1.1  Bakgrund

Övervakningssystemet för bank- och betalkonton grundades med lagen om ett övervakningssystem för bank- och betalkonton (571/2019), som för egen del genomförde Europaparlamentets och rådets direktiv (EU) 2018/843 om ändring av direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, och om ändring av direktiven 2009/138/EG och 2013/36/EU (nedan femte penningtvättsdirektivet ). I artikel 32 a i femte penningtvättsdirektivet förutsätts att medlemsstaterna inför centraliserade automatiserade mekanismer, såsom centraliserade register eller centraliserade elektroniska datasöksystem, som möjliggör att innehavare av bank- och betalkonton och bankfack identifieras i rätt tid.  

Lagen om ett övervakningssystem för bank- och betalkonton har ändrats bland annat genom regeringens proposition med förslag till lagar om ändring av lagen om ett övervakningssystem för bank- och betalkonton och lagen om centralen för utredning av penningtvätt (RP 163/2021 rd), vilken godkändes av riksdagen den 9 september 2022. Regeringens proposition gällde bestämmelserna i Europaparlamentets och rådets direktiv (EU) 2019/1153 om fastställande av bestämmelser för att underlätta användning av finansiell information och andra uppgifter för att förebygga, upptäcka, utreda eller lagföra vissa brott (nedan direktivet om finansiell information ). Med propositionen utvidgades rätten att använda övervakningssystemet för bank- och betalkonton till Skatteförvaltningen, Tullen, Utsökningsverket, polisen, Gränsbevakningsväsendet, Försvarsmakten och Finansinspektionen i fråga om de befogenheter som föreskrivits för ovan nämnda myndigheter i den gällande lagstiftningen.  

Övervakningssystemet för bank- och betalkonton består av de datasöksystem för bank- och betalkonton som administreras av kreditinstituten, det register över bank- och betalkonton som administreras av Tullen samt sammanställningsprogrammet. De behöriga myndigheter som använder systemet har byggt ett gränssnitt som baserar sig på en förfrågan till sammanställningsprogrammet. I registret över bank- och betalkonton lagras uppgifter som hänför sig till kundrelationerna i fråga, kundkonton och bankfack hos betalningsinstitut, institut för elektroniska pengar, kreditinstitut och leverantörer av kryptotillgångstjänster. Betalningsinstitut, institut för elektroniska pengar, leverantörer av kryptotillgångstjänster och kreditinstitut som fått tillstånd uppdaterar de lagstadgade uppgifterna i kontoregistret via det gränssnitt som Tullen genomfört. Kreditinstituten kan under vissa förutsättningar lämna ut uppgifter till kontoregistret med tillstånd av Finansinspektionen, men i princip ska kreditinstituten administrera ett elektroniskt datasöksystem för bank- och betalkonton, med vilket de förmedlar de lagstadgade uppgifterna till de behöriga myndigheterna. Syftet med datasöksystemet är att möjliggöra att personuppgifter och förmögenhetsuppgifter som omfattas av bankhemligheten lämnas ut elektroniskt från kreditinstituten till de myndigheter som fastställts i lagen för deras lagstadgade uppgifter. Uppgifterna i datasöksystemet lagras inte i övervakningssystemet för bank- och betalkonton, utan de lämnas ut från kreditinstitutet direkt till myndigheten via det sammanställningsprogram som Tullen administrerar.  

Övervakningssystemet för bank- och betalkonton innehåller med andra ord de uppgifter som föreskrivs i femte penningtvättsdirektivet, det vill säga uppgifter som hänför sig till kundrelationen i fråga, men inte kontotransaktions- och saldouppgifter. I regeringens proposition med förslag till lag om ett övervakningssystem för bank- och betalkonton och till vissa lagar som har samband med den (RP 167/2018 rd) föreslogs att kontotransaktions- och saldouppgifter som gäller ett konto fogas till övervakningssystemet. Enligt propositionen skulle kontotransaktions- och saldouppgifter ha fogats till en del av uppgiftsinnehållet i det automatiserade systemet. Grundlagsutskottet ansåg det vara synnerligen beklagligt att regeringens proposition vid den tidpunkten innehöll en bristfällig redogörelse om området för det nationella handlingsutrymmet. Enligt utskottet måste bestämmelser som de föreslagna, som tillåter att känsliga personuppgifter i kärnan av skyddet för privatlivet behandlas trots sekretessen, beredas, motiveras och innehållsmässigt utformas särskilt noggrant och med hänsyn till de krav som grundlagen ställer (GrUU 48/2018 rd, s. 7). Vid riksdagsbehandlingen av utkastet till regeringsproposition minskades uppgiftsinnehållet i det föreslagna övervakningssystemet för bank- och betalkonton avsevärt. Den arbetsgrupp som beredde regeringens proposition med förslag till lagar om ändring av lagen om ett övervakningssystem för bank- och betalkonton och lagen om centralen för utredning av penningtvätt granskade på nytt möjligheten att foga kontotransaktions- och saldouppgifter till övervakningssystemet för bank- och betalkonton. Myndigheterna ansåg att det var väldigt viktigt att främja ärendet, men på grund av det knappa tidsschemat för lagstiftningsprojektet ansåg arbetsgruppen att det var nödvändigt att flytta beredningen av ärendet till ett separat projekt. 

I riksdagsbehandlingen av denna regeringsproposition betonade ekonomi- och förvaltningsutskotten i sina utlåtande vikten av att foga kontotransaktionsuppgifter till övervakningssystemet för bank- och betalkonton. Enligt ekonomiutskottets utlåtande (EkUU 5/2022 rd) tillämpas på utlämnande av kontouppgifter en komplicerad reglering, som dock inte helt täcker behandlingen av transaktionsuppgifter. Vid riksdagsbehandlingen av lagen om ett övervakningssystem för bank- och betalkonton (RP 167/2018 rd — EkUB 43/2018 rd — GrUU 48/2018 rd) karakteriserades transaktionsuppgifter som uppgifter som omfattas av skyddet för privatlivet. Av denna anledning behandlas kontouppgifter och transaktionsuppgifter på olika sätt: känsliga uppgifter som omfattas av skyddet för privatlivet kan inte behandlas på samma sätt som andra uppgifter. Ekonomiutskottet konstaterade att den föreslagna lagstiftningen inte löser det nuvarande problemet med att myndigheternas förfaranden är splittrade och manuella när det är fråga om känsliga kontotransaktionsuppgifter som omfattas av integritetsskyddet. Utskottet ansåg att det är motiverat att anse att manuell behandling av uppgifter inte garanterar en hög skyddsnivå. Även känsliga uppgifter kan behandlas automatiskt när det förutsätts att hanteringen av åtkomsträttigheter till systemen och informationssäkerheten har lösts på behörigt sätt. Det väsentliga är att begäran om och läsning av uppgifter resulterar i logganteckningar som inte kan ändras i efterhand.  

Förvaltningsutskottet instämde i sitt eget betänkande (FvUB 22/2022) med ekonomiutskottets åsikter och ansåg att det är nödvändigt att man snabbt förbereder införandet av uppgifter om kontotransaktioner i systemet, eftersom det nuvarande systemet orsakar osäkerhet och överlappande kostnader både hos myndigheterna och inom den privata sektorn. Utskottet ansåg att ett arrangemang där kontonummer har förts bakom komplicerade bestämmelser och dataskydd utan att omfatta behandling av uppgifter om transaktioner, inte är en trovärdig eller hållbar lösning med tanke på skyddet för enskilda individer, dataskyddet eller spårandet och återtagandet av brottsvinning och inte heller med beaktande av kostnaderna för systemet. 

I enlighet med det ovan nämnda inledde inrikesministeriet den 2 februari 2022 ett projekt för en förstudie för att främja ärendet. I slutrapporten av arbetsgruppen för förstudien från den 16 juni 2023 konstateras det att kontotransaktioner bör fogas till övervakningssystemet för bank- och betalkonton. 

Enligt statsminister Petteri Orpos regeringsprogram fortsätter regeringen sitt arbete för att bekämpa kringgående av skatt och grå ekonomi. Ett annat mål i regeringsprogrammet är att stärka brottsbekämpningen; regeringen vidtar lagstiftningsåtgärder för att förhindra penningtvätt och effektivisera i synnerhet återvinningen av vinning av brott i samband med penningtvätt. Propositionen främjar att de nämnda målen i regeringsprogrammet uppnås.  

Tullen kontoregisterprojekt

Tullen koordinerar kontoregisterprojektet, med vilket övervakningssystemet för bank- och betalkonton byggts och utvecklas. Övervakningssystemet för bank- och betalkonton består enligt den gällande lagen om ett övervakningssystem för bank- och betalkonton av registret över bank- och betalkonton (kontoregistret), datasöksystemet för bank- och betalkonton (datasöksystemet) och sammanställningsprogrammet. Tullen har byggt kontoregistret och är personuppgiftsansvarig för det. I det lagras uppgifter som hänför sig till kundrelationerna, kundkonton och bankfack hos betalningsinstitut, institut för elektroniska pengar och leverantörer av kryptotillgångstjänster. De nämnda aktörerna uppdaterar de uppgifter som fastställts i lagen till kontoregistret via det gränssnitt som Tullen genomför. Även kreditinstituten kan i stället för att bygga ett sökgränssnitt till datasöksystemet för bank- och betalkonton lämna ut uppgifterna till kontoregistret, om Finansinspektionen beviljat tillstånd. Kreditinstituten administrerar dock i princip egna datasöksystem, med vilka de lämnar ut uppgifter som hänför sig till kundrelationer, kundkonton, förmånstagare och bankfack via sammanställningsprogrammet till de behöriga myndigheterna. Även betalningsinstituten, instituten för elektroniska pengar och leverantörerna av kryptotillgångstjänster kan om de så önskar genomföra ett datasöksystem.  

Tullen har gett föreskrifter om de tekniska kraven till aktörer som lagrar uppgifter i kontoregistret (den 27 oktober 2022) och om gränssnittet för förfrågningar till datasöksystemen (den 26 oktober 2022). Varje kreditinstitut eller varje annan uppgiftslämnare med ett datasöksystem genomför ett datasöksystem enligt föreskriften, vilket överensstämmer med dess egna systemen och dess arkitektur. De uppgifter som föreskrivs i lagen om ett övervakningssystem för bank- och betalkonton förmedlas med sammanställningsprogrammet. Sammanställningsprogrammet är en automatiserad lösning, via vilket Tullen förmedlar begäranden om information om kontouppgifter av de behöriga myndigheter som nämns i lagen om ett övervakningssystem för bank- och betalkonton till kontoregistret och datasöksystemen och överlämnar de mottagna uppgifterna i enlighet med begäran om information för att hämtas av den behöriga myndigheten. Sammanställningsprogrammet infördes år 2023. Alla uppgiftslämnare är med i verksamheten och via datasöksystemen är det möjligt att få över 95 procent av uppgifterna i övervakningssystemet för bank- och betalkonton. De återstående uppgifterna fås ur registret över bank- och betalkonton. Kontoregistret är i produktiv och operativ användning.  

Övervakningssystemet för bank- och betalkonton möjliggör en teknisk genomförandemodell för att förmedla även kontotransaktions- och saldouppgifter samt andra uppgifter som hänför sig till kundrelationen. Kontotransaktions- och saldouppgifter fogas till systemet i enlighet med det genomförandesätt som presenteras i avsnitt 4. Tullen ansvarar för att utveckla övervakningssystemet för bank- och betalkonton och följaktligen även för genomförandet av de tekniska lösningarna för den nya föreslagna funktionen. 

Fogandet av möjligheten att göra förfrågningar om kontotransaktionsuppgifter till övervakningssystemet för bank- och betalkonton, vars preliminära förutsättning varit att genomföra ett sammanställningsprogram, har i planen för återhämtning och resiliens (RRP) i Finlands program för hållbar tillväxt föreslagits att genomföras som en del av reformen av säkerställandet av en effektiv tillsyn och efterlevnad av förebyggande av penningtvätt (kod P2C3R1), vars framsteg under de följande årens följs även i fråga om de landspecifika rekommendationer som Europeiska kommissionen (nedan kommissionen ) gett till Finland år 2022. I behandlingen av propositionen finns det skäl att observera att om möjligheten att göra förfrågningar om kontotransaktionsuppgifter fogats till lagen om ett övervakningssystem för bank- och betalkonton och produktionsanvändningen inletts före den 30 juni 2026 genom att dra nytta av de strukturer som Tullen utvecklat för detta ändamål, är Finland berättigat att ansöka om utbetalningar till ett belopp av 1,6 miljoner euro av kommissionen ur faciliteten för återhämtning och resiliens (RRF).  

1.2  Beredning

Inrikesministeriet tillsatte den 7 mars 2024 en tväradministrativ arbetsgrupp för att bereda regeringspropositionen för perioden mellan den 11 mars 2024 och den 31 juli 2025. Företrädare från finansministeriets finansmarknadsavdelning och skattavdelningen, försvarsministeriet, Tullen, Polisstyrelsen, skyddspolisen, centralkriminalpolisen, Skatteförvaltningen, Utsökningsverket, Finansinspektionen och Finanssiala ry utnämndes som medlemmar av arbetsgruppen. Dessutom har en sakkunnigmedlem som justitieministeriet utnämnt varit med i arbetsgruppens arbete, i synnerhet i anknytning till dataskyddsfrågor. I samband med beredningen har arbetsgruppen hört företrädare från justitieministeriet, dataombudsmannen och kreditinstituten om deras synpunkter på propositionens konsekvenser för de kreditinstitut som lämnar ut information. En del av arbetsgruppens arbete genomfördes inom ramen för ett skriftligt förfarande. 

Lagstiftningsprojektet är en fortsättning på den förstudie som inrikesministeriet inledde den 2 februari 2022, vars arbetsgrupp utredde om det är möjligt att foga en möjlighet att göra förfrågningar om kontotransaktionsuppgifter till övervakningssystemet för bank- och betalkonton. I den slutrapport som publicerades den 16 juni 2023 inom ramen för projektet rekommenderade arbetsgruppen att beredningen av regeringspropositionen inleds så fort som möjligt i enlighet med rekommendationerna i arbetsgruppens slutrapport.  

Arbetsgruppen har riktat särskild uppmärksamhet på dataskyddsregleringen och det i 10 § i grundlagen (731/1999) tryggade skyddet för privatlivet och personuppgifter och de förutsättningar som följer av dessa i fråga om digitaliseringen och centraliseringen av utlämnandet och förmedlingen av kontotransaktions- och saldouppgifter. 

Ett remissförfarande ordnades mellan den 10 oktober 2024 och den 21 november 2024. 

Beredningsunderlaget till regeringens proposition finns i den offentliga webbtjänsten under adressen https://intermin.fi/sv/projekt-och-lagberedning . kod SM006:00/2024 .  

2.1  Lagstiftning

Kreditinstitutslagen

Det finns bestämmelser om bankhemligheten i 15 kap. 14 § i kreditinstitutslagen (610/2014). Med bankhemlighet avses skydd av sådana uppgifter som gör det möjligt att identifiera en kund i ett kreditinstitut. Uppgifter som omfattas av bankhemligheten är uppgifter som uppkommit före och under kundförhållandet och som kreditinstitutet har fått ta del av. Kunden kan själv muntligen eller skriftligen ge sitt samtycke till att uppgifter som omfattas av bankhemligheten lämnas ut, eller med en fullmakt befullmäktiga en annan person att få information om kundens bankärenden. I paragrafens 1 mom. föreskrivs det att den som i egenskap av medlem eller suppleant i ett organ inom ett kreditinstitut eller företag inom samma finansiella företagsgrupp, inom en sammanslutning av kreditinstitut eller inom företag som kreditinstitutet anlitar som ombud eller inom något annat företag som agerar för kreditinstitutets räkning eller i egenskap av anställd hos dessa eller vid utförande av någon uppgift på uppdrag av dem har fått kännedom om den ekonomiska situationen hos någon av kreditinstitutets kunder eller hos kunder till företag som tillhör samma finansiella företagsgrupp eller samma konglomerat enligt lagen om tillsyn över finans- och försäkringskonglomerat som kreditinstitutet eller hos någon annan person med anknytning till kreditinstitutets eller företagets verksamhet eller om någons personliga förhållanden eller om en företagshemlighet, är skyldig att hemlighålla saken, om inte den till vars förmån tystnadsplikten har föreskrivits ger sitt samtycke till att saken röjs. Sekretessbelagda uppgifter får inte heller lämnas till bolagsstämma, principalmöte, andelsstämma eller fullmäktige eller till en hypoteksförenings stämma eller till aktieinnehavare eller medlemmar som deltar i stämman eller mötet.  

Kreditinstitut och företag som hör till samma finansiella företagsgrupp är skyldiga att lämna upplysningar som avses i 14 § 1 mom. till åklagar- eller förundersökningsmyndigheterna för utredning av brott samt till andra myndigheter som enligt lag har rätt att få sådana upplysningar.  

I 21 kap. 4 § i lagen finns det bestämmelser om brott mot tystnadsplikten. Till straff för brott mot tystnadsplikten döms enligt 38 kap. 1 eller 2 § i strafflagen (39/1889), om inte strängare straff för gärningen föreskrivs på något annat ställe i lag. 

Lagen om betalningsinstitut

Det finns bestämmelser om betalningsinstituts verksamhet i lagen om betalningsinstitut (297/2010) och i betaltjänstlagen (290/2010). I 37 § i lagen om betalningsinstitut finns det bestämmelser om tystnadsplikt. I paragrafens 1 mom. föreskrivs att den som i egenskap av medlem eller suppleant i ett organ hos ett betalningsinstitut eller företag inom samma grupp eller hos ett företag som betalningsinstitutet anlitar som ombud eller hos ett annat företag som verkar för betalningsinstitutets räkning eller i egenskap av anställd hos dessa eller vid utförande av någon uppgift på uppdrag av dem har fått kännedom om den ekonomiska situationen hos någon av betalningsinstitutets kunder eller hos kunder till företag som hör till samma grupp som betalningsinstitutet eller hos någon annan person med anknytning till betalningsinstitutets eller företagets verksamhet eller om någons personliga förhållanden eller en företagshemlighet, är skyldig att hemlighålla saken, om inte den till vars förmån tystnadsplikten har föreskrivits ger sitt samtycke till att saken röjs. Sekretessbelagda uppgifter får inte heller lämnas till en bolagsstämma, andelsstämma eller till fullmäktige och inte heller till aktieägare eller medlemmar som deltar i stämman eller mötet.  

Betalningsinstitut och företag som hör till samma grupp är, trots vad som föreskrivs om tystnadsplikt, skyldiga att lämna uppgifter som avses i 37 § 1 mom. till åklagar- och förundersökningsmyndigheter för utredning av brott samt till andra myndigheter som enligt lag har rätt att få sådan information. 

Lagen om ett övervakningssystem för bank- och betalkonton

I lagen om ett övervakningssystem för bank- och betalkonton finns det föreskrifter om övervakningssystemet för bank- och betalkonton, som består av de datasöksystem för bank- och betalkonton som administreras av kreditinstituten, registret över bank- och betalkonton samt sammanställningsprogrammet. I regeringens proposition 167/2018 rd ansågs det att en fördel med ett kombinerat datasöksystem och register över bank- och betalkonton är att det gör det möjligt att dels beakta särdragen i olika rapporteringsskyldiga gruppers verksamhet samt riskerna för penningtvätt och finansiering av terrorism, dels minska riskerna med registret bland annat av den anledningen att registret har en mindre datamängd.  

Enligt 1 § i lagen är lagens syfte att främja myndigheternas elektroniska tillgång till information om bank- och betalkonton och effektivisera myndigheternas förfrågningar så att de riktas till rätt mottagare. I lagen fastställs de uppgifter som lagras i registret över bank- och betalkonton och som kreditinstituten ska förmedla via datasöksystemet för bank- och betalkonton och de behöriga myndigheter som har tillgång till uppgifterna i datasöksystemet och kontoregistret.  

Lagen om ett övervakningssystem för bank- och betalkonton har ändrats genom ändringslagarna 730/2020, 378/2021, 814/2022 och 415/2024. Genom ändringslag 730/2020 korrigerades de definitioner i lagen vilka orsakat oklarhet i tillämpningen av lagen samt korrigerades och preciserades de uppgifter som lämnas ut via ett datasöksystem och lagras i registret över bank- och betalkonton. Med lagändringarna preciserades, i synnerhet i fråga om de olika aktörer som lämnar ut uppgifter, vilka uppgifter varje aktör är skyldig att lämna ut via ett datasöksystem eller överlämna till Tullen för att lagras i registret över bank- och betalkonton. Genom lagändring 378/2021 fogades en skyldighet att anmäla uppgifter om innehavare med rätt att använda ett konto till kontoregistret även för juridiska personer. 

Ändringslag 814/2022 gällde genomförandet av direktivet om finansiell information. Genom lagen kompletterades dessutom genomförandet av femte penningtvättsdirektivet och regleringen på grund av de nationella behoven. Utöver de gällande behörigheter som föreskrivits i lagen om ett övervakningssystem för bank- och betalkonton gavs dessutom Skatteförvaltningen, Tullen, Utsökningsverket, polisen, Gränsbevakningsväsendet, försvarsmakten och Finansinspektionen tillgång till övervakningssystemet för bank- och betalkonton i anknytning till de befogenheter som föreskrivits för ovan nämnda myndigheter i den gällande lagstiftningen. Dessutom föreskrevs en skyldighet för Tullen att bygga och administrera ett sammanställningsprogram för att förmedla uppgifter ur övervakningssystemet för bank- och betalkonton, varvid varje behöriga myndighet inte behöver bygga egna gränssnitt till de system som övervakningssystemet för bank- och betalkonton består av. Lagändringarna trädde i kraft den 15 september 2022, med undantag för lagens 7 a §, som har tillämpats från och med den 1 november 2022. Genom ändringslag 415/2024 har dessutom terminologin i anknytning till leverantörer av virtuell valuta ändrats för att överensstämma med definieringen av leverantörer av kryptotillgångstjänster enligt förordningen om marknader för kryptotillgångar (EU 2023/1114). 

I lagens 3 § definieras de myndigheter och användningsändamål för vilka uppgifter ur övervakningssystemet för bank- och betalkonton kan lämnas ut. Rätt att använda övervakningssystemet för bank- och betalkonton innehas enligt 3 § 

1) punkten av polisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet för att förebygga, upptäcka och utreda brott som avses i bilaga I till Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF, nedan Europolförordningen ,  

2) punkten av Skatteförvaltningen för inriktande av den skyldighet att lämna uppgifter som avses i 19 § i lagen om beskattningsförfarande (1558/1995), för ett syfte enligt 3 § i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets direktiv om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EEG samt om tillämpning av direktivet (185/2013),  

3) punkten av Tullen för inriktande av den skyldighet att lämna uppgifter som avses i 102 § 2 mom. i tullagen (304/2016) för beskattning, skattekontroll och förundersökning och för uppgifter i anslutning till förhindrande och avslöjande av tullbrott som avses i 1 kap. 2 § 3 och 4 punkten i lagen om brottsbekämpning inom Tullen (623/2015), 

4) punkten av utsökningsmyndigheterna för sådan verkställighet som avses i utsökningsbalken (705/2007), 

5) punkten av behöriga myndigheter enligt lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) och advokatföreningen för skötseln av tillsynsuppgifter enligt den lagen,  

6) punkten av centralen för utredning av penningtvätt för skötseln av uppgifter enligt 2 § 1 mom. 1–4, 7 och 8 punkten i lagen om centralen för utredning av penningtvätt (445/2017),  

7) punkten av polisen och Gränsbevakningsväsendet, information som behövs för förebyggande, avslöjande och utredning av brott samt för förande av brott till åtalsprövning och upprätthållande av den nationella säkerheten, och polisen, information som behövs för utförande av i lagen om penninginsamlingar (863/2019) avsedd övervakning i samband med penninginsamlingar samt för polisundersökning enligt 6 kap. i polislagen (872/2011), om ett viktigt allmänt eller enskilt intresse kräver det,  

8) punkten av försvarsmakten för förebyggande, avslöjande och utredning av brott som avses i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) samt i enlighet med 104 § i lagen om militär underrättelseverksamhet (590/2019) och  

9) punkten av Finansinspektionen för skötseln av uppgifter enligt i 3 § i lagen om Finansinspektionen (878/2008). 

Enligt lagen om ett övervakningssystem för bank- och betalkonton är förutsättningen att använda övervakningssystemet att uppgifterna är nödvändiga för fullgörandet av ovan uppräknade uppgifter och att myndigheten enligt någon annan lag har rätt att få åtkomst till uppgifter som lämnats ut till och lagras i övervakningssystemet för bank- och betalkonton. 

I 4 § 1 mom. i lagen föreskrivs att ett kreditinstitut ska administrera ett elektroniskt datasöksystem för bank- och betalkonton, med hjälp av vilket det omedelbart och trots sekretessbestämmelserna till en behörig myndighet förmedlar sådana uppgifter om sina kunder som avses i 2 mom. Om det är motiverat med tanke på kreditinstitutets storlek och verksamhetens karaktär och omfattning, kan kreditinstitutet avvika från skyldigheten att administrera ett datasöksystem, om Finansinspektionen beviljar tillstånd till detta. I 4 § 2 mom. i lagen finns det bestämmelser om de uppgifter som lämnas ut. Dessa uppgifter lämnas ut till den behörighet myndigheten, om den behöriga myndigheten trots sekretessbestämmelserna och övriga begränsningar som gäller åtkomsten till information är berättigad att få dessa med stöd av en annan lag. Uppgifterna utgörs av fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum när kundrelationen har börjat och upphört, fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för de verkliga förmånstagare som avses i 1 kap. 5–7 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism, i fråga om bank- och betalkonton IBAN-nummer eller annat identifikationssignum samt datum för öppnande och avslutande av kontot, fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för den som hyr ett bankfack och den som har användningsrätt till det eller, om det är fråga om en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt identifieringsuppgifter om bankfacket och hyrestidens längd. I 4 § föreskrivs dessutom att den behöriga myndigheten ska specificera utifrån vilken bestämmelse den begär information. Kreditinstitutet ska lämna informationen till den behöriga myndigheten avgiftsfritt. Kreditinstituten ansvarar för att de uppgifter som de lämnar ut är korrekta och att rättelser görs utan ogrundat dröjsmål. I samband med gemensamma konton som förvaltas av en advokat ska det uttryckligen antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. Uppgifter om gemensamma konton som förvaltas av en advokat får inte lämnas ut via datasöksystemet, med undantag för information om att det är fråga om ett gemensamt konto som förvaltas av en advokat och om vilken advokat som förvaltar kontot. 

I 5 § i lagen om ett övervakningssystem för bank- och betalkonton finns det bestämmelser om registret över bank- och betalkonton, som Tullen administrerar, och i 6 § finns det bestämmelser om uppgifter som ska föras in i registret över bank- och betalkonton. I registret över bank- och betalkonton införs uppgifter om sådana kunder hos betalningsinstitut, institut för elektroniska pengar och leverantörer av kryptotillgångstjänster som ska identifieras enligt 3 kap. 2 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism. De uppgifter som ska lagras är fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum när kundrelationen har börjat och upphört samt IBAN-nummer eller annat identifikationssignum. Enligt 1 § 4 mom. i lagen ska uppgifterna i registret över bank- och betalkonton sekretessbeläggas. 

Om ett finansinstitut av Finansinspektionen fått ett tillstånd enligt 4 § 1 mom. att avvika från skyldigheten att föra ett datasöksystem, lagras i registret över bank- och betalkonton fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum när kundrelationen har börjat och upphört, fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för de verkliga förmånstagare som avses i 1 kap. 5–7 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism, i fråga om bank- och betalkonton IBAN-nummer eller annat identifikationssignum samt datum för öppnande och avslutande av kontot, fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för den som hyr ett bankfack och den som har användningsrätt till det eller, om det är fråga om en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt identifieringsuppgifter om bankfacket och hyrestidens längd. Uppgifterna ska lämnas på elektronisk väg. Tullen kan meddela närmare föreskrifter om vilket elektroniskt förfarande som ska användas och på vilket sätt uppgifterna ska vara certifierade för att kunna lämnas ut. I lagen förutsätts att det i samband med gemensamma konton som förvaltas av en advokat uttryckligen ska antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. Uppgifter om gemensamma konton får inte lämnas ut till registret. 

I 7 § i lagen finns det bestämmelser om Tullens uppgift att lämna ut uppgifter ur registret över bank- och betalkonton till de behöriga myndigheterna. Uppgifter får lämnas ut oberoende av vad som i artikel 18.1 a i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan allmänna dataskyddsförordningen ), föreskrivs om den registrerades rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter. Tullen administrerar ett sammanställningsprogram med vilket uppgifter enligt 4 och 6 § lämnas ut genom att överföra dem från övervakningssystemet för bank- och betalkonton till de behöriga myndigheterna. Tullen är personuppgiftsansvarig för de personuppgifter som behandlas i sammanställningsprogrammet. Tullen förmedlar de i 3 § avsedda myndigheternas begäranden om sådan information som avses i 4 och 6 §, i vilka det i 3 § avsedda användningsändamålet preciserats, i pseudonymiserad form till kreditinstitutet, och överför i enlighet med begäran om information de uppgifter som mottagits från övervakningssystemet för bank- och betalkonton till den behöriga myndigheten med hjälp av sammanställningsprogrammet. En begäran om information och innehållet i ett svar på begäran ska sekretessbeläggas. Behandlingen av personuppgifter i sammanställningsprogrammet är automatisk. Uppgifter som lämnats ut via sammanställningsprogrammet ska raderas ur programmet omedelbart efter det att uppgifterna har lämnats ut.  

Med avvikelse från det som föreskrivs i artikel 15 i allmänna dataskyddsförordningen om den registrerades rätt till tillgång till uppgifterna och i 23 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen avseende brottmål ) om den registrerades rätt att kontrollera uppgifter, har den registrerade inte tillgång till uppgifter eller rätt att kontrollera uppgifter när uppgifterna behandlas med sammanställningsprogrammet. Bestämmelser om utövande av den registrerades rättigheter via dataombudsmannen finns i 29 § i den lagen och i 34 § i dataskyddslagen (1050/2018). Begäran om utövande av rättigheter ska framställas till dataombudsmannen eller till Tullen enligt vad som föreskrivs i 35 § 2 mom. i lagen om behandling av personuppgifter inom Tullen (650/2019). En begäran som lämnats till Tullen ska utan dröjsmål överföras till dataombudsmannen.  

Tullen ska föra ett loggregister över antalet gånger för användningen av registret över bank- och betalkonton och användningen av datasöksystemet för bank- och betalkonton via sammanställningsprogrammet. Uppgifter ska samlas in åtminstone om den rättsliga grunden för begäran om information, datum och klockslag för förfrågan eller sökningen, typen av uppgifter som används i förfrågan eller sökningen, identifieringsuppgifter för resultaten av förfrågan eller sökningen och namnet på den behöriga myndighet som använt registret. Myndigheten ska föra ett loggregister med samma uppgifter om antalet gånger som datasöksystemet använts. Vidare ska myndigheten föra ett loggregister som innehåller identifieringsuppgifter om den person som utfört en förfrågan eller en sökning i datasöksystemet och om den person som förordnat förfrågan eller sökningen. Den behöriga myndigheten ska dessutom utse en person som övervakar användningen av datasöksystemet. Tullen övervakar användningen av registret över bank- och betalkonton i egenskap av personuppgiftsansvarig. 

2.2  Myndigheternas rätt att få kontotransaktions- och saldouppgifter och praxis för att få uppgifter

Polisen

Med stöd av 4 kap. 3 § 1 mom. i polislagen har polisen oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet på begäran av en polisman som hör till befälet rätt att få information som behövs för förhindrande eller utredning av brott. Om ett viktigt allmänt eller enskilt intresse kräver det har polisen samma rätt att få information som behövs vid polisundersökning enligt 6 kap. Denna rätt till information omfattar de kontotransaktions- och saldouppgifter som polisen behöver för att sköta sina lagstadgade ovan nämnda uppgifter. Polisens befogenhet omfattar alla brottsslag. Behandlingen av särskilda personuppgifter, som uppgifter om kontotransaktioner ansetts utgöra, har dock i enlighet med 2 kap. 15 § 1 mom. i lagen om behandling av personuppgifter i polisens verksamhet avgränsats med kravet på nödvändighet. Uppgiftsinnehållet i förfrågningar som gjorts utifrån polislagen har räknats upp på ett uttömmande sätt och beslutet om att inhämta de aktuella uppgifterna fattas av en polisman som hör till befälet separat i varje enskilt fall. I praktiken görs ett separat beslut och en separat begäran om inhämtning av uppgifter.  

Polisen genomför inhämtningen av kontotransaktions- och saldouppgifter med dess elektroniska system för bankförfrågningar, som består av fyra separata system. Förfrågningarna görs via systemet Sapatti och tills vidare förmedlas de vidare till bankerna per e-post via polisens skyddade e-post.  

Skyddspolisen

Det finns bestämmelser om skyddspolisens rätt att trots sekretessen få uppgifter av privata aktörer för att förhindra ett brott i 4 kap. 3 § 1 mom. i polislagen, där det föreskrivs att oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet har polisen på begäran av en polisman som hör till befälet rätt att få information som behövs för förhindrande eller utredning av brott. Rätten att få information enligt bestämmelsen gäller följaktligen bland annat uppgifter som omfattas av bankhemligheten och andra uppgifter som anknyter till finansinstitutens kundförhållanden. I 5 a kap. 50 § i polislagen finns det bestämmelser om rätten att få uppgifter från en privatperson, vilken tillämpas på skyddspolisens uppgifter inom civil underrättelseverksamhet. Även 5 a kap. 50 § i polislagen täcker utifrån det uttryckliga omnämnandet i paragrafen kunduppgifter som omfattas av bankhemligheten och kunduppgifter som anknyter till annan finansiell verksamhet. Tillämpningen av rätten att få information enligt 4 kap. 3 § eller 5 a kap. 50 § i polislagen fastställs uteslutande utifrån om uppgifterna behövs för att förhindra ett brott eller för att genomföra civil underrättelseinhämtning. På samma sätt som för den övriga polisen, fattas beslutet om en begäran av information en polisman som hör till befälet.  

Centralen för utredning av penningtvätt

I 4 § 1 mom. i lagen om centralen för utredning av penningtvätt föreskrivs det att trots bestämmelserna om hemlighållande av uppgifter om företagshemligheter eller uppgifter om en enskild persons, sammanslutnings eller stiftelses ekonomiska förhållanden, ekonomiska ställning eller beskattningsuppgifter har centralen för utredning av penningtvätt rätt att av myndigheter, av sammanslutningar som har ålagts en offentlig uppgift och av rapporteringsskyldiga avgiftsfritt få uppgifter och handlingar som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism. Beslut om inhämtande av sekretessbelagda uppgifter fattas av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt. Av de omkring 50 personerna vid utredningscentralen hör sex personer för närvarande till befälet. 

I 4 § 1 mom. i lagen om centralen för utredning av penningtvätt föreskrivs det att trots tystnadsplikten för en medlem, en revisor, en verksamhetsgranskare, en styrelseledamot eller en anställd har centralen för utredning av penningtvätt på skriftlig begäran av en polisman som hör till befälet och arbetar vid centralen rätt att av en enskild sammanslutning, stiftelse eller person avgiftsfritt få uppgifter som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism.  

Centralen för utredning av penningtvätt behandlar anmälningar om misstänkta affärstransaktioner och vidarebefordrar ärendet, efter sin analys och utredning i initialskedet, till den behöriga myndigheten för åtgärder, såsom förundersökning. Beslut om en förfrågan om uppgifter och utlämnande av uppgifter fattas av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt. 

Även inhämtningen av kontotransaktions- och saldouppgifter vid centralen för utredning av penningtvätt görs inom ramen för polisens informationssystem. 

Gränsbevakningsväsendet

I 3 kap. 20 § i lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (639/2019, nedan personuppgiftslagen för Gränsbevakningsväsendet ) föreskrivs att trots att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företagshemlighet, bankhemlighet eller försäkringshemlighet, har Gränsbevakningsväsendet på begäran av en anhållningsberättigad tjänsteman rätt att få uppgifter för att förebygga, avslöja eller utreda brott. Om ett viktigt allmänt eller enskilt intresse kräver det, har Gränsbevakningsväsendet samma rätt att få information för en undersökning enligt 27 § i lagen om Gränsbevakningsväsendet. Gränsbevakningsväsendets rätt att få information har via personuppgiftslagen för Gränsbevakningsväsendet avgränsats till nödvändiga uppgifter, uppgiftsinnehållen har räknats upp på ett uttömmande sätt och i praktiken fattas ett beslut om inhämtande av dessa uppgifter av en anhållningsberättigad tjänsteman separat i varje enskilt fall, varvid nivån på beslutsfattandet är tillräckligt hög. I praktiken görs ett separat beslut och en separat begäran om inhämtning av uppgifter.  

Det finns bestämmelser om Gränsbevakningsväsendets befogenhet vid brottsbekämpning i 2 kap. i lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018). Gränsbevakningsväsendets befogenhet har avgränsats till vissa brottsrubriceringar med koppling till Gränsbevakningsväsendets övervaknings- och kontrolluppgifter. Följaktligen gäller Gränsbevakningsväsendets begäranden om information endast brott enligt dess undersökningsbefogenhet.  

Tullen

I fråga om beskattnings- och skattekontrolluppgifter har Tullen rätt att begära kontotransaktions- och saldouppgifter direkt från bankerna och andra motsvarande kreditinstitut med stöd av 102 § 2 mom. i tullagen (304/2016), enligt vilket den som innehar uppgifter som behövs för en annan persons tullbeskattning eller för ett ärende som gäller ändringssökande och som följer av tullbeskattning ska på uppmaning av Tullen lämna uppgifterna till Tullen inom utsatt tid. Förfrågningar om kontotransaktioner görs direkt till bankerna och de gäller granskningen av att tullbeskattningen är korrekt.  

I fråga om brottsbekämpning är Tullen en förundersökningsmyndighet enligt förundersökningslagen (805/2011) och Tullen ansvarar för tullbrottsbekämpningen enligt föreskrifterna i lagen om brottsbekämpning inom Tullen och i den övriga lagstiftningen. Med stöd av 2 kap. 14 § 1 mom. i lagen om brottsbekämpning inom Tullen har Tullen, oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar, förvaltningsrådsmedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet, rätt att av en privat eller offentlig sammanslutning eller en enskild få information som behövs för förhindrande, avslöjande eller utredning av tullbrott. 

I allmänhet begärs kontotransaktionsuppgifter i utredningen av tullbrott med en blankett av standardform, på vilken all behövlig information om de uppgifter som begärs och det brott som undersöks antecknas. Bankerna överlämnar svaret med krypterad e-post till den e-postadress som angetts i bankförfrågan. Sporadiskt inkommer svar fortfarande som filer med skannade pappersutskrifter, vilket försvårar den fortsatta analysen. 

Skatteförvaltningen

För närvarande får Skatteförvaltningen uppgifter som gäller bank- och betalkonton med stöd av skyldigheten för utomstående att lämna uppgifter enligt 19 § i lagen om beskattningsförfarande (nedan BFL ). I enlighet med 19 § i lagen om beskattningsförfarande ska var och en på uppmaning av Skatteförvaltningen, på basis av namn, bankkontonummer, kontotransaktion eller annan motsvarande identifikation lämna sådana uppgifter som kan behövas för beskattning av någon annan skattskyldig eller behandling av en ändringsansökan och som framgår av handlingar som han har i sin besittning eller annars känner till, om han eller hon inte enligt lag har rätt att vägra vittna i saken. Ingen får dock vägra lämna sådana uppgifter om någon annans ekonomiska ställning som inverkar på beskattningen. Med stöd av BFL 19 § kan Skatteförvaltningen sända förfrågningar om kontouppgifter till bankerna och betalningsinstituten. Förutsättningen är att kontouppgifter kan behövas för att behandla ett ärende som gäller beskattningen. I enlighet med 22 § 4 mom. i lagen ska uppgifterna lämnas trots sekretessbestämmelserna och övriga begränsningar att få uppgifter. Med stöd av 5 mom. i bestämmelsen kan Skatteförvaltningen även förordna att uppgifterna ges genom att använda en elektronisk dataöverföringsmetod.  

Ingen uttrycklig tillsynsuppgift har föreskrivits för Skatteförvaltningen i penningtvättslagen. Skatteförvaltningen har dock en skyldighet enligt 9 kap. 5 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism att i sin verksamhet beakta förhindrande och bekämpande av finansiering av penningtvätt och terrorism. På grund av aktsamhetsplikten ska Skatteförvaltningen då den verkställer beskattningen rikta uppmärksamhet på sådana situationer, där ett ärende eller en händelse ska anmälas till centralen för utredning av penningtvätt. Fullgörande av aktsamhetsplikten är dock inte en grund för att få uppgifter om kontotransaktioner av en utomstående, utan det handlar alltid om ett beskattningsmässigt behov.  

