16.1.2017 1/2017

Henkilötietojen käsittely - Oikeutettu etu

Hakija pyysi tietosuojalautakunnalta henkilötietolain 43 §:ssä tarkoitettua lupaa kerätä, käsitellä ja luovuttaa rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun asetuksen (616/2008) 1 §:ssä tarkoitettuja tietoja poliittisesti vaikutusvaltaisista henkilöistä tai henkilön perheenjäsenestä tai henkilöstä, jonka tiedetään olevan tällaisen henkilön läheinen yhtiökumppani Suomessa. Tietosuojalautakunta hylkäsi hakijan hakemuksen katsoen, että edellytyksiä luvan myöntämiselle ei ollut ja että tietojen käsittely hakemuksessa kuvatulla tavalla voisi vaarantaa henkilön yksityisyyden suojaa ja oikeuksia.

Äänestys (3-3)

Hakija on valittanut päätöksestä Helsingin hallinto-oikeuteen.

                                                                

HAKIJA   Suomen Asiakastieto Oy (jäljempänä myös hakija)
 

HAKEMUS

                   Hakija pyytää, että sille myönnettäisiin henkilötietolain 43 §:ssä tarkoitettu lupa kerätä, käsitellä ja luovuttaa rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun asetuksen (616/2008) 1 §:ssä tarkoitettuja tietoja poliittisesti vaikutusvaltaisista henkilöistä tai henkilön perheenjäsenestä tai henkilöstä, jonka tiedetään olevan tällaisen henkilön läheinen yhtiökumppani Suomessa.

TIETOSUOJALAUTAKUNNAN PÄÄTÖS

Tietosuojalautakunta hylkää hakemuksen jäljempänä esitetyin perustein.

Asiassa on toimitettu äänestys (3-3). Äänten mennessä tasan päätökseksi on tullut se mielipide, jota kokouksen puheenjohtaja on kannattanut.

HAKEMUKSEN TAUSTA JA PERUSTELUT

Käsittelyn tarkoitus ja perustelut

Laki rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä (503/2008) edellyttää lain tarkoittamia ilmoitusvelvollisia huolehtimaan asiakkaan tuntemiseen liittyvistä toimista. Lain 20 §:n mukaan ilmoitusvelvollisella tulee olla asianmukaiset riskiperusteiseen arviointiin pohjautuvat menettelyt sen toteamiseksi, onko asiakas tai onko hän ollut toisessa valtiossa merkittävässä julkisessa tehtävässä (poliittisesti vaikutusvaltainen henkilö) tai henkilön perheenjäsenestä tai henkilöstä, jonka tiedetään olevan tällaisen henkilön läheinen yhtiökumppani. Tämän velvollisuuden täyttämiseksi ilmoitusvelvolliset muun muassa kysyvät asiakkailtaan ja asiakkaiksi pyrkiviltä kysymyksiä, joilla asiaa pyritään selvittämään.

Käytössä ei ole luotettavaa tapaa tai kattavaa rekisteriä, jonka avulla ulkomaiset ilmoitusvelvolliset pystyisivät tarkistamaan tai vahvistamaan, onko asioiva suomalainen tai Suomessa asuva henkilö säädöksissä tarkoitettu poliittisesti vaikutusvaltainen henkilö, tällaisen henkilön perheenjäsen tai henkilö, jonka tiedetään olevan tällaisen henkilön läheinen yhtiökumppani. Asiakkaan tuntemiseen liittyvät velvollisuudet perustuvat EU:n direktiiveihin ja ovat saman sisältöisinä voimassa myös muissa jäsenvaltioissa.

Valmisteilla oleva niin sanottu neljäs rahanpesudirektiivi tulee myös Suomessa ulottamaan tämän poliittisesti vaikutusvaltaisten tuntemisvelvollisuuden myös kotimaisiin henkilöihin. Suomalaisille ilmoitusvelvollisille tulee vastaava velvollisuus tunnistaa poliittisesti vaikutusvaltainen henkilö silloin, kun kyse on merkittävästä julkisesta tehtävästä kotimaassa tai jos henkilö on tällaisen henkilön perheenjäsen tai hänen tiedetään olevan tällaisen henkilön läheinen yhtiökumppani.

