Senast publicerat 23-04-2020 14:16

Regeringens proposition RP 55/2020 rd Regeringens proposition till riksdagen med förslag till lag om ändring av lagen om ett övervakningssystem för bank- och betalkonton

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att lagen om ett övervakningssystem för bank- och betalkonton ändras. I propositionen föreslås en korrigering av sådana definitioner i lagen som har lett till oklarheter vid tillämpningen av lagen. Det föreslås även att de uppgifter som olika aktörer enligt lagen är skyldiga att lämna ut till myndigheter via ett datasöksystem eller till Tullen för lagring i registret över bank- och betalkonton ska korrigeras och preciseras. 

Lagen avses träda i kraft den 1 september 2020. 

MOTIVERING

Bakgrund och beredning

Europaparlamentets och rådets direktiv (EU) 2018/843 om ändring av direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, och om ändring av direktiven 2009/138/EG och 2013/36/EU (nedan det femte penningtvättsdirektivet) har delvis genomförts nationellt genom lagen om ett övervakningssystem för bank- och betalkonton (571/2019). Med stöd av denna lag inleddes vid Tullen ett kontoregisterprojekt, vars mandatperiod är 1.11.2018—31.12.2020. Projektet inbegriper verkställande av ett register över bank- och betalkonton samt skapande av anknytande gränssnitt. Dessutom meddelar Tullen en föreskrift för fastställande av gränssnitten mellan datasöksystemen. Utifrån föreskriften kan de som lämnar ut uppgifter och de som nyttjar uppgifterna skapa sina egna gränssnitt. Systemen ska vara i produktion i september 2020. 

Sedan kontoregisterprojektet inleddes har projektet upptäckt behov av brådskande ändringar i lagen om ett övervakningssystem för bank- och betalkonton. Tullens kontoregisterprojekt har fört diskussioner om behoven av lagändringar med finansministeriet, och projektet lämnade på ministeriets begäran den 20 december 2019 en promemoria om de bestämmelser som kräver brådskande korrigeringar. Tullen har i sitt utlåtande den 29 januari 2020 kompletterat de korrigeringsbehov som framförts i promemorian. 

Finansministeriets finansmarknadsavdelning har konstaterat att det finns ett motiverat behov av de korrigeringar som kontoregisterprojektet föreslår och att en regeringsproposition bör utarbetas om lagändringarna. Behovet av lagändringar har diskuterats förutom med kontoregisterprojektet också med inrikesministeriet, justitieministeriet, Tullen, Finansinspektionen och centralen för utredning av penningtvätt vid centralkriminalpolisen. 

Nuläge och bedömning av nuläget

2.1  Lagen om ett övervakningssystem för bank- och betalkonton

Den lagstiftning som gäller förhindrande av penningtvätt och av finansiering av terrorism har reviderats i betydande utsträckning inom EU och även nationellt under de senaste åren. Det femte penningtvättsdirektivet har genomförts nationellt genom lagen om ett övervakningssystem för bank- och betalkonton, lagen om tillhandahållare av virtuella valutor (572/2019) samt genom ändringar bland annat i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017, nedan penningtvättslagen). 

Lagen om ett övervakningssystem för bank- och betalkonton utfärdades den 26 april 2019 och den trädde i kraft den 1 maj 2019. Lagens 4 och 5 § tillämpas dock först från och med den 1 september 2020. Efter det att kontoregisterprojektet hade inletts har det i lagens bestämmelser upptäckts lagtekniska fel och brister. På grund av dessa behöver lagen ändras. I 6 § finns bestämmelser som i sin nuvarande form är oklara och svåra att tolka. Bestämmelserna i paragrafen strider också till vissa delar mot varandra och motsvarar inte helt motiveringen i förarbetena till lagen (

). 

2.2  Lagen om betalningsinstitut och betaltjänstlagen

I 2 § i lagen om ett övervakningssystem för bank- och betalkonton finns definitioner. I 1 mom. 9 och 10 punkten i den paragrafen hänvisas det till det betalkonto som avses i 5 § i lagen om betalningsinstitut (297/2010). Enligt 5 § 4 punkten i lagen om betalningsinstitut avses med betalkonto ett konto som kan användas för betalningstransaktioner. Definitionen av betalkonto i 8 § i betaltjänstlagen (290/2010) är densamma som i lagen om betalningsinstitut. Tillämpningsområdena för dessa lagar avviker dock från varandra.  

Enligt 1 § om tillämpningsområdet i lagen om betalningsinstitut ska lagen tillämpas på affärsverksamhet som består i att tillhandahålla betaltjänster. Enligt paragrafen ska vad som i lagen föreskrivs om betaltjänster och betalningsinstitut också tillämpas på utgivning av elektroniska pengar och på institut för elektroniska pengar, om inte något annat bestäms nedan. Enligt 2 § i lagen om betalningsinstitut ska lagen dock inte tillämpas på tjänster som tillhandahålls av kreditinstitut enligt kreditinstitutslagen (610/2014). Lagen om betalningsinstitut ska tillämpas på följande betaltjänster:  

1) tjänster för kontantinsättning på eller kontantuttag från betalkonton och åtgärder för förvaltning och tillhandahållande av betalkonton,  

2) genomförande av betalningstransaktioner genom girering enligt betaltjänstlagen, genom överföring till tjänsteleverantörens betalkonto, genom direktdebitering eller med betalkort eller något annat betalningsinstrument,  

3) utfärdande av betalningsinstrument,  

4) accepterande och behandling av betalningstransaktioner som grundar sig på ett avtal med betalningsmottagaren och som leder till överföring av medel till betalningsmottagaren,  

5) tjänster där tjänsteleverantören tar emot medel från en betalare utan att öppna betalkonto i betalarens eller betalningsmottagarens namn med den enda avsikten att överföra ett belopp som motsvarar de mottagna medlen till betalningsmottagaren eller en annan tjänsteleverantör som agerar på betalningsmottagarens vägnar eller där tjänsteleverantören tar emot medlen på betalningsmottagarens vägnar och ställer dem till betalningsmottagarens förfogande (penningförmedling),  

6) betalningsinitieringstjänster, och  

7) kontoinformationstjänster.  