I nuläget ställer Skatteförvaltningen en skyldighet att lämna uppgifter direkt för bankerna, då uppgifterna om kontotransaktioner är behövliga i beskattningen. Behovet kan bero på säkerställande av att de uppgifter som anmälts till Skatteförvaltningen är riktiga eller på att tillräcklig information inte alltid är tillgänglig från klienten. Behovet bedöms alltid utifrån det enskilda öppna kontrollfallet. Utifrån kontrollfallet fastställs alltid även för vilken tidsperiod kontotransaktioner begärs. I praktiken görs förfrågningar som gäller bank- och betalningskontouppgifter i informationssystemet för beskattningen (GenTax). En förutsättning för att göra en förfrågan är att ett beskattningsärende har inletts. I arbetsordningen har de tjänstemän som har rätt att göra förfrågningar fastställts. Alla bankförfrågningar görs via systemet GenTax. I nuläget har Skatteförvaltningen ett gränssnitt till två banker och övriga kontotransaktionsförfrågningar görs per e-post. Gränssnittet har genomförts enligt de definitioner som tagits fram i ett samarbete mellan Finanssiala ry, bankerna och myndigheterna (den gamla blanketten för en elektronisk kontoförfrågan). Såväl de förfrågningar som Skatteförvaltningen sänt som de svar som bankarna överlämnat förmedlas via gränssnittet. En del av svaren (verifikatkopior, gamla kontotransaktioner o.d.) inkommer i annan elektronisk form eller på papper. Gränssnittet ger inte svar i realtid, utan på morgonen på följande vardag. Via gränssnittet fås såväl uppgifter om ägaren till kontot och rätten att använda kontot som kontotransaktionsuppgifter.  

Utsökningsverket

Bestämmelserna om rätten till information för en utmätningsman finns i utsökningsbalken och förordningen om utsökningsförfarandet. I 3 kap. 64 § 1 mom. i utsökningsbalken föreskrivs att utöver vad som föreskrivs i någon annan lag, har utmätningsmannen rätt att trots sekretessbestämmelserna avgiftsfritt få nedan angivna uppgifter, handlingar och material, om de i ett enskilt utsökningsärende är nödvändiga för verkställigheten. Utmätningsmannen bedömer om uppgifterna är nödvändiga. Uppgifterna kan lämnas via ett tekniskt gränssnitt. Av statens medel kan betalas ersättning för kostnaderna för upprättande och upprätthållande av ett tekniskt gränssnitt. I 3 kap. 66 § i utsökningsbalken finns det bestämmelser om skyldigheten för en utomstående att lämna ut uppgifter. En utomstående ska på begäran till utmätningsmannen (1 mom.) 1) om han i sin besittning har eller annars har bestämmanderätt över egendom som tillhör gäldenären samt egendomens art; 2) om gäldenären har en fordran på honom eller han har en fordran på gäldenären, grunden för fordringarna och deras belopp samt betalningsrörelsen på de konton som gäller fordran och gäldenärens rätt att använda kontona.  

I enlighet med bestämmelserna i utsökningsbalken har en utmätningsman omfattande rätt att få information. Varje bankförfrågan eller annan förfrågan som gäller en gäldenär görs dock utifrån prövning av den ansvarige utmätningsmannen, om uppgiften bedöms vara nödvändig med tanke på verkställigheten. Det finns två olika typer av behov för bankkontouppgifter vid utsökningsverket: 1) i normal indrivning räcker uppgifter från ett kort tidsintervall; 2) i specialverkställigheten behövs oftast uppgifter från ett längre tidsintervall.  

I informationssystemet Uljas behandlas för närvarande svar på bankförfrågningar som inkommer till utsökningsmyndigheterna via gränssnitten och även uppgifter som fås ur övervakningssystemet för bank- och betalkonton behandlas enligt förslaget i samma system. Det är möjligt att göra en förfrågan endast för en gäldenär som har anhängiga utsökningsärenden hos utsökningsverket. Förfrågan kan göras endast av den ansvarige utmätningsmannen för gäldenären, en utsökningsinspektör/utsökningsöverinspektör som hör till samma team eller deras chef. Utöver de ovan nämnda ser endast tjänstemännen inom specialverkställigheten innehållet i svar på en bankförfrågan som inkommit till informationssystemet.  

Försvarsmakten

I fråga om Försvarsmakten finns det bestämmelser om befogenheterna att få tillgång till bank- och betalkontouppgifter i lagen om militär disciplin och brottsbekämpning inom försvarsmakten och i lagen om militär underrättelseverksamhet. I lagen om militär disciplin och brottsbekämpning inom försvarsmakten finns det föreskrifter om brottsbekämpning inom försvarsmakten, vilken omfattar förebyggande och avslöjande av brott samt utredning av sådana brott som omfattas av ett militärdisciplinförfarande. I lagen finns det dessutom föreskrifter om förfarandet i ett militärdisciplinärende, om de påföljder som påförs i det samt om inledandet av ett militärrättegångsförfarande. Regeringspropositionen om en ändring av lagen om brottsbekämpning inom försvarsmakten (RP 82/2023) är under behandling av riksdagen. 

På brottsbekämpningen inom Försvarsmakten tillämpas bestämmelserna om förebyggande, avslöjande och utredning av brott i polislagen, förundersökningslagen och tvångsmedelslagen (806/2011) samt i den övriga lagstiftningen, såvida inte annat följer av det som föreskrivs nedan. Bankförfrågningar har använts för att utreda egendoms- och bedrägeribrott med stöd av den rätt som föreskrivits i 44 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. På årsnivå görs några sådana förfrågningar och kontotransaktioner begärs så gott som utan undantag. 

Syftet med militär underrättelseverksamhet är att till stöd för den högsta statsledningens beslutsfattande inhämta och behandla information om militär verksamhet som riktar sig mot Finland eller som är av betydelse med tanke på Finlands säkerhetsmiljö eller om någon annan verksamhet som allvarligt hotar det finska försvaret eller som äventyrar samhällets vitala funktioner. I 104 § i lagen om militär underrättelseverksamhet föreskrivs att trots företags-, bank- eller försäkringshemlighet har militärunderrättelsemyndigheterna rätt att av privata sammanslutningar få sådana uppgifter som i ett enskilt fall kan antas vara behövliga till exempel vid utredningen av den ekonomiska verksamhet som bedrivs av föremålet för förfrågan (fysisk eller juridisk person). I fråga om syfte motsvarar paragrafen i stor utsträckning den befogenhet som föreskrivits i 4 kap. 3 § i polislagen, men syftet med en begäran om information är dock inte att förhindra eller utreda ett brott, utan den gäller målet för en militär upplysning. Med stöd av lagen om militär underrättelseverksamhet görs bankförfrågningar då förutsättningar och ett behov föreligger. Polisens informationssystem Sapatti utnyttjas för att göra begäranden, men en skriftlig begäran om en bankförfrågan sänds till vissa banker. 

Finansinspektionen

I 18 § i lagen om Finansinspektionen finns det föreskrifter om rätten att få information från tillsynsobjektet och andra finansmarknadsaktörer. Tillsynsobjekt och andra finansmarknadsaktörer ska utan hinder av sekretessbestämmelserna och utan obefogat dröjsmål till Finansinspektionen lämna de för utförandet av dess lagstadgade uppdrag relevanta uppgifter och redogörelser som den ber om. Motsvarande skyldighet har den som i ett tillsynsobjekt eller en annan finansmarknadsaktör har bestämmande inflytande enligt 1 kap. 5 § i bokföringslagen (1336/1997) och den som tillsynsobjektet eller någon annan finansmarknadsaktör har bestämmande inflytande i. Dessa uppgifter har varit nödvändiga då det funnits ett behov av dessa. Det har funnits ett behov av dessa bland annat i samband med att begäranden om undersökning upprättats och handräckning tillhandahållits. 

I 3 § i lagen om Finansinspektionen finns det bestämmelser om Finansinspektionens uppgifter, som är bland annat att utöva tillsyn över finansmarknadsaktörernas verksamhet och övervaka emissionen av och handeln med finansiella instrument. Finansinspektionen utövar dessutom tillsyn över att de rapporteringsskyldiga som står under dess tillsyn följer förordningen om information om betalaren då de tar emot eller gör överföringar av medel enligt den förordningen. Finansinspektionen övervakar dessutom de rapporteringsskyldiga som avses i 1 kap. 2 § 1 mom. 1–8 och 8 a punkten i lagen om förhindrande av penningtvätt och finansiering av terrorism i fråga om efterlevnaden av den nämnda lagen och de bestämmelser och föreskrifter som utfärdats med stöd av den.  

Med stöd av 50 h i lagen om Finansinspektionen fungerar Finansinspektionen även som behörig myndighet enligt artikel 22 i förordningen om marknadsmissbruk (EU) nr 596/2014, nedan MAR . Finansinspektionens undersökningar i anknytning till brottsmisstankar kan även gälla annat än insiderhandel och marknadsmanipulering enligt marknadsmissbruksförordningen (vilka nämnts som allvarliga brott i bilagan till Europolförordningen). Finansinspektionen övervakar även efterlevnaden av till exempel värdepappersmarknadslagen (746/2012). Motsvarande behov av att få bank- och betalkontouppgifter kan gälla andra brottsmisstankar som kommit fram i samband med utförande av uppgifter enligt 3 § i lagen om Finansinspektionen.  

En begäran om information som gäller kontotransaktioner baserar sig på en redan befintlig misstanke och en begäran om information som görs separat. Finansinspektionen har inte färdigt tillgång till kontodata, utifrån vilken det är möjligt att hitta misstänksamma kopplingar eller enkelt göra ad hoc-granskningar i fråga om befintliga misstankar. För närvarande är det överlag utmanande att utreda från vilken bank kontouppgifter ska begäras, då man inte vet hos vilken bank en person är kund. För närvarande gör Finansinspektionen bankförfrågningar per e-post såväl med egna system som med de system som är i dess användning. Finansinspektionen använder krypterad e-posttrafik med finansinstituten i dess e-postkommunikation. Finansinspektionens egna system genomförs och dataskyddet utvärderas enligt Europeiska centralbankens dataskyddskrav. Dessutom beställs dataskyddstest som görs av externa aktörer. Även dataskyddsförordningen har beaktats i systemen. 

2.3  Slutsatser om nuläget

Myndigheternas rätt att få information om bank- och betalkonton och användningen av dessa samt om övrig förmögenhet i Finland baserar sig på de speciallagar som gäller för dem. Med hjälp av de nuvarande befogenhetsbestämmelserna har myndigheterna omfattande rätt att få kontotransaktions- och saldouppgifter för att sköta sina uppgifter. Befogenhetsbestämmelserna är har dock avgränsats med varierande noggrannhet för myndigheterna, delvis även beroende på myndigheternas uppgifter. I samband med förstudien riktade i synnerhet justitieministeriet uppmärksamhet på formuleringen av myndigheternas rätt att få information. Med beaktande av grundlagsutskottets etablerade utlåtandepraxis yttrade justitieministeriet att man vid beredningen av regeringens proposition ska säkerställa att de behöriga myndigheterna i lagstiftningen har tillräckligt exakt och noggrant avgränsad rätt att få information i fråga om kontotransaktionsuppgifter från bankerna. Som en följd av denna bedömning har Skatteförvaltningen, av de myndigheter som nämns ovan, konstaterat att det finns ett behov av att precisera den befogenhetsbestämmelse som gäller för den. Detta behandlas mer ingående i avsnitt 4.1.1. 

Trots den omfattande rätten att få information är praxis för att göra förfrågningar om uppgifter till stor del manuell och i hög grad resurskrävande. Förfrågningar görs bland annat per e-post. Varje part har avgjort förfaringssätten och dataskyddsfrågorna utifrån de egna utgångspunkterna. Enskilda myndigheter, såsom polisen, Skatteförvaltningen och Utsökningsverket, har skapat elektroniska gränssnitt tillsammans med vissa kreditinstitut. Arrangemanget baserar sig på ett ömsesidigt avtal mellan parterna. Med andra ord kan myndigheterna ha flera överlappande system och sätt för att få information för att motta uppgifter om bank- och betalkonton. Detta ökar kostnaderna och resurserna såväl hos myndigheterna som inom den privata sektorn. Användningen av flera system möjliggör även att olika dataskyddsrisker ökar. 

Mottagande av alla uppgifter om bank- och betalkonton, såväl kunduppgifter som kontotransaktions- och saldouppgifter, från ett system avlägsnar behovet av att bygga och administrera myndighetsspecifika gränssnitt till bankerna och bankspecifika gränssnitt till myndigheterna. Digitalisering av myndigheternas verksamhet och ändamålsenligt riktande av resurserna för myndighetsverksamheten talar för att de myndigheter som redan inom ramen för deras befogenheter enligt den gällande lagstiftningen har rätt att få och behandla kontotransaktions- och saldouppgifter, kan få dem via övervakningssystemet för bank- och betalkonton. På så sätt skapas ett enhetligt system, där information som omfattas av bankhemligheten behandlas. Kostnadsbesparingar uppkommer även för finansbranschen i och med att behandlingen av förfrågningar harmoniseras och antalet förfrågningar minskar till följd av att förfrågningarna riktas rätt.  

Tillsynsmyndigheterna enligt penningtvättslagen hör enligt den gällande lagen till övervakningssystemet för bank- och betalkonton. I penningtvättslagen har tillsynsmyndigheterna tilldelats omfattande rätt att få information om de anmälningsskyldiga som de övervakar. I 7 kap. 2 § i penningtvättslagen föreskrivs det att de rapporteringsskyldiga trots sekretessbestämmelserna utan ogrundat dröjsmål avgiftsfritt på begäran ska lämna tillsynsmyndigheten och advokatföreningen sådana uppgifter och utredningar som är nödvändiga för skötseln av uppgifter som avses i denna lag eller i bestämmelser och föreskrifter som utfärdats med stöd av den. Dessa uppgifter kan innehålla även kontotransaktions- och saldouppgifter, om myndigheten behöver dessa i sin ovan nämnda uppgift. I regel får tillsynsmyndigheterna enligt penningtvättslagen de uppgifter som de behöver direkt från den rapporteringsskyldige. Med beaktande av det låga antalet av sådana fall och de kostnader som orsakas av byggandet av ett gränssnitt, har byggande av gränssnitt till övervakningssystemet för bank- och betalkonton inte åtminstone för närvarande ansetts vara behövligt för dessa myndigheter, med undantag för Finansinspektionen.  

4.1  De viktigaste förslagen

I propositionen föreslås det att en ny funktion, det centraliserade elektroniska systemet för transaktions- och saldouppgifter, byggs in i övervakningssystemet för bank- och betalkonton. Via det har myndigheterna möjlighet att göra förfrågningar om kontotransaktions- och saldouppgifter och om uppgifter om värdepapper hos kredit- och betalningsinstituten och vissa andra aktörer enligt föreslagna 1 a §. I propositionen föreslås inte nya befogenheter för myndigheterna att få tillgång till kontotransaktions- och saldouppgifter och uppgifter om värdepapper, utan de myndigheter som redan för närvarande får kontotransaktions- och saldouppgifter samt uppgifter om värdepapper för att sköta sina uppgifter enligt de egna befogenhetsparagraferna kan använda övervakningssystemet för bank- och betalkonton för att göra och ta emot dessa förfrågningar. Det handlar med andra ord om ett förslag om utlämnade och förmedling av uppgifter på elektronisk väg. Den föreslagna ändringen ändrar sålunda det tekniska sättet att lämna ut information med vilket myndigheterna får kontotransaktions- och saldouppgifter från kredit- och betalningsinstituten och övriga uppgiftslämnare, och propositionen ökar följaktligen inte myndigheternas befogenheter i fråga om tillgången till kontotransaktions- och saldouppgifter och uppgifter om värdepapper.  

Ur övervakningssystemet för bank- och betalkonton är det för närvarande möjligt att få endast kontouppgifter som hänför sig till kundrelationen, såsom kontoinnehavarens namn och personbeteckning, kontots IBAN-nummer och det datum då kontot öppnats. Med systemet för transaktions- och saldouppgifter kan de behöriga myndigheterna i enlighet med förslaget få även kontotransaktions- och saldouppgifter samt uppgifter om värdepapper ur övervakningssystemet för bank- och betalkonton. Följaktligen har de behöriga myndigheterna möjlighet att få uppgifter som hänför sig till kundrelationen i fråga om bank- och betalkonton, kontotransaktions- och saldouppgifter samt uppgifter om värdepapper via samma övervakningssystem för bank- och betalkonton.  

Eftersom ett övervakningssystem för bank- och betalkonton byggts nationellt och uppgifter om bank- och betalkonton överlämnas med det till de behöriga myndigheterna, kan det anses vara ändamålsenligt att samma system utnyttjas för att förmedla även kontotransaktions- och saldouppgifter och andra uppgifter som gäller kundrelationen hos kredit- och betalningsinstitut. Eftersom kontotransaktions- och saldouppgifter i fråga om sättet att behandla uppgifter och den rättsliga grunden avviker från registret över bankkonton och det automatiserade datasöksystem vilka byggts för att verkställa femte penningtvättsdirektivet, föreslås det i propositionen att en separat funktion för att förmedla kontotransaktions- och saldouppgifter samt uppgifter om värdepapper byggs in i övervakningssystemet för bank- och betalkonton. Följaktligen ska övervakningssystemet för bank- och betalkonton ses som en form av ett taksystem eller ett tekniskt ramverk, som inrymmer ett automatiserat centraliserat system med kontouppgifter enligt vad som förutsätts i femte penningtvättsdirektivet och som är förenligt med den gällande lagen, och ett nytt centraliserat elektroniskt system som förmedlar kontotransaktions- och saldouppgifter samt uppgifter om värdepapper och som införs vid sidan om det. Sålunda finns det inte något behov av att bygga ett nytt centraliserat informationssystem för att förmedla kontotransaktions- och saldouppgifter eller egna bilaterala system för informationsutbyte med varje kredit- och betalningsinstitut.  

Förfrågningar som görs via det elektroniska systemet för transaktions- och saldouppgifter är alltid riktade och information hämtas endast för det enskilda fall som ska avgöras eller behandlas, för vilket det är nödvändigt för myndigheten att få uppgifter. I enlighet med förslaget är det inte möjligt att göra oriktade massökningar i systemet. Med andra ord är syftet inte att bilda ett dataregister som gäller för alla kunder och deras kontotransaktions- och saldouppgifter. För myndigheterna bildas inte heller någon direkt tillgång till kunduppgifterna hos de uppgiftslämnare som räknas upp i 1 a §, utan endast en möjlighet att göra förfrågningar om kontotransaktions- och saldouppgifter samt uppgifter om värdepapper till uppgiftslämnarna med övervakningssystemet för bank- och betalkonton. Det är möjligt att göra en förfrågan om saldo- eller kontotransaktionsuppgifter och värdepappersuppgifter först då myndigheten specificerat det bank- och betalkonto eller värdepapperskonto som är föremål för dess begäran om information och det enskilda behov av uppgifter som ligger till grund för förfrågan. Om myndigheten inte har någon IBAN-information, identifierare för värdepapper eller något annat identifikationsignum som gäller det konto som är föremål för dess begäran, ska den först göra en förfrågan om kontouppgifter till det automatiserade kontouppgiftssystemet i övervakningssystemet för bank- och betalkonton, varefter det är möjligt att begära kontotransaktions- och saldouppgifter eller uppgifter om värdepapper ur systemet för transaktions- och saldouppgifter.  

Myndigheten ska i en begäran om information som den gör i sitt eget datasöksystem fastställa om det handlar om en förfrågan om kontoinformation enligt femte penningtvättsdirektivet eller om en separat förfrågan om kontotransaktions- och saldouppgifter, det vill säga till vilket delsystem i övervakningssystemet för bank- och betalkonton begäran om information hänför sig. Sammanställningsprogrammet identifierar olika förfrågningsformer och styr en förfrågan av en myndighet till rätt delsystem utifrån det nämnda behovet av en förfrågan. Om det av myndighetens förfrågan framgår att det handlar om en begäran om information enligt femte penningtvättsdirektivet, styrs förfrågan med andra ord av den behöriga myndigheten via Tullens sammanställningsprogram till kontoregistret vid det centraliserade automatiserade kontouppgiftssystemet eller till datasöksystemet. Ägaruppgifter om kontot returneras direkt från det automatiserade systemet till Tullens sammanställningsprogram för att hämtas av den behöriga myndigheten. Om en förfrågan av en myndighet å sin sida gäller kontotransaktions- eller saldouppgifter om ett specificerat konto eller uppgifter om kundens värdepapper, styr sammanställningsprogrammet förfrågan till behandling enligt det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Om kredit- eller betalningsinstitutet inte administrerar ett datasöksystem, överför Tullen förfrågan via skyddad e-post eller på ett annat datasäkert sätt till uppgiftslämnaren. Uppgiftslämnaren granskar att förfrågan uppfyller de lagstadgade kraven för den och sammanställer den information som behövs för myndigheten inom ramen för den överenskomna tidsfristen. Svaret av en uppgiftslämnare som administrerar ett datasöksystem styrs för att hämtas av myndigheten till Tullens sammanställningsprogram. Andra uppgiftslämnare än de som administrerar ett datasöksystem förmedlar uppgifterna via Tullens system för utlämnande av uppgifter till sammanställningsprogrammet för att hämtas av myndigheten. Innehållet i förfrågan eller svaret lagras inte i sammanställningsprogrammet, utan uppgiftsinnehållet förmedlas endast via det till den behöriga myndigheten. Om den begärda informationen inte hämtats till myndighetens system inom den fastställda tiden, raderas uppgiftsinnehållet automatiskt från sammanställningsprogrammet.  

En illustration av övervakningssystemet för bank- och betalkonton enligt förslaget 

4.2  EU-rättslig bedömning av förslagen

Målet med förslaget är att göra det smidigare att få de kontotransaktions- och saldouppgifter som myndigheterna behöver samt att harmonisera reglerna för behandling av begäranden om information. Behandling av personuppgifter har en central koppling till tillämpningsområdet för unionens allmänna dataskyddsförordning och dataskyddsdirektivet för brottsbekämpning. En medlemsstat kan inom ramen för det nationella handlingsutrymmet i EU:s dataskyddsreglering och med beaktande av EU:s grundfördrag och EU-domstolens avgörandepraxis göra en bedömning som gäller nationell lagstiftning om behandling av kontotransaktions- och saldouppgifter med hjälp av ett centraliserat system.  

Det finns bestämmelser om centraliserade bankkontoregister eller system i femte penningtvättsdirektivet och direktivet om finansiell information, vilka är så kallade minimidirektiv, varvid direktivet eller dess bestämmelser innehåller föreskrifter om den miniminivå som ska iakttas på EU-nivå. När en medlemsstat implementerar ett direktiv av sådan typ i den nationella lagstiftningen, kan den införa nationella tilläggskrav eller ställa högre krav än vad som ställs i direktivet. Sådana nationella bestämmelser står dock inte i strid med fördraget om Europeiska unionens funktionssätt (nedan EUF-fördraget ) eller EU-domstolens fastställda rättspraxis som tolkar artiklarna i grundstadgan. Det bör beaktas att avsikten inte är att ändra regleringens minimikaraktär i Europaparlamentets och rådets direktiv (EU) 2024/1640 om de mekanismer som medlemsstaterna ska inrätta för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av direktiv (EU) 2019/1937 och om ändring och upphävande av direktiv (EU) 2015/84 (nedan sjätte penningtvättsdirektivet ) eller i Europaparlamentets och rådets direktiv (EU) 2019/1153 vad gäller behöriga myndigheters åtkomst till centraliserade bankkontoregister via sammankopplingssystemet och tekniska åtgärder för att underlätta användningen av transaktionsuppgifter (EU) 2024/1654, utan medlemsstaterna kan fortfarande utfärda reglering som går längre än direktiven.  

I femte penningtvättsdirektivet finns det föreskrifter om de uppgifter som medlemsstaterna ska lägga till i de centraliserade bankkontoregistren eller systemen och om de myndigheter som drar nytta av dessa. Kontotransaktioner hör inte till uppgifterna enligt femte penningtvättsdirektivet, utan de kan vara tilläggsuppgifter som medlemsstaterna med stöd av punkt 4 i artikel 32 a i femte penningtvättsdirektivet haft möjlighet att lägga till i sina system eller vars överlåtande i övrigt kan ha varit föremål för nationella bestämmelser. Det sjätte penningtvättsdirektivet innehåller inte någon ändring om detta. I artikel 4.2 i det gällande direktivet om finansiell information föreskrivs det att de ytterligare uppgifter som medlemsstaterna anser vara väsentliga och inkluderar i de centraliserade bankkontoregistren i enlighet med punkt 4 i artikel 32 a i femte penningtvättsdirektivet inte ska vara tillgängliga och sökbara för behöriga myndigheter. Detta innebär inte att direktivet om finansiell information förbjuder att de myndigheter som övervakar lagenligheten har tillgång till dessa uppgifter, utan att det konstateras att direktivet kan användas som grund för att få tillgång till dessa uppgifter. Med andra ord innehåller direktivet om finansiell information inte nationellt handlingsutrymme i fråga om användningsändamålet eller de uppgifter som kan fås via registret. Följaktligen finns det olika uppgiftsmottagare och användningsändamål i penningtvättsdirektivet och direktivet om finansiell information.  

Det nationella handlingsutrymme som tillåts i punkt 4 i artikel 32 a i femte penningtvättsdirektivet kan användas, om man så önskar. Penningtvättsdirektivets kärna utgörs dock av automatiserat direkt mottagande av uppgifter. Om man vill använda det handlingsutrymme som nämns i artikel 32 a i penningtvättsdirektivet, handlar det om samma automatiserade centraliserade mekanism, men även dessa övriga uppgifter ska vara tillgängliga omedelbart och automatiskt, så som förutsätts i punkt 1 i artikel 32 a i penningtvättsdirektivet. Enligt grundlagsutskottets utlåtandepraxis är behandlingen av känsliga personuppgifter förknippad med risker (GrUU 15/2018, GrUU 13/2016). Följaktligen kräver kontotransaktionsuppgifter, i egenskap av känsliga personuppgifter, ett annorlunda sätt att behandla information, bland annat på grund av de olika skyddsåtgärderna. I praktiken är detta inte möjligt i ett automatiserat system, eftersom direktivet förutsätter att information är tillgänglig direkt via centraliserade automatiserade informationshämtningssystem, det vill säga omedelbart utan dröjsmål. På det nationella planet innehåller direktiven inte handlingsutrymme i fråga om att sökningarna ska vara omedelbara. Följaktligen är det med beaktande av förutsättningarna för utlämnande av sekretessbelagd information, vilka fastställs utifrån den konstitutionella rätten, inte möjligt att foga kontotransaktioner till en omedelbar mekanism enligt direktivet. Behandlingen av kontotransaktioner som innehåller även känsliga personuppgifter ska möjliggöras, så att även uppgiftslämnaren kan bedöma om den begärda informationen är lagenlig utifrån den framförda begäran om information, vid sidan om bedömningen av myndigheterna.  

På grund av de nationella behoven finns det ett behov av att förmedla kontotransaktions- och saldouppgifter även för många andra användningsändamål och till en större grupp av aktörer som drar nytta av information än vad penningtvättsdirektivet och direktivet om finansiell information möjliggör. Tillsvidare har detta inte harmoniserats på unionsnivå. Eftersom ett övervakningssystem för bank- och betalkonton byggts nationellt, det vill säga det tekniska ramverk med vilket uppgifter om bank- och betalkonton överlämnas till de behöriga myndigheterna, kan det anses vara ändamålsenligt att samma ramverk utnyttjas för att förmedla även kontotransaktions- och saldouppgifter. Eftersom behandlingen och behovet av uppgifter i fråga om kontotransaktions- och saldouppgifter dock sker på annat sätt än i ett automatiserat system enligt direktivet, föreslås det i propositionen att en separat funktion för förmedling av kontotransaktions- och saldouppgifter genomförs inne i samma övervakningssystem. Följaktligen ska övervakningssystemet för bank- och betalkonton ses som en form av ett taksystem, som inrymmer ett automatiserat centraliserat system med kontouppgifter enligt direktivet och ett elektroniskt system som förmedlar kontotransaktions- och saldouppgifter. Följaktligen finns det inte något behov av att bygga ett nytt centraliserat informationssystem för att förmedla kontotransaktions- och saldouppgifter eller egna bilaterala gränssnitt med varje kredit- och betalningsinstitut. De behöriga myndigheterna har möjlighet att få kontotransaktions- och saldouppgifter via samma gränssnitt därifrån de för närvarande får grundläggande ägaruppgifter om kontot. Enligt förslaget avgör myndigheten i sitt eget system om det handlar om en förfrågan om bankinformation enligt penningtvättsdirektivet eller om en separat kontotransaktions- och saldoförfrågan. Myndigheten ska ha ett IBAN-nummer eller något annat identifikationsignum för att via sammanställningsprogrammet kunna göra en riktad kontotransaktions- och saldoförfrågan för ett avgränsat tidsintervall uteslutande till den bank där det aktuella kontot finns. Om myndigheten inte har denna information, ska den utreda behövliga specifikationsuppgifter först via det automatiserade centraliserade kontouppgiftssystemet i övervakningssystemet för bank- och betalkonton.  

Tullens sammanställningsprogram styr en myndighets förfrågan enligt det nämnda behovet i anknytning till förfrågan längs rätt rutt för informationsbehandling till uppgiftslämnaren. Om det av formen på förfrågan framgår att det handlar om en begäran om information enligt femte penningtvättsdirektivet, styrs förfrågan med andra ord av den behöriga myndigheten via Tullens sammanställningsprogram till kontoregistret vid det centraliserade automatiserade kontouppgiftssystemet eller till datasöksystemet. Från det automatiserade systemet returneras information om kontots ägare omedelbart via Tullens sammanställningsprogram till myndighetens system. Om en förfrågan av en myndighet å sin sida gäller kontotransaktions- och saldouppgifter om ett specificerat konto, styr Tullens sammanställningsprogram förfrågan till elektronisk behandling vid kreditinstitutets datasöksystem eller med skyddad post eller på ett annat datasäkert sätt till andra uppgiftslämnare än de som byggt ett datasöksystem. Uppgiftslämnaren sammanställer den begärda informationen inom den överenskomna tidsfristen och svaret överlämnas antingen via datasöksystemet eller systemet för utlämnande av uppgifter till Tullens sammanställningsprogram för att hämtas av den behöriga myndigheten. Informationsbehandlingen i det elektroniska systemet är följaktligen inte omedelbart, utan uppgiftslämnaren har möjlighet att bedöma förutsättningarna att lämna ut information och lagenligheten i begäran om information.  

Eftersom sättet att behandla en kontotransaktions- och saldoförfrågan avviker avsevärt från behandling av en förfrågan om kontouppgifter som gjorts via ett centraliserat automatiserat system enligt penningtvättsdirektivet, är det i fråga om fogandet av möjligheten att göra förfrågningar om kontotransaktions- och saldouppgifter till övervakningssystemet för bank- och betalkonton i enlighet med den föreslagna behandlingen i denna proposition inte möjligt att tillämpa det nationella handlingsutrymmet i penningtvättsdirektivet. Sålunda är fogande av en möjlighet att göra en förfrågan om kontotransaktions- och saldouppgifter till övervakningssystemet för bank- och betalkonton reglering som med stöd av handlingsrummet i EU:s dataskyddsreglering utfärdas utifrån nationella behov och inte EU-reglering, eftersom utlämnade av kontotransaktions- och saldouppgifter via övervakningssystemet för bank- och betalkonton inte föreskrivs i penningtvättsdirektivet och inte heller i direktivet om finansiell information, och i propositionen anses det inte att handlingsutrymmet enligt punkt 4 i artikel 32 a i penningtvättsdirektivet är tillämplig på en förfrågan om kontotransaktions- och saldouppgifter. 

I bedömningen av det nationella handlingsutrymmet ska man beakta domen av unionsdomstolen (EUD) i målet C-817/19 (Ligue des droits humains ASBL mot Conseil des ministres) som gällde tolkningen av Europaparlamentets och rådets direktiv (EU) 2016/681 om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan PNR-direktivet ). I målet ansåg domstolen att uppgifter som samlats in utifrån direktivet i ett system som grundats utifrån direktivet på grund av den princip om ändamålsbegränsning som ingår i unionens allmänna dataskyddsförordning och dataskyddsdirektivet för brottsbekämpning får användas endast för bekämpning av allvarlig brottslighet och sådan brottslighet som har ett objektivt samband med direktivets syften.  

I domen om PNR-direktivet nämns ett system som införts med PNR-direktivet, vilket innehåller uppgifter enligt PNR-direktivet. I domen i fråga pratar man med andra ord om utnyttjande av helt samma uppgifter för ändamål som enligt domstolen inte är förenliga med direktivet. Dessutom nämns databas, det vill säga ett permanent personregister, i domen. I denna proposition föreslås det att en möjlighet att göra kontotransaktions- och saldoförfrågningar fogas in i ramverket för övervakningssystemet för bank- och betalkonton, men som en separat del i förhållande till det automatiserade systemet enligt femte penningtvättsdirektivet. Dessutom riktar sig möjligheten att göra förfrågningar till andra uppgifter än uppgifterna enligt femte penningtvättsdirektivet. Den rätt att göra förfrågningar som enligt förslaget fogas till lagen innebär inte att kontotransaktions- och saldouppgifter förs till den existerande databasen i övervakningssystemet för bank- och betalkonton. I propositionen föreslås det inte heller att den nuvarande rätten att använda övervakningssystemet för bank- och betalkonton vilken fåtts i enlighet med penningtvättsdirektivet eller direktivet om finansiell information utvidgas även till att göra förfrågningar om kontotransaktions- och saldouppgifter.  

Även om utgångspunkten för propositionen har varit att det på ovan redogjorda sätt handlar om reglering utifrån ett nationellt behov, vilket juridiskt sett innebär att det inom samma informationssystemshelhet finns två separata operativa helheter: ett centraliserat automatiserat kontouppgiftssystem som behandlar de uppgifter som förutsätts i EU:s femte penningtvättsdirektiv och EU:s direktiv om finansiell information och ett centraliserat elektroniskt system för transaktions- och saldouppgifter, ska man i bedömningen dessutom väga myndigheternas användningsändamål för rätten till information för kontotransaktions- och saldouppgifter i förhållande till de användningsändamål som utgör användningsändamålet för insamling av uppgifter för ett centraliserat automatiserat kontouppgiftssystem för behandling av de uppgifter som förutsätts i EU:s femte penningtvättsdirektiv och EU:s direktiv om finansiell information, så att dessa två delsystems inbördes kopplingar uppdagas. 

Till den del som de behöriga myndigheternas rätt att få information handlar om sådana ändamål, där myndighetens rätt att få information baserar sig på ett ändamål som gäller förhindrande av penningtvätt och finansiering av terrorism enligt penningtvättsdirektivet eller bekämpning av allvarlig brottslighet enligt direktivet om finansiell information och de begärda kundrelationsuppgifterna används sekundärt uttryckligen för att rikta begäran om information på rätt kredit- och betalningsinstitut, kan behandlingen av kontotransaktions- och saldouppgifter anses vara överensstämmande med de av dess uppgifter som gäller kundrelationer. Sålunda kan det tolkas att användningsändamålet är enhetligt mellan systemen. Syftet med det automatiserade kontouppgiftssystemet enligt penningtvättsregleringen är att utreda hos vilka kredit- och betalningsinstitut det finns kundrelationer, så att centralen för utredning av penningtvätt och övriga behöriga myndigheter får information i synnerhet om identiteten på anonyma innehavare av bank- och betalkonton och bankfack. Det är även svårare att avslöja överföring av medel i anknytning till terrorism, om det inte finns något effektivt medel för att i tid få tillgång till uppgifter som gäller identiteten på innehavare av bank- och betalkonton och bankfack, deras ombud och deras faktiska ägare och förmånstagare. De uppgifter från medlemsstaterna med vilka det är möjligt att utreda bank- och betalkonton och bankfack som hör till samma person är utspridda och de är därför inte tillgängliga i tid för de behöriga myndigheterna. För att kundrelationsuppgifter i princip ska ha bruksvärde i myndigheternas ovan nämnda uppgifter, ska det efter utredningen av kundrelationerna vara möjligt att utifrån den nationella lagstiftningen göra kontotransaktions- och saldoförfrågningar som gäller kundrelationer. När det för att sköta en behörig myndighets uppgift är möjligt att göra nödvändiga begäranden om kontotransaktions- och saldouppgifter, ska det även vara nödvändigt att minimera en eventuell hög risk för den registrerades rättigheter, i synnerhet för integritetsskyddet, så att en begäran om information som gäller kontotransaktions- och saldouppgifter inte görs innan den behöriga myndigheten med säkerhet vet att det finns en kundrelation hos det ifrågavarande kredit- och betalningsinstitutet. På så sätt är en förfrågan till kredit- och betalningsinstituten proportionell i förhållande till integritetsskyddet och övriga grundläggande fri- och rättigheter för en registrerad endast och enkom då det är möjligt att påvisa att en kundrelation finns hos det ifrågavarande kredit- och betalningsinstitutet. Det är viktigt att utreda kundrelationen även för att spåra medel, upptäcka eventuell penningtvätt och finansiering av terrorism och garantera snabba lagtillsynsåtgärder.  

I bedömningen av EU-domstolens avgörande i målet C-817/19 är det möjligt att rikta uppmärksamhet på att förutsättningen för användning av det nationella handlingsutrymmet, vilket möjliggör att dra nytta av ett system som införts utifrån direktivet, är att den sekundära användningen har ett objektivt samband till ändamålen i direktivet. I den utsträckning som det handlar om de behöriga myndigheter som har rätt att använda ett system som införts utifrån direktivet och om uppgifter som samlats in utifrån direktivet, är det fråga om sekundär användning av uppgifterna. Till den del som de behöriga myndigheterna har rätt att använda ett automatiserat centraliserat kontouppgiftssystem som införts med stöd av unionens penningtvättsreglering i syfte att utreda kundrelationer, kan de behöriga myndigheterna, så som det redogjorts för ovan, i enlighet med propositionen använda det system som införts utifrån direktivet och behandla kundrelationsuppgifter som samlats in utifrån direktivet för att göra en begäran om information i det föreslagna systemet för transaktions- och saldouppgifter, eftersom det finns ett objektivt samband mellan kundrelationerna och transaktionerna då det handlar om förhindrande av penningtvätt och finansiering av terrorism eller bekämpning av allvarlig brottslighet enligt direktivet om finansiell information. På befogade grunder kan sekundär användning av uppgifter som samlats in utifrån ett system som införts utifrån direktivet och samlats in utifrån direktivet anses vara överensstämmande med de ursprungliga syftena. Till den del som den nationella rätten till information för de behöriga myndigheterna inte har något objektivt samband med syftena i penningtvättsdirektivet eller direktivet om finansiell information, men de behöriga myndigheterna har en rätt enligt den gällande lagen, som godkänts med medverkan av grundlagsutskottet, att dra nytta av kontouppgiftssystemet enligt direktivet för att utreda kundrelationerna, riktar sig förfrågningar om kontotransaktions- och saldouppgifter inte heller på syftena enligt penningtvättsdirektivet eller direktivet om finansiell information. Även i fråga om dessa myndigheter finns det ett användningssamband mellan delsystemen, det vill säga att då en myndighet använder uppgifter i det centraliserade kontouppgiftssystemet för att rikta en begäran om information som gäller kontotransaktions- och saldouppgifter i det centraliserade systemet för transaktions- och saldouppgifter, är den sekundära användningen av uppgifterna enhetlig med uppgifterna i kontouppgiftssystemet. Med andra ord har förfrågningarna en fast koppling till varandra på ovan beskrivna sätt, men eftersom det inte handlar om användningsändamål enligt direktivet, kan det anses att avvikelsen från ändamålsbegränsningen lämnar utrymme för tolkning. Om en myndighet däremot har en begäran om information som gäller systemet för transaktions- och saldouppgifter för en uppgift för vilken den inte har rätt att dra nytta av en förfrågan i det första skedet till kontouppgiftssystemet, ska myndigheten själv känna till IBAN-numret för föremålet för begäran om information och hos vilket kredit- och betalningsinstitut kundrelationen finns. I så fall har delsystemen inte något inbördes samband.  

Även om penningtvättsdirektivet och direktivet om finansiell information inte innehåller harmoniserad reglering kring utlämnande av kontotransaktions- och saldouppgifter, har uppgiftsbehandlingen i systemet för transaktions- och saldouppgifter en fast koppling till tillämpningsområdet för unionsrätten. Det finns bestämmelser om unionens behörighet i ärenden som gäller skydd för personuppgifter i artikel 16 i EUF-fördraget. Enligt punkt 2 i artikeln ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. Unionen har utövat sin behörighet med stöd av artikel 16 i EUF-fördraget i fråga om behandling av personuppgifter som görs av unionens institutioner, organ, byråer och medlemsstater. Behandling av personuppgifter i det centraliserade systemet för transaktions- och saldouppgifter, utlämnande av uppgifter ur det och förmedling av uppgifter från det omfattas av tillämpningsområdet för allmänna dataskyddsförordningen och i fråga om vissa behöriga myndigheters uppgiftsbehandling även av tillämpningsområdet för dataskyddsdirektivet för brottsbekämpning. Det är möjligt att komplettera allmänna dataskyddsförordningen med speciallagstiftning som utfärdas av unionen eller en medlemsstat till den del som allmänna dataskyddsförordningen uttryckligen tillåter det.  