Henkilötietojen käsittely

Rekisteriin on tarkoitus tallettaa tieto henkilön nimestä, henkilötunnuksesta (tai mikäli henkilötunnusta ei ole saatavilla, henkilön syntymäajasta) sekä rekisteriin merkitsemisen perusteesta. Tiedot hankittaisiin julkisista rekistereistä, muista luotettavista lähteistä tai henkilöiltä itseltään. Tietoja päivitettäisiin jatkuvasti. Tieto poistettaisiin rekisteristä, kun rekisteröinnin perusteena olevan aseman päättymisestä on kulunut yksi vuosi.

Tietoja luovutettaisiin vain sellaisille tahoille, joilla on velvollisuus noudattaa rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annettuja velvoitteita. Tällä hetkellä tämä velvollisuus koskee lähinnä ulkomaisia toimijoita. Kun valmisteilla oleva niin sanottu neljäs rahanpesudirektiivi on implementoitu Suomen lainsäädäntöön, tietoja rekisteristä luovutettaisiin myös kotimaisille ilmoitusvelvollisille, sillä niihin tulee kohdistumaan velvollisuus selvittää myös kotimaisten henkilöiden taustat. Tietojen käyttö mahdollistettaisiin vain yrityksille, jotka ovat osoittaneet olevansa rahanpesua ja terrorismin rahoittamisen estämistä ja selvittämistä koskevan sääntelyn alaisia.

Tietojen käyttäjät voisivat käyttää tietoja niin, että tietojen loppukäyttäjä on tunnistettavissa käyttäjäkohtaisesti. Tietojen käyttäjistä pidettäisiin käyttäjäkohtaista käyttäjähallintarekisteriä. Tietojen luovutuksesta pidettäisiin lokitiedostoa, jonka avulla voidaan varmistaa tietojen käytön lainmukaisuus. Tietojen käyttäjien kanssa tehtäisiin sopimus, jolla myös varmistettaisiin tietojen käytön lainmukaisuus. Tietoja ei käsiteltäisi muussa tarkoituksessa kuin lupahakemuksessa mainitussa tarkoituksessa.

KUULEMINEN

Tietosuojavaltuutetun lausunto 15.7.2016

Tietosuojalautakunta on pyytänyt lupahakemuksesta lausuntoa tietosuojavaltuutetulta. Tietosuojavaltuutettu viittaa lausunnossaan rahanpesun ja terrorismin rahoittamisesta ja selvittämisestä annettuun lakiin, jonka 20 §:n mukaan ilmoitusvelvollisella tulee olla asianmukaiset riskiperusteiseen arviointiin pohjautuvat menettelyt sen toteamiseksi, onko asiakas tai onko hän ollut toisessa valtiossa merkittävässä julkisessa tehtävässä. Lain 17 §:n mukaan ilmoitusvelvollisen tulee noudattaa asiakkaan tuntemista koskevia toimia tehostetusti, jos asiakkaaseen, palveluun, tuotteeseen tai liiketoimeen liittyy tavanomaista suurempi rahanpesun tai terrorismin rahoittamisen riski taikka jos asiakkaalla tai liiketoimella on liittymäkohta valtioon, jonka rahanpesun ja terrorismin rahoittamisen estämis- ja selvittelyjärjestelmä ei täytä kansainvälisiä velvoitteita (niin sanottu riskiperusteinen arvio).

Suomessa direktiivin implementoinnissa on esitöiden (HE 25/2008) mukaan otettu huomioon direktiivin johdantokappale 25, jossa todetaan, että tällaista selonottovelvollisuutta tulee arvioida erityisesti sen perusteella, kuinka laajalle levinnyttä lahjonta on asiakkaan lähtömaassa. Tietosuojavaltuutetun näkemyksen mukaan Suomea ei tunneta kansainvälisesti laajalle levinneestä lahjonnasta, joten direktiivin riskiperusteinen arviointi johtaa siihen, ettei ainakaan EU:n jäsenmaiden ilmoitusvelvollisten käytettävissä tarvitse olla kattavaa tietoa Suomessa merkittävissä julkisissa tehtävistä olevista tai olleista henkilöistä ja heidän lähipiiristään. Hakemuksessa ei kuitenkaan ole yksityiskohtaisemmin tuotu esille muiden EU-maiden säännöksiä tehostetusta asiakkaan tuntemisvelvollisuudesta. Tietosuojavaltuutettu toteaa kantanaan, ettei lautakunnan tulisi myöntää haettua lupaa.

