Utlåtande
GrUU
48
2018 rd
Grundlagsutskottet
Regeringens proposition till riksdagen med förslag till lag om ett övervakningssystem för bank- och betalkonton och till vissa lagar som har samband med den
Till ekonomiutskottet
INLEDNING
Remiss
Regeringens proposition till riksdagen med förslag till lag om ett övervakningssystem för bank- och betalkonton och till vissa lagar som har samband med den (RP 167/2018 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till ekonomiutskottet. 
Sakkunniga
Utskottet har hört 
lagstiftningsråd, enhetschef
Armi
Taipale
finansministeriet
lagstiftningsråd
Virpi
Korhonen
justitieministeriet
dataombudsman
Reijo
Aarnio
dataombudsmannens byrå
professor
Raija
Huhtanen
professor
Juha
Lavapuro
professor
Tuomas
Ojanen
professor
Janne
Salminen.
PROPOSITIONEN
I propositionen föreslår regeringen att det stiftas en ny lag om ett övervakningssystem för bank- och betalkonton och en lag om tillhandahållare av virtuella valutor. Dessutom föreslås ändringar i flera andra lagar. De föreslagna ändringarna syftar i huvudsak till att genomföra Europaparlamentets och rådets direktiv om förhindrande av penningtvätt och av finansiering av terrorism. 
Propositionen hänför sig till budgetpropositionen för 2019 och avses bli behandlad i samband med den. 
Lagarna avses träda i kraft den 1 januari 2019. Övervakningssystemet för bank- och betalkonton och registreringskraven omfattas av vissa övergångsbestämmelser. 
I motiveringen till lagstiftningsordning granskas lagförslagen mot grundlagens 8 § om den straffrättsliga legalitetsprincipen, 10 § om skydd för privatliv och personuppgifter, 18 § om näringsfrihet, 21 § om rättsskydd, 80 § om utfärdande av förordningar och delegering av lagstiftningsbehörighet samt 81 § om statliga skatter och avgifter. 
Regeringen anser att lagförslaget kan behandlas i vanlig lagstiftningsordning. Eftersom det föreslagna övervakningssystemet för bank- och betalkonton enligt regeringen också måste analyseras med avseende på EU:s allmänna dataskyddsförordning och dataskyddslagen, anser regeringen att grundlagsutskottet bör yttra sig om propositionen. 
UTSKOTTETS ÖVERVÄGANDEN
Utgångspunkter för bedömningen
I propositionen föreslår regeringen att det stiftas en lag om ett övervakningssystem för bank- och betalkonton som består av ett datasöksystem och ett register. Syftet med lagen är att främja myndigheternas elektroniska tillgång till information om bank- och betalkonton. Genom propositionen genomförs Europaparlamentets och rådets direktiv om penningtvätt och finansiering av terrorism (nedan också penningtvättsdirektivet). 
Ett kreditinstitut ska enligt förslaget administrera ett elektroniskt datasöksystem för bank- och betalkonton, med hjälp av vilket det utan dröjsmål och trots sekretessbestämmelserna kan förmedla uppgifter om bank- och betalkonton till en behörig myndighet. Kreditinstitutet ska med Finansinspektionens tillstånd kunna avstå från att upprätta ett datasöksystem, varvid det ska skicka uppgifterna till registret över bank- och betalkonton. Till en myndighet ska, för utförandet av myndighetens lagstadgade uppdrag, överlåtas uppgifter om kontoinnehavaren och den som har användningsrätt till kontot, den verkliga förmånstagaren, den som hyr ett bankfack, krediter och egendom som ställts som säkerhet för dessa samt identifieringsuppgifter om bank- och betalkontot. Vidare kan även andra uppgifter om kundförhållandet i fråga om kontoinnehavaren eller den som har rätt att använda kontot överlåtas. 
Rätt att få information ur datasöksystemet har Skatteförvaltningen, Tullen, utsökningsverket, behöriga myndigheter enligt penningtvättslagen och advokatföreningen, centralen för utredning av penningtvätt, polisen och Gränsbevakningsväsendet, Folkpensionsanstalten, Finansinspektionen och konkursombudsmannens byrå. 