4.3  De huvudsakliga konsekvenserna

5.1  Handlingsalternativen och deras konsekvenser

Byggande av ett nytt centraliserat system

Alternativet till att foga möjligheten att förmedla kontotransaktions- och saldouppgifter till övervakningssystemet för bank- och betalkonton är att skapa ett helt nytt centraliserat system för förmedling av kontotransaktionsuppgifter. Ett separat system är lagstiftningstekniskt sett enklare, eftersom det tydligare redogör för att det handlar om en lösning som baserar sig på ett nationellt behov. Ett separat system undanröjer inte problemet med överlappande system och utspridd information. Ett separat system ökar kostnaderna jämfört med den föreslagna lösningen, eftersom systemet kräver att helt nya informationssystem byggs och även att dataarkitektur tas fram. På grund av kostnadsrelaterade orsaker och det praktiska genomförandet kan ett separat system följaktligen inte ses som ett beaktansvärt alternativ. Övervakningssystemet för bank- och betalkonton, som skapats för att genomföra femte penningtvättsdirektivet, har byggts sedan år 2019, varför det kan anses vara befogat att utnyttja systemet för att lämna ut kontotransaktions- och saldouppgifter även i fråga om de kostnader och resurser som använts för detta. 

Utnyttjande av ett annat myndighetssystem

I förstudien före lagstiftningsprojektet bedömdes möjligheten att få kontotransaktionsuppgifter via ett befintligt system hos Skatteförvaltningen, Utsökningsverket eller polisen i stället för övervakningssystemet för bank- och betalkonton. Eftersom varje myndighets system skapats för olika miljöer och för olika användningsändamål, ansåg arbetsgruppen att de föreslagna systemen inte utgjorde en alternativ lösning till elektronisk centralisering av kontotransaktioner. Kontotransaktionssökningarna är tätt integrerade i bakgrundssystemen och de är myndighetsspecifika. Dessutom finns till exempel polisens system i myndigheternas säkerhetsnät (TUVE), till vilket övriga myndigheter inte har tillgång. Behörigheter till olika myndigheters system är också en utmaning. 

Uppdelning av övervakningssystemet för bank- och betalkonton

Ett alternativ till den föreslagna lösningen är att dela upp det existerande övervakningssystemet för bank- och betalkonton så att även de kredit- och betalningsinstitut som administrerar datasöksystem för bank- och betalkonton lämnar ut uppgifter som hänför sig till kundrelationen enligt artikel 32a i femte penningtvättsdirektivet till kontoregistret. I så fall är alla uppgifter som hänför sig till kundrelationen tillgängliga ur ett centraliserat enkelriktat personregister, registret över bank- och betalkonton. Kontotransaktions- och saldouppgifterna fås däremot utifrån en separat lagstiftning med datasöksystemen för bank- och betalkonton.  

Detta alternativ orsakar extra kostnader för de kredit- och betalningsinstitut som genomfört ett datasöksystem för bank- och betalkonton, eftersom de i fråga deras rapporteringsskyldighet för kontouppgifter enligt artikel 32a i femte penningtvättsdirektivet måste genomföra tekniska lösningar för att ansluta sig om aktörer som uppdaterar uppgifter i det register över bank- och betalkonton som administreras av Tullen. Å andra sidan kan besparingar uppkomma för kredit- och betalningsinstituten i framtiden då sjätte penningtvättsdirektivet sätts i kraft. Enligt sjätte penningtvättsdirektivet ska medlemsstaterna säkerställa att informationen från centraliserade bankkontoregister finns tillgänglig via den gemensamma åtkomstpunkt för bankkontoregister som ska utvecklas och drivas av kommissionen. Om de centraliserade bankkontoregistren sammankopplades, skulle myndigheter med åtkomst till den gemensamma åtkomstpunkten snabbt kunna fastställa om en person innehar bankkonton i andra medlemsstater utan att behöva göra förfrågningar om detta till alla motparter i de andra medlemsstaterna. I fråga om förfrågningar som omfattar hela EU kan detta i det värsta scenariot innebära att förfrågningarna stiger till en miljon per år. För att bilda svar på förfrågningar som omfattar hela EU är det möjligt att även en förmåga att behandla transkriberande och ungefärliga sökningar krävs. Genom att ersätta besvarandet av förfrågningar om kontouppgifter utifrån förfrågningar i datasöksystemen genom att genomföra en förmåga att göra uppdateringar i kontoregistret, undviker de rapporteringsskyldiga utöver den behandlingsförmåga för datatrafiken som den enorma förfrågningsmassan orsakar även komplexa transkriberande och ungefärliga sökningar i deras egna bakgrundssystem. De existerande datasöksystemen kan dock fortsättningsvis utnyttjas, eftersom det är möjligt att behandla förfrågningar om kontotransaktioner inom ramen för de redan genomförda datasöksystemen med relativt små förändringar.  

Uppdelning av systemen kan dessutom förtydliga att mekanismen för förmedling av kontotransaktions- och saldouppgifter avviker från kravet på att förmedla kundrelationsuppgifter utifrån femte penningtvättsdirektivet. I detta alternativ står det klart att fullständigt nationell lagstiftning utfärdas om centraliserad elektronisk informationsförmedling. 

På grund av orsaker relaterade till tidsschemat för detta lagstiftningsprojekt har det inte ansetts vara möjligt att utreda detta ärende i detta sammanhang. Ärendet kan granskas senare i samband med arbetet för en totalrevidering av penningtvättslagstiftningen.  

Avgränsning av gruppen av uppgiftslämnare

I förstudien före lagberedningsprojektet hade gruppen av aktörer som lämnar ut kontotransaktions- och saldouppgifter avgränsats till aktörer som administrerar ett datasöksystem för bank- och betalkonton, vars kontotransaktions- och saldouppgifter täcker omkring 95 procent av de uppgifter som myndigheterna behöver. Bakgrunden till denna mer begränsade grupp av uppgiftslämnare var att arbetsgruppen inte ansåg att det var rimligt att aktörer i kontoregistret förpliktas att bygga ett datasöksystem för att överlämna kontotransaktions- och saldouppgifter. De aktörer som lämnar ut uppgifter till registret över bank- och betalkonton och som hör till övervakningssystemet för bank- och betalkonton är i regel mindre aktörer och det krävs att de använder jämförelsevis stora resurser, såväl i fråga om tid som i fråga om kostnader, för att skapa ett datasöksystem.  

Under lagberedningsprojektet lyfte arbetsgruppen dock fram att även aktörer som lämnar ut uppgifter till kontoregistret allt oftare tar emot förfrågningar om kontotransaktions- och saldouppgifter, eftersom bland annat en stor mängd olika betalningsförmedlare används i stället för traditionella banker och betalningsinstrument. Med andra ord måste myndigheterna göra flera separata förfrågningar för att få uppgifter. Dessutom är det möjligt att en del av uppgifterna inte fås och inte utnyttjas, om myndigheterna inte har information som fåtts från annat håll om användningen av tjänster hos de aktörer som finns i kontoregistret. Under beredningen beslöt sig arbetsgruppen för att Tullen genomför ett system för utlämnande av uppgifter, med vilket även de aktörer som lämnar ut kontouppgifter till kontoregistret förpliktas att lämna ut kontotransaktions- och saldouppgifter via det centraliserade systemet för transaktions- och saldouppgifter. Detta sätt att förmedla information är en mindre tung datasäkerhetslösning än ett datasöksystem för att lämna ut uppgifter. Eftersom registret över bank- och betalkonton, dit ovan nämnda aktörer med jämna mellanrum lämnar ut kontoägaruppgifter om deras kunder är ett enkelriktat register, finns det inget gränssnitt från det till de aktörer som lämnar ut information. På grund av detta ska förmedlingen av kontotransaktions- och saldouppgifter hos de aktörer som lämnar ut uppgifter till kontoregistret genomföras med ett separat system för utlämnande av uppgifter. 

Genomförande av rätten att göra förfrågningar om kontotransaktionsuppgifter i etapper

Ett alternativ till förslaget är att myndigheterna tilldelas behörighet att göra förfrågningar om kontotransaktioner i etapper. I det inledande skedet kan behörighet att göra förfrågningar tilldelas till exempel endast till förundersökningsmyndigheterna för att förhindra, utreda och föra brott till åtalsprövning och först i ett senare skede till övriga myndigheter som är med i övervakningssystemet för bank- och betalkonton. Detta alternativ undanröjer dock inte det problem som gäller rätten att få information för andra myndigheter som behöver kontotransaktions- och saldouppgifter, eftersom de fortfarande är tvungna att utveckla sina egna gränssnitt till kredit- och betalningsinstituten och följaktligen undanröjs inte det befintliga problemet som gäller överlappande informationssystem och utspridd information. Detta undanröjer inte heller den utmaning som kredit- och betalningsinstituten upplever på grund av variationen i myndigheternas förfrågningar och skillnaderna i myndighetspraxis. Genom att centralisera förfrågningarna till ett och samma system och på samma gång harmonisera behandlingen av begäranden om information och förtydliga rätten att få information underlättas även behandlingen av information vid kredit- och betalningsinstituten. 

Ingen ändring jämfört med nuläget

Ett alternativ är även att fortsätta nuläget, det vill säga att myndigheterna gör de förfrågningar om de kontotransaktions- och saldouppgifter som de behöver via de egna gränssnitten eller genom att dra nytta av andra eventuella sätt att göra förfrågningar och vidareutvecklar sina bilaterala informationssystem till de kredit- och betalningsinstitut av vilka de behöver uppgifter. Inte heller detta alternativ undanröjer det befintliga problemet med överlappande informationssystem och utspridd information. 

I detta alternativ finns det skäl att beakta att Finland ansökt om finansiering för projektet ur EU:s facilitet för återhämtning och resiliens (RRF). När möjligheten att göra förfrågningar om kontotransaktionsuppgifter fogats till lagen om ett övervakningssystem för bank- och betalkonton och produktionsanvändningen inletts före den 30 juni 2026 genom att dra nytta av de strukturer som Tullen utvecklat för detta ändamål, är Finland berättigat att ansöka om utbetalningar till ett belopp av 1,6 miljoner euro av kommissionen ur RRF-finansieringen. Eftersom den finansiering som ansökts för fogandet av en möjlighet att göra förfrågningar om kontotransaktionsuppgifter är kopplad till ett projekt kring förhindrande av penningtvätt vilket består av flera delar, kan inkomstförlusten uppgå till hela 80 miljoner euro, om en ändring av lagen om ett övervakningssystem för bank- och betalkonton inte föreskrivits före den överenskomna tidpunkten och Finland inte lyckats uppnå sitt mål. 

5.2  Utländsk lagstiftning och andra förfaranden som tillämpas utomlands

För närvarande är det möjligt att få kontotransaktionsuppgifter från centraliserade bankkontoregister eller datasöksystem i tre EU-länder (Estland, Italien, Grekland). Dessutom har en lagstiftningsändring som gäller ärendet varit under beredning redan i flera år i Holland. I alla länder förutom i Italien förmedlas uppgifterna via datasöksystem och en centraliserad mekanism. 

Den centraliserade mekanismen i Estland är ett elektroniskt datasöksystem, via vilket myndigheterna kan få uppgifter från bank- och kreditinstituten. Från och med år 2020 har det varit möjligt att få kontotransaktionsuppgifter och det uppdaterade saldot från de senaste fem åren ur systemet. Systemet har byggts på så sätt att bankernas svar i huvudsak bildas automatiskt. Om bankerna så önskar, kan de även svara på en förfrågan på ett mer manuellt sätt, varvid dröjsmålet är några timmar. Svaren inkommer dock senast samma dag. Enligt lagen har bankerna dock flera dagar på sig att besvara en begäran om information. Användarna utgörs av Utsökningsverket, centralen för utredning av penningtvätt och de myndigheter som övervakar lagenligheten.  

I Italien kan skatteförvaltningen, centralen för utredning av penningtvätt eller en annan myndighet som övervakar lagenligheten göra en förfrågan om kontotransaktionsuppgifter via det centraliserade bankkontoregistret. Uppgifter som gäller kundrelationer och kontosaldot uppdateras en gång per månad i bankkontoregistret.  

I Grekland har det redan i 10 år varit möjligt att få kontotransaktionsuppgifter från datasöksystemen och uppgifter kan fås för hela denna tidsperiod. Uppgifterna fås inom ett dygn, men oftast kommer svaret ännu snabbare. Information om vilken myndighet som begär uppgifter och grunden för den förmedlas till kreditinstituten. Systemet har flera myndighetsanvändare. 

I Holland bereds en ändring av lagen om finansinspektionen (Wet op het financieel toezicht), som möjliggör att kontotransaktioner förmedlas från datasöksystemen via en centraliserad mekanism till de behöriga myndigheterna i enlighet med de gällande befogenheterna. Kontotransaktioner ska sändas för de fem senaste åren, men de stora bankerna har meddelat att de kan sända kontotransaktioner från en tidsperiod på sju år. Den rättsliga grunden är nationell enligt förslaget. Kontotransaktionerna hämtas med ISO20022-meddelanden (i CAMT052/053-form).  

6.1  Allmänt om remissvaren

Remissinstanserna ansåg i sina utlåtanden att propositionsutkastet och dess mål var värda att understödja överlag och de föreslagna ändringarna ansågs vara ändamålsenliga och motiverade. Flera remissinstanser betonade att de i propositionen avsedda myndigheterna redan med stöd av den gällande lagstiftningen har rätt att få kontotransaktions- och saldouppgifter från aktörerna inom finansbranschen och fogandet av möjligheten till en förfrågan om dessa uppgifter till övervakningssystemet för bank- och betalkonton utvidgar följaktligen inte de befogenheter som föreskrivits i de nuvarande lagarna. Enligt Finansinspektionen och Företagarna i Finland är det föreslagna förfarandet snabbare, exaktare och mer rättssäkert jämfört med att sporadiska förfrågningar görs antingen med skyddad e-post eller per brev. Centralkriminalpolisen anser att de föreslagna ändringarna i hög grad är värda att understödja och viktiga med tanke på ett effektivt utförande av polisens lagstadgade uppgifter och ett genomförande enligt dataskyddsregleringen. I och med ändringen görs kontotransaktionsuppgifter, som ofta är i fokus i brottsbekämpningen, i enlighet med förslaget tillgängliga för myndigheterna via ett tekniskt verktyg som möjliggör laglighetsövervakning och omfattas av koherent dataskydd, i stället för att varje myndighet avgör förfarandesätten och dataskyddsfrågor utifrån de egna utgångspunkterna. Även Polisstyrelsen anser att propositionen stödjer målen om att stärka brottsbekämpningen, bekämpa grå ekonomi, förhindra penningtvätt och återvinna vinning av brott. Att förmögenhetsuppgifter och övriga behövliga uppgifter som nämnts i propositionen i omfattande grad blir tillgängliga för förundersökningen kan anses vara viktigt och även nödvändigt för att uppnå ovan nämnda mål. Försvarsministeriet konstaterar att systemet kan anses effektivisera myndigheternas verksamhet och beaktar i synnerhet förebyggandet och avslöjandet av brott samt de sensitiva aspekterna i underrättelseverksamhet. Även Utsökningsverket konstaterar att förfrågningar om och mottagande av kontotransaktionsuppgifter via övervakningssystemet för bank- och betalkonton effektiviserar dess process för att göra förfrågningar, eftersom ett stort antal aktörer med vilka utsökningsmyndigheten för närvarande inte har någon gränssnittsförbindelse för att göra förfrågningar lämnar uppgifter till systemet. Enligt Gränsbevakningsväsendets stab minskar de föreslagna ändringarna arbetsmängden även hos de aktörer som ger svar, eftersom förfrågningarna framöver kan riktas på ett mer avgränsat sätt till de aktörer av vilka information behövs. Gränsbevakningsväsendets stab anser att ändringarna ökar datasäkerheten och -skyddet och främjar genomförandet av Gränsbevakningsväsendets interna laglighetsövervakning. Även enligt skyddspolisen är propositionen värd att understödja och den uppfyller väl de mål som satts upp för den. Finlands Näringsliv rf understödjer i synnerhet propositionens mål om att lätta på kredit- och betalningsinstitutens administrativa börda i fråga om förfrågningar om kontotransaktioner genom att centralisera myndighetsförfrågningar till ett system, där regleringen kring behandling av förfrågningar om kontotransaktioner harmoniseras för alla myndigheter och de förfrågningar som de gör. Även finansministeriet, Tullen och Skatteförvaltningen anser att det är värt att understödja förslaget om att i övervakningssystemet för bank- och betalkonton bilda en ny funktion som gäller kontotransaktions- och saldouppgifter, via vilken myndigheterna framöver på ett centraliserat sätt kan få kontotransaktions- och saldouppgifter som är nödvändiga för deras uppgifter. Finansministeriet och Tullen konstaterar att de deltagit aktivt i arbetsgruppens verksamhet och i detta sammanhang framfört sina synpunkter, som i avsevärd grad beaktats redan under arbetsgruppens arbete. Även justitieministeriet anser att det med tanke på lagens mål och programmet för Petteri Orpos regering är motiverat att bankernas kontotransaktions- och saldouppgifter lämnas ut till myndigheterna via tekniska gränssnitt genom att dra nytta av övervakningssystemet för bank- och betalkonton. Ålands landskapsregering konstaterar att de föreslagna ändringarna gäller ärenden som hör till rikets lagstiftningsmakt.  

De föreslagna ändringarna ansågs orsaka ekonomiska och administrativa kostnader för uppgiftslämnarna i och med såväl ändringarna i informationssystemen som uppgången i antalet förfrågningar, men det centraliserade systemet bedömdes även generera besparingar för tillsynsobjekten med tidens gång. I synnerhet i utlåtandena av Tullen och Finanssiala ry lämnas flera förbättringsförslag, enligt vilka de föreslagna bestämmelserna och motiveringarna till dessa ska preciseras och kompletteras för att undvika att lagstiftningen är oklar och lämnar utrymme för tolkning. Finanssiala ry anser att det är viktigt att i den fortsatta beredningen rikta uppmärksamhet på de lagstadgade rättigheterna för de kunder som är föremål för utlämnande av uppgifter och uppgiftslämnarna samt på att säkerställa förtroendeskyddet i anknytning till utlämnande av uppgifter. Justitieministeriet lyfter fram anmärkningar som gäller i synnerhet det nationella handlingsutrymmet i EU-rätten, de krav som ställts på behandling av kontotransaktionsuppgifter som på det konstitutionella planet fastställts som känsliga personuppgifter samt på de förutsättningar som ställts på myndighetens rätt att få information. 

6.2  Anmärkningar om utlåtandena och ändringarna i propositionen utifrån utlåtandena

Finanssiala ry anser, med beaktande av det snäva uppgiftsinnehållet i myndigheternas begäranden om information och det knappa tidsschemat som fastställts för dessa, att det förblir oklart på vilka sätt uppgiftslämnaren de facto kan göra en fallspecifik bedömning av nödvändigheten och proportionaliteten för utlämnandet inom tidsfristen. På grund av det snäva uppgiftsinnehållet i en begäran om information jämställs ett positivt beslut om utlämnande av information enligt Finanssiala ry i praktiken med ett automatiserat enskilt beslut enligt artikel 22 i allmänna dataskyddsförordningen, vilket ytterligare komplicerar situationen med tanke på bedömningen av riskerna i fråga om den myndighet som gör förfrågan, uppgiftslämnaren och systemet för transaktions- och saldouppgifter. Finanssiala ry anmärker att uppgiftslämnarna i egenskap av personuppgiftsansvariga har en skyldighet att säkerställa att all behandling är lagenlig i enlighet med artikel 6 i EU:s allmänna dataskyddsförordning. Finanssiala ry anser även att det är viktigt att man i samband med den fortsatta beredningen säkerställer att minimiinnehållet i begäranden om information av myndigheterna är tillräckligt detaljerat, så att uppgiftslämnaren kan uppfylla sin ansvarsskyldighet enligt artikel 5.2 i allmänna dataskyddsförordningen. Dessutom konstaterar Finanssiala ry att paragraferna om myndigheternas rätt att få information enligt dess uppfattning inte till alla delar är tillräckligt exakta och noggrant avgränsade. Såvida myndigheternas rätt till information och de administrativa kraven på användningen och övervakningen av dessa inte preciseras inom samma tidsram tillsammans med den fortsatta beredningen av utkastet till regeringsproposition, anser Finanssiala ry att det är sannolikt att målen med lagändringarna inte uppnås till alla delar.  

I fråga om ansvaren för myndigheternas behörigheter till det centraliserade systemet och informationsbehandlingen anser Finanssiala ry att det är viktigt att bestämmelsernas konsekvens för uppgiftslämnarnas rättigheter och skyldigheter bedöms omsorgsfullt. I fråga om uppgiftslämnarnas förtroendeskydd anser Finanssiala ry att det är nödvändigt att lagen om ett övervakningssystem för bank- och betalkonton och dess motiveringar innehåller en entydig definition av ansvaren för den myndighet som begär information och de aktörer som lämnar ut uppgifter. I lagen finns det även skäl att entydigt utfärda bestämmelser om att en myndighet som begär uppgifter alltid ses som en personuppgiftsansvarig enligt allmänna dataskyddsförordningen i fråga om behandlingen av personuppgifter i de förfrågningar som den gör och i de svar som getts på dessa. I egenskap av personuppgiftsansvarig ansvarar uppgiftslämnaren å sin sida för att de uppgifter som den överlämnat har rätt innehåll och är uppdaterade på det sätt som allmänna dataskyddsförordningen förutsätter. I den fortsatta beredningen har ansvaren för en personuppgiftsansvarig förtydligats med den föreslagna författningen och ansvaren i fråga om behandling av information på grund av allmänna dataskyddsförordningen för varje personuppgiftsansvarig har preciserats i motiveringarna. 

Finanssiala ry föreslår att uppgiftslämnarna, i syfte att säkerställa hållbar och transparent behandling av uppgifter, har rätt att som en del av deras ansvarsrapportering publicera åtminstone antalet begäranden och namnen på de myndigheter som begärt uppgifter. Finanssiala ry föreslår även att Tullen ges en skyldighet att följa utvecklingen för antalet kontotransaktions- och saldoförfrågningar enligt myndighet och publicera sammanställningsstatistik om förfrågningarna åtminstone på årsnivå. Uppgiftslämnarna ska även ha möjlighet att få uppgifter om observationerna och resultaten i anknytning till laglighetsövervakningen av myndigheternas begäranden om information, så att de har möjlighet att bedöma om ansvarsskyldigheten enligt artikel 5.2 i allmänna dataskyddsförordningen har fullgjorts. För att trygga de registrerades rättigheter och transparensen i behandlingen av personuppgifter föreslår Finanssiala ry även att man överväger att tillsätta en oberoende tredje aktör för att övervaka förfrågningar som görs av myndigheterna. För att trygga de lagstadgade rättigheterna för en uppgiftslämnare finns det även ett behov av att i lagen om ett övervakningssystem för bank- och betalkonton utfärda bestämmelser om på vilket sätt en uppgiftslämnare har rätt att få uppgifter ur det loggregister som Tullen administrerar. Enligt Finanssiala ry understryker utkastet till regeringsproposition att en myndighet som gör en förfrågan ansvarar för att begäran om information är nödvändig, proportionerlig och lagenlig, men förtroendeskyddet för uppgiftslämnaren förblir i huvudsak oklart. Enligt Finanssiala ry möjliggör det system som beskrivits i förslaget inte den förhandskontroll av en personuppgiftsansvarig vilken förutsätts i allmänna dataskyddsförordningen, då den rättsliga grunden för en myndighets begäran är ett allmänt intresse enligt artikel 6.1 e i allmänna dataskyddsförordningen. Det avsnitt som gäller laglighetsövervakningen har preciserats i den fortsatta beredningen. 

Finanssiala ry anser att det är sannolikt att fogande av en funktion som gäller förfrågningar om kontotransaktions- och saldouppgifter till övervakningssystemet för bank- och betalkonton kommer att öka antalet förfrågningar avsevärt. När detta förenas med rätten till information för myndigheterna, vilken fastställts på ett omfattande och inexakt sätt, uppgiftslämnarnas svårigheter att bedöma lagenligheten i begäranden om information med ett snävt innehåll och de begränsade tillsynsmöjligheterna för de personuppgiftsansvariga hos de myndigheter som gör förfrågningar, anser Finanssiala ry att det är viktigt att i samband med den fortsatta beredningen bedöma och säkerställa att de föreslagna riskhanterings- och tillsynsåtgärderna är tillräckliga. Den föreslagna lagen omfattar en avsevärd mängd tekniska och organisatoriska skydds- och säkerhetsåtgärder, vilka ansetts vara tillräckliga för att säkerställa lagenlig behandling av information. 

Finanssiala ry föreslår dessutom preciseringar i 2 § 15 punkten, 17 f § och ikraftträdandeparagrafen i 4 kap., så att paragrafernas tydlighet och konsekvens och en enhetlig tolkning av dessa säkerställs. I den fortsatta beredningen har ovan nämnda punkter preciserats. Finanssiala ry föreslår dessutom en precisering av innehållet i 4 § och av terminologin i anknytning till en innehavare med rätt använda kontot. Innehållet i den nämnda paragrafen behandlas för närvarande i ett separat lagstiftningsprojekt som gäller genomförandet av sjätte penningtvättsdirektivet och de föreslagna anmärkningarna har förmedlats för kännedom till den nämnda arbetsgruppen. 

Centralkriminalpolisen konstaterar att de meddelandestrukturer och uppgiftsinnehåll som förmedlas via övervakningssystemet för bank- och betalkonton i enlighet med förslaget kommer att vara förenliga med den ISO 20022-standard som planerats att utnyttjas i genomförandet av direktivet om finansiell information och att möjligheten att göra förfrågningar om kontotransaktionsuppgifter via övervakningssystemet för bank- och betalkonton främjar även den nationella implementeringen av direktivet om finansiell information. Centralkriminalpolisen anmärker att om kontotransaktioner inte fås via övervakningssystemet för bank- och betalkonton, ska den nationella åtkomstpunkten enligt direktivet om finansiell information vid centralkriminalpolisen bygga ett separat gränssnitt till varje betal- och kreditinstitut, vilket har betydande kostnadskonsekvenser såväl för polisen som för kredit- och betalningsinstituten.  

Centralkriminalpolisen föreslår dessutom en utredning av om det i samband med den föreslagna förfrågan om kontotransaktions- och saldouppgifter är möjligt att på samma gång från det automatiserade centraliserade systemet som innehåller kontouppgifter utreda de uppgifter som fås för närvarande, det vill säga det fullständiga namnet och den finska personbeteckningen, eller i brist på sådan, medborgarskapet för kontoinnehavaren eller innehavaren av rätt att använda kontot, eller en juridisk persons fullständiga namn, registernummer, registreringsdag och registreringsmyndigheten. Eftersom dessa uppgifter är tillgängliga redan för närvarande med en nuvarande grundläggande förfrågan om kontoinformation och en separat kontotransaktions- och saldoförfrågan gäller separat mer detaljerad informationsbehandling, som baserar sig på att myndigheten har information om vems konto det handlar om, har det vid den fortsatta beredningen konstaterats att inga ändringar görs i den föreslagna regleringen. En myndighet kan i det egna systemet besluta i vilken form uppgifterna produceras för att utnyttjas utifrån de två olika funktionerna i övervakningssystemet för bank- och betalkonton.  

Justitieministeriet konstaterar att övervakningssystemet för bank- och betalkonton skapats för att genomföra femte penningtvättsdirektivet. Kretsen av myndigheter som använder systemet utvidgades i samband med genomförandet av direktivet om finansiell information även på grund av de nationella behoven. Justitieministeriet riktar uppmärksamhet på att grundlagsutskottet i samband med genomförandet av direktivet om finansiell information inte bedömt utökandet av kretsen av myndigheterna som använder systemet med tanke på förutsättningarna för behandling av uppgifter av känslig karaktär. Med tanke på omfattningen av behandlingen av personuppgifter i systemet är det enligt justitieministeriet motiverat att rikta uppmärksamhet på att det i flera punkter i propositionen finns en hänvisning till att de föreslagna ändringarna förbättrar skyddet för personuppgifter. Med de föreslagna ändringarna eftersträvas en ännu effektivare och följaktligen en mer omfattande behandling av personuppgifter av känslig karaktär. Ju mer omfattande tillgång till information som tillåts, desto mer risker innehåller regleringen med tanke på skyddet för en fysisk persons privatliv och personuppgifter. Justitieministeriet anmärker att datasäker teknik i sig kan ha en konsekvens som förbättrar datasäkerheten i behandlingen av personuppgifter, men att utlämnande av uppgifter alltid är förknippat med risker. Med tanke på omfattningen av de personuppgifter som behandlas i systemet riktar justitieministeriet även uppmärksamhet på att föreslagna 17 d § 2 mom. i lagen om ett övervakningssystem för bank- och betalkonton stipulerar att det via det centraliserade systemet för transaktions- och saldouppgifter är möjligt att begära även uppgifter om placeringar, aktier, värdepapper, krediter och säkerheter för en fysisk person eller en juridisk person, vilka det är nödvändigt för den behöriga myndigheten att få för de ändamål som fastställts i lagen. I den fortsatta beredningen finns det skäl att ännu behandla detta förslag till bestämmelse i förhållande till 1 §, som gäller systemets och lagens syfte, och 1 a §, som gäller lagens tillämpningsområde, samt bedöma om tillämpningen av den aktuella bestämmelsen innebär behandling av uppgifter som konstitutionellt sett är känsliga uppgifter eller uppgifter som är jämställbara med dessa. Justitieministeriet anmärker att det finns skäl att även bedöma bestämmelserna med tanke på EU-rätten, i synnerhet allmänna dataskyddsförordningen, med tanke på det nationella handlingsutrymmet. I den fortsatta beredningen har 1 och 1 a § i lagen kompletterats med hänsyn till den föreslagna bestämmelsen och motiveringarna till föreslagna 17 d § 2 mom. har kompletterats. 

Enligt justitieministeriet har grundlagsutskottets utlåtandepraxis, som gäller användning av det nationella handlingsutrymmet enligt EU-lagstiftningen, förts fram på behörigt sätt i motiveringarna till lagstiftningsordningen i propositionsutkastet och den föreslagna regleringen har bedömts i förhållande till denna utlåtandepraxis. Den föreslagna regleringen har även bedömts med hänsyn till EU-domstolens avgörandepraxis, som är relevant i detta sammanhang med tanke på EU:s allmänna dataskyddsförordning (EU) 2016/679 (nedan allmänna dataskyddsförordningen ) och det nationella handlingsutrymmet i det ovan nämnda femte penningtvättsdirektivet och direktivet om finansiell information.  

Fogandet av möjligheten att göra en förfrågan om kontotransaktionsuppgifter till övervakningssystemet för bank- och betalkonton enligt förslaget i propositionsutkastet är av vikt för principen om ändamålsbegränsning enligt artikel 5.1 b i allmänna dataskyddsförordningen. Justitieministeriet anser att det med tanke på bedömningen av principen om ändamålsbegränsning är centralt att rikta uppmärksamhet på användningsändamålen för personuppgifter enligt femte penningtvättsdirektivet och direktivet om finansiell information. Även om de nu föreslagna lagstiftningsändringarna inte handlar om nationellt utvidgande, utnyttjas det informationssystem som grundats genom regleringen för att genomföra femte penningtvättsdirektivet och direktivet om finansiell information i behandlingen av personuppgifterna. Dessutom är den nu föreslagna behandlingen av känsliga uppgifter enligt propositionsutkastet förknippad med behandling av personuppgifter som ska ske med stöd av lagstiftningen för att genomföra de ovan nämnda direktiven. Om informationssystemet börjar utnyttjas för att behandla känsliga uppgifter anmärker justitieministeriet att betydelsen av den fråga som gäller handlingsutrymmet blir accentuerad på grund av riskerna förknippade med behandlingen. I fråga om anmärkningen om tolkningen av PNR-direktivet i propositionsutkastet betonar justitieministeriet att motiveringarna till domen närmare redogör för aspekter som ska tillämpas allmänt i fråga om principen om ändamålsbegränsning. I den fortsatta beredningen har bedömningen av principen om ändamålsbegränsning och tolkningen i anknytning till PNR-domen kompletterats. 

Enligt justitieministeriet innehåller propositionsutkastet en behörig redogörelse av de synpunkter som gäller användning av handlingsutrymmet i allmänna dataskyddsförordningen och en bedömning av utnyttjandet av handlingsutrymmet med tanke på den föreslagna regleringen. Enligt ministeriet finns det dock skäl att i den fortsatta beredningen precisera bedömningen av handlingsutrymmet enligt allmänna dataskyddsförordningen, så att grundlagsutskottets utlåtandepraxis kring användning av handlingsutrymmet, vilken redogjorts för i motiveringarna till lagstiftningsordningen, beaktas på behörigt sätt. I den fortsatta beredningen har bedömningen kompletterats med beaktande av utlåtandepraxis.  

I fråga om proportionalitetsbedömningen riktar justitieministeriet uppmärksamhet på att Försvarsmakten enligt uppskattning årligen gjort några förfrågningar om kontotransaktioner utifrån rätten att få information enligt 44 § i lagen om brottsbekämpning inom försvarsmakten, vilken föreslås som grund för rätten att göra förfrågningar. I fråga om proportionalitetsbedömningen är det därtill beaktansvärt att Finansinspektionen föreslås få rätt att göra förfrågningar om kontotransaktionsuppgifter för alla dess lagstadgade uppgifter. I ljuset av bedömningen ser det dock ut som om det inte preciserats i vilken utsträckning varje uppgift förutsätter behandling av kontotransaktionsuppgifter. I den fortsatta beredningen har proportionalitetsbedömningen kompletterats i fråga om de nämnda myndigheterna. 

Justitieministeriet anser att det finns skäl att se över bedömningen av handlingsutrymmet i fråga om sekretessbestämmelsen under den fortsatta beredningen. Sekretessregleringen kan dock i enlighet med motiveringarna fastställas som en skyddsåtgärd som tillämpas på behandling av personuppgifter, men avsikten är inte att anpassa ändamålsbundenheten med den. I fråga om handlingsutrymmet enligt artikel 6.3 i allmänna dataskyddsförordningen kan det snarare bli aktuellt med till exempel de allmänna förutsättningarna i punkten, vilka gäller lagenligheten i den personuppgiftsansvariges behandling av uppgifter. Justitieministeriet riktar uppmärksamhet på att det i konsekvensbedömningen i propositionen konstateras att mottagande av kontotransaktionsuppgifter i samma format underlättar även den fortsatta behandlingen av uppgifterna. I den fortsatta bedömningen finns det skäl att förtydliga detta konstaterande med hänsyn till föreslagna 1 b § 3 mom., med vilket användningen av de uppgifter som fåtts via systemet avgränsas till endast de ändamål för vilka uppgifterna lämnats ut. I den fortsatta beredningen finns det även skäl att bedöma den sist nämnda bestämmelsens förhållande till 10 § i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter (1346/1999), enligt vilken Skatteförvaltningen också för att utföra andra uppgifter som avses i 2 § i lagen om Skatteförvaltningen (503/2010) får använda och behandla beskattningsuppgifter som den tagit emot eller satt upp för ett visst beskattningsärende, utan att bestämmelserna om skydd för personuppgifter och sekretessbeläggning av handlingar hindrar det. I den fortsatta beredningen har dessa punkter preciserats.  

Justitieministeriet anser att begränsningen av den registrerades rättighet ska bedömas i ljuset av förutsättningarna enligt artikel 23 i allmänna dataskyddsförordningen och bedömningen av begränsningen av den registrerades rättighet ska kompletteras i denna utsträckning. Betydelsen av konstaterandet om att begränsningen baserar sig på 34 § i dataskyddslagen i motiveringarna förblir oklar och i den fortsatta beredningen bör det avlägsnas från motiveringarna. Dessa punkter har preciserats i den fortsatta beredningen. Justitieministeriet riktar dessutom uppmärksamhet på sekretessbestämmelsens exakthet. Ministeriet konstaterar att formuleringen ”som behandlas via” kan ge den som tillämpar bestämmelsen utrymme för att tolka att uppgifterna behandlas i systemet, i dess ”delsystem” eller utanför dessa. Dessutom anser ministeriet att det i propositionen finns skäl att tydliggöra sekretessbestämmelsens förhållande till offentligheten för uppgifter i delsystemen i övervakningssystemet för bank- och betalkonton (det centraliserade automatiserade kontouppgiftssystemet och det centraliserade elektroniska systemet för transaktions- och saldouppgifter) samt till registret över bank- och betalkonton, som omfattas av ett förslag om att de uppgifter som införts i det sekretessbeläggs på ett sätt som motsvarar nuläget (5 §). I den fortsatta beredningen har bestämmelsen om sekretessregleringen och dess motiveringar preciserats. Sekretessen omfattar behandlingen av uppgifter i hela systemet.  

Justitieministeriet konstaterar att de bestämmelser som föreslagits i 17 a och 17 c § har formulerats som en rätt att få information, som dock redan föreskrivs annanstans i lagstiftningen. De föreslagna paragraferna inklusive hänvisningsbestämmelserna bildar en rörig helhet. Enligt ministeriets uppfattning leder regleringshelheten till en situation där rätten att få information föreskrivs två gånger för samma uppgifter. Med beaktande av ovan refererade utlåtandepraxis av grundlagsutskottet konstaterar justitieministeriet att den föreslagna regleringen kring rätten att få information konstitutionellt sett är problematisk. Justitieministeriet konstaterar att den reglering som nu föreslagits för 17 a–17 d § kan genomföras på så sätt att den föreslagna lagen innehåller bestämmelser om sättet att lämna ut information. I de föreslagna paragraferna kan de nämnda myndigheterna i enlighet med deras gällande rätt att få information tilldelas rätt att få saldouppgifter och kontotransaktionsuppgifter även elektroniskt via ett tekniskt gränssnitt ur det elektroniska systemet för transaktions- och saldouppgifter, om myndigheten har en lagstadgad rätt att få de begärda uppgifterna. Med regleringen är det möjligt att begränsa de uppgifter som fås med det tekniska gränssnittet på det sätt som föreslås i 17 b och 17 d §. De nämnda bestämmelserna har ändrats i enlighet med förslaget.  

I motiveringarna till lagstiftningsordningen i propositionen hänvisas det i fråga om den grund för undantag vilken tillämpas på behandlingen av särskilda kategorier av personuppgifter till underpunkt g i artikel 9.2 i allmänna dataskyddsförordningen. I motiveringarna till lagstiftningsordningen konstateras i detta sammanhang att man i förslaget inkluderat specialbestämmelser som kompletterar allmänna dataskyddsförordningen, vilka enligt bedömning är nödvändiga för att minimera den höga risk som uppkommer för en persons rättigheter och friheter. Specialmotiveringen i propositionsutkastet innehåller på flera ställen en hänvisning till de skyddsåtgärder som ska tillämpas på behandlingen. Justitieministeriet anmärker att det i den fortsatta beredningen även är motiverat att komplettera motiveringarna till lagstiftningsordningen genom att föra fram vilka skyddsåtgärder enligt underpunkt g i artikel 9.2 som avses tillämpas. I den fortsatta beredningen har motiveringarna till lagstiftningsordningen kompletterats.  

I fråga om lagförslag 2 i propositionsutkastet konstaterar justitieministeriet att den föreslagna bestämmelsen om skyldigheten att lämna ut uppgifter i 1 mom. redan är bunden till nödvändighetskriteriet. Följaktligen är regleringen i 2 mom. onödig och det finns skäl att avlägsna den. I den fortsatta beredningen har 2 mom. avlägsnats från den föreslagna bestämmelsen.  