Neljännen rahanpesudirektiivin osalta tietosuojavaltuutettu toteaa, että kansallisia säännöksiä ollaan tältä osin vasta valmistelemassa. Rahanpesulainsäädännön uudistamistyöryhmän muistion mukaan lakiehdotuksessa tehostettu tunnistamisvelvollisuus tulisi koskemaan myös kotimaan poliittisesti vaikutusvaltaisia henkilöitä, mutta mitään keskitettyä tietokantaa ei ole näiltä osin esitetty perustettavaksi kansallista tai ulkomailla käyttöä varten. Tietosuojavaltuutettu on muistiota koskevassa lausunnossaan kuitenkin esittänyt tällaisen tietokannan perustamista. Tietosuojavaltuutettu ehdottaa tietokannan ylläpitäjäksi Väestörekisterikeskusta. Tältä osin tietosuojavaltuutettu pitää hakemusta ennenaikaisena, minkä vuoksi hakemusta ei sen mukaan tulisi myöntää ainakaan ennen uuden rahanpesulainsäädännön hyväksymistä.

Hakijan selitys tietosuojavaltuutetun lausunnosta 22.8.2016

Hakija viittaa selityksessään tietosuojavaltuutetun toteamukseen, jonka mukaan asiassa koskevassa sääntelyssä ei edellytetä nimenomaisten tietokantojen perustamista sääntelyn tavoitteiden toteuttamiseksi. Hakija toteaa, että tällaiset tietokannat on kuitenkin havaittu käyttökelpoisiksi ja sellaisia on käytössä. Käytännöt, jotka perustuvat vain asiakkaille esitettyihin kysymyksiin ovat kankeita ja epäkäytännöllisiä, eivätkä sovi nykyisiin sähköisiin toimintatapoihin. Se, että tietosuojavaltuutettu on omassa lausunnossaan rahanpesulainsäädännön uudistamistyöryhmän muistiosta esittänyt vastaavan rekisterin perustamista, kertoo osaltaan, että tarve tällaiseen rekisterin olemassaoloon on valvovan viranomaisenkin toimesta huomattu.

Hakijan lisäselvitys tietosuojalautakunnalle 14.11.2016 ja 5.1.2017

Hakija on lisäselvityksessään täsmentänyt muun muassa henkilötietojen keräämistapoihin liittyviä käytänteitä ja rekisteröityjen ryhmien kuvausta.

Hakija kertoo aikovansa käsitellä tietoja sellaisista aviopuolisoon rinnastettavissa olevista kumppaneista, jotka ovat rekisteröidyssä parisuhteessa poliittisesti vaikutusvaltaisen henkilön kanssa. Lisäksi käsiteltäisiin tietoja sellaisista poliittisesti vaikutusvaltaisten henkilöiden avopuolisoista, jotka täyttävät verotuksessa noudatettavan määritelmän ”avioliitonomaisissa olosuhteissa verovuonna yhteisessä taloudessa avioliittoa solmimatta jatkuvasti eläneet henkilöt, jotka ovat aikaisemmin olleet keskenään avioliitossa tai joilla on tai on ollut yhteinen lapsi” (tuloverolain 1535/1992 7 §:n 3 momentti). Lisäksi käsiteltäisiin tietoja sellaisista poliittisesti vaikutusvaltaisten henkilöiden avopuolisoista, jotka täyttävät avopuolisoiden yhteistalouden purkamisesta annetun lain (26/2011) 3 §:n mukaisen määritelmän.

Tieto edellä kuvatusta kumppanista saataisiin poliittisesti vaikutusvaltaisen henkilön ilmoituksen tai muuten itse julkituoman tiedon mukaan. Tietoja voitaisiin hankkia henkilöltä itseltään kontaktoimalla tätä suoraan esimerkiksi puhelimitse tai sähköpostitse.  Tietoja tarkistettaisiin tarvittaessa väestörekisteristä.

