HE 109/2021

Hallituksen esitys eduskunnalle laeiksi luottotietolain, maksupalvelulain 86 §:n ja rikosrekisterilain 4 a §:n muuttamisesta

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan muutettaviksi luottotietolakia, maksupalvelulakia ja rikosrekisterilakia.

Esityksen tarkoituksena on tehdä Euroopan unionin yleisestä tietosuoja-asetuksesta johtuvat välttämättömät muutokset luottotietolakiin ja maksupalvelulakiin sekä samalla selkiyttää mainittujen lakien suhdetta sovellettaviin yleissäädöksiin. Luottotietolaista ehdotetaan poistettavaksi henkilötietojen käsittelyä ja sen valvontaa koskevat säännökset, jotka ovat päällekkäisiä tietosuoja-asetuksen kanssa. Lisäksi ehdotetaan lyhennettäväksi eräitä maksuhäiriötietojen säilytysaikoja. Maksupalvelulain asiakashäiriörekistereihin liittyvät säännökset ehdotetaan yhdenmukaistettavaksi luottolaitostoiminnasta annetun lain ja maksulaitoslain vastaavien säännösten kanssa, huomioiden tietosuoja-asetuksen vaatimukset. Lisäksi ehdotetaan täsmennettäväksi rikosrekisterilain säännöstä tietojen luovuttamisesta poikkeustapauksessa henkilön luotettavuuden selvittämiseksi.

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian lukuun ottamatta luottotietolain 18 ja 28 §:ää, jotka tulisivat voimaan kuusi kuukautta myöhemmin kuin muut mainitun lain lainkohdat.

PERUSTELUT

1 Asian tausta ja valmistelu
1.1 Tausta

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta (jäljempänä rikosasioiden tietosuojadirektiivi) tulivat voimaan 5 päivänä toukokuuta 2016.

Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018. Tietosuoja-asetusta täydentävä tietosuojalaki (1050/2018) ja rikosasioiden tietosuojadirektiivin täytäntöönpanemiseksi annettu laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018, jäljempänä rikosasioiden tietosuojalaki) tulivat voimaan 1 päivänä tammikuuta 2019.

Tietosuoja-asetusta sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn. Lisäksi tietosuoja-asetuksen rinnalla sovellettavaksi voivat tulla tietosuojalaki tai kansallinen erityislainsäädäntö. Poliisin, syyttäjien, tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, rajavalvontaviranomaisen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosasioissa sovelletaan kuitenkin yleislakina rikosasioiden tietosuojalakia.

Henkilötietojen käsittelyyn sovellettavien yleislakien lisäksi henkilötietojen käsittelyä koskevaa sääntelyä on runsaasti erityislainsäädännössä. Näihin kuuluvat myös luottotietolaki (527/2007), maksupalvelulaki (290/2010) ja rikosrekisterilaki (770/1993). EU:n jäsenvaltioilla on velvollisuus saattaa erityislainsäädäntönsä tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin mukaiseksi. Rikosrekisterilakiin on jo tehty eräitä muutoksia rikosasioiden tietosuojalain käsittelyn yhteydessä (HE 31/2018 vp). Pääministeri Marinin hallitusohjelman mukaan henkilötietojen suojaa kehitetään määrätietoisesti. Tämä hallituksen esitys osaltaan toteuttaa hallitusohjelmaan kirjattua tavoitetta.

Hallitusohjelman mukaan maksuhäiriömerkintöjen säilytysaikoja lyhennetään samalla, kun positiivinen luottotietorekisteri otetaan käyttöön. Oikeusministeriössä on 9.3.2020 käynnistetty positiivista luottotietorekisteriä koskeva hanke (OM022:00/2020). Asian tärkeyden ja koronakriisistä kuluttajille ja yrittäjille mahdollisesti aiheutuvien lisääntyvien velkaongelmien vuoksi oikeusministeriö käynnisti keväällä 2020 kuitenkin erikseen selvityksen siitä, olisiko maksuhäiriömerkintöjen säilytysaikoja mahdollista lyhentää jo ennen positiivisen luottotietorekisterin käyttöönottoa. Asiasta laadittiin arviomuistio, joka löytyy valtioneuvoston hankeikkunasta (OM061:00/2020). Lausuntokierroksella laadituista lausunnoista laadittu lausuntotiivistelmä on julkaistu sarjassa Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 2020:19. Julkaisun pysyvä osoite on http://urn.fi/URN:ISBN:978-952-259-863-9.

Eduskunta antoi 16.6.2020 kuluttajansuojalain 7 luvun väliaikaista muuttamista koskevan hallituksen esityksen (HE 53/2020 vp) käsittelyn yhteydessä lausuman, jossa eduskunta edellytti, että valtioneuvosto kiirehtii maksuhäiriörekisteriä koskevaa lainsäädäntöä siten, että henkilöt, jotka ovat suorittaneet maksuhäiriömerkinnän perusteena olleet maksut asianmukaisesti, tulee poistaa rekisteristä 1 kuukauden kuluttua maksun suorittamisesta (EV 69/2020 vp, 4 lausuma). Lainsäädäntöesitykset on lausuman mukaan tuotava eduskuntaan viimeistään vuoden 2021 kevätistuntokauden aikana. Tällä esityksellä toteutetaan eduskunnan lausuman edellyttämät säilytysaikojen muutokset.

1.2 Valmistelu

Oikeusministeriö asetti 7.6.2018 työryhmän valmistelemaan ehdotukset tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin edellyttämistä muutoksista oikeusministeriön hallinnonalan lainsäädäntöön. Työryhmän toimikausi päättyi 31.12.2018. Työryhmän tehtävänä oli arvioida oikeusministeriön hallinnonalan lainsäädännön yhdenmukaisuus tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin kanssa ja laatia ehdotukset EU-sääntelyn edellyttämistä välttämättömistä lainmuutoksista. Työryhmä kuuli osana valmistelua tarpeen mukaan oikeusministeriön muita osastoja ja yksiköitä sekä eräitä muita tahoja. Eräisiin oikeusministeriön hallinnonalan lakeihin on tehty aiemmin välttämättömät tietosuojalainsäädännöstä johtuvat muutokset, jotka tulivat voimaan 1.6.2020 (HE 2/2020 vp).

Luottotietolain ja maksupalvelulain on valmistelun aikana arvioitu edellyttävän muita oikeusministeriön hallinnonalan lakeja enemmän muutoksia, jotka johtuvat tietosuoja-asetuksesta. Maksupalvelulain osalta on myös katsottu, että sen sisältämää sääntelyä henkilötietojen käsittelystä olisi syytä yhtenäistää luottolaitostoiminnasta annetun lain (610/2014) ja maksulaitoslain (297/2010) kanssa. Muihin lakeihin jo ehdotetuista muutoksista poiketen luottotietolakiin ja maksupalvelulakiin tarvittavat muutokset koskisivat oleellisesti elinkeinonharjoittajia. Näiden lausuntopalautteen perusteella on valmistelun aikana erityisesti tarkennettu vaikutustenarviointia. Lisäksi luottotietotoiminnan harjoittajia, Finanssialaa ja eräitä viranomaisia on kuultu tarkemmin eräiden kysymysten osalta jatkovalmistelun aikana luottotietolain muuttamista koskevan lakiehdotuksen ja vaikutustenarvioinnin tarkistamiseksi. Säädöshankkeen asiakirjat löytyvät valtioneuvoston hankeikkunasta (OM023:00/2019).

Maksuhäiriömerkintöjen lyhentämistä koskevat muutokset valmisteltiin oikeusministeriössä virkatyönä erillisessä hankkeessa. Osana valmistelua kuultiin luottotietotoiminnan harjoittajia, keskeisiä viranomaisia sekä elinkeinoelämää ja kuluttajia edustavia järjestöjä. Säilytysaikoja koskevat valmisteluasiakirjat ja lausunnot löytyvät valtioneuvoston hankeikkunasta (OM061:00/2020). Hallituksen esityksen luonnos on ollut lainsäädännön arviointineuvoston käsiteltävänä.

2 Nykytila ja sen arviointi

Henkilötietojen käsittelyä koskevat erityissäännökset

Luottotietolain sisältämät henkilötietojen käsittelyä koskevat säännökset ovat kumottua henkilötietolakia täydentäviä säännöksiä, joita on välttämätöntä mukauttaa suhteessa tietosuoja-asetukseen. Luottotietolakia sovelletaan luottotietojen keräämiseen, tuottamiseen, tallettamiseen, luovuttamiseen, käyttöön ja muuhun käsittelyyn. Luottotietotoiminnan harjoittajien lisäksi esimerkiksi luottolaitokset soveltavat osaa lain säännöksistä. Laissa säädetään sekä henkilöluottotietojen että yritysluottotietojen käsittelystä. Luottotietolaki sisältää säännöksiä henkilötietojen rekisteröinnistä, säilytysajoista ja luovuttamisesta. Laki sisältää myös henkilötietojen käsittelyn valvontaa ja rekisteröidyn oikeuksia koskevaa sääntelyä, minkä lisäksi lakiin sisältyy elinkeinotoiminnan yleistä valvontaa koskevia säännöksiä.

Maksupalvelulaki sisältää runsaasti tietojen käsittelyä koskevia säännöksiä, joilla on pantu täytäntöön maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/2366, jäljempänä maksupalveludirektiivi. Kyseessä ei ole yksinomaan rekisteröidyn henkilötietojen käsittelyä koskeva sääntely, vaan tietojen käsittely liittyy muun muassa palveluiden tarjoajan tiedonantovelvollisuuteen ja tilitietopalveluihin, minkä lisäksi laissa säädetään esimerkiksi palvelun käyttäjän sähköisestä tunnistamisesta. Laki kuitenkin sisältää myös nimenomaiset henkilötietojen käsittelyä koskevat säännökset, jotka perustuvat direktiivin täytäntöönpanovelvoitteisiin.

Luottotietolakia ja maksupalvelulakia on arvioitu sen selvittämiseksi, vastaavatko niiden sisältämät henkilötietojen käsittelyä koskevat erityissäännökset tietosuoja-asetuksen ja sitä täydentävän tietosuojalain vaatimuksia. Kun on kyse tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä, kansallinen erityislainsäädäntö on mahdollista silloin, kun tietosuoja-asetus nimenomaisesti jättää jäsenvaltioille kansallista sääntelyliikkumavaraa. Kansallista sääntelyliikkumavaraa liittyy useaan tietosuoja-asetuksen artiklaan.

Sääntelyliikkumavaraa voidaan ensinnäkin käyttää, kun henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c tai e alakohtaan, eli silloin, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, tai kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa. Tarkentava lainsäädäntö voi näissä tapauksissa sisältää erityisiä säännöksiä tietosuoja-asetuksen säännösten soveltamisen mukauttamiseksi, muun muassa käsittelyn lainmukaisuutta koskevia edellytyksiä, käsiteltävien tietojen tyyppiä, rekisteröityjä, säilytysaikoja, käyttötarkoitussidonnaisuutta ja käsittelytoimia koskevia säännöksiä. Jäsenvaltion lainsäädännön on 6 artiklan mukaan täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. Ottaen huomioon tietosuoja-asetuksen suoran sovellettavuuden sekä perustuslakivaliokunnan lailla säätämistä koskevan viimeaikaisen tulkintakäytännön (ks. erityisesti PeVL 14/2018 vp), erityissääntely tulisi rajoittaa vain välttämättömimpään.

Kansallista sääntelyliikkumavaraa sisältyy myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn osalta tietosuoja-asetuksen 9 artiklan 2 kohdan b, g, h, i ja j alakohtaan sekä 4 kohtaan. Artiklan 2 kohdan osalta sovellettavaksi tulee oikeusministeriön hallinnonalalla useimmiten g alakohta, eli kansallinen käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Lisäksi edellytetään, että käsittely on oikeasuhteista tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

Rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely on tietosuoja-asetuksen 10 artiklan mukaan sallittua, kun se suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

Tietosuoja-asetuksen 23 artikla sallii sen, että jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa tietosuoja-asetuksen 12—22 artiklassa ja 34 artiklassa, sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa. Tietosuoja-asetuksen 23 artiklan 1 kohdassa säädetään tavoitteista, joiden takaamiseksi rekisteröidyn oikeuksista on sallittua poiketa. Rajoituksissa on noudatettava keskeisiltä osin perusoikeuksia ja –vapauksia ja lainsäädäntötoimen on oltava demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide kyseessä olevan tavoitteen toteuttamiseksi. Tietosuoja-asetuksen 12-22 artiklan osalta lisäksi rajoitusten edellytyksenä on, että jäsenvaltion lainsäädännön säännökset vastaavat näissä artikloissa säädettyjä oikeuksia ja velvollisuuksia. Artiklan 2 kohdassa säädetään vähimmäisvaatimuksista, jotka olisi sisällytettävä tarpeen mukaan lainsäädäntöön, jolla rajoituksista säädetään.

Rekisterinpitäjästä säätäminen on mahdollista tietosuoja-asetuksen perusteella. Rekisterinpitäjä määritellään tietosuoja-asetuksen 4 artiklan 7 kohdassa, jonka mukaan rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jos henkilötietojen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä.

Kansallista sääntelyliikkumavaraa sisältyy lisäksi muun muassa tietosuoja-asetuksen 86 artiklaan (henkilötietojen käsittely ja virallisten asiakirjojen julkisuus), 87 artiklaan (kansallisen henkilötunnuksen käsittely) ja 89 artiklan 2 ja 3 kohtaan (henkilötietojen käsittely tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten sekä yleisen edun mukaisia arkistointitarkoituksia varten). Nämä artiklat eivät ole merkityksellisiä luottotietolain ja maksupalvelulain säännösten arvioinnin kannalta.

Luottotietolakia ja maksupalvelulakia arvioitu valmistelun aikana erityisesti seuraavien kriteerien valossa:

- mikä on henkilötietojen käsittelyn oikeusperuste,

- onko tietosuoja-asetusta täydentävä kansallinen lainsäädäntö mahdollista 6 artiklan 1 kohdan c tai e alakohdan nojalla,

- onko rekisterinpidosta tarpeen säätää, ottaen huomioon, että rekisterinpitäjät eivät ole viranomaisia,

- mahdollistaako kansallinen lainsäädäntö erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn, niiltä osin kuin mainittujen henkilötietojen käsittely on välttämätöntä, ja ovatko erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä ja suojatoimia koskevat säännökset riittävät 9 artiklan valossa,

- mahdollistaako kansallinen lainsäädäntö rikostuomiota ja rikoksia tai niihin liittyviä turvaamistoimia koskevien tietojen käsittelyn ja onko käsittely tietosuoja-asetuksen 10 artiklan mukaista,

- ovatko 23 artiklan sallimat rajoitukset rekisteröidyn oikeuksiin sääntelyliikkumavaran mukaisia,

- sisältääkö kansallinen lainsäädäntö tietosuoja-asetuksen tai tietosuojalain kanssa tarpeetonta päällekkäistä sääntelyä (esimerkiksi rekisteröidyn oikeuksien käyttämistä ja valvontaa koskevat säännökset),

- sisältääkö lainsäädäntö henkilötunnuksen käsittelyä koskevia säännöksiä, ja

- sisältääkö lainsäädäntö vanhentuneita säädösviittauksia tai tietosuoja-asetuksesta poikkeavaa terminologiaa.

Sekä luottotietolain että maksupalvelulain osalta on arvioitu erityisesti, mikä tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisista henkilötietojen käsittelyn oikeusperusteista on laissa tarkoitetun käsittelyn perusteena. Luottotietolaki sisältää yksityiskohtaista henkilötietojen käsittelyä koskevaa sääntelyä, muun muassa tietojen rekisteröintiä ja säilytysaikoja koskevia säännöksiä. Näiden osalta on arvioitu, onko sääntely tarpeen yleistä etua koskevan tehtävän suorittamiseksi vai onko laissa kyse ennemmin rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamisesta. Näistä yleisen edun mukainen tehtävä mahdollistaisi nykyisen kaltaisen erityislainsäädännön säilyttämisen. Lisäksi yksityiskohtaisen henkilötietojen käsittelyä koskevan sääntelyn tulee olla perusteltavissa suhteessa yleiseen henkilötietojen käsittelyä koskevaan sääntelyyn riskiperusteisesti, ja sen olisi oltava oikeasuhtaista. Lisäksi luottotietolakia on tarkasteltu yksityiskohtaisesti sen selvittämiseksi, miltä osin se sisältää tietosuoja-asetuksen kanssa päällekkäistä sääntelyä ja ongelmallista terminologiaa.

Luottotietolain säännösten säilyttämisen tarpeellisuuden arvioinnissa olisi lisäksi huomioitava se, että luottotietolaki sisältää myös kuluttajille tarkoitetuista kiinteää asunto-omaisuutta koskevista luottosopimuksista ja direktiivien 2008/48/EY ja 2013/36/EU sekä asetuksen (EU) N:o 1093/2010 muuttamisesta annetun Euroopan parlamentin ja neuvoston direktiivin 2014/17/EU (jäljempänä asuntoluottodirektiivi) ja kulutusluottosopimuksista ja neuvoston direktiivin 87/102/ETY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin 2008/48/EY (jäljempänä kulutusluottodirektiivi) täytäntöönpanosäännöksiä, jotka täydentävät kuluttajansuojalain (38/1978) säännöksiä. Kummassakin direktiivissä asetetaan jäsenvaltioille ensinnäkin velvollisuus varmistaa, että luotonantaja arvioi ennen luottosopimuksen tekemistä kuluttajan luottokelpoisuuden. Jäsenvaltion on myös varmistettava, että kaikkien jäsenvaltioiden luotonantajilla on rajat ylittävien luottojen yhteydessä pääsy kyseisessä jäsenvaltiossa käytettyihin tietokantoihin. Pääsyn edellytysten on oltava syrjimättömiä. (Ks. asuntoluottodirektiivin 20 ja 21 artikla sekä kulutusluottodirektiivin 8 ja 9 artikla) Direktiiveissä asetetaan myös luotonantajille eräitä tietokantojen käyttöön liittyviä informointivelvoitteita. Siltä osin kuin asuntoluottodirektiivin ja kulutusluottodirektiivin täytäntöönpanosäännökset eivät sisälly muuhun lainsäädäntöön, ne olisi välttämätöntä säilyttää luottotietolaissa, jollei sen lisäksi muuteta muita lakeja.

Henkilötietojen käsittelyä koskeva oikeasuhteisuuden vaatimus olisi otettava huomioon myös silloin, kun laissa säädetään henkilötietojen säilyttämisestä tietosuoja-asetuksen 6 artiklan 3 kohdan perusteella. Säilytysaikojen oikeasuhteisuutta arvioidaan tässä esityksessä. Maksuhäiriötietojen käsittelyllä on myös vaikutusta säännösten muutostarpeiden arviointiin kokonaisuutena, ottaen huomioon tällaisen käsittelyn vaikutukset rekisteröidyn asemaan. Säilytysajat voivat toimia esimerkiksi yhtenä suojatoimena rekisteröidyn oikeuksien turvaamiseksi, jolloin niitä koskevat säännökset vaikuttavat muiden tarvittavien suojatoimien arviointiin.

Maksupalvelulain arvioinnissa on huomioitu, että lain säännökset ovat maksupalveludirektiivin täytäntöönpanosäännöksiä, joiden osalta on samalla varmistettava direktiivin asianmukainen täytäntöönpano. Maksupalvelulaissa on nimenomainen direktiiviin perustuva, henkilötietojen käsittelyä koskeva säännös, jonka perusteella käsittely perustuu maksupalvelun käyttäjän nimenomaiseen suostumukseen. Esityksen valmistelun yhteydessä on arvioitu tämän säännöksen suhdetta tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohtaan, joka ei lähtökohtaisesti mahdollista tietosuoja-asetusta yksityiskohtaisempia säännöksiä, sekä 7 artiklaan, jossa säädetään suostumuksen edellytyksistä. Maksupalvelulakiin sisältyvät säännökset myös niin sanottujen asiakashäiriötietojen käsittelystä. Näiden tietojen osalta on arvioitu erikseen, soveltuisiko käsittelyn oikeusperusteeksi tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta vai olisiko kyse f alakohdan mukaisesti rekisterinpitäjän oikeutetun edun toteuttamisesta. Maksupalvelulain säännösten arvioinnissa on otettu huomioon Euroopan tietosuojaneuvoston ohjeluonnos 06/2020 maksupalveludirektiivin ja tietosuoja-asetuksen suhteesta, josta Euroopan tietosuojaneuvosto järjesti julkisen kuulemisen 22.7.2020-16.9.2020. Ohjeluonnoksessa on arvioitu muun muassa maksupalveludirektiivin mukaisen henkilötietojen käsittelyn oikeusperustetta. Tällä ei kuitenkaan ole vaikutusta asiakashäiriötietojen käsittelyn oikeusperusteeseen.

Rikosrekisterilain säännösten suhdetta rikosasioiden tietosuojalakiin on arvioitu jo aiemmin. Tässä esityksessä on arvioitu mahdollisesti tarvittavia ylimääräisiä muutoksia samanaikaisesti luottotietolain valvontaa koskevien säännösten kanssa. Arvioidut säännökset koskevat rikosrekisterin sisältämien tietojen luovuttamista henkilön luotettavuuden selvittämistä varten.

Edellä mainittuja yksityiskohtia arvioidaan tarkemmin esityksen jaksoissa 4.1 ja 7. Tietosuoja-asetuksen salliman sääntelyliikkumavaran käyttöön liittyvässä erityislainsäädännössä ja rikosasioiden tietosuojalain säännöksistä poikkeavassa erityislainsäädännössä on yleissäädösten asettamien vaatimusten lisäksi otettava huomioon perustuslaista, EU:n perusoikeuskirjasta ja kansainvälisistä ihmisoikeusvelvoitteista seuraavat vaatimukset. Muutettavien lakien osalta on arvioitu, onko arkaluonteisina pidettävien henkilötietojen käsittelyä koskeva sääntely perustuslaista johtuvien vaatimusten täyttämiseksi riittävän tarkkarajaista ja yksityiskohtaista. Lisäksi luottotietolain osalta on kiinnitetty erityistä huomiota maksuhäiriötietojen käsittelyn aiheuttamiin rekisteröidyn oikeuksiin kohdistuviin riskeihin ja vaikutuksiin.

Henkilöluottotietojen säilytysajat

Sellaisten luonnollisten henkilöiden määrä, joilla on vähintään yksi maksuhäiriömerkintä, on kasvanut tasaisesti koko 2010-luvun. Vuoden 2020 lopussa tällaisia henkilöitä oli noin 392 000. Vuoden 2011 lopussa luku oli noin 327 500. Maksuhäiriöisten yritysten määrässä sen sijaan on ollut 2010-luvun alkupuolen nousun jälkeen jonkin verran laskua. Yrityksiä, joilla on maksuhäiriö, oli vuoden 2020 lopussa noin 43 000. Vuonna 2011 luku oli noin 49 000. Eri vuosien luvut eivät ole täysin vertailukelpoisia. Vertailua vaikeuttavat esimerkiksi lainsäädäntöön tehdyt muutokset ja luottotietotoiminnan harjoittajien käytäntöjen väliset erot.

Ulosottoon perustuvat merkinnät muodostavat jopa 65-80% maksuhäiriömerkinnöistä. Suurin osa maksuhäiriömerkinnöistä perustuu ulosotossa todettuun esteeseen. Henkilöluottotietojen osalta seuraavaksi merkittävin merkintöjen ryhmä ovat yksipuoliseen tuomioon perustuvat maksuhäiriömerkinnät. Yritysluottotietojen osalta merkittävän osan muodostavat trattaan perustuvat merkinnät. Samaan saatavaan voi liittyä useita merkintöjä. Saatavasta on mahdollista tallettaa maksuhäiriömerkintä velkojan ilmoituksen perusteella tai velkomustuomion perusteella, ja myöhemmin samaan saatavaan perustuen voidaan tehdä ulosoton esteeseen perustuva merkintä.

Luottotietorekisterissä olevilla henkilöillä on keskimäärin kuusitoista maksuhäiriömerkintää. Suomen Asiakastieto Oy:n henkilöluottotietorekisterissä oli vuoden 2020 lopussa arviolta 20 800 luonnollista henkilöä, joilla on ainakin yksi saatavan suoritusta koskeva merkintä. Luonnollisia henkilöitä, joiden kaikissa yksittäisissä maksuhäiriömerkinnöissä on suoritusta koskeva merkintä, oli noin 9 700. Yksittäisiä yrityksiä, joilla on merkintä saatavan suorituksesta, oli saman toimijan yritysluottorekisterissä noin 19 800. Yrityksiä, joiden kaikissa yksittäisissä maksuhäiriömerkinnöissä on suoritusta koskeva merkintä, oli noin 6 200. Bisnode Finland Oy:n rekistereissä noin 7 700 luonnollisen henkilön ja 5 400 yrityksen kaikissa yksittäisissä maksuhäiriömerkinnöissä oli suoritusta koskeva merkintä. Erot eri luottotietotoiminnan harjoittajilta saaduissa luvuissa voivat selittyä muun muassa sillä, että esimerkiksi velkojat tekevät ilmoituksen maksuhäiriöstä taikka vastaavasti saatavan suorittamisesta vain jollekin luottotietotoiminnan harjoittajalle. Vastaavasti velallinen ei välttämättä ilmoita suorituksesta kaikille luottotietotoiminnan harjoittajille. Lisäksi kuusi muuta yritystä on tehnyt luottotietolain mukaisen ilmoituksen yritysluottotietotoiminnan harjoittamisesta. Suurimman osan yrityksistä, joilla on maksuhäiriömerkintöjä, arvioidaan kuitenkin sisältyvän edellä mainittujen kahden yrityksen lukuihin.