Polisstyrelsen föreslår att behovet av att förtydliga bestämmelserna bedöms i den utsträckning som de gäller en situation där en registrerad framför en begäran enligt artikel 15 i allmänna dataskyddsförordningen om att få tillgång till uppgifterna till det kredit- och betalningsinstitut som är personuppgiftsansvarig. När ett kredit- och betalningsinstitut samlar logguppgifter om utlämnandet av uppgifter till den behöriga myndigheten och den registrerades rätt att få tillgång till dessa uppgifter inte har begränsats, uppstår en risk för att kredit- och betalningsinstituten i fråga om dessa uppgifter tillämpar en rätt till insyn för en registrerad som är mer omfattande än polisens rätt och målet för begäran om information indirekt får reda på att han eller hon är föremål för åtgärder av polisen. Därtill föreslår Polisstyrelsen att 17 e § eller alternativt motiveringarna till bestämmelsen preciseras i fråga om anmälningen av användningsändamålet. Polisstyrelsen anmärker att om ett krav för att lämna ut uppgifter, vid sidan om befogenhetsbestämmelsen, är detaljerad information om för vilket ändamål uppgiften kommer att användas, kan detta ge den aktör som lämnar ut uppgifterna onödigt mycket information om till exempel en pågående polisundersökning. I den fortsatta beredningen av propositionen har regleringen kring den registrerades rätt till insyn i enlighet med motiveringstexten utvidgats även till ett kredit- och betalningsinstitut som lämnar ut information, det vill säga till ett elektroniskt datasöksystem för bank- och betalkonton. Det är synnerligen viktigt att begränsa den registrerades rättigheter på grund av sekretessgrunderna för en begäran om information av en myndighet. Den registrerades granskningsrätt har i enlighet med den gällande lagen begränsats i fråga om sammanställningsprogrammet och det finns följaktligen skäl att precisera att den utsträcker sig även till registret hos en uppgiftslämnare som är personuppgiftsansvarig. I fråga om anmälningen av användningsändamålet har det vid den fortsatta beredningen konstaterats att anmälningen av användningsändamålet främjar att ansvarsskyldigheten enligt artikel 5 i allmänna dataskyddsförordningen fullgörs och ger aktörer som lämnar ut information en faktisk möjlighet att bedöma om begäran är nödvändig och lagenlig. Den föreslagna formuleringen ändrar inte nuvarande praxis, enligt vilken myndigheterna i samband med en förfrågan om kontotransaktionsuppgifter gett de aktörer som lämnar ut uppgifter information om behandlingsändamålet för förfrågan. Information om användningsändamålet ökar dock risken för eventuellt missbruk av uppgifterna. Följaktligen är det viktigt att sekretessregleringen beaktas i förslaget i enlighet med föreslagna 1 c § och att den registrerades granskningsrätt begränsas. 

Finlands Advokatförbund anser att bestämmelserna om utlämnande av kontotransaktions- och saldouppgifter i propositionen inte på behörigt sätt beaktar sekretessplikten i anknytning till ett gemensamt konto som förvaltas av en advokat, vilket på det ovan konstaterade sättet gjorts i 4 § som gäller övervakningssystemet för bank- och betalkonton. På grund av detta motsätter sig advokatförbundet de elektroniska kontotransaktions- och saldosystem som avses i utkastet till regeringsproposition i den utsträckning som de gäller gemensamma konton som förvaltas av en advokat. Advokatförbundet anser att att det är absolut nödvändigt att regeringspropositionen tydligt redogör för advokaternas särskilda ställning och tystnadsplikt. Advokatförbundet förutsätter att myndigheterna via det elektroniska gränssnittet inte alls kan få uppgifter om kontotransaktioner och inte heller andra uppgifter om konton som markerats som gemensamma konton som förvaltas av en advokat, utan att myndigheterna ska vända sig till den advokat som är kontoinnehavare för att utreda kontotransaktionerna på det gemensamma kontot. I den fortsatta beredningen av propositionen har formuleringen av paragrafen korrigerats i enlighet med det ovan nämnda.  

Dataombudsmannens byrå konstaterar att utkastet till regeringsproposition ska innehålla en bedömning som gäller kraven i bland annat EU:s allmänna dataskyddsförordning, grundlagen och Europeiska människorättskonventionen. Behandlingen av personuppgifter ska regleras på lagnivå och regleringen ska vara omfattande, exakt och noggrant avgränsad. Dessutom ska lagstiftningen om behandling av personuppgifter uppfylla målet om ett allmänt intresse och vara proportionerlig i förhållande till det uppställda målet. Lagstiftningen ska även vara tydlig och tillämpningen av den ska vara förutsägbar. Dataombudsmannen har gett ett utlåtande om förstudien före lagprojektet (dnr 3654/91/2023), där den lyft fram frågor som ska beaktas i lagstiftningsprojektet ur dataskyddslagstiftningens synvinkel. I den utsträckning som det utkast som nu är på remiss beaktat de ärenden som lyftes fram vid den tidpunkten, anser dataombudsmannen att utkastet till regeringsproposition är exakt och noggrant avgränsat samt att det har motiverats på behörigt sätt.  

Dataombudsmannen anmärker att kontotransaktionsuppgifter kan vara förknippade med särskilda kategorier av personuppgifter, känsliga uppgifter och andra uppgifter som innebär ett djupt inkräktande på den registrerades integritet. I behandlingen av personuppgifter är det därtill möjligt att behandla även personuppgifter om personer som är utomstående i förhållande till begäran om information. På grund av denna orsak är det ändamålsenligt att stifta bestämmelser om en fallspecifik bedömning av en begäran om information och den tidsmässiga avgränsningen direkt i 17 f § 2 mom., så att bestämmelsen är exakt och noggrant avgränsad och styr till en förutsägbar tillämpning av den. Därtill konstaterar dataombudsmannens byrå att man i kontotransaktionsuppgifter till myndigheterna lämna ut även sådan information som inte har någon koppling till det ärende som ligger till grund för begäran om information och därför är det ändamålsenligt att i författningstexten eller motiveringarna till lagen föra fram radering av obehövliga personuppgifter. Enligt dataombudsmannens syn ska myndigheten i fråga om behandlingen av personuppgifter i denna lag ha en tydlig skyldighet att analysera de kontotransaktionsuppgifter som lämnats ut och radera onödiga uppgifter utan oskäligt dröjsmål. På så sätt stärks de registrerades personuppgifts- och integritetsskydd och principen om minimering av behandling av personuppgifter och nödvändigheten att behandla personuppgifter fullgörs på ett säkrare sätt. Dataombudsmannen föreslår att man överväger att utfärda bestämmelser om tidsfristen för att radera uppgifter direkt i lagen eller om det i motiveringarna ska ges ett närmare förslag om tidsfristens eventuella längd, så att minimering av särskilda kategorier av personuppgifter och känsliga uppgifter som innebär ett djupt inkräktande på den registrerades privatliv kan säkerställas, i synnerhet med hänsyn till att sammanställningsprogrammet inte har som syfte att lagra uppgifter. Justitieministeriet anser å sin sida att propositionsutkastet innehåller reglering som överlappar principerna om uppgiftsminimering och om begränsning av förvaringen i artikel 5 i allmänna dataskyddsförordningen, de förpliktelser i förordningen vilka gäller felfria och exakta uppgifter enligt förordningen samt laglig behandling av personuppgifter, vilket det finns skäl att undvika. I den fortsatta beredningen av propositionen har det dock beslutats att precisera dessa anmärkningar av dataombudsmannen antingen i författningstexten eller i motiveringstexten till lagen.  

Tullen föreslår flera preciseringar i innehållet i motiveringarna till bestämmelserna om utlämnande av information, registeradministreringen och uppgiftsinnehållet i en förfrågan om kontotransaktioner för att bilda en entydig tolkning av regleringen. Tullen nämner utmaningen med pseudonymisering av information i anknytning till en begäran om tilläggsinformation som gäller en begäran om information. Om en uppgiftslämnare inte behöver preciserande information om en förfrågan av den myndighet som gör förfrågan, kan uppgiftslämnaren inte specificera begäran med den pseudonymiserade kod som fåtts från sammanställningsprogrammet, eftersom myndigheten inte känner till denna kod. Även om pseudonymisering av information för att skydda den registrerades rättigheter är motiverad, har bestämmelsen om pseudonymisering av referensinformation slopats i den fortsatta beredningen. I den fortsatta beredningen har övriga nämnda punkter förtydligats.  

För att genomföra Skatteförvaltningens rätt att få information föreslås i regeringspropositionen att en ny, noggrannare avgränsad 18 a § om skyldigheten för en utomstående att lämna uppgifter via övervakningssystemet för bank- och betalkonton fogas till lagen om ett övervakningssystem för betal- och kreditinstitut. Finansministeriet föreslår att man i den fortsatta beredningen riktar ännu mer uppmärksamhet på motiveringarna och förtydligar förutsättningen om nödvändighet i BFL 18 a §. Även Finanssiala ry anser att lagförslaget i utkastet till regeringsproposition i fråga om ändringen av lagen om beskattningsförfarande eller motiveringen till denna inte är tillräcklig detaljerad eller exakt. Finanssiala ry anser att det är nödvändigt att Skatteförvaltningens rätt att få information preciseras så att den uppfyller kraven i allmänna dataskyddsförordningen och riktlinjerna av riksdagens grundlagsutskottet i ärendet. Finanssiala ry anser även att det är viktigt att det i motiveringarna till föreslagna 18 a § i lagen om beskattningsförfarande tydligt konstateras att Skatteförvaltningen i första hand ska begära tilläggsuppgifter av den skattskyldige och först i andra hand via övervakningssystemet för bank- och betalkonton. I den fortsatta beredningen har motiveringarna till den nämnda paragrafen preciserats i fråga om nödvändigheten och skyldigheten att lämna uppgifter för en utomstående. Finansministeriet och Skatteförvaltningen föreslår dessutom en teknisk ändring av paragrafen i fråga. I den fortsatta beredningen har formuleringen av paragrafen preciserats i enlighet med förslaget. 

Finansministeriet och Tullen vill dessutom rikta särskild uppmärksamhet på att Finland ansökt om finansiering för projektet ur EU:s facilitet för återhämtning och resiliens (RRF). Fogandet av möjligheten att göra en förfrågan om kontotransaktionsuppgifter till övervakningssystemet för bank- och betalkonton genomförs som en del av Finlands program för hållbar tillväxt i programmet återhämtning och resiliens (RRP) som en reform för att förstärka en effektiv tillsyn och efterlevnad av förebyggande av penningtvätt (kod P2C3R1). Genomförande av förfrågningar om kontotransaktioner är en av de fem reformerna som genomförs i projektet, men reformerna bedöms som en helhet i fråga om utbetalningarna ur RRF. Detta innebär att alla fem projekt ska uppfylla de verifieringsnivåer som kommissionen fastställt för att finansiering ska fås. I fråga om kontotransaktionsuppgifter förutsätter Europeiska kommissionen att produktionsanvändningen ska ha inletts före den 30 juni 2026. På grund av detta ska fogandet av kontotransaktioner till lagen om ett övervakningssystem för bank- och betalkonton vara publicerat i författningsförsamlingen senast den 31 december 2025. Finansministeriet och Tullen anmärker att inkomstförlusten enligt finansministeriets preliminära uppskattningar på basis av kommissionens metod kan uppgå till hela 70–80 miljoner euro, om de mål som hänför sig till reformen inte alls uppnås.  

På grund av ovan konstaterade tidspress uttrycker finansministeriet sin oro i anknytning till att propositionsutkastet ska säkerställa att bestämmelserna om de behöriga myndigheternas rätt att få information motsvarar målet med propositionen om att kontotransaktions- och saldouppgifter är nödvändiga för myndigheten då den utför sina lagstadgade uppgifter. Finansministeriet konstaterar dessutom att det i den fortsatta beredningen är viktigt att ännu rikta särskild uppmärksamhet på att kontotransaktionsuppgifter kan innehålla även uppgifter enligt artikel 9 och 10 i allmänna dataskyddsförordningen, det vill säga särskilda kategorier av personuppgifter och uppgifter om fällande domar och överträdelser. Vid den fortsatta beredningen har propositionen kompletterats i denna utsträckning.  

Skatteförvaltningen och Tullen gav dessutom förslag för den fortsatta utvecklingen av systemet. Skatteförvaltningen föreslår att användningen av övervakningssystemet för bank- och betalkonton i fortsättningen möjliggörs även i förfarandet för återbetalning av skatter och avgifter och att Skatteförvaltningen utifrån övervakningssystemet för bank- och betalkonton har möjlighet att granska de kontoägare som anmälts till Skatteförvaltningen och dispositionsrätten till dessa samt vid behov utreda den skattskyldiges bankförbindelseuppgifter. Med förfarandet förebyggs missbruk av återbetalning av skatter och avgifter och utnyttjande av beskattningsförfaranden i penningtvätt. Förfarandet skulle även i viss mån minska det personarbete som förutsätts för förfarandena för återbetalning av skatt. I praktiken förutsätter den ändring som Skatteförvaltningen föreslagit att lagen om skatteuppbörd reformeras. Skatteförvaltningen föreslår även att övervakningssystemet för bank- och betalkonton utvecklas så att Skatteförvaltningen på ett effektivare sätt kan genomföra de administrativa förfaranden som förutsätts av kraven på effektivt genomförande i direktivet om administrativt samarbete i fråga om beskattning (2011/16/EU) för att säkerställa att finansinstituten iakttar aktsamhets- och rapporteringsskyldigheterna. Tullen yttrar att det i den fortsatta utvecklingen av lagstiftningen även kan finnas ett behov av att överväga att utvidga den grupp av uppgifter som lämnas ut ur övervakningssystemet för bank- och betalkonton till andra uppgifter som gäller bankärenden, såsom uppgifter om kundens egendom, som kunden har nyttjanderätt till, samt kontoöppningshandlingarna. Tullen påpekar att även laglighetsövervakningen av systemet för förfrågningar om bank- och betalkonton främjas av att alla uppgifter som är föremål för förfrågningar till kredit- och betalningsinstituten fogas till samma förfrågningssystem, då uppgifter begärs och lämnas ut via samma system. 

Efter remissförfarandet sändes det propositionsutkast som varit föremål för fortsatt beredning till statsrådets justitiekansler för förhandsgranskning den 10 januari 2025 och därefter ännu för fortsatt granskning den 26 februari 2025 och den 21 mars 2025. Efter justitiekanslerns anmärkningar om bestämmelserna om rätten att göra förfrågningar för begäranden om information har krediter och säkerheter avlägsnats från det propositionsutkast som var på remiss och bestämmelserna i 17 a–17 d § har preciserats att gälla för förmedling och utlämnande av uppgifter via det elektroniska gränssnittet. Därtill har en bestämmelse om riktande av en begäran om information fogats till 1 d § och nya 16 punkten till 2 §. Propositionen har kompletterats i synnerhet i fråga om konsekvenserna för skyddet för personuppgifter på grund av propositionen.  

7.1  Lagen om ett övervakningssystem för bank- och betalkonton

1 kap . Allmänna bestämmelser 

Lagförslagets 1 kap. innehåller allmänna bestämmelser och paragraferna 1–1 e §.  

1 § . Övervakningssystemet för bank- och betalkonton och lagens syfte. Paragrafen innehåller bestämmelser som beskriver syftet med övervakningssystemet för bank- och betalkonton samt dess allmänna struktur och funktion. Det föreslås att den gällande paragrafen ändras så att lagens syfte fogas till paragrafens rubrik, innehållet i 1 och 2 mom. i paragrafen ändras och 3 mom. flyttas till nya 1 a § och 4 mom. till 1 b §. Med de föreslagna ändringarna beskrivs innehållet i övervakningssystemet för bank- och betalkonton i enlighet med förslaget via det två funktionerna i övervakningssystemet för bank- och betalkonton.  

I enlighet med 1 mom. i paragrafen består övervakningssystemet för bank- och betalkonton av ett centraliserat automatiserat kontouppgiftssystem samt ett centraliserat elektroniskt system för transaktions- och saldouppgifter. I det första momentet förklaras skillnaden mellan de två olika funktionerna i övervakningssystemet för bank- och betalkonton, vilka avviker från varandra i fråga om sättet att behandla information och den rättsliga grunden. Det centraliserade automatiserade kontouppgiftssystemet baserar sig på det automatiserade och omedelbara systemet innehållande ägaruppgifter om ett konto enligt lagen om ett övervakningssystem för bank- och betalkonton, vilket baserar sig på kravet i femte penningtvättsdirektivet för medlemsstaterna att införa centraliserade automatiserade mekanismer, såsom centraliserade register eller centraliserade elektroniska datasöksystem, som gör det möjligt att med nödvändig skyndsamhet fastställa identiteten hos fysiska eller juridiska personer som innehar eller kontrollerar betalkonton och bankkonton som identifieras med IBAN-nummer samt bankfack som innehas av ett kreditinstitut inom deras territorium. Med andra ord motsvarar systemet och informationsbehandlingen enligt den gällande lagen om ett övervakningssystem för bank- och betalkonton det centraliserade automatiserade kontouppgiftssystemet enligt förslaget. 

Det centraliserade elektroniska systemet för transaktions- och saldouppgifter baserar sig å sin sida på en myndighets nationella behov av att få kontotransaktions- och saldouppgifter via ett centraliserat elektroniskt system. Funktionen i det centraliserade systemet för transaktions- och saldouppgifter baserar sig å ena sidan på elektronisk informationsbehandling, men avviker från det omedelbara utlämnandet av uppgifter i det automatiserade systemet på så sätt att en rimlig tidsfrist ges för behandlingen av begäranden om information hos kredit- och betalningsinstitutet eller hos andra uppgiftslämnare. Uppgiftslämnaren har följaktligen möjlighet att bedöma grunderna för utlämnandet av information utifrån den mottagna begäran och även möjlighet att vägra att lämna ut informationen, om den anser att begäran om information inte är lagenlig. Lagen innehåller inte bestämmelser om principerna för informationsbehandling eller de tekniska sätt som uppgiftslämnaren ska iaktta i sitt eget system, men med lagen möjliggörs att en uppgiftslämnare har en faktisk möjlighet att till exempel granska innehållet i en begäran om information av den myndighet som gjort begäran. 

Enligt paragrafens 2 mom. är syftet med lagen att främja myndigheternas automatiska tillgång till information om bank- och betalkonton och bankfack och elektroniska tillgång till information om kontotransaktions- och saldouppgifter samt om uppgifter om värdepapper. Syftet med det centraliserade systemet är att skapa en datasäker kanal för behandling av de personuppgifter som lämnas ut. Ett ytterligare syfte med lagen är att myndigheternas förfrågningar om bankkonton riktas på ett ännu bättre sätt, vilket minskar såväl myndigheternas som de anmälningsskyldigas arbetsmängd. Propositionen främjar målet i regeringsprogrammet om att förbättra digitaliseringens kostnadseffektivitet genom att befintliga nationella informationsresurser och informationssystem utnyttjas på ett informationssäkert sätt i större utsträckning än för närvarande och bland annat förbättra digitaliseringen såväl i brottsundersökningen som i brottsbekämpningen.  

Enligt paragrafens 3 mom. behandlas personuppgifter i övervakningssystemet för bank- och betalkonton med ett datasöksystem för bank- och betalkonton, registret över bank- och betalkonton, systemet för utlämnande av uppgifter och ovan nämnda sammanställningsprogram som förmedlar information. I 1 § 1 mom. i den gällande lagen föreskrivs det att övervakningssystemet för bank- och betalkonton består av ett datasöksystem för bank- och betalkonton, registret över bank- och betalkonton samt ett sammanställningsprogram. I och med förslaget preciseras det att övervakningssystemet för bank- och betalkonton delas upp i två funktioner, där samma systemdelar, datasöksystemet för bank- och betalkonton, registret över bank- och betalkonton och sammanställningsprogrammet utnyttjas i behandlingen av uppgifter. Eftersom den föreslagna lagen innehåller bestämmelser om en skyldighet för alla uppgiftslämnare att lämna ut kontotransaktions- och saldouppgifter via övervakningssystemet för bank- och betalkonton, lämnar kredit- och betalningsinstitut som inte skapat ett datasöksystem ut uppgifter via det föreslagna systemet för utlämnande av uppgifter. Stiftandet av bestämmelser om den rättsliga grunden för informationsbehandlingen i det centraliserade systemet baserar sig på artikel 6.3 i allmänna dataskyddsförordningen. I enlighet med den ska den rättsliga grunden för behandlingen av information ur övervakningssystemet för bank- och betalkonton stiftas antingen i a) unionsrätten eller b) en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Den rättsliga grunden för rätten att få kontotransaktions- och saldouppgifter för de behöriga myndigheterna föreskrivs i speciallagarna. Avsikten med den föreslagna lagen är inte att ändra den rättsliga grunden för tillgången till information för de behöriga myndigheterna, utan att skapa en elektronisk kanal för att myndigheterna ska få bankkontoinformation och kontotransaktions- och saldoinformation från kredit- och betalningsinstituten.  

1 a §.Tillämpningsområde. Det föreslås att nya 1 a §, med bestämmelser om lagens tillämpningsområde, fogas till lagen. I enlighet med paragrafens 1 mom. tillämpas lagen på erhållande och förmedling av information om bank- och betalkonton, uppgifter om bankfack, transaktions- och saldouppgifter samt uppgifter om värdepapper från betalningsinstitut, institut för elektroniska pengar, kreditinstitut och leverantörer av kryptotillgångstjänster till behöriga myndigheter när ovan nämnda uppgifter behandlas med övervakningssystemet för bank- och betalkonton.  

I paragrafens 2 mom. finns det bestämmelser om tillämpningen av lagen på filialer i Finland till utländska betalningsinstitut, institut för elektroniska pengar, kreditinstitut och leverantörer av kryptotillgångstjänster. Momentet flyttas från 1 § 3 mom. i den gällande lagen till 1 a §.  

1 b §.Förhållande till annan lagstiftning samt sekretess för uppgifter. Det föreslås att nya 1 b § fogas till lagen. Paragrafen innehåller bestämmelser om offentligheten för uppgifter som behandlas i övervakningssystemet för bank- och betalkonton. I enlighet med paragrafförslaget är uppgifter som behandlas i övervakningssystemet för bank- och betalkonton, det vill säga en begäran om information och innehållet i svaret på den, sekretessbelagda uppgifter. Den föreslagna regleringen motsvarar sekretessregleringen i den gällande lagen. De uppgifter som behandlas i övervakningssystemet för bank- och betalkonton utgörs av myndigheternas riktade begäranden om information och de kunduppgifter som kredit- och betalningsinstituten, instituten för elektroniska pengar och leverantörerna av kryptotillgångstjänster lämnar ut utifrån dessa, såsom identifieringsuppgifter om kunderna, olika kontotransaktioner, betalningar och inköp och anknutna identifieringsuppgifter samt om uppgifter om värdepapper och som finns i registren hos de uppgiftslämnare som avses i 1 a § i den föreslagna lagen. En del av uppgifterna i övervakningssystemet för bank- och betalkonton finns dessutom i registret över bank- och betalkonton. Sekretessen gäller för övervakningssystemet för bank- och betalkonton i sin helhet, det vill säga för båda funktionerna, det centraliserade automatiska kontouppgiftssystemet, inklusive registret över bank- och betalkonton, och det centraliserade elektroniska systemet för transaktions- och saldouppgifter.  

Det finns allmänna bestämmelser om sekretessen för en myndighetshandling i lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen ). I 24 § 1 mom. 23 punkten i offentlighetslagen föreskrivs det att om inte något annat föreskrivs särskilt, är myndighetshandlingar sekretessbelagda om de innehåller uppgifter om en persons årsinkomster eller totala förmögenhet eller inkomster och förmögenhet som ligger till grund för stöd eller förmåner eller som annars beskriver hans ekonomiska ställning, utsökningsmyndigheternas handlingar till den del de innehåller uppgifter som införda i utsökningsregistret skulle vara sekretessbelagda enligt utsökningsbalken samt uppgifter om fysiska personer som utsökningsgäldenärer och utsökningsutredningar. De kredit- och betalningsinstitut som lämnar ut uppgifter och övriga aktörer som avses i 1 a §, liksom även de som utnyttjar information, det vill säga uppgifterna i myndigheternas register, omfattas av olika bestämmelser om uppgifternas offentlighet och sekretess. Kredit- och betalningsinstituten, instituten för elektroniska pengar och leverantörerna av kryptotillgångstjänster lämnar ut uppgifter om bankkonton och transaktionerna på dessa till olika myndigheter för skötseln av väldigt olika myndighetsuppgifter. Eftersom sättet att använda pengar och betalningsrörelsen har ändrats i hög grad från användning av kontanter till betalningsrörelse via bankkonton, är det möjligt att få en väldigt detaljerad bild av en persons privatliv utifrån uppgifterna om transaktionerna på ett bankkonto. Transaktionerna kan rentav avslöja känsliga uppgifter, såsom uppgifter om medlemskap i religionssamfund och användning av hälso- och sjukvårdstjänster. Detaljerade kontouppgifter om en fysisk person kan följaktligen anses vara jämställbara med känsliga uppgifter som hör till kärnområdet för skyddet för personuppgifter, på grund av vilka den föreslagna specialregleringen om sekretessbeläggning av uppgifter i övervakningssystemet för bank- och betalkonton kan anses vara befogad med tanke på skyddet för privatlivet och personuppgifter. Med den föreslagna bestämmelsen skyddas följaktligen i synnerhet uppgifter som enligt föreskrifterna är känsliga, och det handlar om en särskild skyddsåtgärd som skyddar den registrerades rättigheter och friheter i behandlingen av dessa.  

Sekretessen för uppgifter som behandlas i övervakningssystemet för bank- och betalkonton ska utsträckas till privata aktörer som lämnar ut uppgifter, det vill säga till alla uppgiftslämnare enligt föreslagna 1 a §. I motsats till behandlingen av uppgifter enligt den gällande lagen, får ett kreditinstitut som administrerar ett datasöksystem eller en annan uppgiftslämnare i fråga om en begäran om kontotransaktions- och saldouppgifter som gjorts via Tullens sammanställningsprogram i enlighet med förslaget information om vilken myndighet som begärt information och för vilket användningsändamål information begärts. De uppgifter som förmedlas omfattar utöver namn även befogenhetsparagrafen enligt 17 a och c §, myndighetsuppgiften och referens- eller diarieuppgiften för det aktuella fallet. Uppgiftslämnaren får naturligtvis även information om vilken kunds information som är föremål för förfrågan och för vilken tid då den mottar en förfrågan. När uppgiftslämnaren mottar en begäran om information, begränsar principen om ändamålsbegränsning användningen av uppgiften för det ändamål som behandlingen av information förutsätter. I artikel 6.4 i allmänna dataskyddsförordningen finns det bestämmelser om användningsändamål som är kompatibla med de ursprungliga användningsändamålen för behandlingen av uppgifter. Det finns dock skäl att utfärda bestämmelser om sekretessen, eftersom det med stöd av artikel 6.3 i allmänna dataskyddsförordningen är möjligt att anpassa tillämpningen av reglerna i förordningen i fråga om bland annat bundenheten till användningsändamålet. Följaktligen handlar sekretessbestämmelsen om reglering kring skyddsåtgärder som utfärdas med stöd av handlingsutrymmet i allmänna dataskyddsförordningen, med vilken de allmänna förutsättningarna i allmänna dataskyddsförordningen anpassas, vilka gäller lagenligheten i behandlingen av personuppgifter av den personuppgiftsansvarige. Sekretessbestämmelsen avlägsnar kredit- och betalningsinstitutets möjlighet att utnyttja information för ett annat ändamål än för att genomföra begäran om information. Genom att utfärda bestämmelser om sekretessen tryggas myndighetens verksamhet. Det centraliserade elektroniska systemet för transaktions- och saldouppgifter innebär ett inkräktande på den registrerades rättigheter och för att behandlingen av uppgifter ska vara proportionerlig och för att minimera den höga risken för den registrerades rättigheter, ska såväl begäranden om information som de uppgifter som lämnas ut vara sekretessbelagda.  

I paragrafens 2 mom. föreskrivs det att kredit- och betalningsinstitut och andra aktörer enligt 1 a § inte får behandla begäranden av information som gjorts av myndigheterna i övervakningssystemet för bank- och betalkonton i annat syfte än för att svara på begäran. Uppgiftslämnaren har följaktligen inte rätt att på grund av en begäran om information göra till exempel anteckningar i kunduppgifterna om fysiska eller juridiska personer som är föremål för förfrågningar och information om en begäran om information får inte utnyttjas till exempel i riskhanteringen av kundrelationen eller för annan övervakning av kundrelationen. Uppgiftslämnaren får inte heller för föremålet för begäran avslöja att myndigheten gjort en begäran om information, liksom inte heller svaret på och innehållet i det. I princip medför användning av en sådan begäran för ett annat användningsändamål en hög risk för den registrerades rättigheter. En begäran om information av en myndighet kan bero till exempel på en anhängig brottsundersökning hos myndigheten, vars föremål kan visa sig vara oskyldigt, men det kan även handla om ett offer för ett brott eller en utomstående, och därför ska begäran om information inte heller ha konsekvenser för kundrelationen för den som är föremål för begäran om information. Å andra sidan kan avslöjandet om att en begäran om information gjorts äventyra en myndighets lagstadgade uppgift, såsom en anhängig brottsundersökning och till exempel återvinning av medel. Det handlar om reglering kring skyddsåtgärder som ges med stöd av handlingsutrymmet i allmänna dataskyddsförordningen. Användning av information för ett annat än ett lagstadgat ändamål har föreskrivits som straffbart i enlighet med artikel 83 i allmänna dataskyddsförordningen.  

I paragrafens 3 mom. föreskrivs det att den behöriga myndighet som gjort förfrågan inte får behandla uppgifter som den fått från en uppgiftslämnare enligt 1 a § för något annat ändamål än det för vilket uppgifterna har lämnats ut. Enligt principen om ändamålsbegränsning i artikel 5.1 b i allmänna dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ett förbud för en myndighet att utnyttja information för användningsändamål som inte överensstämmer med det ursprungliga användningsändamålet ska dock stiftas för att trygga den registrerades rättigheter. Följaktligen handlar det om reglering kring skyddsåtgärder som ges med stöd av handlingsutrymmet i allmänna dataskyddsförordningen, med vilken ändamålsbundenheten anpassas. En myndighet får inte vidareöverlåta information som den fått ur övervakningssystemet för bank- och betalkonton direkt i oförändrad form till exempel för en annan egen myndighetsuppgift med ett annat användningsändamål eller till en annan myndighet, utan varje myndighet gör en egen förfrågan med stöd av den egna rätten att få information. Detta innebär dock inte att myndigheten i enlighet med de egna författningarna om utlämnande av information till exempel till en annan myndighet får lämna ut sådan information för vilken den information som fåtts ur övervakningssystemet för bank- och betalkonton utnyttjats. Detta avser till exempel polisens rätt att förmedla kontotransaktionsuppgifter som utgör brottsundersökningsmaterial till åklagaren eller Skatteförvaltningens möjlighet att utnyttja kontotransaktionsuppgifter för en skatterevisionsberättelse och vidare för att förmedla denna skatterevisionsberättelse till polisen som material i en begäran om utredning. 

Enligt artikel 5 i allmänna dataskyddsförordningen ska personuppgifter vara korrekta och om nödvändigt uppdaterade. Den personuppgiftsansvarige måste vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Eftersom de uppgifter som fås med förfrågningarna och deras användningsändamål beror på myndigheten, ska varje myndighet själv bedöma den förvaringstid som behövs för den information som fåtts ur systemet. Till exempel polisen kan i undersökningen av ekonomiska brott ha fall där uppgifterna behövs för väldigt långa tider. Å andra sidan kan en myndighets behov av information vara väldigt kortvarigt. Uppgifterna ska dock alltid raderas omedelbart efter att myndighetens behov av att förvara dessa har upphört. Om en myndighet, omedelbart efter att fått en uppgift, upptäcker att den uppgift som den begärt inte är relevant för den eller att den till och med fått fel information, ska myndigheten i enlighet med allmänna dataskyddsförordningen omedelbart radera de uppgifter som den fått. Om det handlar om en eventuell misstanke som gäller informationens integritet, ska myndigheten behandla ärendet enligt de egna informationshanteringsprocesserna och eventuellt föra ärendet vidare för kännedom till dataombudsmannen.  

1 c § . Sammanställningsprogram. Det föreslås att nya 1 c §, som innehåller bestämmelser om det sammanställningsprogram om administreras av Tullen, fogas till lagen. Paragrafen motsvarar i huvudsak innehållet i 7 a § 1, 3 och 4 mom. i den gällande lagen, men eftersom sammanställningsprogrammet i enlighet med den föreslagna lagen används för att förmedla såväl uppgifter enligt det automatiserade kontouppgiftssystemet som uppgifter ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter, föreslås det att de nämnda bestämmelserna i lagen fogas till kapitlet med allmänna bestämmelser.  

Paragrafens 1 mom. motsvarar innehållet i 7 a § 1 mom. i den gällande lagen, vilket enligt förslaget preciseras och kompletteras. Enligt förslaget kan de behöriga myndigheterna inom ramen för sin behörighet göra begäranden om information enligt 2 och 3 kap. via övervakningssystemet för bank- och betalkonton. Tullen ansvarar för att förmedla en myndighets begäran om information som inkommer från sammanställningsprogrammet för de användningsändamål som föreskrivs i 2 och 3 kap. till aktörer enligt 1 a § och för att förmedla det mottagna svaret på begäran om information till den behöriga myndigheten. Skyldigheten för kredit- och betalningsinstitut och andra aktörer enligt 1 a § att lämna ut uppgifter via sammanställningsprogrammet i övervakningssystemet för bank- och betalkonton baserar sig på 4, 6 och 17 f § i den föreslagna lagen. 

Paragrafens 1 mom. innehåller i enlighet med den gällande lagen bestämmelser om Tullens roll som personuppgiftsansvarig för sammanställningsprogrammet. I fråga om sammanställningsprogrammet tillämpas en personuppgiftsansvarigs ansvar och skyldigheter enligt allmänna dataskyddsförordningen på Tullen i egenskap av personuppgiftsansvarig. Enligt artikel 4.7 i förordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Enligt punkt 2 i samma artikel avses med behandling en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. 

I enlighet med 2 mom. i paragrafen sker informationsbehandlingen med sammanställningsprogrammet automatiskt. Paragrafen motsvarar 7 a § 3 mom. i den gällande lagen. I egenskap av myndighet som administrerar sammanställningsprogrammet har Tullen inte desto mer omfattande tillgång till begäranden som gjorts med sammanställningsprogrammet, utan förfrågningarna är direkta och tekniskt inbyggda på så sätt att Tullen inte kan ingripa i grunden för en begäran om information av en myndighet, föremålen för begäran samt de uppgifter som lämnas ut till den. Sammanställningsprogrammet granskar endast att myndigheterna uppfyller alla obligatoriska punkter i förfrågningsmeddelandet, till exempel den lagliga grunden för begäran om information och referensnumret för det fall som förfrågan gäller, så att förfrågan förmedlas vidare till uppgiftslämnaren. Den kontroll som i fråga om utlämnandet av uppgifter via systemet kan göras utifrån logguppgifterna är en kontroll som görs i efterskott. Kontrollen i efterskott sker hos den myndighet som begärt uppgifter. Logguppgifterna i sammanställningsprogrammet är avsedda för den behöriga myndighetens laglighetsövervakning. I momentet föreskrivs det dessutom att uppgifter som lämnats ut via programmet raderas från programmet omedelbart efter att uppgifterna lämnats ut.  

Paragrafens 3 mom. innehåller bestämmelser om begränsningen av en registrerads rätt att få tillgång till de uppgifter som samlats in om honom eller henne. Paragrafen motsvarar partiellt 7 a § 4 mom. i den gällande lagen och i den görs dessutom en språklig precisering genom att lägga till allmänna dataskyddsförordningens hela namn. I paragrafen föreskrivs det att med avvikelse från vad som föreskrivs i artikel 15 i allmänna dataskyddsförordningen om den registrerades rätt att få tillgång till de uppgifter som samlats in om honom eller henne, föreligger inte rätt att få dessa uppgifter när de behandlas via sammanställningsprogrammet. Om den registrerades rättigheter inte begränsas, har denne rätt att av den personuppgiftsansvarige få information bland annat om myndigheten gjort sökningar i kontotransaktionsuppgifter som gäller honom eller henne och för vilket ändamål. Om den registrerades rättigheter inte begränsas, måste bedömningen varje gång göras separat av myndigheten. Den registrerade ska framföra sin begäran till den personuppgiftsansvarige, som är skyldig att svara på begäran. I fråga om Tullen innebär detta i praktiken att Tullen i egenskap av personuppgiftsansvarig för sammanställningsprogrammet ska ha tillgång till uppgifter till vilka Tullen inom ramen för sin befogenhet inte i övrigt har tillgång till i syfte att kunna svara på dessa frågor om behandlingen av en registrerad.  

Begränsningen i 7 a § 4 mom. i den gällande lagen baserar sig på genomförandet av artikel 18 i direktivet om finansiell information, enligt vilken medlemsstaterna får anta lagstiftningsåtgärder som helt eller delvis begränsar de registrerades rätt att få åtkomst till personuppgifter som rör dem och som behandlas enligt detta direktiv i enlighet med artikel 23.1 i allmänna dataskyddsförordningen eller med artikel 15.1 i dataskyddsdirektivet för brottsbekämpning, beroende på vilken som är tillämplig. I den gällande lagen har man med andra ord föreskrivit en begränsning även utifrån dataskyddsdirektivet för brottsbekämpning. Behandlingsåtgärder som gäller utlämnande av uppgifter har dock ansetts höra till allmänna dataskyddsförordningens tillämpningsområde, då det handlar om utlämnande av personuppgifter från tillämpningsområdet för allmänna dataskyddsförordningen till tillämpningsområdet för dataskyddsdirektivet för brottsbekämpning. Följaktligen kan Tullen i rollen som personuppgiftsansvarig för sammanställningsprogrammet tillämpa endast allmänna dataskyddsförordningen. I enlighet med detta föreskrivs att hänvisningen till dataskyddslagen avseende brottmål avlägsnas från 7 a § 4 mom., som flyttas. Den dataskyddslagstiftning som tillämpas då en förfrågan görs beror däremot på användningsändamålet för personuppgifter. I sin egen informationsbehandlingen tillämpar myndigheterna antingen dataskyddsdirektivet för brottsbekämpning och dataskyddslagen avseende brottmål eller allmänna dataskyddsförordningen och dataskyddslagen, beroende på varje myndighets användningsändamål för mottagandet av information. Myndigheterna har dessutom egna speciallagar om behandlingen av personuppgifter.  

I artikel 23 i allmänna dataskyddsförordningen föreskrivs det att det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. Artikeln innehåller en förutsättning om att en sådan begränsning till centrala delar sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att säkerställa de omständigheter som nämns i punkt 1 i artikeln. Den föreslagna begränsningen baserar sig på punkt a–e och underpunkt h i artikel 23.1, det vill säga att rätt inte föreligger, om utlämnandet av information äventyrar den nationella säkerheten, försvaret, den allmänna säkerheten eller är till skada för förebyggandet eller utredningen av brott. Enligt artikeln är en begränsning motiverad även då en olägenhet är möjlig för andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet eller en tillsyns-, inspektions- eller regleringsfunktion som anknyter till de ovan nämnda uppgifterna. Eftersom uppgifterna för de behöriga myndigheterna i övervakningssystemet för bank- och betalkonton gäller ovan nämnda uppgifter, kan den föreslagna bestämmelsen anses vara en nödvändig och proportionell åtgärd.  

Enligt artikel 15.2 i allmänna dataskyddsförordningen ska en registrerad ha rätt att bli informerad om begränsningen, såvida detta inte kan inverka menligt på begränsningen. Eftersom redan information om en förfrågan som gjorts av en myndighet i detta fall kan äventyra till exempel återvinningen av medel och en pågående utredning, har Tullen i egenskap av administratör av programmet inte någon skyldighet att redogöra för orsaken till begränsningen. Som en skyddsåtgärd i förhållande till begränsningen av en registrerads rättigheter utfärdas dock bestämmelser om utnyttjande av indirekt granskningsrätt. Det finns bestämmelser om den indirekta granskningsrätten i 34 § i dataskyddslagen.  

I enlighet med 34 § 4 mom. i dataskyddslagen ska uppgifter enligt artikel 15.1 i allmänna dataskyddsförordningen på den registrerades begäran lämnas till dataombudsmannen. Begäran om utövande av rättigheter ska framställas till dataombudsmannen eller till Tullen enligt vad som föreskrivs i 35 § 2 mom. i lagen om behandling av personuppgifter inom Tullen. En begäran som lämnats till Tullen ska utan dröjsmål överföras till dataombudsmannen.  

1 d § . Datasöksystem. Enligt förslaget fogas till lagen nya 1 d §, som innehåller bestämmelser om de datasöksystem som hör till övervakningssystemet för bank- och betalkonton, med vilka kundrelationsuppgifter som gäller bank- och betalkonton och bankfack och kontotransaktions- och saldouppgifter om ett konto såväl lämnas ut som mottas. Innehållet i paragrafens 1 mom. motsvarar 4 § 1 mom. i den gällande lagen, det vill säga att det innehåller bestämmelser om att kreditinstitut ska administrera ett elektroniskt datasöksystem för bank- och betalkonton med vars hjälp institutet till en behörig myndighet ska lämna ut uppgifter enligt 2 och 3 kap. i den föreslagna lagen, det vill säga om de egna kundernas konto- och betalkonton och deras transaktions- och saldouppgifter. Eftersom ett och samma datasöksystem för bank- och betalkonton används i enlighet med förslaget även för att lämna ut kontotransaktions- och saldouppgifter utöver utlämnandet av bankkontouppgifter enligt föreskrifterna i den gällande lagen, är det ändamålsenligare att överföra bestämmelsen om skyldigheten att administrera ett datasöksystem för bank- och betalkonton till de allmänna bestämmelserna. Det moment som flyttas innehåller även en möjlighet att avvika från skyldigheten att administrera ett datasöksystem, om det med beaktande av arten och omfattningen av kreditinstitutets hela verksamhet är motiverat och om Finansinspektionen beviljar tillstånd till detta. Om det handlar om ett kreditinstitut som i fråga om storlek kan jämställas till exempel med ett betalningsinstitut, får det välja mellan att lämna ut kontouppgifter enligt 2 kap. via datasöksystemet eller kontoregistret. I enlighet med förslaget överlämnar de aktörer som lämnar ut i 2 kap. avsedda kontouppgifter till kontoregistret i det fallet i 3 kap. avsedda kontotransaktions- och saldouppgifter samt uppgifter om värdepapper via det system för utlämnande av uppgifter som Tullen byggt.  