I motiveringen till lagstiftningsordning påpekar regeringen att artikel 32a.1 i penningtvättsdirektivet föreskriver att medlemsstaterna ska införa centraliserade automatiserade mekanismer, till exempel centrala register eller centrala elektroniska datasöksystem, som gör det möjligt att fastställa identiteten hos fysiska eller juridiska personer som innehar eller kontrollerar betalkonton och bankkonton som identifieras med IBAN-nummer samt bankfack som innehas av ett kreditinstitut inom deras territorium. 
I lagförslag 1 föreslår regeringen att det för genomförandet av artikel 32a i penningtvättsdirektivet ska föreskrivas om ett system för övervakning av bank- och betalkonton, som består av ett register över bank- och betalkonton och ett datasöksystem för bank- och betalkonton. Datasöksystemet gör det möjligt att överlåta personuppgifter och förmögenhetsuppgifter som omfattas av banksekretessen elektroniskt från kreditinstitut till de myndigheter som anges i lagen för att dessa ska kunna fullgöra sin lagstadgade uppgift. Uppgifterna lagras inte i systemet utan överlåts direkt från kreditinstitutet till myndigheten. Myndigheten ska ange en lagstiftningsgrund med stöd av vilken den har rätt att få uppgifterna. Kreditinstitutet ansvarar för att de uppgifter som överlåts är korrekta. 
Regleringen är betydelsefull med avseende på skyddet för privatlivet och för personuppgifter i 10 § i grundlagen. Med anledning av tillämpningen av EU:s allmänna dataskyddsförordning har utskottet justerat sin tidigare ståndpunkt till lagstiftningen om skyddet för personuppgifter på vissa punkter. Utskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, över lag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Korrekt tolkade och tillämpade svarar bestämmelserna i förordningen enligt utskottets uppfattning också den nivå på skyddet för personuppgifter som bestäms utifrån Europakonventionen. Således är det inte längre av konstitutionella skäl nödvändigt att speciallagstiftningen inom förordningens tillämpningsområde heltäckande och detaljerat föreskriver om behandling av personuppgifter (se GrUU 14/2018 rd, s. 4). 
Grundlagsutskottet har särskilt påpekat att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 14/2018 rd, s. 5, och de utlåtanden som nämns där). Här är det relevant att lagstiftarens handlingsutrymme i fråga om behandling av personuppgifter särskilt begränsas av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som garanteras i samma moment i grundlagens 10 §. Lagstiftaren ska tillgodose denna rätt på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd och t.ex. GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). 
Utskottet har tidigare ansett att banksekretessen inte är en faktor som hör till kärnan i det som avses med privatlivet (GrUU 14/2002 rd, s. 4, GrUU 7/2000 rd, s. 4). Sedan dess har utskottet utformat en ny syn på innebörden av kärnan i skyddet för privatlivet. Exempelvis har grundlagsutskottet i sin tidigare praxis ansett att identifieringsuppgifterna för ett meddelande ligger utanför kärnområdet för den grundläggande fri- och rättighet som skyddar hemligheten i fråga om förtroliga meddelanden (se t.ex. GrUU 33/2013 rd, s. 3/I—II, GrUU 6/2012 rd, s. 3—4, GrUU 29/2008 rd, s. 2—3 och GrUU 3/2008 rd, s. 2/I). Utskottet har justerat den här praxisen, eftersom identifieringsuppgifter som anknyter till elektronisk kommunikation samt möjligheten att sammanställa och kombinera dem kan vara så pass problematiska med hänsyn till skyddet för privatlivet att en kategorisk uppdelning av skyddet i ett kärnområde och ett randområde inte alltid är motiverad, utan man måste på ett allmännare plan fästa vikt också vid hur betydelsefulla begränsningarna är (GrUU 18/2014 rd, s. 6, se också GrUU 36/2018 rd, s. 23). 