Dessutom anges det i paragrafens 2 mom. att lagens 40 § ska tillämpas på sådana sammanslutningar och företag som tillhandahåller betaltjänster enligt 2 § 1 mom. 

Enligt 1 § om tillämpningsområde i betaltjänstlagen föreskrivs det i lagen om informationsskyldighet och avtalsvillkor som gäller betaltjänster och om genomförande av betaltjänster. Betaltjänstlagen ska tillämpas på följande betaltjänster:  

1) tjänster för kontantinsättning på eller kontantuttag från betalkonton och åtgärder för förvaltning och tillhandahållande av betalkonton,  

2) genomförande av betalningstransaktioner genom girering, genom överföring till tjänsteleverantörens betalkonto, genom direktdebitering eller med betalkort eller något annat betalningsinstrument,  

3) utfärdande av betalningsinstrument,  

4) accepterande och behandling av betalningstransaktioner som grundar sig på ett avtal med betalningsmottagaren och som leder till överföring av medel till betalningsmottagaren,  

5) penningförmedling,  

6) betalningsinitieringstjänster, och  

7) kontoinformationstjänster.  

Således gäller definitionen av betalkonto i 8 § i betaltjänstlagen betalkonton som förvaltas av både kreditinstitut och betalningsinstitut och omfattar således definitionen av konto för alla aktörer. 

Målsättning

Syftet med propositionen är att förtydliga lagen om ett övervakningssystem för bank- och betalkonton genom att korrigera de lagtekniska felaktigheter som upptäckts i lagen och genom att precisera definitionerna i lagen. Syftet med propositionen är också att förtydliga olika aktörers skyldigheter i fråga om de uppgifter som ska föras in i registret över bank- och betalkonton och lämnas ut via datasöksystemet. 

Förslagen och deras konsekvenser

4.1  De viktigaste förslagen

I propositionen föreslås det att sådana definitioner i lagen som har lett till oklarheter vid tillämpningen av lagen ska korrigeras. Propositionen innehåller också förslag till korrigeringar och preciseringar av de uppgifter som ska föras in i registret över bank- och betalkonton och lämnas ut via datasöksystemet. Bestämmelserna om de uppgifter som ska lämnas ut och föras in i den form som avses i den gällande lagen har till vissa delar blivit oklara och flertydiga, och därför preciseras det genom de föreslagna bestämmelserna i fråga om olika aktörer som lämnar ut uppgifter vilka uppgifter varje aktör enligt lagen är skyldig att lämna ut via datasöksystemet eller till Tullen för lagring i registret över bank- och betalkonton. 

4.2  De huvudsakliga konsekvenserna

4.2.1  Ekonomiska konsekvenser

Regeringens proposition kan ha måttliga kostnadseffekter för aktörer som förmedlar uppgifter via datasöksystemet för bank- och betalkonton eller lämnar uppgifter till registret över bank- och betalkonton. Syftet med regeringspropositionen är att förtydliga bestämmelserna i lagen, vilket innebär att den minskar de kostnader som hänför sig till iakttagandet av lagen. 

Enligt en utredning som gjordes av Tullens kontoregisterprojekt är kostnaderna för verkställande av ett datasöksystem för bank- och betalkonton cirka 300 000 euro per rapporteringsskyldig. Även myndigheterna orsakas kostnader för integreringen i datasöksystemen, men i fråga om deras kostnader finns det inte ännu uppgifter att tillgå. Således finns det inte ännu information om de totala kostnaderna för datasöksystemet att tillgå. Enligt uppgifter från de rapporteringsskyldiga är en uppskattning av kostnaderna för anslutning till registret över bank- och betalkonton cirka 100 000 euro per rapporteringsskyldig. Merparten av kostnaderna hänger samman med utvecklandet av den rapporteringsskyldiges informationssystem och inte med anslutningen till registret.  

Syftet med denna proposition är också att förtydliga vilka uppgifter tillhandahållare av virtuella valutor ska lämna till registret över bank- och betalkonton. På grund av den inexakta formuleringen i bestämmelsen har det kunnat bli oklart om det är nödvändigt att lämna uppgifter till registret över bank- och betalkonton. I ett sådant fall ska tillhandahållaren av virtuella valutor vara beredd på de ovan uppskattade kostnaderna för att lämna uppgifter till registret över bank- och betalkonton. 

De ändringar som i denna proposition föreslås i den gällande lagen bedöms inte ha konsekvenser för den offentliga ekonomin. Enligt en bedömning som Tullens kontoregisterprojekt gjorde förutsätter de utvecklingsbehov som lagändringarna medför ingen tilläggsbudgetering. 

4.2.2  Konsekvenser för myndigheterna

Syftet med denna proposition är att förtydliga lagstiftningen och göra det möjligt att genomföra det av Tullen förvaltade registret över bank- och betalkonton samt datasöksystemet på ett sätt som fungerar i praktiken. De föreslagna lagändringarnas konsekvenser för Tullen är i princip positiva, eftersom lagen på detta sätt blir tydligare att tillämpa. I och med de föreslagna lagändringarna kan det dessutom bli aktuellt för Tullen att i viss mån behandla begäranden om delgivning av handlingar enligt lagen om offentlighet i myndigheternas verksamhet (621/1999) och detta kan ha konsekvenser för resurserna. 