Paragrafens 2 mom. motsvarar i fråga om innehåll den andra bestämmelsen i 6 § 1 mom. i den gällande lagen med undantag för de tekniska hänvisningsbestämmelserna. I enlighet med denna bestämmelse kan betalningsinstitut, institut för elektroniska pengar och leverantörer av kryptotillgångstjänster, om de så önskar, förvalta ett datasöksystem för att överlämna kontouppgifter enligt 2 kap. i stället för de uppgifter som de lämnar ut till kontoregistret. Om ovan nämnda finansaktörer på eget initiativ grundat ett datasöksystem, har de i enlighet med förslaget på det sätt som beskrivs nedan i avsnitt 4.1.2 en skyldighet att lämna ut även kontotransaktions- och saldouppgifter enligt 3 kap. samt uppgifter om värdepapper utöver kontoägaruppgifter enligt 2 kap. till de behöriga myndigheterna genom att dra nytta av datasöksystemet.  

I paragrafens 3 mom. finns det föreskrifter om begränsningar av den registrerades rättigheter. I enlighet med förslaget ska även uppgiftslämnarna ha ett loggregister enligt 17 h § över begäranden om information som hör till det centraliserade elektroniska systemet för transaktions- och saldouppgifter. I paragrafen föreskrivs det att med avvikelse från vad som i artikel 15 i den allmänna dataskyddsförordningen föreskrivs om den registrerades rätt till tillgång till uppgifter som samlats in om honom eller henne, föreligger rätt till uppgifterna i loggregistret inte när dessa behandlas via ett elektroniskt söksystem för bank- och betalningskonton I momentet föreskrivs det att i enlighet med 34 § i dataskyddslagen (1050/2018) ska uppgifter enligt artikel 15 i dataskyddsförordningen på den registrerades begäran lämnas till dataombudsmannen.  

I artikel 23 i allmänna dataskyddsförordningen föreskrivs det att det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22. Artikeln innehåller en förutsättning om att en sådan begränsning till centrala delar sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att säkerställa de omständigheter som nämns i punkt 1 i artikeln. Den föreslagna begränsningen baserar sig på punkt a–e och underpunkt h i artikel 23.1, det vill säga att rätt inte föreligger, om utlämnandet av information äventyrar den nationella säkerheten, försvaret, den allmänna säkerheten eller är till skada för förebyggandet eller utredningen av brott. Enligt artikeln är en begränsning motiverad även då en olägenhet är möjlig för andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet eller en tillsyns-, inspektions- eller regleringsfunktion som anknyter till de ovan nämnda uppgifterna. Eftersom uppgifterna för de behöriga myndigheterna i övervakningssystemet för bank- och betalkonton gäller ovan nämnda uppgifter, kan den föreslagna bestämmelsen anses vara en nödvändig och proportionell åtgärd.  

Om den registrerades rättigheter inte begränsas i fråga om loggregistret, har denne rätt att av den personuppgiftsansvarige få information bland annat om myndigheten gjort sökningar i kontotransaktionsuppgifter som gäller honom eller henne och för vilket ändamål. Detta kan vara till skada för en pågående undersökning eller äventyra till exempel återvinningen av medel. Enligt artikel 15.2 i allmänna dataskyddsförordningen ska en registrerad ha rätt att bli informerad om begränsningen, såvida detta inte kan inverka menligt på begränsningen. Eftersom redan information om en förfrågan som gjorts av en myndighet i detta fall kan äventyra till exempel återvinningen av medel och en pågående utredning, har uppgiftslämnaren inte någon rätt att redogöra för orsaken till begränsningen. Som en skyddsåtgärd i förhållande till begränsningen av en registrerads rättigheter utfärdas dock bestämmelser om utnyttjande av indirekt granskningsrätt. Det finns bestämmelser om den indirekta granskningsrätten i 34 § i dataskyddslagen. Dataombudsmannen har med stöd av dataskyddsregleringen dock rätt att på begäran av den registrerade granska lagenligheten i behandlingen av personuppgifter. I 34 § i dataskyddslagen föreskrivs det att om den registrerade inte har rätt att bekanta sig med uppgifter som samlats in om honom eller henne, ska de uppgifter som avses i artikel 15.1 i allmänna dataskyddsförordningen lämnas till dataombudsmannen på begäran av den registrerade. 

Enligt förslaget reglerar paragrafens 4 mom. att behöriga myndigheter ska administrera ett elektroniskt datasöksystem med hjälp av vilket respektive myndighet får begära och ta emot i lagförslaget avsedda uppgifter om kontots ägare och transaktions- och saldouppgifter. Övervakningssystemet för bank- och betalkonton baserar sig på myndigheternas rätt att få bankuppgifter för en viss enskild övervaknings-, undersöknings- eller annan myndighetsuppgift. Följaktligen är myndighetens system startpunkten för hela informationsbehandlingen. En förfrågan av en myndighet startar informationsbehandlingen i övervakningssystemet för bank- och betalkonton och informationsbehandling existerar följaktligen inte utan en förfrågan av en myndighet. Myndigheten hämtar även själv den information som den fått från sammanställningsprogrammet med sitt eget datasöksystem, det vill säga att sammanställningsprogrammet inte har åtkomst till myndighetens datasöksystem. Även om informationsförmedlingen sker ytterst snabbt och så gott som i realtid i synnerhet i fråga om användning av det automatiska informationssystemet enligt 2 kap., ansvarar myndigheten själv för det slutliga mottagandet av den begärda informationen. Med en myndighets datasöksystem avses i praktiken ett gränssnitt som baserar sig på en förfrågan och som möjliggör datasökning och det handlar följaktligen inte om ett egentligt informationssystem. Myndigheterna bygger ett gränssnitt till sammanställningsprogrammet. Varje myndighet kan genomföra ett gränssnitt av egen form, vilket överensstämmer med Tullens föreskrift och dess egna system och arkitektur. Datasöksystem kan även anknyta till myndighetens befintliga data- eller arkiveringssystem.  

I paragrafens 4 mom. föreskrivs det dessutom att en myndighet har en skyldighet att i sin begäran om information ange om dess begäran om information hänför sig till uppgifter i det centraliserade automatiserade kontouppgiftssystemet enligt 2 kap. eller till uppgifter enligt det centraliserade elektroniska systemet för transaktions- och saldouppgifter enligt 3 kap. Genom att ålägga myndigheten att rikta sin begäran om information till den funktion i övervakningssystemet för bank- och betalkonton till vilken begäran hänför sig, säkerställs det att behandlingen av en begäran om information genomförs på lagstadgat sätt. Det centraliserade automatiserade kontouppgiftssystemet och det centraliserade elektroniska systemet för transaktions- och saldouppgifter avviker från varandra i fråga om sättet att behandla uppgifter på det sätt som angetts ovan i avsnitt 4.1. I det hänseende som behandlingen av information i det automatiserade kontouppgiftssystemet är direkt och automatiskt, avviker funktionen i det centraliserade systemet för transaktions- och saldouppgifter från den direkta karaktären i det automatiserade systemet på så sätt att en rimlig tid ges för uppgiftslämnaren att behandla begäranden om information. Uppgiftslämnaren har följaktligen möjlighet att bedöma grunderna för utlämnandet av information utifrån den mottagna begäran och även möjlighet att vägra att lämna ut informationen. Skyldigheten att rikta en begäran om information stärker den registrerades rättsskydd, i synnerhet vid behandling av kontotransaktioner innehållande känsliga uppgifter. Det faktum att en förfrågan riktas endast till den uppgiftslämnare som har de uppgifter som myndigheten behöver, minimerar riskerna för skyddet för personuppgifter. Skyldigheten bidrar till att skapa ett inbyggt dataskydd och dataskydd som standard, vilket kompletteras med kraven på innehållet i en begäran om information enligt 17 e §. I enlighet med artikel 25 i allmänna dataskyddsförordningen ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Denna skyldighet gäller antalet inhämtade personuppgifter, omfattningen av behandlingen, förvaringstiden och tillgången till dessa. Med dessa åtgärder ska det i synnerhet säkerställas att personuppgifter som standard inte görs tillgängliga för ett obegränsat antal personer utan medverkan av en fysisk person. 

Enligt paragrafens 5 mom. övervakar Tullen att de skyldigheter som avses i 1 mom. och 4 § 2 mom. fullgörs och Tullen ger även ut en föreskrift om de tekniska kraven på datasöksystemen. Det föreslagna momentet motsvarar i fråga om innehåll 4 § 5 mom. i den nuvarande lagen, men från det stryks definitionen av datasöksystem för bank- och betalkonton, varvid utfärdande av tekniska krav som gäller myndigheternas datasöksystem fogas som en uppgift för Tullen. Tullen har den 26 oktober 2022 utfärdat en föreskrift om gränssnittet för förfrågningar till datasöksystem och en anvisning om genomförandet av det. Varje kreditinstitut som genomför datasöksystemet eller varje annan uppgiftslämnare genomför ett datasöksystem enligt föreskriften, vilket överensstämmer med de egna systemen och arkitekturerna och med vilket information kan förmedlas ur systemet enligt Tullens föreskrift om sammanställningsprogrammet. Enligt 4 § 5 mom. i den gällande lagen har Tullen ansvar för att övervaka att kreditinstituten bygger och för ett elektroniskt övervakningssystem för bank- och betalkonton, med vilket de kan lämna ut information om deras kunders bank- och betalkonton till myndigheterna. Det anses vara ändamålsenligt att flytta detta moment till den nya paragrafens med en beskrivning av datasöksystemet, eftersom det föreslås att användningen av datasöksystemet för bank- och betalkonton utökas från utlämnande av kontoägaruppgifter till att omfatta även utlämnande av kontotransaktions- och saldouppgifter. På grund av att paragrafen flyttas, rättas hänvisningarna för att överensstämma med ordningen i den föreslagna lagen. Det föreslås inte att innehållet i bestämmelsen om tillsynsansvaret ändras. 

1 e §. System för utlämnande av uppgifter. Det föreslås att nya 1 e §, som innehåller bestämmelser om det system för utlämnande av uppgifter som administreras av Tullen, fogas till lagen. Det handlar om ett sätt att lämna ut uppgifter med vilket de aktörer som avses i 1 a § vilka inte byggt ett datasöksystem för bank- och betalkonton, lämnar ut kontotransaktions- och saldouppgifter och uppgifter om värdepapper till de behöriga myndigheterna. Eftersom kontoregistret för bank- och betalkonton, dit ovan nämnda aktörer med jämna mellanrum lämnar ut uppgifter som hänför sig till deras kunders kundrelation, är ett enkelriktat register, finns det inget gränssnitt från det till de aktörer som lämnar ut information till registret. Följaktligen kan Tullen inte förmedla kontotransaktions- och saldoförfrågningar direkt till dessa aktörer och inte heller ta emot information direkt av dessa aktörer, utan Tullen genomför en datasäker lösning – ett system för utlämnande av uppgifter – med vilket aktörer som överlämnar kontouppgifter enligt 2 kap. till kontoregistret lämnar ut kontotransaktions- och saldouppgifter med hjälp av Tullens sammanställningsprogram till myndigheterna.  

Paragrafens andra moment innehåller bestämmelser om en skyldighet för Tullen att ge tekniska föreskrifter om sätten att lämna ut uppgifter till systemet för utlämnande av uppgifter. I den gällande lagen finns det bestämmelser om utfärdande av tekniska föreskrifter såväl om datasöksystemet som om de uppgifter som lagras i kontoregistret, varför det även i fråga om det föreslagna nya systemet för utlämnande av uppgifter anses vara behövligt att lägga till en sådan bestämmelse. När kraven fastställs finns det skäl att beakta bland annat de strukturella och innehållsmässiga lösningar som baserar sig på ISO20022-standarden samt de olika befintliga tekniska lösningarna mellan parterna.  

1 f §. Avgiftsfrihet för uppgifter. Enligt förslaget fogas till lagen nya 1 f §, som ersätter innehållet i 8 § i den gällande lagen, vilken enligt förslaget upphävs, på så sätt att Tullen i den föreslagna paragrafen tilldelas rätt att avgiftsfritt få även uppgifter ur datasöksystemen för bank- och betalkonton utöver de uppgifter som lagras i registret över bank- och betalkonton.  

Den gällande lagen innehåller bestämmelser om avgiftsfriheten för utlämnande av uppgifter ur registret över bank- och betalkonton. Inga utgifter tas ut för de uppgifter som Tullen lämnar ut. Det föreslås att innehållet i bestämmelsen ändras till avgiftsfrihet för tillgång till information. Paragrafens andra moment innehåller bestämmelser om att de behöriga myndigheterna har rätt att avgiftsfritt få uppgifter ur registret över bank- och betalkonton och därtill även ur datasöksystemen för bank- och betalkonton. Eftersom övervakningssystemet för bank- och betalkonton innehåller uppgifter som fås såväl ur kontoregistret som datasöksystemet för bank- och betalkonton, är det ändamålsenligare att utfärda bestämmelser om myndighetens rätt att avgiftsfritt få information ur övervakningssystemet för bank- och betalkonton i sin helhet.  

2 §.Definitioner . Paragrafens 1 punkt ändras så att hänvisningsparagafen i punkten ändras från 4 § 1 mom. till 1 d §, dit undantagsbestämmelsen enligt förslaget fogas.  

Paragrafens 2 punkt kompletteras så att även andra eventuella aktörer som skapat ett datasöksystem för bank- och betalkonton fogas till definitionen vid sidan om kreditinstitut. Dessutom preciseras ordalydelsen i den gällande lagen genom att till definitionen foga kontotransaktions- och saldouppgifter och värdepappersuppgifter enligt 3 kap. i den föreslagna lagen. Därtill görs en språklig precisering görs i den.  

Till 3 punkten i paragrafen fogas de myndigheter som är berättigade att använda det föreslagna systemet för transaktions- och saldouppgifter, vilka definierats i 17 a och 17 c §.  

Dessutom föreslås det att 11 punkten i paragrafen ändras så att en precision om innehållet i de uppgifter som förmedlas fogas till den. Eftersom sammanställningsprogrammet är en del av övervakningssystemet för bank- och betalkonton, är det därtill behövligt att korrigera ordalydelsen i definitionen i den gällande lagen. Sammanställningsprogrammet förmedlar därmed bank- och betalkontouppgifter, bankfackuppgifter, kontotransaktions- och saldouppgifter samt värdepappersuppgifter med hjälp av övervakningssystemet för bank- och betalkonton. I enlighet med förslaget förmedlas kontotransaktions- och saldouppgifter med samma sammanställningsprogram som ägaruppgifterna om bank- och betalkonton enligt den gällande lagen. Sättet att förmedla uppgifter avviker dock från varandra på så sätt Tullens sammanställningsprogram i fråga om en förfrågan som gäller kontoägaruppgifter inte förmedlar myndighetens förfrågan i oförändrad form, utan pseudonymiserar en del av uppgifterna i förfrågan så att alla bakgrundsuppgifter i förfrågan inte förmedlas till uppgiftslämnaren. I fråga om förfrågningar som gäller kontotransaktions- och saldouppgifter förmedlar sammanställningsprogrammet mer uppgifter, så att kredit- och betalniningstitutet har faktisk möjlighet att bedöma förfrågans proportionalitet och vid behov begära tilläggsuppgifter av den myndighet som gjort förfrågan. Skillnaderna mellan förfrågningarna har förklarats i motiveringarna till paragrafens 1 §.  

Dessutom föreslås att den nya 12 punkten centraliserat automatiserat kontouppgiftssystem fogas till bestämmelsen, vilket avser behandling av ägaruppgifter om ett konto enligt femte penningtvättsdirektivet och den gällande lagen. Målet med den nya definitionen är att förtydliga lagens innehåll och bättre illustrera de två olika sätten att behandla information i den föreslagna lagen. Det centraliserade automatiserade kontouppgiftssystemet innehåller behandling av uppgifter enligt den gällande lagen, det vill säga omedelbart mottagande av kontoägaruppgifter. I artikel 32 a i femte penningtvättsdirektivet förutsätts det att medlemsstaterna ska införa centraliserade automatiserade mekanismer, såsom centraliserade register eller centraliserade elektroniska datasöksystem, som gör det möjligt att med nödvändig skyndsamhet fastställa identiteten hos fysiska eller juridiska personer som innehar eller kontrollerar betalkonton och bankkonton som identifieras med IBAN-nummer, samt bankfack som innehas av ett kreditinstitut inom deras territorium.  

Det föreslås att nya 13 punkten centraliserat elektroniskt system för transaktions- och saldouppgifter fogas till paragrafen, vilken beskriver sättet att behandla förfrågningar om de föreslagna kontotransaktions- och saldouppgifter som fogas till övervakningssystemet för bank- och betalkonton. Med den nya definitionen förtydligas skillnaden mellan behandling av förfrågningar som gäller kontotransaktions- och saldouppgifter och det direkta sättet att behandla förfrågningar som gäller kontoägaruppgifter enligt den gällande lagen. Övervakningssystemet för bank- och betalkonton är i enlighet med den föreslagna lagen ett taksystem, som omfattar två olika funktioner som stödjer sig på olika rättsliga grunder och sätt att behandla uppgifter. De förmedlar olika uppgiftsinnehåll, men informationsbehandlingen genomförs i bägge funktioner via samma datasöksystem och sammanställningsprogram.  

Det föreslås att en ny 14 punkt fogas till paragrafen, med vilken det tydliggörs vad som avses med saldo i den föreslagna lagen. Med saldo avses det belopp som finns på ett bank- och betalkonto vid tidpunkten då förfrågan om saldoinformationen besvaras, vilket en myndighet har möjlighet att begära för att kunna sköta en enskild myndighetsuppgift via övervakningssystemet för bank- och betalkonton. En eventuell täckningsreservering ska ha dragits från kontosaldot. Eftersom en uppgiftslämnare ska svara på en förfrågan om saldouppgifter omedelbart, men senast på följande bankdag, kan kontots saldo variera mellan den tidpunkt då myndigheten gjort förfrågan och den tidpunkt då uppgiftslämnaren ger ett svar. Uppgiftslämnaren ska alltid ge information om kontots saldo enligt svarstidpunkten.  

Enligt förslaget fogas till paragrafen den nya 15 punkten transaktionsuppgifter , som avser sådana i 1 artikel 1 2 b 7 a i direktivet om finansiell information 2024/1654 avsedda detaljerade uppgifter om transaktioner som under en fastställd period har genomförts via ett särskilt betalkonto eller via ett bankkonto som identifieras med IBAN-nummer eller detaljerade uppgifter om överföringar av kryptotillgångar. I direktivet om finansiell information föreskrivs att kredit- och betalningsinstituten åläggs att på EU-nivå överlämna kontotransaktionsuppgifter i det elektroniskt strukturerade format som kommissionen angett till den behöriga laglighetstillsynsmyndigheten. I praktiken har ett ISO20022-meddelande ansetts utgör en modell för det elektroniskt strukturerade formatet. Innehållet i en kontotransaktionsförfrågan som gäller det centraliserade elektroniska systemet för transaktions- och saldouppgifter är förenligt med ISO20022-meddelandestrukturen, varför alla identifieringsuppgifter enligt meddelandestrukturen ses som kontotransaktionsuppgifter, till exempel identifieringsnumret för transaktionen, dess datum och klockslag, betalningens mottagare eller betalarens namn och kontonummer samt alla referens- eller meddelandeuppgifter som gäller betalningen. Genom att i förfrågningar om kontotransaktionsinformation på det nationella planet utnyttja samma tekniska format som i enlighet med direktivet om finansiell information ska iakttas i gränsöverskridande begäranden om information, främjas den nationella implementeringen av direktivet om finansiell information.  

Det föreslås att den nya 16 punkten värdepappersuppgifter fogas till paragrafen. Med värdepappersuppgifter avses uppgifter enligt 2 § i lagen om värdeandelskonton (827/1991), vilka gäller arten på och antalet värdeandelar som antecknas på ett värdeandelskonto och eventuella rättigheter och begränsningar som hänför sig till dessa. I enlighet med 3 § 1 punkten i lagen om värdeandelssystemet och om clearingverksamhet (348/2017) avses med värdeandelar sådana aktier, andelar och andra rättigheter enligt 2 kap. 1 § i värdepappersmarknadslagen (746/2012), andra finansiella instrument enligt 1 kap. 14 § i lagen om investeringstjänster (747/2012) och med dem jämförbara rättigheter samt andra värdepapper som har anslutits till värdeandelssystemet. Följaktligen är ett värdeandelskonto ett konto som är avsett för förvaring av värdepapper, där olika elektroniska värdepapper förvaras. Sjätte penningtvättsdirektivet medför en skyldighet för medlemsländerna att tillgängliggöra en identifierare för ett värdepapperskonto och öppnings- och slutdatum för kontot via en centraliserad automatiserad mekanism. Enligt artikel 2.10 i sjätte penningtvättsdirektivet avses med värdepapperskonto ett värdepapperskonto som definierats i underpunkt 28 i artikel 2.1 i Europarlamentets och rådets förordning nr 909/2014 om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG och 2014/65/EU och förordning (EU) nr 236/2012. I den nämnda förordningen avses med värdepapperskonto ett konto på vilket krediterings- och debiteringsanteckningar görs. Nationellt avses med detta ett värdeandelskonto enligt lagen om värdeandelskonton (827/1991). Skyldigheten enligt sjätte penningtvättsdirektivet att förmedla identifieringsuppgifter om ett värdepapperskonto via en centraliserad automatiserad mekanism ska implementeras nationellt före den 10 juli 2027. Eftersom en begäran om information om värdeandelar på värdeandelskonton inte kan riktas till rätt värdeandelskonton innan identifierarna om värdeandelskontot är tillgängliga via den centraliserade automatiserade mekanismen, det vill säga via det automatiserade kontouppgiftssystemet för bank- och betalkonton, tillämpas föreslagna 17 d § 2 mom. först från och med den 10 juli 2027.  

2 kap. Centraliserat automatiserat kontouppgiftssystem 

Lagförslagets 2 kap. täcker i stor utsträckning innehållet i den gällande lagen, det vill säga att det gäller en automatiserad lösning för kontoägaruppgifter enligt femte penningtvättsdirektivet för behandling av kontoägaruppgifter. Eftersom ett helt nytt användningssätt enligt nya 3 kap., ett centraliserat system för förfrågningar om kontotransaktions- och saldouppgifter, bildas till övervakningssystemet för bank- och betalkonton med den föreslagna regleringen, bildas utifrån regleringen enligt den gällande regleringen en funktion som beskriver behandlingen av kontoägaruppgifter enligt 2 kap. i den föreslagna lagen. Denna funktion kallas för det centraliserade automatiserade kontouppgiftssystemet. Följaktligen innehåller 2 kap. i förslaget i fråga om innehåll 3–17 §, som beskriver regleringen enligt den gällande lagen. 

3 §. Myndigheter som använder det centraliserade automatiserade kontouppgiftssystemet. Paragrafens rubrik ändras för att i enlighet med 2 kap. beskriva användare av det automatiserade kontouppgiftssystemet. Eftersom övervakningssystemet för bank- och betalkonton i enlighet med förslaget utgörs av två funktioner med avvikande rättsliga grunder och användningsändamål för informationen, finns det skäl att utfärda separata bestämmelser om de myndigheter som använder dessa. Eftersom ett centraliserat automatiserat kontouppgiftssystem enligt 2 kap. i den föreslagna lagen bildas utifrån regleringen enligt den gällande lagen, fogas till paragrafens rubrik en precision av vilken del av övervakningssystemet för bank- och betalkonton myndigheterna enligt paragrafen är berättigade att använda. Befogenhetsparagraferna i den gällande lagen ändras inte genom den föreslagna lagen.  

Dessutom avskiljs befogenhetsparagrafen för Gränsbevakningsväsendet till en egen 10 punkt från 7 § i den gällande lagen, där Gränsbevakningsväsendets befogenheter inkluderats i befogenhetsparagraferna för polisen. Genom den föreslagna ändringen till en egen befogenhetsparagraf rättas befogenhetsparagraferna för Gränsbevakningsväsendet för att motsvara med dess uppgifter. I den gällande lagen, där polisens och Gränsbevakningsväsendets uppgifter har grupperats under samma 7 punkt, har Gränsbevakningsväsendet till uppgift att upprätthålla den nationella säkerheten. Denna uppgift hör inte till Gränsbevakningsväsendet, utan Gränsbevakningsväsendets befogenhet gäller förebyggande, avslöjande och utredning samt överlämnande av brott för åtalsprövning i enlighet med lagen om brottsbekämpning inom Gränsbevakningsväsendet (108/2018). På grund av den nya befogenhetsparagrafen som gäller Gränsbevakningsväsendet görs dessutom en teknisk ändring i anteckningen av paragrafen om Finansinspektionens rätt till information. 

Dessutom föreslås det att 8 punkten om Försvarsmaktens behörighet ändras så att lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) ersätts med en ny lag om militär disciplin och brottsbekämpning inom Försvarsmakten (89/2025) som träder i kraft den 1 december 2025. Enligt 8 punkten har Försvarsmakten rätt att få tillgång till sådana uppgifter i övervakningssystemet för bank- och betalkonton som lämnas ut i enlighet med 4 § och som registrerats i enlighet med 6 §, om det är nödvändigt för att följande uppgifter ska kunna utföras och om myndigheten någon annanstans i lag har rätt att få ovannämnda uppgifter. Försvarsmaktens rätt till information grundar sig på förhindrande, avslöjande och utredning av brott enligt lagen om militär disciplin och brottsbekämpning inom Försvarsmakten (89/2025) samt på det som föreskrivs i 104 § i lagen om militär underrättelseverksamhet. 

3 a §. Behöriga myndigheters åtkomst till uppgifterna i det centrala automatiserade kontouppgiftssystemet och förutsättningarna för sökning av uppgifterna. Enligt förslaget fogas preciseringen ”i det centrala automatiserade kontouppgiftssystemet” till paragrafens rubrik. Med den föreslagna ändringen förtydligas befogenhetsbestämmelserna för övervakningssystemet för bank- och betalkonton då den i enlighet med förslaget innehåller två olika funktioner som baserar sig på olika befogenhetsbestämmelser.  

4 §. Uppgifter om bank- och betalkonton som lämnas ut ur datasöksystemet för bank- och betalkonton. Det föreslås att den gällande paragrafen ändras på så sätt att en precision av de uppgifter om bank- och betalkonton som lämnas ut fogas till rubriken. Eftersom även andra uppgifter än de som nämns i den gällande paragrafen lämnas ut via datasöksystemet för bank- och betalkonton i enlighet med den föreslagna lagen, är det ändamålsenligt att ge information om att paragrafen i fråga innehåller en bestämmelse som uttryckligen gäller uppgifter om bank- och betalkonton enligt femte penningtvättsdirektivet. Dessutom görs en språklig korrigering, som gäller formuleringen av ordet utlämnande.  

Det föreslås att paragrafens 1 mom. ändras så att skyldigheten att föra ett elektroniskt datasöksystem för bank- och betalkonton enligt paragrafens 1 mom. och grunden för undantag till skyldigheten avlägsnas och fogas till 1 d §. Följaktligen innehåller paragrafens 1 mom. endast en skyldighet enligt 1 mom. i den gällande lagen att lämna ut de uppgifter om de egna kundernas bank- och betalkonton enligt specifikationen i 2 mom. till den behöriga myndigheten. Utlämnandet av uppgifter ska i enlighet med den gällande lagen vara omedelbart och uppgifterna ska lämnas ut trots sekretessbestämmelserna. Förutsättningen om att omedelbart lämna ut informationen innebär att uppgifterna kan lämnas ut via en teknisk anslutning direkt då en begäran om information inkommit och uppgifterna samlats elektroniskt.  

Det föreslås att 2 mom. 1 punkten i paragrafen ändras i anknytning till kontoinnehavaren och en innehavare av dispositionsrätt på så sätt att även start- och slutdatum för kundrelationen och dispositionsrätten ska lämnas ut för de ovan nämnda, eftersom detta reglerats endast för juridiska personer i den gällande lagen. Start- och slutdatum för kundrelationen är behövliga uppgifter även för andra än juridiska personer. I fråga om registret över bank- och betalkonton har det föreskrivits en skyldighet att lämna ut uppgifter om start- och slutdatumet för en kundrelation. Sålunda finns det skäl att utfärda bestämmelser om skyldigheten att lämna ut uppgifter på ett sätt som motsvarar kontoregistret för datasöksystemet. Uppgifterna om en innehavare med rätt använda kontot till ett konto är uppgifter enligt punkt 3 i artikel 16 i sjätte penningtvättsdirektivet, vilka ska vara tillgängliga via medlemsstaternas centraliserade bankkontoregister på så sätt att det är möjligt att göra sökningar i dessa. En innehavare med rätt använda kontot av ett konto är en kund, som handlar för egen vinning, men för kontoinnehavarens räkning. En innehavare med rätt att använda kontot är dock inte alltid kund hos kredit- och betalningsinstitutet. På grund av detta är inte start- och slutdatum för kundrelationen, utan start- och slutdatum för rätten att använda kontot betydelsefull information i fråga om en innehavare med rätt att använda kontot. Enligt artikel 16.3 i sjätte penningtvättsdirektivet ska även start- och ett eventuellt slutdatum för dispositionsrätten till ett konto vara tillgängligt på ett omedelbart och ofiltrerat sätt via de centraliserade bankkontoregistren.  

Dessutom föreslås det att 2 mom. 1 punkten ändras så att hänvisningen till en innehavare med rätt att använda kontot gäller kontot och inte kontoinnehavaren, såsom är fallet i den gällande lagen. Ordalydelsen i den gällande lagen har orsakat tolkningsoklarheter, varför den ska korrigeras så att den överensstämmer med en kontoinnehavare med rätt att använda kontot enligt penningtvättsdirektivet. Det föreslås att en liknande ändring görs i 2 mom. 4 punkten, där hänvisningen till en person med rätt använda kontot korrigeras att gälla för bankfack och inte hyraren av bankfacket.  

6 §. Uppgifter som ska föras in i registret över bank- och betalkonton. Det föreslås att en teknisk ändring görs i 1 mom. I paragrafen. Eftersom det föreslås att ett kreditinstituts skyldighet att föra ett datasöksystem för bank- och betalkonton enligt 4 § 1 mom. i den gällande lagen flyttas till nya 1 d §, ändras hänvisningen i 1 mom. till datasöksystem för bank- och betalkonton för att överensstämma med det föreslagna momentet. I 1 mom. görs dessutom en språklig ändring som gäller formuleringen av ordet utlämnande.  

Dessutom föreslås det att 2 mom. 1 punkten i paragrafen ändras på samma sätt som 4 § 2 mom. 1 punkten, det vill säga att hänvisningen till en innehavare med rätt använda kontot gäller kontot och inte kontoinnehavaren, så som är fallet i den gällande lagen. Samma korrigering görs ovan i 3 mom. 1 och 4 punkten, där hänvisningen till en person med användningsrätt korrigeras för att gälla för bankfack och inte hyraren av bankfacket. 

Dessutom föreslås att start- och slutdatumet för rätten att använda ett konto fogas till 2 mom. 2 punkten. I 6 § i den gällande lagen finns det bestämmelser om skyldigheten för uppgiftslämnare som lagrar uppgifter i kontoregistret att lämna ut uppgifter som start- och slutdatum för kundrelationen. Eftersom en innehavare med rätt att använda ett konto dock inte alltid har en kundrelation hos uppgiftslämnaren i fråga, är inte start- och slutdatum för kundrelationen, utan start- och slutdatum för rätten att använda kontot betydelsefull information i fråga om en innehavare med rätt att använda kontot. Enligt artikel 16.3 i sjätte penningtvättsdirektivet ska även start- och ett eventuellt slutdatum för dispositionsrätten till ett konto vara tillgängligt på ett omedelbart och ofiltrerat sätt via de centraliserade bankkontoregistren. 

7 §.Utlämnande av uppgifter ur registret över bank- och betalkonton . I paragrafens 2 mom. görs en språklig korrigering genom att stryka hela förordningens namn och ersätta den med den ovan i 1 c § nämnda kortformen av förordningens namn.  

8 §. Utlämnande av uppgifter ur det centraliserade automatiserade systemet för kontouppgifter till behöriga myndigheter. Det föreslås att den gällande paragrafen ändras för att gälla grunderna för att lämna ut information. Den föreslagna paragrafen motsvarar i fråga om innehåll 7 a § 2 mom. och den andra meningen i 3 mom. i den gällande lagen. Det föreslås att 7 a § i den gällande lagen upphävs och att dess 1 och 4 mom. och den första meningen i 3 mom. i enlighet med förslaget flyttas till 1 c § då det övriga innehållet flyttas till 8 §. Dessutom görs i 7 a § 2 mom. en språklig korrigering i anknytning till begreppet myndighet.  

9 §. Avförande av uppgifter ur registret över bank- och betalkonton. Registret över bank- och betalkonton fogas till rubriken i den gällande paragrafen. Med den föreslagna ändringen preciseras paragrafens innehåll.  

10 §. Logguppgifter. Det föreslås att den gällande paragrafens 1 mom. ändras så att skyldigheten för Tullen att föra ett loggregister över användningen av datasöksystemet för bank- och betalkonton ersätts med en skyldighet att föra ett loggregister över användningen av det centraliserade automatiserade kontouppgiftssystemet. Skyldigheten att föra ett loggregister över användningen av registret över bank- och betalkonton ändras inte. Dessutom görs språkliga korrigeringar i 1 mom. i fråga om begreppet myndighet och formuleringen i anknytning till 2 punkten.  

Innehållet i paragrafens 2 och 3 mom. slås samman till ett moment på så sätt att skyldigheten för de behöriga myndigheterna att föra ett register i fråga om användningen av datasöksystem för bank- och betalkonton utsträcks att gälla för användning av hela det automatiserade kontouppgiftssystemet. I och med det sammanställningsprogram som föreskrivits genom regeringens proposition 163/2021 rd går alla begäranden om information från en myndighet via sammanställningsprogrammet, oberoende av om myndigheten gör en förfrågan om information ur registret över bank- och betalkonton eller ett datasöksystem för bank- och betalkonton. Därmed är det motiverat att myndigheten för ett register om användningen av det helt automatiserade informationssystemet. Med den föreslagna ändringen förtydligas formuleringen i den gällande lagen, där det i enlighet med 2 mom. först finns bestämmelser om de uppgifter som ska finnas i loggregistret och därefter om skyldigheten att föra ett loggregister.  

12 §. Ordningsavgift. Det föreslås att endast 1 mom. ändras i paragrafen, i vilken en teknisk ändring görs. Eftersom det föreslås att ett kreditinstituts skyldighet att föra ett datasöksystem för bank- och betalkonton enligt 4 § 1 mom. i den gällande lagen flyttas till nya 1 d § 1 mom., ändras hänvisningen i 1 mom. till datasöksystem för bank- och betalkonton för att överensstämma med det föreslagna momentet.  

3 kap. Centraliserat elektroniskt system för transaktions- och saldouppgifter 

Lagförslagets 3 kap. innehåller en ny funktion för behandling av kontotransaktions- och saldouppgifter och kapitlet innehåller nya 17 a–17 h §. 

17 a §.Utlämnande av saldouppgifter till behöriga myndigheter via ett tekniskt gränssnitt. Enligt förslaget innehåller paragrafen bestämmelser om förmedling och utlämnande av saldoinformation till de behöriga myndigheterna via ett tekniskt gränssnitt ur systemet för transaktions- och saldouppgifter. Myndigheternas rätt att få saldouppgifter via systemet baserar sig på rättigheterna att få information i den övriga lagstiftningen, och det handlar därmed inte om en bestämmelse om rätten att få information. Det är behövligt att utfärda bestämmelser om utlämnande av uppgifter via ett tekniskt gränssnitt ur det elektroniska systemet för transaktions- och saldouppgifter, eftersom uppgifter lämnas ut elektroniskt från en privat aktör till en myndighet, och 22 eller 24 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019) är sålunda inte tillämplig. För att även frågor som gäller handlingsutrymmet i EU-rätten ska beaktas, ska sättet att lämna ut uppgifter bindas till vissa användningsändamål, för vilka en myndighet kan utnyttja systemet för transaktions- och saldouppgifter.  

Även om rätten att få information via gränssnittet fastställs utifrån de gällande rättigheterna att få information, möjliggör specialregleringen om det elektroniska sättet att lämna ut uppgifter tekniskt sett ett nytt sätt att behandla känsliga uppgifter. Eftersom det handlar om sekretessbelagda och känsliga uppgifter, binds rätten till att få uppgifter ur det centraliserade systemet till bestämmelsen om myndighetens rätt att få information. Rätten att få information har bundits till antingen kravet på ett behov eller kravet på nödvändighet i paragrafen om rätten till information för varje myndighet. Även för de myndigheter vars paragraf om rätten till information är bunden till kravet på behövlighet, har det i en separat personuppgiftslag föreskrivits att myndigheten kan behandla särskilda personuppgifter endast då det är nödvändigt. Det nödvändighetskrav som fogats till det elektroniska systemet för transaktions- och saldouppgifter är följaktligen en skyddsåtgärd som säkrar behandlingen av känsliga uppgifter. En myndighet kan begära saldouppgifter via ett tekniskt gränssnitt, om saldouppgifterna är nödvändiga för myndigheten för att avgöra en myndighetsuppgift som är under handläggning. Förutsättningarna för nödvändighet har behandlats enligt myndighet i avsnitt 4 i propositionen. 

Enligt artikel 5.1 c i allmänna dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. På grund av principen om uppgiftsminimering föreslås att två behörighetsnivåer föreskrivs för systemet för transaktions- och saldouppgifter. Åtkomsten till det centraliserade systemet för transaktions- och saldouppgifter är inte automatiskt lika omfattande för alla, utan de myndigheter som behöver till exempel endast saldouppgifter för att sköta sina uppgifter är berättigade endast till dessa uppgifter eller så kan de myndigheter vars rätt till information inte täcker känsliga personuppgifter ändå få utnyttja systemet för transaktions- och saldouppgifter för att göra förfrågningar om saldouppgifter. På grund av detta är det möjligt att ur det elektroniska systemet för transaktions- och saldouppgifter få två former av uppgifter: uppgifter som gäller endast saldot på kontot och kontotransaktionsuppgifter med ett bredare uppgiftsinnehåll. Även om en myndighet har rätt att få kontotransaktionsuppgifter med ett mer omfattande uppgiftsinnehåll, ska den alltid göra en nödvändighetsbedömning innan en förfrågan görs. Även en myndighet som är berättigad till ett mer omfattande uppgiftsinnehåll kan följaktligen hämta endast till exempel saldouppgifter om ett konto ur systemet för transaktions- och saldouppgifter, om myndigheten i ett enskilt uppdrag inte behöver andra närmare kontotransaktionsuppgifter.  

Enligt paragrafens 1punkt har polisen rätt att få saldouppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Polisens rätt att få saldouppgifter ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter baserar sig på 4 kap. 3 § och 5 a kap. 50 § i polislagen. I detaljmotiveringen till 1 § polisförvaltningslagen (110/1992) konstateras att befogenhetsförhållandena mellan inrikesministeriet, Polisstyrelsen, skyddspolisen och övriga polisenheter har föreskrivits exakt. Trots detta har grundlagsutskottet i sitt utlåtande GrUU 53/2024 rd framfört en ståndpunkt om att det finns skäl att precisera regleringen kring de behöriga lagtillsynsmyndigheterna i 2 § 1 punkten i lagförslag 1 i regeringens proposition till riksdagen med förslag till lag om informationsutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater och till vissa lagar som har samband med den. Utskottet påpekade att hänvisningen till polisen i bestämmelsen, med beaktande av vad som föreskrivs i 1 § i polisförvaltningslagen, inte kan anses vara en tydlig definition av den behöriga myndigheten. Denna oklarhet kan ha särskild betydelse vid tillämpningen av till exempel bestämmelserna om en personuppgiftsansvarigs skyldighet. I sitt betänkande FvUB 25/2024 har förvaltningsutskottet klargjort att begreppet, enligt den utredning som det mottagit, har skapat en fungerande grund för informationsutbyte mellan behöriga brottsbekämpande myndigheter i Finland. I informationsutbytesdirektivet föreslås inte heller några ändringar i begreppet behörig brottsbekämpande myndighet. Utifrån det som förvaltningsutskottets konstaterade ovan, föreslog det inte någon ändring av förslaget till definition av behörig tillsynsmyndighet i regeringspropositionen. Med andra ord avses med polisen såväl enheter som lyder under Polisstyrelsen som skyddspolisen i propositionen. Enligt 1 § 5 mom. i polisförvaltningslagen gäller i fråga om polisväsendet i landskapet Åland vad som föreskrivs särskilt. Det bör dock beaktas att befogenhetsbestämmelserna om bankkontouppgifter i polislagen tillämpas på Ålands polis.  

