1.1
Lag om ett övervakningssystem för bank- och betalkonton
1 §.Övervakningssystem för bank- och betalkonton. I 1 mom. anges att lagen gäller ett övervakningssystem för bank- och betalkonton. Systemet består av ett sådant register över och datasöksystem för bank- och betalkonton som avses i 2 §.
I 2 mom. föreskrivs om lagens syfte, som går ut på att främja de i 3 § i denna lag avsedda myndigheternas elektroniska tillgång till information om bank- och betalkonton. Bestämmelser om rättsgrunden för behöriga myndigheters tillgång till information finns i separata lagar. Syftet med denna lag är inte att ändra rättsgrunden för behöriga myndigheters tillgång till information, utan att skapa en elektronisk kanal för erhållande av upplysningar från kreditinstitut, betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor.
Ett annat syfte med lagen är att effektivisera myndigheternas förfrågningar så att de riktas till rätt mottagare, vilket minskar arbetsbördan för båda myndigheterna och de anmälningsskyldiga. Övervakningssystemet för bank- och betalkonton ska inte upprättas enbart för att förebygga och utreda penningtvätt och finansiering av terrorism, även om skyldigheten att skapa systemet följer av det femte penningtvättsdirektivet. En målsättning med lagen är att förbättra det elektroniska informationsutbytet mellan myndigheterna och de privata aktörerna. En annan målsättning är att i enlighet med regeringsprogrammet digitalisera myndigheternas verksamhet och effektivisera resursanvändningen.
I 3 mom. fastställs att lagen ska tillämpas på i Finland belägna filialer till utländska betalningsinstitut, institut för elektroniska pengar, kreditinstitut och tillhandahållare av virtuella valutor. Det innebär att lagstiftningen också tillämpas t.ex. på Danske Bank A/S filial i Finland.
Enligt 4 mom. är uppgifterna i registret över bank- och betalkonton sekretessbelagda. I 24 § 1 mom. 23 punkten i offentlighetslagen fastställs att följande myndighetshandlingar är sekretessbelagda, om inte något annat föreskrivs särskilt: handlingar som innehåller uppgifter om en persons årsinkomster eller totala förmögenhet eller inkomster och förmögenhet som ligger till grund för stöd eller förmåner eller som annars beskriver hans ekonomiska ställning, utsökningsmyndigheternas handlingar till den del de innehåller uppgifter som införda i utsökningsregistret skulle vara sekretessbelagda enligt utsökningsbalken samt uppgifter om fysiska personer som utsökningsgäldenärer och utsökningsutredningar. Inga ändringar föreslås i de bestämmelser i speciallagar som gäller offentligheten och sekretessen i fråga om uppgifter om rapporteringsskyldiga.
På registret över bank- och betalkonton tillämpas offentlighetslagens 11 § om en parts rätt att ta del av en handling, 12 § om rätt att ta del av en handling som gäller en själv, 26 § 3 mom. om utlämnande av uppgifter ur en sekretessbelagd handling för handräckning samt för ett uppdrag eller någon uppgift som i övrigt handhas för myndighetens räkning, och 29 § om utlämnande av sekretessbelagda uppgifter till en annan myndighet. I övrigt tillämpas inte bestämmelserna om utlämnande av uppgifter i offentlighetslagen.
2 §. Definitioner. I 1 punkten definieras registret över bank- och betalkonton. För registret inhämtas i 6 § avsedda uppgifter om kunder i betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor samt deras bank- och betalkonton. Bankkontona i fråga kan vara t.ex. gemensamma konton, på vilka flera olika kunders medel har samlats.
Med datasöksystem för bank- och betalkonton avses enligt 2 punkten ett system med hjälp av vilket behöriga myndigheter och kreditinstitut utbyter information om de bank- och betalkonton samt bankfack som kreditinstituten förvaltar. Bestämmelser om informationens innehåll finns i 4 §.
Med behöriga myndigheter avses enligt 3 punkten sådana myndigheter som avses i 3 §.
I 4 punkten definieras betalningsinstitut genom en hänvisning till 5 § i lagen om betalningsinstitut, där man med betalningsinstitut avser ett aktiebolag, andelslag, kommanditbolag, öppet bolag, europabolag enligt lagen om europabolag (742/2004) eller europaandelslag enligt lagen om europaandelslag (906/2006) som har ett i denna lag angivet tillstånd att tillhandahålla betaltjänster. Med betalningsinstitut avses även en person som erbjuder betaltjänster med stöd av 7 § i den nämnda lagen.
Även i definitionen av institut för elektroniska pengar hänvisas det till lagen om betalningsinstitut. Med institut för elektroniska pengar avses enligt 5 punkten ett betalningsinstitut vars koncession enligt denna lag innefattar utgivning av elektroniska pengar.
I definitionen av kreditinstitut i 6 punkten hänvisas till ett sådant företag som avses i 1 kap. 7 § i kreditinstitutslagen. Ett kreditinstitut är ett företag som har koncession för kreditinstitutsverksamhet enligt 4 kap. i kreditinstitutslagen. Ett kreditinstitut kan vara en inlåningsbank eller ett kreditföretag.
Tillhandahållare av virtuella valutor definieras i 7 punkten genom en hänvisning till en sådan person som avses i 2 § i det 2:a lagförslaget.
Med bankkonto avses i 8 punkten sådana betalkonton och andra inlåningskonton som förvaltas av ett kreditinstitut. Med betalkonto hänvisas i 9 punkten till ett sådant betalkonto som avses i 5 § i lagen om betalningsinstitut.
Med övriga inlåningskonton avses i 10 punkten sådana inlåningskonton som avses i 1 kap. 9 § i kreditinstitutslagen, förutsatt att de inte utgör sådana betalkonton som avses i 5 § i lagen om betalningsinstitut. Dessa konton omfattas av inlåningsskydd, men de ingår inte i något betalningsrörelsesystem och inga betalningsinstrument kan kopplas till dem. De kan inte heller användas för betalningstransaktioner. Ett exempel på sådana konton är de inlåningskonton som förvaltas av Finlands Bostadshypobank Ab.
3 §.Rätt att få uppgifter ur övervakningssystemet för bank- och betalkonton. I paragrafen föreskrivs om behöriga myndigheter som har rätt att få uppgifter ur övervakningssystemet för bank- och betalkonton, som består av ett datasöksystem för bank- och betalkonton och ett register över bank- och betalkonton. Rätten att få uppgifter gäller oberoende av sekretessbestämmelserna i olika lagar eller andra begränsningar som gäller erhållande av information, om informationen är nödvändig för att ett ärende som är under behandling ska kunna avgöras, eller om den av någon annan orsak är nödvändig för verkställandet av de uppgifter som nämns i denna paragraf. Bestämmelser om vad som krävs för att informationen ska betraktas som nödvändig finns i de särskilda lagar om behöriga myndigheters uppgifter som har behandlats i en bedömningspromemoria och i den allmänna motiveringen.
Enligt 1 punkten har Skatteförvaltningen rätt att få uppgifter för utförandet av en sådan uppgift som anges i 2 § 1 mom. i lagen om Skatteförvaltningen. I ovannämnda 1 mom. fastställs att Skatteförvaltningen har till uppgift att verkställa beskattningen, utöva skattekontroll, uppbära, driva in och redovisa skatter och avgifter samt bevaka skattetagarnas rätt enligt vad som föreskrivs särskilt.
I 2 punkten föreskrivs om Tullens rätt att få information för utförande av en sådan tullåtgärd som avses i 2 § 7 punkten i tullagen. Med tullåtgärd avses samtliga tjänsteåtgärder som hör till Tullens uppgifter, med undantag för förundersökning av tullbrott samt in- och utresekontroller. Tullen har dessutom rätt att få information för sådan beskattning, skattekontroll och indrivning av skatter som Tullen utför, för sådan förundersökning som Tullen utför och för sådana uppgifter i anslutning till utredning och avslöjande av tullbrott som avses i 1 kap. 1 § 3 och 4 punkten i lagen om brottsbekämpning inom Tullen.
Bestämmelser om utsökningsverkets befogenheter finns i utsökningsbalken. I lagens 2 kap. föreskrivs närmare om utsökningsgrunderna och 4 kap. innehåller närmare bestämmelser om utmätning. Utsökningsverket har rätt att med stöd av 3 punkten få uppgifter ur övervakningssystemet för bank- och betalkonton för verkställande av utsökning.
I 7 kap. i penningtvättslagen föreskrivs om behöriga myndigheter, bl.a. Finansinspektionen, Polisstyrelsen, Patent- och registerstyrelsen och regionförvaltningsverket samt Ålands landskapsregering. Vidare övervakar advokatföreningen de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 12 punkten i penningtvättslagen. Dessa behöriga myndigheter och advokatföreningen har rätt att enligt 4 punkten få uppgifter ur systemet för utförandet av en sådan tillsynsuppgift som avses i penningtvättslagen. Vidare har centralen för utredning av penningtvätt med stöd av 5 punkten rätt att få uppgifter för utförandet av sådana uppgifter som avses i 2 § 1 mom. 1—4 och 7 punkten i lagen om centralen för utredning av penningtvätt.
I 6 punkten föreskrivs om polisens och Gränsbevakningsväsendets rätt att få uppgifter. Med polisen avses både enheter som lyder under Polisstyrelsen och skyddspolisen. Med stöd av denna punkt kan uppgifter fås för förundersökning samt förebyggande och utredning av brott. Uppgifter kan också fås för utförandet av en sådan tillsynsuppgift i anslutning till penninginsamlingar som avses i den nya lagen om penninginsamlingar. Vidare kan uppgifter fås för upprätthållandet av den nationella säkerheten. Syftet med detta är att tillgodose särskilt skyddspolisens lagstadgade informationsbehov. I 6 kap. i polislagen föreskrivs om vilka uppgifter som behövs i en polisundersökning. Enligt lagens 4 kap. 3 § 1 mom. har polisen på begäran av en polisman som hör till befälet rätt att få information som behövs för förhindrande eller utredning av brott, oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet. Om ett viktigt allmänt eller enskilt intresse kräver det har polisen samma rätt att få information som behövs vid polisundersökning enligt 6 kap.
Bestämmelser om de pensioner och förmåner som enligt lag ska verkställas av Folkpensionsanstalten finns i flera separata lagar. I dessa förmånsbeslut är uppgifterna om den sökandes inkomster relevanta vid meddelande av beslut exempelvis i lagen om utkomststöd och lagen om allmänt bostadsbidrag. I 18 a § i lagen om utkomststöd föreskrivs om utlämnande av sekretessbelagda uppgifter. I 18 a § 4 mom. konstateras att vad som i 18 § 1—4 mom. i lagen om klientens ställning och rättigheter inom socialvården (812/2000) föreskrivs om utlämnande av sekretessbelagda uppgifter oberoende av klientens samtycke gäller också de nödvändiga uppgifter som Folkpensionsanstalten får i samband med skötseln av sina utkomststödsuppgifter. Enligt förarbetena till 18 a § i lagen om utkomststöd (RP 358/2014 rd) innebär det för Folkpensionsanstaltens del med stöd av 20 § 1 mom. i lagen om klientens ställning och rättigheter inom socialvården sådana sekretessbelagda uppgifter som är nödvändiga för utredandet av en persons eller familjs behov av grundläggande utkomststöd, beviljandet av utkomststöd och verkställigheten av åtgärder i anknytning till det samt kontroll av uppgifter som lämnats till Folkpensionsanstalten. Den skyldighet som det föreskrivs om i 20 § 1 mom. i den sistnämnda lagen gäller enligt 2 mom. i samma paragraf också penninginstitut, om socialvårdsmyndigheten inte får tillräckliga uppgifter och utredningar av dem som nämns ovan och om det finns grundad anledning att misstänka att de uppgifter som klienten eller dennes laglige företrädare har lämnat är otillräckliga eller otillförlitliga. Enligt samma moment ska begäran framställas skriftligen till penninginstitutet. Enligt lagens 20 § 2 mom. ska klienten underrättas om begäran innan den framställs till penninginstitutet. Socialvårdsmyndigheterna definieras inte i lagen. Socialvårdsmyndigheter är förutom Folkpensionsanstalten t.ex. olika kommunala myndigheter som detta lagförslag inte gäller. Av denna anledning föreslås i detta sammanhang inga ändringar i 20 § 2 mom. i lagen om klientens ställning och rättigheter inom socialvården.
I 7 punkten föreskrivs om Folkpensionsanstaltens rätt att få uppgifter ur övervakningssystemet för bank- och betalkonton på basis av en ansökan redan i samband med att ansökan behandlas. Kunden vet i samband med att han eller hon ansöker om stöd att de dokument som ska fogas till ansökan, inklusive kontoutdrag, ska lämnas till myndigheterna för beslutsfattande. Folkpensionsanstalten ska informera kunden om att den har inhämtat uppgifter om kundens bank- och betalkonton för beslutsfattande. Bestämmelser om detta finns i 2 mom.
Om Finansinspektionens uppgifter föreskrivs i lagen om Finansinspektionen, flera speciallagar och EU-förordningar. Enligt 8 punkten kan Finansinspektionen utnyttja övervakningssystemet för bank- och betalkonton för utförandet av uppgifter enligt 3 § i lagen om Finansinspektionen. Finansinspektionen har också rätt att enligt 4 punkten få uppgifter för förhindrande och avslöjande av penningtvätt och av finansiering av terrorism.
Enligt 9 punkten har konkursombudsmannen rätt att få uppgifter ur övervakningssystemet för bank- och betalkonton för utförandet av en sådan tillsynsuppgift som avses i 4 § 2 mom. i lagen om övervakning av förvaltningen av konkursbon. Konkursombudsmannen har utan hinder av sekretesstadgandena samma rätt som gäldenären eller konkursboet att få uppgifter om gäldenärens eller konkursboets verksamhet och ekonomiska situation samt uppgifter om gäldenärens eller konkursboets bankkonton och betalningsrörelse samt om avtal och förbindelser som gäller finansieringen.
4 §.Datasöksystem för bank- och betalkonton. I 1 mom. fastställs att ett kreditinstitut ska administrera ett elektroniskt datasöksystem för bank- och betalkonton. Med hjälp av datasöksystemet ska kreditinstitutet förmedla de uppgifter om sina kunders bank- och betalkonton som avses i 2 och 3 mom. till en behörig myndighet. Uppgifterna ska förmedlas omedelbart och oberoende av sekretessbestämmelserna. Kravet att uppgifterna ska överlåtas omedelbart innebär att de kan överlåtas via en teknisk förbindelse genast när begäran om uppgifter har inkommit och uppgifterna har samlats in elektroniskt. I artikel 32 a.2 förutsätts att de uppgifter som avses i artikeln ska vara direkt tillgängliga för centralen för utredning av penningtvätt. Om uppgifterna inte lämnas omedelbart kan det t.ex. leda till att de blir irrelevanta ur förundersökningssynvinkel. Uppgifterna ska vara tillgängliga på några minuter. Eftersom insamlingen av uppgifter om kontotransaktioner är ett nationellt undantag och det är fråga om en större datamängd än det minimum av uppgifter som krävs enligt direktivet ska uppgifterna vara tillgängliga senast följande bankdag.
Via datasystemet ska den behöriga myndigheten specificera med stöd av vilken rättsgrund den begär uppgifter, och i systemet ska det också lagras en logguppgift om den tjänsteman som begärt uppgifterna. I den allmänna motiveringen och bedömningspromemorian redogörs för olika sekretessbestämmelser som kan begränsa överlåtelsen av uppgifter utan en sådan begränsning som avses i momentet.
Det är möjligt att avvika från kreditinstitutets skyldighet att administrera ett elektroniskt datasöksystem, om detta är motiverat med hänsyn till kreditinstitutets storlek samt verksamhetens karaktär och omfattning. Om det är fråga om ett kreditinstitut som till sin storlek kan jämföras med t.ex. ett litet betalningsinstitut kan kreditinstitutet välja om det vill förmedla uppgifterna via ett datasöksystem eller ett register. Även t.ex. filialer till utländska kreditinstitut kan omfattas av undantaget i sådana fall där de inte ingår i ett system för förmedling av betalningar och inte förmedlar betalningar. Däremot är exempelvis kategoriska avvikelser på gruppnivå inte möjliga för kreditinstitut. Huruvida det är möjligt att avvika från skyldigheten att administrera ett elektroniskt datasöksystem bedöms av Finansinspektionen. Om tillstånd till avvikelse ges ska kreditinstitutet i stället för vad som anges i 2 mom. lämna de uppgifter som avses i 6 § 3 mom.
I det förslag till dataskyddslag som för närvarande behandlas i riksdagen föreslås begränsningar i den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne. Enligt lagens 34 § 1 mom. har en registrerad inte i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne, om
1) lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott,
2) lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter, eller
3) personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas.
Bestämmelsen tillämpas också på datasöksystemet för bank- och betalkonton och på den registrerades rätt att få uppgifter ur dels register som administreras av kreditinstitut, dels register som administreras av myndigheter.
I 2 mom. föreskrivs om de uppgifter som överlåts via datasystemet. I ingressen till momentet hänvisas till den behöriga myndighetens lagstadgade uppgift, med stöd av vilken den redan enligt gällande lag har rätt att få uppgifter om bank- och betalkonton. Myndigheten ansvarar för att den har rätt enligt lag att begära uppgifter, och grunden för denna rätt ska anges i samband att uppgifterna begärs.
Enligt 1 punkten ska följande uppgifter lämnas via systemet: fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt typen av innehav av konto eller användningsrätt och datumet för när innehavet har börjat och upphört.
I 2 punkten hänvisas till sådana verkliga förmånstagare i sammanslutningar, verkliga förmånstagare i utländska truster och verkliga förmånstagare i föreningar, stiftelser, bostadsaktiebolag och ömsesidiga fastighetsaktiebolag som avses i penningtvättslagen. I fråga om dessa förmånstagare utlämnas ur datasöksystemet deras fullständiga namn, födelsetid och finska personbeteckning eller, om sådan saknas, medborgarskap. En sådan verklig förmånstagare som avses i punkten är alltid en fysisk person.