Utskottet har ansett att det också vid beredningen av nationell lagstiftning som har relevans för skyddet för privatliv och personuppgifter och grundar sig på EU-rätten finns anledning att fästa särskild uppmärksamhet vid EU-domstolens avgöranden i fallen Digital Rights Ireland (C-293/12 och C-594/12), Schrems (C-362/14) och Tele2 Sverige och Watson (C-698/15 och C-203/15) (GrUU 36/2017 rd, GrUU 35/2018 rd, s. 6, GrUU 13/2017 rd, GrUU 9/2017 rd, s. 5). I fallet Tele2 och Watson konstaterade domstolen att trafikuppgifterna och lokaliseringsuppgifterna sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i (99 punkten, se också domen i Digital Rights-fallet, 27 punkten). Domstolen påpekade att det utifrån de här uppgifterna är möjligt att kartlägga de berörda personerna på ett sätt som är lika känsligt ur integritetssynpunkt som själva innehållet i kommunikationerna. 
I ju större utsträckning privata människor gör sina betalningar via ett bankkonto i stället för att använda kontanter, desto mer detaljerad blir den bild man kan få av deras privatliv utifrån transaktionerna på kontot, anser grundlagsutskottet. Transaktionerna kan rentav avslöja känsliga uppgifter såsom medlemskap i religionssamfund och användning av hälso- och sjukvårdstjänster. Därför kan fysiska personers detaljerade kontouppgifter jämställas med känsliga uppgifter som hör till kärnan i skyddet för privatlivet. 
Utskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 15/2018 rd, s. 37, GrUU 13/2016 rd, s. 3, GrUU 14/2009 rd, s. 3). Även enligt EU:s allmänna dataskyddsförordning bör särskilda personuppgifter som avses i artikel 9 i förordningen och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det bör finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt (se t.ex. GrUU 3/2017 rd). Bestämmelserna om behandling av känsliga uppgifter bör fortfarande analyseras utifrån praxisen för tidigare bestämmelser på lagnivå i den utsträckning dataskyddsförordningen tillåter (GrUU 14/2018 rd, s. 5—6). 
I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se t.ex. GrUU 38/2016 rd, s. 3). Utskottet har analyserat bestämmelser om myndigheternas rätt att få och skyldighet att lämna ut information med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och möjlighet att lämna ut information kan enligt utskottet gälla ”behövliga uppgifter” för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "informationen är nödvändig" för ett visst syfte (se t.ex. GrUU 17/2016 rd, s. 5, och de utlåtanden som nämns där). Utskottet har ansett att grundlagen inte tillåter en mycket vag och ospecificerad rätt att få uppgifter, inte ens om den är knuten till nödvändighetskriteriet (GrUU 19/2012 rd, s. 4 och de utlåtanden som nämns där). 
Grundlagsutskottet understryker att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är frågan inte bara om omfattningen av innehållet i uppgifterna utan också om att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att begäran om information måste motiveras. Då kan också den som lämnar ut informationen bedöma begäran med avseende på de lagliga villkoren för utlämnandet. Genom att de facto vägra att lämna ut informationen kan den som innehar den göra att det uppstår ett läge där en utomstående myndighet måste undersöka skyldigheten att lämna ut information, det vill säga tolka bestämmelserna. Denna möjlighet är viktig då det gäller att anpassa tillgången till information och sekretessintressena till varandra (se t.ex. GrUU 17/2016 rd, s. 6, och där nämnda utlåtanden). Utskottet anser att principer av det här slaget också kan tillämpas på rätten att få och lämna ut information trots banksekretessen. 
I en konstitutionell bedömning ska tyngdpunkten ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en konstitutionell analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter (GrUU 14/2018 rd, s. 7). 
Utskottet har fäst uppmärksamhet vid att en sådan bedömning är möjlig endast om propositionen tillräckligt ingående specificerar skälen till att behandling av personuppgifter anses nödvändigt. Det räcker inte med att i form av en slutledning konstatera att de föreslagna bestämmelserna på lagnivå är exakta och klart avgränsade samt godtagbara med hänsyn till de grundläggande fri- och rättigheterna som helhet och att de föreslagna ändringarna står i proportion till ändamålet samt att målsättningen inte kan nås genom mindre ingrepp i rättigheterna, om det i motiven till lagstiftningsordning inte på något vis preciseras på vilka grunder de nya befogenheterna att behandla personuppgifter kan anses vara proportionerliga och bygga på skäl som är godtagbara ur konstitutionell synvinkel (GrUU 38/2016 rd, s. 3). Utskottet har framhållit att en sådan brist i motiven till ett lagförslag i extremfall kan leda till att lagförslaget bedöms strida mot grundlagen till den del det inte motiverats på ett riktigt sätt (se t.ex. GrUU 38/2016 rd, s. 3 och GrUU 9/2016 rd, s. 6, och GrUU 19/1998 rd, s. 4). 