4.2.3  Samhälleliga konsekvenser

Regeringens proposition har konsekvenser när det gäller att främja förhindrandet av penningtvätt och av finansiering av terrorism. Genom lagändringarna främjas en konsekvent tillämpning av lagstiftningen och förverkligandet av lagens syften. 

Alternativa handlingsvägar

Syftet med förslagen är att förtydliga det exakta genomförandet av direktivet. 

Remissvar

Propositionen har beretts som tjänsteuppdrag vid finansministeriet och i samarbete med Tullen och Finansinspektionen. 

Yttranden om propositionen begärdes av följande instanser: justitieministeriet, inrikesministeriet, arbets- och näringsministeriet, Justitiekanslersämbetet, Finlands Bank, Finansinspektionen, Verket för finansiell stabilitet, Polisstyrelsen, centralkriminalpolisen, Centralen för utredning av penningtvätt, Gränsbevakningsväsendet, skyddspolisen, Skatteförvaltningen, Enheten för utredning av grå ekonomi, Riksfogdeämbetet, Dataombudsmannens byrå, Södra Finlands regionförvaltningsverk, Tullen, Statens center för informations- och kommunikationsteknik Valtori, Patent- och registerstyrelsen, Ålands landskapsregering, Lotteriinspektionen på Åland, Centralhandelskammaren, Finlands Advokatförbund, Finlands näringsliv, Finans Finland, OP Gruppen, Samlink, Prasos Oy, Prasos Cash Management Oy, LocalBitcoins Oy, MONI Nordic Ab, Northcrypto Oy ja Tesseract Group Oy. Begäran om utlåtande, yttrandena och ett sammandrag av yttrandena finns på

Finlands Advokatförbund fäste i fråga om de föreslagna ändringarna i 2 § vikt vid att då definitionerna ändras vore det ändamålsenligt att se till att en ändring av definitionerna inte leder till att tolkningen av de definitioner som nämns i tidigare förarbeten till lagen ändras. Som en sådan definition som föreslogs i tidigare förarbeten till lagen fäste Advokatförbundet vikt vid att definitionen av advokaters klientmedelskonton kvarstår oförändrad. Med anledning av Advokatförbundets yttrande beslöt man vid den fortsatta beredningen av propositionen att komplettera motiveringen till 2 § till den del att definitionen av klientmedelskonton förblir oförändrad. 

Finlands näringsliv och Finans Finland konstaterade att man i regeringspropositionen ska hålla sig till att begränsa regleringen när det gäller de krav som ställs i det femte penningtvättsdirektivet i fråga om det nationella genomförandet, och att det inte i lagen eller i Tullens tekniska föreskrifter ska krävas att de rapporteringsskyldiga lämnar ut andra uppgifter.  

Finans Finland konstaterade med stöd av sina motiveringar i fråga om 4 och 6 § i lagförslaget att den föreslagna utvidgningen av datasöksystemets och kontoregistrets datainnehåll till att omfatta även uppgifterna i resedokument bör slopas. Finans Finland lyfte fram att det i enlighet med 3 kap. 3 § 2 mom. 7 punkten i penningtvättslagen för att fullgöra skyldigheten att bevara uppgifter räcker att den rapporteringsskyldiga har en kopia av den handling som använts för att verifiera identiteten och att uppgifter om t.ex. passets nummer eller sista giltighetsdag inte nödvändigtvis registreras separat i bankernas eller andra rapporteringsskyldigas system. Finans Finland konstaterade i sitt yttrande att kravet på att uppgifterna i resedokumentet ska tas in i lagen strider mot de övriga rättsliga skyldigheter som de rapporteringsskyldiga har, och att genomföra detta krav förutsätter också betydande ändringar i deras informationssystem och verksamhetsprocesser. Även LocalBitcoins Oy tog i sitt yttrande ställning till den föreslagna kompletteringen av resedokument. Enligt LocalBitcoins Oy:s yttrande medför ändringen av 4 § betydande merkostnader för bolaget, eftersom dess kundkrets huvudsakligen består av utländska personer. Dessutom medför kravet på uppgifter i resedokument överlappande uppgifter för bolaget. LocalBitcoins Oy anser att de uppgifter som den gällande lagen förutsätter är tillräckliga för de kunder som inte vistas eller bor i Finland. Enligt LocalBitcoins Oy:s yttrande ska bestämmelsen i 4 § 2 mom. 1 och 2 punkten samt 6 § 2 mom. 1 punkten i den föreslagna lagen ändras till denna del så att endast medborgarskap ska anges när personbeteckningen saknas, om personen i fråga inte bor eller vistas i Finland. LocalBitcoins Oy anser att ett tillräckligt dokument ska vara verifieringsdokumentation som överensstämmer med riskhanteringsprinciperna. I annat fall kan det enligt LocalBitcoins Oy uppstå en situation där kravet på resedokument kan stå i strid med penningtvättslagstiftningen och den grundläggande rätten till egendomsskydd. Enligt LocalBitcoins Oy:s yttrande ska ordet ”resedokument” i 4 § 2 mom. 1 och 2 punkten samt 6 § 2 mom. 1 punkten i den föreslagna lagen ersättas med begreppet verifieringsdokumentation och definieras genom en hänvisning till verifieringsdokumentation som fastställs i riskhanteringssystemet i enlighet med det regelverk som övervakas. 

Med anledning av den ovan beskrivna remissresponsen konstaterades det vid den fortsatta beredningen att förslaget till 4 och 6 § om att utvidga datainnehållet så att det också omfattar uppgifterna i resedokumentet kräver ytterligare utredning i ärendet i den utsträckningen att det fattades beslut att förslaget stryks i propositionen. 

