräckligt ingående specificerar skälen till att behandling av personuppgifter anses nödvändigt. Det räcker inte med att i form av en slutledning konstatera att de föreslagna bestämmelserna på lagnivå är exakta och klart avgränsade samt godtagbara med hänsyn till de grundläggande fri- och rättigheterna som helhet och att de föreslagna ändringarna står i proportion till ändamålet samt att målsättningen inte kan nås genom mindre ingrepp i rättigheterna, om det i motiven till lagstiftningsordning inte på något vis preciseras på vilka grunder de nya befogenheterna att behandla personuppgifter kan anses vara proportionerliga och bygga på skäl som är godtagbara ur konstitutionell synvinkel (GrUU 38/2016 rd, s. 5). Utskottet har framhållit att en sådan brist i motiven till ett lagförslag i extremfall kan leda till att lagförslaget bedöms strida mot grundlagen till den del det inte motiverats på ett riktigt sätt (se t.ex. GrUU 38/2016 rd, s. 3, GrUU 9/2016 rd, s. 6 och GrUU 19/1998 rd, s. 3–4). 

Åtkomst till övervakningssystemet för bank- och betalkonton 

I lagförslaget om övervakningssystemet för bank- och betalkonton (RP 167/2018 rd) ströks omnämnandet av uppgifter om kontotransaktioner vid riksdagsbehandlingen, dvs. övervakningssystemet för bank- och betalkonton innehåller inte sådana känsliga uppgifter, på basis av vilka man kan skapa en bild av till exempel personens privatliv. Enligt den gällande lagen omfattar övervakningssystemet för bank- och betalkonton uppgifter om kundrelationer, t.ex. om kontoinnehavaren eller nyttjanderättshavaren, identifieringsuppgifter om bankkonton, såsom IBAN-nummer, samt uppgifter om den verkliga förmånstagaren. Datasöksystemet gör det möjligt att överlåta personuppgifter och förmögenhetsuppgifter som omfattas av banksekretessen elektroniskt från kreditinstitut till de myndigheter som anges i lagen för att dessa ska kunna fullgöra sin lagstadgade uppgift. Uppgifterna lagras inte i systemet utan överlåts direkt från det kreditinstitut som agerar som personuppgiftsansvarig till myndigheten. Myndigheten ska ange en lagstiftningsgrund med stöd av vilken den har rätt att få uppgifterna. Kreditinstitutet ansvarar i egenskap av personuppgiftsansvarig för att de uppgifter som överlåts är korrekta. Tullen ska vara personuppgiftsansvarig för registret över bank- och betalkonton. Syftet med registret över bank- och betalkonton är att ta emot och lagra sådana uppgifter som lämnas av betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor. Uppgifterna motsvarar delvis de kunduppgifter som fås av kreditinstituten via datasöksystemet för bank- och betalkonton. 

I 6 § i förvaltningslagen (434/2003) anges rättsprinciperna inom förvaltningen. Enligt paragrafen ska myndigheterna bemöta dem som uträttar ärenden hos förvaltningen jämlikt och använda sina befogenheter enbart för syften som är godtagbara enligt lag. Myndigheternas åtgärder ska vara opartiska och stå i rätt proportion till sitt syfte. Åtgärderna ska skydda förväntningar som är berättigade enligt rättsordningen. Det centrala innehållet i proportionalitetsprincipen är att myndighetens åtgärder ska stå i rätt proportion till sitt syfte. Med andra ord ska en myndighetsåtgärd vara ändamålsenlig, nödvändig och rätt dimensionerad med hänsyn till syftet med åtgärden. I praktiken förutsätter proportionalitetsprincipen att myndigheten dimensionerar sin verksamhet till en sådan nivå som är den lägsta möjliga för att framkalla den effekt som krävs. Också i flera speciallagar, såsom 1 kap. 3 § i polislagen och 1 kap. 6 § i lagen om brottsbekämpning inom Tullen, föreskrivs det om tillämpning av proportionalitetsprincipen i myndigheternas verksamhet.  

De åtkomsträttigheter till datasöksystemet för bank- och betalkonton som föreslås i propositionen baserar sig på myndigheternas befogenheter och rätt att få uppgifter enligt gällande lagstiftning. I propositionen föreslås inga nya befogenheter för myndigheterna att få uppgifter om bank- och betalkonton och enligt propositionen är det med tanke på myndigheterna inte fråga om reglering av rätten att få uppgifter, utan i första hand sådan reglering som gäller nyttjanderätten av ett visst tekniskt system. Jämfört med nuläget ändrar propositionen alltså det sätt på vilket kreditinstituten lämnar uppgifter till de behöriga myndigheterna, dvs. åtkomsten till uppgifter blir elektronisk. Dessutom har en del myndigheter, t.ex. utsökningsmyndigheten och skatteförvaltningen, redan en elektronisk informationskanal med flera banker. Enligt propositionen ska myndigheterna med stöd av sina gällande befogenheter kunna få tillgång till uppgifter i övervakningssystemet för bank- och betalkonton, varvid antalet ospecificerade förfrågningar som gäller bank- och betalkonton och den arbetstid som går åt för dem minskar både hos myndigheterna och hos kredit- och betalningsinstituten. Dessutom minskar antalet överlappande förfrågningar samtidigt som dataskyddet i samband med förfrågningarna och logguppgifterna och kontrollen av förfrågningarnas laglighet förbättras.  

I propositionen föreslås att behöriga myndigheter ska ha rätt att få åtkomst till sådana uppgifter som överlämnats till övervakningssystemet enligt 4 § och som sparats i systemet på det sätt som föreskrivs i 6 § i lagen, om det är nödvändigt för att fullgöra de uppgifter som förtecknas i författningen och myndigheten har enligt någon annan bestämmelse i lagen rätt att få uppgifter som överlämnats och sparats i övervakningssystemet för bank- och betalkonton. Uppgifter som lämnats ut via övervakningssystemet är således tydligt begränsade till de uppgifter som enligt lagen ska ingå i övervakningssystemet, nödvändighetsförutsättningen samt myndigheternas rätt att få uppgifter om bank- och betalkonton som det föreskrivs på annat ställe i lagen. Nödvändighetsförutsättningen ska tolkas snävt, och om myndigheten i sin prövning kommer fram till att uppgifterna inte är nödvändiga för fullgörandet av en lagstadgad uppgift, ska en begäran om information inte kunna göras. Det är viktigt att observera att endast uppgifter om kundrelationen, identifieringsuppgifter om bankkonton samt uppgifter om den verkliga förmånstagaren kan fås via övervakningssystemet för bank- och betalkonton. I regeringens proposition föreslås inte någon ändring i detta, dvs. en eventuell begäran om information om kontotransaktioner sker på något annat sätt än via övervakningssystemet för bank- och betalkonton.  

I propositionen föreslås i första hand att åtkomst till övervakningssystemet för bank- och betalkonton ge polisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet i syfte att bekämpa, upptäcka och utreda brott enligt bilaga I till Europolförordningen. Genom propositionen genomförs artikel 3.1 i direktivet om finansiell information, enligt vilket medlemsstaterna ska utse de myndigheter som har åtkomst till övervakningssystemet för bank- och betalkonton för att förebygga, upptäcka, utreda och lagföra brott. Åtkomst till systemet på basis av bestämmelsen i fråga förutsätter att åtkomsten ska vara nödvändig för att förebygga, upptäcka och utreda brott enligt bilaga I till Europolförordingen. Ovan nämnda brott är grova brott och på grund av de uppgifter som anknyter till dessa är åtkomsten till systemet motiverat med tanke på förebyggande, upptäckande och utredning av brotten.  