Exakthet och noggrann avgränsning
Rätten att få uppgifter ur övervakningssystemet för bank- och betalkonton regleras i 3 § i lagförslag 1. Enligt ordalydelsen ska de behöriga myndigheter som anges i bestämmelsen ha rätt att trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av information få uppgifter ur övervakningssystemet för bank- och betalkonton, om detta är nödvändigt för utförandet av de uppgifter som nämns i bestämmelsen. I motiveringen till bestämmelsen (s. 74) uppger regeringen att rätten att få uppgifter gäller oberoende av sekretessbestämmelserna i olika lagar eller andra begränsningar som gäller erhållande av information, om informationen är nödvändig för att ett ärende som är under behandling ska kunna avgöras, eller om den av någon annan orsak är nödvändig för verkställandet av de uppgifter som nämns i paragrafen. Bestämmelser om vad som krävs för att informationen ska betraktas som nödvändig finns i de särskilda lagarna om de behöriga myndigheternas uppgifter, står det i motiveringen. Dessutom uppger regeringen att den information som enligt förslaget ska kunna lämnas ut omfattas av banksekretessen enligt kreditinstitutslagen och är sekretessbelagd med stöd av lagen om offentlighet i myndigheternas verksamhet. 
I 4 § 2 mom. i lagförslag 1 finns det bestämmelser om vilken information som får lämnas ut via datasystemet. Bestämmelserna hänvisar till den behöriga myndighetens lagstadgade uppgift, med stöd av vilken den redan enligt gällande lag har rätt att få uppgifter om bank- och betalkonton. Myndigheten ansvarar för att den har rätt enligt lag att begära uppgifter, och grunden för denna rätt ska anges i samband att uppgifterna begärs (s. 76 i motiveringen). 
Utskottet ser ett problem i att bestämmelserna är så öppna och tvetydiga i relation till behandlingen av känsliga uppgifter. Den föreslagna ordalydelsen gör att det blir oklart dels hur 3 och 4 § i lagförslag 1 gällande rätten att få och lämna ut information förhåller sig till varandra, dels vilken relationen är till de andra villkor som speciallagarna om olika behöriga myndigheters uppgifter ställer på erhållande av information. Enligt grundlagsutskottets praxis måste det finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt. Följaktligen måste de aktuella bestämmelserna preciseras och förtydligas väsentligt. Utan dessa ändringar kan lagförslag 1 inte behandlas i vanlig lagstiftningsordning. 
Enligt 4 § 3 mom. i lagförslag 1 ska nödvändiga uppgifter om en fysisk eller juridisk persons kundförhållande få utlämnas via datasöksystemet. Enligt motiveringen rör det sig om andra uppgifter än de som återfinns i 2 mom. Exempel på sådana uppgifter kan vara uppgifter som gäller investeringstillgångar (s. 78). Momentet grundar sig på artikel 32a.4 i direktivet, som innehåller en medlemsstatsoption enligt vilken medlemsstaterna kan kräva att andra väsentliga uppgifter ska kunna fås via centraliserade mekanismer. Enligt utskottets uppfattning handlar det således om bestämmelser som ingår i den nationella prövningsrätten. I sin praxis har utskottet förutsatt att det i lagstiftningen ingår ett krav på att "uppgifterna är nödvändiga" för ett visst syfte. Följaktligen måste 4 § 3 mom. i lagförslag 1 preciseras utifrån motiveringen på så sätt att det av bestämmelsens ordalydelse framgår mot vilket syfte nödvändighetskriteriet ska granskas. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Användningen av det nationella handlingsutrymmet
Det ingår i princip inte i grundlagsutskottets konstitutionella uppdrag att bedöma den nationella genomförandelagstiftningen med avseende på den materiella EU-rätten (se t.ex. GrUU 31/2017 rd, s. 4). Men utskottet lägger fortfarande vikt vid att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd, GrUU 25/2005 rd). Utskottet har framhållit att det därför finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42). 