Enligt 3 punkten utlämnas via systemet i fråga om bank- och betalkonton IBAN-nummer eller annat identifikationssignum, datum för öppnande och avslutande av kontot, kontots saldo, kontovaluta och kopior av dokumenten om kontots öppnande. Med IBAN-nummer avses ett internationellt kontonummer (International Bank Account Number). Med annat identifikationssignum avses signum med vilka övriga inlåningskonton kan identifieras.
De uppgifter om kontotransaktioner som överlåts kan variera från enskilda transaktioner till kontotransaktioner som omfattar flera månader eller år beroende på den behöriga myndighetens specificerade begäran om uppgifter. Enligt 4 punkten ska i punkten definierade uppgifter om kontotransaktioner under åtminstone de tre föregående åren lämnas via datasöksystemet. Nödvändiga uppgifter som omfattar en längre period kan lämnas på något annat sätt, och bestämmelsen begränsar till inga delar myndigheternas lagstadgade rätt att få även äldre uppgifter.
Om kreditinstitutet tillhandahåller bankfackstjänster ska det enligt 5 punkten via systemet överlåta fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för den som hyr ett bankfack eller, om det är fråga om en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt identifieringsuppgifter om bankfacket och uppgifter om hyrestidens längd.
Momentets 6 punkt är ett nationellt undantag. Med stöd av denna punkt överlåts de uppgifter som kreditinstitutet har om krediter och egendom som ställts som säkerhet för dessa samt fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för personlig borgensman. Till exempel Riksfogdeämbetet och konkursombudsmannens byrå behöver dessa uppgifter vid utmätning av egendom och övervakning av konkurs- eller företagssaneringsförfarande.
I 3 mom. fastställs att också andra nödvändiga uppgifter som gäller kundförhållandet i fråga om kontoinnehavaren eller den som har rätt att använda kontot kan överlåtas via datasöksystemet. Exempel på sådana uppgifter kan vara uppgifter som gäller investeringstillgångar. Punkten grundar sig på artikel 32 a.4 i direktivet, som innehåller en medlemsstatsoption enligt vilken medlemsstaterna kan kräva att andra väsentliga uppgifter ska kunna fås via centraliserade mekanismer. Uppgifterna ska vara nödvändiga för att ett ärende som är under behandling ska kunna avgöras eller i övrigt för verkställandet av de uppgifter som anges i 3 §. Bestämmelser om vad som krävs för att informationen ska betraktas som nödvändig finns i de särskilda lagar om behöriga myndigheters uppgifter som har behandlats i en bedömningspromemoria och i den allmänna motiveringen. Eftersom det finns ett stort antal särskilda lagar om detta är det inte möjligt att definiera informationens innehåll på ett täckande sätt i bestämmelsen.
I 4 mom. förutsätts att den behöriga myndigheten ska specificera enligt vilken bestämmelse den begär information. Kreditinstitutet ska lämna informationen till den behöriga myndigheten avgiftsfritt.
I 5 mom. föreskrivs om den anteckning som ska göras om gemensamma konton som förvaltas av en advokat. Med gemensamma konton avses konton för penningmedel och andra medel som innehas av en advokat eller dennas byrå och som tillhör någon annan än advokaten eller dennas byrå. Den som förvaltar bank- och betalkonton ska tekniskt sett anteckna dessa konton så att det av namnet eller någon annan identifieringsuppgift tydligt framgår att det är fråga om ett gemensamt konto som förvaltas av en advokat. Syftet med bestämmelsen är att förebygga situationer där uppgifter om gemensamma konton som förvaltas av en advokat lämnas ut via ett elektroniskt system utan rättslig grund. Motsvarande skyldighet fastställs för uppgifter som ska införas i registret över bank- och betalkonton.
Tullen åläggs i 6 mom. en skyldighet att meddela en föreskrift om de tekniska krav som ställs på datasöksystem för bank- och betalkonton. Kraven ska fastställas med beaktande av myndigheternas och branschens gemensamma arbete när det gäller att ta fram datasöksystem, strukturella och innehållsmässiga lösningar som bygger på ISO 20022-standarden samt olika tekniska lösningar som parterna redan använder. Den tekniska informationssäkerheten ska bedömas med hänsyn till exempelvis statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010).
5 §.Register över bank- och betalkonton. I 1 mom. fastställs att Tullen är den myndighet som förvaltar registret över bank- och betalkonton. I den allmänna motiveringen utvärderas olika alternativ till vem som ska förvalta registret. Till Tullens uppgifter hör förutom att förvalta registret även att förmedla uppgifter som införts i registret till behöriga myndigheter. Däremot överlåter Tullen inte uppgifter till sådana i 3 mom. avsedda sammanslutningar som lämnar in uppgifter för registrering. Registret är endast avsett för myndighetsbruk.
I 2 mom. föreskrivs att syftet med registret över bank- och betalkonton är att ta emot och lagra sådana uppgifter som avses i 6 § 2 och 3 mom. och som lämnas av betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor samt sådana uppgifter som avses i 6 § 3 mom. och som lämnas av kreditinstitut.
Betalningsinstituten, instituten för elektroniska pengar och tillhandahållarna av virtuella valutor samt kreditinstituten ansvarar enligt 3 mom. för att de uppgifter som de lämnar och som ska föras in i registret över bank- och betalkonton är korrekta och att rättelser görs utan ogrundat dröjsmål. Det hör inte till Tullens uppgifter att kontrollera att de registrerade uppgifterna är korrekta. Endast betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor kan sörja för att kravet på felfria uppgifter uppfylls. Uppgifter och ändringar av dessa ska lämnas till registret över bank- och betalkonton senast följande bankdag.
6 §.Uppgifter som ska föras in i registret över bank- och betalkonton. Enligt 1 mom. är betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor skyldiga att trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av information lämna Tullen, i dess egenskap av personuppgiftsansvarig, de uppgifter som avses i 2 och 3 mom. Sekretessbelagd information kan överlåtas om detta är nödvändigt för att ett ärende som är under behandling ska kunna avgöras eller om informationen i övrigt är nödvändig i verkställandet av de uppgifter som nämns i denna paragraf. Bestämmelser om vad som krävs för att informationen ska betraktas som nödvändig finns i de särskilda lagar om behöriga myndigheters uppgifter som har behandlats i en bedömningspromemoria och i den allmänna motiveringen.
Tullen ska i egenskap av personuppgiftsansvarig tolka bestämmelserna om behöriga myndigheters rätt att få information och i samarbete med myndigheterna säkerställa att en behörig myndighet enligt lag har rätt att få information för de ändamål som nämns i 3 §.
Med stöd av detta moment kan betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor i stället för ett register välja ett sådant datasöksystem som avses i 4 §. I så fall ska de via datasöksystemet lämna de uppgifter som avses i 2 mom. Dessa aktörer förutsätts inte lämna de uppgifter som avses i 4 § 2 mom., eftersom uppgifterna delvis endast är tillgängliga för kreditinstituten.
I 2 mom. föreskrivs om de uppgifter som ska registreras om kunder i betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor. Datainnehållet motsvarar i sak 4 § 2 mom. 1 punkten. Enligt detta moment ska i registret införas kundens fullständiga namn, födelsetid och finska personbeteckning eller, om sådan saknas, medborgarskap. Alternativt, om kontoinnehavaren är en juridisk person, införs dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt datumet för när kundrelationen har börjat och upphört. Andra uppgifter ska myndigheterna begära direkt av betalningsinstitutet, institutet för elektroniska pengar eller tillhandahållaren av virtuella valutor. De uppgifter som införts i registret styr myndigheternas förfrågningar till rätt mottagare, vilket minskar antalet myndighetsförfrågningar som inkommer till de övriga verksamhetsutövarna.
I 3 mom. föreskrivs om de uppgifter som ska införas i registret om kreditinstitutet har fått Finansinspektionens tillstånd till att avvika från skyldigheten att administrera ett i 4 § avsett datasöksystem. Momentets 1 punkt motsvarar 4 § 2 mom. 1 punkten. Med stöd av 2 punkten ska identifieringsuppgifter om verkliga förmånstagare införas i registret.
Enligt 3 punkten ska i registret införas IBAN-nummer eller något annat identifikationssignum för bank- och betalkontot samt datum för öppnande och avslutande av kontot. I motsats till datasöksystemet för bank- och betalkonton införs inga uppgifter om saldot i registret. Med stöd av 4 punkten ska uppgifter om eventuella bankfack införas i registret.
I 4 mom. förutsätts att de uppgifter som ska föras in i registret ska lämnas elektroniskt. Uppgifterna ska lämnas en gång per bankdag, dvs. varje sådan dag då inlåningsbankerna i allmänhet har öppet i enlighet med det föreslagna 5 § 3 mom. Tullen ges befogenhet att meddela närmare föreskrifter om vilket elektroniskt förfarande som ska användas och på vilket sätt uppgifterna ska vara certifierade för att kunna lämnas på elektronisk väg. Tullen ansvarar i egenskap av personuppgiftsansvarig bl.a. för att närmare fastställa vilka enskilda uppgifter som ska föras in, för att ta emot, lagra och bevara uppgifterna, för att utplåna uppgifter ur registret, för att se till att det finns en teknisk anslutning för utlämnande av uppgifter samt för att uppgifterna i registret är användbara.
Paragrafens 5 mom. motsvarar den föreslagna bestämmelsen i 4 § 5 mom.
7 §.Utlämnande av uppgifter ur registret över bank- och betalkonton. I 1 mom. föreskrivs om Tullens uppgift att lämna ut uppgifter ur registret över bank- och betalkonton till behöriga myndigheter.
I 2 mom. hänvisas till artikel 18.1 a i EU:s allmänna dataskyddsförordning, där det föreskrivs om den registrerades rätt att kräva att den personuppgiftsansvarige ska begränsa behandlingen av personuppgifter. Uppgifter kan lämnas ut till sådana behöriga myndigheter som avses i denna lag oberoende av artikeln i fråga. Ledet i fråga gäller situationer där den registrerade bestrider personuppgifternas korrekthet. Enligt ledet ska behandlingen i sådana fall begränsas under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta. En eventuell begränsning kan hindra behöriga myndigheter från att utnyttja uppgifterna i sin verksamhet och också förhindra dels myndighetsåtgärder som är av stort allmänt intresse, dels ekonomiskt sett viktiga beslut som rör den registrerade personen, t.ex. en förmån som beviljas av Folkpensionsanstalten.
Begränsningen måste anses vara motiverad för att de syften som avses i artiklarna 23.1 a och 23.1 c—e ska kunna garanteras. Dessa är enligt led a den nationella säkerheten, led c den allmänna säkerheten och led d förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten. Enligt led e kan grunden för begränsning anknyta till andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet.
Skatteförvaltningens uppgifter uppfyller kraven enligt artikel 23.1 d och 23.1 e. De uppgifter som Tullen, de i penningtvättslagen avsedda behöriga myndigheterna, centralen för utredning av penningtvätt, polisen och Gränsbevakningsväsendet ansvarar för uppfyller kraven enligt artikel 23.1 a och artikel 23.1 c—d.
I utsökningsbalken föreskrivs om verkställandet av privaträttsliga skyldigheter och förbud som förelagts i tvistemål eller brottmål och som ingår i domar eller andra i den lagen avsedda utsökningsgrunder. Utsökningsverkets uppgifter kan anses uppfylla kraven enligt artikel 23.1 d.
Bestämmelser om Folkpensionsanstaltens uppgifter inom social trygghet finns i olika lagar som gäller förmåner, och genom Folkpensionsanstaltens uppgifter tryggas ett ekonomiskt eller finansiellt intresse i enlighet med artikel 23.1 e.
Till Finansinspektionens uppgifter hör att i enlighet med lagen om Finansinspektionen bl.a. delta i verksamheten i den gemensamma tillsynsmekanism som avses i 3 a § i den lagen och bistå Europeiska centralbanken i den gemensamma tillsynsmekanismen samt i samråd med finansministeriet och Finlands Bank förbereda åtgärder som behövs för att säkerställa stabiliteten inom det finansiella systemet i dess helhet samt besluta om dessa åtgärder så som särskilt föreskrivs i lag. I fråga om Finansinspektionens uppgifter är begränsningarna motiverade med stöd av artikel 23.1 d—e.
Enligt lagen om övervakning av förvaltningen av konkursbon ska konkursombudsmannen bl.a. vidta nödvändiga åtgärder då konkursombudsmannen har fått kännedom om försummelser eller missbruk eller andra omständigheter som kräver rättelse och ha hand om den offentliga utredningen av konkursbon. Konkursombudsmannens uppgifter anknyter delvis till artikel 23.1 d—e.
Tullen får med stöd av 3 mom. till behöriga myndigheter och betalningsinstitut, institut för elektroniska pengar eller tillhandahållare av virtuella valutor lämna ut logguppgifter som gäller den behöriga myndigheten, betalningsinstitutet, institutet för elektroniska pengar eller tillhandahållaren av virtuella valutor i fråga för uppföljning och övervakning av dess egen verksamhet. Innan logguppgifterna lämnas ut kan Tullen vid behov kräva en utredning om hur användningen och skyddet av de utlämnade uppgifterna kommer att organiseras.
8 §.Avgiftsfrihet för uppgifter. Tullen har med stöd av 1 mom. rätt att få de uppgifter som ska föras in i registret över bank- och betalkonton avgiftsfritt.
Enligt 2 mom. tas inga avgifter ut när Tullen lämnar ut uppgifter ur registret över bank- och betalkonton.
9 §.Avförande av uppgifter. Uppgifterna i registret över bank- och betalkonton ska avföras ur registret tio år efter att giltigheten för den grund på vilken uppgifterna förts in i registret har upphört. En kundrelation kan ha inletts flera decennier tidigare, vilket innebär att en del av basuppgifterna om kunden kan vara över tio år gamla. Grunden för registrering av dessa uppgifter upphör tio år efter att kundrelationen har upphört. Uppgifterna om en enskild betalningstransaktion ska däremot avföras tio år efter att anteckningen om transaktionen har gjorts. Bevaringstiden på tio år motsvarar bevaringstiden för bokslut, verksamhetsberättelser, bokföringar, kontoplaner samt förteckningar över bokföringar och material enligt 2 kap. 10 § 1 mom. i bokföringslagen. Uppgifterna används bl.a. i utredningen av grova ekonomiska brott, varför en kortare bevaringstid för uppgifterna inte kan komma i fråga.
10 §.Logguppgifter. Det föreslås att 1 mom. ska innehålla bestämmelser om minimiinnehållet i den loggbok som förs av Tullen. I loggboken ska åtminstone antecknas på vilken rättslig grund den behöriga myndigheten begär information. Av loggboken ska även framgå datum och klockslag för förfrågningen eller sökningen, typen och resultaten av uppgifter som använts samt namnet på den behöriga myndighet som har använt registret.
Den behöriga myndigheten ska bevara motsvarande information om logguppgifter i datasöksystemet som i fråga om registret över bank- och betalkonton (2 mom.).
Enligt 3 mom. ska varje behörig myndighet föra en loggbok som innehåller identifieringsuppgifter om den person som utfört en förfrågan eller en sökning och den person som förordnat förfrågan eller sökningen. Tullen ska således i regel inte i sin egen loggbok samla in identifieringsuppgifter om den som utfört en förfrågan och den tjänsteman som förordnat förfrågan, utan dessa uppgifter ska bevaras i respektive myndighets egen loggbok. Om en behörig myndighet använder registret via ett användargränssnitt med egna koder ska Tullen i egenskap av personuppgiftsansvarig bevara logguppgifter om detta.
Dataskyddsombudet vid varje behörig myndighet ska övervaka att datasöksystemet används lagligt. Dataskyddsombudet vid Tullen ska dessutom övervaka användningen av registret över bank- och betalkonton. Syftet med myndigheternas egenkontroll är att minska risken för att enskilda tjänstemän missbrukar uppgifter.
I 4 mom. föreskrivs om grunden för bevarande av logguppgifter. Logguppgifter ska bevaras endast i syfte att säkerställa skyddet för personuppgifter och för att trygga datasäkerheten och rättssäkerheten, och de ska skyddas mot osaklig hantering. Logguppgifter ska bevaras i tio år.
Dataskyddsombudet kan granska loggboken i enlighet med vad som föreskrivs i EU:s allmänna dataskyddsförordning.
11 §.Vite. Tullen får förena den i 6 § 1—3 mom. föreskrivna skyldigheten att lämna uppgifter med vite, om det inte är fråga om en ringa försummelse. Försummelsen kan framkomma t.ex. i samband med en brottsutredning eller utifrån en annan myndighets eller en enskild persons anmälan.
12 §.Ordningsavgift. Tullen ska enligt 1 mom. påföra den som uppsåtligen eller av vårdslöshet helt eller delvis försummar eller bryter mot skyldigheten att lämna Tullen sådana uppgifter som avses i 6 § 2 eller 3 mom. en ordningsavgift. Försummelsen eller förseelsen kan bero t.ex. på att ändrade uppgifter inte lämnas följande bankdag i enlighet med det föreslagna 5 § 3 mom.
Ordningsavgiftens storlek baserar sig på en samlad bedömning. I 2 mom. föreskrivs om de omständigheter som ska tas i beaktande vid bedömningen av ordningsavgiftens storlek. Faktorer som inverkar på ordningsavgiftens storlek är åtminstone förfarandets art, omfattning och varaktighet. Vid behov kan även andra omständigheter tas i beaktande vid den samlade bedömningen, såsom gärningsmannens finansiella ställning. Med förfarandets art avses t.ex. gärningens eller försummelsens innebörd och klandervärda natur samt betydelsen av den förpliktelse som åsidosatts. Vid bedömningen av förfarandets omfattning ska beaktas t.ex. den ekonomiska skada som orsakats genom överträdelsen samt den beräknade nyttan. Vid bedömningen av förfarandets varaktighet ska det utöver den enskilda gärningens eller försummelsens varaktighet även tas hänsyn till om gärningen eller försummelsen eventuellt har upprepats. Vid bedömningen av en persons finansiella ställning kan utöver dennes betalningsförmåga beaktas t.ex. ordningsavgiftens sannolika inverkan på personens förutsättningar att bedriva verksamhet.