Polisstyrelsen och centralkriminalpolisen föreslog i sina yttranden i fråga om att den föreslagna utvidgningen av datasöksystemets och kontoregistrets datainnehåll i 4 och 6 § i lagförslaget även ska omfatta uppgifterna i resedokumentet, att det för tydlighetens skull i motiveringen kan preciseras vad som avses med resedokument och vilka uppgifter i resedokumentet som ska lämnas ut. Centralkriminalpolisen föreslog dessutom att det preciseras att med uppgifter i resedokumentet avses dokumenttyp (pass eller identitetskort som berättigar till resa), nummer, datum för utfärdande, datum då giltighetstiden löper ut samt det land eller den instans som utfärdat dokumentet. Eftersom det beslutades att förslaget om att utvidga datainnehållet till att omfatta även resedokument ska strykas i denna proposition, har dessa förslag i yttrandena från polisstyrelsen och centralkriminalpolisen inte beaktats i denna proposition. 

Enligt justitieministeriets yttrande är det bra att en bedömning av behovet av den utvidgning av Tullens tillsynsansvar som föreslås i 4 § 5 mom. tydligare framgår av utkastet till proposition. Enligt justitieministeriet är det inte särskilt typiskt att föreskriva att administreringen och användningen av det informationsförmedlingssystem som hör till näringsidkares personuppgiftsansvar ska övervakas. I lagstiftningen finns det däremot exempel på situationer där den skyldighet att lämna ut uppgifter som ålagts näringsidkare är föremål för övervakning, som vanligen sköts av den myndighet som tar emot eller begär uppgifter. Enligt justitieministeriets yttrande är det skäl att under den fortsatta beredningen precisera motiveringen i utkastet till proposition till den del huruvida avsikten är att för kreditinstitutens del övervaka administreringen av informationsförmedlingssystemet eller iakttagandet av skyldigheten att lämna ut uppgifter. Enligt justitieministeriet är det dessutom bra att i propositionen ta in en bedömning av om regleringen till vissa delar kan överlappa den övriga övervakningen av kreditinstitut. Enligt justitieministeriet kan regleringen vara ändamålsenlig t.ex. i det fall att kreditinstituten i fråga om skyldigheten att lämna ut uppgifter inte övervakas med stöd av annan lagstiftning. Justitieministeriet fäste dessutom mer allmänt vikt vid att propositionen bör motiveras i förhållande till grundlagen närmast i fråga om de föreslagna utvidgningarna, inte i fråga om de redan gällande bestämmelserna. Enligt justitieministeriet förblir det oklart vilket förhållande den föreslagna övervakningen skulle ha till den tillsyn över behandlingen av personuppgifter som avses i dataskyddsförordningen och som dataombudsmannen ansvarar för i enlighet med dataskyddslagen (1050/2018). Enligt justitieministeriet ska det i propositionen dessutom redogöras för användningen av det nationella handlingsutrymmet även i förhållande till dataskyddsförordningen, med beaktande av att det system som avses i 4 § i lagen om ett övervakningssystem för bank- och betalkonton är ett system som används för behandling av personuppgifter. Om det inte är fråga om reglering som överlappar dataskyddsförordningen, finns det skäl att precisera motiveringen i propositionen så att det tydligt framgår av den att den övervakning som föreslås för Tullen inte omfattar tillsyn över behandlingen av personuppgifter. 

Tullen har för sin del i sitt yttrande fört fram att skyldigheten enligt artikel 48.1 i det fjärde penningtvättsdirektivet, enligt vilken medlemsstaterna ska kräva att de behöriga myndigheterna effektivt övervakar och vidtar de åtgärder som är nödvändiga för att säkerställa att direktivet efterlevs, har framförts väl i utkastet till regeringsproposition. För närvarande omfattar Tullens övervakningsansvar endast övervakningen av kontoregistret. Enligt Tullens yttrande är det konsekvent att övervakningsansvaret i övervakningssystemet för bank- och betalkonton ska skötas av en enda myndighet och att uppgiften som helhet lämpar sig för Tullen. Tullen anser sig redan från dessa utgångspunkter vara en lämplig instans för att övervaka också datasöksystemet och därigenom de aktörer som fullgör skyldigheten att lämna uppgifter. Tullen preciserar i sitt yttrande att syftet med övervakningen är att säkerställa att de uppgiftsskyldigas uppgifter lämnas in till kontoregistret och via datasöksystemet och att det är fråga om att administrera systemet och även att iaktta skyldigheten att lämna uppgifter. 

Biträdande dataombudsmannen konstaterade att propositionen behöver förtydligas i fråga om övervakningen av informationsutbytet i datasöksystemet. I fråga om de uppgifter som förmedlas i systemet är det fråga om sådan behandling av personuppgifter som EU:s allmänna dataskyddsförordning tillämpas på. Av denna anledning begränsar sig skyldigheterna i anslutning till förmedling av uppgifter inte enbart till de skyldigheter att lämna uppgifter som föreskrivs i lagen om ett övervakningssystem för bank- och betalkonton. Enligt biträdande dataombudsmannens yttrande ska vid behandlingen av uppgifter också iakttas de skyldigheter som anges i den allmänna dataskyddsförordningen, och övervakningen av att dessa skyldigheter fullgörs hör till dataombudsmannens uppgifter. För tydlighetens skull ska det således i motiveringen enligt yttrandet framföras att dataombudsmannens byrå i egenskap av sådan nationell tillsynsmyndighet som avses i dataskyddsförordningen (8 § i dataskyddslagen) övervakar att skyldigheterna i samband med behandlingen av personuppgifter i informationssystemet fullgörs.  

Utifrån de ovan anförda yttrandena från justitieministeriet, Tullen och biträdande dataombudsmannen konstaterades det vid den fortsatta beredningen av propositionen att den föreslagna utvidgningen av Tullens övervakningsansvar enligt 4 § 5 mom. förutsätter ytterligare beredning i den utsträckning att det fattades beslut om att stryka den i denna proposition. 