Dessutom föreslås att myndigheterna ges åtkomst för andra ändamål, till exempel sådana som föreskrivs i direktivet om finansiell information. I propositionen används i detta avseende det nationella handlingsutrymme som direktivet om finansiell information tillåter i fråga om övervakningssystemet för bank- och betalkonton.  

I propositionen föreslås åtkomst för Skatteförvaltningen till övervakningssystemet för bank- och betalkonton för inriktande av den skyldighet att lämna uppgifter som det föreskrivs om i 19 § i lagen om beskattningsförfarande. Förslaget varken luckrar upp eller utvidgar prövningsrätten för behandlingen av dessa uppgifter inom beskattningen. Skatteförvaltningens tjänsteman fattar beslut om behandling av bankkontouppgifter med stöd av 19 § i lagen om beskattningsförfarande, även om övervakningssystemet för bank- och betalkonton används i det tekniska genomförandet av förfrågan. I praktiken är det en teknisk åtgärd att i det inledande skedet skicka begäran till övervakningssystemet för bank- och betalkonton som hjälper med att rikta in begäran om kontotransaktioner till de bank- och betalningsinstitut där personen har ett eller flera konton. Det är väsentligt att den föreslagna 3 § om övervakningssystemet för bank- och betalkonton inte faktiskt utvidgar den prövningsrätt eller den rätt till behandling av bankkontouppgifter som Skatteförvaltningen har enligt etablerad praxis i dagsläget med stöd av lagen om beskattningsförfarande. Regleringen av utomståendes upplysningsplikt kan anses även stöda den föreslagna möjligheten att ge Skatteförvaltningen nyttjanderätt till övervakningssystemet för bank- och betalkonton. 

Skatteförvaltningens uppgifter har nära eller indirekta samband med tillämpningsområdet för direktivet för finansiell information. Användning av bank- och betalkontouppgifter som baserar sig på övervakningssystemet i Skatteförvaltningens uppgifter främjar indirekt även syftet och målen för direktivet om finansiell information. Till exempel rätten att använda övervakningssystemet för bank- och betalkonton inom beskattningen kan indirekt minska risken för missbruk av banksystemet. Dessutom kan möjligheten att använda bank- och betalkontouppgifter inom beskattningen via övervakningssystemet bidra till att upptäcka brottsmisstankar gällande penningtvätt i ett tidigt skede, till exempel redan i samband med beskattningsförrättande eller skatterevision. 

Det föreslås att Tullen ges åtkomst till uppgifterna i övervakningssystemet för bank- och betalkonton för den beskattning och skatteövervakning som Tullen utför, förundersökning som Tullen utför och uppgifter gällande bekämpning och röjande av tullbrott som avses 1 kap. 2 § 3 och 4 punkten i lagen om brottsbekämpning inom Tullen. En förutsättning att få åtkomst till uppgifterna är att de är nödvändiga för att genomföra de ovan nämnda uppgifterna. Tullens beskattningsfunktioner spelar en viktig roll i anskaffningen av medel i synnerhet i fråga om EU:s traditionella egna medel. Tullens beskattningsfunktioner skyddar även unionens ekonomiska intressen. I fråga om brottsbekämpning är Tullen den förundersökningsmyndighet som avses i förundersökningslagen och Tullen ansvarar för tullbrottsbekämpningen på det sätt som det föreskrivs om det i lagen om brottsbekämpning inom Tullen och i annan lagstiftning.  

Tullen har med stöd av kap. 2 14 § 1 mom. i lagen om brottsbekämpning inom Tullen rätt oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar, förvaltningsrådsmedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet att av en privat eller offentlig sammanslutning eller en enskild få information som behövs för förhindrande, avslöjande eller utredning av tullbrott. 

Tullens utredningsverksamhetsenheter utreder bland annat narkotikabrott, läkemedelsbrott, skattebedrägerier, smugglingsbrott samt andra brott som sker i samband med import. Brott gällande skattebedrägerier anknyter ofta till gärningar som skadar EU:s ekonomiska intressen, såsom till exempel undvikande av tullar och antidumpningstullar, men Tullen undersöker även brott gällande punktbeskattningen. Vid undersökning av tullbrott begär man kontouppgifter vanligtvis med ett standardiserat formulär, på vilket man antecknar alla nödvändiga uppgifter om den information som begärs och brotten som undersöks. Åren 2017 och 2018 lämnade Tullen cirka 24 000 begäranden om kontouppgifter till kredit- och betalningsinstitut i samband med undersökning av tullbrott, 

Det föreslås att utsökningsmyndigheten ges åtkomst för att fullgöra det som avses i utsökningsbalken. Utmätningsmannens rätt att få information är i utsökningsbalken bunden till uppgifternas nödvändighet i enskilda utmätningsärenden. Utmätningsmannen bedömer om uppgifterna är nödvändiga. Regleringen i utsökningsbalken kan anses stöda möjligheten att ge utmätningsmannen direkt åtkomst till övervakningssystemet för bank- och betalkonton. 

När det gäller centralen för utredning av penningtvätt föreslås utöver de uppgifter som föreskrivs i gällande lag och för vilka åtkomst till övervakningssystemet för bank- och betalkonton kan beviljas även åtkomst för utförande av uppgifter enligt 2 § 1 mom. 8 punkten i lagen om centralen för utredning av penningtvätt, dvs. för att göra operativa och strategiska analyser av gärningssätt, fenomen, trender och metoder rörande penningtvätt samt finansiering av terrorism och det brott genom vilket den egendom eller den vinning har fåtts eller kan fås som är föremål för penningtvätt eller finansiering av terrorism. Ovan nämnda uppgift föreskrivs för centralen för utredning av penningtvätt i lagändringen som trädde i kraft den 10 maj 2021 och som anknyter till genomförandet av det fjärde direktivet om penningtvätt. Den föreslagna åtkomsten till övervakningssystemet anknyter i detta avseende till den lagstadgade uppgift som kommer att föreskrivas på grund av skyldigheten i direktivet om penningtvätt och tillåter åtkomst uppgifter i övervakningssystemet för bank- och betalkonton i syfte att utföra dessa uppgifter. Det är nödvändigt att använda bank- och betalkontouppgifter så att centralen för utredning av penningtvätt kan utföra sina lagstadgade uppgifter.  

För polisen och Gränsbevakningsväsendet föreskrivs om åtkomst till övervakningssystemet då det gäller förundersökning, förebyggande, avslöjande och utredning av brott och upprätthållande av den nationella säkerheten, för övervakning av penninginsamling som polisen utför enligt lagen om penninginsamlingar samt för uppgifter som behövs vid brottsutredningar enligt polislagen om ett viktigt allmänt eller enskilt intresse så kräver. Åtkomsten till övervakningssystemet gör det möjligt för polisen och Gränsbevakningsväsendet att effektivt utföra de uppgifter som nämns ovan.  

I den gällande lagen är polisens rätt att få information i första hand begränsad till brottskämpning eller utredning eller ett viktigt allmänt eller enskilt intresse. I praktiken fattas vid polisen beslutet om anskaffning av dessa uppgifter av en polisman som ingår i befälet separat i varje enskilt fall, vilket innebär att även beslutsfattandenivån är tillräckligt hög. Om anskaffning av uppgifter fattas ett separat beslut och det görs ett separat begärande. 