Ordningsavgiftens maximibelopp motsvarar de maximbelopp för ordningsavgift som anges i 8 kap. 1 § i penningtvättslagen. Penningtvättslagen och det 1:a lagförslaget grundar sig på det fjärde och det femte penningtvättsdirektivet, och de påföljder som påförs för överträdelser av dessa ska vara enhetliga.
Enligt 3 mom. ska ordningsavgiften betalas till staten.
Ordningsavgift kan enligt 4 mom. påföras förutsatt att ärendet som helhet inte bedöms ge anledning till strängare åtgärder. Exempel på sådana ärenden är bedrägeribrott enligt 36 kap. i strafflagen. Vid bedömningen av om en överträdelse är särskilt klandervärd ska de grunder gällande ordningsavgiftens storlek beaktas som avses i paragrafens 2 mom. Det är fråga om en helhetsbedömning där man utöver förfarandets skadlighet eller upprepning dessutom kan beakta i hur hög grad överträdelsen kan tillräknas gärningsmannen, den eventuella vinningen av förfarandet och andra omständigheter i anslutning till överträdelsen eller försummelsen.
13 §.Att avstå från att påföra ordningsavgift. I paragrafen föreskrivs om på vilka villkor Tullen kan låta bli att påföra ordningsavgift. Enligt 1 mom. kan Tullen låta bli att påföra ordningsavgift, om den person som har förfarit felaktigt på eget initiativ har vidtagit tillräckliga åtgärder för att korrigera ett fel omedelbart efter att felet har uppdagats, och om det inte är fråga om allvarliga eller återkommande fel eller försummelser. Därtill förutsätts att personen utan dröjsmål och på eget initiativ underrättar Tullen om felet.
Tullen kan låta bli att påföra ordningsavgift, om det felaktiga förfarandet måste betraktas som ringa. Frågan om en gärning eller försummelse eventuellt är ringa ska bedömas från fall till fall med beaktande av bl.a. gärningens art, omfattning och varaktighet. Det är då fråga om en gärning eller försummelse som med beaktande av dess menlighet eller gärningsmannens presumtiva skuld som helhet betraktad måste anses vara ringa. Det kan vara fråga om ett sådant fall t.ex. när uppgifter lämnas endast med en liten fördröjning eller om ett fel snarare har berott på ett mänskligt misstag än på oaktsamhet.
Tullen kan låta bli att påföra ordningsavgift, om detta annars måste anses vara uppenbart oskäligt. I sådana fall ska de relevanta omständigheterna i ärendet beaktas som en helhet, bl.a. det felaktiga förfarandets orsaker och verkningar samt gärningsmannens individuella förhållanden.
Enligt 2 mom. kan ordningsavgift inte påföras, om ett ärende som gäller samma överträdelse behandlas i en förundersökning eller åtalsprövning eller i ett brottmål vid en domstol. Ordningsavgift eller påföljdsavgift kan inte heller påföras den som redan har dömts för samma gärning, om domen har vunnit laga kraft eller om åtalen har förkastats genom ett beslut som vunnit laga kraft. Bestämmelsen stämmer i enlighet med principen ne bis in idem (förbud mot att åtala och döma två gånger i samma ärende) överens med två avgöranden av högsta domstolen (HD:2010:45 och HD:2010:46), där det var fråga om att beslut om efterbeskattning hade vunnit laga kraft innan åtal väckts för grovt skattebedrägeri. Högsta domstolen ansåg att det stred mot principen ne bis in idem att åtal hade väckts efter att beslutet om efterbeskattning vunnit laga kraft. I senare avgöranden (HD 2014:93, HD 2014:94 och HD 2014:95) ansåg HD att det på grund av ny rättspraxis som utvidgat ne bis in idem-förbudet inte finns grunder för att undanröja eller återbryta tidigare lagakraftvunna straffdomar.
14 §.Preskription av rätten att påföra ordningsavgift. Enligt denna paragraf får Tullen inte påföra ordningsavgift, om inte beslut om detta har fattats inom fem år från den dag då förseelsen eller försummelsen inträffade, eller vid fortsatt förseelse eller försummelse inom fem år från den dag då förseelsen eller försummelsen upphörde. Bestämmelsen motsvarar 8 kap. 7 § 1 mom. i penningtvättslagen.
15 §.Offentliggörande av beslut om ordningsavgift. I denna paragraf föreskrivs om offentliggörande av beslut om ordningsavgift. Enligt artikel 60.1 i det fjärde penningtvättsdirektivet ska medlemsstaterna se till att de behöriga myndigheterna på sin officiella webbplats offentliggör beslut som inte kan överklagas om administrativa sanktioner eller åtgärder till följd av överträdelser av de nationella bestämmelser som införlivar detta direktiv. Offentliggörandet ska ske omedelbart efter det att den fysiska eller juridiska person som påförts en sanktion har informerats om beslutet. Offentliggörandet ska åtminstone innehålla information om vilken typ och art av överträdelse det rör sig om och vilka fysiska eller juridiska personer som är ansvariga. Medlemsstaterna ska inte vara skyldiga att tillämpa detta stycke på beslut om föreskrivande av åtgärder av utredningskaraktär.
Tullen är inte en sådan behörig myndighet som avses i det fjärde penningtvättsdirektivet och som ansvarar för övervakningen av tillstånd eller registreringen av verksamhetsutövare och tillsynen över efterlevnaden av direktivet. I syfte att förenhetliga påföljderna enligt penningtvättslagen och påföljderna enligt det 1:a lagförslaget föreslås det att skyldigheten att offentliggöra beslut ska gälla även de påföljder som Tullen påför med stöd av detta lagförslag.
I 1 mom. föreskrivs att Tullen ska offentliggöra en ordningsavgift utan dröjsmål efter att den som beslutet gäller har underrättats om beslutet. Beslutet kan offentliggöras t.ex. på Tullens webbplats. Av offentliggörandet ska framgå huruvida beslutet att påföra ordningsavgift har vunnit laga kraft, överträdelsens art och typ samt den för överträdelsen ansvariga personens identitet. Om besvärsmyndigheten upphäver beslutet helt eller delvis ska Tullen offentliggöra besvärsmyndighetens beslut på samma sätt som påförandet av ordningsavgift har offentliggjorts. Information om en ordningsavgift ska finnas tillgänglig på tillsynsmyndighetens webbplats i fem år.
Paragrafens 2 mom. gäller undantagsfall, där offentliggörandet av beslutet kan skjutas fram, beslutet kan offentliggöras utan att namnet på den person som påförts påföljden nämns eller beslutet om en ordningsavgift inte behöver offentliggöras.
Om Tullen offentliggör ett beslut om en påföljd utan att ange namnet på den person som påförts påföljden i fråga kan Tullen enligt 3 mom. samtidigt besluta att uppgifterna om personens identitet ska offentliggöras med skälig fördröjning, om Tullen bedömer att grunderna för anonymt offentliggörande kommer att upphöra fram till dess.
16 §.Verkställighet och återbetalning av ordningsavgift. Rättsregistercentralen sköter verkställigheten av ordningsavgifter och påföljdsavgifter. Ordningsavgift verkställs i den ordning som föreskrivs i lagen om verkställighet av böter (672/2002).
17 §.Ändringssökande. I denna paragraf hänvisas i fråga om ändringssökande till bestämmelserna i tullagen. I tullagens 88 § föreskrivs om begäran om omprövning, i 89 § föreskrivs om anförande av besvär hos Helsingfors förvaltningsdomstol och i 90 § föreskrivs om anförande av besvär hos högsta förvaltningsdomstolen.
18 §.Myndighetssamarbete. Med stöd av denna paragraf har behöriga myndigheter som inte har grundat ett eget sådant datasöksystem som avses i 4 § rätt att begära uppgifter via Tullens datasöksystem. Exempel på sådana myndigheter är sannolikt Finansinspektionen, Patent- och registerstyrelsen samt konkursombudsmannens byrå. Den behöriga myndigheten ska då specificera för Tullen enligt vilken bestämmelse i lag den begär information.
19 §.Ikraftträdande. Lagen avses träda i kraft den 1 januari 2019.
I paragrafen fastställs att lagens 4 § tillämpas från och med den 1 september 2020, och då ska kreditinstituten ha de tekniska resurser som behövs för att överlåta uppgifter till behöriga myndigheter via systemet.
Även 5 § tillämpas från och med den 1 september 2020. Betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor ska lämna in de uppgifter som avses i 6 § till registret den 1 september 2020.
1.2
Lagen om tillhandahållare av virtuella valutor
1 §.Tillämpningsområde. Lagen tillämpas på affärsverksamhet som bedrivs av tillhandahållare av virtuella valutor. Med tillhandahållare av virtuella valutor avses enligt 2 § en utgivare av virtuella valutor, en växelplattform för virtuella valutor och dess marknadsplats samt en leverantör av förvaringstjänster för virtuella plånböcker. En virtuell valuta definieras som ett värde i digital form, som inte getts ut eller garanterats av en centralbank eller någon annan myndighet och som inte utgör ett lagligt betalningsmedel, som en person kan använda som betalningsinstrument, och som kan överföras, lagras och växlas elektroniskt.
2 §.Definitioner. I 1 mom. 1 punkten definieras en sådan virtuell valuta som avses i artikel 3.18 i direktivet. En virtuell valuta är alltid i digital form. Den kan ha en utgivare eller bygga på ett decentraliserat system, såsom den blockkedjeteknik som ligger bakom Bitcoin. En virtuell valuta kan inte ges ut av en centralbank eller någon annan myndighet.
Enligt 1 punkten underpunkt a kan en virtuell valuta inte vara ett lagligt betalningsmedel. Med lagligt betalningsmedel avses ett betalningsmedel som en fordringsägare måste ta emot, om fordringsägaren och gäldenären inte har avtalat om betalningsmedlet. Enligt artikel 128 i fördraget om Europeiska unionen har ECB ensamrätt att tillåta utgivning av eurosedlar inom unionen. ECB och de nationella centralbankerna får ge ut eurosedlar. Endast sedlar som ges ut av ECB och de nationella centralbankerna ska vara lagliga betalningsmedel inom unionen. Medlemsstaterna får ge ut euromynt i den omfattning som godkänns av ECB. En virtuell valuta är till sin karaktär en nyttighet.
Enligt 1 punkten underpunkt b förutsätts att en virtuell valuta ska kunna användas som betalningsinstrument. Parterna kan komma överens om att en virtuell valuta ska godkännas som betalningsinstrument trots att den inte är ett lagligt betalningsmedel.
Enligt 1 punkten underpunkt c ska en virtuell valuta kunna överföras, växlas och lagras elektroniskt. En virtuell valuta är en nyttighet i digital form, dvs. i praktiken en specificerad kod som kan överföras, växlas och lagras.
I 2 punkten definieras tillhandahållare av virtuella valutor, som kan vara en utgivare av virtuella valutor, en växelplattform för virtuella valutor och dess marknadsplats samt en leverantör av förvaringstjänster för virtuella plånböcker. Som utgivare av virtuella valutor betraktas enligt 3 punkten en fysisk eller juridisk person, som ger ut en virtuell valuta. Tillämpningen av lagen på utgivare av virtuella valutor avviker från tillämpningsområdet enligt direktivet. På grund av de risker som är förknippade med virtuella valutor är det ändå motiverat att lagen gäller förutom växelplattformar för virtuella valutor även utgivare av virtuella valutor. Missbruk har observerats särskilt i samband med s.k. Initial Coin Offering (ICO), där utgivaren beskriver den virtuella valutans egenskaper och användningsändamål samt utgivningsvillkoren. Lagens tillämpningsområde omfattar inte virtuella valutor som ges ut av centralbanker och andra myndigheter.
Enligt definitionen i 4 punkten avses med växelplattform för virtuella valutor sådan verksamhet där en virtuell valuta affärs- eller yrkesmässigt växlas till ett lagligt betalningsmedel eller till en annan virtuell valuta. Som växelplattform för virtuella valutor betraktas även sådan affärs- eller yrkesmässig verksamhet där en virtuell valuta växlas till någon annan nyttighet eller där en nyttighet växlas till virtuell valuta. Därmed omfattar lagens tillämpningsområde även verksamhet där guld växlas till virtuell valuta. Som växelplattform betraktas också en sådan marknadsplats som administreras för att kunderna ska kunna bedriva en ovan avsedd verksamhet. Lagen omfattar således också decentraliserade marknadsplatser för virtuella valutor som inte tillhandahåller plånböcker för virtuella valutor. Marknadsplatsen kan utgöra ett multilateralt handelssystem eller en förmedlingstjänst.
I och med kravet på affärs- eller yrkesmässig verksamhet omfattar lagens tillämpningsområde inte situationer där personer i enskilda fall går med på att växla en virtuell valuta till någon annan valuta. Den andra valutan kan vara en virtuell valuta eller ett lagligt betalningsmedel.
Detta är en bredare definition jämfört med artikel 2.1 punkt 3 led g i direktivet, eftersom den även omfattar växling från en virtuell valuta till en annan virtuell valuta. Med tanke på att virtuella valutor är förknippade med flera risker och eftersom en nationell riskbedömning i fråga om förebyggande av penningtvätt och av finansiering av terrorism visar att virtuella valutor i Finland är förknippade med en hög risk för penningtvätt och finansiering av terrorism, är det ändamålsenligt att förebygga att lagen kringgås genom att utvidga definitionen till att omfatta även dessa tjänster.
En leverantör av förvaringstjänst för virtuella plånböcker definieras i 5 punkten som en fysisk eller juridisk person som innehar virtuella valutor för någon annans räkning eller som erbjuder överföring eller förvaring av virtuella valutor. Det räcker att minst en av de ovannämnda tjänsterna tillhandahålls för att verksamheten ska betraktas som tillhandahållande av en förvaringstjänst för virtuella plånböcker. Användning av virtuella valutor kan bygga på användning av privata och offentliga nycklar. Med privata kryptonycklar avses ett digitalt skydd som endast innehavaren av plånboken känner till. Plånboken är också skyddad med en offentlig nyckel, som används för verifiering av användaren och som kan förmedlas offentligt.
I 6 punkten definieras begreppet tjänst i anslutning till virtuella valutor som utgivning av virtuella valutor, en växelplattform för virtuella valutor och tillhandahållande av förvaringstjänster för virtuella plånböcker.
I 2 mom. föreskrivs att sådana elektroniska pengar som avses i lagen om betalningsinstitut inte betraktas som virtuella valutor. Med elektroniska pengar avses ett penningvärde som har lagrats elektroniskt eller magnetiskt mot att ett penningbelopp har betalats till utgivaren av de elektroniska pengarna för genomförande av betalningstransaktioner och som en eller flera personer har förbundit sig att godkänna som betalning.
3 §.Tillsyn. Tillhandahållarna av virtuella valutor verkar på gränsytan till finansieringssystemet, och de virtuella valutorna skapar risker för finansieringssystemet och investerarna. Av denna anledning föreskrivs att Finansinspektionen ska övervaka iakttagandet av denna lag. Till Finansinspektionens uppgifter hör enligt 3 § i lagen om Finansinspektionen bl.a. att registrera finansmarknadsaktörer och fastställa stadgarna för deras verksamhet samt att övervaka att finansmarknadsaktörerna iakttar de på dem tillämpliga bestämmelserna om finansmarknaden och med stöd av dem utfärdade föreskrifter, villkoren i sina verksamhetstillstånd och stadgarna som gäller deras verksamhet.
4 §.Registreringsskyldighet för tillhandahållare av virtuella valutor. I 1 mom. föreskrivs att tillhandahållande av virtuella valutor förutsätter registrering enligt denna lag.
I 2 mom. 1 punkten fastställs att lagen inte ska tillämpas på näringsidkare som tillhandahåller tjänster i anslutning till virtuella valutor inom ett begränsat nätverk. Med begränsat nätverk avses en tjänst som inte är öppen för allmänheten och som endast kan användas av registrerade användare. Vidare förutsätts att den virtuella valutan endast kan användas inom det begränsade nätverket och att den inte kan växlas till ett lagligt betalningsmedel. Exempelvis sådana spelvalutor som avses i spel som tillhandahålls via internet eller smarttelefoner och tillhandahållarna av dessa spel faller utanför lagens tillämpningsområde och registreringsskyldigheten.
I 2 punkten konstateras att lagen inte gäller näringsidkare som tillhandahåller tjänster i anslutning till virtuella valutor sporadiskt i samband med annan yrkesmässig verksamhet som kräver tillstånd, registrering eller förhandsgodkännande. Vid bedömningen av en tjänsts sporadiska natur ska fokus läggas på att tjänsten inte utgör personens huvudsyssla utan bisyssla och att verksamheten är anspråkslös med hänseende till absoluta siffror och affärstransaktioner. Exempelvis kreditinstitut eller betalningsinstitut som tillhandahåller tjänster i anslutning till virtuella valutor hör inte till lagens tillämpningsområde. Även andra aktörer än auktoriserade tillsynsobjekt som övervakas av Finansinspektionen, registreringsskyldiga eller övriga i lagen om Finansinspektionen avsedda aktörer på finansmarknaden kan vara tillhandahållare av virtuella valutor.
5 §.Register över tillhandahållare av virtuella valutor och registeranmälan. I 1 mom. föreskrivs att Finansinspektionen ska föra ett register över tillhandahållare av virtuella valutor.