Hakijan tarkoituksena on käsitellä tietoja sellaisista poliittisesti vaikutusvaltaisten henkilöiden läheisistä yhtiökumppaneista, jotka ovat rekisteröity kaupparekisteriin tai ovat poliittisesti vaikutusvaltaisen henkilön tai heidän itsensä ilmoittaman tai julkituoman tiedon mukaan läheisessä liikesuhteessa.

Kunkin tiedon lähde ja rekisteröimispäivämäärä tallennetaan.

TIETOSUOJALAUTAKUNNAN PÄÄTÖKSEN PERUSTELUT

Sovellettava lainsäädäntö

Henkilötietolain 5 §:n mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. 

Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

Henkilötietolain 8 §:n 1 momentissa säädetään henkilötietojen käsittelyn yleisistä edellytyksistä. Lainkohdan 1 kohdan mukaan henkilötietoja saa käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella. Lainkohdan 8 kohdan mukaan henkilötietoja saa käsitellä, jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi. Lainkohdan 9 kohdan mukaan henkilötietoja saa käsitellä, jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Henkilötietolain 9 §:n mukaan käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus). Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

Henkilötietolain 13 §:ssä säädetään henkilötunnuksen käsittelystä. Lainkohdan 1 momentin mukaan henkilötunnusta saa käsitellä muun muassa silloin, kun rekisteröidyn yksiselitteinen yksilöiminen on tärkeää rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi.

Henkilötietolain 43 §:n 1 momentin mukaan tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn, jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa taikka yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Pykälän 3 momentin mukaan lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset. Määräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on tarpeen.

Rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun lain 20 §:n 1 momentin mukaan ilmoitusvelvollisella tulee olla asianmukaiset riskiperusteiseen arviointiin pohjautuvat menettelyt sen toteamiseksi, onko asiakas tai onko hän ollut toisessa valtiossa merkittävässä julkisessa tehtävässä (poliittisesti vaikutusvaltainen henkilö). Lainkohdan 2 momentin mukaan jos asiakas on tai on ollut poliittisesti vaikutusvaltainen henkilö tai hän on tällaisen henkilön perheenjäsen tai henkilö, jonka tiedetään olevan tällaisen henkilön läheinen yhtiökumppani:

1) ilmoitusvelvollisen ylemmän johdon on hyväksyttävä asiakassuhteen aloittaminen tällaisen henkilön kanssa;

2) ilmoitusvelvollisen on hankittava selvitys sellaisen varallisuuden ja varojen alkuperästä, jotka liittyvät kyseiseen asiakassuhteeseen tai liiketoimeen; ja

3) ilmoitusvelvollisen on järjestettävä jatkuva ja tehostettu asiakassuhteen seuranta.

Lainkohdan 3 momentin mukaan henkilöä ei enää pidetä poliittisesti vaikutusvaltaisena henkilönä, kun hän ei ole toiminut merkittävässä julkisessa tehtävässä vähintään vuoteen.

Rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun valtioneuvoston asetuksen 1 §:n 1 momentin mukaan henkilöä on pidettävä rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun lain (503/2008) 20 §:ssä tarkoitettuna poliittisesti vaikutusvaltaisena henkilönä, jos hän toimii:

1) valtionpäämiehenä, hallituksen päämiehenä, ministerinä, vara- tai apulaisministerinä;

2) parlamentin jäsenenä;

3) korkeimman oikeuden, perustuslakituomioistuimen tai muun vastaavan oikeuselimen jäsenenä, jonka päätöksiin ei voida poikkeustapauksia lukuun ottamatta hakea muutosta;

4) tilintarkastustuomioistuimen ja valtiontalouden tarkastusvirastoa vastaavan valtion varainhoitoa tarkastavan ylimmän päättävän elimen jäsenenä;

5) keskuspankin johtokunnan jäsenenä;

6) suurlähettiläänä tai asiainhoitajana;

7) puolustusvoimissa vähintään kenraalikuntaan kuuluvana upseerina; tai

8) valtion kokonaan omistaman yrityksen hallinto-, johto- ja valvontaelimen jäsenenä.

Lainkohdan 2 momentin mukaan poliittisesti vaikutusvaltaisen henkilön perheenjäseniä ovat:

1) aviopuoliso tai kumppani, joka asianomaisen maan kansallisessa lainsäädännössä rinnastetaan aviopuolisoon;

2) lapset ja heidän aviopuolisonsa tai edellä tarkoitettu kumppaninsa; ja

3) vanhemmat.