Gränsbevakningsväsendet har enligt gällande lagstiftning utan hinder av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företagshemlighet eller bank- eller försäkringshemlighet, på begäran av en anhållningsberättigad tjänsteman rätt att få uppgifter som behövs för förebyggande, avslöjande eller utredning av ett brott som undersöks av Gränsbevakningsväsendet. Om ett viktigt allmänt eller enskilt intresse kräver det, har gränsbevakningsväsendet samma rätt till sådana uppgifter som behövs för undersökning enligt 27 § i gränsbevakningslagen. På samma sätt som hos polisen är beslutsfattandenivån inom Gränsbevakningsväsendet för anskaffning av bankkontouppgifter tillräckligt hög och rättigheterna att få information är begränsade till sådan undersökning som avses i gränsbevakningslagen och gäller förebyggande, avslöjande eller utredning av brott eller ett viktigt allmänt eller enskilt intresse.  

Åtkomsträttigheter till övervakningssystemet för bank- och betalkonton i fråga om upprätthållande av den nationella säkerheten anknyter till utförande av skyddspolisens uppgifter att skydda den nationella säkerheten, dvs. civil underrättelseinhämtning. Civil underrättelseinhämtning kan riktas mot bland annat terrorism, utländsk underrättelseinhämtning, massförstörelsevapen, verksamhet som hotar samhällets vitala funktioner och sådan verksamhet av en främmande stat som kan skada intressen som är viktiga för Finland. Det bör observeras att informationsinsamling gällande finansiering av terrorism ingår således i skyddspolisens uppgifter även då den genomför civil underrättelseinhämtning. Skyddspolisens behov begränsas inte till bekämpning av terrorism och finansiering av den, utan det berör lika mycket skyddspolisens allaverksamhetssektorer, dvs. bland annat spionage, bekämpning av proliferation och statlig påverkan. Även om direktivet om finansiell information i sig gäller i första hand bekämpning av ekonomisk brottslighet och finansiering av terrorism förhindrar detta inte att man nationellt stiftar att informationssystemet även kan användas för att bekämpa andra grova brott eller fenomen som hotar den nationella säkerheten. 

Det bör observeras att datasöksystemet för bank- och betalkonton inte innehåller och inte är avsett att innehålla sådan information som skyddspolisen inte redan har rätt att få åtkomst till med stöd av 4 kap. 3 § 1 mom. och 5 a kap. 50 §. Att skyddspolisen ges nyttjanderätt till övervakningssystemet handlar således inte om att det inrättas en helt ny rätt till information för den, utan snarare om att utövandet av den befintliga lagstadgade rätten att få information görs smidigare.  

Användning av övervakningssystemet i skyddspolisens verksamhet begränsas av vad som föreskrivs om skyddspolisens rätt att få information på andra ställen i lagstiftningen: 5 a kap. 50 § i polislagen förutsätter till exempel att uppgifterna ska vara nödvändiga vid utredningen av sådan verksamhet som avses i 3 § i samma kapitel och som allvarligt hotar den nationella säkerheten, 2) nödvändighetsbedömningen ska göras separat för varje uppgift som begärs och 3) den som begär uppgifterna ska vara en polisman som ingår i befälet. Direktivet om finansiell information förutsätter dessutom av informationssystemet bland annat sådan loggföring att det på ett tillförlitligt sätt är möjligt att utreda befogenhetsgrunden för informationsinhämtningen. Övervakningen av att behandlingen av personuppgifter i skyddspolisens verksamhet är lagenligt och sakligt är exceptionellt noggrann, eftersom behandlingen övervakas av såväl dataskyddsombudsmannen samt av underrättelsetillsynsombudsmannen som verkar som en speciell ombudsman.  

I lagen om penninginsamlingar föreskrivs om tillämpning av lagen om penninginsamlingar även vid sådana penninginsamlingar vars syfte är att antingen helt eller delvis samla in en virtuell valuta. Det vore viktigt att i lagen om övervakningssystemet för bank- och betalkonton införa bestämmelser om datasökning för utförande av tillsynsuppgifter gällande sådana insamlingar som avses i lagen om penninginsamlingar, eftersom övervakningen av insamlingar av virtuella valutor baserar sig i regel på ovan nämnda uppgifter som erhållits från systemet. Utan bestämmelser som tillåter datasökning är det i praktiken nästan omöjligt att övervaka insamlingen av virtuella valutor. Dessutom beaktas inte ideella organisationer som får samla in pengar i lagen om penninginsamlingar och för dessa finns det således inte en utsedd tillsynsmyndighet när det gäller penningtvätt och finansiering av terrorism. I dessa frågor sker tillsynen i den ideella sektorn eventuellt parallellt med vissa aktörers övriga tillsyn.  

För Försvarsmaktens del ger propositionen åtkomst i anknytning till förebyggande, avslöjande och utredning av brott som avses i lagen om militär disciplin och brottsbekämpning inom försvarsmakten sant i enlighet med lagen om militär underrättelseverksamhet. Propositionen underlättar Försvarsmaktens åtkomst till bank- och betalkontouppgifter i fråga om till exempel utredning av egendoms- och bedrägeribrott samt militär underrättelseverksamhet. I fråga om det sistnämnda anknyter uppgiften till insamling av information om militär verksamhet som riktar sig mot Finland eller som är av betydelse för Finlands säkerhetsmiljö eller sådan verksamhet av en främmande stat eller annan sådan verksamhet som utgör ett allvarligt hot mot Finlands försvar eller äventyrar samhällets livsviktiga funktioner. Åtkomsten till övervakningssystemet hjälper försvaret med att genomföra dess uppgift att trygga landets säkerhet.  

I propositionen föreslås att Finansinspektionen ges åtkomst till övervakningssystemet för bank- och betalkonton för att utföra de uppgifter som avses i lagen om Finansinspektionen; För Finansinspektionens del ska tillsynsobjekten med stöd av lagen om Finansinspektionen lämna in till Finansinspektionen utan hinder av sekretessbestämmelserna de uppgifter och redogörelser som den begär och som behövs för att Finansinspektionen ska kunna sköta sina lagstadgade uppgifter. Den som har sådan bestämmanderätt som avses i bokföringslagen i ett tillsynsobjekt eller andra finansmarknadsaktörer eller som lyder under ett tillsynsobjekt eller andra finansmarknadsaktörer har motsvarande skyldighet. De uppgifter som nämns ovan är nödvändiga när det finns ett behov av dem. Uppgifterna har varit nödvändiga bland annat vid upprättandet av begäran om utredning samt i samband med handräckning. För att Finansinspektionen ska kunna utföra sina tillsynsuppgifter på ett högklassigt sätt är åtkomsten till bank- och betalkontouppgifter nödvändig. 

Europeiska datatillsynsmannen har i konsultationsrundan som ingår i konsekvensbedömningen av direktivet om finansiell information SWD (2018) 114 final ansett att ospecificerade förfrågningar om bankkonton är uppenbart problematiska ur ett dataskyddsperspektiv, och de föreslagna ändringarna minskar de behöriga myndigheternas behov av sådana ospecificerade förfrågningar då övervakningssystemet för bank- och betalkonton gör det möjligt att få information om bankernas kundrelationer.  