Luottotietolain 18 §:ssä säädetään henkilöluottotietojen osalta maksuhäiriömerkintöjen ja luokitustietojen säilyttämisajoista. Rekisteriin merkityn laiminlyödyn maksun suorittaminen ei johda välittömästi maksuhäiriötä koskevan tiedon poistamiseen rekisteristä, vaan tiedot poistetaan tietyn ajan kuluttua. Verrattuna aiempiin henkilötietolain säännöksiin voimassa olevan pykälän säännökset ovat jossain määrin täsmällisemmät ja säilytysaikoja on eräiltä osin lyhennetty. Säännöksillä on pyritty kannustamaan velallisia siihen, että he maksaisivat velkansa ja että säännökset siten tukisivat yleistä maksumoraalia, ja velan suorittaminen lyhentääkin maksuhäiriömerkinnän säilytysaikaa tietyissä tilanteissa (HE 241/2006 v, s.40).

Konkurssia koskevat tiedot on pääsääntöisesti poistettava luottotietorekisteristä viiden vuoden kuluessa konkurssin alkamisesta. Tästä pääsäännöstä voidaan kuitenkin poiketa silloin, kun konkurssihakemus ei johda konkurssiin asettamiseen tai kun konkurssihakemus peruutetaan. Konkurssia koskevat tiedot on poistettava rekisteristä kuukauden kuluessa siitä, kun konkurssi- ja yrityssaneerausrekisteristä on poistettu konkurssiasiaa koskevat tiedot sen vuoksi, että konkurssihakemus on hylätty taikka jätetty tutkimatta tai sillensä taikka että konkurssi on määrätty peruuntumaan. (18 §:n 1 momentin 1 kohta)

Velkajärjestelytiedot ja kuulutustiedot on poistettava luottotietorekisteristä kuukauden kuluessa siitä, kun niitä vastaavat merkinnät on poistettu siitä viranomaisen rekisteristä, josta tiedot ovat peräisin. Velkajärjestelytiedot, joita koskeva maksuohjelma on määrätty raukeamaan velallisen hakemuksesta, poistetaan kuitenkin kolmen kuukauden kuluessa siitä, kun velallinen osoittaa, että maksuohjelma on rauennut. (18 §:n 1 momentin 2 kohta)

Pykälän 1 momentin 3 kohta koskee sellaisia ulosottotietoja, jotka poistetaan vain ulosottomiehen peruuttamisilmoituksen perusteella. Ulosottotieto on poistettava luottotietorekisteristä heti, kun ulosottomies on tehnyt peruuttamisilmoituksen, joka koskee pitkäkestoista tai aiheetonta ulosottoa (18 §:n 1 momentin 3 kohta).

Momentin 4 kohta puolestaan koskee sellaisia maksuhäiriötiedon poistamisperusteita, jotka voivat perustua ulosottomiehen peruuttamisilmoituksen lisäksi siihen, että velallinen on osoittanut poistamisperusteen olevan käsillä. Tällainen muu ulosottotieto on poistettava rekisteristä heti, kun rekisterinpitäjä on saanut tiedon siitä, että ulosottoperuste on kumottu. Ulosottotieto tulee poistaa välittömästi myös, kun rekisterinpitäjä on saanut tiedon siitä, että velallinen on maksanut velan, jota perittiin suppeassa ulosotossa. Samoin ulosottotieto on poistettava heti, kun rekisterinpitäjä on saanut tiedon, että saatavaa koskevan ulosottoperusteen määräaika on kulunut umpeen tai tuomio, jolla ulosottoperusteen määräaikaa on jatkettu, on kumottu. (18 §:n 1 momentin 4 kohta)

Velkojan ilmoittamaa maksuhäiriötä ja velallisen tunnustamaa maksuhäiriötä koskevat tiedot on poistettava rekisteristä kahden vuoden kuluessa siitä, kun tieto on talletettu rekisteriin (18 §:n 1 momentin 5 kohta). Jos maksuhäiriömerkinnän kohteena oleva saatava suoritetaan ennen merkinnän poistumista, velkojan on ilmoitettava tästä luottotietorekisterin pitäjälle (14 §:n 2 momentti). Ilmoituksen johdosta luottotietorekisteriin tehdään lisätietomerkintä, mutta maksuhäiriömerkintä ei poistu ennen kuin kaksi vuotta on kulunut maksuhäiriömerkinnän tekemisestä. Rekisteristä ilmenee kuitenkin tässä tapauksessa tieto siitä, että velka on maksettu.

Viranomaisen toteamat maksuhäiriötiedot ja ulosottotiedot on poistettava rekisteristä viimeistään kolmen vuoden kuluttua siitä, kun tieto on talletettu rekisteriin, jollei tietoa ole sitä ennen poistettava edellä mainittujen ulosottotietojen poistamista koskevien säännösten nojalla (18 §:n 1 momentin 6 kohta). Jos rekisterinpitäjälle on kuitenkin tullut tieto sen saatavan suorittamisesta, jonka laiminlyönnistä viranomaisen toteama maksuhäiriötieto tai ulosottotieto on syntynyt, tieto poistetaan kahden vuoden kuluessa merkinnän tekemisestä (18 §:n 2 momentti). Näissä tilanteissa merkinnän säilyttämisaika siten lyhenee enintään kahteen vuoteen, ellei merkintää ole poistettava aikaisemmin.

Konkurssia sekä viranomaisen toteamia maksuhäiriötietoja ja ulosottotietoja koskevaa merkintää ei luottotietolain mukaan ole tarpeen poistaa rekisteristä, jos rekisteröityä koskeva uusi maksuhäiriömerkintä on tehty rekisteriin ennen kuin määräaika aikaisemman merkinnän poistamiselle on pykälän mukaan kulunut. Uuden maksuhäiriömerkinnän johdosta ei siis sovelleta edellä selostettuja säännöksiä maksuhäiriömerkintöjen säilyttämisajan lyhentymisestä. Kaikki konkurssia koskevat merkinnät on kuitenkin poistettava kolmen kuukauden kuluessa siitä, kun viimeisintä konkurssimerkintää koskevat tiedot on poistettu yrityssaneeraus- ja konkurssirekisteristä. Viranomaisen toteamia maksuhäiriötietoja ja ulosottotietoja koskeva merkintä on poistettava viimeistään neljän vuoden kuluttua sen tekemisestä. (18 §:n 3 momentti) Luottokelpoisuuden arviointitieto on poistettava, kun henkilöä koskevat muut merkinnät on poistettu rekisteristä (18 §:n 4 momentti).

Rekisteriin merkityn laiminlyödyn maksun suorittaminen ei nykytilanteessa johda eräitä poikkeuksia lukuun ottamatta välittömästi maksuhäiriötä koskevan tiedon poistamiseen rekisteristä. Maksuhäiriöön johtaneen saatavan tai maksun suorittaminen voidaan kuitenkin merkitä luottotietorekisteriin ja luotonantajat ja muut maksuhäiriötietojen käyttäjät ottaa tämän harkintansa mukaan huomioon luonnollisen henkilön luottoriskiä arvioidessaan. Koska maksuhäiriötieto kuitenkin säilyy rekisterissä, voi se saatavan suorittamisesta huolimatta vaikuttaa kielteisesti esimerkiksi luotto- tai muun sopimussuhteen syntymiseen. Tämä voi johtaa luonnollisen henkilön osalta kohtuuttomaan tilanteeseen. Lisäksi luottotietolain säännökset maksuhäiriömerkintöjen säilytysaikojen lyhentymisestä tai pidentymisestä sen mukaan, onko maksuhäiriömerkinnän aiheuttanut saatava suoritettu tai syntyykö uusia maksuhäiriöitä, ovat vaikeaselkoisia.

Yritysluottotietojen säilytysajat

Luottotietolain 28 §:ssä säädetään siitä, milloin yrityksen luottotiedot on viimeistään poistettava luottotietorekisteristä. Konkurssia koskevat tiedot on poistettava rekisteristä viiden vuoden kuluessa konkurssin alkamisesta. Tiedot on kuitenkin poistettava kuukauden kuluessa siitä, kun konkurssi- ja yrityssaneerausrekisteristä on poistettu konkurssiasiaa koskevat tiedot sen vuoksi, että konkurssihakemus on hylätty taikka jätetty tutkimatta tai sillensä taikka että konkurssi on määrätty peruuntumaan (28 §:n 1 momentin 1 kohta). Yrityssaneerausta ja kuulutuksia koskevat tiedot on poistettava kuukauden kuluessa siitä, kun niitä vastaavat merkinnät on poistettu siitä viranomaisen rekisteristä, josta tiedot ovat peräisin (28 §:n 1 momentin 2 kohta)

Ulosottotieto on poistettava heti, kun ulosottomies on tehnyt peruuttamisilmoituksen, joka koskee pitkäkestoista tai aiheetonta ulosottoa (28 §:n 1 momentin 3 kohta). Muu ulosottotieto on poistettava heti, kun rekisterinpitäjä on saanut tiedon siitä, että ulosottoperuste on kumottu tai velallinen on maksanut velan, jota perittiin suppeassa ulosotossa (28 §:n 1 momentin 4 kohta). Tieto rekisteröidyn tunnustamasta maksuhäiriöstä on poistettava kahden vuoden kuluessa merkinnän tekemisestä (28 §:n 1 momentin 5 kohta).

Lain 24 §:n 1 momentin 2, 3, 5 ja 7 kohdassa tarkoitetut maksuhäiriötiedot on poistettava viimeistään kolmen vuoden kuluttua siitä, kun tieto on talletettu rekisteriin, jollei tietoa ole sitä ennen poistettava 28 §:n 1 momentin 3 tai 4 kohdan nojalla (28 §:n 1 momentin 7 kohta). Näitä maksuhäiriötietoja ovat tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla tai yksipuolisella tuomiolla taikka rekisteröidyn hyväksymän vekselin protestilla, tiedot asiakohtaisesti eriteltyinä sellaisesta ulosottoasiasta, jossa on annettu estetodistus tai tieto pitkäkestoisesta ulosotosta, tietyt verosaatavan tai lakisääteiseen vakuutukseen perustuvan saatavan laiminlyöntiä koskevat tiedot sekä tiedot velkojan erääntyneen ja riidattoman saatavan johdosta antamasta maksukehotuksesta. Liiketoimintakieltoa koskevat merkinnät on poistettava kolmen vuoden kuluessa siitä, kun niitä vastaavat merkinnät on poistettu siitä viranomaisen rekisteristä, josta tiedot ovat peräisin (28 §:n 1 momentin 8 kohta).

Yritysluottotietojen osalta luottotietolaki ei sisällä 18 §:n 2 momenttia vastaavaa saatavan suorituksen säilytysaikaa lyhentävää vaikutusta sisältävää säännöstä. Lain 28 §:n 1 momentin 7 kohdassa tarkoitettuja merkintöjä sekä konkurssia koskevia tietoja ei ole tarpeen poistaa rekisteristä, jos yritystä koskeva uusi maksuhäiriömerkintä on tehty rekisteriin ennen kuin aikaisempi maksuhäiriömerkintä olisi poistettava rekisteristä. Kaikki konkurssia koskevat merkinnät on kuitenkin poistettava kolmen kuukauden kuluessa siitä, kun viimeisintä konkurssimerkintää koskevat tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä, ja viranomaisen toteamaa maksuhäiriötä koskeva merkintä viimeistään neljän vuoden kuluttua sen tekemisestä. (28 §:n 2 momentti)

Yritysten maksuhäiriötietojen säilytysaikoihin kuitenkin liittyy vastaavia kysymyksiä kuin edellä on kuvattu luonnollisen henkilön maksuhäiriötietojen osalta. Silloin, kun maksuhäiriötieto säilyy rekisterissä saatavan suorittamisesta huolimatta, merkintä voi vaikuttaa eri tavoin kielteisesti yrityksen toimintaedellytyksiin ja voi johtaa kohtuuttomaan tilanteeseen.

Ahvenanmaan maakuntalainsäädäntö

Ahvenanmaan maakunnan lainsäädäntövallasta säädetään Ahvenanmaan itsehallintolain (1144/1991) 18 §:ssä. Valtakunnan lainsäädäntövallasta säädetään lain 27 §:ssä. Hallituksen esityksen lakiehdotukset kuuluvat itsehallintolain 27 §:n 8, 22, 23, 37 ja 41 kohdan mukaisesti valtakunnan lainsäädäntövaltaan ja tulevat sellaisinaan sovellettaviksi Ahvenanmaalla.

3 Tavoitteet

Esityksen sisältämien lakiehdotusten tavoitteena on varmistaa luottotietolain ja maksupalvelulain yhdenmukaisuus tietosuoja-asetuksen ja tietosuojalain kanssa. Ehdotettujen lainmuutosten tavoitteena on myös selkiyttää henkilötietojen käsittelyä koskevia erityissäännöksiä siten, että luottotietolaista poistettaisiin yleislakien kanssa päällekkäiset säännökset. Sen lisäksi lakeja tarkennettaisiin siltä osin kuin se on tarpeen EU-lainsäädännöstä johtuvista syistä.

Luonnollisen henkilön maksuhäiriötietojen säilytysaikoihin ehdotettujen muutosten tavoitteena on kohtuullistaa luonnollisten henkilöiden tilannetta erityisesti silloin, kun maksuhäiriömerkinnän perusteena ollut saatava on maksettu. Samalla varmistettaisiin, että säilytysajat täyttävät paremmin henkilötietojen käsittelyn läpinäkyvyyden ja oikeasuhteisuuden vaatimukset. Luottotietolain tarkoituksen ja johdonmukaisuuden vuoksi tavoitteena on myös parantaa vastaavassa asemassa olevien yrittäjien tilannetta.

4 Ehdotukset ja niiden vaikutukset
4.1 Keskeiset ehdotukset

Luottotietolaissa tarkoitetun henkilötietojen käsittelyn oikeusperuste

Luottotietolaki sisältää hyvin yksityiskohtaista henkilötietojen käsittelyä koskevaa sääntelyä. Luottotietolain sisältämä sääntely on mahdollista vain, jos henkilötietojen käsittelyn oikeusperuste on tietosuoja-asetuksen 6 artiklan 1 kohdan c tai e alakohta. Kun käsittely perustuu näihin kohtiin, sillä olisi myös oltava perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tietosuoja-asetus ei sinänsä edellytä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Tietosuoja-asetuksen johdanto-osan 45 kappaleen mukaisesti jäsenvaltion lainsäädännössä olisi myös määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, kun se on perusteltua yleistä etua koskevien syiden vuoksi.

Luottotietolaissa tarkoitettujen luottotietorekisterien ylläpitoa ei ole Suomessa säädetty viranomaisen tehtäväksi, vaan niistä vastaavat yksityiset luottotietotoiminnan harjoittajat. Nämä toimijat käsittelevät sekä positiivisia että negatiivisia luottotietoja. Uutta positiivista luottotietorekisteriä valmistellaan kuitenkin oikeusvaltion kehittämisen ja sisäisen turvallisuuden ministerityöryhmän tekemän linjauksen mukaisesti siitä lähtökohdasta, että rekisteri olisi viranomaisen ylläpitämä. Toukokuussa 2020 positiivista luottotietorekisteriä valmistelevan hankkeen ohjausryhmä linjasi, että rekisterin rekisterinpitäjäksi tulisi esittää Verohallinnon Tulorekisteriyksikköä. Tämä ratkaisu tarkoittaisi, että Suomessa olisi myöhemmin viranomaiselle säädetty uusi luottotietojen käsittelytehtävä. Lainsäädännön valmistelusta vastaava alatyöryhmä on lisäksi ehdottanut, että positiiviseen luottotietorekisteriin saisi tallentaa muun muassa eräiden luottojen osalta maksuviivetiedot, tiedon rekisteröityä koskevan velkajärjestelyn maksuohjelman tai yrityssaneerausohjelman vahvistamisesta sekä tiedon menettelyn raukeamisesta, ja henkilön itse ilmoittamasta luottokiellosta (Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 2021:13). Näitä tietoja sisältyy myös luottotietolaissa tarkoitettuihin luottotietorekistereihin.

Luottotietotoiminnan harjoittamisella tarkoitetaan itsenäisenä elinkeinona harjoitettavaa luottotietojen keräämistä, muokkaamista ja tallentamista edelleen luovuttamista varten. Luottotietolaki on pitkälti rekisteripohjaista sääntelyä, joka käsittää sekä yritysluottotietorekistereitä että henkilöluottotietorekistereitä. Luottotietoja käsittelevät lisäksi erityisesti luotonantajat osittain luottotietolain ja osittain muun lainsäädännön nojalla. Luottotietotoiminnan tarkoituksena on edistää sopimusosapuolen tunnistamista ja tämän luotettavuuden arviointia sellaisissa tilanteissa, joissa maksu ei tapahdu samanaikaisesti kuin tavara tai palvelu annetaan tai muu suoritus täytetään. Yksi tällaisista tilanteista, joissa asiakkaan maksukyvyn ja luotettavuuden arviointi on keskeistä, on luotonanto. Luotonantaja kerää luottoriskien hallintaa varten tietoa luotonhakijasta useista eri lähteistä, joita luotonhakijan itsensä lisäksi voivat olla muun muassa luotonantajan omat asiakasrekisterit, viranomaisten rekisterit sekä liiketoimintana ylläpidettävät luottotietorekisterit. Luottotietorekistereihin tallennetaan voimassa olevan luottotietolain 13 §:n nojalla samoja tietoja kuin eräisiin viranomaisten rekistereihin.

Henkilön tai yrityksen maksukyvyn ja luotettavuuden arvioinnin avulla luotonantajat pystyvät paremmin ennalta estämään riskialtista luotonantoa. Riskienhallinta on keskeistä luottomarkkinoiden toimivuuden kannalta. Luottomarkkinoiden toimivuus puolestaan on tärkeää kaikenlaisen taloudellisen toiminnan kannalta. Luottotietojen merkitys on myös kasvanut monissa muissa tilanteissa, ja niitä käytetään esimerkiksi asunnonvuokraustoiminnassa, viranomaisten päätöksenteossa sekä työelämässä luotettavuuden arviointiin. Luotettavuuden arvioinnilla on merkitystä muun muassa viranomaiseen tai yritykseen kohdistuvien väärinkäytösten tai muun lainvastaisen toiminnan ennalta estämiselle. Luottotietoja hyödynnetään muun muassa turvallisuusselvitysten tekemisessä.

Toisaalta luottotietotoiminnan keskeisiin periaatteisiin kuuluu yksilöiden ja heidän muodostamiensa yhteisöjen oikeus tulla arvioiduksi oikeiden ja kussakin tilanteessa olennaisten tietojen perusteella. Luottotietotoiminnan harjoittajat hyödyntävät toiminnassaan laajalti myös viranomaisten rekistereihin sisältyviä tietoja, esimerkiksi kaupparekisterin, liiketoimintakieltorekisterin ja ulosottorekisterin tietoja. Ottaen huomioon, että luottotietojen käsittelyyn sisältyy myös erilaisten maksuhäiriöitä koskevien tietojen käsittelyä, joilla voi olla kielteisiä vaikutuksia rekisteröityyn, luottotietotoiminnan yksityiskohtainen ja tarkkarajainen sääntely on perusteltua. Luottotietolain säännökset palvelevat toisaalta luotto- ja rahoitusmarkkinoiden riskienhallintaa, ja toisaalta luottotietotoiminnan harjoittajalle laissa asetetut yksityiskohtaiset velvoitteet suojaavat sekä yrityksiä että luonnollisia henkilöitä siltä, että näitä arvioitaisiin virheellisten tai epäasiallisten tietojen perusteella. Luottotietotoiminnan sääntelyn voidaan siten katsoa täyttävän yleisen edun mukaisen tavoitteen.

Tässä esityksessä ehdotetaan, että tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta olisi luottotietolaissa tarkoitetun ilmoituksen tehneen luottotietotoiminnan harjoittajan suorittaman henkilöluottotietojen käsittelyn ensisijainen oikeusperuste. Luottotietolaissa tarkoitettu henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi. Luottotietotoiminnan harjoittaminen on merkittävä erilaisia yhteiskunnan toimijoita palveleva tehtävä, ja luottotietotoiminnalla ja siinä noudatettavilla menettelytavoilla voi olla välitön vaikutus ihmisten ja yritysten toimintamahdollisuuksiin. Arviota tukee Ruotsissa jo voimaan tulleita lainmuutoksia koskeva hallituksen esitys (Regeringens proposition 2017/18:120). Ruotsin hallituksen esitys lähti siitä, että luottotietotoiminta voi täyttää yleisen edun mukaisen tavoitteen. Tällaiseen ratkaisuun on päädytty myös Tanskassa. Tämän esityksen 1. lakiehdotuksen mukaisesti luottotietotoimintaa harjoittaisivat Suomessa edelleen yksityiset elinkeinonharjoittajat. Ehdotuksen mukaisesti kyseessä ei olisi julkinen hallintotehtävä. Tietosuoja-asetus myös mahdollistaa tällaisen ratkaisun.

Luottotietolain soveltamisala

Luottotietotoiminnan harjoittajien suorittaman henkilöluottotietojen käsittelyn ensisijainen oikeusperuste ei sulje pois muita henkilötietojen käsittelyn oikeusperusteita. Luottotietoja on mahdollista käsitellä myös muun lainsäädännön kuten luottolaitostoiminnasta annetun lain (610/2014) nojalla, vaikka voimassa olevaa luottotietolakia sovelletaan osin näissäkin tilanteissa. Erityisesti luottolaitosten ja muiden luotonantajien suorittaman henkilöluottotietojen käsittelyn oikeusperuste voi olla myös muu kuin 6 artiklan 1 kohdan e alakohta, esimerkiksi b alakohta, jolloin käsittely perustuisi sopimussuhteeseen rekisteröidyn kanssa ja siihen sovellettaisiin sellaisenaan tietosuoja-asetuksen säännöksiä. Luottotietolain säännökset ehdotetaan rajattavaksi selvemmin siten, että ne koskevat pääosin vain luottotietotoiminnan harjoittajia. Samalla luotonantajia koskeva sääntely olisi yhtenäisempää muiden EU:n jäsenvaltioiden lainsäädännön kanssa. Suurin osa EU:n jäsenvaltioista soveltaa erityisesti luotonantajien henkilötietojen käsittelyyn sellaisenaan tietosuoja-asetusta ja muuta luotonantajia koskevaa lainsäädäntöä.

Luottokelpoisuusarviot

Luottotietolaki sisältää erityissäännökset luottokelpoisuusarvioiden laadinnasta, jossa voidaan hyödyntää laissa nimenomaisesti mainittuja tietoja, mukaan lukien maksuhäiriötiedot. Riippumatta siitä, voitaisiinko luottotietolain 16 §:ssä tarkoitettujen luottokelpoisuusarvioiden laatiminen rinnastaa kaikissa tilanteissa tietosuoja-asetuksen 22 artiklassa tarkoitettuun profilointiin, luottotietolain mukaisella profiloinnilla on merkittäviä vaikutuksia rekisteröityyn. Ottaen huomioon luottotietolain 16 §:ssä tarkoitettujen luonnollista henkilöä koskevien luottokelpoisuusarvioiden laadinnassa hyödynnettyjen tietojen luonteen ja arvioiden vaikutukset, luottotietolain 16 §:ään ehdotetaan lisättäväksi säännökset erityisistä suojatoimista. Ehdotetun 16 §:n 2 momentin mukaan rekisteröidyllä olisi mahdollisuus esittää kantansa luottokelpoisuusluokasta ja tarvittaessa vaatia luottokelpoisuuden uudelleenarviointia luottotietotoiminnan harjoittajan toimesta.

Säilytysajat

Esityksessä ehdotetaan, että saatavan suorittaminen lyhentäisi eräiden henkilöluottotietojen säilytysaikoja yhteen kuukauteen. Henkilöluottotietoja, joiden säilytysaika lyhenisi, olisivat viranomaisen toteamat maksuhäiriötiedot, ulosottotiedot ja velkojan ilmoittamat maksuhäiriötiedot. Konkurssia koskevien tietojen säilytys sidottaisiin selkeämmin tietojen säilytykseen konkurssi- ja yrityssaneerausrekisterissä. Ulosottotietojen säilytysaikaan tehtäisiin täsmennys koskien henkilöluottotietojen poistamista silloin, kun saatava on vanhentunut lopullisesti. Myös luottotietolain 18 §:n 3 momentin mukainen uuden maksuhäiriömerkinnän pidentävä vaikutus ehdotetaan poistettavaksi. Jokaisen maksuhäiriömerkinnän säilytysaika olisi itsenäinen. Uudella maksuhäiriömerkinnällä ei olisi vaikutusta vanhan maksuhäiriömerkinnän säilytysaikaan.

Eräiden yritysluottotietojen säilytysaikoja ehdotetaan muutettavaksi sääntelyn johdonmukaisuuden varmistamiseksi ja siksi, että niillä on samantapaisia kielteisiä vaikutuksia kuin henkilöluottotiedoilla erityisesti pienten yritysten asemaan. Yritysluottotietojen osalta saatavan suorittaminen lyhentäisi maksuhäiriömerkintöjen säilytysaikaa yhteen kuukauteen silloin, kun maksuhäiriömerkinnät perustuvat tietoon velkomustuomiosta, vekselin protestista, tietyistä ulosottoasioista, tietyistä julkaistuista vero- tai vakuutussaatavista tai tratasta. Konkurssia koskevien tietojen osalta tehtäisiin vastaava muutos kuin henkilöluottotietojen osalta, eli maksuhäiriömerkinnän säilytys sidottaisiin selkeämmin tietojen säilytykseen konkurssi- ja yrityssaneerausrekisterissä. Lisäksi muutettaisiin 28 §:n 1 momentin 8 kohdan mukaista liiketoimintakieltoa koskevan merkinnän säilytysaikaa siten, että merkintä poistettaisiin luottotietorekisteristä, kun liiketoimintakielto päättyy. Yritysluottotietojen osalta ehdotetaan henkilöluottotietoja vastaavasti, että merkinnän säilytysaika ei enää pidentyisi uuden merkinnän johdosta. Näin ollen jokaisen yritysluottotietona talletettavan maksuhäiriömerkinnän säilytysaika olisi itsenäinen ja riippumaton tulevista merkinnöistä.