Lainkohdan 3 momentin mukaan poliittisesti vaikutusvaltaisen henkilön yhtiökumppaneita ovat:

1) kaikki luonnolliset henkilöt, joiden tiedetään olevan yhteisöjen tai elinkeinonharjoittajien tai oikeudellisten järjestelyjen todellisia yhteisomistajia ja edunsaajia tai joilla tiedetään olevan mikä tahansa muu läheinen liikesuhde poliittisesti vaikutusvaltaisen henkilön kanssa; ja

2) kaikki luonnolliset henkilöt, jotka ovat sellaisten yhteisöjen tai elinkeinonharjoittajien tai oikeudellisten järjestelyjen todellisia yksinomistajia ja edunsaajia, joista tiedetään, että ne on tosiasiassa perustettu poliittisesti vaikutusvaltaisen henkilön eduksi.

Luvan tarve

Henkilötietoja saa käsitellä suoraan henkilötietolain 8 §:n 1 momentin 1 kohdan perusteella, kun käsittely tapahtuu rekisteröidyn yksiselitteisellä suostumuksella. Siltä osin kun hakija käsittelee tietoja lainkohdassa tarkoitetun suostumuksen perusteella, ei tietosuojalautakunnan lupa ole tarpeen.

Henkilötietolain 8 §:n 1 momentin 8 kohdan mukaan henkilötietoja saa käsitellä, jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi.

Osa hakemuksessa tarkoitetuista tiedoista on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavia yleisesti saatavilla olevia tietoja. Näitä tietoja saatetaan myös käsitellä ainakin osittain tiedot saavan sivullisen ja rekisterinpitäjän oikeuksien ja etujen turvaamiseksi. Tältä osin tietosuojalautakunnan lupa ei ole tarpeen.

Hakemuksessa kuvattu käsittely ei kuitenkaan kaikilta osin ole sallittua suoraan henkilötietolain 8 §:n 1 momentin 1–8 kohtien nojalla. Näin on esimerkiksi siltä osin, kun kysymys on poliittisesti vaikutusvaltaisen henkilön perheenjäsentä koskevien henkilötietojen käsittelystä tai siltä osin kun kyse on henkilön asemaa julkisyhteisössä olevista tiedoista, jotka eivät ole yleisesti saatavilla. Näin ollen hakija tarvitsee henkilötietolain 43 §:n 1 momentin mukaisen luvan tietojen käsittelylle.

Henkilötunnuksen käsittelystä on säädetty tyhjentävästi henkilötietolain 13 §:ssä.

Luvan myöntämisen edellytykset

Hakemuksen kohteena olevaan henkilötietojen käsittelyyn ei lähtökohtaisesti voi tulla kyseeseen muu henkilötietolain 43 §:n 1 momentissa tarkoitettu peruste kuin rekisterinpitäjän tai tiedot saavan sivullisen oikeutettu etu. Mikäli tällainen oikeutettu etu on käsillä, on edellytyksenä luvan myöntämiselle se, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia.

Sekä hakijalla itsellään että tiedot saavilla sivullisilla voi olla henkilötietolaissa tarkoitettu oikeutettu etu. Hakijan itsensä osalta oikeutettu etu voi hakemuksessa kuvatun käsittelyn osalta perustua lähinnä palvelun tarjoamiseen asiakkaille liiketoiminnallisessa mielessä. Hakijan omaa oikeutettua etua on kuitenkin pidettävä siinä määrin vähäisenä, että se ei yksinään ole riittävä oikeuttamaan henkilötietojen käsittelyä hakemuksen tarkoittamalla tavalla.

Tiedot saavilla sivullisilla voitaisiin myös katsoa olevan henkilötietolain 43 §:n 1 momentissa tarkoitettu oikeutettu etu, sillä niillä on lakisääteinen velvollisuus selvittää, onko henkilö rahanpesulainsäädännön tarkoittama poliittisesti vaikutusvaltainen henkilö tai tällaisen henkilön perheenjäsen tai läheinen yhtiökumppani. Yhtenäisellä rekisterillä voitaisiin lähtökohtaisesti helpottaa tämän velvollisuuden noudattamista. Ottaen kuitenkin huomioon lainsäädännön tulkinnanvaraisuudesta johtuvat vaikeudet rajata velvollisuuden henkilöllistä ulottuvuutta ei hakemuksen mukaista henkilötietojen käsittelyä voida yksinomaan pitää riittävänä menettelynä sivullisten lakisääteisten velvollisuuksien täyttämiseksi.