Åtkomsten till övervakningssystemet för bank- och betalkonton ska för varje myndighets del gälla endast personal som utbildats och bemyndigats för detta ändamål och åtkomsten ska alltid gälla enskilda fall som är anhängiga eller under behandling hos myndigheten och för vilkas handläggning och avgörande uppgifterna i övervakningssystemet behövs. De sökningar som görs via systemet förutsätter i praktiken att informationssökningar föregås av myndighetens prövning för att fastställa befogenheten att begära information samt hur nödvändig informationen är. För myndigheternas del är det inte fråga om automatiskt beslutsfattande eller ospecificerade massökningar i övervakningssystemet för bank- och betalkonton. Myndigheterna handlar under tjänsteansvar och till följd av att informationssökningen sker elektroniskt underlättas kontrollen av sökningarnas laglighet ytterligare hos den behöriga myndigheten. Sökningarna i systemet och de befogenheter som de grundar sig på registreras i systemets logguppgifter. 

Avsikten är att övervakningssystemet för bank- och betalkonton ska innehålla uppgifter som gäller kundrelationer i kredit- och betalningsinstitut. Som det konstaterats ovan i propositionen är systemet i praktiken endast delvis i drift, eftersom inte ett enda datasökssystem är i drift, och det inte heller när det gäller registret över bankkonton finns någon annan användare än centralen för utredning av penningtvätt. I propositionen föreslås åtkomsträttigheter för myndigheter som redan nu med stöd av gällande lagstiftning har rätt att få de uppgifter som avses. 

När man överväger skyddet av personuppgifter och åtkomstens proportionalitet, är den väsentliga frågan varför uppgifterna om betalningsinstitutens, instituten för elektroniska pengars, kreditinstitutens och tillhandahållarna av virtuella valutors kundrelationer ska vara sådana uppgifter som myndigheter som enligt gällande lagstiftning har rätt att få tillgång till, inte ska få åtkomst till i elektronisk form, när dessa uppgifter för närvarande kan fås åtminstone på papper. Uppgifterna i övervakningssystemet för bank- och betalkonton ger inte en täckande bild en persons ekonomiska ställning eller privatliv, eftersom uppgifterna endast innehåller uppgifter om kundrelationen. Med beaktande av att man med åtkomsträttigheterna sköter myndigheternas lagstadgade uppgifter och att dataskyddet har genomförts enligt propositionen, är beviljande av åtkomst till systemet proportionerligt och behandlingen av personuppgifter motiverad. 

Sammanställningsprogrammet 

Artikel 4.1 i direktivet om finansiell information förutsätter att de behöriga nationella myndigheter som utsetts i enlighet med artikel 3.1 har befogenhet att få åtkomst till och direkt och omedelbart söka i uppgifter om bankkonton när det är nödvändigt för fullgörandet av deras uppgifter i syfte att förebygga, upptäcka, utreda eller lagföra allvarliga brott eller stödja en brottsutredning som rör ett allvarligt brott, inbegripet identifiering, spårning och frysning av tillgångar i samband med en sådan utredning. Också artikel 32a.2 i femte penningtvättsdirektivet innehåller förutsättningen att uppgifterna i bankkontoregistret ska vara direkt tillgängliga på ett omedelbart och ofiltrerat sätt. Direktivet om finansiell information motsvarar det femte penningtvättsdirektivet om möjligheterna för uppgiftsskyldige att bedöma lagligheten av begäran om uppgifter. I detta avseende föreskriver direktivet om finansiell information inte nationellt utrymme för skönsmässig bedömning, men uppgifter måste lämna ut omedelbart på ett sådant sätt att uppgiftsskyldige inte har rätt att ifrågasätta utlämnandet och dess laglighet, inte ens i ett enskilt fall. 

Delvis i anslutning till genomförandet av artikel 4.1 i direktivet om finansiell information och genomförandet av artikel 32a.2 i femte penningtvättsdirektivet föreslås det att det ska vara möjligt att överföra uppgifter från övervakningssystemet för bank- och betalkonton via ett automatiserat sammanställningsprogram till i första hand de behöriga nationella myndigheter som utsetts i enlighet med artikel 3.1 och även nationellt till de behöriga myndigheter som utsetts enligt 3 § i lagen om övervakningssystemet för bank- och betalkonton. Förpliktelsen för aktör som förvaltar datasöksystemet att lämna ut information via sammanställningsprogrammet. skulle vara baserad på lagen om ett övervakningsystemet för bank- och betalkontons 4 § och det nya 7 a §. Det sammanställningsprogram som föreslås i propositionen förbättrar skyddet för personuppgifter, eftersom ett direkt gränssnitt till kreditinstitut utgör en högre risk för de registrerade än om begäran om information styrs enhetligt till kreditinstitutet via ett sammanställningsprogram. Vidare förbättras dataskyddet betydligt i och med att uppgift om myndigheten som begär information och grunden för begäran enligt förslaget inte lämnas ut till den aktör som förvaltar datasöksystemet. Ändringsförslaget att kreditinstitut inte i fråga om begäranden om information som gjorts via sammanställningsprogrammet ska få information om vilken myndighet som har begärt information och om den bestämmelse enligt vilken begäran har gjorts innebär att den uppgiftsskyldige inte längre kan bedöma sökningarnas laglighet i efterhand. Den föreslagna ändringen innebär att användningen av logguppgifter är förenlig med skyldigheterna i dataskyddsförordningen och begränsad till det som är nödvändigt i förhållande till de ändamål för vilka de i enlighet med lagen och förordningarna kan behandlas, dvs. behandlingen av uppgifterna minimeras. Automatiserad utlämningen av information är baserad på lagen om ett övervakningsystemet för bank- och betalkonton, där det föreskrivs att den som är personuppgiftsansvarig för registret måste lämna ut information utan att det måste vara säker att var och en utlämning har varit lagligt. Fortvarande myndigheten skulle ha förplikten att visa rättsgrund när begäran gjorts, men information skulle stanna i loggen, därirfån det skulle ges till dataombudsmannen för investigering.  

Dataskyddsförordningen föreskriver att personuppgifter måste vara relevanta, lämpliga och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas, dvs. skyldigheten att minimera uppgifterna. Det sammanställningsprogramens tekniska karaktär med tanke på omfattningen, sammanhanget och syftena skulle det utgöra en hög risk för den fysiska personens rättigheter och friheter om begäran om information överförs till loggarna för kreditinstitutens informationshämtningssystem. 

Det är inte nödvändigt för kreditinstitut att informeras om den rättsliga grunden på vilken en individuell begäran om information baserades, eftersom den rättsliga grunden för utlämnandet av information inte skulle baseras på en individuell begäran utan på skyldigheten enligt lagen om bank- och betalnings övervakningssystemet att automatiskt överföra uppgifterna till Tullens sammanställningsprogramen utan föregående verifiering. 

Myndighetens rättsliga grund för tillgång till information skulle för sin del fortsätta att baseras på en individuell åtkomststandard i varje enskilt fall och en bedömning av nödvändigheten av informationen i myndighetens nuvarande roll. Frågan uppstår om vilket syfte ett kreditinstitut skulle använda loggdata från en rättslig grund som tillhandahålls av en myndighet när den registeransvarige, i detta fall kreditinstitutet, inte har rätt att i efterhand kontrollera laglighet av enligt artikel 5.2 i dataskyddsförordningen. men skyldigheten att bevisa lagligheten av utlämnandet åläggs först vid tidpunkten före utlämningen. 