Justitieministeriet fäste i sitt yttrande vikt vid att det i fråga om de föreslagna ändringarna i 11 och 12 § och motiveringen i utkastet till proposition förblir lite oklart huruvida även brott mot skyldigheten att förvalta systemet ska sanktioneras eller enbart skyldigheten att lämna uppgifter. Enligt justitieministeriet finns det skäl att precisera utkastet till proposition till denna del. Justitieministeriet konstaterade dessutom som allmän observation att den föreslagna utvidgningen av bestämmelserna om vite och ordningsavgift bör bedömas i motiveringen i utkastet till proposition också i fråga om påföljdssystemets verkningsfullhet och proportionalitet. LocalBitcoins Oy ansåg i sitt yttrande att det är bra att aktörerna behandlas lika och jämlikt och att Tullen övervakar att registret över bank- och betalkonton iakttas. LocalBitcoins Oy påpekade dock att det för tydlighetens skull finns skäl att till 12 § i lagförslaget foga en precisering av vad som anses uppfylla kriterierna för uppsåt eller oaktsamhet enligt 12 § i situationer där Tullen kan påföra en ordningsavgift för försummelse eller överträdelse av skyldigheten att lämna uppgifter som avses i 4 § 2 mom. eller 6 § 2 eller 3 mom. I och med att registret över bank- och betalkonton är ett nytt system kan oväntade avbrott i systemet uppstå för aktörerna. Av denna anledning föreslog LocalBitcoins Oy att ordningsavgift kan påföras endast om försummelsen inte är ringa på samma sätt som i 11 § i lagförslaget, där Tullen har getts rätt att förena inte bara skyldigheten enligt den gällande lagen att lämna uppgifter om bank- och betalkontoregistret utan också utlämnandet av uppgifter via datasöksystemet med vite. Centralkriminalpolisen föreslog i sitt yttrande att det i motiveringen till 11 § i lagförslaget entydigt ska konstateras att Tullens möjlighet att förelägga vite täcker alla förseelser som riktar sig mot myndigheternas datasöksystem. Centralkriminalpolisen och Polisstyrelsen föreslog dessutom i sina yttranden att Tullen ska kunna förelägga vite eller påföra ordningsavgift också i situationer där aktören inte lämnar de begärda uppgifterna till polisen.  

De föreslagna ändringarna i 11 och 12 § i fråga om Tullens rätt att även förena utlämnandet av uppgifter via datasöksystemet med vite eller att påföra ordningsbot har ett nära samband med den föreslagna ändringen av 4 § 5 mom. i fråga om Tullens roll som tillsynsmyndighet för datasöksystemet. På grund av detta konstaterades det vid den fortsatta beredningen att förslaget förutsätter ytterligare beredning i den utsträckning att det beslutades att förslaget ska strykas i denna proposition. 

Enligt Polisstyrelsens och centralkriminalpolisens yttranden är de föreslagna preciseringarna i 6 § i fråga om uppgifter om kunder hos tillhandahållare av virtuella valutor värda att understödjas. Enligt LocalBitcoins Oy:s yttrande ger 6 § 2 mom. i lagförslaget inget entydigt svar på frågan huruvida tillhandahållare av virtuella valutor är skyldiga att lämna uppgifter om allt som avses i 1, 2 och 3 punkten, eller om det räcker med att tillhandahållare av virtuella valutor lämnar uppgifter om sin kund i enlighet med 6 § 2 mom. 1 punkten. Således anser LocalBitcoins Oy att 6 § 2 mom. i lagförslaget bör förtydligas i fråga om ovannämnda punkter. Eftersom alla tillhandahållare av virtuella valutor inte har betalkonton kan en tillhandahållare av virtuella valutor inte ge ett betalkontos IBAN-nummer i enlighet med 3 punkten. LocalBitcoins Oy anser att om tillhandahållaren av virtuella valutor är skyldig att ge ett annat identifikationssignum, ska detta klargöras i lag eller förarbetena så att det kan vara ett identifikationssignum som fastställs av den övervakade om något annat enhetligt signum saknas. Utifrån LocalBitcoins Oy:s yttrande kompletterades motiveringen till 6 § 2 mom. vid den fortsatta beredningen av propositionen så att eftersom tillhandahållare av virtuella valutor inte har sådana betalkonton som avses i denna lag, ska dessa bolag lämna endast de uppgifter som avses i 1 och 2 punkten.  

Finans Finland konstaterade i sitt yttrande att 4 § 2 mom. 1 punkten och 6 § 3 mom. 1 punkten i lagen är oklara och föreslog att de preciseras. Enligt Finans Finland ger paragrafens nuvarande ordalydelse en möjlighet att tolka paragrafen så att uppgifter om dem som har rätt att använda företagskunders konton inte alls lämnas ut. I anslutning till detta föreslog Tullen i sitt yttrande att det utöver de föreslagna lagändringarna i 4 § 2 mom. 1 punkten och 6 § 2 och 3 mom. 1 punkten ska nämnas att när kontoinnehavaren är en juridisk person ska också de som har rätt att använda kontot och de uppgifter om dem som nämnts redan tidigare i bestämmelsen anmälas. Vid den fortsatta beredningen av propositionen konstaterades det att den precisering som föreslås i yttrandena behövs för att säkerställa en tydligare tolkning och att det därför föreslås att 4 § 2 mom. 1 punkten och 6 § 3 mom. 1 punkten kompletteras på det sätt som Tullen föreslår. 

