Senast publicerat 02-07-2025 20:38

Utlåtande GrUU 10/2022 rd RP 163/2021 rd Grundlagsutskottet Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om ett övervakningssystem för bank- och betalkonton och lagen om centralen för utredning av penningtvätt

Till förvaltningsutskottet

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om ett övervakningssystem för bank- och betalkonton och lagen om centralen för utredning av penningtvätt (RP 163/2021 rd): Ärendet har remitterats till grundlagsutskottet för utlåtande till förvaltningsutskottet. 

Sakkunniga

Utskottet har hört 

  • ledande expert Elina Rantakokko 
    inrikesministeriet
  • lagstiftningsråd Virpi Koivu 
    justitieministeriet
  • biträdande dataombudsman Jari Råman 
    Dataombudsmannens byrå
  • professor Tuomas Ojanen 
  • professor Janne Salminen. 

Skriftligt yttrande har lämnats av 

  • justitieråd, professor Juha Lavapuro. 

PROPOSITIONEN

I propositionen föreslås att lagen om ett övervakningssystem för bank- och betalkonton och lagen om centralen för utredning av penningtvätt ska ändras. Syftet med propositionen är att genomföra direktivet om finansiell information, komplettera genomförandet av det femte penningtvättsdirektivet samt utfärda kompletterande bestämmelser till följd av nationella ändringsbehov. 

Lagarna avses träda i kraft så snart som möjligt med undantag för vissa bestämmelser om övervakningssystemet för bank- och betalkonton som avses träda i kraft den 1 september 2022. 

I motiven till lagstiftningsordning i propositionen bedöms lagförslagen med avseende på skyddet för privatlivet och skyddet för personuppgifter, så som det garanteras i 10 § i grundlagen. 

Regeringen anser att lagförslagen kan behandlas i vanlig lagstiftningsordning. Regeringen anser det dock önskvärt att grundlagsutskottet lämnar utlåtande i ärendet. 

UTSKOTTETS ÖVERVÄGANDEN

Utgångspunkter för bedömningen

(1)I propositionen föreslås att lagen om ett övervakningssystem för bank- och betalkonton och lagen om centralen för utredning av penningtvätt ska ändras. Syftet med propositionen är att genomföra det så kallade direktivet om finansiell information (Europaparlamentets och rådets direktiv (EU) 2019/1153 om fastställande av bestämmelser för att underlätta användning av finansiell information och andra uppgifter för att förebygga, upptäcka, utreda eller lagföra vissa brott och om upphävande av rådets beslut 2000/642/RIF) och komplettera genomförandet av det så kallade femte penningtvättsdirektivet (Europaparlamentets och rådets direktiv (EU) 2018/843 om ändring av direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, och om ändring av direktiven 2009/138/EG och 2013/36/EU). Avsikten är dessutom att utfärda kompletterande bestämmelser på grund av nationella ändringsbehov. 

(2)Den gällande lagstiftningen om penningtvätt har tillkommit under grundlagsutskottets medverkan (se GrUU 48/2018 rd och GrUU 2/2017 rd samt t.ex. GrUU 15/2008 rd och GrUU 30/1997 rd.) Dessutom har utskottet tidigare analyserat ett lagförslag där räckvidden för lagen om penningtvätt utsträcktes till förhindrande och utredning av finansiering av terrorism enligt 34 kap. 9 b § i strafflagen och lagen kompletterades med bestämmelser om identifierings-, omsorgs- och anmälningsplikt för de rapporteringsskyldiga (GrUU 58/2002 rd). 