Paragrafens 2 mom. gäller lämnande av registeranmälan och vilka uppgifter som ska ingå i registeranmälan. Enligt 1 punkten ska enskilda näringsidkare anmäla sitt fullständiga namn och sin personbeteckning eller, om sådan saknas, födelsetid samt firma, eventuell bifirma, företags- och organisationsnummer eller annan motsvarande beteckning, huvudsakligt verksamhetsställe och besöksadress till de verksamhetsställen där det tillhandahålls tjänster i anslutning till virtuella valutor. Om tillhandahållaren av virtuella valutor är en juridisk person, ska denna anmäla firma, eventuell bifirma, företags- och organisationsnummer eller annan motsvarande beteckning, huvudsakligt verksamhetsställe och besöksadress till de verksamhetsställen där det tillhandahålls tjänster i anslutning till virtuella valutor. Vidare ska registeranmälan innehålla uppgifter om förvaring av kundmedel, marknadsföring och kundkontroll.
I 2 punkten förutsätts att registeranmälan ska bifogas en utredning över de personer som avses i 7 § 2 mom. och vars tillförlitlighet ska bedömas, om anmälaren är en juridisk person. Utredningen gäller verkställande direktören och dennes ställföreträdare, medlemmar och ersättare i styrelsen, förvaltningsrådet och jämförbara organ, ansvariga bolagsmän, andra som hör till den högsta ledningen och den som direkt eller indirekt innehar minst en tiondel av aktierna i ett aktiebolag eller den rösträtt som aktierna medför eller motsvarande ägande- eller bestämmanderätt, om det är fråga om en annan sammanslutning än ett aktiebolag.
Med stöd av 2 mom. ska anmälaren lämna Finansinspektionen också andra behövliga uppgifter, t.ex. uppgifter som behövs för bedömning av tillförlitlighet.
6 §.Förutsättningar för registrering. Finansinspektionen ska med stöd av 1 mom. 1 punkten registrera anmälaren som en tillhandahållare av virtuella valutor om den sökande har rätt att utöva näringsverksamhet i Finland. Utövandet av näringsverksamhet kan ha begränsats exempelvis genom ett domstolsbeslut.
I 2 punkten förutsätts att anmälaren inte har försatts i konkurs. Om anmälaren är en fysisk person ska han eller hon ha uppnått myndighetsålder, och den fysiska personens handlingsbehörighet får inte vara begränsad. Om den fysiska personen har blivit förordnad en intressebevakare kan Finansinspektionen inte registrera honom eller henne. Personen saknar då t.ex. på grund av försvagat hälsotillstånd eller av någon annan motsvarande orsak förmåga att sköta personliga eller ekonomiska angelägenheter, men hans eller hennes handlingsbehörighet har inte nödvändigtvis begränsats.
Enligt 3 punkten ska anmälaren vara tillförlitlig. Bestämmelser om bedömning av tillförlitlighet finns i 7 §.
7 §.Tillförlitlighet. I 1 mom. definieras tillförlitlighet i den mening som avses i 6 § 1 mom. 3 punkten Den som gör anmälan anses inte tillförlitlig om han eller hon genom en lagakraftvunnen dom har dömts till fängelsestraff under de fem senaste åren före en bedömning eller till bötesstraff under de tre senaste åren före bedömningen för ett brott som kan anses visa att personen i fråga är uppenbart olämplig för att tillhandahålla tjänster i anslutning till virtuella valutor, för att äga en sammanslutning som bedriver sådan verksamhet eller för att vara styrelsemedlem eller ersättare, verkställande direktör eller ställföreträdande verkställande direktör eller på annat sätt medlem av högsta ledningen i en sådan sammanslutning, eller om han eller hon annars genom sin tidigare verksamhet har visat sig uppenbart olämplig för en sådan uppgift. Exempel på en sådan lagakraftvunnen dom kan vara skattebedrägeri, penningtvättsbrott, andra ekonomiska brott eller it-relaterade brott. Uppenbar olämplighet kan påvisas exempelvis om anmälaren har meddelats näringsförbud eller en dom för penningtvättsbrott som ännu inte har vunnit laga kraft.
I 2 mom. föreskrivs om de personer som omfattas av kravet på tillförlitlighet, om anmälaren är en juridisk person.
I 3 mom. föreskrivs om s.k. finansiell tillförlitlighet. Finansinspektionen har i enlighet med 20 b § i lagen om Finansinspektionen trots sekretessbestämmelserna rätt att av myndigheter och aktörer som sköter offentliga uppdrag få uppgifter om hur en sökande sköter sina registrerings-, rapporterings- och betalningsåtaganden i anslutning till skatter, lagstadgade pensions-, olycksfalls- och arbetslöshetsförsäkringsavgifter samt avgifter som Tullen tar ut samt uppgifter om dennes verksamhet, ekonomi och kopplingar.
8 §.Uppgifter som ska föras in i registret och anmälan om ändringar. I 1 mom. föreskrivs om de uppgifter som ska föras in i registret. Enligt 1 punkten ska i registret införas enskilda näringsidkares fullständiga namn och personbeteckning eller, om sådan saknas, födelsetid. I registret införs även firma, eventuell bifirma, företags- och organisationsnummer eller annan motsvarande beteckning, huvudsakligt verksamhetsställe och besöksadress till de verksamhetsställen där det tillhandahålls tjänster i anslutning till virtuella valutor.
När det gäller juridiska personer ska i registret enligt 2 punkten införas firma, eventuell bifirma, företags- och organisationsnummer eller annan motsvarande beteckning, huvudsakligt verksamhetsställe och besöksadress till de verksamhetsställen där det tillhandahålls tjänster i anslutning till virtuella valutor.
Enligt 3 punkten ska i registret införas fullständigt namn och personbeteckning eller, om sådana saknas, födelsetid för de personer vars tillförlitlighet har kontrollerats i samband med handläggningen av registeranmälan. Till exempel i fråga om utländska personer införs i registret personens födelsetid, om han eller hon inte har en finsk personbeteckning.
Förslaget till dataskyddslag innehåller bestämmelser om behandling av personbeteckningar. Enligt 29 § 1 mom. i lagförslaget får en personbeteckning behandlas med den registrerades samtycke eller när behandlingen regleras i lag. Dessutom får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade
1) för att utföra en i lag angiven uppgift,
2) för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller
3) för historisk eller vetenskaplig forskning eller för statistikföring.
I artikel 47 i det femte penningtvättsdirektivet förutsätts att medlemsstaterna ska registrera tillhandahållare av växelplattformar för virtuella valutor och att de som tillhandahåller förvaringstjänster för virtuella plånböcker är registrerade. För att en fysisk person ska kunna identifieras är det nödvändigt att anteckna personbeteckningen i registret.
I registret införs även datum för registrering (4 punkten). Om anmälaren har meddelats offentliga varningar eller sådana förbud som förenats med vite, ska dessa enligt 5 punkten införas i registret.
Tillhandahållare av virtuella valutor omfattas av penningtvättslagen och är sådana rapporteringsskyldiga som avses i lagen. I 8 kap. i den lagen föreskrivs om administrativa påföljder. Enligt 8 kap. 2 § 1 mom. ska tillsynsmyndigheten meddela rapporteringsskyldiga tillsynsobjekt enligt 7 kap. 1 § 1 mom. en offentlig varning om de uppsåtligen eller av oaktsamhet handlar i strid med andra bestämmelser i denna lag eller i strid med andra bestämmelser och föreskrifter som utfärdats med stöd av den eller i strid med andra bestämmelser i förordningen om information om betalaren än de som avses i 1 § 1 eller 2 mom. och 3 § 1 eller 2 mom. i detta kapitel. I 8 kap. 8 § 1 mom. föreskrivs om offentliggörande av beslut om administrativa påföljder. Tillsynsmyndigheten ska offentliggöra ett beslut om påförande av ordningsavgift, offentlig varning eller påföljdsavgift utan dröjsmål efter att den som beslutet gäller har underrättats om beslutet. Av offentliggörandet ska framgå huruvida beslutet att påföra påföljden har vunnit laga kraft, överträdelsens art och typ samt den för överträdelsen ansvariga personens identitet. Om besvärsmyndigheten upphäver beslutet helt eller delvis ska tillsynsmyndigheten offentliggöra besvärsmyndighetens beslut på samma sätt som påförandet av påföljden har offentliggjorts. Information om en påföljd ska finnas tillgänglig på tillsynsmyndighetens webbplats i fem år.
I det 3:e lagförslaget föreskrivs att Finansinspektionen ska övervaka efterlevnaden av lagen om tillhandahållare av virtuella valutor. Finansinspektionen är således också den myndighet som ska påföra en eventuell administrativ påföljd enligt penningtvättslagen. Vidare kan Finansinspektionen med stöd av 17 § i detta lagförslag meddela tillhandahållare av virtuella valutor en offentlig varning, om vars offentliggörande det föreskrivs i 43 § i lagen om Finansinspektionen.
Administrativa påföljder som påförs dem som lämnar en anmälan är med stöd av de ovannämnda bestämmelserna i regel offentliga. Enligt 23 § i viteslagen (1113/1990) ska en myndighets beslut, om det inte avkunnas, delges parten genom postens förmedling mot mottagningsbevis eller i den ordning som gäller för delgivning av stämning. Anteckning av uppgifter om offentliga varningar eller vite enligt 5 punkten i detta moment medför således inga betydande risker med tanke på skyddet för anmälarens personuppgifter.
Om en tillhandahållare av virtuella valutor exempelvis upphör med sin affärsverksamhet införs i registret i enlighet med 6 punkten orsaken till och datum för avföringen från registret.
Enligt 2 mom. ska tillhandahållaren av virtuella valutor utan dröjsmål till Finansinspektionen anmäla ändringar i de uppgifter som har införts i registret. Vidare ska tillhandahållaren informera Finansinspektionen om att denne inte har tillhandahållit sådana tjänster under de senaste sex månaderna eller att denne har lagt ned sin verksamhet.
9 §.Tillhandahållande av information. Finansinspektionen får med stöd av 1 mom. lämna ut personuppgifter ur registret i form av utskrifter, göra dem allmänt tillgängliga i ett elektroniskt datanät eller lämna ut dem på något annat sätt i elektronisk form. Vid finansministeriet bereds ett lagförslag om informationshantering inom den offentliga förvaltningen, där det föreskrivs om organiseringen av den offentliga förvaltningens informationshantering och relaterade skyldigheter. Lagen innehåller bestämmelser om överlåtelse av uppgifter mellan myndigheter med hjälp av tekniska gränssnitt och elektroniska förbindelser för åtkomst till uppgifter. Regleringen av tekniska gränssnitt genom speciallagar ska frångås. Av denna anledning innehåller 1 mom. inga särskilda bestämmelser om detaljerna kring utlämnandet av uppgifter.
Personbeteckningar får Finansinspektionen lämna ut med stöd av denna lag endast om uppgiften lämnas i form av en utskrift eller i teknisk lagringsform och om mottagaren med stöd av 26 § i dataskyddslagen eller med stöd av någon annan lag har rätt att behandla personbeteckningar. Den nämnda bestämmelsen motsvarar 13 § i personuppgiftslagen.
I 2 mom. föreskrivs om de uppgifter som Finansinspektionen ska hålla tillgängliga för allmänheten via ett elektroniskt datanät. Uppgifterna motsvarar de uppgifter som på Finansinspektionen webbplats finns tillgängliga också om andra registreringsskyldiga finansmarknadsaktörer.
10 §.Bevaring av handlingar och uppgifter som gäller tjänsterna. Enligt denna paragraf ska tillhandahållaren av virtuella valutor bevara handlingar och uppgifter som gäller tjänsterna i anslutning till virtuella valutor i fem år från det att giltigheten för den grund på vilken uppgifterna har införts i registret har upphört, såvida inte bestämmelser om en längre bevaringstid finns någon annanstans i lag. Om det uppkommer oenighet om en tjänst ska handlingarna och uppgifterna dock bevaras till dess parterna har kommit överens om saken eller ärendet har avgjorts.
Bestämmelsen kompletterar den skyldighet att bevara uppgifter som fastställs t.ex. i penningtvättslagen. Syftet med bestämmelsen är att trygga tillgodoseendet av Finansinspektionens rätt att få uppgifter i tillsynen över tillhandahållarna av virtuella valutor och undersökningen av ekonomiska brott.
11 §.Förvaring av kundmedel. För tillhandahållare av virtuella valutor införs inga separata krav på en miniminivå för egna medel, genom vilken målet att skydda kundmedlen kan tryggas. Av denna anledning ska den i lagen föreskrivna skyldigheten att skydda kundmedlen gälla alla tillhandahållare av virtuella valutor.
I 1 mom. förutsätts att den som tillhandahåller virtuella valutor ska skydda medel som mottagits från tjänsteanvändare eller andra tjänsteleverantörer för växling av virtuella valutor. Det är irrelevant huruvida tjänsteanvändaren är en fysisk eller juridisk person. Med medel avses kontanter, på ett konto registrerat penningvärde och elektroniska pengar. Momentet tillämpas också på mottagna virtuella valutor. När tillhandahållaren av virtuella valutor tar emot virtuella valutor ska dessa på motsvarande sätt förvaras separat från de övriga kundernas virtuella valutor t.ex. i en särskild virtuell plånbok. Detta innebär inte att en särskild plånbok för virtuella valutor måste öppnas och förvaltas separat för varje användare, utan varje kunds virtuella valutor måste kunna avskiljas från andra kunders virtuella valutor på ett tillförlitligt sätt t.ex. bokföringsmässigt.
Enligt 2 mom. ska den som tillhandahåller virtuella valutor förvara de medel som avses i 1 mom. så att det inte finns risk för att de sammanblandas med andra tjänsteanvändares eller tjänsteleverantörers medel eller med tillhandahållarens egna medel. Momentet tillämpas således inte på virtuella valutor som mottagits för växling av virtuell valuta, eftersom man för att skydda dessa på det sätt som avses i 2 mom. måste omvandla medlen till lagliga betalningsmedel och detta med beaktande av kursväxlingarna i fråga om virtuella valutor kan medföra betydande kostnadseffekter för den som tillhandahåller tjänsten. Tillhandahållaren av virtuella valutor ska sätta in medlen på konto i en centralbank eller inlåningsbank eller i ett kreditinstitut som i någon annan stat fått koncession för att ta emot insättningar, eller placera medlen i lågriskpapper och värdepapper som lätt kan omsättas i pengar eller i andra investeringsobjekt, om medlen inte arbetsdagen efter att de mottagits har överförts. Finansinspektionen utfärdar föreskrifter om när värdepapper eller andra investeringsobjekt ska anses vara av lågriskkaraktär och lätta att omsätta i pengar.
Tillhandahållaren av virtuella valutor ska med stöd av 3 mom. underrätta Finansinspektionen om väsentliga förändringar i skyddandet av kundmedel.
12 §.Marknadsföring. En tillhandahållare av virtuella valutor ska enligt 1 mom. i sin marknadsföring ge kunden all den information om den marknadsförda tjänsten som kan vara relevant för kundens beslut om tjänsten. Bestämmelsen gäller i synnerhet reklam, som är en del av begreppet marknadsföring i 2 kap. i konsumentskyddslagen (38/1978). Relevant information är t.ex. vilka kostnader som orsakas av användningen av tjänsten, vilka risker som är förknippade med tjänsten, det totala priset på tjänsten och avtalsförhållandets längd.
Paragrafens 2 mom. innehåller ett förbud mot att lämna osanna eller vilseledande upplysningar eller annars använda förfaranden som är otillbörliga från kundens synpunkt eller strider mot god sed. 2 kap. i konsumentskyddslagen föreskrivs om marknadsföring som strider mot god sed och otillbörliga förfaranden i marknadsföring och kundrelationer. Förfaranden som strider mot god sed kan bedömas i enlighet med lagen om otillbörligt förfarande i näringsverksamhet (1061/1978), som tillämpas på relationer mellan näringsidkare.
Enligt 3 mom. ska marknadsföring som inte innehåller information som är relevant för kundens finansiella säkerhet alltid anses vara otillbörlig.
En virtuell valuta kan uppfylla definitionen på finansiellt instrument enligt 2 kap. 2 § i värdepappersmarknadslagen, varvid lagens bestämmelser ska tillämpas på denna t.ex. när det gäller skyldigheten att sammanställa ett prospekt. I 4 mom. finns en informativ hänvisning till värdepappersmarknadslagen.
13 §. Kundkontroll. I 1 mom. fastställs att tillhandahållare av virtuella valutor ska ha kännedom om sina kunder. Att ha kännedom om sina kunder innebär att inhämta uppgifter om kunden och följa upp kundrelationen samt en skyldighet att utreda förändringar. Tillhandahållaren ska identifiera kundens verkliga förmånstagare och de personer som handlar för kundens räkning, samt dessutom vid behov verifiera deras identitet. Identifieringen kan göras utifrån officiella identitetshandlingar eller med hjälp av identifiering på distans. Närmare bestämmelser om kännedom om och identifiering av kunder och verkliga förmånstagare finns i penningtvättslagen, som det hänvisas till i 3 mom.
En tillhandahållare av virtuella valutor ska enligt 2 mom. ha tillräckliga riskhanteringssystem för att bedöma de risker som kunderna medför för dess verksamhet. Riskhanteringen ska omfatta t.ex. egendomsrisker, operativa risker och personrisker.
I 4 mom. föreskrivs att Finansinspektionen kan meddela närmare föreskrifter om de tillvägagångssätt som ska iakttas vid kundkontroll enligt 1 mom. och om riskhantering enligt 2 mom. Finansinspektionen har med stöd av motsvarande befogenheter utfärdat standarden 2.4. Kundkontroll och åtgärder mot penningtvätt, finansiering av terrorism och marknadsmissbruk.
14 §.Rätt att få uppgifter ur bötes- och straffregistret. I paragrafen föreskrivs om Finansinspektionens rätt att få uppgifter ur bötes- och straffregistret. För att Finansinspektionen ska kunna bedöma tillförlitligheten hos en tillhandahållare av virtuella valutor måste den ha rätt att få de uppgifter som behövs för detta ur det bötesregister som avses i 46 § i lagen om verkställighet av böter. Uppgifter kan lämnas ut ur straffregistret till Finansinspektionen i syfte att klargöra tillförlitligheten hos en tillhandahållare av virtuella valutor med stöd av 4 a § i straffregisterlagen (770/1993).