Specialmotivering

2 §.Definitioner. I 1 punkten i paragrafen definieras registret över bank- och betalkonton i enlighet med gällande lag. Det föreslås dock att punkten preciseras så att det med register över bank- och betalkonton avses ett register där uppgifter samlas om bank- och betalkonton samt kunder i betalningsinstitut, institut för elektroniska pengar och kreditinstitut med ett i 4 § 1 mom. avsett och av Finansinspektionen beviljat undantagstillstånd samt tillhandahållare av virtuella valutor. Det är nödvändigt att komplettera 1 punkten och nämna kreditinstitut som beviljats undantagstillstånd, eftersom det i registret över bank- och betalkonton enligt definitionen även samlas uppgifter om de bankkonton som tillhandahålls av kreditinstitut som beviljats undantagstillstånd av Finansinspektionen. Tillhandahållarna av virtuella valutor har inga betalkonton, och därför är det i fråga om dem skäl att konstatera att kunduppgifter i tillhandahållare av virtuella valutor samlas in i registret över bank- och betalkonton. I den regeringsproposition som gäller den gällande lagen (

, s. 45—46 och 49) hänvisas det till Polisyrkeshögskolans rapport 117/2015 (Rahanpesun ja terrorismin rahoituksen kansallinen riskiarvio 2015), enligt vilken den risk för penningtvätt som hänför sig till virtuella valutor har att göra med verksamhetens anonymitet och svaga identifieringssystem för kunden, övernationalitet och komplexitet. Enligt riskbedömningen i fråga är virtuella valutor förknippade med en ökande och mycket allvarlig risk för penningtvätt och finansiering av terrorism. I regeringens proposition konstateras det att de som tillhandahåller virtuell valuta utifrån riskbedömningen ska vara skyldiga att till registret över bank- och betalkonton anmäla i lagen närmare specificerade uppgifter om kunderna. Således ska det i registret samlas in de uppgifter som avses i 6 § om betalkonton som tillhandahålls eller förvaltas av betalningsinstitut och institut för elektroniska pengar och deras kontoinnehavare samt om bank- och betalkonton samt bankfack och innehavare av dem i kreditinstitut som beviljats undantagstillstånd. 

I 8 punkten i paragrafen föreslås en korrigering av definitionen av bankkonto så att det med bankkonto avses sådana övriga inlåningskonton än betalkonton som förvaltas av ett kreditinstitut. Vidare korrigeras hänvisningarna i 9 och 10 punkten till 5 § i lagen om betalningsinstitut till hänvisningar till 8 § i betaltjänstlagen. Definitionen av konto är densamma i både lagen om betalningsinstitut och betaltjänstlagen. Skillnaden är dock tillämpningsområdet för definitionen. Definitionen av betalkonto i 8 § i betaltjänstlagen gäller betalkonton som förvaltas av både kreditinstitut och betalningsinstitut och täcker således definitionen av konto för alla aktörer, medan definitionen av betalkonto i lagen om betalningsinstitut endast avser betalkonton som tillhandahålls av betalningsinstitut som omfattas av lagens tillämpningsområde. Samtidigt föreslås det att 10 punkten korrigeras så att det i 1 kap. 9 § i kreditinstitutslagen definieras inlåning, inte inlåningskonto. 

I detta sammanhang föreslås inga ändringar i bestämmelserna om konton för advokaters klientmedel. Behandlingen av en advokatbyrås klientmedel fastställs närmare i förarbetena till den gällande lagen (

, s. 20). 

4 §. Datasöksystem för bank- och betalkonton. Det föreslås att det i 2 mom. 1 punkten nämns att då kontoinnehavaren är en juridisk person ska även de som har rätt att använda kontot anmälas samt de uppgifter om dem i egenskap av fysiska personer som nämnts redan tidigare i bestämmelsen. Denna precisering behövs för att förtydliga att också uppgifter om dem som har rätt att använda en juridisk persons konton ska anmälas via datasöksystemet. Genom tillägget preciseras bestämmelsen och främjas en korrekt tillämpning av lagen. Vidare har det ansetts behövligt att på grund av de oklarheter som framkommit vid tillämpningen precisera att det med dem som har rätt att använda kontot inte avses sådana anställda hos en juridisk person vars arbetsuppgifter omfattar handläggning av filöverföringsmaterial vid betalningar, eftersom dessa personer i princip inte har en sådan heltäckande rätt att använda kontot som avses i detta moment med rätt att använda kontot.  

6 §.Uppgifter som ska föras in i registret över bank- och betalkonton. I 1 mom. stryks hänvisningarna till 3 mom. i paragrafen. Avsikten är att betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor ska lämna endast de uppgifter som avses i 2 mom. till registret över bank- och betalkonton. Paragrafens 3 mom. gäller endast kreditinstitut som beviljats undantagstillstånd enligt 4 § 1 mom. Också i förarbetena till den gällande lagen (

, s. 80) har saken uppfattats på motsvarande sätt. Enligt regeringens proposition föreskrivs det i 3 mom. om de uppgifter som ska föras in i registret, om kreditinstitutet har fått Finansinspektionens tillstånd till att avvika från skyldigheten att administrera ett i 4 § avsett datasöksystem. 

Paragrafens 2 mom. 1 punkt kompletteras med en hänvisning till kontoinnehavaren och dem som har rätt att använda kontot samt till kunder i tillhandahållare av virtuella valutor. I förarbetena till lagen (

, s. 80) har det framförts att punkten i fråga till sitt datainnehåll motsvarar 4 § 2 mom. 1 punkten, där det hänvisas till kontoinnehavare. Detta har dock lett till det att 6 § i den gällande lagen är tvetydig när det gäller huruvida ett betalningsinstitut ska anmäla uppgifter om sina kunder, även om betalningsinstitutet inte har några betalkonton överhuvudtaget. Hänvisningen till kontoinnehavare förtydligar således tillämpningen av lagen. Dessutom är det nödvändigt att nämna vilka uppgifter tillhandahållare av virtuella valutor ska lämna till registret över bank- och betalkonton, även om de inte tillhandahåller betalkonton för sina kunder. Tillhandahållare av virtuella valutor är således skyldiga att till Tullens register över bank- och betalkonton lämna uppgifterna enligt 2 mom. 1 och 2 punkten om alla sina kunder. 