Hakija ei ole hakemuksessaan selvittänyt, missä määrin rekisteri puheena olevien sivullisten kannalta tosiasiassa palvelisi heidän velvoitteidensa täyttämistä. Lisäksi sovellettava lainsäädäntö on parhaillaan uudistuksen alaisena, minkä vuoksi hakemuksen tarkoittamaa henkilötietojen käsittelyä on pidettävä ennenaikaisena. Näin ollen on katsottava, että henkilötietolain edellyttämä oikeutetun edun vaatimus ei täyty myöskään sivullisten osalta. 

Hakijan esittämästä lisäselvityksestä huolimatta rekisterin tietosisällön ei myöskään voida katsoa täyttävän henkilötietolain mukaista virheettömyysvaatimusta, kun otetaan huomioon tietolähteet sekä aviopuolisoon rinnastettavissa olevien kumppaneiden määrittelyyn liittyvät vaikeudet. Tietojen käsittely hakemuksessa kuvatulla tavalla voisi täten vaarantaa henkilön yksityisyyden suojaa ja oikeuksia.

Yllä esitetyt perusteet huomioon ottaen tietosuojalautakunta katsoo, että hakemuksessa tarkoitettu henkilötietojen käsittely ei täytä henkilötietolain 43 §:n 1 momentin edellytyksiä, eikä perusteita luvan myöntämiselle näin ollen ole.

SOVELLETUT SÄÄNNÖKSET       

Henkilötietolaki (523/1999) 5 §, 6 §, 8 §, 9 §, 13 ja 43 §

Laki rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä (503/2008) 20 §

Valtioneuvoston asetus rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä (616/2008) 1 §

Päätöksen tekemiseen ovat ottaneet osaa tietosuojalautakunnan puheenjohtaja Pekka Nurmi sekä jäsenet Ahti Saarenpää, Tuula Sario, Pertti Saloranta, Eila Ratasvuori ja Hannu Rautiainen.

Asiassa on toimitettu äänestys sekä esitetty esittelijän eriävä mielipide. Äänten mennessä tasan päätökseksi on tullut se mielipide, jota kokouksen puheenjohtaja (Pekka Nurmi) on kannattanut. Asian esittelijä ja päätöksen kanssa eri mieltä olleet jäsenet (Pertti Saloranta, Eila Ratasvuori ja Hannu Rautiainen), olisivat ratkaisseet asian seuraavasti:

TIETOSUOJALAUTAKUNNAN PÄÄTÖS

Tietosuojalautakunta myöntää hakijalle henkilötietolain 43 §:n 1 momentin mukaisen luvan jäljempänä esitetyin perustein ja seuraavin lupamääräyksin:

Hakijan tulee informoida rekisteröityjä henkilötietojen käsittelystä henkilötietolain 24 §:n mukaisesti.

Hakijan tulee varmistua, että niillä tahoilla, joille tietoja luovutetaan, on velvollisuus käsitellä kyseisiä henkilötietoja rahanpesun ja terrorismin rahoittamisen estämistä ja selvittämistä koskevan lainsäädännön nojalla.

Tiedot tulee poistaa rekisteristä viimeistään silloin, kun rekisteriin merkitsemisen syynä olevan perusteen päättymisestä on kulunut yksi vuosi.

Tietoja saa käyttää yksinomaan hakemuksessa yksilöityä käyttötarkoitusta varten.

Lupa myönnetään määräaikaisena siten, että lupa on voimassa siihen asti, kunnes EU:n yleinen tietosuoja-asetus tulee jäsenvaltioissa sovellettavaksi eli 25.5.2018 saakka.

TIETOSUOJALAUTAKUNNAN PÄÄTÖKSEN PERUSTELUT

Kohdat ”Sovellettava lainsäädäntö” ja ”Luvan tarve” samoin kuin päätöksessä.