15 §.Tillhandahållande av virtuella valutor utan registrering. Enligt 1 mom. ska Finansinspektionen förbjuda tillhandahållande av tjänster i anslutning till virtuella valutor om verksamheten bedrivs i strid med denna lag utan registrering. Om det finns särskilda skäl till detta kan förbudet också meddelas så att det gäller en person som är anställd av en rörelse som utövar sådan verksamhet eller någon annan som agerar för dennes räkning. I allmänhet riktas förbudet mot en sammanslutning som verkar som tjänsteleverantör eller en näringsidkare. Det kan vara motiverat att rikta förbudet mot en person t.ex. när det är uppenbart att sammanslutningen i fråga inte kommer att iaktta förbudet och inte klarar av att erlägga det vite som beslutet om förbud förenas med, eller när det finns skäl att misstänka att förbudet kringgås så att verksamheten fortsätter att bedrivas i ett annat företag.
Finansinspektionen har enligt 33 a § i lagen om Finansinspektionen behörighet att förena ett förbud med vite. Med avvikelse från den nämnda paragrafen föreskrivs i 2 mom. att Finansinspektionen är skyldig att förena ett i 1 mom. avsett förbud med vite, om detta inte av särskilda skäl är onödigt. Enligt 10 § i lagen om Finansinspektionen ska Finansinspektionens direktion döma ut vite som Finansinspektionen har förelagt. Vidare tillämpas, till den del inget annat följer av den nämnda lagen, bestämmelserna i viteslagen.
I 2 mom. hänvisas till sådana offentliga varningar som avses i lagen om Finansinspektionen.
16 §.Avregistrering. I 1 mom. föreskrivs om situationer där en tillhandahållare av virtuella valutor ska avföras ur registret. Enligt 1 punkten ska Finansinspektionen utan ogrundat dröjsmål avföra en tillhandahållare av virtuella valutor ur registret, om tillhandahållaren av virtuella valutor under de föregående sex månaderna inte har tillhandahållit tjänster i anslutning till virtuella valutor eller har upphört med sin verksamhet.
Med stöd av 2 punkten ska avregistreringen göras också om tillhandahållaren av virtuella valutor har godkänts i registret på basis av felaktiga eller vilseledande uppgifter som tillhandahållaren lämnat. De felaktiga eller vilseledande uppgifter som lämnats ska ha varit av sådan natur att anmälaren inte skulle ha godkänts till registret i det fall att Finansinspektionen i stället för uppgifterna i fråga hade haft tillgång till korrekta uppgifter.
Om förutsättningarna för registrering i 6 § 1 mom. 1—3 punkten inte längre uppfylls ska tillhandahållaren av virtuella valutor avföras ur registret enligt 3 punkten.
I 4 punkten föreskrivs att en tillhandahållare av virtuella valutor ska avföras ur registret om det i den verksamhet som tillhandahållaren av virtuella valutor eller dess högsta ledning bedriver förekommer allvarliga eller upprepade försummelser och tillhandahållaren redan tidigare har meddelats ett sådant verksamhetsförbud som avses i 17 § 1 mom.
I 2 mom. ges Finansinspektionen rätt att meddela föreskrifter om vilka åtgärder som måste vidtas i syfte att tillvarata kundernas intressen innan tillhandahållaren av virtuella valutor avslutar sin verksamhet.
17 §.Andra påföljder för tillhandahållare av virtuella valutor. Enligt 1 mom. får Finansinspektionen förbjuda tillhandahållaren av virtuella valutor att fortsätta verksamheten i sådana situationer som specificeras närmare i paragrafen. Finansinspektionen kan med stöd av 2 mom. förena förbudet med vite.
I 3 mom. hänvisas till lagen om Finansinspektionen, som innehåller bestämmelser om Finansinspektionens rätt att meddela offentlig varning.
18 §.Ikraftträdande. Lagen föreslås träda i kraft den 1 januari 2019.
19 §.Övergångsbestämmelse. Enligt paragrafen får den som när denna lag träder i kraft utövar verksamhet som enligt denna lag förutsätter registrering fortsätta med sin verksamhet i Finland utan registrering fram till den 1 juli 2019.
1.3
Lagen om förhindrande av penningtvätt och av finansiering av terrorism
1 kap. Allmänna bestämmelser
2 §.Tillämpningsområde. Det föreslås att tillämpningsområdet för 1 mom. ska ändras med anledning av ändringen av penningtvättsdirektivet. I momentet ändras 1 punkten underpunkt c så att lagen tillämpas på utländska sammanslutningar som motsvarar auktoriserade tillsynsobjekt, om sammanslutningen tillhandahåller tjänster i Finland via en representant utan att etablera filial. I 3 kap. 14 § fastställs att utländska sammanslutningar är skyldiga att utse en central kontaktpunkt. Det är ändamålsenligt att även de övriga skyldigheterna enligt denna lag gäller uttryckligen utländska sammanslutningar, som av en myndighet i hemstaten har beviljats tillstånd att tillhandahålla gränsöverskridande tjänster i Finland utan att etablera filial. Sådana representanter för betalningsinstitut och institut för elektroniska pengar från en annan EES-stat som verkar i Finland är ofta andra näringsidkare än tillhandahållare av finanstjänster. Dessa representanter agerar i sin utländska huvudmans namn och för dennes räkning och utnyttjar sin huvudmans processer och förfaranden för att bekämpa penningtvätt och finansiering av terrorism. Av representanterna förutsätts ingen egen koncession eller registrering i Finland för tillhandahållande av finanstjänster. Den som i hemstaten utövar tillsyn över den utländska sammanslutningen ska underrätta Finansinspektionen om att sammanslutningen tillhandahåller tjänster i Finland via utsedda representanter.
I den nya 8 a punkten hänvisas till en sådan tillhandahållare av virtuella valutor som avses i det 2:a lagförslaget. Ändringen motsvarar ändringen av artikel 2.1 punkt 3 led g och h i direktivet.
I enlighet med direktivet ska 22 punkten gälla förutom skatterådgivare även andra personer som affärs- eller yrkesmässigt huvudsakligen direkt eller indirekt tillhandahåller skatterådgivningstjänster eller stöd i skattefrågor. Med indirekt tillhandahållande avses här verksamhet som bedrivs via aktörer som står i intressegemenskap med personen. Intressegemenskap kan föreligga t.ex. via familjerelation eller annat nära personligt förhållande eller via ett lednings-, ägande-, medlemskaps-, finansierings- eller rättsförhållande. Det stöd som erbjuds kan vara materiell hjälp eller annat stöd. Genom ändringen genomförs ändringen av artikel 2.1 punkt 3 led a i direktivet.
Skatterådgivningen har inte begränsats i direktivet, och det föreslås att skatterådgivning inte ska definieras på nationell nivå för att undvika onödiga begränsningar av vilka aktörer som hör till tillämpningsområdet. Skatterådgivningen kan gälla t.ex. nationella eller internationella företagsförvärv, generationsväxlingssituationer eller arvsrättsliga frågor.
Om denna tjänst tillhandahålls indirekt gäller skyldigheten att ha kännedom om sina kunder både den egentliga kunden och kundens kund. Med andra ord ska verksamhetsutövaren vara tillräckligt förtrogen med sin kunds affärsverksamhet för att kunna bedöma riskerna i anslutning till kunden. Även kundens kunder ingår i denna riskanalys.
I 24 punkten görs en lagteknisk ändring.
Det föreslås att en ny 25 och 26 punkt tas in i momentet. Genom den nya 25 punkten genomförs artikel 2.1 punkt 3 led i direktivet. Tillämpningsområdet omfattar dem som säljer eller förmedlar konstverk, om värdet av en transaktion eller flera med varandra sammanhängande transaktioner uppgår till minst 10 000 euro. Bestämmelsen omfattar konstgallerier, auktionskammare och andra som affärs- eller yrkesmässigt säljer eller förmedlar konstverk. Begreppet konstverk definieras inte i direktivet. Begreppet kan anses innefatta både föremål och immateriell konst. Bestämmelserna om kundidentifiering och kontroll av personuppgifter i 3 kap. 2 § 1 och 2 punkten kan tillämpas beroende på konstverkets form.
I 26 punkten utvidgas tillämpningsområdet till att omfatta handel med samt förmedling och förvaring av konstverk via frihamnar, om värdet av en transaktion eller flera med varandra sammanhängande transaktioner är minst 10 000 euro. Med frihamn avses ett område utanför Finlands och EU:s tullområde.
4 §.Definitioner. Till 1 mom. 11 punkten fogas en hänvisning till uppgiftens betydelse.
Till paragrafen fogas ettnytt 2 mom. Genom förordning av statsrådet utfärdas närmare bestämmelser om betydande uppdrag som utförs av personer i politiskt utsatt ställning. Enligt artikel 20 a i direktivet ska medlemsstaterna upprätta och upprätthålla en aktuell förteckning över uppdrag som betraktas som betydande offentliga uppdrag. Vidare ska medlemsstaterna begära att för dessa godkända internationella organisationer ska upprätta och upprätthålla en förteckning över respektive organisations betydande offentliga uppdrag. Medlemsstaterna ska lämna dessa förteckningar till kommissionen.
Med tanke på att förteckningen är detaljerad och behöver uppdateras är det inte motiverat att upprätthålla den på lagnivå. En förordning föreslås omfatta både betydande offentliga uppdrag på nationell nivå och internationella organisationers betydande offentliga uppdrag. I och med att de offentliga uppdragen definieras i förordningen är de också tillgängliga för alla anmälningsskyldiga.
I paragrafen ändras 1 mom. 17 punkten så att definitionen på företag som tillhandahåller finansiella tjänster inte heller ska omfatta tillhandahållare av virtuella valutor.
2 kap. Riskbedömning
1 §.Nationell bedömning av riskerna för penningtvätt och finansiering av terrorism. Det föreslås att 1 mom. ändras så att den nationella riskbedömningen ska sändas till kommissionen, de europeiska tillsynsmyndigheterna och de övriga medlemsstaterna. Ändringen motsvarar artikel 7.5 i direktivet.
I 2 mom. 1—3 punkten föreslås inga ändringar.
I 2 mom. 4 punkten görs en lagteknisk ändring. Genom 5 punkten genomförs artikel 7.4 i direktivet, enligt vilken syftet med riskbedömningen är att beskriva strukturerna och de allmänna åtgärderna samt resurserna när det gäller att bekämpa penningtvätt och finansiering av terrorism. Beskrivningen av resurserna omfattar bl.a. tillsynsmyndigheterna, centralen för utredning av penningtvätt, Skatteförvaltningen och åklagarna. Resurserna ska bedömas utifrån antalet personer och ekonomiska indikatorer. Riskbedömningen görs per myndighet och på nationell nivå.
Inga ändringar föreslås i 3 mom. Till paragrafen fogas ett nytt 4 mom. enligt vilket inrikesministeriet och justitieministeriet ska säkerställa att det till stöd för riskbedömningen sammanställs statistik som gör det möjligt att utvärdera hur effektivt penningtvätt och finansiering av terrorism bekämpas, och inrikesministeriet ska offentliggöra en årlig sammanfattning av statistiken. Exempel på sådan statistik är enligt artikel 44 a i direktivet uppgifter om storlek och betydelse när det gäller de olika sektorer som omfattas av detta direktiv, inklusive antalet enheter och fysiska personer som utövar verksamhet inom respektive sektor samt varje sektors ekonomiska betydelse.
I artikel 44 b hänvisas till uppgifter om rapportering, utredningar och rättsliga faser i det nationella systemet för bekämpning av penningtvätt och finansiering av terrorism, inklusive antalet rapporter om misstänkta transaktioner som lämnats till centralen för utredning av penningtvätt, uppföljningen av dessa rapporter och på årsbasis antalet fall som utretts, antalet personer som åtalats, antalet personer som dömts för penningtvätt eller finansiering av terrorism, typ av förbrott, där sådana uppgifter finns tillgängliga, samt värdet i euro på egendom som har frysts, beslagtagits eller förverkats. Den statistik som avses i punkten förs av centralen för utredning av penningtvätt och rättsregistercentralen.
Därtill kan centralen för utredning av penningtvätt föra sådan statistik som avses i artikel 44 d och som omfattar uppgifter om antalet gränsöverskridande begäranden om uppgifter som har gjorts, tagits emot, avslagits och helt eller delvis besvarats av centralen för utredning av penningtvätt, enligt specificerad redovisning per land som skickat eller mottagit begäran.
I artikel 44 e avsedd statistik över personella resurser som anslagits till de behöriga myndigheter som ansvarar för tillsyn av bekämpningen av penningtvätt och finansiering av terrorism samt personella resurser som anslagits till centralen för utredning av penningtvätt har inte förts.
Varje behörig myndighet kan till stöd för inrikesministeriets och justitieministeriets arbete föra i artikel 44 f avsedd statistik över antalet tillsynsåtgärder på plats och på distans, antalet överträdelser som konstaterats på grundval av tillsynsåtgärder och sanktioner eller administrativa åtgärder som tillämpats av tillsynsmyndigheterna. Myndigheterna kan komma överens om statistikföringen sinsemellan t.ex. genom ett samarbetsavtal.
3 kap. Kundkontroll
1 §.Kundkontroll och riskbaserad bedömning. Det föreslås att 3 mom. ändras så att den rapporteringsskyldiga ska iaktta bestämmelserna om kundkontroll i detta kapitel förutom på grundval av en riskbedömning även om den rapporteringsskyldiga har en lagstadgad skyldighet att under kalenderåret kontakta en kund för att kontrollera relevanta uppgifter om den verkliga förmånstagaren eller om den rapporteringsskyldiga har haft en sådan skyldighet med stöd av lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets direktiv om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EEG samt om tillämpning av direktivet (185/2013). Ändringen motsvarar artikel 14.5 i direktivet.
2 §.Kundidentifiering och kontroll av kundens identitet. Med stöd av 4 mom. ska den rapporteringsskyldiga i framtiden innan ett nytt kundförhållande inleds med en sammanslutning eller en utländsk klassisk trust kontrollera att dess verkliga förmånstagare har antecknats i det register som avses i 6 kap. Anteckningen kan verifieras genom ett registerutdrag eller på något annat sätt, t.ex. genom att anlita registrets elektroniska tjänst. Åtgärder för att kontrollera anteckningen i registret ska vidtas i samband med att kundrelationen grundas. Genom denna ändring genomförs det tillägg som gjorts i artikel 14.1 i direktivet.
3 §.Uppgifter om kundkontroll och bevarande av uppgifterna. Det föreslås att 2 mom. 6 punkten ska ändras. Om den verkliga förmånstagaren inte har kunnat verifieras ska av kundkontrolluppgifterna följande bevaras i fråga om juridiska personer: namn, födelsetid och personbeteckning för styrelseledamöter eller ansvariga bolagsmän, verkställande direktör eller någon annan person i motsvarande ställning. Vid tillämpningen av lagen har det förekommit tolkningsfrågor om det räcker med uppgifter om styrelsen eller om det behövs uppgifter också om t.ex. verkställande direktören. Syftet är att en eller flera fysiska personer kan anges som verklig förmånstagare. I vissa fall är det mer ändamålsenligt att betrakta verkställande direktören som förmånstagare i stället för hela styrelsen. Ändringen motsvarar ändringen av artikel 13.1 b i direktivet.
I punkten konstateras vidare att bland uppgifterna om verkliga förmånstagare ska bevaras informationen om medborgarskap, om personen saknar finsk personbeteckning.
Till 2 mom. fogas tre nya punkter som kompletterar förteckningen över kundkontrolluppgifter som ska bevaras. Genom den föreslagna 10 punkten fogas till listan över kundkontrolluppgifter bank- eller betalkontots nummer, namnet på kontoinnehavaren eller den som har rätt att använda kontot och datum för öppnande och avslutande av kontot samt andra identifieringsuppgifter för kontot till den del de inte ingår i 1—9 punkten, genom 11 punkten tilläggs namnet på den som hyr ett bankfack och andra identifieringsuppgifter i anslutning till bankfackshyran, till den del de inte ingår i 1—9 punkten, samt hyrestidens längd, och genom 12 punkten tilläggs uppgifter som erhållits med hjälp av de metoder för elektronisk identifiering som anges i eIDAS-förordningen och relaterade betrodda tjänster eller via andra skyddade identifieringsprocesser som genomförs på distans eller på elektronisk väg och som regleras, identifieras eller godkänns av relevanta nationella myndigheter. Dessa uppgifter ska vara tillgängliga också via det övervakningssystem för bank- och betalkonton som avses i det 1:a lagförslaget. Den nya 10 och 11 punkten gäller endast sådana rapporteringsskyldiga om vilka det beroende på affärstransaktionernas art är möjligt eller ändamålsenligt att bevara uppgifter. Exempelvis köpmän som i sin verksamhet tar emot kontantbetalningar behöver i regel inte få uppgifter om kundens bank- och betalkonton. Avvikelser från skyldigheten att bevara uppgifter kan också göras när annan gällande lagstiftning hindrar den rapporteringsskyldiga från att få uppgifter. En del av de uppgifter som förutsätts enligt de nya punkterna kommer eventuellt att täckas redan genom 1—9 punkten. Inga ändringar föreslås i 1—5 punkten och 7 punkten. I 8 och 9 punkten görs en lagteknisk ändring.
Genom ändringarna genomförs artikel 40.1 a och 40.1 b i direktivet samt nya artikel 32a.3. Led a i punkt 1 i artikeln förutsätter att även sådana identifieringsuppgifter som erhållits via elektronisk identifiering ska klassificeras som kundkontrolluppgifter. Led b i punkten förutsätter att den i direktivet fastställda bevaringstiden för kundkontrolluppgifter gäller även sådana kundkontrolluppgifter som erhållits med hjälp av ett bank- och betalkontosystem. Ändringarna i direktivet förutsätter ingen ändring av 1 mom., där den fastställda bevaringstiden motsvarar förutsättningarna enligt direktivet.