Som anges i förslaget, i enlighet med 4 § 1 mom. i lagen om ett övervakningssystemet för bank- och betalkonton som redan är i kraft, måste ett kreditinstitut omedelbart överföra informationen till den behöriga myndigheten, det vill säga utan möjlighet till förhandskontroll. Således har överlåtaren i praktiken inte möjlighet att vägra att lämna information enligt de nuvarande bestämmelserna, och förslaget skulle inte förändra detta. Förslaget skulle däremot förändra möjligheten för kreditinstitut att retrospektivt behandla loggdata om den rättsliga grunden för en myndighets begäran om information, eftersom myndighetens begäran om information skulle göras genom sammanställningsprogramet, som gjorde det möjligt för kreditinstitutet att få inte längre onödig information om den myndighet som gjorde den enskilda uppgiftsbegäran och myndighetens rättsliga grund. 

Den föreslagna förordningen överensstämmer med principerna för databehandling enligt artikel 5.1 i den allmänna dataskyddsförordningen och motsvarar skyldigheten att minimera uppgifter med avseende på behandling av personuppgifter. 

Frågan behandlas mer detaljerad i avsnittet om sammanställningsprogrammets dataskyddskonsekvenser på sidorna 59−63. De föreslagna ändringarna av bank- och betalkontos övervakningssystemet i förhållande till sammanställningsprogrammet och dess användning, såsom loggdata och personalbehörighet, är väldefinierade och exakta. 

Den föreslagna ändringen är proportionell och nödvändig eftersom den avsevärt förbättrar skyddet för den registrerades uppgifter. För sammanställningsprogrammet verkar Tullen som personuppgiftsansvarig och Tullen åläggs i denna uppgift de skyldigheter som avses i lagstiftningen gällande personuppgiftsansvariga. 

Det föreslås att man i sammanställningsprogrammet begränsar den registrerades rättigheter på det sätt som avses i artikel 18 i direktivet om finansiell information. Begränsningen bygger på såväl möjligheten i artikel 23 i den allmänna dataskyddsförordningen och 34 § i dataskyddslagen att begränsa den registrerades rätt att få tillgång till uppgifter som samlats in om honom eller henne, om 1) lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott, 2) lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter, eller 3) personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas samt på möjligheten enligt 28 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten om det med beaktande av den registrerades rättigheter är en proportionell och nödvändig åtgärd i syfte att 1) undvika menlig inverkan på förebyggande, avslöjande, utredning av brott eller på åtgärder som avser åtal för brott eller på verkställighet av straffrättsliga påföljder, 2) trygga andra undersökningar, utredningar eller motsvarande förfaranden hos myndigheter, 3) skydda den allmänna säkerheten, 4) skydda den nationella säkerheten, eller 5) skydda andra personers rättigheter. På myndigheters databehandling gällande brottmål och det föreslagna sammanställningsprogrammet som upprätthålls av Tullen tillämpas dataskyddsdirektivet för brottsbekämpande myndigheter. Dessutom kan även bestämmelserna i det allmänna dataskyddsdirektivet tillämpas på myndigheternas behandling, eftersom man med sammanställningsprogrammet behandlar personuppgifter som omfattas av det femte direktivet om penningtvätt. Behandling med sammanställningsprogrammet är automatiskt och direktivet om finansiell information förutsätter att inget förmedlande institut och således inte heller Tullen i egenskap av personuppgiftsansvarig för sammanställningsprogrammet får ingripa i de uppgifter som de med hjälp av sammanställningsprogrammet förmedlar till de behöriga myndigheterna. Begränsningen av de registrerades rättigheter är motiverat och ett sammanställningsprogram som överensstämmer med grundlagen är motiverat med stöd av dataskyddslagstiftningen.  

Uppgifter för centralen för utredning av penningtvätt  

För centralen för utredning av penningtvätt föreslås det i propositionen att centralens uppgifter utökas att omfatta myndighetssamarbete i syfte att förebygga, avslöja och utreda brott som avses i bilaga I till Europolförordningen samt föra ärendet till undersökning. Dessutom föreslås det att centralen för penningtvätt har rätt att lämna ut uppgifter för ovan nämnda ändamål. Genom de föreslagna ändringarna genomförs artikel 7.2 i direktivet om finansiell information, enligt vilken medlemsstaten ska se till att den nationella centralen för utredning av penningtvätt förutsätts samarbeta med utsedda behöriga myndigheter som avses i artikel 3.2 och att den kan med nödvändig skyndsamhet besvara motiverade begäranden om finansiell information eller finansiella analyser från dessa utsedda behöriga myndigheter, där sådan finansiell information eller sådana finansiella analyser krävs, från fall till fall och begäran motiveras av överväganden som rör förebyggande, upptäckt, utredning eller lagföring av allvarliga brott. Direktivet om finansiell information förutsätter att centralen samarbetar med behöriga myndigheter och kan besvara deras begäranden om information i fråga om allvarliga brott enligt direktivet. Den föreslagna ändringen är nödvändig eftersom de nuvarande uppgifterna för centralen för utredning av penningtvätt omfattar penningtvätt och finansiering av terrorism och deras förbrott. Bilaga I till Europolförordningen omfattar även allvarliga brott mot liv och hälsa eller självbestämmanderätten samt allvarliga brott mot egendom och allmän säkerhet samt allvarliga brott mot samhället, vilka inte alltid utförs i vinstsyfte och vilka i detta fall inte omfattas av definitionen för förbrott till penningtvätt eller finansiering av terrorism.  

Propositionen utvidgar de nuvarande befogenheterna hos centralen för utredning av penningtvätt och den har konsekvenser för skyddet för personuppgifter. Det är viktigt att man i Finland kan på ett effektivt sätt förhindra, avslöja och undersöka allvarliga brott och informationsutbytet mellan centralen för utredning av penningtvätt och de behöriga myndigheterna som ansvarar för att förhindra, avslöja, undersöka och föra brott till åtalsprövning enligt propositionen genomför brottsbekämpningens och -utredningens intresse och förmedling av personuppgifter i samband med utbytet av dessa uppgifter kan ses vara nödvändigt och motiverat samt överensstämma med skyddet för personuppgifter som tryggas av grundlagen.  

12.2  EU:s allmänna dataskyddsförordning och dataskyddsdirektivet för brottsbekämpande myndigheter

Grundlagsutskottet har konstaterat att dataskyddsförordningen är en EU-rättsakt som till alla delar är förpliktande och direkt tillämplig lagstiftning i samtliga medlemsstater. I EU-domstolens rättspraxis har unionslagstiftningen företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (GrUU 1/2018 rd). Grundlagsutskottet har också konstaterat att det inte ingår i utskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Grundlagsutskottet har dock kommenterat förhållandet mellan unionslagstiftningen och den nationella lagstiftningen. Enligt grundlagsutskottets tolkningspraxis är det viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). Utskottet har framhållit att det i propositionen finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4). 

Grundlagsutskottet menar att i en konstitutionell bedömning av skydd för personuppgifter ska tyngdpunkten ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till garantierna för rättssäkerhet och god förvaltning, som kräver nationell lagstiftning (se GrUU 14/2018 rd, s. 7). Utskottet understryker vidare att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter (GrUU 14/2018 rd, s. 8). Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 54/2014 rd, s. 2/II, GrUU 10/2014 rd, s. 4/II). Utskottet har särskilt lyft fram balansen mellan handlingars offentlighet och skyddet för personuppgifter (GrUU 22/2008 rd, s. 4/I). 

Grundlagsutskottet har i ett utlåtande som gällde lagstiftning som kompletterar dataskyddsförordningen sett det som motiverat att justera sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet ansåg att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter. I stället bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nya nationella allmänna lagstiftningen. (GrUU 14/2018 rd, s. 4) Grundlagsutskottet ansåg också att vi även med tanke på tydligheten bör förhålla oss restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger. Utskottet såg det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5). 