(3)Propositionens primära syfte är att verkställa EU-rätten. Det ingår a priori inte i grundlagsutskottets konstitutionella uppdrag att bedöma nationell genomförandelagstiftning med avseende på den materiella EU-rätten (se t.ex. GrUU 13/2019 rd, s. 2, GrUU 31/2017 rd, s. 4). Enligt utskottet är det i och för sig klart att unionslagstiftningen enligt EU-domstolens etablerade rättspraxis har företräde framför nationell rätt i överensstämmelse med de villkor som lagts fast i denna rättspraxis (se t.ex. GrUU 14/2018 rd, s. 12—13 och GrUU 20/2017 rd, s. 6) och att man inte i vår nationella lagstiftning bör gå in för lösningar som strider mot unionsrätten (GrUU 15/2018 rd, s. 42—43, GrUU 14/2018 rd, s. 13, GrUU 26/2017 rd, s. 42—43). Förvaltningsutskottet bör försäkra sig om att regleringen är ändamålsenlig med tanke på EU-rätten. 

(4)Men grundlagsutskottet understryker fortfarande att det i den mån EU-lagstiftningen kräver eller möjliggör reglering på det nationella planet tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se t.ex. GrUU 1/2018 rd, GrUU 25/2005 rd). Utskottet har framhållit att det därför finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (se t.ex. GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42). 

(5)I propositionen föreslås också vissa bestämmelser som enbart motiveras av nationella behov och som ska bedömas i förhållande till bestämmelserna i grundlagen. Exempelvis Skatteförvaltningen, Tullen, Utsökningsverket, polisen och Gränsbevakningsväsendet, Försvarsmakten och Finansinspektionen ska enligt propositionen få åtkomst till övervakningssystemet för bank- och betalkonton för andra ändamål än de som förutsätts i direktivet. 

Övervakningssystemet för bank- och betalkonton

(6)I 3 § i lagförslag 1 i propositionen föreslås det att flera myndigheter ska få tillträde till övervakningssystemet för bank- och betalkonton. Grundlagsutskottet har bedömt ett sådant tillträde till övervakningssystemet när det bedömde regeringens proposition till riksdagen med förslag till lag om ett övervakningssystem för bank- och betalkonton och till vissa lagar som har samband med den (GrUU 48/2018 rd), som ledde till den gällande regleringen. Utskottet hänvisade då till sin tidigare åsikt att banksekretessen inte är en faktor som hör till kärnan i det som avses med privatlivet (GrUU 14/2002 rd, s. 4/II, GrUU 7/2000 rd, s. 4/I). Utskottet framhöll sig senare ha omvärderat sin syn på innebörden i kärnan i skyddet för privatlivet. Med hänvisning också till EU-domstolens praxis i fråga om skyddet för privatlivet ansåg utskottet att i ju större utsträckning privatpersoner gör sina betalningar via ett bankkonto i stället för att använda kontanter, desto mer detaljerad blir den bild man kan få av deras privatliv utifrån transaktionerna på kontot. Transaktionerna kan rentav avslöja känsliga uppgifter såsom medlemskap i religionssamfund och användning av hälso- och sjukvårdstjänster. Därför kan fysiska personers detaljerade kontouppgifter jämställas med känsliga uppgifter som hör till kärnan i skyddet för privatlivet (GrUU 48/2018 rd, s. 4). 

(7)I den aktuella propositionen låg fokus då på principen att de föreslagna ändringarna i huvudsak syftar till att genomföra Europaparlamentets och rådets direktiv om förhindrande av penningtvätt och av finansiering av terrorism. Grundlagsutskottet ansåg det vara särskilt beklagligt att det i propositionen redogörs bristfälligt för området för det nationella handlingsutrymmet och fäste statsrådets allvarliga uppmärksamhet vid denna omständighet, som utskottet flera gånger har påpekat. Utskottets åsikt var att bestämmelser som de föreslagna, som skulle ha tillåtit att känsliga personuppgifter i kärnan av skyddet för privatlivet behandlas trots sekretessen, måste beredas, motiveras och utformas innehållsmässigt särskilt noggrant och med hänsyn till de krav som grundlagen ställer (GrUU 48/2018 rd, s. 7). 

(8)Enligt grundlagsutskottet innehöll propositionen då inte någon godtagbar, med tanke på grundlagen ändamålsenlig, exakt och noggrant avgränsad reglering, varför andra rättigheter att få uppgifter än de som direktivet förutsätter måste strykas ur lagförslaget, vilket var en förutsättning för att lagförslaget skulle kunna behandlas i vanlig lagstiftningsordning (GrUU 48/2018 rd, s. 8). 