Till paragrafen fogas ett nytt 6 mom. I lagens 6 kap. 1 § föreskrivs om kapitlets tillämpningsområde. Enligt 1 mom. föreskrivs det i detta kapitel om skyldigheten att förvalta uppgifter om verkliga förmånstagare i sådana sammanslutningar som avses i 3 § 1 mom. 1 och 4—6 punkten i handelsregisterlagen (129/1979), sådana föreningar som är införda i föreningsregistret, sådana religionssamfund som är införda i registret över religionssamfund och sådana stiftelser som är införda i stiftelseregistret. I samband med tillämpningen av lagen har det uppdagats att hela styrelsen inte alltid har införts i de ovan nämnda registren, utan t.ex. i fråga om föreningar endast styrelseordföranden. Enligt 2 mom. 4 punkten ska av kundkontrolluppgifterna bevaras fullständiga namn samt födelsetider och medborgarskap för ledamöterna i juridiska personers styrelser eller i motsvarande beslutande organ. Detta har i praktiken lett till att de rapporteringsskyldiga inte alltid har kunnat förlita sig enbart på de uppgifter som förts in i registret, utan kundsammanslutningarna har förutsatts lämna mer omfattande uppgifter än vad som funnits i registret.
I momentet tillåts att den rapporteringsskyldiga inte alltid behöver begära fullständiga namn, födelsetider och uppgifter om medborgarskap av samtliga ledamöter i juridiska personers styrelse eller motsvarande beslutande organ, utan den rapporteringsskyldiga kan förlita sig på de uppgifter som förts in i registret. Detta undantag kan dock tillämpas endast om det är motiverat med beaktande av den rapporteringsskyldigas riskbedömning.
4 §.Inhämtande av uppgifter om kunder samt fortlöpande uppföljning och utredningsskyldighet. Paragrafens 1 mom. ändras så att den rapporteringsskyldigas skyldighet att inhämta uppgifter gäller förutom kunden även dennes verkliga förmånstagare.
7 §.Fullgörande av skyldigheter i fråga om kundkontroll för den rapporteringsskyldigas räkning. Förteckningshänvisningen i 4 mom. korrigeras så att den motsvarar ändringen av artikel 27.2 i direktivet, varvid den även omfattar identifiering på distans.
9 §.Undantag från kundkontroll i samband med elektroniska pengar. I 1 mom. 1 och 2 punkten sänks maximigränsen i euro från 250 och 500 euro i den gällande lagen till 150 euro i överensstämmelse med ändringen i artikel 12.1 i direktivet och slopandet av punkt 2 i den nämnda artikeln.
Möjligheten till inlösning i kontanter via ett elektroniskt medium sänks från gällande 100 euro till 50 euro i 1 mom. 6 punkten. Om det är fråga om en betalningstransaktion på distans är det möjligt att avvika från kundkontrollsskyldigheten, om den betalda summan är högst 50 euro i samband med transaktionen. I artikel 4.6 i det andra betaltjänstdirektivet definieras en betalningstransaktion på distans som en betalningstransaktion som initieras via internet eller genom en anordning som kan användas för distanskommunikation. Ändringen motsvarar ändringen av artikel 12.2 i direktivet.
Till paragrafen fogas ett nytt 2 mom. Ett kreditinstitut eller finansiellt institut kan godkänna en betalning som görs med hjälp av ett anonymt elektroniskt medium från en stat utanför Europeiska ekonomiska samarbetsområdet, om de villkor som anges i 1 mom. tillämpas på det elektroniska mediet. Momentet motsvarar den nya punkt 3 i artikel 12.
13 §.Skärpta åtgärder för kundkontroll i fråga om personer i politiskt utsatt ställning. Till 1 mom. och det inledande stycket till 3 mom. fogas en hänvisning förutom till kunden även till den verkliga förmånstagaren. Ändringen motsvarar artikel 20 i det fjärde penningtvättsdirektivet.
13 a §.Skärpta åtgärder för kundkontroll i fråga om högriskstater utanför Europeiska ekonomiska samarbetsområdet. Paragrafen är ny och genom den genomförs artikel 18 a i direktivet. I 1 mom. föreskrivs om skärpta förfaranden för kundkontroll som fastställs för rapporteringsskyldiga när en affärstransaktion involverar tredjeländer som kommissionen har specificerat som högriskstater. De villkor som anges i momentet motsvarar artikel 18a.1 i direktivet.
I 2 mom. specificeras vilka andra åtgärder de rapporteringsskyldiga ska vidta i syfte att minska riskerna. Åtgärderna kan vidtas samtidigt och de motsvarar artikel 18a.2 i direktivet.
Bestämmelser om tillsynsmyndigheternas befogenheter att ställa ytterligare villkor utöver de åtgärder som föreslås i 1 och 2 mom. finns i 3 mom. Myndigheterna kan ställa ett eller flera villkor. Villkoren motsvarar artikel 18a.3 i direktivet.
Genom 4 mom. genomförs artikel 18a.4 i direktivet. Tillsynsmyndigheterna ska från fall till fall beakta sådana bedömningar eller rapporter om risker som är förknippade med enskilda tredjeländer och som gjorts dels av internationella organisationer inom bekämpningen av penningtvätt och finansiering av terrorism, såsom Financial Action Task Force och Moneyval, dels av de aktörer som godkänner normer. Som exempel kan nämnas de rapporter som utarbetats av Världsbanken och Internationella valutafonden.
14 §.Central kontaktpunkt. Paragrafens rubrik ändras så att den bättre motsvarar den formulering som används i paragrafen.
Ordalydelsen i 1 mom. preciseras så att en central kontaktpunkt ska utses om de villkor som anges i artikel 3.1 i kommissionens delegerade förordning (EU) 2018/1108 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/849 med tekniska standarder för tillsyn avseende kriterierna för utseende av centrala kontaktpunkter för utgivare av elektroniska pengar och betaltjänstleverantörer och med regler för deras funktioner, nedan kommissionens delegerade förordning, uppfylls. Enligt denna punkt kan värdmedlemsstaterna kräva att utgivare av elektroniska pengar och betaltjänstleverantörer, som är etablerade på deras territorier i annan form än filialer och vars huvudkontor är beläget i en annan medlemsstat, utser en central kontaktpunkt, om någon av de följande kriterierna uppfylls:
a) Antalet sådana företag är 10 eller fler.
b) Det kumulativa beloppet av distribuerade eller inlösta elektroniska pengar, eller det kumulativa värdet av de betalningstransaktioner som utförs av företagen förväntas överstiga 3 miljoner euro per räkenskapsår, eller har överstigit 3 miljoner euro under det föregående räkenskapsåret.
c) Den information som behövs för att bedöma om kriteriet i led a eller b är uppfyllt eller ej, görs inte tillgänglig för värdmedlemsstatens behöriga myndighet på begäran och i god tid.
I momentet föreskrivs dessutom att Finansinspektionen kan förutsätta att en central kontaktpunkt ska utses i de situationer som avses i artiklarna 3.2 och 3.4 i kommissionens delegerade förordning.
I paragrafen intas ett nytt 2 mom., där det på det sätt som avses i artikel 6 i kommissionens delegerade förordning preciseras vilka befogenheter Finansinspektionen och centralen för utredning av penningtvätt har. Kommissionens delegerade förordning har antagits med stöd av artikel 45.10 i det fjärde penningtvättsdirektivet.
I momentet föreskrivs om de krav som Finansinspektionen och centralen för utredning av penningtvätt kan ställa på en central kontaktpunkt. Den centrala kontaktpunkten kan för betalningsinstitutet eller institutet för elektroniska pengar rapportera om tvivelaktiga transaktioner och deras verksamhet till centralen för utredning av penningtvätt. Vidare kan den centrala kontaktpunkten gå igenom betalningsuppdrag i syfte att upptäcka tvivelaktiga transaktioner, om detta är motiverat med hänsyn till storleken på betalningsinstitutet eller institutet för elektroniska pengar och transaktionernas art. Enligt artikel 6.2 i förordningen kan värdstater kräva att centrala kontaktpunkter ska vidta en eller flera av de åtgärder som avses i 2 mom., om det är motiverat med tanke på de helhetsrisker för penningtvätt och finansiering av terrorism som de rapporteringsskyldigas verksamhet är förknippad med. Bestämmelser om centrala kontaktpunkter finns förutom i penningtvättslagen även i 4 a § i lagen om utländska betalningsinstituts verksamhet i Finland (298/2010).
När en central kontaktpunkt utses ska det dessutom iakttas vad som i artiklarna 4 och 5 i kommissionens delegerade förordning föreskrivs om den centrala kontaktpunktens uppgifter. Finansinspektionen ges befogenhet att i enlighet med kommissionens delegerade förordning kräva att en central kontaktpunkt ska sköta ytterligare uppgifter enligt artikel 6. Bestämmelser om detta finns i ett nytt 3 mom.
5 kap. Registret för övervakning av penningtvätt
1 §.Tillämpningsområde. Kapitlets tillämpningsområde utvidgas till att omfatta också de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 25 och 26 punkten.
6 kap. Uppgifter om verkliga förmånstagare
1 §. Tillämpningsområde. Till den finska paragrafen fogas en rubrik. Till 1 mom. tilläggs en skyldighet för verkliga förmånstagare att lämna en sammanslutning de uppgifter som behövs för att säkerställa att uppgifterna i registret är korrekta och uppdaterade. Genom ändringen genomförs ett nytt led i artikel 30.1 i direktivet. Inga ändringar föreslås i 2 mom.
3 §.Skyldighet för förvaltare av utländska truster att ha kännedom om verkliga förmånstagare. Till 1 mom. fogas en skyldighet för förvaltare av utländska truster att till handelsregistret lämna in uppgifter om trustens verkliga förmånstagare. Förvaltaren ska lämna uppgifterna på eget initiativ även till den rapporteringsskyldiga, när denna vidtar åtgärder enligt 3 kap. för att ha kännedom om kunden.
Om uppgifterna redan har registrerats i en annan EES-stat behöver de enligt 2 mom. inte registreras på nytt i Finland. Ett registreringsutdrag eller något annat verifikat över registreringen ska företes.
Uppgifterna ska föras in i handelsregistret i enlighet med 3 mom. om en utländsk klassisk trust eller liknande juridisk konstruktion enligt artikel 3.7 d i penningtvättsdirektivet har grundats eller är belägen utanför Europeiska ekonomiska samarbetsområdet och förvaltaren inleder transaktioner eller köper fastigheter i den utländska trustens namn.
Genom ändringarna genomförs artikel 31.3 a i direktivet.
5 §.Den rapporteringsskyldigas, tillsynsmyndighetens och advokatföreningens rapporteringsskyldighet. I 1 mom. föreskrivs om den rapporteringsskyldigas, tillsynsmyndighetens och advokatföreningen rapporteringsskyldighet, om dessa upptäcker brister eller inkonsekvenser i de uppgifter som registrerats om den verkliga förmånstagaren i fråga om en sådan sammanslutning eller utländsk klassisk trust eller liknande juridisk konstruktion som avses i detta kapitel. Den rapporteringsskyldiga, tillsynsmyndigheten och advokatföreningen rapporteringsskyldighet ska göra en anmälan till registerföraren utan obefogat dröjsmål. Utländska tillsynsmyndigheter kan begära uppgifter om verkliga förmånstagare direkt av den som för registret, och de nationella tillsynsmyndigheterna behöver inte agera mellanhand vid utlämnandet av uppgifterna. Anmälan behöver inte göras t.ex. i det fall att en ändring har skett inom en kort tid och om en sammanslutning, en utländsk klassisk trust eller en liknande juridisk konstruktion uppger sig ha gjort en ändringsanmälan till registret.
Om registerföraren får en sådan anmälan som avses i 1 mom. och upptäcker att anteckningen i registret är felaktig ska anteckningen enligt 2 mom. korrigeras utan obefogat dröjsmål. Genom paragrafen genomförs artikel 30.4 och artikel 31.5 i direktivet.
6 §.Lämnande av uppgifter till en tillsynsmyndighet eller någon annan tillsynsansvarig aktör i en annan EES-stat. I paragrafen föreskrivs om skyldigheten för den personuppgiftsansvarige för de register som avses i 1 § 1 mom. i detta kapitel, dvs. Patent- och registerstyrelsen, som administrerar handelsregistret, föreningsregistret och stiftelseregistret, samt för tillsynsmyndigheterna och advokatföreningen att utan obefogat dröjsmål och avgiftsfritt lämna registeruppgifter om de verkliga förmånstagarna i en sammanslutning och en utländsk klassisk trust eller liknande juridisk konstruktion till en tillsynsmyndighet eller någon annan motsvarande aktör som ansvarar för bekämpningen av penningtvätt och av finansiering av terrorism i en annan EES-stat. En sådan annan aktör kan vara t.ex. ett självregleringsorgan, som i medlemsstatens lagstiftning har ålagts uppgiften att övervaka bekämpningen av penningtvätt och av finansiering av terrorism. Utländska tillsynsmyndigheter kan begära uppgifter om verkliga förmånstagare direkt av den som för registret, och de nationella tillsynsmyndigheterna behöver inte agera mellanhand vid utlämnandet av uppgifterna. Genom paragrafen genomförs artikel 30.7 och artikel 31.7 i direktivet.
7 kap. Förvaltningen
1 §.Tillsynsmyndigheterna och anmälan till centralen för utredning av penningtvätt. Paragrafens 1 mom. ändras så att de rapporteringsskyldiga som hör under Finansinspektionens tillsyn ska omfatta även sådana tillhandahållare av virtuella valutor som avses i 1 kap. 2 § 1 mom. 8 a punkten. Dessutom ska regionförvaltningsverket utöva tillsyn över de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 25 och 26 punkten.
Paragrafen innehåller ett nytt 5 mom. En rapporteringsskyldig kan som huvudsaklig affärsverksamhet utöva verksamhet som övervakas av flera tillsynsmyndigheter. Till exempel ett revisionssamfund kan vid sidan av revisionstjänster erbjuda skatterådgivning och juridiska tjänster. I vissa fall, såsom i fråga om revisionssamfund, kan en verksamhet specificeras som den mest betydande av alla huvudsakliga affärsverksamheter med tanke på företagets verksamhet. I sådana fall är tillsynsmyndigheten enligt denna lag i fråga om den rapporteringsskyldiga som helhet den myndighet som på basis av den huvudsakliga affärsverksamheten övervakar den rapporteringsskyldigas verksamhet. Tillsynsmyndigheten för ett revisionssamfunds totala verksamhet är t.ex. således Patent- och registerstyrelsen, även om revisionssamfundet också bedriver verksamhet som övervakas av regionförvaltningsverket.
I vissa fall är det inte möjligt att bland flera huvudsakliga affärsverksamheter identifiera en enda verksamhet på basis av vilken en behörig myndighet enligt denna lag skulle kunna fastställas. I dessa situationer kan de behöriga myndigheterna med stöd av 5 mom. komma överens om att tillsynsuppgiften enligt denna lag i sin helhet överförs på en av dessa behöriga myndigheter. Syftet med momentet är att trygga en så ändamålsenlig fördelning av myndigheternas resurser som möjligt och att förhindra att rapporteringsskyldiga orsakas en administrativ börda genom att de måste rapportera till flera olika myndigheter.
1 a §.Advokatföreningens årsredovisning. Advokatföreningen ansvarar i enlighet med 7 kap. i denna lag för övervakningen av de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 12 punkten. Advokatföreningen är inte en sådan behörig tillsynsmyndighet som avses i lagen utan ett självregleringsorgan med en i lagen fastställd tillsynsuppgift. Enligt artikel 34 i direktivet ska medlemsstaterna förutsätta att de självregleringsorgan som de utnämnt publicerar en årsredovisning som innehåller de uppgifter som räknas upp närmare i artikeln. Den nya 1 a § motsvarar de förutsättningar som anges i artikel 34.
8 kap. Administrativa påföljder
1 §.Ordningsavgift. I 1 mom. intas en ny 9 a punkt, enligt vilken brott mot skyldigheten att vidta sådana skärpta åtgärder för kundkontroll som avses i 3 kap. 13 a § utgör en gärning för vilken ordningsavgift kan påföras. I 6 punkten föreskrivs om motsvarande påföljd för brott mot den skyldighet som avses i 3 kap. 10 §.
3 §.Påföljdsavgift. I 1 mom. intas en ny 9 a punkt, enligt vilken allvarliga överträdelser av 3 kap. 13 a § som begås upprepade gånger eller systematiskt, uppsåtligen eller av oaktsamhet, utgör en gärning för vilken påföljdsavgift kan påföras.
9 kap. Särskilda bestämmelser
3 §.Tillsynsmyndigheternas och advokatföreningens nationella och internationella samarbete samt informationsutbyte. Paragrafens rubrik preciseras. Det föreslås att nya 3—8 mom. tas in i paragrafen. I 3 mom. fastställs att tillsynsmyndigheterna och advokatföreningen ska samarbeta med tillsynsmyndigheter i EES-stater och stater utanför Europeiska ekonomiska samarbetsområdet vid utförandet av sådana uppgifter som avses i denna lag. De ska även samarbeta med andra aktörer som sköter tillsynsuppgifter i syfte att förhindra penningtvätt och finansiering av terrorism, såsom andra i direktivet avsedda självregleringsorgan som utnämns av medlemsstaterna.
I 4 mom. föreskrivs om de villkor som ska uppfyllas för att tillsynsmyndigheterna och advokatföreningen ska kunna vägra samarbeta med tillsynsmyndigheter i EES-stater och andra aktörer som sköter tillsynsuppgifter i syfte att förhindra penningtvätt och finansiering av terrorism. Grunderna för vägran att samarbeta med aktörer i stater utanför Europeiska ekonomiska samarbetsområdet är således mer omfattande än vad som föreslås i detta mom. Villkoret i 1 punkten är ett nationellt villkor. Enligt denna punkt är det möjligt att vägra inleda samarbetet om ett samarbete skulle äventyra Finlands självbestämmanderätt, säkerhet eller allmänna ordning.