Polisens rätt att få information har avgränsats till att hindra eller utreda ett brott eller ett viktigt allmänt eller enskilt intresse. I 4 kap. 3 § i polislagen föreskrivs att oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet har polisen på begäran av en polisman som hör till befälet rätt att få information som behövs för förhindrande eller utredning av brott. Om ett viktigt allmänt eller enskilt intresse kräver det har polisen samma rätt att få information som behövs vid polisundersökning enligt 6 kap. Mottagande av saldotransaktioner via övervakningssystemet i stället för det nuvarande utspridda och delvis manuella förfarandet ger polisen möjlighet att sköta ovan nämnda uppgifter effektivt. Vid polisen fattas beslutet om att inhämta de aktuella uppgifterna i praktiken av en polisman som hör till befälet separat i varje enskilt fall, varvid även nivån på beslutsfattandet är tillräckligt hög. Ett separat beslut och en separat begäran görs om inhämtning av uppgifter. 

Behörigheterna för att göra förfrågningar om saldouppgifter ur övervakningssystemet för bank- och betalkonton i anknytning till upprätthållandet av den nationella säkerheten gäller skyddspolisens uppgifter för att skydda den nationella säkerheten, det vill säga för att bedriva civil underrättelseverksamhet. Skyddspolisen har rätt att få saldouppgifter med stöd av 4 kap. 3 § 1 mom. och 5 a kap. 50 § i polislagen. Föremålet för civil underrättelseverksamhet kan vara bland annat terrorism, utländsk underrättelseverksamhet, massförstöringsvapen, verksamhet som hotar samhällets livsviktiga funktioner och verksamhet av en främmande stat som kan orsaka skada för Finlands viktiga intressen. Det ska beaktas att informationsinhämtning om finansiering av terrorism följaktligen hör till skyddspolisens uppgifter, även då den bedriver civil underrättelseverksamhet. Bankförfrågningar har alltid en koppling till utförandet av en enskild tjänsteuppgift och varje begäran motiveras skriftligt. Beslutet om att göra en förfrågan görs av en polisman som hör till befälet, på motsvarande sätt som då en begäran görs för att förhindra ett brott. Tilldelningen av behörighet i anknytning till saldouppgifter till skyddspolisen handlar följaktligen inte om att en helt ny rätt att få information skapas för den, utan på att användningen av en redan existerande rätt att få information i en annan lag görs smidigare. Användningen av övervakningssystemet i skyddspolisens verksamhet begränsas av vad som annanstans föreskrivits om skyddspolisens rätt att få information. Till exempel 5 a kap. 50 § i polislagen förutsätter att en begäran är behövlig för utredning av verksamhet som bedrivs av målet för civil underrättelseverksamhet, där den nationella säkerheten är allvarligt hotad. Det ska även kunna förmodas att begäran är betydelsefull för att identifiera eller påträffa en person eller juridisk person som är föremål för civil underrättelseverksamhet eller utreda den aktuella personens kontaktuppgifter eller rörelse, rikta användningen av underrättelsemetoden på en viss person som är föremål för civil underrättelseverksamhet eller för att utreda ekonomisk verksamhet som förmodas ha en koppling till verksamhet enligt 3 § vilken bedrivs av en person eller juridisk person som är föremål för civil underrättelseverksamhet. Övervakningen av lag- och ändamålsenligheten i behandlingen av personuppgifter i skyddspolisens verksamhet är väldigt noggrann. Den interna laglighetsövervakningens resurser ökades kraftigt i samband med att underrättelselagarna trädde i kraft. Dessutom övervakas behandlingen av personuppgifter av dataombudsmannen som en extern laglighetsövervakare, underrättelsetillsynsombudet, som verkar som ett särskilt ombud, samt de högsta laglighetsövervakarna. 

Enligt 2 punkten i paragrafen har även centralen för utredning av penningtvätt rätt att få saldouppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Centralen för utredning av penningtvätt har rätt att få uppgifter i enlighet med 4 § i lagen om centralen för utredning av penningtvätt. Trots bestämmelserna om hemlighållande av uppgifter om företagshemligheter eller uppgifter om en enskild persons, sammanslutnings eller stiftelses ekonomiska förhållanden, ekonomiska ställning eller beskattningsuppgifter har centralen för utredning av penningtvätt rätt att av myndigheter, av sammanslutningar som har ålagts en offentlig uppgift och av rapporteringsskyldiga avgiftsfritt få uppgifter och handlingar som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism. Beslut om inhämtande av sekretessbelagda uppgifter fattas av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt. Trots tystnadsplikten för en medlem, en revisor, en verksamhetsgranskare, en styrelseledamot eller en anställd har centralen för utredning av penningtvätt dessutom på skriftlig begäran av en polisman som hör till befälet och arbetar vid centralen rätt att av en enskild sammanslutning, stiftelse eller person avgiftsfritt få uppgifter som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism.  

Det är nödvändigt att använda saldouppgifter för att centralen för utredning av penningtvätt ska kunna utföra sin lagstadgade uppgift. I synnerhet analysen av anmälningar förutsätter detaljerad granskning av kontotransaktions- och saldouppgifter. Centralen för utredning av penningtvätt har tidigare tagit emot flera tiotusen anmälningar om penningtvätt per år, men antalet har stigit avsevärt under den senaste tiden. Till exempel år 2022 mottogs redan över 200 000 anmälningar. En del av dessa anmälningar väljs efter förbehandling till mål för fortsatt utredning och årligen öppnas omkring 1 500 utredningshelheter. Flera personer och bolag kan vara delaktiga i en utredningshelhet och i typfallet omfattar de 1–5 olika penningtvättsanmälningar. I praktiken görs framöver i så gott som alla dessa utredningshelheter flera förfrågningar som gäller såväl bankkontouppgifter enligt den gällande lagen som kontotransaktions- och saldouppgifter ur övervakningssystemet för bank- och betalkonton. Dessutom är såväl kontotransaktions- som saldouppgifter nödvändiga även i samband med förbehandlingen av anmälningar, så att det genom en analys är möjligt välja anmälningarna med störst risk för penningtvätt eller finansiering av terrorism till den fortsatta behandlingen. 

Paragrafens 3 punkt gäller Tullens rätt att få saldouppgifter via ett tekniskt gränssnitt ur systemet för transaktions- och saldouppgifter. Enligt förslaget har Tullen rätt att få saldouppgifter i enlighet med 102 § 2 mom. i Tullagen och 2 kap. 14 § 1 mom. i lagen om brottsbekämpning inom Tullen. I fråga om beskattnings- och skattekontrolluppgifter har Tullen rätt att begära kontotransaktionsuppgifter direkt från bankerna och andra motsvarande kreditinstitut med stöd av 102 § 2 mom. i tullagen, enligt vilket den som innehar uppgifter som behövs för en annan persons tullbeskattning eller för ett ärende som gäller ändringssökande och som följer av tullbeskattning ska på uppmaning av Tullen lämna uppgifterna till Tullen inom utsatt tid. Tullen har därtill, oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar, förvaltningsrådsmedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet, rätt att av en privat eller offentlig sammanslutning eller en enskild få information som behövs för förhindrande, avslöjande eller utredning av tullbrott. Tullens tillgång till transaktions- och saldouppgifterna i övervakningssystemet för bank- och betalkonton anknyter till beskattningen och skattekontrollen och förhindrande, avslöjande eller utredning av tullbrott vid Tullen.  

Förutsättningen för att få tillgång till uppgifterna är att de är nödvändiga för att utföra ovan nämnda uppgifter. Tullens beskattningsfunktioner har en betydande roll för återvinningen av medel, i synnerhet i fråga om EU:s traditionella egna medel. Tullens beskattningsfunktioner säkrar även unionens ekonomiska intressen. I fråga om brottsbekämpning är Tullen en förundersökningsmyndighet enligt förundersökningslagen och Tullen ansvarar för tullbrottsbekämpningen enligt föreskrifterna i lagen om brottsbekämpning inom Tullen och i den övriga lagstiftningen. Det är synnerligen viktigt att få tillgång till uppgifter vid skatteinspektioner. Även i fråga om brottsbekämpningen har kontotransaktioner en central betydelse. Motivet med ett tullbrott är så gott som utan undantag att få ekonomisk vinning. Kontotransaktionsförfrågningar är en väsentlig del av utredningen av brott och förfrågningar görs så gott som varje gång. Målet med kontotransaktionerna är att rikta straffansvaret, leta efter delaktiga i det misstänkta brottet samt även att utreda brottsvinningen och personers (även juridiska personers) förmögenhet. Spårning av brottsvinning görs i anknytning till förundersökningen även bland annat för att trygga skadestånd. Kontotransaktionsuppgifter begärs ofta i brottsundersökningar som görs av Tullen till exempel i undersökningen av ekonomiska brott och narkotikabrott samt i spårning av ekonomisk vinning. Tullens undersökningsverksamhetsenhet undersöker bland annat narkotikabrott, medicinbrott, skattebedrägerier, smugglingsbrott och andra brott som begåtts i samband med införsel i landet. Skattebedrägerier gäller ofta gärningar som skadar EU:s ekonomiska intressen, såsom undvikande av tullar eller antidumpningstullar, men Tullen utreder även brott som gäller punktbeskattningen. I allmänhet begärs kontotransaktionsuppgifter i utredningen av tullbrott med en blankett av standardform, på vilken all behövlig information om de uppgifter som begärs och det brott som undersöks antecknas. I samband med undersökningen av tullbrott har Tullen åren 2017 och 2018 gjort omkring 24 000 begäranden om kontouppgifter till kredit- och betalningsinstituten. Antalet förfrågningar har förblivit oförändrat. I egenskap av förundersökningsmyndighet är Tullen i enlighet med 1 kap. 2 § i förundersökningslagen (805/2011) även förpliktad att utreda den skada som har orsakats och den vinning som fåtts genom brottet och parterna (1 punkten) och möjligheterna att återställa egendom som har erhållits genom brottet och att verkställa en förverkandepåföljd som döms ut eller skadestånd som betalas till målsäganden med anledning av brottet (2 punkten). Tidvis förutsätts bankförfrågningar för att hitta brottsvinning och att de riktas till gärningsmannens närkrets (utvidgad vinning SL 10:3) och även till utomstående personer (SL 10:2.4). Följaktligen kan förfrågningarna vid spårning av vinning av brott rikta sig även till personer som inte är brottsmisstänkta, men som i stället fått vinning. Spårning av brottsvinning kan under förfrågningstiden för en bankförfrågan även förutsätta ett förfrågningsintervall som är längre än gärningstiden för brottet, till exempel i situationer som gäller utredning av utvidgad vinning, där det är behövligt att utreda personens lagliga inkomster och utgifter så noggrant som möjligt så att det vid behov är möjligt att utesluta sanningsenligheten i svarandens förklaring. 

Enligt 4 punkten i paragrafen har Gränsbevakningsväsendet rätt att få saldouppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Gränsbevakningsväsendet har rätt att få saldouppgifter i enlighet med 3 kap. 20 § i personuppgiftslagen. Följaktligen föreskrivs rätt för Gränsbevakningsväsendet att göra förfrågningar om saldotransaktioner via övervakningssystemet i anknytning till förhindrande, avslöjande och utredning av brott. Mottagande av kontotransaktions- och saldouppgifter via övervakningssystemet i stället för det nuvarande utspridda och delvis manuella förfarandet ger Gränsbevakningsväsendet möjlighet att sköta ovan nämnda uppgifter effektivt. Med stöd av den egna befogenhetsparagrafen har Gränsbevakningsväsendet trots att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företagshemlighet, bankhemlighet eller försäkringshemlighet, på begäran av en anhållningsberättigad tjänsteman rätt att få uppgifter för att förebygga, avslöja eller utreda brott som undersöks av Gränsbevakningsväsendet. Om ett viktigt allmänt eller enskilt intresse kräver det har Gränsbevakningsväsendet samma rätt att få information för undersökning enligt 27 § i lagen om Gränsbevakningsväsendet.  

Paragrafens 5 punkt gäller Skatteförvaltningens rätt att få saldouppgifter via ett tekniskt gränssnitt ur systemet för transaktions- och saldouppgifter. Skatteförvaltningen har rätt att få saldouppgifter utifrån föreslagna 18 a § i lagen om beskattningsförfarande. I enlighet med den föreslagna paragrafen ska aktörer enligt 1 a § i lagen om ett övervakningssystem för bank- och betalkonton med övervakningssystemet för bank- och betalkonton till Skatteförvaltningen lämna ut uppgifter enligt 17 a § och 17 c § då dessa uppgifter är nödvändiga i beskattningen och förutsättningarna i 19 § i denna lag för att överlämna uppgifter uppfylls. I en situation enligt 1 mom. ska Skatteförvaltningen sörja för att behandlingen av uppgifter vid Skatteförvaltningen riktar sig endast på uppgifter som är nödvändiga i beskattningen. I enlighet med 22 § 4 mom. i lagen ska uppgifterna lämnas trots sekretessbestämmelserna och övriga begränsningar att få uppgifter.  

I praktiken innebär detta att Skatteförvaltningen bedömer om saldoinformationen är behövlig utifrån en grund enligt 19 § i lagen om beskattningsförfarande, men användningen av övervakningssystemet för bank- och betalkonton ska vara nödvändig för att inhämta informationen. En tjänsteman från Skatteförvaltningen bedömer nödvändigheten att använda övervakningssystemet för bank- och betalkonton med beaktande av saldouppgiftens betydelse i det skatteärende som är föremål för kontroll och om de uppgifter som behövs i ärendet kan fås på annat sätt. Prövningen styrs dessutom av principerna för förvaltningsförfarandet och de principer som ska iakttas i beskattningen. Denna prövning är dock alltid bunden till de faktiska omständigheterna i ett enskilt fall, vilket definierar om uppgifterna är nödvändiga i det aktuella fallet. Saldouppgifter begärs i situationer där det inte är nödvändigt att begära kontotransaktionsuppgifter.  

Enligt 6 punkten i paragrafen har utsökningsverket rätt att få saldouppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Utsökningsverkets rätt att få information baserar sig på 3 kap. 64 § och 66 § i utsökningsbalken. Det föreslås att utsökningsmyndigheten får tillgång till saldotransaktioner för verkställigheten enligt utsökningsbalken. Utmätningsmannen ska i den omfattning som omständigheterna kräver söka efter egendom som tillhör gäldenären för att sökanden ska kunna få betalning (UB 3:48.1). Utmätningsmannens rätt att få information har i utsökningsbalken bundits till om uppgifterna är nödvändiga i ett enskilt utsökningsärende. Utmätningsmannen bedömer om uppgifterna är nödvändiga. Det finns bestämmelser om en utomståendes skyldighet att lämna uppgifter i 3 kap. 66 § i utsökningsbalken. En utomstående ska på begäran till utmätningsmannen meddela bland annat betalningsrörelsen på de konton som gäller fordran och gäldenärens rätt att använda kontona. Det kan anses att regleringen i utsökningsbalken stödjer rätten att tilldela en utmätningsman rätt att göra en förfrågan om saldotransaktioner via övervakningssystemet för bank- och betalkonton.  

Enligt 7 punkten i paragrafen har Finansinspektionen rätt att via ett tekniskt gränssnitt dra nytta av saldouppgifter som är tillgängliga ur systemet för transaktions- och saldouppgifter för att sköta dess uppgifter i enlighet med 18 § i lagen om Finansinspektionen. I fråga om Finansinspektionen ska tillsynsobjektet med stöd av lagen om Finansinspektionen trots sekretessbestämmelserna till Finansinspektionen överlämna de uppgifter och utredningar som den begärt och som är behövliga för att sköta en lagstadgad uppgift för Finansinspektionen. Motsvarande skyldighet har den som i ett tillsynsobjekt eller en annan finansmarknadsaktör har bestämmande inflytande enligt bokföringslagen och den som tillsynsobjektet eller någon annan finansmarknadsaktör har bestämmande inflytande i.  

Enligt paragrafens 8 punkt har Försvarsmakten rätt att få saldouppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Försvarsmakten har rätt till saldouppgifter i enlighet med 104 § i lagen om militär underrättelseverksamhet och 112 § i lagen om militär disciplin och brottsbekämpning inom Försvarsmakten (89/2025). I lagen om militär underrättelseverksamhet föreskrivs att trots att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet har militärunderrättelsemyndigheterna, på begäran av en för uppdraget förordnad och med användningen av metoder för underrättelseinhämtning särskilt förtrogen militärjurist eller annan tjänsteman, rätt att av privata sammanslutningar få sådana uppgifter som i ett enskilt fall kan antas vara behövliga vid utredningen av sådan verksamhet som avses i 4 § och som kan antas vara av betydelse för att identifiera eller nå en fysisk eller juridisk person som är föremål för militär underrättelseinhämtning, eller klarlägga personens kontaktuppgifter eller hur personen förflyttar sig, inrikta användningen av en metod för underrättelseinhämtning på en viss person, eller klarlägga ekonomisk verksamhet som bedrivs av en fysisk eller juridisk person. Försvarsmaktens Huvudstab har i enlighet med 112 § i lagen om militär disciplin och brottsbekämpning inom Försvarsmakten (89/2025) I uppgifter inom brottsbekämpning rätt att av en privat eller offentlig sammanslutning eller en person få information som är nödvändig för förhindrande och utredning av brott oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet.  

17 b §.Saldouppgifter som fås ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Enligt förslaget innehåller paragrafen bestämmelser om innehållet i uppgifter som fås ur det centraliserade systemet för transaktions- och saldouppgifter. Ur systemet är det möjligt att begära saldouppgifter om det konto som är föremål för förfrågan, det vill säga utöver kontonumret även penningbeloppet på kontot vid tidpunkten för begäran om ett svar. Eftersom utlämnande av saldouppgifter inte nödvändigtvis sker i realtid, då kontots saldo vid tidpunkten för en myndighets förfrågan kan avvika från saldot vid tidpunkten för uppgiftslämnarens svar, ska den utlämnade saldoinformationen gälla saldot vid tidpunkten för svaret. Svaret med saldoinformation ska ha en tidsstämpel, som preciserar tidpunkten för saldot. Även eventuella täckningsreserveringar som gäller kontot ska beaktas i kontots saldo. Enligt utsökningsbalken kan egendom som hör till en utomstående inte utmätas, varför täckningsreserveringar ska dras av från uppgiften om kontots saldo.  

Enligt förslaget innehåller paragrafens 2 mom. bestämmelser om ett undantag som gäller ett gemensamt konto som förvaltas av en advokat, vilket baserar sig på tystnadsplikten för advokater. Enligt bestämmelsen får saldouppgifter som gäller ett gemensamt konto som förvaltas av en advokat inte lämnas ut via det centraliserade systemet för transaktions- och saldouppgifter. Med gemensamma konton avses konton för penningmedel och andra medel som innehas av en advokat eller dennes byrå och som tillhör någon annan än advokaten eller dennes byrå. Syftet med bestämmelsen är att förebygga en situation där saldouppgifter som gäller ett gemensamt konto som förvaltas av en advokat lämnas ut via det elektroniska systemet för transaktions- och saldouppgifter utan rättslig grund. När myndigheterna behöver information, ska de vända sig till den advokat som är kontoinnehavare för att utreda saldotransaktioner på ett gemensamt konto som förvaltas av en advokat.  

17 c §.Utlämnande av uppgifter om kontotransaktioner och om värdepapper till behöriga myndigheter via ett tekniskt gränssnitt. Enligt förslaget innehåller paragrafen bestämmelser om förmedling och utlämnande av kontotransaktionsuppgifter och uppgifter om värdepapper till de behöriga myndigheterna via ett tekniskt gränssnitt ur systemet för transaktions- och saldouppgifter. Myndigheternas rätt att få uppgifter om kontotransaktioner och värdepapper via systemet baserar sig på rättigheterna att få information i den övriga lagstiftningen, och det handlar därmed inte om en bestämmelse om rätten att få information. Det är behövligt att utfärda bestämmelser om utlämnande av uppgifter via ett tekniskt gränssnitt ur det elektroniska systemet för transaktions- och saldouppgifter, eftersom uppgifter lämnas ut elektroniskt från en privat aktör till en myndighet, och 22 eller 24 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019) är sålunda inte tillämplig. För att även frågor som gäller handlingsutrymmet i EU-rätten ska beaktas, ska sättet att lämna ut uppgifter bindas till vissa användningsändamål, för vilka en myndighet kan utnyttja systemet för transaktions- och saldouppgifter.  

Även om rätten att få information via gränssnittet fastställs utifrån de gällande rättigheterna att få information, möjliggör specialregleringen om det elektroniska sättet att lämna ut uppgifter tekniskt sett ett nytt sätt att behandla känsliga uppgifter. Eftersom det handlar om sekretessbelagda och känsliga uppgifter, binds rätten till att få uppgifter ur det centraliserade systemet till bestämmelsen om myndighetens rätt att få information. Rätten att få information har bundits till antingen kravet på ett behov eller kravet på nödvändighet i paragrafen om rätten till information för varje myndighet. Även för de myndigheter vars paragraf om rätten till information är bunden till kravet på behövlighet, har det i en separat personuppgiftslag föreskrivits att myndigheten kan behandla särskilda personuppgifter endast då det är nödvändigt. Det nödvändighetskrav som fogats till det elektroniska systemet för transaktions- och saldouppgifter är följaktligen en skyddsåtgärd som säkrar behandlingen av känsliga uppgifter. En myndighet kan begära uppgifter om kontotransaktioner och värdepapper via ett tekniskt gränssnitt, om dessa uppgifter är nödvändiga för myndigheten för att avgöra en myndighetsuppgift som är under handläggning.  

Förutsättningarna för nödvändighet har behandlats separat enligt myndighet i avsnitt 4 i propositionen.  

Enligt principen om ändamålsbegränsning i artikel 5.1 b i allmänna dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Eftersom avsikten vid behandling enligt propositionen är att utnyttja kontotransaktionsuppgifter från kredit- och betalningsinstituten, baserar sig det föreslagna sättet att använda uppgifterna i fråga om avvikelsen från ändamålsbegränsningen på myndigheternas rätt att få information i bestämmelserna i en medlemsstats lagstiftning i enlighet med inledningsfrasen i artikel 6.4 i allmänna dataskyddsförordningen.  

Den föreslagna bestämmelsen är möjlig med stöd av underpunkt g i artikel 9.2 i allmänna dataskyddsförordningen. Enligt underpunkt g i artikeln är behandling av uppgifter som hör till de särskilda kategorierna av persongrupperna möjlig om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Kontotransaktionsuppgifter kan innehålla eventuella känsliga uppgifter, på grund av vilka detaljerade kontouppgifter om en fysisk person i enlighet med grundlagsutskottets utlåtandepraxis jämställs med känsliga uppgifter som hör till kärnområdet av skyddet för privatlivet (GrUU 48/2018 rd). I enlighet med grundlagsutskottets etablerade praxis har rätten till behandling av kontotransaktionsuppgifter sålunda avgränsats till den nödvändiga behandlingen (till exempel GrUU 58/2018 rd och GrUU 15/2018 rd). 

Enligt paragrafens 1punkt har polisen rätt att få kontotransaktionsuppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Polisens rätt att få kontotransaktions- och saldouppgifter ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter baserar sig på 4 kap. 3 § och 5 a kap. 50 § i polislagen. Med polisen avses såväl enheter som lyder under Polisstyrelsen, som skyddspolisen och Ålands polis. På den sist nämnda tillämpas befogenhetsbestämmelserna om bankkontouppgifter i polislagen. Definitionen av polisen som en behörig myndighet har klargjorts mer ingående ovan i motiveringarna till 17 a § på s. 100. Polisens rätt att få information har avgränsats till att hindra eller utreda ett brott eller ett viktigt allmänt eller enskilt intresse. I 4 kap. 3 § i polislagen föreskrivs att oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet har polisen på begäran av en polisman som hör till befälet rätt att få information som behövs för förhindrande eller utredning av brott. Om ett viktigt allmänt eller enskilt intresse kräver det har polisen samma rätt att få information som behövs vid polisundersökning enligt 6 kap. Enligt 15 § i personuppgiftslagen för polisen får polisen behandla uppgifter som hör till de särskilda kategorierna av persongrupper endast om behandlingen är nödvändig för behandlingsändamålet. Mottagande av kontotransaktionsuppgifter via övervakningssystemet i stället för det nuvarande utspridda och delvis manuella förfarandet ger polisen möjlighet att sköta ovan nämnda uppgifter effektivt. Vid polisen fattas beslutet om att inhämta de aktuella uppgifterna i praktiken av en polisman som hör till befälet separat i varje enskilt fall, varvid även nivån på beslutsfattandet är tillräckligt hög. Ett separat beslut och en separat begäran görs om inhämtning av uppgifter.  

Behörigheterna i anknytning till upprätthållandet av den nationella säkerheten att göra förfrågningar om kontotransaktionsuppgifter via ett tekniskt gränssnitt ur övervakningssystemet för bank- och betalkonton gäller skyddspolisens uppgifter för att skydda den nationella säkerheten, det vill säga för att bedriva civil underrättelseverksamhet. Skyddspolisen har rätt att få information om kontotransaktioner med stöd av 4 kap. 3 § 1 mom. och 5 a kap. 50 § i polislagen. Föremålet för civil underrättelseverksamhet kan vara bland annat terrorism, utländsk underrättelseverksamhet, massförstöringsvapen, verksamhet som hotar samhällets livsviktiga funktioner och verksamhet av en främmande stat som kan orsaka skada för Finlands viktiga intressen. Det ska beaktas att informationsinhämtning om finansiering av terrorism följaktligen hör till skyddspolisens uppgifter, även då den bedriver civil underrättelseverksamhet. Bankförfrågningar har alltid en koppling till utförandet av en enskild tjänsteuppgift och varje begäran motiveras skriftligt. Beslutet om att göra en förfrågan görs av en polisman som hör till befälet, på motsvarande sätt som då en begäran görs för att förhindra ett brott. Behörighetstilldelningen i anknytning till kontotransaktionsuppgifter till skyddspolisen handlar följaktligen inte om att en helt ny rätt att få information bildas för den, utan på att användningen av en redan existerande rätt att få information i en annan lag görs smidigare. Användningen av övervakningssystemet i skyddspolisens verksamhet begränsas av vad som annanstans föreskrivits om skyddspolisens rätt att få information. Till exempel 5 a kap. 50 § i polislagen förutsätter att en begäran är behövlig för utredning av verksamhet som bedrivs av målet för civil underrättelseverksamhet, där den nationella säkerheten är allvarligt hotad. Det ska även kunna förmodas att begäran är betydelsefull för att identifiera eller påträffa en person eller juridisk person som är föremål för civil underrättelseverksamhet eller utreda den aktuella personens kontaktuppgifter eller rörelse, rikta användningen av underrättelsemetoden på en viss person som är föremål för civil underrättelseverksamhet eller för att utreda ekonomisk verksamhet som förmodas ha en koppling till verksamhet enligt 3 § vilken bedrivs av en person eller juridisk person som är föremål för civil underrättelseverksamhet. Övervakningen av lag- och ändamålsenligheten i behandlingen av personuppgifter i skyddspolisens verksamhet är väldigt noggrann. Den interna laglighetsövervakningens resurser ökades kraftigt i samband med att underrättelselagarna trädde i kraft. Dessutom övervakas behandlingen av personuppgifter av dataombudsmannen som en extern laglighetsövervakare, underrättelsetillsynsombudet, som verkar som ett särskilt ombud, samt de högsta laglighetsövervakarna. 

Enligt 2 punkten i paragrafen har centralen för utredning av penningtvätt rätt att få kontotransaktionsuppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Centralen för utredning av penningtvätt har rätt att få uppgifter om kontotransaktioner i enlighet med 4 § i lagen om centralen för utredning av penningtvätt. Trots bestämmelserna om hemlighållande av uppgifter om företagshemligheter eller uppgifter om en enskild persons, sammanslutnings eller stiftelses ekonomiska förhållanden, ekonomiska ställning eller beskattningsuppgifter har centralen för utredning av penningtvätt rätt att av myndigheter, av sammanslutningar som har ålagts en offentlig uppgift och av rapporteringsskyldiga avgiftsfritt få uppgifter och handlingar som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism. Beslut om inhämtande av sekretessbelagda uppgifter fattas av en polisman som hör till befälet och arbetar vid centralen för utredning av penningtvätt. Trots tystnadsplikten för en medlem, en revisor, en verksamhetsgranskare, en styrelseledamot eller en anställd har centralen för utredning av penningtvätt dessutom på skriftlig begäran av en polisman som hör till befälet och arbetar vid centralen rätt att av en enskild sammanslutning, stiftelse eller person avgiftsfritt få uppgifter som är nödvändiga för förhindrande och utredning av penningtvätt och av finansiering av terrorism.  

Det är nödvändigt att använda kontotransaktionsuppgifter för att centralen för utredning av penningtvätt ska kunna utföra sin lagstadgade uppgift. I synnerhet analysen av anmälningar förutsätter detaljerad granskning av kontotransaktionsuppgifter. Centralen för utredning av penningtvätt har tidigare tagit emot flera tiotusen anmälningar om penningtvätt per år, men antalet har stigit avsevärt under den senaste tiden. Till exempel år 2022 mottogs redan över 200 000 anmälningar. En del av dessa anmälningar väljs efter förbehandling till mål för fortsatt utredning och årligen öppnas omkring 1 500 utredningshelheter. Flera personer och bolag kan vara delaktiga i en utredningshelhet och i typfallet omfattar de 1–5 olika penningtvättsanmälningar. I praktiken görs framöver i så gott som alla dessa utredningshelheter flera förfrågningar som gäller såväl bankkontouppgifter enligt den gällande lagen som kontotransaktioner ur övervakningssystemet för bank- och betalkonton. Dessutom är såväl kontotransaktions- som saldouppgifter nödvändiga även i samband med förbehandlingen av anmälningar, så att det genom en analys är möjligt välja anmälningarna med störst risk för penningtvätt eller finansiering av terrorism till den fortsatta behandlingen. 

Paragrafens 3 punkt gäller Tullens rätt att få kontotransaktionsuppgifter via ett tekniskt gränssnitt ur systemet för transaktions- och saldouppgifter. Tullen har rätt att få kontotransaktionsuppgifter i enlighet med 102 § 2 mom. i tullagen och 2 kap. 14 § i lagen om brottsbekämpning inom Tullen. I fråga om beskattnings- och skattekontrolluppgifter har Tullen rätt att begära kontotransaktionsuppgifter direkt från bankerna och andra motsvarande kreditinstitut med stöd av 102 § 2 mom. i tullagen, enligt vilket den som innehar uppgifter som behövs för en annan persons tullbeskattning eller för ett ärende som gäller ändringssökande och som följer av tullbeskattning ska på uppmaning av Tullen lämna uppgifterna till Tullen inom utsatt tid. Tullen har därtill, oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar, förvaltningsrådsmedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet, rätt att av en privat eller offentlig sammanslutning eller en enskild få information som behövs för förhindrande, avslöjande eller utredning av tullbrott. Tullens tillgång till kontotransaktionsuppgifterna i övervakningssystemet för bank- och betalkonton anknyter till beskattningen och skattekontrollen och förhindrande, avslöjande eller utredning av tullbrott vid Tullen.  

Förutsättningen för att få tillgång till uppgifterna är att de är nödvändiga för att utföra ovan nämnda uppgifter. Tullens beskattningsfunktioner har en betydande roll för återvinningen av medel, i synnerhet i fråga om EU:s traditionella egna medel. Tullens beskattningsfunktioner säkrar även unionens ekonomiska intressen. I fråga om brottsbekämpning är Tullen en förundersökningsmyndighet enligt förundersökningslagen och Tullen ansvarar för tullbrottsbekämpningen enligt föreskrifterna i lagen om brottsbekämpning inom Tullen och i den övriga lagstiftningen. Det är synnerligen viktigt att få tillgång till uppgifter vid skatteinspektioner. Även i fråga om brottsbekämpningen har kontotransaktioner en central betydelse. Motivet med ett tullbrott är så gott som utan undantag att få ekonomisk vinning. Kontotransaktionsförfrågningar är en väsentlig del av utredningen av brott och förfrågningar görs så gott som varje gång. Målet med kontotransaktionerna är att rikta straffansvaret, leta efter delaktiga i det misstänkta brottet samt även att utreda brottsvinningen och personers (även juridiska personers) förmögenhet. Spårning av brottsvinning görs i anknytning till förundersökningen även bland annat för att trygga skadestånd. Kontotransaktionsuppgifter begärs ofta i brottsundersökningar som görs av Tullen till exempel i undersökningen av ekonomiska brott och narkotikabrott samt i spårning av ekonomisk vinning. Tullens undersökningsverksamhetsenhet undersöker bland annat narkotikabrott, medicinbrott, skattebedrägerier, smugglingsbrott och andra brott som begåtts i samband med införsel i landet. Skattebedrägeribrotten kan gälla punktbeskattningen, mervärdesbeskattningen eller brott som skadar EU:s ekonomiska intressen, såsom undvikande av tullar eller antidumpningstullar. I allmänhet begärs kontotransaktionsuppgifter i utredningen av tullbrott med en blankett av standardform, på vilken all behövlig information om de uppgifter som begärs och det brott som undersöks antecknas. I samband med undersökningen av tullbrott har Tullen åren 2017 och 2018 gjort omkring 24 000 begäranden om kontouppgifter till kredit- och betalningsinstituten. Antalet förfrågningar har förblivit oförändrat. I egenskap av förundersökningsmyndighet är Tullen i enlighet med 1 kap. 2 § i förundersökningslagen (805/2011) även förpliktad att utreda den skada som har orsakats och den vinning som fåtts genom brottet och parterna (1 punkten) och möjligheterna att återställa egendom som har erhållits genom brottet och att verkställa en förverkandepåföljd som döms ut eller skadestånd som betalas till målsäganden med anledning av brottet (2 punkten). Tidvis förutsätts bankförfrågningar för att hitta brottsvinning och att de riktas till gärningsmannens närkrets (utvidgad vinning SL 10:3) och även till utomstående personer (SL 10:2.4). Följaktligen kan förfrågningarna vid spårning av vinning av brott rikta sig även till personer som inte är brottsmisstänkta, men som i stället fått vinning. Spårning av brottsvinning kan under förfrågningstiden för en bankförfrågan även förutsätta ett förfrågningsintervall som är längre än gärningstiden för brottet, till exempel i situationer som gäller utredning av utvidgad vinning, där det är behövligt att utreda personens lagliga inkomster och utgifter så noggrant som möjligt så att det vid behov är möjligt att utesluta sanningsenligheten i svarandens förklaring. 

Enligt 4 punkten i paragrafen har Gränsbevakningsväsendet rätt att få kontotransaktionsuppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Gränsbevakningsväsendet har rätt att få kontotransaktionsuppgifter i enlighet med 3 kap. 20 § i personuppgiftslagen för gränsbevakningsväsendet. Följaktligen föreskrivs rätt för Gränsbevakningsväsendet att göra förfrågningar om kontotransaktioner via övervakningssystemet i anknytning till förhindrande, avslöjande och utredning av brott. Mottagande av kontotransaktionsuppgifter via övervakningssystemet i stället för det nuvarande utspridda och delvis manuella förfarandet ger Gränsbevakningsväsendet möjlighet att sköta ovan nämnda uppgifter effektivt. Med stöd av den egna befogenhetsparagrafen har Gränsbevakningsväsendet trots att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företagshemlighet, bankhemlighet eller försäkringshemlighet, på begäran av en anhållningsberättigad tjänsteman rätt att få uppgifter för att förebygga, avslöja eller utreda brott som undersöks av Gränsbevakningsväsendet. Om ett viktigt allmänt eller enskilt intresse kräver det har Gränsbevakningsväsendet samma rätt att få information för undersökning enligt 27 § i lagen om Gränsbevakningsväsendet.  

Paragrafens 5 punkt gäller Skatteförvaltningens rätt att få kontotransaktionsuppgifter via ett tekniskt gränssnitt ur systemet för transaktions- och saldouppgifter. Skatteförvaltningen har rätt att få kontotransaktionsuppgifter utifrån föreslagna 18 a § i lagen om beskattningsförfarande. I enlighet med den föreslagna paragrafen ska aktörer enligt 1 a § i lagen om ett övervakningssystem för bank- och betalkonton med övervakningssystemet för bank- och betalkonton till Skatteförvaltningen lämna ut uppgifter enligt 17 a § och 17 c § då dessa uppgifter är nödvändiga i beskattningen och förutsättningarna i 19 § i denna lag för att överlämna uppgifter uppfylls. I en situation enligt 1 mom. ska Skatteförvaltningen sörja för att behandlingen av uppgifter vid Skatteförvaltningen riktar sig endast på uppgifter som är nödvändiga i beskattningen. I enlighet med 22 § 4 mom. i lagen ska uppgifterna lämnas trots sekretessbestämmelserna och övriga begränsningar att få uppgifter.  

I praktiken innebär detta att Skatteförvaltningen bedömer om informationen om kontotransaktioner är behövlig utifrån en grund enligt 19 § i lagen om beskattningsförfarande, men användningen av övervakningssystemet för bank- och betalkonton ska vara nödvändig för att inhämta informationen. En tjänsteman från Skatteförvaltningen bedömer nödvändigheten att använda övervakningssystemet för bank- och betalkonton med beaktande av kontotransaktionsuppgifternas betydelse i det skatteärende som är föremål för kontroll och om de uppgifter som behövs i ärendet kan fås på annat sätt. Prövningen styrs dessutom av principerna för förvaltningsförfarandet och de principer som ska iakttas i beskattningen. Denna prövning är dock alltid bunden till de faktiska omständigheterna i ett enskilt fall, vilket definierar om uppgifterna är nödvändiga i det aktuella fallet.  

Kontotransaktionsuppgifterna säkerställer den skattskyldiges penningflöden och därmed hans eller hennes ekonomiska ställning, på vilken beskattningen baserar sig. Kontotransaktionsuppgifter begärs inte utan att behovet först bedömts utifrån de faktiska omständigheterna i ett enskilt fall och de anses vara nödvändiga för skattekontrollen. Med nödvändighet avses att det i skattekontrollen finns en beskattningsmässig orsak att utreda eller säkerställa att beskattningen är korrekt och Skatteförvaltningen inte har någon annan deklarationskälla, utomstående källa eller jämförelsekälla tillgänglig för att utreda de inkomster och medel som påverkar beskattningen av den skattskyldige. Det kan dock till exempel handla om en situation där ett företag inom plattformsekonomi anmält att en person fått plattformsekonomiska inkomster till Skatteförvaltningen och uppgiften om inkomsten är motstridig med de deklarationer som den skattskyldige lämnat in. I kontrollen utreds hur den skattskyldiges inkomster bildas och om skattedeklarationsuppgifterna är riktiga utifrån kontotransaktionsuppgifterna, som redogör för om inkomsterna de facto mottagits. I skattekontrollen kan det finnas ett behov av att utreda hur den skattskyldiges inkomster bildas även till exempel i en situation där den skattskyldiges fastighetsförmögenhet ökat, men Skatteförvaltningens uppgifter inte redogör för med vilka inkomster ett fastighetsförvärv finansierats. Utredning av ett ärende som gäller undvikande av skatt är inte en förutsättning för behandling av kontotransaktionsinformation, även om kontotransaktioner, i synnerhet i bekämpningen av grå ekonomi, har en stor betydelse i utredningen av skattebedrägerier, som ofta är sammanflätade med andra ekonomiska brott. 

Enligt 6 punkten i paragrafen har Utsökningsverket rätt att få kontotransaktionsuppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Utsökningsverkets rätt att få information baserar sig på 3 kap. 64 § och 66 § i utsökningsbalken. Det föreslås att utsökningsmyndigheten får tillgång till kontotransaktionsuppgifter för verkställigheten enligt utsökningsbalken. Utmätningsmannen ska i den omfattning som omständigheterna kräver söka efter egendom som tillhör gäldenären för att sökanden ska kunna få betalning (UB 3:48.1). Utmätningsmannens rätt att få information har i utsökningsbalken bundits till om uppgifterna är nödvändiga i ett enskilt utsökningsärende. Utmätningsmannen bedömer om uppgifterna är nödvändiga. Det finns bestämmelser om en utomståendes skyldighet att lämna uppgifter i 3 kap. 66 § i utsökningsbalken. En utomstående ska på begäran till utmätningsmannen meddela bland annat betalningsrörelsen på de konton som gäller fordran och gäldenärens rätt att använda kontona. Det kan anses att regleringen i utsökningsbalken stödjer möjligheten att ge en utmätningsman möjlighet att göra förfrågningar om kontotransaktioner via övervakningssystemet för bank- och betalkonton.  