Den behandling av personuppgifter som avses i propositionen hör delvis till tillämpningsområdet för dataskyddsdirektivet för brottsbekämpande myndigheter och den nationella genomförandelagstiftningen i situationer där uppgifterna behandlas av behöriga myndigheter enligt dataskyddslagen avseende brottmål för de syften som anges i lagen. Grundlagsutskottet ansåg som ett led i granskningen av tolkningspraxis för 10 § i grundlagen att dataskyddsdirektivet för brottsbekämpande myndigheter inte innehåller sådan detaljerad reglering som bildar en tillräcklig regleringsgrund med tanke på skyddet för privatlivet och personuppgifter, som tryggas i 10 § i grundlagen. Regleringen om behandling av personuppgifter ska i sådana här regleringssammanhang där det känsliga sambandet med de grundläggande fri- och rättigheterna accentueras fortfarande bedömas utifrån utskottets tidigare praxis som betonar bestämmelser på lagnivå, exakthet och omfattning. Av betydelse är också att dataskyddslagen avseende brottmål inom sitt tillämpningsområde blir tillämplig som allmän lag och avses bli kompletterad med speciallagstiftning som gäller olika förvaltningsområden. Kraven på räckvidd för, exakthet hos och noggrann avgränsning av bestämmelser om skyddet för personuppgifter kan dock till vissa delar uppfyllas genom en allmän nationell lag utanför tillämpningsområdet för dataskyddsförordningen (GrUU 14/2018 rd, GrUU 26/2018 rd, GrUU 51/2018 rd).  

Propositionens förslag om sammanställningsprogrammet har utarbetats med hänsyn till kraven i dataskyddsförordningen och den övriga dataskyddslagstiftningen. En närmare redogörelse om den reglering som direktivet om finansiell information förutsätter och om utnyttjandet av det nationella handlingsutrymmet finns i avsnitt 5.1 Handlingsalternativen och deras konsekvenser. Den speciallagstiftning om behandling av personuppgifter som föreslås i propositionen har ansetts vara nödvändig.  

Syftet med propositionen är att underlätta åtkomsten till information med hjälp av en teknisk tillämpning för de myndigheter som enligt gällande lagstiftning redan har rätt att få denna information. Vid beredningen av propositionen har det bedömts att den föreslagna regleringen om behandling av personuppgifter och utlämnande av sekretessbelagda uppgifter inte innebär en mer långtgående inskränkning än vad som är motiverat med hänsyn till hur tungt vägande de bakomliggande syftena är i relation till den grundläggande rättighet som ska inskränkas. Den föreslagna regleringen har bedömts vara en nödvändig och proportionerlig åtgärd för att uppnå syftet med propositionen. 

12.3  Särskilda grupper av personuppgifter

Grundlagsutskottet menar att bestämmelserna om behandling av känsliga uppgifter fortfarande bör analyseras utifrån praxisen för tidigare bestämmelser på lagnivå. (GrUU 14/2018 rd och GrUU 15/2018 rd). Till följd av att tillämpningen av EU:s dataskyddsförordning inletts och man i dess artikel 9 använder begreppet särskilda kategorier av personuppgifter, ska man i den nationella lagstiftningen för tydlighetens skull undvika att använda begreppet känsliga uppgifter (se även GrUU 14/2018 rd, s. 9). Likväl menar utskottet att det fortfarande är motiverat att i konstitutionellt hänseende beskriva vissa grupper av personuppgifter uttryckligen som känsliga (GrUU 15/2018 rd). Med dessa menas en bredare datamängd än endast de särskilda grupper av personuppgifter som avses i dataskyddsförordningen (se här även t.ex. GrUU 17/2018 rd). Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet har ansett att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (se GrUU 15/2018 rd, även GrUU 13/2016 rd, GrUU 14/2009 rd). 

Även i ingressen till dataskyddsförordningen sägs det att särskilda personuppgifter som avses i artikel 9 i förordningen och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Grundlagsutskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (GrUU 15/2018 rd). Därför har grundlagsutskottet ansett att fysiska personers detaljerade kontouppgifter kan jämställas med känsliga uppgifter som hör till kärnan i skyddet för privatlivet. 

Övervakningssystemet för bank- och betalkonton innehåller endast uppgifter om kundrelationer, identifiering av bankkonton och faktiska förmånstagare. Åtkomst till uppgifter i övervakningssystemet för bank- och betalkonton enligt propositionen gäller inte särskilda grupper av personuppgifter eller känsliga personuppgifter, eftersom övervakningssystemet innehåller endast de uppgifter som nämns ovan.  

Med beaktande av vad som konstateras ovan bedöms det som föreslås i propositionen uppfylla kraven i 10 § i grundlagen. 

12.4  12.4 Administrativa påföljder

Enligt grundlagsutskottets vedertagna tolkningspraxis är en avgift som påförs för en lagstridig gärning inte en sådan skatt eller avgift som avses i grundlagens 81 § utan den är en ekonomisk påföljd av straffnatur. Utskottet har i sak jämställt ekonomiska påföljder av straffnatur med straffrättsliga påföljder (GrUU 4/2001 rd, s 7, GrUU 32/2005 rd, s. 2, GrUU 55/2005 rd, s 2 och GrUU 17/2012 rd, s 6). Enligt 2 § 3 mom. i grundlagen ska de allmänna grunderna för administrativa påföljder bestämmas i lag eftersom det innebär utövning av offentlig makt att påföra en sådan avgift. Enligt utskottet ska det i lag utfärdas exakta och tydliga bestämmelser om grunderna för en påföljd och om påföljdens storlek samt om rättsskyddet och grunderna för att verkställa lagen (GrUU 32/2005 rd, s. 2–3, GrUU 55/2005 rd, s. 2, GrUU 57/2010 rd, s. 2, GrUU 17/2012 rd, s. 6). Grundlagsutskottet har konstaterat att även om kravet på exakthet enligt den straffrättsliga legalitetsprincipen i grundlagens 8 § inte direkt gäller administrativa påföljder kan det allmänna kravet på exakthet ändå inte förbigås i ett sammanhang som detta (GrUU 9/2012 rd, s. 2, GrUU 57/2010 rd, s. 2 och GrUU 74/2002 rd, s. 5). 

Enligt förslaget kan Tullen förena den i 4 § 1 och 2 mom. i lagen om ett övervakningssystem för bank- och betalkonton avsedda uppgiftsskyldigheten med vite, om försummelsen inte är ringa och påföra den som uppsåtligen eller av vårdslöshet försummar eller bryter mot den i 4 § 1 och 2 mom. i den lagen avsedda skyldigheten att lämna uppgifter en ordningsavgift.  

De befogenheter som föreslås för Tullen är exakta och noggrant avgränsade i enlighet med grundlagsutskottets tolkningspraxis. 

På de grunder som anges ovan kan lagförslagen behandlas i vanlig lagstiftningsordning. Regeringen anser det dock önskvärt att grundlagsutskottet lämnar ett utlåtande i ärendet. 