En lagteknisk ändring föreslås i 2 mom. 2 punkten

I 2 mom. föreslås en ny 3 punkt, enligt vilken det i registret över bank- och betalkonton också införs IBAN-nummer eller något annat identifikationssignum för kundens betalkonto. Eftersom avsikten är att registret över bank- och betalkonton ska innehålla motsvarande uppgifter som i datasöksystemet, ska i registret också antecknas identifikationssignumet för betalkontot. Det kan i fråga om konton som förvaltas av betalningsinstitut vara antingen IBAN-nummer eller något annat identifikationssignum. Eftersom tillhandahållare av virtuella valutor inte har sådana betalkonton som avses i denna lag, ska dessa bolag uppge endast uppgifterna i 2 mom. 1 och 2 punkten. 

Det föreslås att det i 2 och 3 mom. 1 punkten även på motsvarande sätt som i 4 § 2 mom. 1 punkten nämns att då kontoinnehavaren är en juridisk person ska även de som har rätt att använda kontot anmälas samt de uppgifter om dem som nämnts redan tidigare i bestämmelsen. Denna precisering behövs för att förtydliga att också uppgifter om dem som har rätt att använda en juridisk persons konton ska anmälas till registret över bank- och betalkonton. Genom tillägget preciseras bestämmelsen och främjas en korrekt tillämpning av lagen. 

7 §.Utlämnande av uppgifter ur registret över bank- och betalkonton. Paragrafens 3 mom. kompletteras med de kreditinstitut som fått koncession av Finansinspektionen och som kan lämna uppgifter till registret över bank- och betalkonton. 

11 §.Vite. Det föreslås att paragrafen kompletteras med en bestämmelse om utdömande av vite. 

Ikraftträdande

Det föreslås att lagen träder i kraft den 1 september 2020, då registret över bank- och betalkonton och datasöksystemet ska vara i produktion. 

Verkställighet och uppföljning

Avsikten är att finansministeriet ska följa hur lagen fungerar bl.a. genom att delta i styrgruppen för kontoregisterprojektet. 

10  Förhållande till andra propositioner

Propositionen har inte samband med andra propositioner. 

11  Förhållande till grundlagen samt lagstiftningsordning

I grundlagens 10 § tryggas skyddet för privatlivet och personuppgifter. Grundlagsutskottet har med anledning av tillämpningen av EU:s allmänna dataskyddsförordning justerat sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att de detaljerade bestämmelser i EU:s allmänna dataskyddsförordning som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade motsvarar bestämmelserna i EU:s allmänna dataskyddsförordning enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom EU:s allmänna dataskyddsförordnings tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter (se GrUU 14/2018 rd, s. 4, GrUU 48/2018 rd, s. 3).  

Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 14/2018 rd, s. 5 och de utlåtanden som nämns där). Här är det relevant att utskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför särskilt bedömt att tillåtelse att behandla känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2) varför till exempel bildandet av register som innehåller sådana uppgifter bör bedömas i förhållande till villkoren för inskränkningar av de grundläggande fri- och rättigheterna, i synnerhet med tanke på lagstiftningens acceptabilitet och proportionalitet (GrUU 48/2018 rd. s 3, GrUU 29/2016 rd och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). 

Grundlagsutskottet har bedömt banksekretessen i förhållande till skyddet för privatlivet. Utskottet har inte ansett att banksekretessen är en faktor som hör till kärnan i det som avses med privatlivet. Utskottet har fäst uppmärksamhet vid förutsättningarna för skyldigheten att lämna uppgifter, ärendets eller uppgifternas betydelse och de uppgifter som på förhand ska lämnas till kunden (se t.ex. GrUU 14/2002 rd, s. 4/II, GrUU 7/2000 rd, s. 4/I). Sedan dess har utskottet utformat en ny syn på innebörden av kärnan i skyddet för privatlivet. Exempelvis har grundlagsutskottet i sin tidigare praxis ansett att identifieringsuppgifterna för ett meddelande ligger utanför kärnområdet för den grundläggande fri- och rättighet som skyddar hemligheten i fråga om förtroliga meddelanden (se t.ex. GrUU 33/2013 rd, s. 3/I—II, GrUU 6/2012 rd, s. 3/II, GrUU 29/2008 rd, s. 2/II och GrUU 3/2008 rd, s. 2/I). Utskottet har justerat den här praxisen, eftersom identifieringsuppgifter som anknyter till elektronisk kommunikation samt möjligheten att sammanställa och kombinera dem kan vara så pass problematiska med hänsyn till skyddet för privatlivet att en kategorisk uppdelning av skyddet i ett kärnområde och ett randområde inte alltid är motiverad, utan man måste på ett allmännare plan fästa vikt också vid hur betydelsefulla begränsningarna är (GrUU 18/2014 rd, s. 6/II, GrUU 36/2018 rd, s. 23, GrUU 48/2018 rd, s. 3). 

Grundlagsutskottet har också fäst uppmärksamhet vid att EU:s allmänna dataskyddsförordning lägger fast reglerna för skydd av fysiska personer vid behandling av personuppgifter och reglerna för fri rörlighet för personuppgifter (se GrUU 49/2017 rd, s. 2, GrUU 31/2017 rd, s. 3, GrUU 42/2016 rd, s. 3). Enligt utskottet är det av betydelse att artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna tillförsäkrar var och en rätt till skydd för personuppgifter (GrUU 31/2017 rd, s. 3). Utskottet har även fäst uppmärksamhet vid att respekten för privatlivet enligt artikel 7 och skyddet för personuppgifter enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna ska beaktas i tillämpningen av EU:s lagstiftning om behandling av personuppgifter och vid att EU-domstolens domar till denna del fastställer det centrala innehållet i respekten för privatlivet och skyddet för personuppgifter (se t.ex. GrUU 21/2017 rd). 