Enligt 7 punkten i paragrafen har Finansinspektionen rätt att få kontotransaktionsuppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Finansinspektionen kan utnyttja kontotransaktionsuppgifter som fås ur systemet för transaktions- och saldouppgifter för att sköta de myndighetsuppgifter som fastställts för den i enlighet med 18 § i lagen om Finansinspektionen. Finansinspektionen har trots sekretessbestämmelserna rätt att av myndigheter och aktörer som sköter offentliga uppdrag få uppgifter och utredningar om tillsynsobjekt, andra finansmarknadsaktörer och personer som Finansinspektionen med stöd av sina uppgifter enligt 3 § utövar tillsyn över, vilka behövs för att sköta en lagstadgad uppgift för Finansinspektionen. Finansinspektionen har redan nu rätt att få uppgifter om ett kontos ägare via bank- och betalkontosystemet. Det är nödvändigt att få uppgifter om kontotransaktioner och andra identifieringsuppgifter i situationer där Finansinspektionen i sitt tillsynsuppdrag konstaterar en avsevärd avvikelse eller risk för penningtvätt eller finansiering av terrorism eller kringgående av ekonomiska sanktioner. Eftersom de uppgifter som ingår i bank- och betalkontosystemet är känsliga, ska tröskeln för att få uppgifterna höjas på så sätt att det ska vara nödvändigt att få uppgifterna för att utföra en tillsynsuppgift.  

Enligt 8 punkten i paragrafen har även Försvarsmakten rätt att få kontotransaktionsuppgifter via ett tekniskt gränssnitt ur det centraliserade systemet för transaktions- och saldouppgifter. Försvarsmakten har rätt att få kontotransaktionsuppgifter i enlighet med 104 § 2 mom. i lagen om militär underrättelseverksamhet och 112 § i lagen om militär disciplin och brottsbekämpning inom Försvarsmakten (89/2025). I lagen om militär underrättelseverksamhet föreskrivs att trots att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet har militärunderrättelsemyndigheterna, på begäran av en för uppdraget förordnad och med användningen av metoder för underrättelseinhämtning särskilt förtrogen militärjurist eller annan tjänsteman, rätt att av privata sammanslutningar få sådana uppgifter som i ett enskilt fall kan antas vara behövliga vid utredningen av sådan verksamhet som avses i 4 § och som kan antas vara av betydelse för att identifiera eller nå en fysisk eller juridisk person som är föremål för militär underrättelseinhämtning, eller klarlägga personens kontaktuppgifter eller hur personen förflyttar sig, inrikta användningen av en metod för underrättelseinhämtning på en viss person, eller klarlägga ekonomisk verksamhet som bedrivs av en fysisk eller juridisk person. Försvarsmaktens Huvudstab har i enlighet med 112 § i lagen om militär disciplin och brottsbekämpning inom Försvarsmakten (89/2025) I uppgifter inom brottsbekämpning rätt att av en privat eller offentlig sammanslutning eller en person få information som är nödvändig för förhindrande och utredning av brott oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av företags-, bank- eller försäkringshemlighet.  

17 d §.Uppgifter om kontotransaktioner och värdepapper, vilka kan erhållas ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Enligt förslaget innehåller paragrafen bestämmelser om innehållet i kontotransaktionsuppgifter och värdepappersuppgifter vilka fås ur det elektroniska systemet för transaktions- och saldouppgifter. Enligt paragrafens 1 mom. är det möjligt att ur det centraliserade systemet för transaktions- och saldouppgifter begära kontotransaktionsuppgifter som gäller bank- och betalkonton. Med transaktionsuppgifter avses i enlighet med direktivet om finansiell information 2024/1654 alla detaljerade uppgifter om åtgärder som vidtagits under en viss tidsperiod via ett visst bank- eller betalkonto eller detaljerade uppgifter om överföringar av kryptotillgångar. Direktivet om finansiell information innehåller inte en närmare specifikation om vad dessa uppgifter innehåller, men enligt direktivet om finansiell information ska medlemsstaterna för att möjliggöra det gränsöverskridande samarbetet säkerställa att kontotransaktionsuppgifter överlämnas i det elektroniskt format som kommissionen förordnat. I samband med förhandlingarna om direktivet har man i praktiken konstaterat att förmedlingen av kontotransaktionsuppgifter ska genomföras med meddelandestrukturen ISO20022 (International Organization for Standardization).  

För att göra förfrågningar om kontotransaktionsuppgifter och sända svar på dessa iakttas rekommendationen om användning av den ISO20022-meddelandestruktur (Camt.052/Camt.053) som används av de europeiska lagtillsynsmyndigheterna, varför uppgiftsinnehållet i en förfrågan fastställs enligt meddelandestrukturen. Användningen av ISO20022-meddelandestrukturen i förfrågnings- och svarsstrukturerna för kontotransaktionsuppgifter möjliggör ett smidigt genomförande av förpliktelsen enligt direktivet om finansiell information, som implementeras i den nära framtiden. När de kontotransaktionsuppgifter som överlämnas till de behöriga myndigheterna i medlemsstaterna redan färdigt är i det harmoniserade format som direktivet om finansiell information kräver och som genomförs med ISO20022-meddelandestrukturen, är det smidigt för den nationella informationsförmedlaren, det vill säga centralkriminalpolisens internationella enhet, att hämta de begärda uppgifterna ur det centraliserade systemet för transaktions- och saldouppgifter och förmedla dem till den som begärt informationen i rätt meddelandeform.  

ISO20022-meddelandestrukturen innehåller ett brett uppgiftsinnehåll om kontotransaktionerna för den fysiska eller juridiska person som är föremål för förfrågan, och därför är det inte möjligt att definiera varje del av meddelandestrukturen på paragrafnivå. I 1–6 punkten i paragrafens 1 mom. specificeras de viktigaste identifieringsuppgifterna i anknytning till kontotransaktionsinformation. Ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter är det möjligt att få till exempel uppgifter om transaktionstypen, transaktionsdatum och -klockslaget, kontonumret i anknytning till transaktionen, mottagarens och betalarens namn, transaktionens referensnummer och informationen i meddelandefältet. Det innehåll som specificerats i punkt 1–6 är följaktligen inte en uttömmande lista över de kontotransaktionsuppgifter som kan fås ur systemet. Sålunda gäller 7 punkten för alla andra uppgifter som gäller en kontotransaktion än de som definierats i 1–6 punkten.  

I enlighet med 17 c § ovan ska den information som begärs ur övervakningssystemet för bank- och betalkonton vara nödvändig för de behöriga myndigheter som använder systemet för att utföra en lagstadgad uppgift för myndigheten, det vill säga att myndigheten ska pröva om nödvändighetsförutsättningen är uppfylld innan en begäran om information görs. Eftersom en myndighet kan ha ett behov av att avgränsa en begäran till de uppgifter som är nödvändiga för den, ska myndigheten då den gör en begäran i sitt eget system enligt förfrågan avgränsa (såväl i fråga om begäran som i fråga om svaret) vilken information myndigheten behöver, såvida det inte är nödvändigt för den att få alla uppgifter. Sålunda ska eventuella tekniska avgränsningar i fråga om informationens nödvändighet göras av den mottagande myndigheten i dess eget system. Enligt förslaget förmedlar Tullen alla grundläggande uppgifter som fastställts för en förfrågan med en kontotransaktionsförfrågan till uppgiftslämnaren, liksom även de tilläggsuppgifter som är förenliga med meddelandestrukturen, definierats i förfrågan och som är nödvändiga för den behöriga myndigheten. Uppgiftslämnaren överlämnar svaret i enlighet med det begärda innehållet till myndigheten.  

Enligt förslaget innehåller paragrafens 2 mom. bestämmelser om att det är möjligt att via det centraliserade elektroniska systemet för transaktions- och saldouppgifter begära även uppgifter som gäller en fysisk eller juridisk persons värdepapper, vilka en behörig myndighet enligt 17 c § har rätt att få med stöd av den övriga gällande lagstiftningen. Med värdepappersuppgifter avses uppgifter enligt 2 § i lagen om värdeandelskonton (872/1991) om arten på och antalet värdeandelar som tagits upp på ett värdeandelskonto och eventuella rättigheter och begränsningar som hänför sig till dessa. I enlighet med 3 § 1 punkten i lagen om värdeandelssystemet och om clearingverksamhet (348/2017) avses med värdeandelar sådana aktier, andelar och andra rättigheter enligt 2 kap. 1 § i värdepappersmarknadslagen (746/2012), andra finansiella instrument enligt 1 kap. 14 § i lagen om investeringstjänster (747/2012) och med dem jämförbara rättigheter samt andra värdepapper som har anslutits till värdeandelssystemet. Med andra ord avses med värdepappersuppgifter uppgifter om kundens värdepapper.  

De behöriga myndigheterna gör med stöd av sin rätt att få information även andra förfrågningar än förfrågningar om konto- och transaktionsuppgifter till bankerna, till exempel förfrågningar om kundens värdepappersförmögenhet. Dessa uppgifter kan vara av avgörande betydelse i en enskild myndighetsuppgift. För att få dessa förfrågningar till ett centraliserat och datasäkert förfarande som omfattas av laglighetsövervakningen, föreslås det följaktligen att det via systemet är möjligt att göra förfrågningar även om värdepappersuppgifter som omfattas av bankhemligheten. Även i förmedlingen av dessa uppgifter används globala meddelandestrukturer, som omfattar den mängd information som definierats för varje meddelandestruktur, varför det exakta uppgiftsinnehållet i förfrågan fastställs enligt meddelandestrukturen. Även i fråga om värdepappersuppgifter handlar det om sådana uppgifter som en behörig myndighet redan för närvarande är berättigad att få i enlighet med bestämmelserna om rätten att få information enligt motiveringarna till föreslagna 17 c § och som även i övrigt sänds längs en annan kanal, såsom per e-post. De aktuella uppgifterna enligt 2 mom. ska vara nödvändiga för de behöriga myndigheterna på samma sätt som uppgifterna enligt 1 mom. Följaktligen ska myndigheterna uppfylla alla förutsättningar för att göra en begäran om information enligt 17 g § 2 mom. även i fråga om begäranden om information som gäller i 2 mom. avsedda värdepappersuppgifter som omfattas av bankhemligheten. Sändningen av värdepappersuppgifter via övervakningssystemet för bank- och betalkonton är frivillig för kredit- och betalningsinstituten och den kan även göras på ett annat datasäkert sätt i enlighet med 17 f § 3 mom.  

Enligt förslaget innehåller paragrafens 3 mom. bestämmelser om ett undantag som gäller ett gemensamt konto som förvaltas av en advokat, vilket baserar sig på tystnadsplikten för advokater. Enligt bestämmelsen får kontotransaktionsuppgifter och andra uppgifter som hänför sig till kundrelationen vilka gäller gemensamma konton som förvaltas av en advokat inte lämnas ut via det centraliserade systemet för transaktions- och saldouppgifter. Med gemensamma konton avses konton för penningmedel och andra medel som innehas av en advokat eller dennes byrå och som tillhör någon annan än advokaten eller dennes byrå. Klientmedel är exempelvis penningmedel som advokaten har fått i samband med ett visst uppdrag och som på klientens vägnar ska utbetalas till tredje part eller användas på annat sätt. Klientmedel är även penningmedel, värdepapper och värdeandelar samt föremål med förmögenhetsvärde som advokaten har mottagit av tredje part för klientens räkning med redovisningsskyldighet gentemot klienten eller för att förvaras för klientens räkning samt även medel som en advokat fått i samband med skötseln av uppdrag som advokaten förordnats att utföra. Syftet med bestämmelsen är att förebygga en situation där kontotransaktions- och värdepappersuppgifter som gäller ett gemensamt konto som förvaltas av en advokat lämnas ut via systemet för transaktions- och saldouppgifter utan rättslig grund. När myndigheterna behöver ovan nämnda information, ska de vända sig till den advokat som är kontoinnehavare för att utreda kontotransaktioner på ett gemensamt konto som förvaltas av en advokat.  

17 e §.Behöriga myndigheters åtkomst till uppgifterna i det centraliserade elektroniska systemet för transaktions- och saldouppgifter och förutsättningarna för att göra begäranden om information som gäller uppgifterna. Enligt förslaget innehåller paragrafen bestämmelser om vissa förutsättningar för att de behöriga myndigheternas ska få åtkomst till uppgifter och göra sökningar. I paragrafens 1 mom. föreskrivs det att rätt att få åtkomst till sådana uppgifter som avses i 17 b och 17 d § i den föreslagna lagen och möjlighet att söka sådana uppgifter innehas endast av den personal vid en i 17 a § eller 3 c § avsedd myndighet som har utsetts och bemyndigats att utföra dessa uppgifter. I informationshanteringslagen finns det bestämmelser bland annat om datasäkerheten, inbegripet identifiering av uppgifter som förutsätter pålitlighet, tilldelning av behörigheter och verifiering av pålitlighet samt om datasäkerheten för informationsmaterial och informationssystem. Den organisation som utnyttjar informationen ska sörja för att behörigheter beviljas endast till personer med befogenhet att göra förfrågningar. Dessutom ska myndigheten iaktta andra interna förfaranden för att begära uppgifter, vilka kan ha två nivåer, eller en annan process med vilken det är möjligt att visa att tjänsteansvaret hänför sig till den person som fattat beslutet om att begära kontotransaktions- och saldouppgifter. Myndigheten ska dessutom förvissa sig om att datasöksystemet har tillräckliga skyddsåtgärder för att säkerställa att en begäran om information hänför sig till rätt paragraf om rätten till information eller till en tillräcklig tidsperiod.  

Enligt paragrafens 2 mom. ska myndigheten då den gör en begäran om information ge uppgifter om den rättsliga grunden för förfrågan, användningsändamålet och numret för det fall som begäran om information gäller, det vill säga referensnumret, samt IBAN-numret eller något annat identifikationssignum för det bank- och betalkonto som förfrågan gäller. Med referensnummer avses till exempel förundersökningsmyndighetens r-nummer eller ämbetsverkets interna diarienummer, med vilket myndigheten gör en förfrågan till systemet för transaktions- och saldouppgifter. Begäran förmedlas inte från myndighetens system till Tullens sammanställningsprogram, om myndigheten inte uppfyllt alla nödvändiga punkter för att göra en begäran. Det är möjligt att göra en förfrågan om saldo- eller kontotransaktionsuppgifter först då myndigheten specificerat det bank- och betalkonto som är föremål för dess begäran om information och det enskilda behov av uppgifter som ligger till grund för förfrågan. Om en myndighet inte har IBAN-numret för det konto som är föremål för dess begäran och den har rätt enligt 3 a § att använda övervakningssystemet för bank- och betalkonton enligt den gällande lagen, ska den först göra en förfrågan om kontoägarinformationen till det automatiserade kontouppgiftssystemet i övervakningssystemet för bank- och betalkonton. Om en myndighet inte har rätt enligt 3 a § till uppgifter enligt 4 och 6 §, ska kontots IBAN-nummer eller något annat identifikationssignum utredas på annat sätt innan begäran om information framförs. 

17 f §. Behandlingen av uppgifter om det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Enligt förslaget innehåller paragrafen bestämmelser om utlämnande och förmedling av uppgifter ur det centraliserade elektroniska systemet för transaktions- och saldouppgifter, det vill säga att paragrafen innehåller reglering kring behandling av information för såväl uppgiftslämnarna som Tullens sammanställningsprogram.  

I paragrafens 1 mom. föreskrivs en skyldighet för alla aktörer enligt 1 a § i lagen om ett övervakningssystem för bank- och betalkonton att lämna ut de uppgifter som avses i 17 b och 17 d § till det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Skyldigheten att lämna ut ovan nämnda uppgifter till myndigheterna föreligger redan utifrån den gällande rätten att få information för myndigheter enligt 17 a och 17 c §. Avsikten med den föreslagna bestämmelsen är att utfärda bestämmelser om praxis för utlämnade av uppgifter via ett tekniskt gränssnitt. Om en aktör enligt 1 a § administrerar ett datasöksystem för bank- och betalkonton, ska uppgifter enligt 17 b och 17 d § lämnas ut genom att utnyttja datasöksystemet. Till exempel kreditinstitut överlämnar kontotransaktions- och saldouppgifter i princip med datasöksystemet för bank- och betalkonton. Betalningsinstitut, institut för elektroniska pengar och leverantörer av kryptotillgångstjänster kan om de så önskar administrera ett datasöksystem för bank- och betalkonton (i stället för de uppgifter som de lämnar ut till kontoregistret). Om ovan nämnda aktör skapat ett datasöksystem för bank- och betalkonton, sker utlämnandet av kontotransaktions- och saldouppgifter från dessa aktörer även med det aktuella datasöksystemet. Det föreslås inte att kontotransaktioner fogas till registret över bank- och betalkonton enligt 5 § i den gällande lagen, varför finansaktörer som lämnar ut uppgifter till kontoregistret, det vill säga i praktiken andra aktörer enligt 1 a § vilka inte byggt upp ett datasöksystem, lämnar ut kontotransaktions- och saldouppgifter enligt de behandlingsregler som Tullen fastställt och via det system för utlämnande av uppgifter som Tullen byggt upp.  

Paragrafens 1 mom. innehåller dessutom bestämmelser om tidsfristen för att lämna ut kontotransaktions- och saldouppgifter. Kontotransaktions- och saldouppgifter ska överlämnas utan dröjsmål, men senast på följande bankdag. Dessutom ska uppgifter överlämnas utan hinder av sekretessbestämmelserna. Behandling av uppgifter enligt 2 kap. i den föreslagna lagen är automatisk och ägaruppgifter om ett konto ska överlämnas omedelbart till myndigheten. I motsats till den automatiska och omedelbara informationsbehandling som föreskrivits i 2 kap. för att genomföra femte penningtvättsdirektivet är informationsbehandlingen enligt 3 kap. inte automatisk eller omedelbar. Eftersom kontotransaktionsuppgifter inte hör till uppgifterna enligt direktivet, utan regleringen baserar sig på nationella grunder, ska de konstitutionella förutsättningarna i anknytning till utlämnande av särskilda personuppgifter iakttas i regleringen. Behandlingen av kontotransaktionsuppgifter som eventuellt innehåller även känsliga personuppgifter är förknippad med risker, varför kontotransaktionsuppgifterna kräver ett annorlunda sätt att behandla information, bland annat på grund av de olika skyddsåtgärderna. I behandlingen av kontotransaktionsuppgifter ska följaktligen särskild aktsamhet iakttas. Detta innebär bland annat att det kredit- eller betalningsinstitut som lämnar ut uppgifter ska ha faktisk möjlighet att bedöma förutsättningarna för att lämna ut uppgifterna. Om det handlar endast om saldouppgifter, ska kredit- eller betalningsinstitutet sträva efter att lämna ut uppgiften omedelbart, men även då det handlar om mer omfattande kontotransaktionsuppgifter som eventuellt innehåller känsliga uppgifter, ska kredit- eller betalningsinstitutet ges den tid som behövs för att göra en eventuell bedömning och samla in uppgifter. Eftersom det dock handlar om information som myndigheten i allmänhet behöver i brådskande ordning, till exempel i en förundersökning, ska informationen lämnas ut till myndigheten senast på följande bankdag efter förfrågan senast vid tjänstetidens slut, det vill säga senast kl. 16.15. Om en förfrågan inte inkommer inom ramen för tjänstetiden, det vill säga kl. 8.00–16.15, börjar beräkningen av tidsfristen från följande bankdag. Om en myndighet med andra ord sänder en förfrågan fredag kl. 18.00, är tidsfristen för att sända svaret följande tisdag kl. 16.15. På tidsfristerna tillämpas den finländska tidszonen.  

Tidsfristen för att överlämna uppgifter börjar alltid från tidpunkten för förfrågan. Eftersom tidsfristen för att överlämna ett svar som gäller kontotransaktions- och saldouppgifter via övervakningssystemet för bank- och betalkonton är följande bankdag, kommer Tullen att göra en teknisk definition som stänger meddelandet vid denna tidpunkt. Om en uppgiftslämnare begär ytterligare information i anknytning till en förfrågan, ska svaret kunna överlämnas inom ramen för tidsfristen för förfrågan eller så ska den behöriga myndigheten göra en ny förfrågan efter att tilläggsuppgifterna överlämnats. En begäran om tilläggsinformation av en uppgiftslämnare kan inte förmedlas med sammanställningsprogrammet, utan begäran och den anknutna korrespondensen ska göras utanför systemet, till exempel per e-post. För sådana fall förmedlas den frågande myndighetens närmare kontaktinformation med begäran om information. Ingen tidsfrist föreskrivs för utlämnande av i 17 d § 2 mom. avsedda uppgifter om värdepapper och som begärs via systemet för transaktions- och saldouppgifter, utan uppgifterna ska lämnas ut enligt föreskrifterna i regleringen kring rätten att få information för varje myndighet som begär uppgifter.  

Det andra momentet innehåller bestämmelser om den tidsmässiga längden på de uppgifter som lämnas ut. De kontotransaktionsuppgifter som avses ovan i 17 d § 1 mom. ska på begäran lämnas ut för de föregående fem åren. Detta innebär inte att uppgifterna ska lämnas ut för ovan nämnda tidsperiod för varje begäran om information, utan för den tidsperiod för vilken den behöriga myndigheten, om den så begär, har rätt att få kontotransaktionsuppgifter. När en myndighet gör en begäran om information ska den dock alltid bedöma vad som för den enskilda behandlingen och begäran om information är den nödvändiga tidsperioden för uppgifterna och följaktligen i egenskap av en aktör som behandlar uppgiften säkerställa att principen om uppgiftsminimering iakttas. Vad gäller lagens ikraftträdande föreskrivs i fråga om utlämnade av kontotransaktions- och saldouppgifter en övergångstid på tre år, enligt vilken uppgifter på begäran ska lämnas ut för de två föregående åren då tillämpningen av bestämmelsen börjar, på begäran för de tre föregående åren under det följande året och på begäran för de fyra föregående åren under det därpå följande året, medan skyldigheten att lämna ut uppgifter gäller uppgifterna för de fem senaste åren tre år efter att tillämpningen av bestämmelsen börjat. En uppgiftslämnare har dock möjlighet att lämna ut kontotransaktions- och saldouppgifter direkt efter att lagen trätt i kraft även för en längre tid än för de två föregående åren, och bestämmelsen begränsar inte i någon utsträckning myndigheternas lagstadgade rätt att få information för uppgifter som är äldre än detta. För utlämnande av över fem år gamla uppgifter tillämpas dock inte tidsfristen enligt det föregående momentet, utan uppgifterna ska lämnas ut inom den tidsfrist som föreskrivits i regleringen kring rätten att få information för varje myndighet som begär uppgifter. 

Även om den personuppgiftsansvarige, i detta fall den myndighet som gör en begäran om information, redan i princip ska iaktta skyldigheterna enligt artikel 5 i allmänna dataskyddsförordningen då den behandlar uppgifter, såsom principerna om uppgiftsminimering och lagringsminimering, och därmed reglering som överlappar allmänna dataskyddsförordningen följaktligen bör undvikas, anses det vara behövligt med preciserande reglering på grund av karaktären på de uppgifter som förmedlas. Kontotransaktionsuppgifter kan vara förknippade med särskilda kategorier av personuppgifter, känsliga uppgifter och andra uppgifter som innebär djupa inskränkningar på den registrerades integritet. I behandlingen av personuppgifter är det därtill möjligt att behandla även personuppgifter om personer som är utomstående i förhållande till begäran om information. För att bestämmelsen ska vara exakt och noggrant avgränsad och styra till förutsägbar tillämpning, innehåller 2 mom. i paragrafen bestämmelser om en fallspecifik bedömning av en begäran om information och den tidsmässiga avgränsningen. I samband med kontotransaktionsuppgifter utlämnas till myndigheterna även sådan information som inte har någon koppling till det ärende som ligger till grund för begäran om information. Även om det i 6 § 1 mom. i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) föreskrivits att fråga obehövliga personuppgifter ska raderas utan oskäligt dröjsmål, ska en myndighet även i fråga om behandling av personuppgifter enligt denna lag ha en skyldighet att analysera de kontotransaktionsuppgifter som lämnats ut och radera obehövliga uppgiften utan oskäligt dröjsmål. På så sätt stärks de registrerades personuppgifts- och integritetsskydd och principen om minimering av behandling av personuppgifter och nödvändigheten att behandla personuppgifter fullgörs på ett säkrare sätt.  

I paragrafens 3 mom. finns det bestämmelser om möjligheten för aktörer enligt 1 a § att av grundad anledning lämna ut uppgifter som avses i 17 d § 2 mom. på något annat elektroniskt datasäkert sätt. Om uppgifter om värdepapper till exempel på grund av uppgiftsinnehållets karaktär inte kan överlämnas i ett format enligt meddelandestrukturen ISO20022, vilket är ett krav på behandling av uppgifter i systemet för transaktions- och saldouppgifter, kan den aktör som lämnar ut uppgifter lämna ut dessa uppgifter på ett annat datasäkert sätt, till exempel med en skyddad e-postförbindelse. Den föreslagna bestämmelsen har inte någon konsekvens för den gällande rätten till information, utan avsikten är att den förtydligar skyldigheterna i anknytning till användningen av det centraliserade systemet för uppgiftslämnarna. Målet med lagen är att såväl förfrågningar av myndigheterna som svar som fåtts på dessa omfattas av ett datasäkert system, men beroende på uppgiftslämnarnas tekniska system och de interna sätten att behandla uppgifter i dessa föreslås det att det är möjligt att sända svar även utanför övervakningssystemet för bank- och betalkonton. Utlämnandet av uppgifter ska dock genomföras på ett datasäkert sätt. Den föreslagna regleringen förbättrar följaktligen datasäkerheten för lämnandet av uppgifterna i fråga jämfört med nuläget. 

Det föreslås att paragrafens 4 mom. innehåller bestämmelser om Tullens skyldighet att radera uppgifter från sammanställningsprogrammet omedelbart efter att uppgifterna lämnats ut till den myndighet som gjort begäran. Uppgifterna lagras i sammanställningsprogrammet endast fram till dess att myndigheten hämtat uppgifterna från programmet. Enligt förslaget förmedlar Tullen inte uppgifter som den fått från kreditinstitut eller en annan uppgiftslämnare automatiskt till myndighetens system, utan myndigheten hämtar uppgifterna själv till sitt eget datasöksystem. Om myndigheten inte hämtar uppgifter som lagras temporärt i Tullens sammanställningsprogram inom den tid som Tullen förordnat, raderas uppgifterna automatiskt från sammanställningsprogrammet. När Tullen fastställer tidsfristen för att radera uppgifter beaktar Tullen den tidpunkt då svaret inkommit, så att myndigheten har möjlighet att hämta informationen inom en tillräcklig tid under tjänstetid. 

17 g §.Personuppgiftsansvarig och ansvar i anslutning till det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Enligt förslaget innehåller paragrafen bestämmelser om aktörsspecifika ansvar för registeradministreringen och informationsbehandlingen i fråga om systemet för transaktions- och saldouppgifter.  

Övervakningssystemet för bank- och betalkonton bildar en registerhelhet. I enlighet med paragrafens 1 mom. ansvarar varje behandlare av uppgifter i registerhelheten var och en för sig och självständigt för att behandlingen av de personuppgifter som hör till det centraliserade elektroniska systemet för transaktions- och saldouppgifter är lagenlig i enlighet med allmänna dataskyddsförordningen. I fråga om de uppgifter som behandlas i systemen utgörs de personuppgiftsansvariga följaktligen av de behöriga myndigheter som gör begäranden om information, Tullen i egenskap av administratör av sammanställningsprogrammet, de kredit- och betalningsinstitut som lämnar ut uppgifter, instituten för elektroniska pengar samt leverantörerna av kryptotillgångstjänster. Det föreslagna systemet för transaktions- och saldouppgifter är ett centraliserat system, där en behörig myndighet har ett gränssnitt som baserar sig på en förfrågan, det vill säga ett datasöksystem, med vilket den har möjlighet att få uppgifter från uppgiftslämnarna. En behörig myndighet är berättigad att göra en riktad förfrågan om kontotransaktions- och saldouppgifter till det centraliserade elektroniska systemet för transaktions- och saldouppgifter för ett enskilt ärende som är under behandling, undersökning eller utredning och endast till det kreditinstitut eller en annan aktör enligt 1 a § av vilken den behöver information. Myndigheten gör förfrågan via det egna datasöksystemet till Tullens sammanställningsprogram, som förmedlar förfrågan vidare till uppgiftslämnaren. Med andra ord har myndigheten inte direkt tillgång till exempel till kredit- och betalningsinstitutens datasöksystem och uppgiftslämnarna lämnar inte heller ut kontotransaktions- och saldouppgifter färdigt till något nytt register. Med andra ord bildas inte något nytt personregister med den föreslagna regleringen. Det centraliserade elektroniska systemet för transaktions- och saldouppgifter möjliggör endast att uppgiftslämnarna lämnar ut kontotransaktions- och saldouppgifter som de sammanställt för en enskild förfrågan till Tullens tillämpningsprogram, varifrån Tullen förmedlar begäran till den myndighet som framfört begäran. I helheten av behandlingen av personuppgifter byts personuppgiftsansvaret sömlöst vid övergången från gränssnittet i myndighetens datasöksystem till sammanställningsprogrammet. Personuppgiftsansvaret byts å ena sidan då Tullen förmedlar en begäran om information från sammanställningsprogrammet till uppgiftslämnarens system och vidare då svaret överförs från uppgiftslämnaren tillbaka till sammanställningsprogrammet. Personuppgiftsansvaret för sammanställningsprogrammet överförs å sin sida till myndigheten, då myndigheten hämtar uppgiften från sammanställningsprogrammet med sitt eget datasöksystem.  

I artikel 4 i allmänna dataskyddsförordningen definieras vad som i förordningen avses med behandling av personuppgifter. Enligt definitionen avses med behandling en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. Enligt förordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.  

I det centraliserade elektroniska systemet för transaktions- och saldouppgifter tillämpas ett behandlingsorienterat tänkande i förhållande till ansvaren för informationsbehandlingen. I enlighet med allmänna dataskyddsförordningen avses med register varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. Eftersom övervakningssystemet för bank- och betalkonton bildar en registerhelhet, ansvarar varje behandlare av uppgifter i registerhelheten var och en för sig och självständigt för att behandlingen av de personuppgifter som hör till det centraliserade elektroniska systemet för transaktions- och saldouppgifter är lagenlig. Aktörerna har dock inte något gemensamt personuppgiftsansvar, eftersom de behandlar personuppgifter för olika ändamål, och de fastställer inte användningsändamålen för personuppgifter tillsammans. Med den föreslagna bestämmelsen om flera separata personuppgiftsansvariga kompletteras regleringen kring personuppgiftsansvariga i enlighet med artikel 4.7 i allmänna dataskyddsförordningen. Förslaget motsvarar det rådande läget, men i och med införandet av det nya centraliserade elektroniska systemet för transaktions- och saldouppgifter preciserar den föreslagna regleringen ansvaren för varje uppgiftsbehandlare, vilka i den gällande lagen har ansetts varit förknippade med otydlighet.  

Enligt paragrafens 2 mom. ansvarar den behöriga myndigheten för att begäran om transaktions- och saldouppgifter är nödvändig och proportionell. Myndigheten ska innan en förfrågan görs på det sätt som förutsätts i motiveringarna till 17 b och 16 d § bedöma vilka uppgifter och för vilken tid det är nödvändigt att få uppgifter för att sköta sin aktuella uppgift. En myndighet ska då den gör en begäran om information ge information bland annat om den rättsliga grunden för begäran om information och dess användningsändamål samt om numret på det fall som begäran om information gäller, det vill säga referensnumret. De behöriga myndigheterna fungerar som personuppgiftsansvariga i fråga om begäranden om information som de gör via sammanställningsprogrammet och de personuppgifter som de tar emot utifrån dessa och de omfattas på lika sätt av skyldigheterna för personuppgiftsansvariga och behandling av personuppgifter enligt allmänna dataskyddsförordningen och speciallagarna för myndigheterna. Ingen förfrågan om kontotransaktions- och saldouppgifter eller behandling av information överhuvudtaget bildas utan en förfrågan av en myndighet, varför myndighetens ansvar och roll som en del av systemet är central. Övriga uppgiftsbehandlare i systemet, Tullens sammanställningsprogram, kreditinstitut som administrerar ett datasöksystem för bank- och betalkonton eller en annan uppgiftslämnare enligt 1 a § har inte likadana möjligheter att fullt ut uppfylla alla skyldigheter enligt artikel 5 i allmänna dataskyddsförordningen som en myndighet. På grund av detta kan myndighetens ansvar för att en begäran om information är proportionerlig anses vara betonad, även om inte någon uppgiftsbehandlares ansvar enligt allmänna dataskyddsförordningen kan avlägsnas med den föreslagna regleringen. Myndigheterna förfar under tjänsteansvar och som en följd av att datasökningen av kontotransaktions- och saldouppgifter digitaliseras, förbättras laglighetsövervakningen ytterligare vid den behöriga myndigheten i fråga om detta. 

Enligt paragrafens 3 mom. ansvarar Tullen för att förmedla sådana i 17 b och 17 d § avsedda begäranden om information från myndigheter till uppgiftslämnare enligt 1 a §, samt för att överföra de uppgifter som erhållits av dem som sådana till behörig myndighet via det sammanställande programmet Tullen har inte rätt till den begärda informationen och inte heller möjlighet att bedöma proportionaliteten i en myndighets begäran till exempel i förhållande till den begärda tidsperioden. Automationen i sammanställningsprogrammet granskar endast att den behöriga myndigheten i samband med begäran om information gett alla uppgifter som behövs för att förmedla förfrågan. Tullen förmedlar tillsammans med förfrågan uppgifterna om förfrågans rättsliga grund och användningsändamål och uppgiften om det fall som begäran om information gäller, det vill säga referensnumret. Med referensuppgift avses till exempel förundersökningsmyndighetens r-nummer eller ämbetsverkets interna diarienummer, med vilket myndigheten gjort en förfrågan till systemet för transaktions- och saldouppgifter. Det handlar med andra ord inte om ett referensnummer som övervakningssystemet för bank- och betalkonton själv skapat. Dessutom förmedlar Tullen kontaktinformation om den myndighet som gjort förfrågan, det vill säga till exempel e-postadress och telefonnummer. 

Tullens uppgifter som personuppgiftsansvarig gäller att sörja för dataskyddet och datasäkerheten, ge information om de registrerades rättigheter och övriga motsvarande uppgifter för en personuppgiftsansvarig. Tullen har dessutom en roll som personuppgiftsansvarig i fråga om de logguppgifter som lagras i programmet. Vid behov förmedlar Tullen logguppgifter till de behöriga myndigheterna för deras egen laglighetsövervakning.  

Enligt paragrafens 4 mom. ansvarar uppgiftslämnare enligt 1 a § för att de uppgifter som lämnas ut är korrekta. Kreditinstituten förfar var och en som personuppgiftsansvarig för det egna datasöksystemet för bank- och betalkonton och de har en skyldighet att fullgöra den ansvarsskyldighet som förutsätts i artikel 5.2 i allmänna dataskyddsförordningen i fråga om lagenligheten i behandlingen av personuppgifter. Samma krav gäller även för andra uppgiftslämnare enligt 1 a §, oberoende av varje informationstekniska system. En av de viktigaste principerna är principen om korrekthet i punkt 1 d i artikel: personuppgifter ska vara korrekta och om nödvändigt uppdaterade; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Detta innebär att uppgiftslämnarna ska förvissa sig om att de lämnar ut alla uppgifter som myndigheten begärt, det vill säga uppgiftsinnehållets integritet. I enlighet med principen ska myndigheten kunna lita på att de uppgifter som den får är exakta och uppdaterade och täcker alla uppgifter som den begärt.  

Eftersom korrekthet och integritet är viktigt för systemets pålitlighet och bristfälliga uppgifter kan orsaka en avsevärd olägenhet för den registrerades rättigheter och friheter, används handlingsutrymmet enligt artikel 6.3 i allmänna dataskyddsförordningen i förslaget och i 5 mom. föreslås det att myndigheten ska underrätta Tullen om bristfälligheter eller eventuella felaktigheter i uppgifterna vilka den observerat. Tullen har följaktligen möjlighet att utreda om det handlar om ett systemfel. Detta förfarande är en skyddsåtgärd som tillämpas för att säkerställa felfrihet. I princip har den myndighetspersonal som behandlar personuppgifter som fåtts ur systemet en skyldighet att anmäla misstankar om bristfälligheter i informationen vilka de observerat eller eventuella avvikelser från dataskyddet enligt den egna organisationens anvisningar. Om det inte handlar om ett tekniskt systemfel i övervakningssystemet för bank- och betalkonton, ska myndigheten vara i direkt kontakt med uppgiftslämnaren, som enligt föreslagna 17 g 3 mom. ansvarar för att de kontotransaktions- och saldouppgifter som den lämnat ut är korrekta och för korrigering av uppgifterna utan oskäligt dröjsmål. Om en störningssituation utifrån en intern utvärdering av organisationen uppfyller definitionen av en dataskyddsincident, ska den anmälas till tillsynsmyndigheten i enlighet med dataskyddsregleringen. Dataombudsmannen fungerar enligt 8 § i dataskyddslagen som nationell tillsynsmyndighet enligt allmänna dataskyddsförordningen. Dataombudsmannen övervakar följaktligen efterlevnaden av skyldigheterna i anknytning till behandling av personuppgifter i systemet för transaktions- och saldouppgifter.  

17 h §. Logguppgifter för det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Den gällande lagen om ett övervakningssystem för bank- och betalkonton innehåller bestämmelser om skyldigheterna i anknytning till logguppgifter för Tullen, som administrerar kontoregistret och sammanställningsprogrammet och för behöriga myndigheter enligt 3 § i lagen, vilka får uppgifter ur ett datasöksystem. Bestämmelser ska stiftas om skyldigheten att samla in logguppgifter även för användningen av det centraliserade elektroniska saldo- och transaktionssystemet för samma aktörer. Dessutom föreskrivs det även att de som lämnar ut uppgifter ska föra ett loggregister om begäranden om information som gjorts via det centraliserade elektroniska saldo- och transaktionssystemet.  

I paragrafens första moment föreskrivs att Tullen har en skyldighet att föra ett loggregister över förfrågningar som görs via sammanställningsprogrammet i det centraliserade elektroniska saldo- och transaktionssystemet. Tullen administrerar sammanställningsprogrammet och genom att behandla logguppgifter kan en personuppgiftsansvarig visa att den fullgör sin ansvarsskyldighet enligt artikel 5.2 i allmänna dataskyddsförordningen. Följaktligen är skyldigheten att föra ett loggregister en skyddsåtgärd enligt allmänna dataskyddsförordningen, som den personuppgiftsansvarige ansvarar för. 

Dessutom föreskrivs en skyldighet för Tullen att lämna ut logguppgifter om sökningar i det centraliserade elektroniska systemet för transaktions- och saldouppgifter till myndigheterna enligt 17 a och 17 c § på begäran av dem. Med stöd av logguppgifterna kan de behöriga myndigheterna komplettera sin egen laglighetsövervakning. Enligt förslaget omfattar logguppgifter referensuppgifter om ärendet, det vill säga behandlingsnumret eller en annan identifieringsuppgift för ärendet, datum och klockslag för förfrågan eller hämtningen, typen av uppgifter som använts i förfrågan, identifieringsuppgifter för resultaten av förfrågan och namnet på den behöriga myndighet som använt systemet.  

I paragrafens 2 mom. föreskrivs en skyldighet att föra ett loggregister för de behöriga myndigheterna och aktörer enligt 1 a § vilka lämnar ut uppgifter. Genom att föra ett register kan uppgiftslämnaren visa att den genomfört principerna enligt allmänna dataskyddsförordningen, det vill säga att kravet främjar dess ansvarsskyldighet.  

Det föreslås att paragrafens 3 mom. innehåller en bestämmelse om att de behöriga myndigheternas loggregister ska redogöra för identifieringsuppgifterna om en person som gör en förfrågan till eller en sökning i det centraliserade elektroniska systemet för transaktions- och saldouppgifter och om en person som gett en order om detta samt om identifieringsuppgifterna om mottagaren av resultaten av förfrågan eller sökningen, om det är möjligt att få dessa. Enligt bestämmelsen ska den behöriga myndigheten utse en person som ska övervaka användningen av det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Övervakningen omfattar regelbunden genomgång av uppgifterna i loggregistret för att upptäcka avvikelser. Granskningen av loggregistret ska vara aktiv, så att eventuella missbruk upptäcks snabbt.  