Asiakashäiriörekisterit

Maksupalvelulaissa sallitaan niin sanottujen asiakashäiriötietojen käsittely. Säännöksillä on pantu täytäntöön maksupalveludirektiivin vaatimukset. Sääntely ei kuitenkaan ole yhtä yksityiskohtaista ja tarkkarajaista kuin vastaava luottolaitoksia ja maksulaitoksia koskeva sääntely, joka sisältyy luottolaitostoiminnasta annettuun lakiin. Eduskunta on jo aiemmin hyväksynyt hallituksen esityksen (HE 87/2019 vp; StVM 1/2020 vp; EV 12/2020 vp), jolla ehdotettiin oikeutta käsitellä tietoja rikoksista ja rikosepäilyistä sisällytettäväksi ulkomaisista vakuutusyhtiöistä annettuun lakiin (398/1995) ja vakuutusyhtiölakiin (521/2008). Hyväksytty sääntely vastaa pitkälti luottolaitostoiminnasta annetun lain säännöksiä. Luottolaitoksia ja maksulaitoksia koskevia säännöksiä ei ole hyväksytty perustuslakivaliokunnan myötävaikutuksella, mutta perustuslakivaliokunta on vakuutuslaitoksia koskevia lakiehdotuksia käsitellessään katsonut, että asiakashäiriörekistereitä koskevalla sääntelyllä tavoiteltu päämäärä on hyväksyttävä (PeVL 17/2019 vp).

Maksupalvelulakia ehdotetaan muutettavaksi siten, että lain 86 §:ään sisältyisi viittaus luottolaitostoiminnasta annetun lain 15 luvun 18 a §:ään. Vastaava viittaus sisältyy myös maksulaitoslakiin. Ottaen huomioon, että osa maksupalveluntarjoajista on samalla maksulaitoksia tai luottolaitoksia, kyseisiä maksupalveluntarjoajia koskee jo luottolaitostoiminnasta annetun lain sisältämä sääntely. Toisaalta se, että ne voivat käsitellä vastaavissa tilanteissa asiakashäiriötietoja maksupalvelulain nojalla löyhemmin vaatimuksin, voisi mahdollistaa luottolaitostoiminnasta annetun lain säännösten kiertämisen. Toisaalta on huomioitava, että Suomessa toimii myös pienempiä maksupalveluntarjoajia, joiden osalta on epäselvää, missä määrin ne ovat käsitelleet asiakashäiriötietoja maksupalvelulain nojalla. Näiden palveluntarjoajien osalta olisi tärkeää varmistaa, että ne eivät voi käsitellä arkaluonteisina pidettäviä tietoja erilaisin perustein kuin suuremmat maksupalveluntarjoajat.

Perustuslakivaliokunta on pitänyt edelleen tärkeänä, että arkaluonteisten tietojen osalta sääntely on yksityiskohtaista ja tarkkarajaista. Voimassa olevien maksupalvelulain säännösten ei arvioida täyttävän näitä vaatimuksia. Lisäksi perustuslakivaliokunta on vakuutuslainsäädännön osalta pitänyt tärkeänä varmistaa, että sääntely on yhdenmukaista tietosuoja-asetuksen kanssa. Maksupalvelulain muuttamista koskevien muutosten valmistelun yhteydessä on arvioitu luottolaitostoiminnasta annetun lain sisältämien säännösten riittävyyttä suhteessa siihen, mitä tietosuoja-asetus edellyttää rikoksiin liittyvien tietojen käsittelyä koskevilta suojatoimilta. Sääntelyn arvioidaan täyttävän sekä arkaluonteisten tietojen käsittelyä koskevan yksityiskohtaisuuden ja tarkkarajaisuuden vaatimukset että tietosuoja-asetuksen vaatimukset, mistä syystä maksupalveluntarjoajiin ehdotetaan sovellettavaksi sellaisenaan luottolaitostoiminnasta annetun lain säännöksiä. Maksupalvelulaissa tarkoitettujen asiakashäiriörekistereihin liittyvän henkilötietojen käsittelyn oikeusperusteena olisi tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. Maksupalvelutoimintaan kohdistuvien petosten ja muiden väärinkäytösten ennalta estämistä pidettäisiin e alakohdassa tarkoitettuna yleistä etua koskevan tehtävän suorittamisena.

4.2 Pääasialliset vaikutukset
4.2.1 Tietosuojalainsäädännöstä johtuvien muutosten merkittävimmät vaikutukset

Luottotietolain ja maksupalvelulain muutokset vahvistavat henkilötietojen suojaa ja rekisteröidyn luonnollisen henkilön oikeusturvaa. Merkittävimmät vaikutukset luonnollisille henkilöille seuraisivat ehdotetuista luottotietolain 16 §:ään lisättävistä suojatoimista. Rekisteröidyn oikeuksia vahvistavat vaikutukset kohdistuisivat kaikkiin luottotietorekistereihin rekisteröityihin luonnollisiin henkilöihin. Sääntelyn selkiyttämisen arvioidaan samalla edistävän sitä, että luottotietojen käyttäjät huomioisivat itseään koskevat velvoitteet paremmin. Paremman tietoisuuden arvioidaan pidemmällä aikavälillä vähentävän riskejä lainvastaisesta käsittelystä ja henkilötietojen tietoturvaloukkauksista.

Tietosuojalainsäädännön uudistamisesta on aiheutunut merkittäviä taloudellisia vaikutuksia. Vaikutukset ovat seuranneet pääosin suoraan tietosuoja-asetuksesta, jonka soveltaminen on jo alkanut, mutta lisävaikutuksia on aiheutunut tietosuoja-asetusta täydentävästä tietosuojalaista. Aiempaa yksityiskohtaisemmista ja tiukemmista vaatimuksista on aiheutunut eri tasoisia kustannuksia sekä valvontaviranomaisille että elinkeinonharjoittajille rekisterinpitäjinä ja henkilötietojen käsittelijöinä. Tietosuojalainsäädännön vaatimusten noudattaminen on aiheuttanut näille toimijoille myös tarpeita tehdä muutoksia muun muassa toimintatapoihin ja tietojärjestelmiin.

Esityksessä ehdotetuilla lainmuutoksilla ei pääsääntöisesti olisi itsenäisiä tietosuojavaatimuksista aiheutuvia taloudellisia vaikutuksia, joita ei ole jo syntynyt yleisen henkilötietojen käsittelyä koskevan sääntelyn voimaantulosta. Esityksen tarkoituksena on saattaa muutettavat säännökset EU:n tietosuojalainsäädännön vaatimusten mukaisiksi ja selkiyttää niiden suhdetta sovellettaviin henkilötietojen käsittelyä koskeviin yleissäädöksiin. Esityksen sisältämien lakiehdotusten sisältämät, tietosuojalainsäädännöstä johtuvat muutokset ovat luonteeltaan pääosin teknisiä, eikä esityksellä siten tältä osin arvioida olevan merkittäviä taloudellisia tai muita yhteiskunnallisia vaikutuksia. Muutokset on myös laadittu siten, että niissä on pyritty varmistamaan nykytilan ja käytäntöjen säilyminen mahdollisimman pitkälti. Merkittävimmät vaikutukset liittyvät erityisesti luottotietolain mukaisiin luottokelpoisuusarvioihin ja maksupalvelulain muutoksiin, jotka koskevat väärinkäytösrekistereitä. Nämä muutokset koskevat oleellisesti yksityisiä yhteisöjä rekisterinpitäjinä, joille voi aiheutua eri tasoisia vaikutuksia yrityksen koosta ja nykyisistä käytännöistä riippuen.

Ehdotetut tietosuoja-asetuksesta johtuvat luottotietolain muutokset kohdistuisivat erityisesti sellaisiin luottotietotoiminnan harjoittajiin, jotka käsittelevät henkilöluottotietoja. Pelkästään yritysluottotietoja käsitteleville vaikutukset olisivat vähäisiä. Tietosuoja-asetuksesta johtuvat lainmuutokset eivät myöskään merkitse aineellisia muutoksia muiden luottotietojen käsittelijöiden kuin luottotietotoiminnan harjoittajien osalta. Muutoksilla ei olisi myöskään niiden osalta taloudellisia vaikutuksia. Muutokset, joilla osa säännöksistä rajattaisiin koskemaan tarkkarajaisemmin luottotietotoiminnan harjoittajia, ja muita luottotietojen käsittelijöitä koskevien säännösten keskittäminen 2 lukuun ja 19 §:ään, voisivat kuitenkin aiheuttaa ohjeiden tarkistustarpeita muillekin kuin luottotietotoiminnan harjoittajille. Näillä muutoksilla huomioitaisiin voimassa olevan lain esitöissä tehdyt linjaukset siitä, mitkä säännöksistä koskevat muita kuin luottotietotoiminnan harjoittajia. Muutokset vastaisivat siten voimassa olevan lain tarkoitusta. Muut luottotietolain säännökset eivät lain esitöiden mukaan ole tarkoitettu koskemaan luotonantajia tai muita luottotietojen käyttäjiä, joille tietoja luovutetaan lain 19 §:n mukaisesti. Tästä johtuen mahdollisen hallinnollisen taakan arvioidaan jäävän vähäiseksi.

Luottotietolain 16 § rajattaisiin koskemaan voimassa olevia säännöksiä selkeämmin luottotietotoiminnan harjoittajia ja muutoksen vaikutukset kohdistuisivat lähinnä niihin. Koska ehdotetut suojatoimet eivät koskisi luotonantajia, näille ei aiheutuisi kustannusvaikutuksia. Luotonantajat soveltavat jo nykyisellään automatisoituun päätöksentekoon ja profilointiin sellaisenaan tietosuoja-asetuksen 22 artiklan säännöksiä, eivätkä näiden käytännöt muuttuisi myöskään siten, että ehdotuksesta aiheutuisi hallinnollista taakkaa. Ehdotettujen maksupalvelulain muutosten vaikutukset kohdistuisivat lähinnä sellaisiin maksupalveluntarjoajiin, jotka eivät ole luottolaitoksia tai maksulaitoksia.

Ehdotuksista ei aiheutuisi kustannuksia luonnollisille henkilöille tai viranomaisille. Tietosuojavaltuutetulle voisi kuitenkin aiheutua eräiden muutosten seurauksena lisätyötä, joka riippuisi rekisteröityjen aktiivisuudesta. Tietosuojaan liittyvä vaikutustenarviointi on laadittu virkatyönä. Lausuntokierroksella pyydetiin lausunnonantajia ottamaan erityisesti kantaa vaikutustenarviointiin, jota on tarkennettu yhteistyössä eräiden lausunnonantajien kanssa osana jatkovalmistelua.

4.2.2 Maksuhäiriömerkintöjen säilytysaikojen muutosten merkittävimmät vaikutukset

Maksuhäiriötietojen säilytysaikoja koskevat muutokset eivät johdu sellaisenaan tietosuoja-asetuksesta, vaikka tietosuoja-asetus edellyttää myös niiden oikeasuhteisuuden arviointia. Säilytysaikojen lyhentämisen vaikutuksia on arvioitu edellä mainitussa erillisessä hankkeessa yksityiskohtaisemmin. Tähän esitykseen on sisällytetty lausuntopalautteen huomioiden keskeisimmät vaikutukset.

Tällä hetkellä noin 392 000 henkilöllä on maksuhäiriömerkintä. Säilytysaikojen lyhentämisellä saatavan suorituksella arvioidaan olevan jäljempänä kuvattuja positiivisia vaikutuksia erityisesti niille henkilöille ja yrityksille, jotka ovat saaneet tai saavat merkinnän perusteena olevan saatavan suoritettua. Luonnollisia henkilöitä, joiden kaikissa yksittäisissä maksuhäiriömerkinnöissä on suoritusta koskeva merkintä, on ollut esitystä laadittaessa noin 9 700. Yrityksiä, joiden kaikissa yksittäisissä maksuhäiriömerkinnöissä on suoritusta koskeva merkintä, on ollut noin 6 200.

Säilytysaikojen muutoksilla arvioidaan olevan eri asteisia vaikutuksia luottotietotoiminnan harjoittajiin ja luottotietoja käyttäviin tahoihin. Luottotietotoiminnan harjoittajille aiheutuisi tietojärjestelmävaikutuksia. Merkittävimmät vaikutukset kohdistuisivat luottolaitoksiin ja muihin luotonantajiin luotonmyönnössä ja luottoriskinhallinnassa. Vaikutukset kohdentuisivat eri tavoin riippuen luotonantajan toiminnan laajuudesta ja luonteesta. Viranomaisista erityisesti Ulosottolaitokselle arvioidaan aiheutuvan taloudellisia vaikutuksia. Myös säilytysaikojen muutosten vaikutustenarviointi on pääosin laadittu virkatyönä. Säilytysaikojen vaikutusten arvioinnissa on käytetty apuna muun muassa esiselvitystyönä laadittua arviomuistiota koskevaa lausuntopalautetta, luottotietotoiminnan harjoittajien tilastoja, ylivelkaantumista ja maksuhäiriöitä koskevaa tutkimustietoa ja sidosryhmien kuulemista.

4.2.3 Vaikutukset kotitalouksiin

Maksuhäiriömerkintöjen säilytysaikojen lyhentämisellä helpotettaisiin niiden velallisten asemaa, jotka kykenevät suorittamaan laiminlyödyt maksunsa. Maksuhäiriömerkintä vaikeuttaa tai jopa kokonaan estää luoton saannin ja voi vaikeuttaa esimerkiksi kotivakuutuksen ja vuokra-asunnon saamista. Saatavan suorittamiseen perustuvalla maksuhäiriötietojen lyhemmällä säilytysajalla voitaisiin lievittää merkinnöistä aiheutuvia kielteisiä seurauksia ja näin parantaa taloudellisiin vaikeuksiin ajautuneiden ihmisten ja kotitalouksien asemaa.

Esimerkiksi Ruotsia koskevan tutkimuksen perusteella maksuhäiriömerkintöjen säilytysaikojen lyhentäminen lisäsi merkittävästi työllisyyttä, lisäsi liikkuvuutta alueiden välillä, paransi ansioita ja lisäsi luotonantoa. (Bos, Breza ja Liberman (2016): The Labor Market Effects of Credit Market Information, National Bureau of Economic Research, Working Paper Series). Ruotsin kokemuksista säilytysaikojen lyhentämisestä ei voi johtaa suoria johtopäätöksiä esityksen määrällisistä vaikutuksista, koska Ruotsia koskeva tutkimus kohdistui erilaiseen kohderyhmään ja Ruotsin laki poikkeaa sisällöllisesti luottotietolaista. Esityksen vaikutukset kohdistuvat pääasiassa niihin henkilöihin, jotka suorittavat kaikki maksuhäiriöihin johtaneet velkansa. Näitä on tällä hetkellä Asiakastieto Oy:n tietojen mukaan noin 9 700 henkilöä. Ruotsin kokemusten perusteella voidaan kuitenkin saada tukea yleiselle arviolle siitä, että ehdotetuilla muutoksilla olisi myönteistä vaikutusta velkansa suorittaneiden ja sen kautta maksuhäiriömerkinnän pois saaneiden henkilöiden asemaan, kuten työllisyyteen tai luotonsaantiin

Muutoksilla voi myös olla luonnollisen henkilön elämän hallintaa ja hyvinvointia kohentavaa vaikutusta. Terveyden ja hyvinvoinnin laitos (THL) on arvioinut vaikutuksen olevan erityisen merkittävä nuorille. Ylivelkaantuminen on merkittävä terveyttä ja hyvinvointia heikentävä tekijä, joka liittyy erityisesti tilanteen pitkään kestoon. Ylivelkaantumiseen liittyvillä terveys- ja hyvinvointivaikutuksilla voi myös olla merkitystä laajemmin yhteiskunnalle.

Toisaalta maksuhäiriömerkinnän nopeampi poistuminen rekisteristä ei automaattisesti tarkoita merkinnän taustalla olevien taloudellisten vaikeuksien lakkaamista. Lainanhakijan luottokelpoisuuden arvioinnin tekeminen entistä heikommalla tietopohjalla voi johtaa yksittäistapauksissa siihen, että luottoa myönnetään henkilöille, joilla ei ole mahdollisuuksia suoriutua takaisinmaksusta, mikä voi yksilön kannalta johtaa nopeasti uusiin maksuhäiriömerkintöihin ja sitä kautta jopa lisätä ylivelkaantumista. Mahdollisten heikompilaatuisten luottopäätösten teko voi johtaa myös siihen, että luotonantajat nostavat luottojen hintaa ainakin osan lainanhakijoiden osalta tai että entistä useammalle lainanhakijalle ei myönnettäisi luottoa. Riskinä on myös, että joissakin tapauksissa maksuhäiriömerkintöjen nopeampi poistuminen suorituksen johdosta voi kannustaa maksamaan velkaa muilla keinoilla kuten varoja lähipiiriltä lainaamalla esim. asunnonhakutilanteessa.

Henkilöluottotietoja saa luovuttaa ja käyttää laissa säädetyissä tilanteissa työnhakijan ja työntekijän luotettavuuden arvioimiseksi, kun työnhakijan on tarkoitus toimia työtehtävissä, jotka edellyttävät erityistä luotettavuutta esimerkiksi silloin, kun tehtäviin sisältyy päätäntävaltaa tehdä työnantajan puolesta merkittäviä taloudellisia sitoumuksia, tai valittaessa henkilö yrityksen vastuuhenkilöksi. Maksuhäiriötiedot voivat joissakin tapauksissa estää työpaikan saannin tai työtehtävissä etenemisen. Maksuhäiriötietojen nopeampi poistuminen voisi yksittäistapauksissa helpottaa yksilön työnsaantia tai etenemistä toisiin tehtäviin.

Ehdotetut säilytysaikojen muutokset parantaisivat merkittävimmin sellaisten henkilöiden asemaa, joiden osalta merkinnät ovat liittyneet tilapäisiin talousvaikeuksiin. Niiden henkilöiden tarkkaa lukumäärää, joita muutos koskee, on kuitenkin vaikea arvioida.

4.2.4 Yritysvaikutukset

Vaikutukset velallisiin yrityksiin

Maksuhäiriömerkinnästä yrittäjälle aiheutuvat seuraukset ovat usein vastaavia kuin yksityishenkilölle, eli merkinnän johdosta esimerkiksi luotonsaanti, toimitilan vuokrasopimuksen tekeminen tai tarvikkeiden tilaaminen laskulle hankaloituvat. Suomen Yrittäjien mukaan yritysten ei ole aina mahdollista saada edes vakuus- tai etukäteismaksua vastaan vakuutuksia tai muita yrittämiseen tarvittavia peruspalveluita. Taloudellisesti vaikeuksissa olevan yrityksen maksuhäiriömerkinnät voivat vaikuttaa paitsi vastuuhenkilöön, myös vastuuhenkilön toisiin yrityksiin. Maksuhäiriömerkintöjen säilytysaikojen lyhentäminen tapauksissa, joissa merkinnän aiheuttanut saatava on kokonaan suoritettu, helpottaisi toisaalta yritystoiminnan harjoittamista ja yritystoiminnan aloittamista. Ehdotetuilla muutoksilla voi olla työllisyyttä lisäävää vaikutusta muun muassa sen johdosta, että se parantaa mahdollisuutta yrittäjän uuteen alkuun.

Mahdollisen luotonsaannin vaikeutumisen ja luoton hinnan nousuun liittyvien vaikutusten lisäksi yrityksille seuraisi muunlaisia yritysrahoitukseen liittyviä vaikutuksia erityisesti silloin, kun luottotietojen käyttäjät arvioivat asiakasyritykseen liittyviä riskejä arvioidessaan, voiko tavaroita tai palvelua myydä laskulla tai luottokauppana. Se, että osa maksuhäiriötiedoista olisi käytettävissä nykyistä lyhyemmän ajan, saattaisi johtaa nykyistä enemmän ennakkomaksujen tai vakuuksien vaatimiseen. Muutos saattaa näin ollen vaikeuttaa yritysten välistä kaupankäyntiä ja kasvattaa näiden kustannuksia. Toisaalta esityksellä ei ehdoteta muutoksia yrityksen maksutapatietoihin, joista säädetään luottotietolain 25 §:ssä ja joita myös voidaan käyttää yrityksen luottokelpoisuutta arvioitaessa.

Luottotietotoiminnan harjoittajat

Luottotietolain ehdotetuista tietosuoja-asetuksesta johtuvista muutoksista aiheutuisi kustannuksia pääosin niille luottotietotoiminnan harjoittajille, jotka käsittelevät henkilöluottotietoja. Kustannusvaikutusten arvioidaan seuraavan erityisesti siitä, että yritykset joutuisivat jossain määrin sopeuttamaan toimintaansa lainmuutoksiin. Luottotietotoiminnan harjoittajille aiheutuvien kustannusten suuruutta on mahdotonta arvioida tarkasti, huomioiden, että lainmuutosten aiheuttamia muutoksia on vaikea erottaa muutoksista, jotka on tullut jo toteuttaa tietosuoja-asetuksen soveltamiseksi. Toisaalta ei voida sulkea pois ylimääräisiä kustannusvaikutuksia, jotka aiheutuisivat erityisesti luonnollisen henkilön luottokelpoisuusarvioiden laatimista koskeviin säännöksiin ehdotetuista muutoksista. Mahdollisten lisäkustannusten arvioidaan kuitenkin jäävän kohtuullisiksi. Muutokset eivät myöskään aiheuttaisi kielteisiä vaikutuksia luottotietotoiminnan harjoittamisen edellytyksiin, yritysten väliseen kilpailuun tai muihin elinkeinotoiminnan ehtoihin, koska ne kohdistuisivat saman tasoisina Suomessa palveluita tarjoaviin yrityksiin. Kustannusvaikutusten ja hallinnollisen taakan suuruus voi kuitenkin riippua luottotietotoiminnan harjoittajan muutettaviin säännöksiin perustuvan toiminnan luonteesta ja laajuudesta. Niille luottotietotoiminnan harjoittajille, jotka käsittelevät pelkästään yritysluottotietoja, ei aiheutuisi kustannusvaikutuksia, lukuun ottamatta jäljempänä mainittuja vaikutuksia, jotka aiheutuvat ehdotetuista muutoksista eräiden luottotietojen säilytysaikoihin. Yritysluottotietojen käsittelyn osalta laissa säädetyt vaatimukset eivät muuttuisi muilta osin.

Henkilöluottotietojen luovuttamista koskeviin säännöksiin ehdotetaan lainsäädäntöteknisiä muutoksia, jotka kuitenkaan eivät tarkoittaisi merkittäviä muutoksia luottotietotoiminnan harjoittajien henkilötietojen luovuttamista koskeviin käytäntöihin. Tiedonluovutuksia koskevat vaatimukset säilyisivät liiketoimintakieltoja lukuun ottamatta nykyisellään. Liiketoimintakieltojen luovuttamista koskevat säännökset rajattaisiin koskemaan nimenomaisesti voimassa olevia liiketoimintakieltoja. Tämän muutoksen kustannusvaikutuksia ei voida täysin sulkea pois, mutta nykyisinkään salassa pidettäviä päättyneitä liiketoimintakieltoja koskevia tietoja ei tulisi luovuttaa. Näitä luovutuksia koskevien mahdollisten ohjeiden tarkistuksesta voisi aiheutua vähäistä hallinnollista taakkaa. Mahdolliset kustannusvaikutukset tai hallinnollinen taakka riippuisivat luottotietotoiminnan harjoittajan henkilötietojen luovutusten laajuudesta.

Luottotietolakiin tehtäisiin lisäksi useita lainsäädäntöteknisiä muutoksia tietosuoja-asetuksen suoraan sovellettavien säännösten huomioimiseksi. Nämä koskisivat erityisesti luottotietojen kirjaamista koskevia vaatimuksia ja rekisteröidyn informointia sekä valvontaa. Osa säännöksistä rajattaisiin kuitenkin tarkkarajaisemmin koskemaan luottotietotoiminnan harjoittajia, ja muita luottotietojen käsittelyjöitä koskevat säännökset pyrittäisiin keskittämään 2 lukuun ja 19 §:ään, jotta sääntely olisi läpinäkyvämpää rekisteröityjen luonnollisten henkilöiden kannalta ja selkeämpää luottotietojen käsittelijöiden kannalta. Näillä muutoksilla huomioitaisiin voimassa olevan lain esitöissä tehdyt linjaukset siitä, mitkä säännöksistä koskevat muita kuin luottotietotoiminnan harjoittajia. Muutokset vastaisivat siten voimassa olevan lain tarkoitusta. Vähäistä hallinnollista taakkaa voisi aiheutua luottotietotoiminnan harjoittajille mahdollisten henkilökuntaa koskevien ohjeiden tarkistamisesta sekä siitä, että luonnollisen henkilön informointia koskeviin velvoitteisiin tultaisiin muutosten myötä soveltamaan sellaisenaan tietosuoja-asetuksen säännöksiä lukuun ottamatta eräitä velvoitteita, jotka perustuvat EU:n kuluttajansuojalainsäädännön täytäntöönpanoon. Nämä kuitenkin koskevat lähinnä luottotietojen muita käsittelijöitä kuin luottotietotoiminnan harjoittajia. Vastaavasti hallinnollista taakkaa voisi aiheutua siitä, että luottotietolain säännöksiä sovellettaisiin pelkästään muiden virheiden kuin virheellisten henkilötietojen oikaisuun. Henkilötietojen oikaisuun sovelletaan suoraan tietosuoja-asetusta.