I den aktuella propositionen ligger fokus på principen att de föreslagna ändringarna i huvudsak syftar till att genomföra Europaparlamentets och rådets direktiv om förhindrande av penningtvätt och av finansiering av terrorism. Utskottet ser det som särskilt beklagligt att området för det nationella handlingsutrymmet beskrivs bristfälligt. Utskottet vill att regeringen ser allvarligt på den här frågan, som utskottet flera gånger har påtalat (se t.ex. GrUU 26/2018 rd, s. 4, och GrUU 2/2017 rd, s. 2—3). 
Bestämmelser som de föreslagna, som tillåter att känsliga personuppgifter i kärnan av skyddet för privatlivet behandlas trots sekretessen, måste beredas, motiveras och innehållsmässigt utformas särskilt noggrant och med hänsyn till de krav som grundlagen ställer. 
Enligt utredning kan den rätt till information som Folkpensionsanstalten föreslås få inte överhuvudtaget härledas ur kraven i penningtvättsdirektivet. Det främsta argumentet är att rättigheten effektiviserar bland annat beslutsprocessen i fråga om utkomststöd, vilket ur stödkundernas synvinkel innebär förenklad service och snabbare stödbeslut. I kombination med inkomstregistret kan övervakningssystemet för bank- och betalkonton enligt motiveringen eventuellt hjälpa Folkpensionsanstalten att automatisera en del av stödbeslutsförfarandet (s.68). Motiveringen att förfarandet blir snabbare är i sig godtagbar och förenlig med kravet på behandling utan dröjsmål enligt 21 § 1 mom. i grundlagen. Men ett snabbare och smidigare förfarande räcker inte som motivering till den föreslagna begränsningen av skyddet för privatlivet, eftersom det är en djupgående begränsning som är oberoende av den sökandes samtycke. 
Utskottet har tidigare analyserat bestämmelser om att Folkpensionsanstalten från penninginstituten ska ha rätt att trots sekretessbestämmelserna och oberoende av den berörda personens samtycke få de uppgifter som är nödvändiga för att avgöra ett ärende. Utgångspunkten var då att bestämmelserna innebar att banksekretessen bröts i fråga om den som söker eller får en förmån. Även om utskottet inte då ansåg att banksekretessen var en faktor som hörde till kärnan i det som avses med privatlivet såg utskottet det som en fråga om lagstiftningsordning att förfarandet kommer i sista hand, det vill säga att begäran om information är kopplad till villkoret att tillräckliga uppgifter och utredningar inte kan fås på annat sätt och att det finns motiverad anledning att misstänka att den som sökt eller fått en förmån har lämnat otillräckliga eller otillförlitliga uppgifter (GrUU 14/2002 rd, s. 4). De nu aktuella propositionsmotiven klarlägger inte hur de här faktorerna avses bli beaktade i tillämpningen av de föreslagna bestämmelserna. I det ovannämnda utlåtandet (GrUU 14/2002 rd, s. 4) kräver utskottet också att sökanden eller mottagaren ska informeras innan begäran framförs. Enligt de nu föreslagna bestämmelserna ska Folkpensionsanstalten informera kunden om att den har inhämtat uppgifter om kundens bank- och betalkonton i syfte att fatta beslut. Underrättelsen ska alltså ges i efterhand. 
Enligt utskottets uppfattning införs det genom bestämmelserna ett system som innebär att personuppgifter som omfattas av banksekretessen lämnas ut till flera olika myndigheter utan tillräcklig förhandskontroll. I fråga om kontroll hänvisar regeringen främst till att den behöriga myndigheten via datasystemet ska specificera med stöd av vilken rättsgrund den begär uppgifter och att det i systemet också ska lagras en logguppgift om den tjänsteman som begärt uppgifterna (s. 76). 