I 2—5 punkten anges ett undantag, nämligen en situation där begäran om samarbete gäller en part i en rättegång om det ärende som begäran avser och rättegången eller det administrativa förfarandet redan har inletts i Finland. En annan grund på vilken man kan vägra att inleda samarbete är om det i Finland har getts ett lagakraftvunnet beslut som gäller den person och den gärning som samarbetsbegäran avser. Samarbete behöver inte heller inledas i sådana situationer där det sannolikt får negativa konsekvenser för tillsynsmyndighetens egen utredning eller tillsyn över verkställigheten om man tillmötesgår begäran. Punkterna motsvarar delvis de i artikel 50 a led b och c angivna grunderna på vilka det är möjligt att vägra inleda samarbete.
I led a i artikeln föreskrivs att det inte är möjligt att vägra inleda samarbete på den grund att begäran även bedöms omfatta skattefrågor. De behöriga myndigheter som avses i denna lag och advokatföreningen kan till behövliga delar överföra sådana begäranden om samarbete som gäller beskattning till Skatteförvaltningen i enlighet med förvaltningslagen. I led d i artikeln begränsas rätten att vägra inleda samarbete så att den sökande myndigheten hos motparten skiljer till sin karaktär eller ställning från den anmodade behöriga myndigheten. Myndighetens karaktär eller ställning påverkar i regel inte informationsutbyte eller bistånd. Internationella bestämmelser och bilaterala avtal kan dock medföra begränsningar för vidareöverlåtelse av information utan inhämtat samtycke från den myndighet som lämnat ut informationen.
I 5 mom. föreskrivs om ett nationellt villkor, med stöd av vilket tillsynsmyndigheterna och advokatföreningen kan vägra samarbeta med tillsynsmyndigheter i EES-stater och andra aktörer som sköter tillsynsuppgifter i syfte att förhindra penningtvätt och finansiering av terrorism, när det är fråga om information som omfattas av advokatsekretess.
I enlighet med 5 mom. ska den behöriga myndigheten och advokatföreningen underrätta den myndighet som framställt begäran om vägran att inleda samarbete och grunderna för vägran. Advokatföreningen kan vägra att lämna ut information exempelvis när det är fråga om information som omfattas av advokatsekretess.
Till paragrafen fogas ett nytt 6 mom. I artikel 57a i förslaget till ändring av penningtvättsdirektivet föreskrivs om behöriga myndigheters tystnadsplikt i fråga om uppgifter som erhållits med stöd av direktivet och om utlämnande av uppgifter till andra myndigheter som omfattas av tystnadsplikt. De krav som anges i punkterna 1 och 2 i artikeln motsvarar redan de krav på sekretess och utlämnande av sekretessbelagda uppgifter som ingår i förvaltningslagen, lagen om Finansinspektionen och offentlighetslagen.
Genom momentet genomförs artikel 57a.3, där det anges när de myndigheter som utövar tillsyn över kreditinstitut, finansiella institut och företag som tillhandahåller finansiella tjänster kan använda konfidentiella uppgifter. Begreppen kreditinstitut, finansiella institut och företag som tillhandahåller finansiella tjänster definieras i 1 kap. 4 § i penningtvättslagen. Definitionerna motsvarar sammantaget de definitioner på kreditinstitut och finansiella institut som avses i artiklarna 3.1 och 3.2 i det fjärde penningtvättsdirektivet.
Finansinspektionen och regionförvaltningsverket kan utnyttja sekretessbelagd information som rör ett kreditinstitut, finansiellt institut eller företag som tillhandahåller finansiella tjänster och som med stöd av denna lag erhållits av en tillsynsmyndighet eller av advokatföreningen samt via sådant internationellt samarbete som avses i 3 mom. av utländska tillsynsmyndigheter och andra aktörer som utövar tillsyn i syfte att förhindra penningtvätt och finansiering av terrorism endast vid tillsynen över sammanslutningen, i en rättegång eller i ett administrativt förfarande där ändring eller rättelse söks i ett beslut som fattats av Finansinspektionen eller regionförvaltningsverket, och i en rättegång som inletts med stöd av lagstiftningen om kreditinstitut och finansiella institut samt företag som tillhandahåller finansiella tjänster. Tillsynsuppgiften ska anknyta antingen till en ändring av penningtvättsdirektivet eller till bekämpningen av penningtvätt och av finansiering av terrorism, solvenstillsyn och uppgifter enligt författningarna om tillsyn över kreditinstitut och finansiella institut samt företag som tillhandahåller finansiella tjänster. Med rättegång hänvisas till en rättegång som inletts med stöd av en ändring av penningtvättsdirektivet, solvenstillsyn och EU-specialbestämmelser om tillsynen över kreditinstitut och finansiella institut.
Tillsynsmyndigheten och advokatföreningen har med stöd av 7 mom. rätt att lämna ut uppgifter till sådana tillsynsmyndigheter och andra aktörer i utländska stater som sköter tillsynsuppgifter i syfte att bekämpa penningtvätt och finansiering av terrorism endast, om dessa omfattas av motsvarande tystnadsplikt som tillsynsmyndigheten och advokatföreningen när det gäller uppgifterna i fråga.
I 8 mom. begränsas vidareförmedlingen av uppgifter som erhållits från en annan stat. Tillsynsmyndigheten eller advokatföreningen får inte lämna ut sekretessbelagda uppgifter som myndigheten eller advokatföreningen fått av en tillsynsmyndighet eller någon annan aktör som sköter tillsynsuppgifter i syfte att förhindra penningtvätt och finansiering av terrorism i en annan stat eller i samband med en inspektion som utförts i en annan stat, om inte den tillsynsmyndighet eller aktör som gett uppgifterna eller den stat i vilken inspektionen har utförts, någon annan behörig tillsynsmyndighet eller någon annan aktör som sköter tillsynsuppgifter i syfte att förhindra penningtvätt och finansiering av terrorism har gett sitt uttryckliga samtycke till att uppgifterna lämnas ut. Uppgifterna får endast användas för skötsel av de uppgifter som avses i denna lag eller för de ändamål som samtycket getts för.
1.4
Lagen om Finansinspektionen
5 §.Andra finansmarknadsaktörer. I 33 punkten görs en lagteknisk ändring. Till paragrafen fogas en ny 34 punkt, enligt vilken sådana tillhandahållare av virtuella valutor som avses i det 2:a lagförslaget ska betraktas som andra finansmarknadsaktörer. Även andra personer som är skyldiga att registrera sig i det register som förs av Finansinspektionen har klassificerats som andra finansmarknadsaktörer. Exempel på sådana personer är i lagen om förmedlare av konsumentkrediter som har samband med bostadsegendom (852/2016) avsedda finländska kreditförmedlare och filialer som utländska kreditförmedlare har i Finland samt en sådan betaltjänstleverantör som avses i 7 § i lagen om betalningsinstitut, en sådan utgivare av elektroniska pengar som avses i 7 a § och en sådan leverantör av kontoinformationstjänster som avses i 7 b §.
45 §.Tillämpningsområdet för bestämmelserna om tillsyn över kundskyddet. Till 1 mom. fogas en hänvisning till tillhandahållare av virtuella valutor, varvid lagens 47 § om Finansinspektionens skyldighet att begära ett utlåtande av konsumentombudsmannen ska tillämpas.
71 §.Rätt och skyldighet att lämna ut information. Det föreslås att 1 mom. 15 punkten ändras så att det i punkten hänvisas förutom till de nationella behöriga myndigheterna och advokatföreningen även till motsvarande myndighet eller organ i en stat inom Europeiska ekonomiska samarbetsområdet. Vidare ska det med stöd av denna punkt vara möjligt att lämna ut i momentet avsedd information till centralen för utredning av penningtvätt för att denna ska kunna sköta sina uppgifter. Ändringarna anknyter till ändringen i artikel 56.1 i CRD IV-direktivet, som fastställdes i samband med penningtvättsdirektivet, och till ändringen i artikel 68.1 b i Solvens II-direktivet.
1.5
Lagen om Finansinspektionens tillsynsavgift
1 §.Avgiftsskyldiga. I 23 punkten görs en lagteknisk ändring. Till paragrafen fogas en ny 24 punkt, enligt vilken sådana tillhandahållare av virtuella valutor som avses i det 2:a lagförslaget är skyldiga att betala tillsynsavgift till Finansinspektionen.
6 §.Grundavgift för övriga avgiftsskyldiga. Till tabellen i 1 mom. fogas en ny grundavgiftsklass för tillhandahållare av virtuella valutor. Avgiften är 2 140 euro och motsvarar den avgift som tas ut av andra registreringspliktiga juridiska personer, t.ex. ett sådant betalningsinstitut som avses i 5 § i lagen om betalningsinstitut.
1.6
Lagen om centralen för utredning av penningtvätt
3 §.Registret för förhindrande, avslöjande och utredning av penningtvätt och av finansiering av terrorism. Det föreslås att 3 mom. 1 punkten kompletteras så att en hänvisning till anmälarens arbetsgivare fogas till punkten. I fråga om arbetsgivaren får behövliga identifieringsuppgifter lagras. Vidare ska 15 punkten kompletteras så att den beaktar förutom bankkontouppgifter även betalkontouppgifter och uppgifter om bankfack samt eventuella uppgifter om kundförhållanden och kundkonton hos andra företag än betalnings- och kreditinstitut.
Med kundförhållande avses en större helhet än en enskild tjänst som kan innefatta många olika konton eller andra tjänster, såsom bankfack. Det är nödvändigt att centralen för utredning av penningtvätt utreder tjänsterna i fråga om en person som kopplats till en tvivelaktig affärstransaktion i större utsträckning än bara uppgifterna om ett enskilt konto.
Det kan finnas olika typer av konton, t.ex. inlåningskonto, förvaringskonto, värdeandelskonto eller värdepapperskonto. Genom denna punkt beaktas också det till genomförandet av ändringarna i penningtvättsdirektivet anknutna behovet av att i penningtvättsregistret föra in uppgifter om användning av tjänster i anslutning till virtuella valutor. Vidare är ett kundförhållande förknippat med olika kontoanvändningsmöjligheter, dvs. en person kan vara antingen kontoinnehavare eller innehavare av användningsrätt till kontot. I dess vidaste bemärkelse innebär begreppet kundförhållande att en användare av kontot kan ha separat befogenhet att göra kontoöverföringar i fråga om vissa enskilda transaktioner.
Vidare ska paragrafens 3 mom. förtydligas så att uppgifterna om den som lämnar rapporten och det rapporterade objektet kan urskiljas tydligare.
Enligt förslaget ska det till paragrafen fogas en ny 17 punkt, som gör det möjligt att införa fotografier i penningtvättsregistret. Det fotografi som införs i registret kan vara t.ex. en ansiktsbild, en övervakningsbild från en bankautomat eller någon annan bild från en övervakningskamera som tagits i samband med en tvivelaktig affärstransaktion. I enlighet med definitionen av biometriska uppgifter och artikel 10, som gäller särskilda kategorier av personuppgifter, i dataskyddsdirektivet klassificeras en persons ansiktsbild som en känslig personuppgift. Enligt artikel 10 i direktivet ska behandling av personuppgifter tillåtas endast utifrån de kriterier som anges i direktivet när det är fråga om sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Behandlingen ska vara absolut nödvändig, och därtill förutsätts att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. En ytterligare förutsättning är att behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, att behandlingen görs för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller att behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. I artikel 29.1 förutsätts dessutom att den personuppgiftsansvarige och personuppgiftsbiträdet, med beaktande av den senaste utvecklingen och genomförandekostnader och med hänsyn till behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller de särskilda kategorier av personuppgifter som avses i artikel 10.
Behandlingen av fotografier i penningtvättsregistret förutsätter en uttrycklig bestämmelse i lag för att kraven i direktivet ska uppfyllas. Ett fotografi får införas i penningtvättsregistret och överlåtas till en annan myndighet endast om det är nödvändigt med tanke på en anmälan om tvivelaktiga affärstransaktioner eller behandlingen av något annat ärende. Det är nödvändigt att införa fotografier i penningtvättsregistret och lämna ut fotografier ur registret t.ex. i sådana fall där fotografierna innehåller signalement om rapporteringsobjektet. Behandling av ett fotografi förutsätter dessutom att särskilda lämpliga skyddsåtgärder för den registrerade vidtas. Som sådana skyddsåtgärder kan betraktas särskilt bestämmelserna om förvaring av personuppgifter och bestämmelserna om den registrerades rätt till insyn och det därtill relaterade rättsskyddet, som finns i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Den registrerades rätt till insyn har inskränkts i fråga om penningtvättsregistret. Vidare ska centralen för utredning av penningtvätt fästa särskild vikt vid att informationssäkerhetsnivån är tillräcklig med tanke på de risker med avseende på känsliga personuppgifter som behandlingen av fotografier i samband med registerföringen är förknippad med. Bestämmelser om de allmänna kraven på informationssäkerhet finns dessutom i 31 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.
Enligt det gällande 6 mom. har de registrerade inte rätt till annan insyn i registret än till uppgifter i anslutning till de frysningsbeslut som avses i 2 § 1 mom. 7 punkten. Dataombudsmannen kan enligt bestämmelsen på begäran av en registrerad kontrollera att behandlingen av uppgifterna om den registrerade är lagenlig. Till 6 mom. fogas en informativ hänvisning till en allmän författning som ska tillämpas på användningen av den registrerades rättigheter, med tanke på att syftet med det register som centralen för utredning av penningtvätt förvaltar är att förhindra, avslöja och utreda finansiering av penningtvätt och terrorism.
I fråga om s.k. indirekt rätt till insyn hänvisas det i momentet till 29 § i den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten, som är under beredning i riksdagen och som gäller utövandet av rättigheter via dataombudsmannen.
Till 8 mom. fogas en informativ hänvisning till dataombudsmannens rätt att få uppgifter, som kompletterar specialbestämmelsen i momentet. Preciseringar behövs för att förtydliga vilkendera av de två allmänt tillämpliga lagarna om behandling av personuppgifter som ska tillämpas på användningen av den registrerades rättigheter och dataombudsmannens befogenheter.
I 9 mom. görs en lagteknisk ändring där det i stället för den gällande personuppgiftslagen hänvisas till dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten.
5 §.Utbyte av information. Det föreslås att 3 mom. ska justeras så att det i fråga om uppgifter som ska överlåtas hänvisas till den paragraf som gäller penningtvättsregistret. På så sätt tryggas det i artiklarna 52—55 i penningtvättsdirektivet angivna syftet att säkerställa att centralen för utredning av penningtvätt kan utbyta information med utländska centraler för utredning av penningtvätt i så omfattande utsträckning som möjligt. I 7 kap. i den föreslagna lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten föreskrivs om överföring av personuppgifter till tredjeländer och internationella organisationer. Den ovannämnda föreslagna regleringen kompletterar men ersätter inte 5 § i lagen om centralen för utredning av penningtvätt, som gäller informationsutbyte med en central för utredning av penningtvätt eller någon annan behörig myndighet i en främmande stat.
3
Förhållande till grundlagen samt lagstiftningsordning
Enligt 10 § i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Grundlagsutskottet har bedömt banksekretessen i förhållande till skyddet för privatlivet. Utskottet har ansett att uppgifter som omfattas av banksekretessen inte hör till kärnan i det som avses med privatlivet Utskottet har fäst vikt vid förutsättningarna för skyldigheten att lämna ut uppgifter, ärendets eller uppgifternas relevans och de uppgifter som lämnas till kunden på förhand (se t.ex. GrUU 14/2002 rd, s. 4, GrUU 7/2000 rd, s. 4).
Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottet har enligt vedertagen praxis ansett att det är viktigt med tanke på skyddet för personuppgifter att reglera åtminstone registreringens syfte, innehållet i de registrerade personuppgifterna och tillåtna användningsändamål, vilket inbegriper uppgifternas överlåtbarhet och bevaringstiden för uppgifterna i personregistren, samt den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå ska dessutom vara omfattande och detaljerad (se t.ex. GrUU 31/2017 rd, s. 2, GrUU 25/2010 rd, s. 2, GrUU 27/2006 rd, s. 2 och GrUU 14/2002 rd, s. 2). Kravet på reglering genom lag gäller också möjligheten att lämna ut personuppgifter med hjälp av en teknisk anslutning (GrUU 12/2002 rd, s. 5). Grundlagsbestämmelsen om privatlivet och skyddet för personuppgifter bygger på antagandet att juridiska personer inte hör till bestämmelsens räckvidd (GrUU 4/2014 rd, s. 2).
Kravet på reglering genom lag gäller också möjligheten att lämna ut personuppgifter med hjälp av en teknisk anslutning (GrUU 12/2002 rd, s. 5). Grundlagsutskottet har ansett att det är nödvändigt att på förhand kräva att den som begär uppgifter ska lägga fram en utredning om att uppgifterna kommer att skyddas på behörigt sätt innan en teknisk anslutning öppnas. Grundlagsutskottet har ansett att det är nödvändigt att ställa detta krav bl.a. för att den registeransvarige kan handla i enlighet med sina skyldigheter enligt 32 § i personuppgiftslagen. Grundlagsutskottet har emellertid konstaterat att en påfallande del av de frågor som anknyter till erhållande och utlämnande av uppgifter, inklusive i sista hand tolkningen av de bakomliggande bestämmelserna, i betydande grad kan bli beroende av praxis mellan parterna. Det är till exempel fråga om på vilket sätt omständigheter som enligt lagen faller utanför rätten att erhålla uppgifter de facto hemlighålls vid den tekniska anslutningen samt hur det i lagen eventuellt föreskrivna nödvändighetskriteriet eller andra kriterier i enskilda fall konstateras. Ansvarsfrågorna kan också vara problematiska (GrUU 14/2002 rd).
Grundlagsutskottet har också ansett det vara centralt för skyddet av privatlivet att användning av sekretessbelagda personuppgifter och röjande av uppgifter i strid med registrets syfte är straffbara gärningar enligt strafflagen, offentlighetslagen och personuppgiftslagen (GrUU 4/2014 rd, s. 4, GrUU 39/2009 rd, s. 3).