(9)Också de lagändringar som nu föreslås är av betydelse med tanke på skyddet för privatlivet enligt 10 § i grundlagen. Med avseende på 10 § 1 mom. i grundlagen räcker det enligt grundlagsutskottet i princip med att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses utifrån den allmänna dataskyddsförordningen och den allmänna lagstiftningen på nationell nivå. Lagstiftaren bör alltså vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5). 

(10)Grundlagsutskottet ser det dock som klart att behovet av speciallagstiftning måste bedömas utifrån det riskbaserade förhållningssätt som också dataskyddsförordningen kräver, vilket innebär att avseende måste fästas vid de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). 

(11)Enligt grundlagsutskottet är det av betydelse att man i lagförslaget om övervakningssystemet för bank- och betalkonton vid riksdagsbehandlingen strök omnämnandet av uppgifter om kontotransaktioner (EkUB 43/2018 rd), det vill säga att övervakningssystemet för bank- och betalkonton enligt den gällande lagen inte innehåller kontotransaktioner och inte heller andra känsliga uppgifter på basis av vilka man kan bilda sig en heltäckande bild av en persons privatliv. I regeringens proposition föreslås inte någon ändring i detta, dvs. en eventuell begäran om information om kontotransaktioner sker enligt motiven (s. 107) på något annat sätt än via övervakningssystemet för bank- och betalkonton. Enligt propositionsmotiven (s. 106) omfattar övervakningssystemet för bank- och betalkonton uppgifter om kundrelationer, exempelvis om kontoinnehavaren eller nyttjanderättshavaren, identifieringsuppgifter om bankkonton, såsom IBAN-nummer, samt uppgifter om den verkliga förmånstagaren. 

(12)Regleringen enligt propositionen tillåter likväl att lämna ut personuppgifter och förmögenhetsuppgifter som omfattas av banksekretessen elektroniskt från kreditinstitut till de myndigheter som anges i lagen för att dessa ska kunna fullgöra sin lagstadgade uppgift. Enligt förslaget lagras uppgifterna inte i systemet utan överlåts direkt från det kreditinstitut som agerar som personuppgiftsansvarig till myndigheten. Myndigheten ska alltid lägga fram en i lag angiven behörighetsgrund för rätten att få uppgifter. Enligt grundlagsutskottet är det väsentligt att de egentliga åtkomsträttigheterna till systemet för sökning av information om bank- och betalkonton grundar sig på myndigheternas befogenheter och rätt att få information enligt annan gällande lagstiftning. 

(13)Utskottet fäste dock vid bedömningen av den proposition som ledde till den gällande regleringen uppmärksamhet också vid att rätten till information, som går före sekretessbestämmelserna, i sista hand går ut på att den myndighet som är berättigad till informationen i och med sina egna behov åsidosätter de grunder och intressen som är skyddade med hjälp av den sekretess som gäller myndigheten som innehar informationen. Ju mer generella bestämmelserna om rätt till information är, desto större är risken för att sådana intressen kan åsidosättas per automatik. Ju fullständigare bestämmelserna kopplar rätten till information till villkor i sak, desto mer sannolikt är det att en begäran om information måste motiveras. Då kan också den som lämnar ut uppgifterna bedöma en begäran med avseende på de lagliga villkoren för att lämna ut dem. Genom att de facto vägra lämna ut informationen kan den som innehar den skapa en situation där en utomstående myndighet måste undersöka skyldigheten att lämna ut uppgifter, det vill säga tolka bestämmelserna. Denna möjlighet är viktig för att samordna tillgången till information och intresset för att iaktta sekretess. Utskottet anser att de här utgångspunkterna också kan tillämpas på rätten att få och lämna ut uppgifter trots banksekretessen (GrUU 48/2018 rd, s. 5). Enligt utskottet skulle man genom den reglering som då föreslogs ha inrättat ett system genom vilket personuppgifter som omfattas av banksekretessen kunde lämnas ut till flera olika myndigheter utan tillräcklig förhandskontroll.(GrUU 48/2018 rd, s. 7). 