Enligt paragrafens 4 mom. ska logguppgifterna bevaras i fem år, om uppgifterna inte behövs i ett tillsynsärende som är under beredning. Den föreskrivna tidsfristen motsvarar formuleringen om Tullens loggregister i den gällande lagen, varför det kan anses vara ändamålsenligt att förvaringstiden är enhetlig i fråga om det centraliserade automatiserade kontouppgiftssystemet och det centraliserade elektroniska systemet för transaktions- och saldouppgifter. Om någon myndighet har ett behov av att förvara logguppgifter i över fem år, ska den meddela detta till Tullen, så att förvaringstiden för logguppgifter i sammanställningsprogrammet kan förlängas även i fråga om dessa uppgifter.  

7.2  Lagen om beskattningsförfarande

18 a §.Skyldighet att lämna uppgifter ur övervakningssystemet för bank- och betalkonton. Det föreslås att en uttrycklig skyldighet att lämna ut uppgifter för kredit- och betalningsinstitut i fråga om saldouppgifter och kontotransaktionsuppgifter enligt lagen om ett övervakningssystem för bank- och betalkonton fogas till lagen om beskattningsförfarande. Detta innebär att Skatteförvaltningen kan använda saldouppgifter och kontotransaktionsuppgifter i övervakningssystemet för bank- och betalkonton då det är nödvändigt att använda dessa uppgifter i ett enskilt skattekontrollfall.  

Användningen av kontotransaktionsuppgifter i beskattningen uppfyller kravet i artikel 23.1 i allmänna dataskyddsförordningen, enligt vilket det ska handla om en omedelbar och proportionerlig åtgärd för att trygga de mål som avses i artikel 23.1 i förordningen. I fråga om Skatteförvaltningen tryggar rätten att få information målen enligt underpunkt e och h i artikel 1. I underpunkt e är målet att säkerställa andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet och i underpunkt h att trygga en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g. 

Det finns bestämmelser om deklarations- och uppgiftsskyldigheterna i första hand i lagen om beskattningsförfarande (1558/1995) och lagen om beskattningsförfarandet beträffande skatter som betalas på eget initiativ (768/2016). I flera skattelagar finns det hänvisningar till dessa procedurbestämmelser. 

Deklarations- och uppgiftsskyldigheterna fördelar sig på så sätt att 2 kap. i lagen om beskattningsförfarande innehåller bestämmelser om en skattskyldigs deklarationsskyldighet och 3 kap. om skyldigheten för en utomstående att lämna ut uppgifter. De uppgifter som ska lämnas ut regelmässigt är sådana som i princip antecknas på en skattedeklaration. Detta gäller för uppgifter som omfattas av deklarationsskyldigheten för en skattskyldig och uppgifter som en utomstående ska lämna med stöd av 15–17 § i lagen. Följaktligen medför lagen om beskattningsförfarande en skyldighet att lämna ut uppgifter för en utomstående, vilket avviker från den typiska regleringen kring en myndighets informationstillgång, där bestämmelsen ger myndigheten rätt att få information. 

Det finns bestämmelser om olika myndigheters skyldighet att tilldela åtkomst till olika registeruppgifter i 18 § i lagen om beskattningsförfarande (myndigheternas allmänna skyldighet att lämna uppgifter). Denna skyldighet omfattar till exempel befolkningsuppgifter, handelsregisteruppgifter, uppgifter ur landsbygdsnäringsregistret, uppgifter ur trafik- och transportregistret, fastighetsuppgifter, uppgifter om näringssubventioner, uppgifter om arbete utomlands, uppgifter om förmåner av Folkpensionsanstalten och uppgifter ur lägenhetsregistret. Dessa uppgifter är sådana som behövs i den ordinarie beskattningen. Användningen av informationen har delvis ordnats så att Skatteförvaltningen kan begära uppgifter via informationssystemet, då uppgiften behövs för beskattningen. 

Utöver de allmänna skyldigheterna att lämna uppgifter innehåller lagen om beskattningsförfarande bestämmelser om den särskilda skyldigheten att lämna uppgifter för privatpersoner och myndigheter. Särskilda skyldigheter att lämna uppgifter tillämpas alltid i enskilda situationer som gäller skattekontroll. I enlighet med 19 § i lagen ska var och en på uppmaning av Skatteförvaltningen lämna sådana uppgifter som kan behövas för beskattning av någon annan skattskyldig eller behandling av en ändringsansökan. På motsvarande sätt ska en myndighet i enlighet med 20 § i lagen på begäran av Skatteförvaltningen lämna eller för granskning visa upp sådana uppgifter som kan behövas för beskattning eller ändringssökande. Lagen innehåller en bestämmelse om rätten att vägra att lämna uppgifter om den uppgiftsskyldige har rätt att vägra att vittna i ärendet. Ingen får dock vägra lämna sådana uppgifter om en skattskyldigs ekonomiska ställning som inverkar på beskattningen. Den särskilda skyldigheten att lämna uppgifter tillämpas då utredningen av ett ärende som gäller beskattningen av en skattskyldig förutsätter behandling av uppgifter som inte omfattas av den allmänna skyldigheten att lämna uppgifter. Den lagstadgade tröskeln ”kan behövas i beskattningen” överskrids då ett ärende som anknyter till en skattskyldigs ekonomiska verksamhet ska utredas utifrån uppgifter som fåtts från en utomstående eller utifrån andra uppgifter. Skatteförvaltningen behandlar kontotransaktionsuppgifter för att säkerställa att den skattskyldige skött förpliktelserna i anknytning till beskattningen. Kontotransaktions- och saldouppgifter om ett konto är i sig inte uppgifter som den skattskyldige ska foga till en skattedeklaration, utan dessa uppgifter är betydelsefulla i skattekontrollen. Utifrån uppgifter som fås av en utomstående uppgiftsskyldig är det till exempel möjligt att bedöma om den skattskyldige deklarerat uppgifterna korrekt. Regleringen kring beskattningsförfarandet förutsätter inte att uppgifterna först begärs av den skattskyldige själv. I enlighet med principen enligt 26 § 4 mom., som gäller verkställande av beskattningen, ska skattemyndigheten och den skattskyldige i mån av möjlighet delta i utredandet av ärendet, när den skattskyldige har uppfyllt sin deklarationsskyldighet. Utredning i ett ärende ska läggas fram främst av den part som har bättre förutsättningar att göra detta. Detta innebär till exempel att Skatteförvaltningen ska utöva de lagstadgade rättigheterna att begära information av en utomstående. Med tanke på den administrativa bördan är det inte ändamålsenligt att begära att en skattskyldig lämnar ut uppgifter då uppgiften är tillgänglig från en utomstående, till exempel via en direkt förbindelse för förfrågningar. Detta motsvarar även skyldigheten enligt 20 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019) enligt vilken en myndighet ska sträva efter att utnyttja en annan myndighets informationsmaterial, om den första myndigheten har rätt att via ett tekniskt gränssnitt eller en elektronisk förbindelse få den behövliga informationen från den andra myndigheten. Det krävs rättslig prövning för att ställa en skyldighet enligt BFL 19 § och den görs av en tjänsteman. Den uppgiftsskyldige har rätt att vägra fullfölja en uppmaning och få ett överklagbart beslut i ärendet. Behovet av kontoinformation bedöms och prövas alltid från fall till vid Skatteförvaltningen med tjänsteansvar, det vill säga att uppgifter utifrån BFL 19 § inte begärs i massaform eller med ett automatiskt förfarande. Förfarandet enligt BFL 19 § ska följaktligen avskiljas från jämförelseuppgiftsgranskning enligt BFL 21 §, där det är möjligt att samla in uppgifter på så sätt att varje person eller samfund inte specificerats. 

Förfarandena för att tillämpa bestämmelserna om den särskilda skyldigheten att lämna uppgifter är etablerade. Bestämmelserna har inte riktats till någon viss utomstående aktör. Prövningen av tillämpningen av bestämmelserna görs med tjänsteansvar och genom att iaktta vad som i övrigt föreskriv som beskattningsförfarandet. Ramverket för regleringen är uppbyggt på så sätt skattemyndigheten och den skattskyldige i mån av möjlighet ska delta i utredandet av ärendet, när den skattskyldige har uppfyllt sin deklarationsskyldighet i enlighet med 26 § 4 mom. i lagen om beskattningsförfarande. Utredning i ett ärende ska läggas fram främst av den part som har bättre förutsättningar att göra detta. Till exempel när skyldigheter att lämna uppgifter föreskrivits i lagen, ska Skatteförvaltningen tillämpa dessa för att utreda ärendet. I enlighet med 26 § 5 mom. i lagen verkställs beskattningen utifrån den skattskyldiges deklaration, uppgifter som med stöd av 3 kap. erhållits av utomstående som är skyldiga att lämna uppgifter och andra utredningar som erhållits i saken. Detta leder även till att Skatteförvaltningen, då den verkställer beskattningen, har en skyldighet att utreda den korrekta grunden för beskattningen utifrån uppgifter som fås av såväl den skattskyldige som utomstående. Det kan även handla om att granska att de uppgifter som en skattskyldig deklarerat är riktiga i ett enskilt skattekontrollfall. Enligt bestämmelsen i 6 mom. ska Skatteförvaltningen därtill när beskattningen verkställs pröva erhållna uppgifter och utredningar på det sätt som är motiverat med hänsyn till ärendets art och omfattning, lika bemötande av de skattskyldiga samt skattekontrollens behov. Detta styr även tillämpningen av den särskilda skyldigheten att lämna uppgifter. Skatteförvaltningen ska till exempel undersöka de deklarerade inkomsterna med enhetliga förfaranden för att säkerställa att förfarandet i beskattningen är jämlikt och rättvist. När utredningen av ett ärende som gäller beskattningen förutsätter behandling av kontotransaktioner tillämpas 19 § i lagen om beskattningsförfarande. Det finns inget beskattningsmässigt behov av att utreda kontotransaktioner i alla skattekontrollsituationer, utan bedömningen görs från fall till fall. 

Skatteförvaltningen föreslår att det för de allmänna skyldigheterna för utomstående i beskattningsförfarandet föreskrivs en uttrycklig rätt att i fullgörandet av skyldigheterna att lämna uppgifter använda förfaranden enligt lagen om ett övervakningssystem för bank- och betalkonton för att utreda saldouppgifter och kontotransaktioner då det är nödvändigt för att utreda ett ärende som gäller beskattningen. Detta genomförs genom att utfärda en ny 18 a §, enligt vilken skyldigheten att lämna ut uppgifter gäller uttryckligen för kredit- och betalningsinstitut som redan nu har en skyldighet att lämna ut kontotransaktionsuppgifter enligt lagen om beskattningsförfarande. För närvarande har Skatteförvaltningen en rätt som skrivits in i lagen om ett övervakningssystem för bank- och betalkonton att utreda ägaruppgifter om ett konto i situationer där 19 § i lagen om beskattningsuppgifter tillämpas. 

Enligt förslaget hänför sig skyldigheten till aktörerna enligt 1 a § i lagen om ett övervakningssystem för bank- och betalkonton, även om det övervakningssystem för bank- och betalkonton som administreras av Tullen och sammanställningsprogrammet används för att lämna ut uppgifter. Syftet är att bedömningen av nödvändigheten att begära uppgifter av utomstående görs på samma grunder som i övriga situationer, där uppgifter begärs av utomstående med stöd av den särskilda skyldigheten att lämna uppgifter. I denna utsträckning förblir rättsläget oförändrat. Begäranden om information genomförs enligt förslaget genom att sända enskilda begäranden via det system som Tullen administrerar till kredit- och betalningsinstituten. Skyldigheten att lämna ut uppgifter hänförs till kredit- och betalningsinstitut och prövningen av begärandet av uppgifter innehåller i enlighet med den föreslagna regleringen alltid en bedömning av nödvändigheten. Förfarandet säkerställer ett jämlikt bemötande av de skattskyldiga i beskattningen då uppgifter begärs av utomstående med stöd av den särskilda skyldigheten att lämna uppgifter, till exempel då det utreds om inkomsterna eller tillgångarna deklarerats rätt. Med tanke på enhetligheten i skattekontrollen och beskattningen är det problematiskt att prövningen av skyldigheterna att lämna ut uppgifter avviker till exempel i fråga om informationskällan eller sättet att inhämta uppgifter. I lagen förutsätts det dock att nödvändigheten att använda kontotransaktions- och saldouppgifter bedöms från fall till fall. Allmänt kan det konstateras att man utifrån de uppgifter som fås från bankerna i huvudsak övervakar iakttagandet av samma förpliktelser som i fråga om andra uppgifter av utomstående. Utifrån ovan nämnda grunder innehåller nya 18 § en hänvisning till prövning enligt 19 § i lagen. 

Övervakningssystemet för bank- och betalkonton möjliggör tekniskt sett en snabb och omfattande möjlighet att göra förfrågningar. Följaktligen är det motiverat att avgränsa användningen av detta system med en förutsättning om nödvändighet. I praktiken innebär detta att Skatteförvaltningen begär kontotransaktions- och saldouppgifter endast då uppgifterna är nödvändiga för att utreda ett enskilt ärende som gäller beskattningen. En tjänsteman från Skatteförvaltningen bedömer nödvändigheten att använda kontotransaktions- och saldouppgifter med beaktande av kontotransaktionsuppgifternas betydelse i det skatteärende som är föremål för kontroll och om de uppgifter som behövs i ett ärende som gäller beskattningen kan fås på annat sätt. Prövningen styrs dessutom av principerna för förvaltningsförfarandet och de principer som ska iakttas i beskattningen. Denna prövning är dock alltid bunden till de faktiska omständigheterna i ett enskilt fall, vilket definierar om uppgifterna är nödvändiga i det aktuella fallet. Saldouppgifter begärs i situationer där det inte är nödvändigt att begära kontotransaktionsuppgifter. Skatteförvaltningen använder kontotransaktionsuppgifter för att utreda och säkerställa att beskattningen är korrekt i enskilda situationer, där det bedöms vara nödvändigt. Kontotransaktionsuppgifterna säkerställer den skattskyldiges penningflöden och därmed hans eller hennes ekonomiska ställning, på vilken beskattningen baserar sig. Kontotransaktionsuppgifter begärs inte utan att behovet först bedömts utifrån de faktiska omständigheterna i ett enskilt fall och de anses vara nödvändiga för skattekontrollen. Med nödvändighet avses att det i skattekontrollen finns en beskattningsmässig orsak att utreda eller säkerställa att beskattningen är korrekt och Skatteförvaltningen inte har någon annan deklarationskälla, utomstående källa eller jämförelsekälla tillgänglig för att utreda de inkomster och medel som påverkar beskattningen av den skattskyldige. Det kan dock till exempel handla om en situation där ett företag inom plattformsekonomi anmält att en person fått plattformsekonomiska inkomster till Skatteförvaltningen och uppgiften om inkomsten är motstridig med de deklarationer som den skattskyldige lämnat in. I kontrollen utreds hur den skattskyldiges inkomster bildas och om skattedeklarationsuppgifterna är riktiga utifrån kontotransaktionsuppgifterna, som redogör för om inkomsterna de facto mottagits. De uppgifter som behandlas är även sådana som den skattskyldige själv ska deklarera. I skattekontrollen kan det finnas ett behov av att utreda hur den skattskyldiges inkomster bildas även till exempel i en situation där den skattskyldiges fastighetsförmögenhet ökat, men Skatteförvaltningens uppgifter inte redogör för med vilka inkomster ett fastighetsförvärv finansierats. Utredning av ett ärende som gäller undvikande av skatt är inte en förutsättning för behandling av kontotransaktionsinformation, även om kontotransaktioner, i synnerhet i bekämpningen av grå ekonomi, har en stor betydelse i utredningen av skattebedrägerier, som ofta är sammanflätade med andra ekonomiska brott. 

Om övervakningssystemet för bank- och betalkonton täcker kontotransaktions- och saldouppgifter för konton, får Skatteförvaltningen dessa uppgifter i samma enhetliga format och inom samma tidsram. Användningen av systemet är i praktiken nödvändigt för ett jämlikt och jämbördigt bemötande av de skattskyldiga och för uppdaterade och korrekta uppgifter, då uppgifterna i ett enskilt fall anses vara nödvändiga. 

Eftersom användningen av övervakningssystemet för bank- och betalkonton är bunden till BFL 19 §, är det inte möjligt att använda det i situationer där BFL 21 § tillämpas. Detta innebär att den föreslagna regleringen inte möjliggör att systemet används för massasökningar eller automatisk användning. 

Användningen av kontotransaktioner hänför sig till kundens alla kontotransaktioner. Lagen om ett övervakningssystem för bank- och betalkonton innehåller dock noggrant avgränsade bestämmelser om de uppgifter som lämnas ut via systemet. Skyldigheten hänför sig även på ett noggrant avgränsat sätt till aktörerna enligt 1 a § i lagen. I enlighet med nuläget gäller kontoförfrågningarna alltid nämnda åtgärder och all behandling kan verifieras i efterskott. Skatteförvaltningen övervakar behandlingen av uppgifter bland annat med metoder för att övervaka logguppgifter. Förfrågningarna görs i informationssystemet för beskattningen (GenTax). En förutsättning för att göra en förfrågan är att ett beskattningsärende har inletts. Förfrågningar görs inte automatiskt. I arbetsordningen har de tjänstemän som har rätt att göra förfrågningar fastställts. Bakgrunden till en jämförelseuppgiftsgranskning ska fortsättningsvis alltid utgöras av någon åtgärd (granskning eller kontroll) som ligger till grund för förfrågan. Dessutom ska det vara möjligt att spåra den person som gjort förfrågan och den helhet som omfattar förfrågan i systemet. Arbetsordningarna fastställer vilka roller som kan göra förfrågningar direkt i systemet och vilka roller som eventuellt behöver ett godkännande av chefen/arbetshandledaren. Det nuvarande förfarandet, där systemet GenTax loggar allt och där förfrågningar även tekniskt sett anknyter till kunden eller åtgärden i GenTax, bibehålls. Kontotransaktionsuppgifter som påverkar beskattningen dokumenteras även framöver till exempel i skatterevisionsberättelsen eller beskattningsbeslutet. På ett ett som motsvarar nuläget har en kund alltid rätt att få information om kontotransaktionsförfrågningar, såvida en enskild åtgärd inom skattekontrollen äventyras av att uppgifterna lämnas ut. I dessa fall ges uppgifterna efter att kontrollåtgärden slutförts. 

I enlighet med den särskilda skyldigheten att lämna uppgifter ska en utomstående alltid ge uppgifter om den skattskyldiges ekonomiska ställning, vilka påverkar beskattningen. Även om en enskild förfrågan görs alltid då uppgifterna är nödvändiga i en enskild situation med skattekontroll, står det i praktiken klart att kontotransaktionsuppgifter omfattar även sådana uppgifter som inte påverkar beskattningen. I förfarandet för att lämna ut uppgifter finns det inget förnuftigt och effektivt förfarande för att avlägsna dessa uppgifter, vilken kan genomföras till exempel av banken eller Tullen, som förmedlar uppgifterna. En förutsättning för att avlägsna uppgifter är sakkunnighet om vilka uppgifter som påverkar beskattningen. Denna bedömning kan göras endast vid Skatteförvaltningen, som fungerar som tillsynsmyndighet. Även för närvarande har en tjänsteman en skyldighet att inte beakta transaktioner som inte är av betydelse för beskattningen. Det föreslås att nya 18 a § i lagen om beskattningsförfarande innehåller bestämmelser om en skyldighet för Skatteförvaltningen att rikta de mottagna uppgifterna omedelbart endast till uppgifter som påverkar beskattningen. Med detta förfarande genomförs principen om uppgiftsminimering i behandlingen av personuppgifter enligt allmänna dataskyddsförordningen, men detta framgår även tydligt av bestämmelsen. 

7.3  Lagen om beskattningsförfarandet beträffande skatter som betalas på eget initiativ

30 §.Utomståendes särskilda skyldighet att lämna uppgifter. Det föreslås att en hänvisning till nya 18 a § i lagen om beskattningsförfarandet fogas till paragrafens 1 mom.  

11.1  Samband med andra propositioner

Propositionen är inte beroende av andra propositioner. 

11.2  Förhållande till budgetpropositionen

Propositionen har inget samband med budgetpropositionen. 

12.1  Skyddet för privatlivet och personuppgifter

De föreslagna bestämmelserna om behandling av kontotransaktions- och saldouppgifter är betydelsefulla med tanke på det i 10 § i grundlagen tryggade skyddet för privatlivet och skyddet för personuppgifter. Enligt 10 § i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Enligt den andra meningen i momentet utfärdas närmare uppgifter om skyddet för personuppgifter genom lag. Det har varit betydelsefullt att lagstiftarens handlingsutrymme, då bestämmelser om behandling av personuppgifter stiftas, begränsas i synnerhet av att skyddet för personuppgifter delvis omfattas av skyddet för privatlivet, som tryggas i 10 § i grundlagen i samma moment. Lagstiftaren måste tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag (se till exempel GrUU 13/2016 rd, s. 3–4). Grundlagsutskottet har på etablerat sätt ansett att om man ser till skyddet för personuppgifter är det viktigt att reglera åtminstone syftet med registreringen av uppgifterna, uppgifternas innehåll, det tillåtna användningsändamålet inklusive rätten att överlåta registrerade uppgifter, den tid uppgifterna finns kvar i registret och den registrerades rättsskydd. Dessutom ska regleringen av dessa faktorer på lagnivå vara heltäckande och detaljerad (se till exempel GrUU 31/2017 rd, s. 2, GrUU 25/2010 rd, s. 2, GrUU 27/2006 rd, s. 2 och GrUU 14/2002 rd, s. 2). Kravet på bestämmelser i lag utsträcker sig också till möjligheten att överlåta personuppgifter via en teknisk anslutning (GrUU 12/2002 rd, s. 5). Grundlagsbestämmelsen om privatlivet och skyddet för personuppgifter bygger på antagandet att juridiska personer inte hör till bestämmelsens räckvidd (GrUU 4/2014 rd, s. 2).  

Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet, som tryggats i artikel 7 i EU:s stadga om de grundläggande rättigheterna och skyddet för personuppgifter i artikel 8 i samma stadga samt av skyddet för privatliv enligt artikel 8 i konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europeiska människorättskonventionen FördrS 18 och 19/1990). Enligt artikel 8.1 i Europeiska människorättskonventionen har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Enligt artikel 2 är rätten dock inte obegränsad, eftersom myndigheterna får ingripa i användningen av den då lagen tillåter det och det i ett demokratiskt samhälle är nödvändigt av hänsyn till statens säkerhet eller den allmänna säkerheten, för att upprätthålla den allmänna ordningen, för att förhindra brott, för att skydda hälsa eller moral eller för att skydda annans fri- och rättigheter. I Europeiska människorättsdomstolens (EMD) rättspraxis har skyddet för personuppgifter ansetts vara en väsentlig del av skyddet för privat- och familjeliv i artikel 8. EMD har i sina avgöranden betonat bland annat att lagstiftningen ska innehålla behöriga garantier som tryggar att personuppgifter inte behandlas i strid med artikel 8. De uppgifter som behandlas ska vara behövliga och i fråga om innehåll och förvaringstid vara begränsade i förhållande till användningsändamålet för registreringen. Likväl ska regleringen innehålla tillräckliga garantier för att hindra lagstridig användning av personuppgifter. Enligt grundlagsutskottet förutsätter det nödvändighetskrav som hänför sig till inskränkningar av de rättigheter som skyddas i artikel 8 i Europakonventionen å sin sida att inskränkningen motiveras av ett vägande samhälleligt behov, att ingripandet och det godtagbara mål som eftersträvas står i rätt proportion till varandra och att det finns relevanta och tillräckliga skäl för inskränkningen (GrUU 35/2018 rd).  

Enligt artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna har var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna har var och en rätt till skydd för egna personuppgifter. Personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 52.1 i stadgan om de grundläggande rättigheterna ska varje begränsning i utövandet av rättigheterna och friheterna som erkänns i stadgan om de grundläggande rättigheterna vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter. Grundlagsutskottet har ansett att det är betydelsefullt att artikel 7 i EU:s stadga om de grundläggande rättigheterna tryggar skyddet för privatlivet och att artikel 8 tryggar vars och ens rätt till skydd för egna personuppgifter. Grundlagsutskottet har framhållit att man vid tillämpningen av EU-lagstiftningen om behandling av personuppgifter måste ta hänsyn till de här artiklarna i stadgan och att EU-domstolens domar på dessa punkter är utslagsgivande för det viktigaste innehållet i respekten för privatlivet och skyddet för personuppgifter (GrUU 14/2018 rd, GrUU 21/2017 rd).  

Enligt förslaget bildas i övervakningssystemet för bank- och betalkonton en ny funktion, det elektroniska systemet för transaktions- och saldouppgifter, med vilket myndigheterna kan begära och få kontotransaktions- och saldouppgifter och uppgifter om värdepapper från kredit- och betalningsinstituten och övriga uppgiftslämnare enligt föreslagna 1 a §. Den föreslagna regleringen handlar om förmedling och utlämnande av uppgifter via ett tekniskt gränssnitt till de behöriga myndigheterna. I propositionen föreslås det inte att kontotransaktions- och saldouppgifter lagras i en ny databas, utan syftet är endast att förmedla och lämna noggrant specificerade och avgränsade uppgifter från uppgiftslämnarnas databaser till den behöriga myndigheten via övervakningssystemet för bank- och betalkonton. Myndigheternas rätt att få uppgifter ur systemet för transaktions- och saldouppgifter baserar sig bland annat på rätten att få information i lagstiftningen. Kravet på bestämmelser i lag utsträcker sig också till möjligheten att överlåta personuppgifter via en teknisk anslutning (GrUU 12/2002 rd, s. 5). Grundlagsutskottet har ansett att det är nödvändigt att på förhand kräva att den som begär uppgifter ska lägga fram en utredning om att uppgifterna kommer att skyddas på behörigt sätt innan en teknisk anslutning öppnas. Grundlagsutskottet har ansett att det är nödvändigt att ställa detta krav bland annat för att den registeransvarige kan handla i enlighet med sina skyldigheter enligt 32 § i personuppgiftslagen. Grundlagsutskottet har emellertid konstaterat att en påfallande del av de frågor som anknyter till erhållande och utlämnande av uppgifter, inklusive i sista hand tolkningen av de bakomliggande bestämmelserna, i betydande grad kan bli beroende av praxis mellan parterna. Det är till exempel fråga om på vilket sätt omständigheter som enligt lagen faller utanför rätten att erhålla uppgifter de facto hemlighålls vid den tekniska anslutningen samt hur det i lagen eventuellt föreskrivna nödvändighetskriteriet eller andra kriterier i enskilda fall konstateras. Ansvarsfrågorna kan också vara problematiska (GrUU 14/2002 rd). 

Eftersom det föreslagna elektroniska utlämnandet av uppgifter sker från en privat aktör till en myndighet blir 22 eller 24 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019) 22 eller 24 § inte tillämplig. Dessutom handlar det i enlighet med förslaget om behandling av känsliga uppgifter, varför bestämmelser om sättet att lämna ut uppgifter ska utfärdas separat samtidigt som man noggrant avgränsar vilka uppgifter det är möjligt att få med hjälp av det och för vilka ändamål. Justitiekanslersämbetet har i sitt utlåtande om RP 163/2021 rd (OKV/412/21/2021) konstaterat att ”användningen av sammanställningsprogrammet redan i sig innebär ett djupare ingripande i skyddade rättigheter och antagligen även det att man i allt snabbare takt ingriper i ett ökande antal personers privatliv och skydd av personuppgifter.” Fogandet av en möjlighet att göra en förfrågan om kontotransaktions- och saldouppgifter till övervakningssystemet för bank- och betalkonton ökar antalet personuppgifter som behandlas i systemet. Även om det handlar om förmedling och utlämnande av uppgifter och inte om förvaring av uppgifter, innebär behandling av personuppgifter i anknytning till systemet omfattande behandling av personuppgifter, vilket kan ha avsevärda konsekvenser för fysiska personer, med beaktande av att uppgifter behandlas för att sköta myndighetsuppgifter som anknyter till personen. Även om den rätt att få information som ligger till grund för användningen av systemet inte ändras, utvidgar den nya formen av behandling av uppgifter i uppgiftssystemet behandlingen av uppgifter juridiskt sett. Den föreslagna propositionen har följaktligen avsevärda faktiska och rättsliga konsekvenser som begränsar de grundläggande fri- och rättigheterna för skyddet för personuppgifter och privatlivet.  

Grundlagsutskottet har fäst särskild vikt vid att inskränkningar i skyddet för privatlivet måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna vid varje regleringssamband (se GrUU 42/2016 rd, s. 2–3, GrUU 14/2018 rd, s. 5 och de utlåtanden till vilka det hänvisats i det). Begränsningarna ska bedömas i synnerhet med tanke på godtagbarheten och proportionaliteten för begränsningarna (GrUU 29/2016 rd, s. 4–5 och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd samt GrUU 14/2009 rd). De kontotransaktionsuppgifter som begärs ur systemet och gäller målet för undersökningen kan innehålla även uppgifter om personer som är utomstående i förhållande till undersökningen. När en person överför pengar till eller tar emot pengar av en annan person är det ofrånkomligt att kontotransaktionsuppgifterna redogör även för personuppgifter som gäller den andra personen, såsom personens kontonummer och namn. Med andra ord handlar det om personuppgifter som omfattas av skyddet för privatlivet enligt 10 § i grundlagen. Följaktligen handlar förslaget även om en begränsning av de grundläggande fri- och rättigheterna för utomstående personer som inte är föremål för begäran om information, eftersom de utomstående personerna inte har information om att deras personuppgifter behandlas. Behandling av kontotransaktioner som gäller en person som är föremål för en begäran om information är inte möjlig utan att myndigheten måste behandla även eventuella utomstående personers uppgifter. Det är inte möjligt att avgränsa kontotransaktioner som gäller enskilda utomstående personer från uppgiftsinnehållet, eftersom de utgör en del av kontotransaktionerna för föremålet för begäran om information och det i förväg är omöjligt att bedöma om de kontotransaktioner som gäller dessa utomstående personer innehåller sådana uppgifter som är betydelsefulla till exempel i polisens brottsundersökning, då medlens ursprung eller överföringen av medel utreds.  

Även om det är ofrånkomligt att uppgifter om utomstående personer blir föremål för myndighetsbehandling i det föreslagna systemet, vilket är fallet även i den nuvarande myndighetsbehandlingen av kontotransaktionsuppgifter, bör det observeras att de enskilda uppgifter om andra personer vilka fås i samband med behandlingen av kontotransaktionsuppgifter för det egentliga föremålet begäran om information inte ännu möjliggör att en omfattande bild fås av dessa personer som inte omfattas av undersökningen. Enskilda gireringarna ger i princip inte väsentlig information om en utomstående persons privatliv, för att inte tala om särskilda personuppgifter. EU-domstolen har till exempel i domen C-61/22, RL mot Landeshauptstadt Wiesbaden konstaterat att de uppgifter som framgår av en enskild persons fingeravtryck enligt EU-domstolen inte ensamma ger en möjlighet att få en bild av de berörda personernas privat- och familjeliv, i motsats till de passagerarregisteruppgifter som behandlats i domen C-817/19. Följaktligen kan behandling av uppgifter som gäller en utomstående person inte ses som en begränsning av de grundläggande fri- och rättigheterna av samma nivå som för den mer omfattande behandlingen av personuppgifter som gäller det egentliga föremålet för begäran om information, varför begränsningen av de grundläggande fri- och rättigheterna i fråga om utomstående personer kan anses vara motiverad, med beaktande av uppnåendet av det lagstadgade syftet för myndighetsuppgiften och nödvändigheten att behandla uppgifterna samt de krav som ställts för att göra en begäran om information.  

Grundlagsutskottet har betonat att skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen såsom allmän säkerhet, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna. I sin praxis har grundlagsutskottet särskilt lyft fram hur handlingars offentlighet enligt 12 § 2 mom. i grundlagen förhåller sig till skyddet för privatlivet och personuppgifter (se till exempel GrUU 43/1998 rd och GrUU 60/2017 rd). Sådant främjande av en annan grundläggande fri- eller rättighet har utgjort en sådan nödvändig orsak genom vilken det har varit möjligt att med stöd av 12 § 2 mom. i grundlagen separat begränsa offentligheten för handlingar som en myndighet innehar (GrUU 2/2008 rd och GrUU 40/2005 rd). Grundlagsutskottet har påpekat att skyddet för privatlivet och personuppgifter inte har företräde i förhållande till övriga grundläggande fri- och rättigheter. Vid bedömningen måste två bestämmelser om de grundläggande fri- och rättigheterna samordnas och avvägas (GrUU 54/2014 rd och GrUU 10/2014 rd).  

När en myndighet utför olika tillsyns- eller undersökningsuppgifter, kan även utomstående bli delaktiga i myndighetsverksamheten. En sådan situation uppstår konkret till exempel då polisen utför undersökning av lokaler eller platser eller teleavlyssning. Detta framgår även av praxis för behandling av utomstående personers uppgifter i den övriga lagstiftningen. Till exempel i motiveringarna till 5 a kap. 47 § i polislagen, 5 kap. 58 § i polislagen, vilken gäller underrättelse om hemliga metoder för informationsinhämtning, och 5 kap, 10 § i tvångsmedelslagen, har det betonats att även om utomstående personer blivit föremål för en åtgärd, utsträcks inte den lagstadgade anmälningsskyldigheten till dem. När kontotransaktionsuppgifterna om personer som är utomstående i undersökningen i huvudsak avslöjar punktmässiga uppgifter, är det konsekvent att behandlingen av utomståendes personuppgifter i systemet för transaktions- och saldouppgifter på samma sätt som i den nämnda lagstiftningen inte ses som en oproportionell begränsning av de grundläggande fri- och rättigheterna. Med beaktande av kravet på att utfärda bestämmelser genom lag och kravet på exakt reglering kan behandlingen av utomstående personers uppgifter med hänsyn till grundlagsutskottets utlåtandepraxis anses vara en nödvändig, godtagbar och proportionell begränsning av de grundläggande fri- och rättigheterna, sett till målen för myndigheternas uppgifter. 

Enligt grundlagsutskottet ska tyngdpunkten i en konstitutionell bedömning av skyddet för personuppgifter ligga på en innehållslig analys av bestämmelserna om skyddet och behandlingen av personuppgifter. Det relevanta i en analys av användningen av det nationella handlingsutrymmet är dels de innehållsliga krav som ställs av skyddet för privatlivet och personuppgifter, dels relationen mellan skyddet för övriga informationsrelaterade grundläggande fri- och rättigheter och skyddet för privatlivet och personuppgifter (GrUU14/2018 rd, s. 7). Grundlagsutskottet har påpekat att en sådan bedömning är möjlig endast om regeringspropositionen tillräckligt ingående specificerar skälen till att behandling av personuppgifter anses nödvändigt i lagförslaget. Det räcker inte med att i form av en slutledning konstatera att de föreslagna bestämmelserna på lagnivå är exakta och klart avgränsade samt godtagbara med hänsyn till de grundläggande fri- och rättigheterna som helhet och att de föreslagna ändringarna står i proportion till ändamålet samt att målsättningen inte kan nås genom mindre ingrepp i rättigheterna, om det i motiven till lagstiftningsordning inte på något vis preciseras på vilka grunder de nya befogenheterna att behandla personuppgifter kan anses vara proportionerliga och bygga på skäl som är godtagbara ur konstitutionell synvinkel (GrUU 38/2016 rd, s. 5) Utskottet har framhållit att en sådan brist i motiven till ett lagförslag i extremfall kan leda till att lagförslaget bedöms strida mot grundlagen till den del det inte motiverats på ett riktigt sätt (se till exempel GrUU 38/2016 rd, s. 3, GrUU 9/2016 rd, s. 6 och GrUU 19/1998 rd, s. 3–4). 

I propositionen föreslås reglering kring behandling av personuppgifter, som utfärdas inom ramen för det nationella handlingsutrymmet i allmänna dataskyddsförordningen, med beaktande av EU:s grundfördrag och EU-domstolens rättspraxis. De föreslagna bestämmelserna bedöms i följande avsnitt närmare i förhållande till EU:s allmänna dataskyddsförordning och kravet på bestämmelser som utfärdas genom lag (avsnitt 12.1.1), det nationella handlingsutrymmet i allmänna dataskyddsförordningen och i synnerhet principen om ändamålsbegränsning i den (avsnitt 12.1.2), förutsättningarna för att behandla uppgifter som hör till särskilda kategorier av persongrupper (avsnitt 12.1.3) samt den registrerades rättsskydd (avsnitt 12.1.4). Propositionens konsekvenser för skyddet för privatlivet och personuppgifter behandlas även ovan i avsnitt 4.3.1. 

12.2  Bedömning av lagstiftningsordningen

Som sammanfattning konstateras att förmedling av förfrågningar om kontotransaktions- och saldouppgifter och mottagande av uppgifter om dessa via övervakningssystemet för bank- och betalkontot i fråga om de föreslagna myndigheterna baserar sig på de befogenheter att få kontotransaktions- och saldouppgifter enligt den gällande lagstiftningen. I och med att förfrågningar om kontotransaktions- och saldouppgifter fogas till övervakningssystemet för bank- och betalkonton ska bestämmelser om ett separat sätt att förmedla information dock utfärdas, det vill säga om det centraliserade elektroniska systemet för transaktions- och saldouppgifter, som i fråga om dataskyddsregleringen och de förutsättningar som följer av grundlagen avviker från den automatiserade mekanismen enligt femte penningtvättsdirektivet i det nuvarande övervakningssystemet för bank- och betalkonton.  

Grundlagsutskottet har påpekat att inskränkningar av skyddet för privatlivet ska ha ett acceptabelt samhälleligt intresse och stå i rätt proportion till det eftersträvade målet. Det betyder att inskränkningarna måste vara nödvändiga för att ett godtagbart syfte ska nås. Inskränkningar i de grundläggande fri- och rättigheterna är tillåtna bara om målet inte kan nås genom mindre ingrepp i rättigheterna. En inskränkning får inte heller vara mer genomgripande än vad som är motiverat med hänsyn till hur tungt vägande det bakomliggande intresset är i relation till det rättsobjekt som ska inskränkas (GrUB 25/1994 rd, se även till exempel GrUU 56/2014 rd och GrUU 18/2013 rd).  

Vid beredningen av propositionen bedömdes det att den föreslagna regleringen kring behandlingen och sekretessbeläggningen av personuppgifter inte innebär längre gående begränsning av de grundläggande fri- och rättigheterna än vad som är nödvändigt, med beaktande av vikten av de mål som utgör bakgrunden till förslagen i förhållande till den grundläggande fri- och rättighet som skyddas. Det är inte möjligt att uppnå de fördelar som eftersträvas utan begränsningar som hänför sig till skyddet för fysiska personers privatliv på grund av det nya centraliserade systemet. Skyddet för privatlivet begränsas inte mer än vad som är behövligt med tanke på användningsändamålet för systemet för transaktions- och saldouppgifter. Med beaktande av karaktären på behandlingen av kontotransaktions- och saldouppgifter och dess konsekvenser samt riskerna förknippade med sådan behandling, sådan behandling, kan den föreslagna detaljerade och noggrant avgränsade reglering som beskrivits i avsnitten 12.1–12.1.4 dock anses vara en nödvändig, godtagbar och proportionell åtgärd för att uppnå målen med propositionen.  

Med beaktande av det som konstaterats ovan bedöms den reglering som föreslagits i propositionen uppfyllda de krav som följer av 10 § i grundlagen och den kan behandlas i vanlig lagstiftningsordning. Den föreslagna regleringen är dessutom enhetlig med allmänna dataskyddsförordningen, artikel 7 och 8 i EU:s stadga om de grundläggande rättigheterna, artikel 8 i Europeiska människorättskonventionen samt tillämpningspraxis för dessa.  

Eftersom propositionen omfattar behandling av känsliga personuppgifter som hör till skyddet för personuppgifter enligt 10 § i grundlagen samt avsevärda faktiska och rättsliga konsekvenser som begränsar de grundläggande fri- och rättigheterna i fråga om skyddet för personuppgifter, anser regeringen dock att det är önskvärt att grundlagsutskottet avger ett utlåtande i frågan. Utlåtandet anses vara behövligt även därför att regeringens proposition, på det sätt som det motiverats i den, föreslår reglering som avviker från grundlagsutskottets etablerade praxis om ändamålsbegränsningen för behandling av personuppgifter och om att användning av uppgifterna i personregistret utan koppling till det ursprungliga användningsändamålet inte får ändras till huvudsaklig eller avsevärd verksamhet jämfört med den ursprungliga användningen av uppgifterna om den registrerade. Dessutom är utskottets utlåtande behövligt därför att den föreslagna regleringen handlar om utvidgande av uppgiftsinnehållet i övervakningssystemet för bank- och betalkonton utifrån det nationella handlingsutrymmet och den nationella prövningen jämfört med vad unionsrätten förutsätter.