Merkittävimmät taloudelliset vaikutukset henkilöluottotietoja käsitteleville luottotietotoiminnan harjoittajille aiheutuisivat siitä, että luottotietolain 16 §:ään ehdotetaan erityisiä suojatoimia rekisteröidyn oikeuksien turvaamiseksi. Vaikka osa vaatimuksista käytännössä seuraisi suoraan sovellettavista tietosuoja-asetuksen säännöksistä, ehdotetut suojatoimet aiheuttaisivat muutoksia luottotietotoiminnan harjoittajien käytäntöihin. Suojatoimenpiteet voisivat erityisesti lisätä rekisteröityjen pyyntöjä muodostetun luottokelpoisuusarvion uudelleenarvioinnista. Taloudelliset vaikutukset riippuvat luottotietotoiminnan harjoittajan nykyisistä profilointikäytännöistä ja niiden laajuudesta sekä siitä, missä määrin rekisteröidyt käyttäisivät oikeuksiaan. Lisäksi tarkat vaikutukset määrittyisivät sen mukaan, millä tavalla menettely poikkeaisi siitä, mitä sovelletaan virheellisten henkilöluottotietojen oikaisuun voimassa olevien lain säännösten ja tietosuoja-asetuksen nojalla. Hallinnollista taakkaa tai kustannusvaikutuksia voisi aiheutua myös henkilökunnan ohjeistuksesta. Taloudellisten vaikutusten arvioidaan vaihtelevan hallinnollisesta taakasta suoriin kustannusvaikutuksiin. Mahdollisten kustannusvaikutusten arvioidaan olevan enintään 1-2 henkilötyövuotta. Kustannusvaikutukset saattaisivat kuitenkin muotoutua suuremmiksi, jos luottokelpoisuusarvioihin sovellettaisiin suoraan tietosuoja-asetuksessa säädettyjä suojatoimia. Kustannusvaikutusten kohtuullistamiseksi esityksessä ehdotetaan paremmin luottotietotoiminnan luonteen huomioivia suojatoimia.

Säilytysaikojen lyhentämisellä olisi tietojärjestelmävaikutuksia, jotka kohdistuisivat sekä henkilöluottotietoja että yritysluottotietoja käsitteleviin luottotietotoiminnan harjoittajiin. Suoritusta koskevien ilmoitusten käsittely lisäisi luottotietotoiminnan harjoittajien työmäärää. Maksuhäiriömerkinnän pidentävästä vaikutuksesta luopuminen kuitenkin selkeyttäisi sovellettavaa lainsäädäntöä ja vähentäisi tietojen kirjauksen osalta selvitystyön määrää sekä asiakkaiden neuvontatarpeita. Säilytysaikojen muutoksista aiheutuva lisätyö jäisi siten kokonaisuutena vähäiseksi.

Siltä osin kuin poistettavat maksuhäiriömerkinnät ovat vaikuttaneet luonnollisen henkilön tai yrityksen luottokelpoisuusarvion muodostamiseen, tietojen poistamisesta voisi myös aiheutua tarvetta tarkistaa luottokelpoisuusarvioita. Tästä ei kuitenkaan aiheutuisi vastaavaa työmäärää kuin ehdotettavista uusista rekisteröidyn suojatoimista arvioidaan aiheutuvan. Luottotietotoiminnan harjoittajien arvion mukaan muutoksella ei olisi merkittävää vaikutusta käytettyihin luottoluokitusmenetelmien tekniseen toteutukseen, mutta muutoksella olisi vaikutusta käytettävien menetelmien ennustuskykyyn.

Luottolaitokset

Maksuhäiriötietojen säilytysaikoja koskevilla muutoksilla olisi vaikutuksia luottolaitoksiin. Luottolaitokset käyttävät maksuhäiriötietoja luotonmyöntöä varten sekä luotto- ja vastapuoliriskien hallintaa koskevien vaatimusten noudattamiseksi. Vaatimukset perustuvat luottolaitostoiminnasta annettuun lakiin, kuluttajansuojalakiin ja Finanssivalvonnan määräyksiin. Luottopäätöksen on Finanssivalvonnan määräysten mukaan perustuttava luottoanalyysiin. Luottoanalyysin pitää antaa riittävän kattava kuva luottoa hakevasta asiakkaasta, tämän luottokelpoisuudesta ja rahoitettavasta hankkeesta. Taloudellisen aseman ja luottokelpoisuuden selvittämiseksi yritysasiakkaan tilinpäätöstiedot ja henkilöasiakkaan tulo- ja menotiedot sekä luottotiedot ovat perustietoja, joita hyödynnetään luottopäätösten tekemisessä. Finanssivalvonnan antaman määräyksen mukaan luottopäätöksessä on kiinnitettävä huomiota muun muassa velallisen takaisinmaksuhistoriaan, nykyiseen takaisinmaksukykyyn ja arvioon tulevasta takaisinmaksukyvystä velallisen kaikki varat ja vastuut huomioiden. Tämä on yksi lukuisista huomioitavista seikoista, minkä lisäksi asunto-osakeyhtiöluottojen ja yritysluottojen osalta on ylimääräisiä huomioitavia tekijöitä. Yritysluottojen osalta huomioidaan myös esimerkiksi arvio yrityksen johdon kyvykkyydestä ja asiantuntemuksesta.

Maksuhäiriömerkintöjen säilytysaikojen lyhentäminen merkitsisi, että luottopäätöksen tekemistä varten olisi käytettävissä vähemmän tietoja tai vaihtoehtoisesti lainanhakijan maksuhistoriastaan antamat tiedot jouduttaisiin todentamaan muista lähteistä, erityisesti viranomaisrekistereistä. Vaikutukset kohdistuisivat merkittävämmin uusiin asiakkaisiin, joiden osalta maksuhistoriatietoja ei olisi käytettävissä. Uudet asiakkaat joutuisivat mahdollisesti toimittamaan tilitietojaan pidemmältä ajalta kuin luotonmyöntömenettelyissä nykyisin edellytetään. Myös ulosottorekisteristä saatavien todistusten käyttö luottokelpoisuusarvioinnissa voisi yleistyä. Luotonmyöntöprosessin muutoksista aiheutuisi hallinnollista taakkaa ja luotonmyöntöprosessin kustannukset voisivat nousta. Lisäksi on mahdollista, että luottohakemusten käsittelyajat pitenisivät.

Maksuhäiriömerkintöjen säilytysaikojen lyhentäminen vaikeuttaisi luottoriskin arviointia ja voisi johtaa siihen, että luotonantajat tekevät aiempaa heikompilaatuisia luottopäätöksiä, mikä voi puolestaan johtaa nykyistä suurempiin luottotappioihin. Asiakkaan luottoriski arvioitaisiin todennäköisesti monissa tapauksissa korkeammaksi kuin nykyisten säilytysaikojen puitteissa, mikä voisi johtaa siihen, että luotonantajat nostavat luottojensa hintaa asiakkaille kompensoidakseen riskitason kasvua. Lisäksi on mahdollista, että heikompilaatuisten luottopäätösten ja siitä johtuvan riskitason nousun myötä osa sellaisista asiakkaista, joille nykyisin annettaisiin myönteinen luottopäätös, eivät saisi sitä jatkossa.

Maksuhäiriöistä saatava tieto on tärkeää, jotta luottoriskiä voidaan mitata luotettavasti koko luoton elinkaaren ajan. Luoton seurannassa uudet maksuhäiriömerkinnät voivat viedä asiakkaan maksukyvyttömäksi tai ne voivat huonontaa asiakkaan luottoluokitusta. Tämä on tärkeä osa luottoriskin ja vakavaraisuuden hallintaa. Vanhojen maksuhäiriötietojen käyttö pankkien luottoriskimalleissa parantaa ja tarkentaa niiden ennustetta asiakkaan tulevasta maksukyvyttömyydestä. Toisaalta tieto siitä, että asiakkaalla ei ole vanhoja maksuhäiriömerkintöjä parantaa ennustetta siitä, että asiakas tervehtyy tai pysyy luottoriskimielessä hyvänä.

Säilytysaikojen lyhentämisellä voisi olla vaikutusta luottolaitosten vakavaraisuuslaskennassa ja se voisi vaikuttaa myös maksukyvyttömyyden määritelmään ja sisäisten luottoluokitusten menetelmää (IRBA) soveltavien pankkien vakavaraisuuslaskennan riskiparametrimalleihin. Jos maksuhäiriömerkintöjen käyttäminen riskiarvioinnissa ja -hallinnassa hankaloituu, on mahdollista, että ongelmaluottojen ja luottotappioiden määrät kasvaisivat. Ehdotetuilla lainmuutoksilla ei todennäköisesti olisi vaikutuksia rahoitusmarkkinoiden vakauteen, koska maksuhäiriöitä koskevaa tietoa on saatavilla myös muista lähteistä. Lisäksi sellaisia henkilöitä, joilla on maksuhäiriömerkintä ja joiden kaikki saatavat on suoritettu, on arvioitu olevan vähän suhteessa maksuhäiriöisten henkilöiden kokonaislukumäärään.

Ehdotetuista säilytysaikojen muutoksista voidaan arvioida seuraavan vaikutusta luottolaitoksille lisääntyneen työmäärän johdosta sen vuoksi, että niiden olisi tarkastettava käytetyt luottoriskien laskentamallit ja tarvittaessa haettava toiminnalleen uutta lupaa tai tehtävä uusi ilmoitus valvontaviranomaiselle. Niissä tapauksissa, joissa tarvittaisiin uusi lupahakemus, kustannukset olisivat Finanssivalvonnan arvion mukaan joitakin tuhansia euroja.

Muut luotonantajat

Ehdotetuilla maksuhäiriötietojen säilytysaikojen muutoksilla olisi vaikutuksia myös muihin luotonantajiin kuin luottolaitoksiin. Pääasialliset vaikutukset kohdistuisivat luotonmyöntöön ja olisivat samankaltaisia kuin luottolaitosten osalta. Kuluttajaluottojen osalta luottotietojen tarkistaminen osana velvollisuutta arvioida ennen luoton myöntämistä kuluttajan luottokelpoisuus perustuu kuluttajansuojalakiin.

Vastaavasti kuin luottolaitosten osalta, maksuhäiriömerkintöjen säilytysaikojen lyhentäminen merkitsisi, että luottopäätöksen tekemistä varten olisi käytettävissä vähemmän tietoja. Tällä voisi olla vaikutusta tehtävien luottopäätösten laatuun. Vaihtoehtoisesti lainanhakijan maksuhistoriastaan antamat tiedot jouduttaisiin todentamaan muista lähteistä. Luotonmyöntöprosessin muutoksista aiheutuisi eri asteista hallinnollista taakkaa luotonantajan koosta ja toiminnan luonteesta riippuen. On mahdollista, että myös muiden luotonantajien käsittelyajat pitenisivät.

Luottotietojen toissijaiset käyttäjät

Luottotietolain toissijaiset käyttäjät, joille voidaan luovuttaa henkilöluottotietoja, tarkoittavat muita kuin luotonantajia. Näille aiheutuisi vaikutuksia maksuhäiriötietojen säilytysaikojen muutoksista. Muihin käyttötarkoituksiin kuin luotonantoon hyödynnetään tyypillisesti luottotietolain 10 §:ssä säädettyä otetta henkilöluottotiedoista. Luottotietolaissa tarkoitetuilla maksuhäiriötiedoilla on huomattava merkitys sellaisissa tilanteissa, joissa maksuhäiriötietojen käyttäjällä ei ole käytettävissä muuta lähdettä tai on vain rajallisesti mahdollisuus muutoin varmistua asiakkaan tai sopimuspuolen luotettavuudesta ja aiemmasta maksukäyttäytymisestä. Ehdotettu lainmuutos ei sellaisenaan vaikuta henkilöluottotieto-otteen käyttömahdollisuuteen.

Luottotiedoilla on tärkeä merkitys vuokrasopimuksia tehtäessä. Vuokranantajat käyttävät luonnollisen henkilön maksuhäiriömerkintöjä sopimuspuolen maksukyvyn ja laajemmin luotettavuuden arvioinnissa. Yksityisten vuokranantajien asiakassuhteet ovat käytännössä usein yksittäisiä ja kertaluonteisia asiakassuhteita, ja henkilöluottotieto-ote on pääasiallinen lähde vuokralaisen maksukyvyn ja luotettavuuden varmistamisessa. Luottotietojen tietosisällön supistuessa tällä voisi olla vaikutuksia myös vuokranantajien mahdollisuuksiin arvioida vuokra-asunnon hakijan maksukykyä. Jos vuokranhakijan tosiasiallinen taloudellinen tilanne ei olisi parantunut, vuokralaisen maksukyvyssä voisi olla sellaisia piileviä puutteita, jotka voisivat vaikuttaa vuokranmaksuun sopimussuhteen kuluessa. Säilytysaikojen lyhentäminen voi myös johtaa siihen, että vuokranantajat vaativat ainakin yksittäistapauksissa nykyistä suurempia vuokravakuuksia.

Henkilöluottotietoja voidaan käyttää työnhakijan luotettavuuden arvioimiseksi tietyissä tilanteissa, joista säädetään laissa yksityisyyden suojasta työelämässä (759/2004). Jos maksuhäiriömerkintä poistuu nopeasti velvoitteen suorituksella, esimerkiksi taloudellisesti vastuullisiin tehtäviin rekrytoiva työnantaja ei saa henkilöluottotietojen perusteella kaikissa tilanteissa oikeaa kuvaa hakijan taustasta. Näin ollen muutoksella olisi merkitystä myös yrityksille tällaisissa rekrytoinneissa, jos rekrytoitavalle henkilölle ei haettaisi lisäksi perusmuotoista tai laajaa turvallisuusselvitystä. On vaikeaa arvioida, kuinka merkittävää riskiä tämä työnantajalle tarkoittaisi. Henkilöluottotietoja voidaan käyttää myös arvioitaessa yrityksen ja sen vastuuhenkilön kykyä vastata sitoumuksistaan sopimusosapuolena sekä valittaessa henkilö yrityksen vastuuhenkilöksi. Myös näissä tilanteissa käytettävissä oleva tieto olisi muutosten seurauksena suppeampaa kuin aikaisemmin.

Maksuhäiriömerkintöjen säilytysaikojen lyhentämisellä on välillisiä vaikutuksia takaajalle ja vierasvelkapantin antajalle. Ennen takauksen tai pantin antamista luotonantajan on ilmoitettava päävelallisen velkojen ja niiden liitännäiskustannusten lisäksi takaajalle tai pantinantajalle muista tämän maksukykyyn liittyvistä seikoista, joilla voidaan olettaa olevan merkitystä takaajalle tai pantinantajalle. Säilytysajan lyhentämisellä on vaikutusta siihen, että takaaja tai vierasvelkapantin antaja ei enää saisi nykyistä vastaavaa tietoa velallisen maksuhalua ja -kykyä koskevista seikoista. Henkilöluottotietoja käytetään säännöllisesti myös vastuullisessa perinnän suunnittelussa. Perimistoimistoille aiheutuvat vaikutukset liittyisivät vastaavasti käytettävissä olevien tietojen määrään ja laatuun. Tietosisällön supistumisen puutteen voisi mahdollisesti korvata sillä, että perinnän suunnittelua varten pyydetään todistus myös ulosottorekisteristä. Ehdotuksella voi olla kielteistä vaikutusta myös maksuhalukkuuteen perinnässä. Perintätoimistojen arvion mukaan ehdotettu muutos saattaisi johtaa siihen, että vapaaehtoinen perintä tulee onnistumaan entistä heikommin ja riidattomien saatavien käsittely käräjäoikeudessa kasvaa.

Henkilöluottotietoja luovutetaan rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa (444/2017, jäljempänä rahanpesulaki) tarkoitetuille ilmoitusvelvollisille, joita ovat esimerkiksi luottolaitokset, maksulaitokset, vakuutusyhtiöt, sijoitusrahastot ja rahapeliyhteisöt. Ilmoitusvelvollinen voi käyttää sekä henkilöluottotietoja että yritysluottotietoja asiakkaan tuntemistietoina, asiakassuhteen seurantaan tai epäilyttävän liiketoimen arvioimiseen. Ehdotetulla maksuhäiriötietojen säilytysaikojen lyhentämisellä ei arvioida olevan merkittäviä vaikutuksia tietojen käytettävyyteen asiakkaan tuntemismenettelyssä, koska ilmoitusvelvollisten on mahdollista hankkia maksuhäiriötietoja myös sellaisista viranomaisrekistereistä, joissa ne ovat yleisesti saatavilla. Ilmoitusvelvollisten toiminnassa ja koossa, näiden tarjoamissa palveluissa ja asiakassuhteissa on kuitenkin eroja. Eroja voi olla myös henkilöluottotietojen hyödyntämisessä. Ehdotettujen muutosten vaikutusten arvioidaan jäävän kokonaisuutena vähäisiksi.

Maksupalveluntarjoajat

Maksupalvelulain muutoksista ei aiheutuisi vaikutuksia sellaisille maksupalveluntarjoajille, joita koskevat luottolaitostoiminnasta annetun lain ja maksupalvelulain säännökset asiakashäiriörekistereistä. Nämä maksupalveluntarjoajat ovat luottolaitoksia ja maksulaitoksia. Se, missä määrin pienemmillä maksupalveluntarjoajilla on käytössään asiakashäiriörekistereitä, ei ole yksityiskohtaisesti tiedossa. Tällaisille palveluntarjoajille arvioidaan aiheutuvan vaikutuksia siinä tapauksessa, että niillä on nykyisin jo käytössä asiakashäiriörekistereitä maksupalvelulain nojalla. Ehdotettu sääntely olisi yksityiskohtaisempaa ja tarkkarajaisempaa kuin voimassa olevat maksupalvelulain 86 §:n säännökset, mistä voisi aiheutua kustannusvaikutuksia, jos ehdotetut vaatimukset eivät kaikilta osin toteudu käytössä olevissa tietojärjestelmissä. Luottolaitostoiminnasta annetun lain 15 luvun 18 a §:ssä säädetään esimerkiksi yksityiskohtaisesti siitä, mitä tietoja asiakashäiriörekisteriin saa merkitä. Tietosisältö on tyhjentävä, millä voi olla vaikutusta tietojärjestelmiin. Myös asiakashäiriötietojen säilyttämisaikoja koskevalla sääntelyllä voisi olla kustannusvaikutuksia. Lisäksi maksupalveluntarjoajat joutunevat päivittämään ohjeistustaan henkilötietojen käsittelystä maksupalvelulain 86 §:ssä tarkoitetuissa tilanteissa. Tarkat kustannusvaikutukset ja hallinnollinen taakka voisivat vaihdella riippuen yrityksen koosta ja siitä, missä määrin ja millä tavalla asiakashäiriötietoja on voimassa olevien säännösten nojalla käsitelty.

4.2.5 Vaikutukset julkiseen talouteen

Esityksellä ei ole merkittäviä vaikutuksia valtiontalouteen tai muuhun julkiseen talouteen. Ulosottolaitokselle aiheutuisi kuitenkin jäljempänä jaksossa 4.2.6 mainitusta henkilötyövuosien lisäyksestä kustannuksia.

Taloudellisiin vaikeuksiin ajautuneiden ihmisten ja kotitalouksien aseman arvioidaan paranevan ainakin sellaisten henkilöiden osalta, jotka saavat kaikki maksunsa suoritettua. Tämä saattaisi vähentää tarvetta turvautua yhteiskunnan tarjoamaan viime-sijaiseen taloudelliseen tukeen, esimerkiksi välttämättömien asumiseen liittyvien menojen kattamiseksi. Muutosten ei arvioida kuitenkaan merkittävästi vaikuttavan julkisen talouden menoihin.

4.2.6 Vaikutukset viranomaisiin

Oikeusministeriö ja Oikeusrekisterikeskus

Rikosrekisterilaissa muutettaisiin säännöstä, jonka perusteella oikeusministeriö voi painavista syistä antaa luvan tietojen luovuttamiseen rikosrekisteristä viranomaiselle henkilön luotettavuuden selvittämistä ja arviointia varten muissa kuin laissa nimenomaisesti säädetyissä tilanteissa. Sen sijaan oikeus annettaisiin Oikeusrekisterikeskukselle. Valmistelun aikana on selvitetty, että säännöstä ei tosiasiallisesti ole sovellettu viime vuosien aikana, joten muutoksen vaikutus oikeusministeriön ja Oikeusrekisterikeskuksen toimintaan jäisi vähäiseksi, vaikka oikeusministeriölle annettu mahdollisuus oikeuspoliittiseen harkintaan jäisi pois. Muutoksella olisi kuitenkin oikeusvarmuutta luovaa vaikutusta, koska tietojen luovuttamisesta päättäisi kaikissa tilanteissa rekisterinpitäjä, jolle kuuluu myös vastuu henkilötietojen luovutusten lainmukaisuudesta.

Ulosottolaitos

Merkittävimmät viranomaisvaikutukset kohdistuisivat Ulosottolaitokseen. Ulosoton tietojärjestelmästä välitetään automaattisesti kuukausittain luottotietotoiminnan harjoittajille ulosottokaaren 1 luvun 32 §:ssä tarkoitetut tiedot. Sen lisäksi ulosottomies tekee velallisen pyynnöstä antamiaan tietoja koskevan 1 luvun 32 §:n 3 momentin mukaisen peruuttamisilmoituksen luottotietotoiminnan harjoittajalle, kun velallinen on maksanut suppeassa ulosotossa perittävänä olleen saatavan, pitkäkestoinen ulosotto on päättynyt, ulosotto on päättynyt määräajan umpeutumisen tai velan vanhentumisen perusteella taikka kun ulosottoperuste on kumottu tai on muusta syystä ollut aiheeton. Jos muussa tapauksessa saatava tulee ulosotossa kokonaan maksetuksi, ulosottomies ilmoittaa myös siitä velallisen pyynnöstä luottotietotoiminnan harjoittajalle. Ulosottokaaren 1 luvun 32 §:n 3 momentin mukaiset ilmoitukset laaditaan tällä hetkellä yksittäisten velallisen pyyntöjen perusteella manuaalisesti. Menettelyä ei olisi tarkoitus muuttaa ehdotettujen lainmuutosten yhteydessä. Ehdotetut maksuhäiriötietojen säilytysaikojen muutokset lisäisivät ulosottokaaren 1 luvun 32 §:n 3 momentin mukaisia ilmoituksia, joita ulosottomiehet tekevät luottotietotoiminnan harjoittajille velallisen pyynnöstä.

Varattomuusesteitä ja suppean ulosoton esteitä todetaan vuositasolla noin 450 000–500 000. Ulosottolaitoksen mukaan esimerkiksi vuonna 2019 todettiin noin 224 000 varattomuusestettä ja 244 000 suppean ulosoton estettä. Ulosottolaitoksen arvion mukaan vireille tulevista yksityisoikeudellisista asioista 55-60 % on sellaisia, jotka ovat olleet aikaisemmin vähintään yhden kerran ulosottomenettelyssä perittävinä. Ulosottolaitos ei ole kerännyt koko valtakunnan kattavaa tilastotietoa peruuttamisilmoitusten ja muiden maksua koskevien ilmoitusten määrästä, mutta on arvioinut koko maan peruuttamisilmoitusten määräksi ennen lainmuutosta noin 40 000 vuodessa. Siltä osin kuin saatavan suorittaminen voisi tulevaisuudessa johtaa myös varattomuusesteeseen perustuvan maksuhäiriömerkinnän poistamiseen, velallisen pyyntöjen määrän voidaan odottaa kasvavan.

Ulosottolaitos on arvioinut ilmoitusten määrän ainakin kaksinkertaistuvan. Siihen, missä määrin velalliset tekisivät pyyntöjä suhteessa nykyisiin lukumääriin, liittyy kuitenkin epävarmuustekijöitä. Velallisen aktiivisuuteen voi vaikuttaa esimerkiksi se, jäisikö hänelle yksittäisen merkinnän poistamisen jälkeen jäljelle muita maksuhäiriömerkintöjä. Maksusuoritusten yhdistäminen tiettyihin maksuhäiriömerkintöihin vaatii Ulosottolaitokselta manuaalista henkilötyötä, jonka tarkkaa määrää on kuitenkin vaikea arvioida. Ulosottoasioiden määrät ovat niin suuret, että pienetkin muutokset saattavat johtaa merkittävään lisätyömäärään.

Lisäksi ulosottoviranomaisille aiheutuisi lisätyötä siitä, jos maksuhäiriömerkintöjen poistaminen johtaa siihen, että esimerkiksi luotonantajat käyttäisivät luottotietorekisteritietojen tai luottotietorekisteriotteiden sijasta aiempaa enemmän ulosottorekisterin todistuksia, kun velallisen maksukäyttäytymistä koskevia historiatietoja ei olisi enää saatavilla luottotietorekistereissä nykyisessä laajuudessa. Muutosten johdosta todistusten käyttö luotonantajien toimesta saattaa lisääntyä erityisesti ennen sitä, kun positiivinen luottotietorekisteri saadaan käyttöön. Lainmuutokset voisivat aiheuttaa myös muille maksuhäiriötietojen käyttäjille tarvetta käyttää ulosottorekisterin todistuksia.

Ulosottorekisteristä annettiin 1.1.-17.12.2020 aikana todistuksia noin 7500 kappaletta. Lukumäärä sisältää myös esimerkiksi viranomaisille annetut todistukset, eikä ole selvitettävissä, miltä osin todistuksia on pyydetty luottokelpoisuuden arviointia varten. Ulosoton todistuksia koskevien pyyntöjen määrän voidaan arvioida kasvavan. Lähtökohtaisesti todistukset ovat tilattavissa sähköisen asiointipalvelun kautta, joten lisätyövaikutukset rajoittuisivat niihin tilaajiin, joilla ei ole pääsyä sähköiseen asiointipalveluun tai jotka eivät halua sitä käyttää, sekä mahdollisiin tilauksiin liittyviin kyselyihin. Tiedusteluja tehtäisiin todennäköisesti myös muista henkilöistä, kuin niistä, joilla on asioita ulosotossa vireillä. Ulosottolaitoksen varovaisen arvion mukaan todistukseen liittyvien pyyntöjen lisäys voisi olla noin 30 000 vuodessa Näihin vaikutuksiin liittyy kuitenkin epävarmuustekijöitä.