Kläm 

Kläm 

Med stöd av vad som anförts ovan och eftersom direktivet om finansiell information och det femte penningtvättsdirektivet innehåller bestämmelser som föreslås bli genomförda genom lag föreläggs riksdagen följande lagförslag: 

Lagförslag

1. Lag om ändring av lagen om ett övervakningssystem för bank- och betalkonton 

I enlighet med riksdagens beslut  
ändras i lagen om ett övervakningssystem för bank- och betalkonton (571/2019) 2 § 10 punkten, 3 §, det inledande stycket i 4 § 2 mom. och 4 § 2 mom. 1 och 2 punkten samt 3–5 mom., det inledande stycket i 6 § 2 mom. och 6 § 2 mom. 3 punkten, 3 mom. 1 punkten samt 5 mom., 7 § 2 mom., 10 och 11 § samt 12 § 1 mom., av dem 2 § 10 punkten, 4 § 2 mom. 1 punkten, det inledande stycket i 6 § 2 mom., 6 § 2 mom. 3 punkten och 3 mom. 1 punkten samt 11 § sådana de lyder i lag 730/2020, samt 
fogas till 2 § en ny 11 punkt, och till lagen en ny 3 a § och en ny 7 a § som följer: 
2 § Definitioner 
I denna lag avses med 
 En icke ändrad del av lagtexten har utelämnats 
10) övriga inlåningskonton konton som gäller sådan inlåning som avses i 1 kap. 9 § i kreditinstitutslagen, förutsatt att de inte utgör sådana betalkonton som avses i 5 § 4 punkten i lagen om betalningsinstitut, 
11) sammanställningsprogram en automatiserad teknisk lösning som administreras av Tullen med vars hjälp den förmedlar uppgifter från övervakningssystemet för bank- och betalkonton till behöriga myndigheter. 
3 § Myndigheter som använder övervakningssystemet för bank- och betalkonton 
Följande behöriga myndigheter har rätt att få åtkomst till sådana uppgifter i övervakningssystemet för bank- och betalkonton som lämnas ut i enlighet med 4 § och som registrerats i enlighet med 6 §, om detta är nödvändigt för fullgörandet av följande uppgifter och myndigheten enligt någon annan lag har rätt att få åtkomst till den nämnda informationen: 
1) polisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet för att förebygga, upptäcka och utreda brott som avses i bilaga I till Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF, nedan Europolförordningen,  
2) Skatteförvaltningen för inriktande av den skyldighet att lämna uppgifter som avses i 19 § i lagen om beskattningsförfarande (1558/1995),  
3) Tullen för inriktande av den skyldighet att lämna uppgifter som avses i 102 § 2 mom. i tullagen för beskattning och skattekontroll samt förundersökning som den verkställer och för uppgifter i anslutning till förhindrande och avslöjande av tullbrott som avses i 1 kap. 2 § 3 och 4 punkten i lagen om brottsbekämpning inom Tullen (623/2015),  
4) utsökningsmyndigheterna för sådan verkställighet som avses i utsökningsbalken (705/2007),  
5) behöriga myndigheter enligt lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) och advokatföreningen för skötseln av tillsynsuppgifter enligt den lagen,  
6) centralen för utredning av penningtvätt för skötseln av uppgifter enligt 2 § 1 mom. 1–4, 7 och 8 punkten i lagen om centralen för utredning av penningtvätt (445/2017),  
7) polisen och Gränsbevakningsväsendet information som behövs för förundersökning, förebyggande, avslöjande och utredning av brott och upprätthållande av den nationella säkerheten och polisen information som behövs för utförande av i lagen om penninginsamlingar (863/2019) avsedd övervakning i samband med penninginsamlingar samt för polisundersökning enligt 6 kap. i polislagen (872/2011), om ett viktigt allmänt eller enskilt intresse kräver det,  
8) Försvarsmakten för förundersökning, förebyggande, avslöjande och utredning av brott som avses i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) samt i enlighet med 104 § i lagen om militär underrättelseverksamhet (590/2019), 
9) Finansinspektionen för skötseln av uppgifter enligt i 3 § i lagen om Finansinspektionen (878/2008). 
 