Det ingår inte i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 49/2017 rd, s. 3, GrUU 31/2017 rd, s. 4). Enligt utskottet är det dock viktigt att det, i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan, tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se GrUU 25/2005 rd). 

Enligt artikel 43 i penningtvättsdirektivet ska behandling av personuppgifter på grundval av direktivet för att förhindra sådan penningtvätt och finansiering av terrorism som avses i artikel 1 betraktas som en fråga om allmänt intresse enligt EU:s allmänna dataskyddsförordning. I artikel 32 a.3 i direktivet föreskrivs det om de uppgifter som ska finnas tillgängliga och vara sökbara via de centraliserade mekanismerna. Det föreslås att de uppgifter som olika aktörer enligt lagen är skyldiga att lämna ut till myndigheter via ett datasöksystem eller till Tullen för lagring i registret över bank- och betalkonton ska korrigeras och preciseras. Till dessa delar är det således inte fråga om sådana uppgifter om särskilda kategorier av personuppgifter som avses i EU:s allmänna dataskyddsförordning. 

På de grunder som anges ovan kan lagförslaget behandlas i vanlig lagstiftningsordning. 

Kläm 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

Lag om ändring av lagen om ett övervakningssystem för bank- och betalkonton 

I enlighet med riksdagens beslut 
ändras i lagen om ett övervakningssystem för bank- och betalkonton (571/2019) 2 § 1 och 8—10 punkten, 4 § 2 mom. 1 punkten, 6 § 1 och 2 mom. samt 3 mom. 1 punkten, 7 § 3 mom. och 11 § som följer: 
2 § 
Definitioner 
I denna lag avses med 
1) register över bank- och betalkonton ett register där uppgifter samlas om kunder som har bank- och betalkonton i betalningsinstitut, institut för elektroniska pengar och i kreditinstitut med ett i 4 § 1 mom. avsett och av Finansinspektionen beviljat undantagstillstånd samt om kunder i tillhandahållare av virtuella valutor, 
 En icke ändrad del av lagtexten har utelämnats 
8) bankkonto sådana övriga inlåningskonton än betalkonton som förvaltas av ett kreditinstitut, 
9) betalkonto ett sådant betalkonto som avses i 8 § i betaltjänstlagen (290/2010), 
10) övriga inlåningskonton konton som gäller sådan inlåning som avses i 1 kap. 9 § i kreditinstitutslagen, förutsatt att de inte utgör sådana betalkonton som avses i 8 § i betaltjänstlagen. 
4 § 
Datasöksystem för bank- och betalkonton 
 En icke ändrad del av lagtexten har utelämnats 
Via datasöksystemet utlämnas till behöriga myndigheter följande uppgifter om de, trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av information, enligt någon annan lag har rätt att få dem: 
1) fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum när kundrelationen har börjat och upphört, samt alla hos den juridiska personen som har rätt att använda kontot och sådana uppgifter om dem som ovan nämns för fysiska personer, 
 En icke ändrad del av lagtexten har utelämnats 
6 § 
Uppgifter som ska föras in i registret över bank- och betalkonton 
Betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor ska trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av information lämna Tullen de uppgifter som avses i 2 mom. Betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor kan administrera ett i 4 § avsett datasöksystem för betalkonton, varvid de uppgifter som avses i 2 mom. i denna paragraf utlämnas via datasöksystemet. 
I registret över bank- och betalkonton ska införas följande uppgifter om sådana kunder i betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor som enligt 3 kap. 2 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism ska identifieras: 
1) fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot samt kunder i tillhandahållare av virtuella valutor eller, om kontoinnehavaren eller kunden i en tillhandahållare av virtuella valutor är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, 
2) datum när kundrelationen har börjat och upphört, 
3) i fråga om betalkonton IBAN-nummer eller något annat identifikationssignum. 
Om ett kreditinstitut har fått ett i 4 § 1 mom. avsett tillstånd från Finansinspektionen att avvika från skyldigheten att administrera ett datasöksystem, ska följande uppgifter införas i registret över bank- och betalkonton: 
1) fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum när kundrelationen har börjat och upphört, samt alla hos den juridiska personen som har rätt att använda kontot och sådana uppgifter om dem som ovan nämns för fysiska personer, 
 En icke ändrad del av lagtexten har utelämnats 
7 § 
Utlämnande av uppgifter ur registret över bank- och betalkonton 
 En icke ändrad del av lagtexten har utelämnats 
Tullen får till behöriga myndigheter och kreditinstitut, betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor lämna ut logguppgifter som gäller den behöriga myndigheten, betalningsinstitutet, institutet för elektroniska pengar, tillhandahållaren av virtuella valutor eller kreditinstitutet i fråga för uppföljning och övervakning av dess egen verksamhet. Innan uppgifterna lämnas ut ska till Tullen lämnas en utredning om hur användningen och skyddet av de utlämnade uppgifterna kommer att ordnas. 
11 § 
Vite 
Tullen kan förena den i 6 § 1—3 mom. avsedda skyldigheten att lämna uppgifter med vite, om det inte är fråga om en ringa försummelse. Vitet döms ut av Tullen, om inte något annat föreskrivs någon annanstans i lag. Bestämmelser i övrigt om föreläggande och utdömande av vite finns i viteslagen (1113/1990). 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 23 april 2020 
StatsministerSannaMarin
FinansministerKatriKulmuni