Ulosottolaitos on arvioinut ehdotettuja maksuhäiriömerkintöjen säilytysaikojen muutoksia koskevassa lausunnossaan, että muutoksista seuraisi Ulosottolaitokselle henkilöresurssien lisäystarvetta enintään 8-10 henkilötyövuotta, mikä vastaisi noin 400 000 euroa vuodessa työnantajakuluineen. Vuonna 2022 tästä arvioidaan toteutuvaksi enintään 4 henkilötyövuotta. Lisätyö aiheutuisi siitä, että luottotietotoiminnan harjoittajille tehtäviä ilmoituksia koskevat velallisen pyynnöt ja ulosottotodistuksia koskevat pyynnöt lisääntyisivät. Arvioon liittyy kuitenkin epävarmuustekijöitä. Riippuen hallituksen esityksen käsittelyaikataulusta ja ehdotetusta siirtymäajasta, lainmuutokset tulisivat arviolta voimaan kesällä 2022. Peruuttamisilmoituksia koskevat velallisen pyynnöt voisivat lisääntyä osittain jo siirtymäaikana ennen säilytysaikaa koskevien muutosten voimaantuloa. Siltä osin kuin on kyse luottotietotoiminnan harjoittajille tehtävistä ilmoituksista, ehdotettujen lainmuutosten tavoitteen toteutuminen on riippuvainen siitä, pystyykö Ulosottolaitos tekemään ilmoitukset luottotietotoiminnan harjoittajille riittävän nopeasti. Ulosottolaitos ei pystyisi kattamaan mahdollista nopeaa työmäärän lisäystä nykyisillä resursseilla.

Ilmoitusmäärien ja ulosottotodistuksia koskevien pyyntöjen määrien toteutuneeseen kasvuun perustuva lisätyö olisi arvioitava tarkemmin lain soveltamisen alkuvaiheessa. Jatkossa olisi samalla arvioitava tarve panostaa tietojärjestelmien kehittämiseen, mikä voisi myöhemmin johtaa säästöihin henkilöstömenoissa. Mahdollisesta lisärahoituksesta päätetään julkisen talouden suunnitelman ja valtion talousarvion valmistelun yhteydessä. Toimenpiteiden edellyttämä rahoitus toteutetaan valtiontalouden kehysten puitteissa tarvittaessa kohdentamalla määrärahoja uudelleen.

Tietosuojavaltuutettu

Luottotietolain ja maksupalvelulain muutoksilla voisi olla vaikutusta tietosuojavaltuutetun harjoittamaan valvontaan, huomioiden erityisesti aiempaa yksityiskohtaisemman ja tarkkarajaisemman sääntelyn luottokelpoisuusarvioiden laadinnasta ja asiakashäiriörekistereistä. Asiakashäiriörekistereitä ylläpitävät maksupalvelun tarjoajat kuitenkin arviolta ovat enimmäkseen maksulaitoksia, joita jo koskevat vastaavan sisältöiset vaatimukset maksulaitoslain nojalla. Tästä johtuen maksupalvelulain muutosten välittömien viranomaisvaikutusten arvioidaan jäävän vähäisiksi.

Luottotietolain muutosten seurauksena rekisteröidyt saattaisivat käyttää oikeuksiaan nykyistä aktiivisemmin myös tietosuojavaltuutetun välityksellä, huomioiden erityisesti ehdotetut 16 §:n suojatoimet. Tarkkaa vaikutusta on mahdotonta arvioida, koska rekisteröidyillä on jo nykyisellään oikeus pyytää virheellisten henkilöluottotietojen oikaisua, minkä lisäksi tietosuoja-asetuksen säännökset jo merkitsevät rekisteröidyille aiempaa yksityiskohtaisempia oikeuksia. Rekisteröityjen aktiivisuus luottotietojen käsittelyn osalta on lisääntynyt huomattavasti siitä lähtien, kun tietosuoja-asetuksen soveltaminen käynnistyi. Myös säilytysaikojen lyhentämisellä voisi olla vaikutusta rekisteröityjen aktiivisuuteen ottaa yhteyttä tietosuojavaltuutettuun. Ehdotettujen lainmuutosten myötä lisääntyvistä yhteydenotoista voisi aiheutua lisätyötä tietosuojavaltuutetulle. Lisätyön arvioidaan kuitenkin jäävän vähäiseksi suhteessa tietosuojalainsäädännön uudistamisesta aiheutuneeseen lisätyön määrään.

Lisäksi tietosuojavaltuutetun harjoittamaan valvontaan olisi vaikutusta luottotietolain tarkistuksilla, jotka liittyvät virheen oikaisua koskeviin säännöksiin. Yritysluottotietojen käsittelyn osalta säännökset säilyisivät sisällöllisesti ennallaan. Luonnollisen henkilön oikeudet, jotka koskevat virheellisten henkilöluottotietojen oikaisua, perustuisivat muutosten myötä pelkästään tietosuoja-asetukseen. Vastaavasti henkilöluottotietojen käsittelyn valvontaan sovellettaisiin suurimmaksi osaksi tietosuoja-asetusta ja tietosuojalakia, lukuun ottamatta sellaisia tilanteita, jotka eivät tule katetuiksi suoraa näillä säädöksillä. Lisäksi valvontaa koskevien säännösten tarkistukset selkiyttäisivät sitä, minkä säännösten nojalla valvontaa harjoitettaisiin eri tilanteissa. Tietosuojavaltuutettu on kuitenkin jo käyttänyt valvontavaltuuksia siten, että luottotietolakia on sovellettu samanaikaisesti tietosuoja-asetuksen ja tietosuojalain kanssa, joten mahdollisen työmäärän lisäyksen arvioidaan jäävän vähäiseksi. Ehdotetuilla muutoksilla ei olisi vaikutusta muihin, erityisesti luotonantajia valvoviin viranomaisiin.

Sen lisäksi, missä määrin rekisteröidyt käyttävät oikeuksiaan, tietosuojavaltuutetun työmäärään vaikuttaa myös ilmoituksen tehneiden luottotietotoiminnan harjoittajien lukumäärä. Tietosuojavaltuutetun valvonnan piiriin kuuluvia yritysluottotietoja käsitteleviä ilmoituksen tehneitä luottotietotoiminnan harjoittajia on tällä hetkellä kuusi. Henkilöluottotietoja käsitteleviä luottotietotoiminnan harjoittajia on kaksi. Voimassa olevaa lakia säädettäessä sen säännökset laajennettiin koskemaan yritysluottotietojen käsittelyä, jonka valvonnasta arvioitiin seuraavan lisätyötä yhden henkilötyövuoden verran. Tällä hetkellä luottotietotoiminnan ja/tai finanssisektorin valvontaan keskittyviä esittelijöitä on yhteensä kolme. Tietosuojavaltuutetun resurssitarpeet on tältä osin ja myös myöhempinä vuosina katettu kokonaisuutena valtion talouden kehyspäätösten ja valtion talousarvion mukaisista määrärahoista, joita on vuosien 2015-2019 aikana lisätty. Tietosuojavaltuutetun toimistossa vireille tulleiden ja ratkaistujen asioiden määrä on vuosien 2017-2020 aikana yli kaksinkertaistunut. Vastaavasti henkilöstömäärä on vuoteen 2020 mennessä kasvanut 26 henkilöstä 45 henkilöön. Osana kokonaisuutta luottotietotoimintaan kohdistuvat valvontatarpeet ovat myös jossain määrin lisääntyneet jo ennen tietosuoja-asetuksen soveltamisen alkamista, mikä on johtunut rekisteröityjen määrän kasvusta sekä teknologian kehityksen myötä muuttuneista luottotietojen käsittelymenetelmistä, mukaan lukien tiedonluovutusmenetelmät. Vaikutuksia on myös syntynyt finanssisektorin laajentuneesta sääntelystä. Rekisteröityjen yhteydenotot ovat jo lisääntyneet muiden lainmuutosten myötä. Näistä muutoksista johtuen on vaikea erotella jo syntyneitä vaikutuksia ja ehdotettujen lainmuutosten vaikutuksia. Myös tästä esityksestä mahdollisesti aiheutuva työmäärän lisäys olisi katettava olemassa olevista valtion talouden kehyspäätösten ja valtion talousarvion mukaisista määrärahoista. Lainmuutosten mahdollisia resurssivaikutuksia luottotietolain ja tietosuoja-asetuksen mukaiseen valvontaan olisi kuitenkin seurattava.

Muut vaikutukset viranomaisiin

Luottotietolain muutoksista aiheutuvien muutosten, jotka kohdistuvat muihin viranomaisiin kuin Ulosottolaitokseen ja tietosuojavaltuutettuun, arvioidaan jäävän vähäisiksi. Luottotietorekisteriin voidaan yritysluottotietona tallettaa veroviranomaisen julkistama tieto verosaatavasta. Maksamatta jääneet arvonlisäverot ja ennakonpidätykset julkaistaan protestilistalla, jos niitä ei ole maksettu viimeistään maksukehotuksen eräpäivänä ja niiden yhteissumma on vähintään 15 000 euroa. Yhden merkinnän perusteena voi olla useampia verosaatavia. Verohallinto lähettää yhteenvedon protestoiduista verovelkatiedoista luottotietotoiminnan harjoittajille ja julkaistavaksi protestilistoilla. Silloin, kun asiakas on maksanut protestilistalla julkaistut verot kokonaisuudessaan, Verohallinto lähettää asiakkaan pyynnöstä tiedon niille luottotietotoiminnan harjoittajille, joille verovelkatieto on toimitettu julkaistavaksi. Julkaisemisen jälkeen tapahtunut maksu ei voimassa olevan luottotietolain mukaan johda maksuhäiriömerkinnän poistamiseen. Vuositasolla protestoidaan hieman alle 5000 verovelkaa. Verohallinto on arvioinut, että muutoksen jälkeen velallisella voisi olla nykyistä voimakkaampi kannustin maksaa protestoidut verot. Maksuhäiriötietojen säilytysaikojen muutosten vaikutuksena pyynnöt suorituksen ilmoittamisesta voivat kasvaa jonkin verran. Ehdotetun muutoksen vaikutuksen Verohallinnon työmäärään arvioidaan kuitenkin kokonaisuutena olevan vähäinen.

Maksuhäiriötietojen säilytysaikojen muutoksilla voisi olla vaikutusta tietojen käytettävyyteen epäilyttävien liiketoimien selvittelyssä ja velallisen rikosten tutkinnassa. Säilytysaikojen lyhentämisellä voi olla vaikutusta esimerkiksi konkurssirikosten esitutkintaan ja selvittämiseen siten, että yrityksen maksukyvyttömyyshetken selvittäminen vaikeutuu. Keskusrikospoliisin rahanpesun selvittelykeskuksella ja poliisin talousrikostutkinnalla on toisaalta käytettävissä myös muita lähteitä epäilyttävien liiketoimien ja rikosepäilyjen selvittämiseksi. Luottotietojen nopeammalla poistamisella ei siten arvioida olevan merkittävää vaikutusta näiden viranomaisten toimintaan.

Luottotietolaissa tarkoitettuja maksuhäiriömerkintöjä käytetään tietolähteenä turvallisuusselvityksissä. Ehdotetuilla säilytysaikojen muutoksilla olisi kuitenkin vain vähäistä vaikutusta Suojelupoliisin toimintaan. Suojelupoliisilla on myös oikeus saada päättynyttä liiketoimintakieltoa koskeva tieto liiketoimintakieltorekisteristä turvallisuusselvityksen tekemiseksi, joten liiketoimintakieltoa koskevilla muutoksilla ei olisi vaikutusta turvallisuusselvitysten tekemiseen.

Maksuhäiriömerkintöjen säilytysaikojen muutoksilla arvioidaan olevan vain vähäinen vaikutus talous- ja velkaneuvontaan. Neuvojan on tunnettava maksuhäiriömerkintöjen säilytysaikoihin liittyvät muutokset ja neuvojia tulee tiedottaa muutoksista. Talous- ja velka-asioiden toteutuneella neuvonnalla arvioidaan olevan maksuhäiriömerkintöjen syntyä ehkäisevää vaikutusta.

4.2.7 Yhteiskunnalliset vaikutukset

Vaikutukset harmaan talouden torjuntaan

Yritysluottotietojen ja yrityskytkentätietojen käsittelyä koskevien säännösten taustalla on osaltaan tavoite lisätä yritystoiminnan läpinäkyvyyttä ja ennalta estää harmaata taloutta ja talousrikollisuutta. Harmaa talous ja talousrikollisuus tarkoittavat yleensä maksujen ja velvoitteiden tarkoituksellista laiminlyöntiä yritystoiminnassa tai siihen rinnastettavassa toiminnassa. Viranomaiset pyrkivät puuttumaan tällaisiin laiminlyönteihin erityisesti ennalta estävillä toimenpiteillä sekä viranomaisten välisen yhteistyön keinoin, mukaan lukien tiedonvaihto ja yhteiset tarkastustoimenpiteet. Koska viranomaisilla on käytettävissä yritysluottorekisterien ohella muita tiedonlähteitä, jotka tarjoavat myös valvonnan suuntaamista ja toteuttamista tukevaa tietoa, ehdotetuilla säilytysaikojen muutoksilla ei olisi juurikaan vaikutuksia harmaan talouden torjuntaan osallistuvien viranomaisten tiedonsaantiin. Erityisesti viranomaisten käytettävissä on harmaan talouden selvitysyksiköstä annetussa laissa (1207/2010) tarkoitettuja ilmiöselvityksiä ja velvoitteidenhoitoselvityksiä organisaatioista ja organisaatiohenkilöistä. Selvitysyksikkö käyttää maksuhäiriötietojen (esimerkiksi ulosottotietojen) lähteenä suoraan viranomaisrekistereitä eikä yritysluottotietojen säilytysaikojen muutoksilla olisi vaikutuksia selvitysyksikölle. Selvitysyksiköllä on myös laajat tiedonsaantioikeudet sekä oikeus luovuttaa velvoitteidenhoitoselvityksiä useille harmaan talouden torjunnan kannalta oleellisille viranomaisille, esimerkiksi konkurssiasiamiehelle. Ehdotetut lainmuutokset eivät vaikuttaisi viranomaisten väliseen yhteistyöhön.

Harmaan talouden torjunnassa on merkitystä myös yritysten toimenpiteillä, mukaan lukien asiakkaan tai sopimuskumppanin luotettavuuden arvioiminen. Harmaan talouden selvitysyksikkö ei tuota selvityksiä yrityksille, joten yritysluottotietojen säilytysaikoja koskevilla muutoksilla voisi olla jonkin verran vaikutusta yritysten rikoksia ennalta estävään toimintaan sen lisäksi, mitä edellä todetaan vaikutuksista rahanpesulain mukaisille ilmoitusvelvollisille. Yrittäjän maksuhäiriömerkinnät voivat joskus johtaa siihen, että merkinnän saanut yrittäjä ryhtyy harjoittamaan elinkeinotoimintaa toisella nimellä. Voimassa olevien yritysluottotietojen säilytysaikojen ja yrityskytkentätietojen tavoitteena on osaltaan vaikuttaa tällaisia tilanteita ennalta estävästi. Harmaan talouden ja talousrikollisuuden torjuntaan on kuitenkin Suomessa viime vuosien aikana panostettu useilla lainsäädäntötoimilla ja muilla toimenpiteillä, mukaan lukien rahanpesun ja terrorismin rahoittamisen vastaiset toimenpiteet. Huomioiden, että luottotietorekisterien sisältämät tiedot ovat pääosin peräisin sellaisista viranomaisten rekistereistä, joissa tiedot ovat yleisesti saatavilla, harmaan talouden torjunnan kannalta merkityksellistä tietoa on saatavilla myös yrityksille. Esityksellä ei myöskään ehdoteta aineellisia muutoksia rekisterien tietosisältöön eikä yrityskytkentätietojen luovuttamista koskeviin säännöksiin. Harmaan talouden torjuntaan kohdistuvien vaikutusten arvioidaan aiheutuvan lähinnä siitä, että tietojen hakeminen muista lähteistä vie aiempaa enemmän aikaa. Ehdotettujen lainmuutosten kokonaisvaikutusten harmaan talouden ja talousrikosten torjuntaan arvioidaan jäävän vähäisiksi.

Muut yhteiskunnalliset vaikutukset

Esityksen sisältämillä lakiehdotuksilla ei olisi yleisestä tietosuojalainsäädännöstä riippumattomia itsenäisiä yhteiskunnallisia vaikutuksia lukuun ottamatta edellä selvitettyjä maksuhäiriötietojen säilytysaikoja koskevia muutoksia.

Euroopan komissio on omassa EU-tason vaikutustenarvioinnissaan kiinnittänyt huomiota siihen, että aiempaa yhtenäisempi sääntely EU:n laajuisesti selkiyttää oikeustilaa ja parantaa kansalaisten luottamusta yritysten ja viranomaisten henkilötietojen käsittelyyn. Toisaalta pitkällä aikavälillä uusi tietosuojasääntely myös kannustaa kehittämään tietojärjestelmiä varmemmiksi ja tietoturvallisemmiksi. Lisäksi henkilötietojen käsittelyä ja käsittelyn valvontaa koskevalla aiempaa yksityiskohtaisemmalla sääntelyllä voidaan arvioida olevan tietosuojarikkomusten ja tietoturvallisuusloukkausten riskejä vähentävää vaikutusta. Samalla uuden sääntelyn on arvioitu myös parantavan rekisteröidyn oikeusturvaa. Lakiehdotusten sisältämillä muutoksilla voidaan arvioida olevan kokonaisuutena näitä yleisen tietosuojalainsäädännön tavoitteita tukevaa vaikutusta.

Luottotietolakiin ehdotettujen muutosten tavoitteena on selkiyttää lain suhdetta tietosuoja-asetukseen ja tietosuojalakiin. Näiden muutosten arvioidaan vahvistavan kansalaisen mahdollisuuksia käyttää yleisen tietosuojalainsäädännön mukaisia rekisteröidyn oikeuksiaan rekisterinpitäjää kohtaan, vaikka muutoksista ei sinänsä seuraa juurikaan uusia oikeuksia kansalaisille. Rekisteröidyn henkilötietojen suojaa ja oikeusturvaa vahvistavia vaikutuksia arvioidaan olevan erityisesti muutosehdotuksilla, jotka kohdistuvat luottotietolain säännöksiin luonnollisen henkilön luottokelpoisuutta osoittavien arvioiden muodostamisesta. Näissä tilanteissa rekisteröidyllä olisi erityisesti oikeus esittää kantansa luottokelpoisuusluokasta ja vaatia luottokelpoisuutensa uudelleenarviointia. Tämä vähentäisi rekisteröidyn oikeuksiin kohdistuvia riskejä, joita nykyisellään aiheutuu laajoista maksuhäiriötietojen luovutustarkoituksista. Lisäksi luottotietolain soveltamisalan rajauksen selkiyttäminen säännöstasolla ja säilytysaikoja koskevat muutokset tekisivät sääntelystä rekisteröityjen luonnollisten henkilöiden kannalta läpinäkyvämpää. Tämä vastaisi paremmin tietosuoja-asetuksen vaatimukseen henkilötietojen käsittelyn läpinäkyvyydestä.

Maksupalvelulain säännösten yhtenäistäminen luottolaitostoiminnasta annetun lain ja maksulaitoslain säännösten kanssa tekee sääntelystä yksityiskohtaisempaa ja tarkkarajaisempaa perustuslain tulkintakäytännössä asetetut vaatimukset huomioiden. Laista ilmenisi muutosten myötä aiempaa selkeämmin, että sen mukaisesti käsiteltävät tiedot tarkoittaisivat henkilörekisterien muodostamista, ja laista ilmenisi nimenomaisesti mitä tietoja rekisteröidystä rekisteröitäisiin. Samalla muutoksilla arvioidaan olevan kansalaisen oikeusturvaa parantavaa vaikutusta myös siten, että rekisterinpitäjien tietoisuus omista velvoitteista lisääntyy.

Vaikutukset eri väestöryhmiin

Ylivelkaantumista mitataan eri mittarein, joista maksuhäiriömerkintöjen määrää voidaan pitää yhtenä. Ylivelkaantumisen riskitekijöitä ovat muun muassa yksinasuminen, matala koulutustaso, pienet tulot ja työttömyys. Miehet velkaantuvat naisia useammin, mutta erot ovat viime vuosina kaventuneet. (Majamaa ja Rantala (2020): Katsaus viime vuosien ylivelkaantumiskehitykseen). Esitystä laadittaessa noin 392 000 henkilöllä on maksuhäiriömerkintä. Maksuhäiriömerkinnän saaneet luonnolliset henkilöt ovat keskimäärin muuta väestöä nuorempia, ja heidän käytettävissään olevat tulot ovat keskimäärin alhaisemmat ja velkamäärät pienempiä. Keskimääräistä useammin maksuhäiriö on nuorilla, miehillä, eronneilla, muuta kuin suomea tai ruotsia äidinkielenään puhuvilla ja työttömillä. (Luotonen, Puttonen ja Rantapuska (2021): Maksuhäiriöt Suomessa 2015-2020). Koulutustaustalla on suuri merkitys. Muun muassa THL:n lausunnon mukaan lapsuuden koulumenestys ja koulutustausta sekä vanhempien tausta ovat vahvassa yhteydessä ai-kuisuuden maksuhäiriömerkintöihin. Maksuhäiriömerkinnät ovat yleisiä etenkin niillä, joiden lapsuudessa on ollut perhettä kuormittavia tekijöitä. Elämänmuutokset, erityisesti avioero ja pitkittynyt työttömyys ovat yhteydessä todennäköisyyteen saada maksuhäiriömerkintä. Keskimääräistä useammin maksuhäiriö on henkilöllä, jolla on alhainen koulutustaso, on kokenut avioeron, kokee työttömyyttä tai jolla on taloudessa alaikäisiä lapsia. (Luotonen, Puttonen ja Rantapuska 2021).

Esityksellä arvioidaan eri väestöryhmistä olevan muita suurempi myönteinen vaikutus nuoriin. Nuorten ensimmäiset maksuhäiriömerkinnät voivat syntyä pienistä saatavista, jotka voidaan vielä suorittaa tilanteen parantuessa. Muutos parantaisi nuorten mahdollisuuksia päästä kiinni itsenäiseen elämään. Lisäksi esityksen voidaan arvioida helpottavan erityisesti niiden asemaa, jotka ovat saaneet maksuhäiriömerkinnän tilapäisen elämänmuutoksen vuoksi, mutta jotka ovat saaneet sopeutettua taloutensa uuteen tilanteeseen.

Maksuhäiriömerkinnät kasaantuvat tyypillisesti samoille henkilöille ja uusien maksuhäiriömerkintöjen saamisen todennäköisyys on korkeampi niillä, joilla on jo aiempi merkintä. Esityksellä on myönteistä vaikutusta myös syvemmin velkaantuneille, joilla on useita maksuhäiriömerkintöjä, koska uudet merkinnät eivät lainmuutosten myötä pidentäisi vanhojen merkintöjen säilytysaikaa. Näin ollen jokainen yksittäinen maksuhäiriömerkintä on mahdollista saada pois aikaisempaa nopeammin, kun taloudellinen tilanne paranee.

4.2.8 Ehdotettujen muutosten ja muiden lainmuutosten yhteisvaikutukset

Koronavirustilanteen seurauksena kansalaisten ja yritysten asemaa on pyritty helpottamaan myös eräillä väliaikaisilla lainmuutoksilla, joilla voi olla vaikutusta maksuhäiriömerkintöjen syntymiseen. Lailla saatavien perinnästä annetun lain väliaikaisesta muuttamisesta (1069/2020) rajoitettiin tilapäisesti tratan käyttöä. Tratan käytön rajoitukset ovat osaltaan vähentäneet yrityksille aiheutuvien maksuhäiriömerkintöjen määrää, joka on laskenut alkuvuonna 2021. Suomen Asiakastieto Oy:n mukaan uusien trattaprotestien määrä on laskenut merkittävästi. Trattaprotesteja tehtiin vuoden 2021 ensimmäisellä neljänneksellä 7 700, kun vastaavalla ajanjaksolla vuonna 2020 trattaprotestien määrä oli noin 22 900. Väliaikainen laki on voimassa kesäkuun 2021 loppuun. Väliaikaisen lain jatkamista koskeva hallituksen esitys (HE 59/2021 vp) on annettu 22.4.2021. Hallituksen esitykseen sisältyvät lait on hyväksytty muutoksitta (EV 79/2021 vp). Tratan käytön rajoitusten voimassaolo jatkuu 30.9.2021 asti.