Utskottet anser att propositionen inte innehåller godtagbart motiverade, konstitutionellt korrekta, exakta eller noggrant avgränsade bestämmelser om Folkpensionsanstaltens rätt att få information ur övervakningssystemet enligt 3 § i lagförslag 1. Enligt utskottet måste 3 § 1 mom. 7 punkten strykas i lagförslag 1. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Uppenbarligen innehåller 3 § 1 mom. i lagförslag 1 förslag om att också andra myndigheter ska få rätt till information trots att penningtvättsdirektivet inte kräver några sådana rättigheter. Eftersom propositionen inte innehåller godtagbart motiverade, konstitutionellt korrekta, exakta eller noggrant avgränsade bestämmelser om detta måste ekonomiutskottet noggrant granska hur lagförslag 1 förhåller sig till direktivet och i 3 § 1 mom. i lagförslag 1 stryka de andra rättigheterna än de som krävs i direktivet. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Innehållet i övervakningssystemet
I 4 § 2 mom. i lagförslag 1 föreskrivs det om vilka uppgifter som trots sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter ska få lämnas ut till den behöriga myndigheten via datasöksystemet för bank- och betalkonton. Till de uppgifter som ska få lämnas ut enligt 3 punkten hör kontots saldo, kontovaluta och kopior av dokumenten om kontots öppnande. Enligt 4 punkten får också uppgifter om kontotransaktioner under åtminstone de tre föregående åren lämnas ut. Hit hör start- och slutsaldo för den begärda perioden, arkiveringskod eller annan identifikationskod, datum och klockslag, transaktionstyp, summa i kontots valuta, kontonummer för och namn på mottagare av utgående betalningar, kontonummer för och namn på avsändare av inkommande betalningar samt meddelande och referensnummer för en betalning. 
Enligt en utredning som utskottet fått kräver penningtvättsdirektivet inte att kontouppgifterna behandlas i så här stor utsträckning. Utskottet anser att en så här omfattande behandling av kontouppgifter utan beslut i de enskilda fallen som sagt innebär en djupgående begränsning av skyddet för privatlivet. Därför måste 4 § 2 mom. 4 punkten strykas i lagförslag 1. Dessutom måste skrivningarna om kontots saldo, kontovaluta och dokumenten om kontots öppnande strykas i 3 punkten. Utan dessa ändringar kan lagförslag 1 inte behandlas i vanlig lagstiftningsordning. 
Utskottet ser det som uppenbart att uppgifterna om kontotransaktioner följaktligen inte heller får lämnas ut med stöd av 4 § 3 mom. i lagförslag 1 gällande möjligheten att lämna ut andra nödvändiga uppgifter om en fysisk eller juridisk persons kundförhållande. Bestämmelsen måste preciseras med en avgränsning. Ändringen är en förutsättning för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning. 
Enligt grundlagsutskottet måste ekonomiutskottet även i övrigt granska 4 § 2 mom. i lagförslag 1 gällande de uppgifter som ska lämnas ut via datasöksystemet. Innehållet i de uppgifter som lämnas ut via systemet måste avgränsas till det som krävs i penningtvättsdirektivet. 
Register över bank- och betalkonton
Om det är motiverat med tanke på kreditinstitutets storlek och verksamhetens karaktär och omfattning kan kreditinstitutet avvika från skyldigheten att administrera ett datasöksystem, om Finansinspektionen beviljar tillstånd för detta, står det i 4 § 1 mom. i lagförslag 1. Om det är fråga om ett kreditinstitut som till sin storlek kan jämföras med till exempel ett litet betalningsinstitut kan kreditinstitutet enligt motiveringen (s. 76) välja om det vill förmedla uppgifterna via ett datasöksystem eller ett register. Lagförslagets 5—9 § föreskriver om register och behandling av registeruppgifter. Enligt 7 § ska Tullen lämna ut uppgifter ur registret över bank- och betalkonton till behöriga myndigheter. 
Det är enligt utskottet ett villkor för vanlig lagstiftningsordning att möjligheten att lämna ut registeruppgifter i de här fallen inte utifrån den nationella prövningen kan bli likadan som de rättigheter till information som ovan konstaterats vara grundlagsvidriga med avseende på innehållet. Ekonomiutskottet måste precisera bestämmelserna vid behov. 