(14)Enligt grundlagsutskottet kan motsvarande synpunkter framföras också om innehållet i den nu föreslagna regleringen. Eftersom den föreslagna regleringen dock inte sträcker sig till enskilda uppgifter om kontotransaktioner som betraktas som känsliga uppgifter inom kärnområdet för skyddet för privatlivet, inverkar den nu föreslagna mer exakta och noggrant avgränsade regleringen med beaktande av de myndighetsspecifika motiveringar som anges i motiveringen till lagstiftningsordningen inte på behandlingsordningen i lagförslaget. Förvaltningsutskottet måste dock granska förhållandet mellan det föreslagna systemet och EU:s dataskyddslagstiftning och försäkra sig om att regelverken är förenliga med varandra. 

Sammanställningsprogrammet

(15)Enligt motiveringen (s. 47) är det av kostnadsskäl inte ändamålsenligt för en del behöriga myndigheter att skapa ett gränssnitt till övervakningssystemet för bank- och betalkonton, och därför föreslås det att dessa myndigheter ska kunna få uppgifterna av Tullen, som är personuppgiftsansvarig för registret över bank- och betalkonton. I propositionen föreslås att Tullen för genomförandet av artikel 4 i direktivet om finansiell information och för att komplettera genomförandet av artikel 32 a i det femte penningtvättsdirektivet bygger ett automatiserat sammanställningsprogram med vilket den centraliserat erbjuder både uppgifterna i kontoregistret som den administrerar och i datasöksystemen som administreras av de enligt penningtvättslagen rapporteringsskyldiga till de myndigheter som inte skapar egna förbindelser till de nämnda informationssystemen. 

(16)Den gällande lagen, som stiftats med grundlagsutskottets medverkan, innehåller inga motsvarande bestämmelser om sammanställningsprogrammet. Enligt propositionen är det i huvudsak fråga om att genomföra EU-rätten. I propositionen föreslås dock tillträde också för andra användningsändamål än de som anges i direktiven för Skatteförvaltningen, Tullen, Utsökningsverket, polisen, Gränsbevakningsväsendet och Försvarsmakten. Med beaktande av vad som sagts ovan om övervakningssystemets datainnehåll, regleringens detaljnivå och motiveringarna till regleringen inverkar den föreslagna regleringen inte heller till denna del på lagförslagets behandlingsordning. Grundlagsutskottet anser dock att förvaltningsutskottet också till denna del bör försäkra sig om att regleringen är förenlig med EU:s dataskyddslagstiftning. Utskottet fäster särskild uppmärksamhet vid att det utifrån propositionen är svårt att bilda sig en klar uppfattning om Tullens uppgifter som personuppgiftsansvarig. 

FÖRSLAG TILL BESLUT

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning.  
Helsingfors 24.2.2022 

I den avgörande behandlingen deltog

ordförande 
Johanna Ojala-Niemelä sd 
 vice ordförande 
Antti Häkkänen saml 
 medlem 
Outi Alanko-Kahiluoto gröna 
 medlem 
Bella Forsgrén gröna 
 medlem 
Maria Guzenina sd 
 medlem 
Petri Honkonen cent 
 medlem 
Olli Immonen saf 
 medlem 
Hilkka Kemppi cent 
 medlem 
Mikko Kinnunen cent 
 medlem 
Anna Kontula vänst 
 medlem 
Mats Löfström sv 
 medlem 
Jukka Mäkynen saf 
 medlem 
Sakari Puisto saf 
 medlem 
Wille Rydman saml 
 medlem 
Tuula Väätäinen sd 
 ersättare 
Johannes Koskinen sd 
 ersättare 
Sari Tanus kd. 
 

Sekreterare var

utskottsråd 
Mikael Koillinen.