Koronavirustilanteen vuoksi ulosottokaarta (705/2007) on muutettu väliaikaisesti lailla ulosottokaaren väliaikaisesta muuttamisesta (289/2020, 726/2020 ja 352/2021). Väliaikaisesti voimassa olevilla säännöksillä muutettiin ulosottomenettelyn keventämistä, rajoittamista ja täytäntöönpanon lykkäämistä koskevaa sääntelyä. Muutosten yhtenä tarkoituksena oli se, ettei ulosottomenettelyllä aiheuteta luottohäiriömerkintää niille, joiden maksukyvyttömyys ja taloudellinen tilanne voivat ulosottomenettelyn rajoitusten ja huojennusten avulla korjaantua. Tällä hetkellä väliaikaiset muutokset ovat voimassa vuoden 2021 loppuun. Näiden väliaikaisten lainmuutosten vaikutukset eivät kaikilta osin kohdistu samoihin luonnollisiin henkilöihin ja yrityksiin kuin tällä esityksellä ehdotetut muutokset. Toisaalta väliaikaiset muutokset ennalta estävät joissakin tilanteissa sellaisia maksuhäiriömerkintöjä, jotka johtuisivat pelkästään koronavirustilanteen aiheuttamista tilapäisistä maksuvaikeuksista. Tähän esitykseen sisältyvien muutosehdotusten kansalaisten ja yritysten asemaa helpottavat vaikutukset ulottuisivat pidemmälle ajalle.

5 Muut toteuttamisvaihtoehdot
5.1 Vaihtoehdot ja niiden vaikutukset

Tietosuojalainsäädännöstä johtuvat muutokset

Luottotietolain valmistelun yhteydessä on arvioitu vaihtoehtoina lain kokonaisuudistusta ja EU:n tietosuoja-asetuksesta johtuvaa osittaista uudistusta. Luottotietolaissa on paikannettu useita säännöksiä, joihin liittyy EU:n tietosuoja-asetuksesta johtuvien muutostarpeiden lisäksi sekä aineellisia että lainsäädäntöteknisiä muutostarpeita, jotka puoltaisivat kokonaisuudistusta. Myös EU:n tietosuoja-asetuksesta johtuvien muutostarpeiden lukumäärä voisi puoltaa sitä. Ottaen kuitenkin huomioon EU:n tietosuoja-asetuksesta johtuvien muutosten ja maksuhäiriömerkintöjen säilytysaikoja koskevien muutosten kiireellisyyden, tässä esityksessä on päädytty pitäytymään välttämättömissä tietosuojaan liittyvissä lainmuutoksissa. Ehdotetut EU:n tietosuoja-asetuksen mukaisen sääntelyliikkumavaran käyttöön perustuvat sääntelyratkaisut on mahdollista toteuttaa myös osittaisen uudistuksen puitteissa. Kokonaisuudistuksen myöhemmässä harkinnassa on myös mahdollista hyödyntää paremmin tietoa siitä, minkälaista sääntelyliikkumavaran käyttöä Euroopan komissio pitää hyväksyttävänä. Jäsenvaltioiden lainsäädännön sisällöllinen arviointi tietosuoja-asetuksen soveltamisalalla on vielä kesken.

Sekä luottotietolain että maksupalvelulain osalta on arvioitu tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan vaihtoehtona, voisiko henkilötietojen käsittelyn oikeusperuste olla sen sijaan rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttaminen (f alakohta), minkä lisäksi luottotietojen käsittelyn osalta on kiinnitetty huomiota myös muihin mahdollisiin oikeusperusteisiin (a, b ja c alakohta). Tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta soveltuu lähinnä henkilötietojen käsittelyn oikeusperusteeksi luottotietotoimintaa elinkeinotoiminnan muotona harjoittaville yrityksille. Erityisesti luotonantajat käsittelevät henkilöluottotietoja myös asiakkaan suostumuksen tai sopimuksen perusteella, minkä lisäksi niille on säädetty muualla laissa myös velvoitteita tällaisten tietojen käsittelyyn. Suuri osa tällaisesta lainsäädännöstä perustuu EU-oikeuteen.

Luottotietolain osalta on edellä mainittujen eri tilanteita koskevien henkilötietojen käsittelyn oikeusperusteiden vuoksi arvioitu myös nykyisen lain laajan soveltamisalan vaihtoehtona sitä, että säännökset rajataan koskemaan joko kokonaan tai suurimmaksi osaksi vain luottotietotoiminnan harjoittajia. Sillä, että säännökset koskisivat pelkästään luottotietotoiminnan harjoittajia, olisi sääntelyä selkiyttävää vaikutusta rekisteröidyn luonnollisen henkilön oikeuksien käyttämisen kannalta. Luotonantajien osalta sääntelystä tulisi samalla yhtenäisempää EU:n muiden jäsenvaltioiden lainsäädännön kanssa ja siten lainsoveltajien kannalta selkeämpää. Toisaalta laissa on paikannettu eräitä säännöksiä, jotka eivät kaikilta osin tule katetuiksi muun lainsäädännön kautta, mukaan lukien luotonantajia koskeva lainsäädäntö ja tietosuoja-asetus. Tästä johtuen muun lainsäädännön riittävyyttä on tarkasteltu suhteessa valittuun sääntelyratkaisuun ja arvioitu, olisiko osa luotonantajia koskevista säännöksistä säilytettävä luottotietolaissa. Tässä arvioinnissa on kiinnitetty erityisesti huomiota rekisteröidyn oikeuksien turvaamiseen.

Maksupalvelulaissa tarkoitetussa asiakashäiriötietojen käsittelyssä puolestaan voi olla yleisen edun mukaisen tehtävän suorittamisen ohella samanaikaisesti kyse rekisterinpitäjän oikeutetun edun toteuttamisesta. Maksupalveludirektiivin sääntely lähtee siitä, että maksupalveluntarjoajalla on oikeus ennalta estää omaan toimintaansa kohdistuvia väärinkäytöksiä. Tietosuoja-asetuksen johdanto-osassa myös todetaan välttämättömän henkilötietojen käsittelyn petosten estämistarkoituksissa olevan asianomaisen rekisterinpitäjän oikeutetun edun mukaista. Oikeuskäytännössä on vakiintuneesti katsottu, että rikosten ennalta estäminen on hyväksyttävä tavoite, jonka perusteella on mahdollista rajoittaa yksityiselämän suojaa, edellyttäen että lainsäädäntötoimenpide on välttämätön ja oikeasuhteinen toimenpide. Rekisterinpitäjän oikeutettu etu ei siten ole henkilötietojen yksinomainen käsittelytarkoitus, vaan siihen liittyy yleisempi tavoite ennalta estää rikoksia.

Henkilötietojen käsittelyn oikeusperusteena rekisterinpitäjän tai kolmannen osapuolen oikeutettu etuun ei liity kansallista sääntelyliikkumavaraa. Sen valinta henkilötietojen käsittelyn oikeusperusteeksi ei siten mahdollistaisi nykyisen kaltaisen erityislainsäädännön säilyttämistä. Tämä tarkoittaisi, että luottotietolaista olisi poistettava myös henkilöluottotietojen käsittelyyn liittyvät tietojen rekisteröintiä ja luovuttamista koskevat säännökset, eikä myöskään maksupalvelulaissa olisi mahdollista säätää yksityiskohtaisesti asiakashäiriötietojen käsittelystä. Sääntelyliikkumavaraa ei myöskään sisälly tietosuoja-asetuksen 6 artiklan 1 kohdan muihin alakohtiin c alakohtaa (rekisterinpitäjän lakisääteinen velvoite) lukuun ottamatta. Maksupalvelulaissa on lisäksi kyse direktiivin täytäntöönpanosäännöksistä, joita ei ole mahdollista poistaa laista. Huomioiden erityisesti sen, että sekä luottotietojen että asiakashäiriötietojen käsittelyyn liittyy rekisteröityyn kohdistuvia riskejä, jotka muodostuvat rekisteröidyn toimintaa rajoittavista vaikutuksista, henkilötietojen käsittelyä koskevien erityissäännösten poistamista ei voida pitää tarkoituksenmukaisena. Lisäksi arkaluonteisina pidettävien asiakashäiriötietojen käsittelyä koskevan sääntelyn olisi oltava riittävän yksityiskohtaista ja tarkkarajaista, jotta se on myös rekisteröidyn kannalta läpinäkyvää ja ennakoitavaa. Yksityiskohtainen ja tarkkarajainen sääntely on tarpeen sekä perustuslaista johtuvien vaatimusten täyttämiseksi että tietosuoja-asetuksen edellyttämien rekisteröidyn oikeuksia koskevien suojatoimenpiteiden toteuttamiseksi.

Säilytysaikojen muutokset

Maksuhäiriötietojen säilytysaikojen muutokset oli alun perin tarkoitus toteuttaa positiivisen luottotietorekisterin käyttöönoton yhteydessä. Eduskunnan lausumassa kuitenkin edellytettiin nopeampaa aikataulua. Muutosehdotusten sisällyttämistä tähän esitykseen puoltaa myös se, että positiivinen luottotietorekisteri tulisi työryhmän mietinnön mukaan sisältämään vain eräitä maksuhäiriötietoja. Mietinnössä ehdotetut positiivisen luottotietorekisterin käyttötarkoitukset ovat luottotietolain perusteella käsiteltävien luottotietojen käyttötarkoituksia suppeammat. Positiivinen luottotietorekisteri ei mietinnön valossa myöskään poistaisi tarvetta käyttää maksuhäiriötietoja tietolähteenä luotonantoa tai muita tarkoituksia varten. Toiseksi valittua ratkaisua puoltaa se, että tietosuoja-asetus edellyttää kaikkien henkilötietojen käsittelyä koskevien erityissäännösten osalta sääntelyliikkumavaran käytön arviointia. Sisällyttämällä maksuhäiriötietojen säilytysaikojen muutokset tähän esitykseen luottotietolain säännösten tarpeellisuuden ja oikeasuhteisuuden arviointi on mahdollista kokonaisuutena.

Maksuhäiriömerkintöjen säilytysaikojen arviointi positiiviseen luottotietorekisteriin liittyvän lainvalmistelun yhteydessä olisi mahdollistanut kattavamman maksuhäiriötietojen säilytysaikojen arvioinnin. Muutosten samanaikaisella toteuttamisella olisi voitu myös jossain määrin vähentää maksuhäiriömerkintöjen säilytysaikojen lyhentämiseen liittyviä riskejä luotonannolle. Luotonantajat kuitenkin käyttävät jo nykyisin laajalti muitakin tietoja kuin maksuhäiriötietoja. Toisaalta maksuhäiriötietojen säilytysaikojen osalta ehdotettuja muutoksia koskevan esiselvitystyön valossa olisi myös epävarmaa, missä määrin laajemmat muutokset olisivat mahdollisia.

Ehdotettujen muutosten valmistelun aikana eräät sidosryhmät esittivät, että maksuhäiriömerkintöjen kestoa porrastettaisiin esimerkiksi siten, että ensimmäisen merkinnän säilytysaika olisi lyhyempi kuin mahdollisten myöhempien merkintöjen. Tämä olisi voinut poistaa merkintöjen kielteiset vaikutukset nopeammin sellaisten velallisten osalta, jotka ovat saaneet taloutensa kuntoon. Voimassa olevat säilytysajat on kuitenkin jo porrastettu siten, että tietyissä tilanteissa maksuhäiriömerkinnän säilytysaika lyhenee saatavan suorituksen myötä ja toisaalta uudet merkinnät pidentävät merkinnän säilytysaikaa. Toisaalta eduskunnan lausumassa edellytetään säilytysaikojen lyhentämistä yhteen kuukauteen silloin, kun saatava on suoritettu. Näin lyhyttä aikaa ei olisi tarkoituksenmukaista porrastaa. Uudenlainen säilytysaikojen porrastamiseen perustuva sääntely ei siten olisi toteuttamiskelpoinen.

5.2 Ulkomaiden lainsäädäntö ja muut ulkomailla käytetyt keinot

Luottotietojen käsittelyä koskevaa lainsäädäntöä on vertailtu voimassa olevaa luottotietolakia koskevassa hallituksen esityksessä (HE 241/2006 vp). EU:n jäsenvaltioista erityislainsäädäntöä on tuolloin ollut voimassa ainakin Ruotsissa, Belgiassa ja Yhdistyneessä Kuningaskunnassa. Belgian ja Yhdistyneen Kuningaskunnan lainsäädäntö on poikennut jossain määrin Ruotsin ja Suomen lainsäädännöstä, kohdistuen kulutusluottojen sääntelyyn.

EU:n jäsenvaltioiden luottotietojärjestelmät poikkeavat edelleen toisistaan, eikä luottotietojen käsittelystä ole myöskään annettu luotonantajia lukuun ottamatta EU-lainsäädäntöä. Useassa jäsenvaltiossa on viranomaisen ylläpitämä keskitetty luottotietorekisteri, kun taas osassa luottotietojen käsittelystä vastaavat yksityiset luottotietoyritykset. Joissakin jäsenvaltioissa on mahdollistettu kumpikin. Jäsenvaltioiden lainsäädännössä on toisistaan poikkeavia ratkaisuja siltä osin, käsitelläänkö lainsäädännön nojalla positiivisia tai negatiivisia luottotietoja ja mihin tarkoituksiin tietoja saa luovuttaa. Niissä jäsenvaltioissa, joissa säädetään negatiivisten luottotietojen käsittelystä, kerättäviin tietoihin voi sisältyä esimerkiksi tietoja sopimusrikkomuksista, maksuviivästyksistä ja maksun laiminlyönneistä sekä maksukyvyttömyydestä ja konkurssista. Luottotietoyritysten tarjoamat palvelut vaihtelevat näiltä osin. Osa tarjoaa automatisoituihin käsittelytoimiin ja menetelmiin perustuvia luottokelpoisuusarvioita, mutta myös tiedonlähteet vaihtelevat. Suurimmassa osassa jäsenvaltioita hyödynnetään luottolaitosten tuottamia tietoja. Sen sijaan viranomaisten rekisterien hyödyntäminen on harvinaisempaa. Suomen lisäksi viranomaisten rekistereitä voidaan käyttää ainakin Ruotsissa. Luottotietojärjestelmien suurien eroavaisuuksien vuoksi myös tietojen säilytysajat eri maiden luottotietojärjestelmissä vaihtelevat, eikä kaikissa EU:n jäsenvaltioissa säädetä säilytysajoista laissa. Koska säilytysaikoja koskeva sääntely ei ole keskenään vertailukelpoista, tässä esityksessä annetaan esimerkkeinä säännökset vain niistä jäsenvaltioista, joiden lainsäädäntöä on myös muilta osin tarkasteltu yksityiskohtaisemmin.

Ruotsissa edelleen voimassa olevan luottotietotoimintaa sääntelevän lain, Kreditupplysningslag (1973:1173), soveltamisala on pitkälti Suomen luottotietolakia vastaava. Laki koskee kuitenkin vain rajallisesti sellaisten luotto- ja rahoituslaitosten toimintaa, joiden luottotietojen käsittely perustuu muun viranomaisen myöntämään lupaan. Lakia sovelletaan sekä luonnollisia henkilöitä että oikeushenkilöitä koskevien luottotietojen käsittelyyn. Luonnollisten henkilöiden osalta säännökset poikkeavat osin oikeushenkilöitä koskevista säännöksistä ja lain säännösten lisäksi luottotietotoimintaan sovelletaan täydentävästi henkilötietojen käsittelyä koskevaa yleislainsäädäntöä. (Regeringsproposition 2017/18:120) Myös Suomen luottotietolaissa on erilliset säännökset henkilöluottotietojen ja yritysluottotietojen käsittelystä. Luottotietotoiminnan harjoittamiseen tarvitaan Ruotsissa pääsääntöisesti tietosuojaviranomaisen lupa, kun taas Suomessa riittää kolme kuukautta ennen toiminnan aloittamista annettu ilmoitus tietosuojavaltuutetulle. Kummassakin maassa laissa säädetään lisäksi eräistä muista elinkeinotoiminnan harjoittamista koskevista vaatimuksista.

Tämän esityksen valmistelun aikana on arvioitu, että tietosuoja-asetus edellyttäisi muutoksia luottotietolakiin erityisesti henkilöluottotietojen käsittelyn osalta, mukaan lukien niihin luottotietolain mukaisesti kohdistuvaa valvontaa koskevat säännökset. Ruotsissa hallituksen esityksellä ehdotettiin lainmuutoksia vuoden 1993 lain yhteensovittamiseksi eräiltä osin tietosuoja-asetuksen vaatimusten kanssa (Regerings proposition 2017/18:120). Lainmuutokset tulivat voimaan 25.5.2018 (Lag (2018:405) om ändring i kreditupplysningslagen (1973:1173)). Ruotsissa toteutetut lainmuutokset ovat pitkälti teknisluonteisia ja sisältävät muun muassa terminologista yhtenäistämistä suhteessa tietosuoja-asetukseen. Uusi sääntely sisältää erityisten henkilötietoryhmien käsittelykiellon, joka vastaa aiempaa arkaluonteisten henkilötietojen käsittelykieltoa. Rikosepäilyjä, tuomioita, rikosoikeudellisia seuraamuksia tai hallinnollisia vapaudenriistoja koskevien tietojen käsittely edellyttää myös edelleen tietosuojaviranomaisen luvan.

Ruotsin hallituksen esityksessä on arvioitu luottotietojen käsittelyn oikeusperustetta tietosuoja-asetuksen 6 artiklan mukaisesti. Ruotsissa lausuntokierroksella luottotietotoiminnan harjoittajat ovat katsoneet, että käsittelyn oikeusperusteen tulisi olla 6 artiklan 1 kohdan e alakohta (yleisen edun mukainen tehtävä). Muut lausunnonantajat sen sijaan kyseenalaistivat sen soveltuvuuden. Ruotsin hallituksen esityksessä kiinnitetään huomiota muun muassa siihen, että valitulla käsittelyn oikeusperusteella on vaikutusta siihen, voidaanko henkilötietojen käsittelystä säätää erityislainsäädännössä tietosuoja-asetuksen lisäksi. Esitys lähtee siitä, että luottotietotoiminta voi täyttää yleisen edun mukaisen tavoitteen erityisesti, kun sen tarkoituksena on turvata luotonantajien mahdollisuuksia suojautua luotonantoon liittyviä riskejä vastaan, vaikka se samalla vaikuttaa rekisteröityjen mahdollisuuksiin saada luottoa. Sääntelyn tulisi olla yksityiskohtaista ja oikeasuhteista.

Ruotsin hallituksen esityksessä on arvioitu tarvetta säätää 22 artiklan 2 kohdan b alakohdan mukaisesti automatisoidusta päätöksenteosta luottotietotoiminnassa. Ruotsin hallituksen esityksen perustelujen mukaan luottotietotoiminnassa laaditaan profiloituja luottotodistuksia. Hallituksen esityksessä ei ole kuitenkaan arvioitu yksityiskohtaisesti luottotietotoimintaan liittyvän profiloinnin luonnetta tai sitä, minkälaisilla automatisoiduilla profilointitoimilla voisi olla muita merkittäviä vaikutuksia kuin oikeusvaikutuksia. Perusteluissa on lähinnä viitattu siihen, että luotonantajat tekevät erikseen päätöksen luoton myöntämisestä tai hylkäämisestä. Luotonantajien osalta perusteluissa arvioidaan, että automatisoidut päätökset voisivat tulevaisuudessa olla mahdollisia rekisteröidyn suostumuksella. Suomessa luottolaitokset voivat jo nykyisin käyttää joidenkin luottojen myöntämiseen automatisoituja menettelyjä, joihin sovelletaan tietosuoja-asetuksen 22 artiklaa. Ruotsin lakiin ei sisälly vastaavanlaisia luottokelpoisuusarvioiden laatimista koskevia säännöksiä kuin luottotietolain 16 §.

Ruotsin luottotietolaissa säädetyn pääsäännön mukaan luonnollista henkilöä koskevia tietoja saa säilyttää ainoastaan niin kauan kuin ne ovat tarpeen käsittelyn tarkoituksen kannalta. Laissa säädetään kuitenkin kolmen vuoden enimmäissäilytysajasta, joka ei koske pelkästään maksuhäiriötietoja, vaan kaikkia luonnollisen henkilön luottotietoja lukuun ottamatta velkajärjestelyjä koskevia tietoja, jotka voidaan velkajärjestelyn tyypistä riippuen säilyttää enintään kolme tai viisi vuotta, jollei velkajärjestelyyn liittyvä maksusuunnitelma ole voimassa pidempään. Tiedon henkilöluottotietoja koskevasta pyynnöstä tai tiedonluovutuksesta saa kuitenkin säilyttää vain vuoden ajan pyynnön esittämisestä. Ulosottoa koskevien tietojen säilyttäminen on mahdollista vain, jos niitä ei koske salassapitovaatimus.

Tanskan tietosuojalaissa säädetään henkilöluottotietojen luovuttamisesta luottotietoyrityksille ja luottotietotoiminnan harjoittamisesta (databeskyttelsesloven, 4-5 kapitel). Tanskassa luottotietotoiminnan harjoittaminen edellyttää Ruotsin tavoin lupaa, jota haetaan tietosuojaviranomaiselta. Laki mahdollistaa maksuhäiriömerkintöjen käsittelyn taloudellisen aseman ja luottokelpoisuuden arvioimiseksi, mutta erityissäännökset koskevat Suomen lakia selkeämmin vain luottotietotoiminnan harjoittajia. Tanskan tietosuojalain esitöiden mukaan säännökset on pyritty rajaamaan välttämättömään, ja esimerkiksi rekisteröidyn oikeuksiin sovelletaan sellaisenaan tietosuoja-asetuksen säännöksiä (Lovforslag nr.L 68, Folketinget 2017-18, s. 141-142). Luottotietotoiminnan harjoittajilla ei ole oikeutta käsitellä tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja, eikä niille saa lain nojalla luovuttaa tällaisia tietoja. Tanskan tietosuojalain mukaan viittä vuotta vanhempia luottokelpoisuutta osoittavia tietoja ei saa käsitellä, jollei ole ilmeistä, että tieto on yksittäistapauksessa ratkaisevan merkityksellinen velallisen taloudellisen aseman tai luottokelpoisuuden arvioimiseksi. Henkilötietojen käsittelyn oikeusperusteena on myös Tanskan tietosuojalain esitöiden mukaan pidetty 6 artiklan 1 kohdan e alakohtaa. Oikeusperustetta ja yksityiskohtaisempien säännösten tarvetta on perusteltu vakavilla vaikutuksilla tai vahingoilla (alvorligeskadevirkninger), joita luottotietotoimintaan liittyvästä henkilötietojen käsittelystä aiheutuu asiaan liittyville luonnollisille henkilöille ja yrityksille.

Ruotsin ja Tanskan lisäksi ainakin Viro on pitänyt henkilöluottotietojen käsittelyn oikeusperusteena 6 artiklan 1 kohdan e alakohtaa. Tätä koskevat säännökset sisältyvät Viron tietosuojalakiin (Isikuandmete kaitse seadus, 12.12.2018, § 10) Virossa myös toimii Suomen, Ruotsin ja Tanskan tavoin yksityisiä luottotietoyrityksiä, jotka voivat tietosuojalain säännösten nojalla laatia luottokelpoisuusarvioita, joissa voidaan hyödyntää maksuhäiriötietoja. Laissa säädetään maksuhäiriötietojen käsittelykiellosta eräissä tilanteissa. Maksuhäiriötietojen käsittelyn yhteydessä ei ole esimerkiksi sallittua käsitellä tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja henkilötietoja tai tietoja, jotka liittyvät tuomioistuimessa vireillä olevaan rikosasian käsittelyyn. Lisäksi laissa asetetaan eräitä lisäedellytyksiä maksuhäiriötietojen luovuttamiselle kolmansille osapuolille luottokelpoisuuden arvioimiseksi. Rekisterinpitäjän on varmistettava tietojen paikkansapitävyys ja tietojen luovuttamisen oikeusperuste sekä rekisteröitävä tiedonluovutus. Laissa ei säädetä säilytysajoista, mutta maksuhäiriötietoja ei saa luovuttaa, jos maksuvelvoitteen rikkomisen alkamisesta on kulunut alle 30 päivää tai jos sen päättymisestä on kulunut yli viisi vuotta.

Myös Saksassa luottokelpoisuusarvioihin liittyvät erityissäännökset sisältyvät yleisesti sovellettavaan tietosuojalakiin (liittovaltion tietosuojalaki, Bundesdatenschutzgesetz, § 31 BDSG), samoin Espanjassa (Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, art. 20). Saksassa ja Espanjassa luottotietojen käsittely kuitenkin perustuu ensisijaisesti tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohtaan. Saksassa erityissäännösten tarkoitus on kuluttajansuojan varmistaminen. Saksan laissa ei säädetä luottotietojen säilytysajoista, vaan niiden säilyttämiseen sovelletaan suoraan tietosuoja-asetuksen säännöksiä. Espanjan tietosuojalain mukaisesti luottotietojen säilyttäminen on sallittua maksuvelvoitteen rikkomisen ajan, kuitenkin enintään viisi vuotta velan erääntymisestä. Osassa EU:n jäsenvaltioita puolestaan henkilöluottotietojen käsittelyyn sovelletaan sellaisenaan tietosuoja-asetuksen säännöksiä luotonantajien toimintaa koskevan lainsäädännön lisäksi. Näissä jäsenvaltioissa henkilötietojen käsittelyn oikeusperuste vaihtelee. Kyseeseen voi kuitenkin tulla erityisesti 6 artiklan 1 kohdan a, b, c tai f alakohta.