Grundlagsutskottet har också fäst vikt vid att EU:s allmänna dataskyddsförordning lägger fast reglerna för skydd av fysiska personer vid behandling av personuppgifter och reglerna för fri rörlighet för personuppgifter (se GrUU 49/2017 rd s. 2—3, GrUU 31/2017 rd, s. 3, GrUU 42/2016 rd, s. 7—8). Utskottet anser också att det är av relevans att artikel 8 i EU:s stadga om de grundläggande rättigheterna tillförsäkrar var och en rätt till skydd för personuppgifter (GrUU 31/2017 rd, s. 3). Utskottet har också ramhållit att man vid tillämpningen av EU-lagstiftningen om behandling av personuppgifter måste ta hänsyn till respekten för privatlivet enligt artikel 7 och skyddet för personuppgifter enligt artikel 8 i stadgan om de grundläggande rättigheterna och att EU-domstolens domar på dessa punkter är utslagsgivande för det viktigaste innehållet i respekten för privatlivet och skyddet för personuppgifter (se t.ex. GrUU 21/2017 rd, s. 3).
Grundlagsutskottet har ansett att det inte ingår i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 49/2017 rd, s. 3, GrUU 31/2017 rd, s. 4). Enligt utskottet är det ändå viktigt att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd).
Enligt grundlagsutskottets vedertagna praxis begränsas lagstiftarens spelrum vid regleringen av behandling av personuppgifter i synnerhet av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet. Denna rättighet ska tryggas på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna som helhet. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att t.ex. inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 49/2017 rd, s. 3, GrUU 29/2016 rd, s. 4—5 och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd samt GrUU 14/2009 rd).
I EU:s allmänna dataskyddsförordning ges medlemsstaterna i vissa frågor nationellt handlingsutrymme i likhet med direktiv. Medlemsstaterna ska förena skyddet av personuppgifter enligt EU:s allmänna dataskyddsförordning med vissa andra rättigheter och intressen, såsom yttrandefriheten och offentlighetsprincipen (se RP 9/2018 rd, s. 4—5). Grundlagsutskottet har framhållit att det finns anledning att i regeringspropositionen särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/ 2016 rd, s. 4).
Grundlagsutskottet anser i sitt utlåtande GrUU 14/2018 rd att tyngdpunkten i en konstitutionell bedömning ska ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter. Dessutom finns det konstitutionella frågor relaterade till garantierna för rättssäkerhet och god förvaltning, som kräver nationell lagstiftning.
Grundlagsutskottet har poängterat att skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen som t.ex. allmän säkerhet, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd, s. 2). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Grundlagsutskottet har ansett att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter. Analysen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna (se t.ex. GrUU 14/2018 rd, s. 8, GrUU 54/2014 rd, s. 2, GrUU 10/2014 rd, s. 4).
Grundlagsutskottet hänvisar i sitt utlåtande till 28 § i det förslag till dataskyddslag som behandlas i GrUU 14/2018 rd (RP 9/2018 rd), där det föreskrivs om hänsyn till offentlighetsprincipen. Enligt förslaget ska på rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas vad som föreskrivs om offentlighet i myndigheternas verksamhet. Bestämmelsen motsvarar 8 § 4 mom. i den gällande personuppgiftslagen, som stiftats med grundlagsutskottets medverkan (GrUU 25/1998 rd). I förarbetena till personuppgiftslagen ansågs att den lag som bestämmelsen hänvisar till föreskriver om de avgränsningar av rätten att lämna ut personuppgifter som behövs med tanke på integritetsskyddet (RP 96/1998 rd, s. 41).
Enligt utskottet ska skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nationella allmänna lagstiftningen. Man bör således förhålla sig restriktivt när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 4—5).
Utskottet ser det dock som klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i EU:s allmänna dataskyddsförordning måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 15/2018 rd, s. 36—37 och GrUU 14/2018 rd, s. 5).
Enligt artikel 43.1 i penningtvättsdirektivet betraktas behandling av personuppgifter i enlighet med direktivet i syfte att bekämpa sådan i artikel 1 avsedd penningtvätt och finansiering av terrorism som en fråga enligt EU:s allmänna dataskyddsförordning som gäller allmänna intressen. I artikel 32a.1 fastställs att medlemsstaterna ska införa centraliserade automatiserade mekanismer, till exempel centrala register eller centrala elektroniska datasöksystem, som gör det möjligt att med nödvändig skyndsamhet fastställa identiteten hos fysiska eller juridiska personer som innehar eller kontrollerar betalkonton och bankkonton som identifieras med IBAN-nummer samt bankfack som innehas av ett kreditinstitut inom deras territorium.
I det 1:a lagförslaget i propositionen föreslås att det för genomförandet av artikel 32a i penningtvättsdirektivet ska föreskrivas om ett system för övervakning av bank- och betalkonton, som består av ett register över bank- och betalkonton och ett datasöksystem för bank- och betalkonton. Datasöksystemet gör det möjligt att överlåta personuppgifter och förmögenhetsuppgifter som omfattas av banksekretessen elektroniskt från kreditinstitut till de myndigheter som anges i lagen för att dessa ska kunna fullgöra sin lagstadgade uppgift. Uppgifterna lagras inte i systemet utan överlåts direkt från det kreditinstitut som agerar som personuppgiftsansvarig till myndigheten. Myndigheten ska ange en lagstiftningsgrund med stöd av vilken den har rätt att få uppgifterna. Kreditinstitutet ansvarar i egenskap av personuppgiftsansvarig för att de uppgifter som överlåts är korrekta.
Enligt det 1:a lagförslaget ska Tullen förvalta registret över bank- och betalkonton. Syftet med registret över bank- och betalkonton är att ta emot och lagra sådana uppgifter som lämnas av betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor. Uppgifterna motsvarar delvis de kunduppgifter som fås av kreditinstituten via datasöksystemet för bank- och betalkonton.
De uppgifter som införs i registret är inte sådana särskilda kategorier av personuppgifter som avses i EU:s allmänna dataskyddsförordning. På behandlingen av personbeteckningar tillämpas 29 § i förslaget till dataskyddslag, som är under behandling i riksdagen. Uppgifterna hänför sig till enskilda personers förmögenhet, och de är sådana uppgifter som ska hemlighållas med stöd av 24 § 1 mom. 23 punkten i offentlighetslagen. Tullen fattar i sin egenskap av personuppgiftsansvarig inte enskilda förvaltningsbeslut om personer. Den kan utnyttja registrerad information för utförandet av sina egna uppgifter enligt vad som föreskrivs separat i lag. Betalningsinstituten, instituten för elektroniska pengar och tillhandahållarna av virtuella valutor ansvarar för att de uppgifter som de lämnar och som ska föras in i registret över bank- och betalkonton är korrekta och att rättelser görs. I den allmänna motiveringen till förslaget bedöms det 1:a lagförslaget i förhållande till EU:s allmänna dataskyddsförordning.
I samband med gemensamma konton som förvaltas av advokater ska det uttryckligen antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. Informationen ska antecknas oberoende av om uppgifter om bank- och betalkonton utlämnas ur ett datasöksystem eller ur registret över bank- och betalkonton. Utlämnandet av uppgifter om gemensamma konton som förvaltas av advokater begränsas av tystnadsplikten och vittnesförbudet för advokater. Syftet med bestämmelserna är att trygga advokatsekretessen och integritetsskyddet.
3.2
Frihet att idka näring
Enligt 18 § 1 mom. i grundlagen har var och en rätt att i enlighet med lag skaffa sig sin försörjning genom näring som han eller hon valt fritt. Grundlagsutskottet har i sin praxis ansett att näringsfrihet ska råda, men att tillstånd i undantagsfall kan krävas för näringsverksamhet (se t.ex. GrUU 48/2017 rd, GrUU 46/2016 rd, s. 3 och GrUU 13/2014 rd, s. 2).
En reglering där det krävs tillstånd för näringsverksamhet måste enligt utskottets etablerade praxis ske genom lag, och lagen måste då uppfylla övriga allmänna krav på en lag som begränsar de grundläggande fri- och rättigheterna. Inskränkningar i näringsfriheten ska vara exakta och noga avgränsade, och deras omfattning och förutsättningar ska framgå av lagen. När det gäller innehållet har utskottet ansett det viktigt att bestämmelserna om tillståndsvillkor och tillståndets giltighet garanterar en tillräcklig förutsebarhet i myndigheternas verksamhet. Betydelsefullt i detta avseende är bland annat i vilken omfattning myndigheternas befogenheter bygger på bunden prövning och i vilken omfattning de bygger på ändamålsenlighetsprövning (se bl.a. GrUU 48/2017 rd, GrUU 46/2016 rd, GrUU 69/2014 rd, s. 2, GrUU 65/2014 rd, s. 2 och GrUU 22/2014 rd, s. 4—5).
När det handlar om regler för näringsverksamhet har utskottet i sin praxis ansett att återkallande av ett tillstånd är en myndighetsåtgärd som ingriper kraftfullare i individens rättsliga ställning än avslag på en ansökan om tillstånd. Därför har utskottet ansett att regleringens proportionalitet kräver att möjligheten att återkalla tillstånd binds vid allvarliga eller väsentliga förseelser eller försummelser och vid att eventuella anmärkningar och varningar till tillståndsinnehavaren inte har lett till korrigering av uppenbara brister i verksamheten (GrUU 46/2016 rd, GrUU 13/2014 rd, s. 3).
Enligt det 2:a lagförslaget är tillhandahållande av virtuella valutor registreringspliktig näringsverksamhet. Sådan registreringsplikt som avses i förslaget har i grundlagsutskottets utlåtandepraxis jämförts med tillståndspliktighet (GrUU 15/2008 rd, GrUU 45/2001 rd och GrUU 24/2000 rd).
Registreringsplikten för tillhandahållare av virtuella valutor grundar sig på det femte penningtvättsdirektivet. Registreringsplikten anses vara behövlig för bekämpningen av penningtvätt och av finansiering av terrorism. Direktivet innehåller dock inga bestämmelser om förutsättningarna för registrering. Det 2:a lagförslaget innehåller exakta och noggrant avgränsade förutsättningar för registrering. Registreringen är inte förknippad med ändamålsenlighetsprövning, utan alla som lämnar en registeranmälan ska införas i registret om de förutsättningar som anges i lagen uppfylls. Om Finansinspektionen anser att förutsättningarna för registrering inte uppfylls kan ändring i dess beslut sökas i enlighet med lagen om Finansinspektionen.
I 16 § i det 2:a lagförslaget föreskrivs om förutsättningarna för avregistrering. Avregistrering är bundet till allvarliga och väsentliga förseelser och försummelser samt till att eventuella anmärkningar och varningar som getts den som införts i registret inte lett till att brister i verksamheten blivit avhjälpta.
Enligt 21 § i grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag samt att få ett beslut som gäller hans eller hennes rättigheter och skyldigheter behandlat vid domstol eller något annat oavhängigt rättskipningsorgan. Offentligheten vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring samt andra garantier för en rättvis rättegång och god förvaltning ska tryggas genom lag.
Enligt det 1:a lagförslaget ska Tullen i egenskap av personuppgiftsansvarig för registret över bank- och betalkonton förmedla och registrera uppgifter. Tullen kan också utnyttja registrerade uppgifter i sin övriga lagstadgade verksamhet. Tullen fattar i sin egenskap av personuppgiftsansvarig inga förvaltningsbeslut om enskilda registrerade.
Registerverksamheten bygger på långt automatiserad mottagning, registrering och förmedling av uppgifter till myndigheter i enlighet med deras lagstadgade rätt att få uppgifter. Enligt grundlagsutskottets praxis kan det i vissa fall behöva finnas en möjlighet att söka ändring i myndigheters beslut för att man ska kunna övervaka om myndigheterna handlar korrekt och opartiskt och säkerställa att tillämpningen är samordnad, också i de fall där frågan inte gäller individens rättigheter eller skyldigheter (se GrUU 32/2012 rd, GrUU 10/2009 rd, GrUU 13/2005 rd, GrUU 55/2002 rd). Den registrerades rättsskydd tillgodoses på så sätt att en felaktig uppgift korrigeras av den näringsidkare som har skickat in uppgiften till registret över bank- och betalkonton. Den registrerade kan också med stöd av artikel 77 i dataskyddsförordningen anföra besvär hos tillsynsmyndigheten, om han eller hon anser att behandlingen av personuppgifter bryter mot EU:s allmänna dataskyddsförordning.
3.4
Bemyndigande att meddela föreskrifter
Enligt 80 § i grundlagen kan även andra myndigheter genom lag bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Tillämpningsområdet för ett sådant bemyndigande ska vara exakt avgränsat.
I 4 § i det 1:a lagförslaget förpliktas Tullen att meddela en föreskrift om de tekniska kraven på övervakningssystemet för bank- och betalkonton. Vidare föreskrivs det i 6 § i den lagen om Tullens rätt att utfärda närmare bestämmelser om vilket elektroniskt förfarande som ska användas och på vilket sätt uppgifterna ska vara certifierade för att de ska kunna lämnas till registret över bank- och betalkonton. Bemyndigandena att meddela föreskrifter är förknippade med tekniska krav, och det är inte ändamålsenligt att föreskriva om dessa genom lag eller förordning.
I 13 § i det 2:a lagförslaget fastställs att Finansinspektionen kan meddela föreskrifter om riskhantering och de förfaranden som ska iakttas med avseende på kundkontroll. Grundlagsutskottet har i flera sammanhang ansett att Finansinspektionen eller dess föregångare kan bemyndigas att meddela föreskrifter på detta sätt (t.ex. GrUU 28/2008 rd, GrUU 17/2004 rd och GrUU 67/2002 rd). Finansinspektionen har getts motsvarande bemyndigande t.ex. enligt lagen om placeringsfonder och kreditinstitutslagen.
De föreslagna bemyndigandena att meddela föreskrifter är exakt avgränsade, och de är inte problematiska med tanke på grundlagen.
I det 5:e lagförslaget fastställs att tillhandahållare av virtuella valutor ska betala en tillsynsavgift. Avgiften är i konstitutionsrättslig mening skatt och ska bedömas med hänseende till 81 § 1 mom. i grundlagen (bl.a. GrUU 41/2004 rd, GrUU 67/2002 rd, GrUU 28/2008 rd), där det konstateras att om statsskatt bestäms genom lag, som ska innehålla bestämmelser om grunderna för skattskyldigheten och skattens storlek samt om de skattskyldigas rättsskydd. Förslaget överensstämmer med de avgifter som fastställs i den gällande lagen om Finansinspektionens tillsynsavgift.
3.6
Administrativa påföljder
Enligt grundlagsutskottets vedertagna tolkningspraxis är en avgift som påförs för en lagstridig gärning inte en sådan skatt eller avgift som avses i grundlagens 81 §, utan den är en ekonomisk påföljd av straffnatur. Utskottet har i sak jämställt ekonomiska påföljder av straffnatur med straffrättsliga påföljder (GrUU 4/2001 rd, s. 7, GrUU 32/2005 rd, s. 2, GrUU 55/2005 rd, s. 2 och GrUU 17/2012 rd, s. 6). De allmänna grunderna för en administrativ påföljd ska regleras genom lag på det sätt som förutsätts i 2 § 3 mom. i grundlagen, eftersom påförandet av en sådan påföljd inbegriper utövning av offentlig makt. Enligt utskottet ska det i lag utfärdas exakta och tydliga bestämmelser om grunderna för en påföljd och om påföljdens storlek samt om rättsskyddet och grunderna för att verkställa lagen (GrUU 32/2005 rd, s. 2—3, GrUU 55/2005 rd, s. 2, GrUU 57/2010 rd, s. 2, GrUU 17/2012 rd, s. 6). Grundlagsutskottet har konstaterat att även om kravet på exakthet i anslutning till den straffrättsliga legalitetsprincipen enligt 8 § i grundlagen som sådant inte gäller regleringen av administrativa påföljder kan det allmänna kravet på exakthet ändå inte lämnas utan beaktande i samband med denna typ av reglering (GrUU 9/2012 rd, s. 2, GrUU 57/2010 rd, s. 2 och GrUU 74/2002 rd, s. 5).
Enligt det 1:a lagförslaget i propositionen har Tullen rätt att påföra ordningsavgift till ett maximibelopp på 100 000 euro för juridiska personer och 10 000 euro för fysiska personer. De befogenheter som Tullen ges är exakta och noggrant avgränsade i enlighet med grundlagsutskottets tolkningspraxis. Ordningsavgiften motsvarar till sin storlek maximibeloppet av den ordningsavgift som fastställs i penningtvättslagen.
I artikel 48.1 i det fjärde penningtvättsdirektivet föreskrivs att medlemsstaterna ska kräva att de behöriga myndigheterna effektivt övervakar och vidtar de åtgärder som är nödvändiga för att säkerställa att detta direktiv efterlevs. Även om Tullen inte är en sådan behörig myndighet som avses i direktivet ansvarar Tullen i egenskap av personuppgiftsansvarig för registret över bank- och betalkonton för övervakningen av att direktivet efterlevs i fråga om registret.
I det 3:e lagförslaget föreskrivs att ordningsavgift eller påföljdsavgift kan påföras en person som uppsåtligen eller av oaktsamhet försummar eller bryter mot skyldigheten att iaktta skärpta förfaranden för kundkontroll. Försummelse av samma typ av skyldigheter har sanktionerats i bestämmelserna om ordningsavgift och påföljdsavgift i den gällande penningtvättslagen. Penningtvättslagen har stiftats med grundlagsutskottets medverkan (GrUU 2/2017 rd).
Med stöd av vad som nämnts ovan kan lagförslagen behandlas i vanlig lagstiftningsordning. I samband med beredningen av denna proposition behandlas fortfarande förslaget till dataskyddslag i riksdagen. Det övervakningssystem för bank- och betalkonton som föreslås i det 1:a lagförslaget ska också bedömas med tanke på EU:s allmänna dataskyddsförordning och förslaget till dataskyddslag, som ingår i den ovannämnda regeringspropositionen. Av denna orsak är det motiverat att begära ett utlåtande av grundlagsutskottet.