Tullen ska enligt 5 § i lagförslag 1 vara personuppgiftsansvarig för registret över bank- och betalkonton och förvalta registret samt svara för att uppgifter som förts in i registret förmedlas till behöriga myndigheter. I motiveringen till lagstiftningsordning (s. 49) uppger regeringen att Tullen i sin egenskap av personuppgiftsansvarig inte ska fatta förvaltningsbeslut om enskilda registrerade. Registerverksamheten ska enligt motiveringen bygga på långt automatiserad mottagning, registrering och förmedling av uppgifter till myndigheter i enlighet med deras lagstadgade rätt att få uppgifter. Den registrerades rättsskydd tillgodoses på så sätt att en felaktig uppgift ska korrigeras av den näringsidkare som har skickat in uppgiften till registret över bank- och betalkonton. 
Utskottet påpekar att artikel 5.1 d i EU:s direkt tillämpliga dataskyddsförordning föreskriver att de personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade, och att alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Enligt artikel 5.2 ska den personuppgiftsansvarige ansvara för och kunna visa att kravet på korrekthet uppfylls. 
Syftet med registret över bank- och betalkonton är att ta emot och lagra sådana uppgifter som avses i 6 § 2 och 3 mom. och som lämnas av betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor samt sådana uppgifter som avses i 6 § 3 mom. och som lämnas av kreditinstitut, står det i 5 § 2 mom. i lagförslag 1. Men det sägs inte ut i vilket syfte uppgifterna ska tas emot och lagras. Utskottet menar att det huvudsakliga ändamålet med registret verkar vara att lämna ut uppgifter ur registret över bank- och betalkonton enligt 7 § i lagförslaget. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål. 
Utskottet har ansett att behandlingen av känsliga uppgifter är central för skyddet av privatlivet och att det inte kan höra till lagstiftarens behörighet att föreskriva om detta i strid med bestämmelserna i dataskyddsförordningen, som hör till EU-rätten (GrUU 15/2018 rd, s. 44). Registret kan även efter de ovannämnda avgränsningarna innehålla känsliga uppgifter med anledning av penningtvättsdirektivet. Ekonomiutskottet bör noggrant utreda om bestämmelserna är förenliga med dataskyddsförordningen, framför allt i fråga om den personuppgiftsansvariges ansvar och vid behov också när det gäller andra frågor i ett bredare perspektiv. 
Den föreslagna lagen om tillhandahållare av virtuella valutor
I 14 § i lagförslag 2 finns bestämmelser om Finansinspektionens rätt att trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av information ur det bötesregister som avses i lagen om verkställighet av böter få de uppgifter som behövs för att utreda tillförlitligheten i fråga om en person som avses i 7 § i denna lag. Enligt utskottets uppfattning omfattar den här rättigheten också personuppgifter som betraktas som känsliga och som ska behandlas enligt artikel 10 i dataskyddsförordningen. Den föreslagna regleringen måste på grund av grundlagens 10 § 1 mom. om skydd för privatlivet och personuppgifter ändras så att den blir förenlig med grundlagsutskottets ovan återgivna praxis för bestämmelser som rör myndigheternas rätt att få och lämna ut uppgifter trots sekretess genom att rätten till information kopplas till ett krav på nödvändighet eller genom att en förteckning över de berörda uppgifterna skrivs in. Ändringen är en förutsättning för att lagförslag 2 ska kunna behandlas i vanlig lagstiftningsordning. 
FÖRSLAG TILL BESLUT
Grundlagsutskottet anför
att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till 3, 4 och 7 § beaktas på behörigt sätt och lagförslag 2 bara om utskottets konstitutionella anmärkning till 14 § beaktas på behörigt sätt
Helsingfors 5.12.2018 
I den avgörande behandlingen deltog
ordförande
Annika
Lapintie
vänst
vice ordförande
Tapani
Tölli
cent
medlem
Maria
Guzenina
sd
medlem
Hannu
Hoskonen
cent
medlem
Ilkka
Kantola
sd
medlem
Kimmo
Kivelä
blå
medlem
Antti
Kurvinen
cent
medlem
Mia
Laiho
saml
medlem
Ville
Niinistö
gröna
medlem
Juha
Rehula
cent
medlem
Wille
Rydman
saml
medlem
Ville
Skinnari
sd
medlem
Kaj
Turunen
saml.
Sekreterare var
utskottsråd
Mikael
Koillinen.
Senast publicerat 18.12.2018 16:06