Eräissä jäsenvaltioissa on sisällytetty luottotietojen käsittelyä koskevia säännöksiä erityislainsäädäntöön, joka koskee esimerkiksi niin sanottuja positiivisia luottotietorekistereitä, luotonantajia tai kuluttajansuojaa. Myös näissä tapauksissa henkilötietojen käsittelyn oikeusperuste vaihtelee. Puolassa tällaisia säännöksiä on pankkeja koskevassa laissa (Dz. U. z 2019 r. poz. 2357, z 2020 r. poz. 284, 288, 321, 1086 - § 105(4)), jossa säädetään keskitetystä luottotietorekisteristä, jota ylläpitää yksityinen yritys. Tietoja voidaan luovuttaa pankkien lisäksi luottolaitoksille ja muille luotonantajille sekä järjestelmän ylläpitäjälle. Sen sijaan esimerkiksi Ranskassa luottotapahtumista, mukaan lukien luoton takaisinmaksua koskevat viivästykset ja ylivelkaantuneisuutta koskevat tiedot, säädetään kuluttajansuojaa koskevassa erityislainsäädännössä (Code de la consommation, art. L-751-1 – L.751-6). Säännösten mukaan Ranskan pankki pitää yllä keskitettyä rekisteriä luottotiedoista, joita voidaan luovuttaa luotto- ja rahoituslaitoksille, maksulaitoksille ja sähköisen rahan tarjoajille henkilön luottokelpoisuuden arvioimiseksi luoton tai maksuvälineen myöntämisen yhteydessä. Tietoja ei saa jäljentää. Henkilöluottotietojen rekisteröinnistä ja säilytysajoista voidaan antaa tarkempia säännöksiä asetuksella. Säilytysajat on sidottu asetuksessa joko asian käsittelyn tai toimenpiteen täytäntöönpanon kestoon. Kaikkien toimenpiteiden yhteen laskettu säilytysaika voi asetuksen mukaan olla enintään seitsemän vuotta (Arrêté du 26 octobre 2010, art. 10). Henkilöluottotietojen käsittelyyn sovelletaan Ranskassa muilta osin sellaisenaan tietosuoja-asetusta.

6 Lausuntopalaute

Tietosuojalainsäädännöstä johtuvat lainmuutokset

Hallituksen esityksen luonnos oli lausuntokierroksella 14.5.-10.7.2020. Luonnokseen saatiin lausunto työ- ja elinkeinoministeriöltä, valtiovarainministeriöltä, liikenne- ja viestintäministeriöltä, Ahvenanmaan maakunnan hallitukselta, Finanssivalvonnalta, Oikeusrekisterikeskukselta, tietosuojavaltuutetun toimistolta, Eduskunnan oikeusasiamiehen kanslialta, Oikeuskanslerinvirastolta, Bisnode Finland Oy:ltä, Suomen Asiakastieto Oy:ltä, Suomen Perimistoimistojen Liitto ry:ltä, FINE Vakuutus- ja rahoitusneuvonnalta, Suomen Yrittäjiltä, Finanssiala ry:ltä, Asiakkuusmarkkinointiliitto ry:ltä. Liikenne- ja viestintäministeriö ilmoitti, että sillä ei ollut lausuttavaa. Valtiovarainministeriöllä ei ollut huomautettavaa esitysluonnoksesta.

Lausuntopalautteessa kannatettiin yleisesti esityksen tavoitetta selkiyttää luottotietolain suhdetta tietosuoja-asetukseen sekä tavoitetta selkiyttää oikeustilaa maksupalvelulaissa tarkoitettujen asiakashäiriötietojen käsittelyssä ja varmistaa yhdenmukainen sääntely eri maksupalveluntarjoajien osalta. Luottotietolain osalta suurin osa huomioista koskivat henkilötietojen käsittelyn oikeusperustetta, yrityskytkentätietojen luovuttamista, luottokelpoisuusarvioiden laatimista ja luottotietojen lähteitä. Ahvenanmaan maakunnan hallitus kiinnitti huomiota luottotietolain soveltamiseen Ahvenanmaalla ja yhtyy lausunnossaan ehdotukseen säilyttää kielellisiä oikeuksia koskevat säännökset luottotietolaissa. Tietosuojavaltuutettu ja Suomen Yrittäjät kiinnittivät lausunnoissaan huomiota maksuhäiriötietojen säilytysaikojen merkitykseen. Lisäksi Eduskunnan oikeusasiamies ja tietosuojavaltuutettu nostivat esiin tarpeen arvioida tarkemmin ehdotetun henkilötietojen käsittelyn oikeusperusteen suhdetta julkisen vallan käyttöön ja perustuslain 124 §:ään. Työ- ja elinkeinoministeriö kiinnitti lausunnossaan erityistä huomiota yritysvaikutusten arviointiin.

Henkilötietojen käsittelyn oikeusperustetta kommentoitiin sekä viranomaisten että yritysten lausunnoissa. Tietosuojavaltuutetun lausunnon johdosta luottotietojen käsittelyä koskevaa kansainvälistä vertailua on laajennettu siten, että EU:n jäsenvaltioiden sääntelyä ja henkilötietojen käsittelyn oikeusperusteita on tarkasteltu kattavammin. Tässä esityksessä ehdotettu luottotietotoiminnan harjoittajia koskeva henkilötietojen käsittelyn oikeusperuste on sama kuin Ruotsissa, Tanskassa ja Virossa, mistä syystä näiden kolmen jäsenvaltion sääntelyä on vertailtu yksityiskohtaisemmin kuin muiden jäsenvaltioiden lainsäädäntöä. Tietosuojavaltuutetun ja Eduskunnan oikeusasiamiehen lausuntojen johdosta luottotietolain suhdetta perustuslain 124 §:ään on arvioitu jatkovalmistelun aikana erityisesti sen selvittämiseksi, liittyykö luottotietotoiminnan harjoittamiseen julkisen vallan käyttöä. Eduskunnan oikeusasiamies katsoi lausunnossaan, että tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaa tulisi ainakin lähtökohtaisesti soveltaa vain viranomaisten tai muiden julkista hallintotehtävää hoitavien toimintaan. Eduskunnan oikeusasiamies esittää, että esitysluonnoksen perusteluissa todetun luottotietotoiminnan yhteiskunnallisen tehtävän ja tosiasiallisen rekisteröidyn oikeuksiin merkittävästi vaikuttavan luonteen vuoksi tehtävä olisi määriteltävä julkiseksi hallintotehtäväksi tai ainakin julkiseksi tehtäväksi. Esityksen jatkovalmistelussa on pitäydytty alkuperäisessä arviossa, jonka mukaan kyse on muusta yleistä etua koskevasta tehtävästä, josta säädetään laissa. Tietosuoja-asetus myös mahdollistaa sen, että yritykset hoitavat yleistä etua koskevaa tehtävää. Vaikka perusteluissa arvioidaan yksityiskohtaisemmin luottotietotoiminnan piirteitä, jotka voisivat puoltaa toisenlaistakin ratkaisua, esityksessä ei ehdoteta säädettäväksi julkisesta hallintotehtävästä. Ehdotuksen mukaan kyse olisi erityistä asiantuntemusta edellyttävästä, erityisesti luotonantoa palvelevasta tehtävästä. Huomioiden kuitenkin vaikutukset rekisteröityihin, erityisesti luottokelpoisuusarvioihin liittyvä suojatoimia ehdotetaan vahvistettavaksi. Esityksen säätämisjärjestysperusteluja on täydennetty oleellisesti siten, että perusteluihin on lisätty arvio suhteesta perustuslain 124 §:ään. Lisäksi säätämisjärjestysperusteluja on tarkennettu oikeusturvaa koskevien näkökohtien osalta.

Lisäksi henkilötietojen käsittelyn oikeusperusteen osalta perusteluja on tarkennettu luottotietotoiminnan harjoittajien ja Finanssiala ry:n lausuntojen johdosta siten, että niistä käy selkeämmin ilmi tarkoitus, että yleistä etua koskeva tehtävä henkilötietojen käsittelyn ensisijaisena oikeusperusteena koskisi vain luottotietotoiminnan harjoittajia. Muiden luottotietojen käsittelijöiden osalta ensisijainen käsittelyn oikeusperuste voisi olla muukin tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisista oikeusperusteista. Tällä huomioitaisiin erityisesti tarve varmistaa luotonantajia koskevan sääntelyn yhdenmukaisuus sisämarkkinoilla.

Yrityskytkentätietojen luovuttamista koskevien poikkeussäännösten poistamista koskevat ehdotukset herättivät runsaasti huolia lausunnonantajien keskuudessa (Bisnode Finland Oy, Suomen Asiakastieto Oy, Finanssiala ry, Asiakkuusmarkkinointiliitto ry). Ottaen huomioon, että voimassa olevat poikkeukset on muotoiltu tietosuoja-asetuksen kannalta ongelmallisella tavalla, säännökset ehdotetaan edelleen poistettavaksi laista, mutta nykytila kuitenkin säilytettäisiin käyttämällä erilaista sääntelytekniikkaa. Jatkovalmistelun aikana on selvitetty tarkemmin eri tiedonluovutuskäytännöt, joita luottotietotoiminnan harjoittajilla on eri tietoryhmien osalta. Säännösviittauksilla huomioitaisiin se, että silloin, kun luovutetaan pelkästään yrityskytkentätietoja, laissa säädettyjä tiedonluovutusten edellytyksiä ei olisi tarpeen noudattaa. Ottaen kuitenkin huomioon erityisesti Suomen Yrittäjien lausunnossa esiin nostetut seikat, perusteluissa on täsmennetty, että tiedonluovutuksia koskevia edellytyksiä olisi noudatettava aina, kun luovutetaan 12 §:n 1 momentissa tai 13 §:ssä tarkoitettuja henkilöluottotietoja. Lisäksi Suomen Yrittäjien lausunnon johdosta perusteluissa on tuotu esiin yleisen tietoverkon välityksellä tapahtuviin tiedonluovutuksiin liittyvät riskit rekisteröityjen tietosuojan ja yksityiselämän suojan kannalta.

Eduskunnan oikeusasiamiehen lausunnon johdosta 13 §:n 1 momentin 3 kohtaa on päätetty ehdottaa muutettavaksi siten, että luottotietorekisterin talletettaisiin viranomaisen toteamina maksuhäiriötietoina tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla, siinä tapauksessa, että maksuvaatimusta ei ole riitautettu perusteeltaan tai määrältään.

Tietosuojavaltuutettu piti luottokelpoisuusarvioita koskevia perusteluja hyvinä, mutta katsoi, että myös luottokelpoisuusarvioiden myöhempään käsittelyyn olisi syytä kiinnittää huomiota. Oikeuskanslerinvirasto ei yhtynyt näkemykseen siitä, että 16 §:ssä on jo nimenomaisesti sallittu automatisoidut yksittäispäätökset, ainakaan tavalla, jonka voisi katsoa täyttävän tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan asettamat vaatimukset. Oikeuskanslerinvirasto katsoi, että esitystä tulee muuttaa niin, että säännöksen tarkoitus käy selkeästi ilmi lain tekstistä ja myös perustellaan lain yksityiskohtaisissa perusteluissa. Finanssiala ry puolestaan katsoi, että ehdotettujen 16 §:n säännösten tulisi koskea vain luottotietotoiminnan harjoittajia. Bisnode Finland Oy ja Suomen Asiakastieto Oy eivät tukeneet lausunnoissaan ehdotettuja muutoksia, ja pitivät nykyisiä säännöksiä riittävinä, vedoten myös siihen, että ne eivät tee luottopäätöksiä. Ne myös kiinnittivät huomiota ehdotettujen muutosten vaikutuksiin.

Koska tietosuoja-asetuksen 22 artiklan soveltamisala on laajempi kuin sellainen automatisoitu päätöksenteko, jolla on oikeusvaikutuksia tai muita merkittäviä vaikutuksia, nykyiset säännökset eivät ole riittävät. Säännökset kattavat myös automatisoidun profiloinnin, jolla on joko oikeusvaikutuksia tai muita merkittäviä vaikutuksia. Perusteluja on tarkennettu sen selventämiseksi, että luottokelpoisuusarvioiden automatisoidussa laatimisessa on kyse sellaisesta profiloinnista, jolla on merkittäviä vaikutuksia rekisteröityyn tietosuoja-asetuksen 22 artiklan tarkoittamalla tavalla. Arvion tukena on käytetty yksityiskohtaista Suomen ja Ruotsin lakien vertailua. Suomen luottotietolaki sisältää Ruotsin laista poiketen nimenomaiset säännökset luottokelpoisuusarvioiden laadinnasta ja mahdollistaa huomattavasti laajemmat luottokelpoisuusarvioiden luovutukset myös muihin tarkoituksiin kuin luotonantoa varten. Luottotietolain esitöiden mukaan kyse on myös automatisoidusta toiminnasta. Ottaen huomioon oikeuskanslerinviraston huomautuksen, ehdotettuja säännöksiä on tarkennettu sen selventämiseksi, että silloin, kun kyse on automatisoidusta luottokelpoisuusarvioiden laadinnasta, niitä koskisivat ehdotetut suojatoimet rekisteröidyn oikeuksien turvaamiseksi. Ehdotettuja suojatoimia on myös tarkistettu yhteistyössä luottotietotoiminnan harjoittajien kanssa sen varmistamiseksi, että ne soveltuisivat paremmin toiminnan luonteeseen. Tällä myös kohtuullistettaisiin ehdotettujen lainmuutosten taloudellisia vaikutuksia.

Rekisteröidyn tarkastusoikeuden rajoittamista koskevia säännöksiä, jotka liittyvät rahanpesun ja terrorismin rahoittamisen estämiseen, ja niihin liittyviä tiedonluovutussäännöksiä on selvennetty lausuntopalautteen valossa. Suojelupoliisi on ehdottanut luottotietolain mukaista rekisteröidyn tarkastusoikeuden rajoittamista koskevien säännösten muuttamista siten, että tarkastusoikeuden rajoittaminen laajennettaisiin kattamaan myös esimerkiksi rikosten estämiseksi ja kansallisen turvallisuuden suojaamiseksi tehdyt tietopyynnöt. Luottotietolain säännösten laajentaminen ei kuitenkaan olisi tarpeen, koska näissä tilanteissa voidaan soveltaa sellaisenaan tietosuojalain 34 §:n säännöksiä. Ehdotetun luottotietolain 30 a §:n perusteluja on täydennetty tältä osin selkeyden vuoksi.

Bisnode Finland Oy ja Suomen Asiakastieto Oy esittivät huomioita esitysluonnoksen sisältämästä taloudellisten vaikutusten arvioinnista. Koska nämä liittyivät erityisesti yrityskytkentätietojen luovuttamiseen, esityksen jatkovalmistelun aikana luottotietotoiminnan harjoittajia on kuultu erikseen myös taloudellisten vaikutusten arvioinnin tarkentamiseksi. Vaikutusten arviointia on täsmennetty erityisesti automatisoituihin luottokelpoisuusarvioihin liittyvien suojatoimien osalta. Taloudellisten vaikutusten arvioinnissa on myös huomioitu työ- ja elinkeinoministeriön esittämät huomiot eri kokoisten yritysten osalta sekä tarkennettu viranomaisvaikutusten arviointia.

Bisnode Finland Oy:n, Suomen Asiakastieto Oy:n, Suomen Perimistoimistojen Liitto ry:n, Finanssiala ry:n ja Asiakkuusmarkkinointiliitto ry:n lausuntojen johdosta on tarkennettu ehdotetun 6 §:n muutosten perusteluja. Näiden lausuntopalautteen johdosta jatkovalmistelun aikana katsottiin tarpeelliseksi myös selkiyttää lain soveltamisalan rajausta siten, että muihin kuin luottotietotoiminnan harjoittajiin sovellettavat säännökset ilmenevät selkeästi laista. Se, että soveltamisalan rajaus ilmenee pelkästään lain esitöistä, on aiheuttanut runsaasti epäselvyyttä siitä, mitä säännöksiä sovelletaan kaikkiin luottotietojen käyttäjiin. Lisäksi luottotietolain muuttamista koskevaan ehdotukseen on tehty muutamia ylimääräisiä tarkistuksia soveltamisalan rajauksen huomioimiseksi.

Maksupalvelulakiin ehdotettuihin muutoksiin ei esitetty huomautuksia. Rikosrekisterilakiin ehdotettua muutosta kommentoivat Oikeusrekisterikeskus, tietosuojavaltuutettu ja Eduskunnan oikeusasiamies.

Tietosuojavaltuutettu ja Oikeusrekisterikeskus tukivat ehdotettua rikosrekisterilain muutosta. Tietosuojavaltuutettu kiinnitti huomiota siihen, että rekisterinpitäjän käsitteeseen kuuluu, että se tekee luovutuspäätökset. Oikeusrekisterikeskus kiinnittää myös huomiota siihen, että tietojen luovuttamisesta päättäminen on kuulunut jo pitkään henkilötietojen suojaa koskevien säännösten mukaan rekisterinpitäjälle ja oikeusministeriön toimivalta on nähtävissä vanhentuneena. Oikeusministeriö ei ole myöskään lausunnon mukaan tehnyt viimeisen kymmenen vuoden aikana päätöksiä tietojen luovuttamisesta rikosrekisterilain 4 a §:n 3 momentin nojalla. Oikeusrekisterikeskus totesi toisaalta, että kyseessä on periaatteellisesti suuri muutos, mutta toisaalta tilanteet, joissa tietoja luovutettaisiin muutoksen myötä, jäisivät sen arvion mukaan harvinaiseksi. Oikeuskanslerinvirasto puolestaan kiinnitti lausunnossaan huomiota siihen, että päätöksenteon säätämistä oikeusministeriölle perusteltiin myös sillä, että poikkeusluvan myöntäminen sisältää sellaista oikeuspoliittista harkintaa ja linjanvetoa, joka luonteensa puolesta soveltuu paremmin ministeriölle kuin hallinnolliselle rekisteriviranomaiselle. Ehdotettuun lainmuutokseen ei ole tehty muutoksia jatkovalmistelun aikana. Muutosehdotuksen säännöskohtaisia perusteluja on kuitenkin Oikeuskanslerinviraston lausunnon johdosta täydennetty rekisterinpitäjän käsitteen osalta.

Maksuhäiriömerkintöjen säilytysaikojen muutokset

Maksuhäiriötietojen säilytysaikojen muutoksia koskeva lakiehdotuksen luonnos oli lausuntokierroksella 4.3-14.4.2021. Lausunnon antoivat Bisnode Finland Oy, Elinkeinoelämän keskusliitto EK, Etelä-Suomen aluehallintovirasto, Finanssiala ry (FA), Finanssivalvonta, Finnvera Oyj, Keskuskauppakamari, Kilpailu- ja kuluttajavirasto/kuluttaja-asiamies, Kohtuuhintaisten vuokra- ja asumisoikeustalojen omistajat - KOVA ry, konkurssiasiamiehen toimisto, Kriminaalihuollon tukisäätiö, Kuluttajaliitto, Luottomiehet ry, Oikeusrekisterikeskus, Ok Perintä Oy, Poliisihallitus, Rahanpesun selvittelykeskus (keskusrikospoliisi), Santander Consumer Finance Oy (Santander), sosiaali- ja terveysministeriö (STM), suojelupoliisi, Suomen Asiakastieto Oy, Suomen Kiinteistöliitto ry (Kiinteistöliitto), Suomen Pankki, Suomen Perimistoimistojen Liitto ry, Suomen Vuokranantajat ry, Suomen Yrittäjät, Terveyden ja hyvinvoinnin laitos (THL), Tietosuojavaltuutetun toimisto, Työllisyysrahasto, työ- ja elinkeinoministeriö, Ulosottolaitos, Vakuutus- ja rahoitusneuvonta FINE, valtiovarainministeriö, Verohallinto, Vuokralaiset ry sekä kaksi yksityishenkilöä.

Ehdotettuja lainmuutoksia koskevien lausuntojen lisäksi maksuhäiriötietojen säilytysaikoja koskevien säännösten jatkovalmistelussa on otettu huomioon arviomuistiota koskeva lausuntopalaute. Usea lausunnonantaja viittasi säilytysaikojen muutoksia koskevassa lausunnossaan arviomuistiota koskevaan aiempaan lausuntoonsa.

Kuten arviomuistiota koskevalla lausuntokierroksella, kritiikkiä kohdistui erityisesti siihen, että maksuhäiriötietojen säilytysaikoja muutetaan ennen positiivisen luottotietorekisterin käyttöönottoa. Lainmuutosten kytkemistä tai muutostarpeiden arvioimista positiivisen luottotietorekisterin yhteydessä kannattivat esimerkiksi Bisnode Finland Oy, EK, Etelä-Suomen aluehallintovirasto, Finanssivalvonta, FINE, Keskuskauppakamari, Kiinteistöliitto, KOVA ry, Kuluttajaliitto, STM, Suomen Perimistoimistojen Liitto ja Suomen Pankki. Usea lausunnonantaja (esimerkiksi valtiovarainministeriö, Suomen Asiakastieto Oy, Bisnode Finland Oy) myös kritisoi lausunnossaan ehdotettujen lainmuutosten laajuutta. Toisaalta esimerkiksi Suomen Yrittäjät piti tärkeänä, että maksuhäiriömerkintöjen tallennusaikoja yhtenäistetään ja maksuhäiriömerkintöjä koskevaa sääntelyä kehitetään yrittäjyyttä ja työllistämistä edistävällä tavalla.

Ehdotettua kuukauden säilytysaikaa pidettiin useassa lausunnossa liian lyhyenä. Näin katsoivat muun muassa Bisnode Finland Oy, EK, FA, FINE, Finnvera, Kiinteistöliitto, Suomen Asiakastieto Oy ja Suomen Perimistoimistojen Liitto. Osa lausunnonantajista katsoi, että kuukauden sijasta säilytysajan tulisi olla kuusi kuukautta tai yksi vuosi. Valtiovarainministeriö katsoi, että kuukauden säilytysajan tulisi koskea vain velkojan ilmoittamia maksuhäiriöitä. Vaihtoehtoisesti valtiovarainministeriö ehdotti, että muutosta voisi rajoittaa siten, että luotonantoon sekä takauksen ja pantin antamiseen ja hyväksymiseen liittyviin käyttötarkoituksiin olisi sallittua käyttää nykyisen sisältöisiä luottotietoja, ja että merkittävämpi lyhentäminen kohdistuisi vain muihin käyttötarkoituksiin. Ehdotusten toteuttamista ei kuitenkaan pidetä eduskunnan lausuman valossa mahdollisena. Toisaalta on huomioitava, että muutosten rajaaminen pelkästään velkojan ilmoittamiin maksuhäiriöihin tarkoittaisi, että rekisteröityjen luonnollisten henkilöiden asema ei todennäköisesti merkittävästi helpottuisi. Velkojan ilmoittamat maksuhäiriömerkinnät muodostavat vain pienen osan luonnollisten henkilöiden maksuhäiriömerkinnöistä. Valtiovarainministeriö katsoi myös, että samalla kun maksuhäiriömerkintöjen säilytysaikoja lyhennetään, tulisi mahdollistaa laajempi ulosottotietojen rekisteröinti luottotietorekistereihin. Ehdotettua muutosta ei pidetä ainakaan tässä yhteydessä tarkoituksenmukaisena toteuttaa. Ehdotettu muutos vaatisi erillistä kattavaa vaikutusten arviointia ottaen huomioon esimerkiksi sen, että jokaisella on oikeus saada tieto ulosottorekisteristä. Myös vaikutukset Ulosottolaitoksen työmäärään tulisi tällöin arvioida kattavasti.

Bisnode Finland Oy ehdotti harkittavaksi asettaa velkojille velvollisuus saattaa luottotietotoiminnan harjoittajien tietoon niin sanottu ”maksettu-tieto” saatavan suorittamisesta, jolloin velallisia kohdeltaisiin yhdenvertaisesti eikä vastuuta siirrettäisi velalliselle. Myös Verohallinto ehdotti menettelyihin tarkennusta ja esitti, että lähtökohtana voisi olla se, että maksuhäiriömerkinnän ilmoittanut taho ilmoittaisi myös merkinnän poistamisen perusteesta. Tällä hetkellä saatavan suorituksesta voi ilmoittaa luottotietotoiminnan harjoittajalle joko velallinen itse tai se, jolla on tähän lakisääteinen velvollisuus, esimerkiksi velkojan ilmoittamien maksuhäiriömerkintöjen osalta velkoja, tai ulosottokaaren 1 luvun 32 §:n tarkoittamissa tilanteissa asiakkaan pyynnöstä ulosotto. Verohallinto ilmoittaa protestoitujen verojen maksamisesta asiakkaan pyynnöstä. Tässä yhteydessä on huomioitava muun muassa se, kenellä on tieto saatavan suorituksesta. Ei ole tarkoituksenmukaista, että esimerkiksi velkomustuomion antamisen jälkeen ilmoitus mahdollisesta maksusta tehtäisiin tuomioistuimesta. Nykyisiin menettelyihin suorituksesta ilmoittamisen osalta ei ehdoteta tässä esityksessä muutosta. Suomen Perimistoimistojen Liitto on ehdottanut täsmennettäväksi sitä, että poistaminen rekisteristä edellyttää myös maksuhäiriöasiaan liittyvien korkojen ja kulujen suorittamista eikä pelkkä pääoman suoritus riitä maksuhäiriömerkinnän poistoon. Säännöksiin ei kuitenkaan ehdoteta tehtäväksi täsmennystä tältä osin. Esimerkiksi velkomustuomio, josta maksuhäiriömerkintä on syntynyt, sisältää korot ja kulut, jos ne on tuomittu maksettaviksi. Myös ulosoton näkökulmasta koko saatavan tulee olla maksettu, jotta ulosottomies tekee ilmoituksen saatavan maksamisesta. Ulosottomies perii saatavaa sen mukaisesti kuin maksuvelvoite on tuomiossa tai muussa ulosottoperusteessa vahvistettu. Jos vastaaja on ulosottoperusteessa velvoitettu maksamaan korkoja tai perintäkuluja, ne ovat osa maksuvelvoitetta.

Useassa lausunnossa on suhtauduttu kielteisesti siihen, että yritysluottotietojen säilytysaikojen lyhentämistä kiirehditään. Jatkovalmistelun aikana on kuitenkin arvioitu asiaa suhteessa tavoitteeseen helpottaa myös tilapäisiin maksuvaikeuksiin joutuneiden yrittäjien toimintamahdollisuuksia. Positiiviseen luottotietorekisteriin ei olisi mietinnön mukaan tarkoitus sisällyttää yritysluottotietoja lukuun ottamatta toiminimeä koskevaa poikkeusta. Tästä johtuen yritysluottotietojen säilytysaikoja koskevia muutoksia ei ole tarpeen kytkeä kyseiseen hankkeeseen.