Luvan myöntämisen edellytykset

Hakemuksen kohteena olevaan henkilötietojen käsittelyyn ei lähtökohtaisesti voi tulla sovellettavaksi muu henkilötietolain 43 §:n 1 momentissa tarkoitettu peruste, kuin rekisterinpitäjän tai tiedot saavan sivullisen oikeutettu etu. Mikäli tällainen oikeutettu etu on käsillä, on edellytyksenä luvan myöntämiselle lisäksi se, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia.

Sekä hakijalla että tiedot saavilla sivullisilla voi olla henkilötietolain 43 §:n 1 momentissa tarkoitettu oikeutettu etu hakemuksessa kuvattuun henkilötietojen käsittelyyn. Hakijan itsensä osalta oikeutettu etu voi perustua lähinnä palvelun tarjoamiseen asiakkaille liiketoiminnallisessa mielessä. Hakijan omaa oikeutettua etua on kuitenkin pidettävä siinä määrin vähäisenä, että se ei yksinään välttämättä olisi riittävä oikeuttamaan henkilötietojen käsittelyä hakemuksen tarkoittamalla tavalla.

Tiedot saavien sivullisten osalta voidaan katsoa käsillä olevan henkilötietolain 43 §:n 1 momentissa tarkoitettu oikeutettu etu, sillä niillä on lakisääteinen velvollisuus selvittää, onko henkilö rahanpesulainsäädännön tarkoittama poliittisesti vaikutusvaltainen henkilö tai tällaisen henkilön perheenjäsen tai läheinen yhtiökumppani. Nykyisin käytössä olevat keinot lakisääteisen asiakkaan tuntemisvelvollisuuden toteuttamiseksi ovat yksinään osoittautuneet osin tehottomiksi ja kankeiksi. Hakemuksen tarkoittamassa henkilötietojen käsittelyssä rekisterinpitäjän voidaan katsoa auttavan yksityisiä sidosryhmiä torjumaan laitonta toimintaa (kuten rahanpesua) ja toteuttamaan näiden oikeutettua etua. Hakemuksessa tarkoitetulla henkilötietojen käsittelyllä voidaan katsoa olevan myös yhteiskunnallista merkitystä, sillä se voi osaltaan tehostaa rahanpesun estämistä ja selvittämistä.

Tietosuojalautakunta katsoo, että henkilötietojen käsittely on tarpeen tiedot saavien sivullisten sekä hakijan oikeutetun edun toteuttamiseksi.

Hakija on hakemuksessaan ja toimittamassaan lisäselvityksessään esittänyt riittävän kuvauksen rekisteröityjen joukosta ja käsiteltävistä henkilötiedoista. Päätöksellään tietosuojalautakunta ei kuitenkaan ota kantaa rahanpesulainsäädännön tai sen sisältämien käsitteiden sisältöön, eikä hakemuksen mukaisella henkilötietojen käsittelyllä millään tavoin rajoiteta tietoja saavien sivullisten lakisääteisiä tuntemisvelvollisuuksia.

Hakija on selvittänyt lupahakemuksessaan tietoturvatoimet, joilla se varmistaa henkilötietojen asianmukaista käsittelyä. Ottaen huomioon käsiteltävien henkilötietojen käyttötarkoitus sekä edellä asetetut lupamääräykset, tietosuojalautakunta katsoo, ettei luvan myöntäminen vaaranna rekisteröityjen yksityisyyden suojaa ja oikeuksia.

Lupamääräykset

Lautakunta on liittänyt hakijan esittämä selvitys huomioon ottaen päätökseen edellä esitetyt rekisteröidyn yksityisyyden ja oikeuksien suojaamiseksi tarpeelliset lupamääräykset.

Luvan voimassaolo

EU:n uusi yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) on tulossa sovellettavaksi jäsenvaltioissa 25.5.2018. Asetusta on sovellettava sellaisenaan kaikissa jäsenvaltioissa. Yleisen tietosuoja-asetuksen myötä henkilötietojen käsittelyn oikeusperusta ja valvontaviranomaisten toimivalta tulevat Suomessa muuttumaan. Näin ollen tietosuojalautakunta pitää perusteltuna luvan myöntämistä määräaikaisena siten, että luvan voimassaolo päättyy, kun tietosuoja-asetus tulee sovellettavaksi.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.