3 a § Behöriga myndigheters åtkomst till uppgifter och förutsättningarna för sökning av uppgifter 
Åtkomst till uppgifter som avses i 4 och 6 § och möjlighet att göra sökningar i dem har endast den personal vid en i 3 § avsedd myndighet som har utnämnts och bemyndigats att utföra dessa uppgifter. 
4 § Datasöksystem för bank- och betalkonton 
Kläm 
Via datasöksystemet utlämnas till behöriga myndigheter följande uppgifter för innevarande år och de fem föregående åren, om myndigheten trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av information har rätt att få dem enligt någon annan lag:  
1) fullständigt namn, födelsetid och finsk personbeteckning eller, om finsk personbeteckning saknas, medborgarskap, samt datum när kundrelationen och rätten att använda kontot har börjat och upphört för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum när kundrelationen och rätten att använda kontot har börjat och upphört, samt alla hos den juridiska personen som har rätt att använda kontot och sådana uppgifter om dem som ovan nämns för fysiska personer, 
2) fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap samt datum när kundrelationen har börjat och upphört, för de verkliga förmånstagare som avses i 1 kap. 5–7 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism, 
 En icke ändrad del av lagtexten har utelämnats 
Den behöriga myndigheten ska specificera enligt vilken bestämmelse den begär information. Kreditinstitutet ska lämna informationen till den behöriga myndigheten avgiftsfritt. Kreditinstituten ansvarar för att de uppgifter som de lämnar är korrekta och att rättelser görs utan ogrundat dröjsmål. 
I samband med gemensamma konton som förvaltas av en advokat ska det uttryckligen antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. Uppgifter om gemensamma konton som förvaltas av en advokat får inte utlämnas via datasöksystemet, med undantag för information om att det är fråga om ett gemensamt konto som förvaltas av en advokat och om vilken advokat som förvaltar kontot. 
Tullen övervakar att skyldigheterna enligt 1 och 2 mom. iakttas och meddelar en föreskrift om de tekniska krav som ställs på datasöksystem för bank- och betalkonton. 
6 § Uppgifter som ska föras in i registret över bank- och betalkonton 
Kläm 
I registret över bank- och betalkonton ska för innevarande och de fem föregående år införas följande uppgifter om sådana kunder i betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor som enligt 3 kap. 2 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism ska identifieras: 
 En icke ändrad del av lagtexten har utelämnats 
3) i fråga om betalkonton IBAN-nummer eller något annat identifikationssignum samt datum för öppnande och avslutande av kontot, 
 En icke ändrad del av lagtexten har utelämnats 
Om ett kreditinstitut har fått ett i 4 § 1 mom. avsett tillstånd från Finansinspektionen att avvika från skyldigheten att administrera ett datasöksystem, ska följande uppgifter införas i registret över bank- och betalkonton: 
1) fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum när kundrelationen och rätten att använda kontot har börjat och upphört, samt alla hos den juridiska personen som har rätt att använda kontot och sådana uppgifter om dem som ovan nämns för fysiska personer, 
 En icke ändrad del av lagtexten har utelämnats 
I samband med gemensamma konton som förvaltas av en advokat ska det uttryckligen antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. Uppgifter om gemensamma konton som förvaltas av en advokat får inte utlämnas via registret, med undantag för information om att det är fråga om ett gemensamt konto som förvaltas av en advokat och om vilken advokat som förvaltar kontot. 
7 § Utlämnande av uppgifter ur registret över bank- och betalkonton 
Kläm 
Uppgifter får lämnas ut oberoende av vad som i artikel 18.1 a i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG, (allmän dataskyddsförordning), föreskrivs om den registrerades rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter. 
Kläm 
7 a § Utlämnande av uppgifter genom överföring från övervakningssystemet för bank- och betalkonton till behöriga myndigheter 
Tullen ska administrera ett sammanställningsprogram för utlämnande av uppgifter som avses i 4 och 6 § genom överföring från övervakningssystemet för bank- och betalkonton till behöriga myndigheter. Tullen är personuppgiftsansvarig för de personuppgifter som behandlas i sammanställningsprogrammet. 
Tullen förmedlar de i 3 § avsedda myndigheternas begäranden om sådan information som avses i 4 och 6 §, i vilka det i 3 § avsedda användningsändamålet preciserats i pseudonymiserad form till kreditinstitutet, och överför i enlighet med begäran om information de uppgifter som mottagits från övervakningssystemet för bank- och betalkonton till den behöriga myndigheten med hjälp av sammanställningsprogrammet. Begäran om information och innehållet i svaret på begäran ska vara sekretessbelagda. 
Den behandling av personuppgifter som avses i 1 mom. sker automatiskt. Uppgifter som lämnats ut genom sammanställningsprogrammet ska raderas ur programmet omedelbart efter att uppgifterna har lämnats ut. 
Med avvikelse från det som föreskrivs i artikel 15 i den allmänna dataskyddsförordningen om den registrerades rätt att få tillgång till uppgifter och i 23 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) om den registrerades rätt att kontrollera uppgifter, har den registrerade inte tillgång till uppgifter eller rätt att kontrollera uppgifter när uppgifterna behandlas med sammanställningsprogrammet. Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i den nämnda lagen och i 34 § i dataskyddslagen (1050/2018). Begäran om utövande av rättigheter ska framställas till dataombudsmannen eller till Tullen enligt vad som föreskrivs i 35 § 2 mom. i lagen om behandling av personuppgifter inom Tullen. En begäran som framställs till Tullen ska utan dröjsmål lämnas till dataombudsmannen.  
10 § Logguppgifter 
Tullen ska föra ett loggregister över användningen av registret över bank- och betalkonton och användningen av datasöksystemet för bank- och betalkonton via sammanställningsprogrammet, och på begäran lämna ut logguppgifterna till de myndigheter som avses i 3 §. Loggregistret ska innehålla åtminstone följande uppgifter: 
1) referensuppgifter för ärendet, 
2) den rättsliga grund på vilken uppgifter begärs, 
3) datum och klockslag för förfrågan eller sökningen, 
4) typen av uppgifter som används i förfrågan eller sökningen, 
5) identifieringsuppgifter för resultaten av förfrågan eller sökningen, 
6) namnet på den behöriga myndighet som använt registret. 
Det som i 1 mom. föreskrivs om de uppgifter som loggregistret åtminstone ska innehålla tillämpas också på loggregister som de behöriga myndigheterna för över användningen av ett i 4 § avsett datasöksystem för bank- och betalkonton. 
Vidare ska varje behörig myndighet föra ett loggregister som innehåller identifieringsuppgifter om den person som utfört en förfrågan eller en sökning i det datasöksystem för bank- och betalkonton som avses i 4 § och om den person som förordnat förfrågan eller sökningen och, om möjligt, identifieringsuppgifter om mottagaren av resultatet av förfrågan eller sökningen. Den behöriga myndigheten ska utse en person som övervakar användningen av datasöksystemet. Tullen ska i egenskap av personuppgiftsansvarig övervaka användningen av registret över bank- och betalkonton. Dataskyddsombudet ska regelbundet granska de loggregister som avses i 1–3 mom. 
Logguppgifterna ska bevaras endast i syfte att säkerställa skyddet för personuppgifter och för att trygga datasäkerheten och rättssäkerheten, och de ska skyddas mot osaklig hantering. Logguppgifterna ska bevaras under det innevarande året och de fem följande åren, utom i det fall att de behövs i ett pågående tillsynsärende. 
11 § Vite 
Tullen kan förena iakttagandet av de i 4 § 1 och 2 mom. avsedda skyldigheterna eller den i 6 § 1–3 mom. avsedda skyldigheten att lämna uppgifter med vite, om det inte är fråga om en ringa försummelse. Vitet döms ut av Tullen, om inte något annat föreskrivs någon annanstans i lag. Bestämmelser i övrigt om föreläggande och utdömande av vite finns i viteslagen (1113/1990). 
12 § Ordningsavgift 
Tullen påför den som uppsåtligen eller av oaktsamhet försummar eller bryter mot skyldigheten att administrera ett sådant datasöksystem för bank- och betalkonton som avses i 4 § 1 mom. eller skyldigheten att lämna Tullen sådana uppgifter som avses i 4 § 2 mom. eller 6 § 2 eller 3 mom. en ordningsavgift. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . Lagens 7 a § tillämpas dock från och med den 1 september 2022. 
 Slut på lagförslaget 

2. Lag om ändring av 2 och 4 § i lagen om centralen för utredning av penningtvätt 

I enlighet med riksdagens beslut  
ändras i lagen om centralen för utredning av penningtvätt (445/2017) 2 § 1 mom. 3 punkten och 4 § 4 mom., av dem 4 § 4 mom. sådant det lyder i lag 576/2019 som följer: 
2 § Centralen för utredning av penningtvätt och dess uppgifter 
Centralen för utredning av penningtvätt finns vid centralkriminalpolisen och den har till uppgift att 
 En icke ändrad del av lagtexten har utelämnats 
3) samarbeta med myndigheterna för att bekämpa penningtvätt och finansiering av terrorism och för att förhindra, avslöja och utreda samt till undersökning föra brott som avses i bilaga I till Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF, nedan Europolförordningen, 
 En icke ändrad del av lagtexten har utelämnats 
4 § Centralens rätt att få, använda och lämna ut uppgifter 
Kläm 
Uppgifterna i penningtvättsregistret får oberoende av sekretessbestämmelserna användas och lämnas ut endast för att förhindra, avslöja och utreda samt till undersökning föra penningtvätt och finansiering av terrorism, och det brott genom vilket den egendom eller den vinning har fåtts eller kan fås som är föremål för penningtvätt eller finansiering av terrorism, samt brott som avses i bilaga I till Europolförordningen och för att skydda den nationella säkerheten. Centralen för utredning av penningtvätt får lämna ut uppgifter också utan begäran. Dessutom får uppgifter lämnas ut till utrikesministeriet för skötsel av uppgifter enligt 9 § i lagen om frysning av tillgångar i syfte att bekämpa terrorism och till utmätningsmannen för skötsel av uppgifter enligt 14 § i den lagen och uppgifter enligt 2 b § i lagen om uppfyllande av vissa förpliktelser som grundar sig på Finlands medlemskap i Förenta Nationerna och Europeiska unionen (659/1967). Uppgifter får lämnas ut också till en behörig tillsynsmyndighet och en advokatförening som avses i lagen om förhindrande av penningtvätt och av finansiering av terrorism, om den uppgift som lämnas ut är nödvändig för att den behöriga tillsynsmyndigheten eller advokatföreningen ska kunna utföra de uppgifter som avses i den lagen. Uppgifter kan lämnas till Europol. Sådant beslut om utlämnande av uppgifter som avses i detta moment fattas av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt. Uppgifter som avses i detta moment får lämnas ut som en datamängd eller i elektronisk form. Polisen, Tullen, Gränsbevakningsväsendet och åklagarna har rätt att få finansiell information och finansiella analyser från centralen för utredning av penningtvätt för förhindrande, avslöjande och utredning av brott som avses i bilaga I till Europolförordningen och för att föra sådana brott till åtalsprövning.  
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 7 oktober 2021 
Statsminister Sanna Marin 
Inrikesminister Maria Ohisalo