Konkurssiasiamies katsoi lausunnossaan, että luottotietolain 28 §:n 1 momentin 8 kohdan muuttaminen ei ole perusteltua. Konkurssiasiamies on lausunnossaan katsonut, että päättyneen liiketoimintakiellon säilytysajan lyhentämisellä ja päättynyttä liiketoimintakieltoa koskevan tiedon luovuttamiskiellolla voisi olla vaikutusta harmaan talouden torjuntaan. Lausuntokierroksella ollutta ehdotusta ei ole tältä osin tarkistettu. Vaikka päättyneellä liiketoimintakiellolla sinänsä on merkitystä muun muassa talousrikosten tutkinnassa, päättynyttä liiketoimintakieltoa koskevaa tietoa ei ole tarkoitettu luovutettavaksi liiketoimintakieltorekisteristä tapahtuvia luovutuksia laajempiin tarkoituksiin. Vero-, tulli-, ulosotto- ja palkkaturvaviranomaisen, konkurssiasiamiehen, julkisista varoista avustuksia ja etuuksia myöntävän viranomaisen sekä elinkeinotoimintaan liittyviä lupa- ja valvontatehtäviä hoitavan viranomaisen velvollisuus huolehtia siitä, että sen toiminnassa kiinnitetään huomiota liiketoimintakiellon noudattamisen toteutumiseen, liittyy pelkästään voimassa olevaan liiketoimintakieltoon. Myöskään velvoitteidenhoitoselvitysten tekemiseen ei käytetä päättynyttä liiketoimintakieltoa koskevia tietoja. Varsinainen kiellon noudattamista valvova viranomainen on poliisi. Liiketoimintarekisteristä päättynyttä liiketoimintakieltoa koskeva tieto voidaan luovuttaa laissa säädetyissä tilanteissa luovuttaa esitutkintaviranomaiselle ja syyttäjälle. Valmistelun aikana saadun selvityksen mukaan päättyneitä liiketoimintakieltoja koskevaa tietoa ei myöskään luovuteta luottotietorekistereistä. Harmaan talouden torjuntaan liittyvät näkökohdat eivät aseta esteitä yritysluottotietojen säilytysaikojen tarkistamiselle.

Konkurssiasiamiehen lisäksi myös valtiovarainministeriö on kiinnittänyt huomiota tarpeeseen arvioida tarkemmin ehdotettujen muutosten vaikutuksia harmaan talouden torjuntaan. Vaikutustenarviointiin on lisätty erillinen jakso, jossa näitä vaikutuksia on arvioitu viranomaisten ja luottotietoja käyttävien yritysten osalta. Vaikutusten arviointia on myös eräiltä muilta osin täsmennetty lausuntojen johdosta.

Ulosottolaitokselle aiheutuvia vaikutuksia on arvioitu tarkemmin jatkovalmistelun aikana Ulosottolaitoksen lausunnon perusteella. Erityisesti on tarkennettu henkilöresurssivaikutusten arviointia, mitä varten Ulosottolaitokselta on pyydetty lisätietoja.

Lainsäädännön arviointineuvoston lausunto

Lainsäädännön arviointineuvosto esitti lausunnossaan viisi keskeistä vaikutusten arvioinnin kehittämiskohdetta. Se katsoi, että esitysluonnoksen vaikutusarvioita tulisi tarkentaa vaikutusten mittaluokan kuvausten osalta; esityksessä tulisi esittää vaikutuksista kokonaisarvio, jossa eri suuntaiset ja eri tahoja koskevat vaikutukset suhteutettaisiin punnitusti; esitysluonnoksen vaikutukset eri tyyppisille yrityksille tulisi esittää tarkemmin; viranomaisvaikutuksia tulisi täydentää arvioilla vaikutuksista talous- ja velkaneuvontaa an-taviin viranomaisiin, kansaneläkelaitokseen ja kuntien sosiaalipalveluihin; ja esitysluonnoksen yhteiskunnalliset vaikutukset –jaksossa tulisi arvioida uudistuksen vaikutuksia tarkemmin eri väestöryhmien näkökulmasta.

Arviointineuvoston lausunnon johdosta esityksen vaikutustenarviointia koskevan jakson otsikointia ja sisältöä on täsmennetty eräiltä osin sen selventämiseksi, mitkä ovat esityksen merkittävimmät vaikutukset ja miltä osin vaikutukset ovat vähäisempiä. Vaikutuksen arvioinnin tarkistuksissa on hyödynnetty hieman laajemmin maksuhäiriömerkintöjen vaikutuksia koskevia selvityksiä. Saatavilla olevat ulkomailla tehdyt selvitykset kuitenkin ovat koskeneet tilanteita, joissa asiaan vaikuttava lainsäädäntö poikkeaa oleellisesti luottotietolaista, eikä niistä voida vetää suoria kvantitatiivisia arvioita muutosten vaikutuksista. Esityksen perusteluita on myös eräiltä muilta osin täsmennetty. Esitykseen on lisätty arvio talous- ja velkaneuvontaa antavien viranomaisten osalta. Esitykseen on myös lisätty jakso, jossa arvioidaan mihin väestöryhmiin esityksellä olisi erityisesti vaikutuksia.

7 Säännöskohtaiset perustelut
7.1 Luottotietolaki

Luottotietolakia sovelletaan luottotietojen keräämiseen, tuottamiseen, tallettamiseen, luovuttamiseen ja muuhun käsittelyyn. Lain mukaisesti kirjataan sekä henkilöluottotietoja että yritysluottotietoja. Yritysluottotietoihin voidaan myös yhdistää yrityksen vastuuhenkilöitä koskevia tietoja. Laissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu kaikilta osin tietosuoja-asetuksen ja sitä täydentävän tietosuojalain soveltamisalaan. Henkilötietojen käsittelyn ensisijaisena oikeusperusteena olisi tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. Tietosuojalain 4 § mukauttaa kyseistä tietosuoja-asetuksen kohtaa käsittelyperusteena. Pykälän 1 kohdan mukaan henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, jos kysymys on henkilön asemaa, tehtäviä sekä niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhteista sillä tavoiteltuun oikeutettuun päämäärään nähden. Käsittelyperustetta sovellettaessa katsottaisiin, että henkilön yksityisyyden suojaa turvaavat edut eivät syrjäytä rekisterinpitäjän tai sivullisen intressejä. Luottotietolaissa tarkoitettujen henkilötietojen käsittelyperuste ei oikeuttaisi niiden käsittelyä mitä tahansa tarkoitusta varten. Laissa säädetään myös yksityiskohtaisesti käyttötarkoituksista, joihin luottotietoja voidaan luovuttaa.

Laissa tarkoitettuun toimintaan voi liittyä myös henkilötietojen käsittelyä, joka on 6 artiklan 1 kohdan f alakohdan mukaisesti tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Siltä osin kuin on kyse esimerkiksi luotonantajien suorittamasta henkilöluottotietojen käsittelystä, henkilötietojen käsittelyn oikeusperuste voi olla myös 6 artiklan 1 kohdan a, b tai c alakohta. Tällaisessa tilanteessa rekisterinpitäjän olisi sovellettava suoraan tietosuoja-asetusta. Kansallisen sääntelyliikkumavaran käyttö luottotietolaissa perustuisi kuitenkin e alakohtaan. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa on käytetty yksityiskohtaisten säännösten antamiseksi erityisesti henkilötietojen rekisteröinnistä, säilyttämisajoista ja luovuttamisesta, mutta myös muusta käsittelystä. Ottaen huomioon, että sääntely koskee osittain erilaisten maksuhäiriötietojen käsittelyä, jolla voi olla kielteisiä vaikutuksia rekisteröidyn toimintamahdollisuuksiin, yksityiskohtaista ja tarkkarajaista sääntelyä voidaan riskiperusteisesti pitää tarpeellisena. Luottotietolain 2 §:n mukainen tarkoitus täyttää tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisen yleisen edun mukaisen tavoitteen, ottaen huomioon erityisesti tarpeen suojata luotonantoa siihen kohdistuvilta riskeiltä sekä luonnollisten henkilöiden ja yritysten oikeuden tulla arvioiduiksi asianmukaisesti. Laissa säädettäisiin henkilötietojen käsittelystä tietosuoja-asetuksen säännösten täydentämiseksi siltä osin kuin säännökset ovat rekisteröidyn oikeuksiin kohdistuvien riskien kannalta välttämättömiä. Laista poistettaisiin sellaiset yksityiskohdat, joiden katsotaan tulevan riittävästi katetuiksi suoraan yleislain säännöksillä. Yksityiskohtaisen sääntelyn tavoitteena on varmistaa, että se on rekisteröidyn kannalta läpinäkyvää, mikä edistää rekisteröidyn oikeuksien toteutumista.

Valittu oikeusperuste tarkoittaisi, että tietosuoja-asetuksen mukaiset rekisteröidyn oikeudet tulisivat täysimääräisesti sovellettavaksi. Rekisteröidyllä olisi myös tietosuoja-asetuksen 17 artiklan mukainen oikeus henkilötietojen poistamiseen ja 21 artiklassa tarkoitettu oikeus vastustaa henkilötietojen käsittelyä. Näitä oikeuksia olisi kuitenkin mahdollista rajoittaa tietosuoja-asetuksen 23 artiklan mukaisesti, edellyttäen, että rajoitukselle on jokin artiklan 1 kohdassa tarkoitettu peruste ja rajoituksesta säädetään laissa. Lainsäädäntötoimenpiteen olisi täytettävä 23 artiklan 2 kohdassa säädetyt kriteerit. Luottotietolakiin sisältyvät säännökset yksilöintitietojen ja toimintakelpoisuutta koskevien tietojen säilyttämisajoista sekä maksuhäiriömerkintöjen ja luokitustietojen säilyttämisajoista, jotka merkitsevät rajoituksia tietosuoja-asetuksen 17 artiklan mukaiseen rekisteröidyn oikeuteen tietojen poistamiseen. Luonnollisen henkilön maksuhäiriötietojen säilytysaikojen eräillä tarkistuksilla varmistettaisiin, että säännökset ovat tietosuoja-asetuksen 6 artiklan 3 kohdan vaatimuksen mukaisesti oikeasuhteisia.

Luottotietolain sisältämien henkilötietojen käsittelyä koskevien säännösten oikeasuhteisuuden arviointiin vaikuttavat säilytysaikojen ohella erityisesti henkilöluottotietorekisterien tietosisältöä ja sallittuja tietojen luovutustarkoituksia koskevat säännökset. Lain 12 §:ssä ja 13 §:ssä on lueteltu tyhjentävästi ne tiedot, joita rekistereihin saa tallentaa henkilöluottotietoina. Rekisterien tietosisältö on varsin laaja, mutta tietosisältö on pyritty rajaamaan yksityiskohtaisesti ja tarkkarajaisesti sellaisiin tietoihin, joilla on merkitystä luottokelpoisuuden arvioinnin kannalta. Luottotietorekistereihin myös kohdistuu luotettavuuden vaatimus. Rekisterien tietosisällössä on huomioitu tarve varmistaa niiden saatavuus laissa säädettyjä käyttötarkoituksia varten, minkä lisäksi luottotietojen laadun turvaamiseksi rekistereihin on tarpeen tallentaa eräitä täydentäviä tietoja, kuten tieto saatavan maksamisesta. Tällaisilla tiedoilla myös turvataan rekisteröidyn oikeutta tulla arvioiduksi ajantasaisten ja täsmällisten tietojen valossa. Henkilöluottotietojen luovutustarkoitukset ovat varsin laajat verrattuna muihin EU:n jäsenvaltioihin. Suurin osa laissa säädetyistä tietojen luovutustarkoituksista on kuitenkin läheisessä yhteydessä alkuperäiseen luottotietojen käsittelytarkoitukseen siten kuin tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohta ja 6 artiklan 4 kohta edellyttävät.

Lain 19 §:ssä on sallittu muutama käyttötarkoitus, jotka ovat kauempana luottotietojen alkuperäisestä käyttötarkoituksesta, erityisesti 19 §:n 1 momentin 1, 5, 6 ja 8 kohta. Näistä ensimmäinen kuitenkin edellyttää erikseen laissa säätämistä, minkä yhteydessä olisi huomioitava sääntelyn tarkkarajaisuutta ja oikeasuhteisuutta koskevat vaatimukset. Tyypillisimmät viranomaistarkoitukset (1 kohta), joihin luottotietoja luovutetaan, ovat turvallisuusselvitykset, poliisin esitutkintaan liittyvät tarkoitukset sekä rahanpesun ja terrorismin rahoitukseen liittyvien epäilyttävien liiketoimien selvittely, josta vastaa keskusrikospoliisin rahanpesun selvittelykeskus. Vuokrasopimuksia (5 kohta) ei voida puolestaan täysin rinnastaa luotonantoon käyttötarkoituksena. Vuokrasopimuksissa on kuitenkin kyse sopimuksista, jotka ovat luonteeltaan kestovelkasuhteita ja joissa vuokranantajan mahdollisuuksia varmistua toisen osapuolen kyvystä vastata sitoumuksestaan voidaan pitää hyväksyttävänä tarkoituksena. Käytännössä henkilöluottotiedot ovat myös ainoa yksityisille vuokranantajille käytettävissä oleva keino varmistua asiasta. Sopimusehtojen sisällön määrittelemisellä (6 kohta) viitataan sellaisiin sopimuksiin, joiden tekemisestä elinkeinonharjoittaja ei voi kieltäytyä. Nämä tilanteet ovat jokseenkin rajallisia, vaikka säännös on lähinnä lisätty lakiin selkeyden vuoksi. Työnhakijaa tai työntekijää koskevien luottotietojen luovuttaminen (8 kohta) liittyy suoraan yksityisyyden suojasta työelämässä annettuun lakiin (759/2004), jossa säädetään tyhjentävästi tilanteista, joissa luottotietoja saa käyttää. Nämä tilanteet liittyvät myös osittain edellä mainittuihin turvallisuusselvityksiin. Vaikka nämä mainitut tiedonluovutustarkoitukset eivät rinnastu luotonantoon, luottotietojen käytölle laissa säädettyihin tarkoituksiin on perusteltu ja hyväksyttävä syy, ja asiasta säädetään yksityiskohtaisesti ja tarkkarajaisesti.

Lisäksi sääntelyn oikeasuhteisuuden arvioinnin kannalta on tietosuoja-asetuksen 6 artiklan 4 kohdan c alakohdan mukaisesti merkitystä luovutettavien tietojen luonteella. Tiedonluovutussäännökset eivät kata tietosuoja-asetuksen erityisiä henkilötietoryhmiä tai rikostuomioihin tai rikoksiin liittyviä henkilötietoja. Erityisesti maksuhäiriötietojen laajalla luovutusmahdollisuudella on kuitenkin 6 artiklan 4 kohdan d alakohdassa tarkoitetulla tavalla seurauksia rekisteröidylle. Niiden luovutuksilla on jopa merkittäviä vaikutuksia rekisteröidyn yksityiselämän ja henkilötietojen suojaan. Erityisesti luotonantoon kohdistuvien riskien kannalta näiden tietojen käsittely on kuitenkin välttämätöntä, huomioiden myös lain tarkoituksen turvata tällaisten tietojen saatavuus. Huomioiden näiden tietojen luovutuksiin liittyvät riskit, lakiehdotukseen on sisällytetty useita nimenomaisia näiden tietojen suojaa vahvistavia säännöksiä. Ehdotettu sääntely täyttäisi siten välttämättömyyden ja oikeasuhteisuuden vaatimuksen. Sääntelyn välttämättömyyttä perusoikeuksien rajoittamisen oikeuttamiseksi arvioidaan tarkemmin esityksen säätämisjärjestysperusteluissa.

Laista ehdotetaan poistettavaksi tietosuoja-asetuksen kanssa päällekkäisiä säännöksiä, joiden ei arvioida olevan kansallisen liikkumavaran puitteissa. Lisäksi laista ehdotetaan poistettavaksi tarpeettomat säännökset suhteessa yleislakina sovellettavaan tietosuojalakiin sekä tarkennettavaksi eräitä säännöksiä, mukaan lukien erityisesti luottokelpoisuusarvioita ja liiketoimintakieltoja koskevien tietojen luovuttamista koskevat säännökset.

1 §.Lain soveltamisala. Luottotietolain esitöiden mukaan merkittävin osa lain säännöksistä koskee luottotietojen toimittamista ulkopuolisten käyttöön ja tätä tarkoitusta varten pidettäviä luottotietorekistereitä. Lain 2 luvun säännökset koskevat kuitenkin myös luotonantajaa ja muita luottotietojen käsittelyyn osallistuvia, kuten niitä yrityksiä, jotka luovuttavat tietoja luottotietoina käytettäviksi. Lisäksi henkilöluottotietojen käyttöä koskevia säännöksiä sovelletaan luotonantajiin ja muihin luottotietoja käyttäviin. Soveltamisalan rajaus ei kuitenkaan ilmene lain säännöksistä selkeästi, mikä on ongelmallista henkilötietojen käsittelyn erilaisten oikeusperusteiden kannalta. Erityisesti luotonantajien kannalta olisi tarkoituksenmukaista, että lainsäädäntöä selkiytettäisiin siten, että tavoitteena olisi mahdollisimman yhdenmukainen sääntely EU:n sisämarkkinoilla. Epäselvä soveltamisalan rajaus myös aiheuttaa epäselvyyttä laissa tarkoitettujen valvontavaltuuksien käyttämisen kannalta. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että siihen sisällytetään lain esitöistä ilmenevä soveltamisalan rajaus. Lain soveltaminen rajattaisiin 1 momentissa koskemaan pääasiassa vain luottotietotoiminnan harjoittajia. Momenttiin lisättäisiin virke, jonka mukaan 2 luvun ja 19 §:n 5 ja 6 momentin säännöksiä sovellettaisiin luottotietotoiminnan harjoittajien lisäksi luottotietojen käyttäjiin ja luottotietoja muutoin käsitteleviin. Kyseisiin säännöksiin sisällytettäisiin ne säännökset, jotka eivät riittävällä yksityiskohtaisuudella sisälly muuhun lainsäädäntöön. Myös muissa luottotietolain säännöksissä tehtäisiin niiden soveltamisalaa rajaavia teknisiä muutoksia. Pykälän 2 momentti ehdotetaan kumottavaksi tarpeettomana. Momentti sisältää viittauksen kumottuun henkilötietolakiin, eikä luottotietolakiin ole tarpeen sisällyttää yleisluontoista informatiivista viittausta tietosuoja-asetukseen ja tietosuojalakiin. Lakiin sen sijaan sisällytettäisiin eräiden säännösten yhteyteen aineellisia tai informatiivisia viittauksia, joilla täsmennettäisiin niiden suhdetta tietosuoja-asetukseen.

2 §.Lain tarkoitus. Pykälässä ehdotetaan korvattavaksi sana ”yksityisyyden” sanoilla ”yksityiselämän ja henkilötietojen”. Muutetussa sanamuodossa huomioitaisiin perustuslain 10 §:n 1 momentin sisältö tarkemmin.

3 §.Määritelmät. Pykälän 4 kohta ehdotetaan kumottavaksi. Rekisteröidyn määritelmä ilmenee tietosuoja-asetuksen 4 artiklan 1 kohdasta, jonka mukaan rekisteröidyllä tarkoitetaan luonnollista henkilöä, johon henkilötiedot liittyvät. Luottotietolain määritelmä kattaa myös rekisteröidyt yritykset. Rekisteröityä ei voida kansallisessa lainsäädännössä määritellä tietosuoja-asetuksesta poikkeavalla tavalla. Rekisteröidyn määritelmää ei myöskään saa toistaa kansallisessa lainsäädännössä. Rekisteröidyt luonnolliset henkilöt voivat joissakin tapauksissa olla myös luottotietolaissa tarkoitettuja yritysten omistajia tai vastuuhenkilöitä.

Ehdotettu määritelmän muutos huomioitaisiin lisäksi muissa luottotietolain säännöksissä siten, että sana ”rekisteröity” korvattaisiin tapauskohtaisesti joko ”luonnollisella henkilöllä” tai ”yrityksellä” tai molemmilla. Joissakin lainkohdissa rekisteröity olisi mahdollista korvata myös sanalla ”velallinen”. Luonnollisella henkilöllä tarkoitettaisiin henkilöluottotietorekisteriin tallennettua henkilöä. Yrityksellä tarkoitettaisiin pykälän 2 kohdan mukaisesti elinkeinotoimintaa harjoittavaa luonnollista henkilöä ja muuta yksikköä, joka yritys- ja yhteisötietolain (244/2001) 3 §:n 1 momentin 1-5 kohdan mukaan on rekisteröitävä yritys- ja yhteisötietojärjestelmään. Tällaiset elinkeinotoiminnan harjoittajat, joilla on Y-tunnus, tallennetaan luottotietolaissa tarkoitettuun yritysluottotietorekisteriin.

5 §.Hyvä luottotietotapa. Hyvää luottotietotapaa koskevan pykälän soveltamisala on laaja. Säännökset koskevat lain esitöiden mukaan luottotietotoiminnan harjoittajien lisäksi myös muita luottotietojen käsittelijöitä ja käyttäjiä. Pykälän johdantokappale ehdotetaan jaettavaksi kahteen osaan siten, että ainoastaan siinä säädetty huolellisuusvelvoite koskisi kaikkia luottotietojen käsittelijöitä ja käyttäjiä. Lisäksi säädettäisiin erikseen luottotietotoiminnan harjoittajia ja muita luottotietoja käyttäviä tai muutoin käsitteleviä elinkeinotoiminnan harjoittajia koskevista yksityiskohtaisimmista velvoitteista, jotka vastaisivat pääosin voimassa olevan pykälän kohtia. Tällä varmistettaisiin, että esimerkiksi sellaisia vuokranantajia, jotka ovat luonnollisia henkilöitä ja käsittelevät henkilöluottotietoja henkilökohtaista tai kotitalouttaan koskevassa toiminnassa, eivät koskisi kohtuuttomat velvoitteet, joiden noudattaminen ei käytännössä olisi mahdollista. Tietosuoja-asetusta ei myöskään sen soveltamisalasäännösten mukaan sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa, joka ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Toisaalta yksityisille vuokranantajillekin voidaan luovuttaa henkilöluottotietoja lain 19 §:n nojalla, jolloin laissa on syytä säilyttää myös tällaisten henkilöiden osalta eräitä velvoitteita henkilöluottotietorekisteriin tallennettujen luonnollisten henkilöiden yksityiselämän suojaamiseksi. Pykälän 1 ja 3 kohdassa sana ”rekisteröity” korvattaisiin sanoilla ”luonnollinen henkilö” ja ”yritys”. Pykälän 2 kohdassa rekisteröity korvattaisiin pelkästään sanoilla ”luonnollinen henkilö”. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi 2 kohdassa korvattaisiin sana ”yksityisyyden” sanalla ”yksityiselämän”. Luottotietolain perustelujen mukaan myös yrityksillä on oikeus asianmukaiseen tietojen käsittelyyn ja oikeus tulla arvioiduksi oikeiden ja asianmukaisten tietojen perusteella. Sen sijaan pykälän 2 kohdassa tarkoitettu yksityiselämän suoja voi koskea vain luonnollisia henkilöitä.

6 §.Luottotietojen laatu ja tietolähteet.Pykälän säännökset koskevat luottotietotoiminnan harjoittajien lisäksi myös muita luottotietojen käsittelijöitä ja käyttäjiä. Luottotietojen lähteitä koskevia säännöksiä on siten sovellettu erityisesti myös luotonantotilanteissa. Pykälän 1 momentissa korvattaisiin sana ”rekisteröidyn” sanoilla ”luonnollisen henkilön tai yrityksen”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi momentin toinen virke ehdotetaan poistettavaksi. Voimassa olevan säännöksen mukaan henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia henkilötietoja saa käyttää tai muutoin käsitellä vain, jos oikeudesta tietojen käyttöön säädetään laissa tai määrätään lain nojalla tehdyssä päätöksessä. Kumotun henkilötietolain 11 §:ssä tarkoitetut arkaluonteiset henkilötiedot ovat käsitteenä laajempi kuin tietosuoja-asetuksessa tarkoitetut erityiset henkilötietoryhmät. Luottotietotoiminnan harjoittajilla ei ole laissa säädettyjä oikeuksia arkaluonteisten henkilötietojen käsittelyyn. Virkkeen poistaminen momentista tarkoittaisi erityisten henkilötietoryhmien osalta, että luottotietotoiminnan harjoittajat ja luotonantajat soveltaisivat henkilötietojen käsittelyssään suoraan tietosuoja-asetuksen 9 artiklan säännöksiä. Yleisesti sovellettavien säädösten mukaisesti erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely olisi pääsääntöisesti kiellettyä, jollei kyse ole jostakin säädetystä poikkeuksesta. Luottotietotoiminnan harjoittajia tai luotonantajia ei ole nimenomaisesti huomioitu tietosuoja-asetuksen ja tietosuojalain sisältämissä poikkeuksissa, mutta käsittelyn perusteena voisi olla esimerkiksi rekisteröidyn nimenomainen suostumus. Voimassa olevan luottotietolain 6 §:n 1 momentissa tarkoitettuihin lain nojalla tehtyihin päätöksiin ei puolestaan ole enää tarpeen viitata, koska tarkoituksena on ollut mahdollistaa ns. väärinkäytösrekistereistä saatavat tiedot. Nämä tiedot ovat perustuneet tietosuojalautakunnan päätöksiin, jotka on korvattu voimassa olevilla luottolaitostoiminnasta annetun lain ja maksulaitoslain säännöksillä, jotka mahdollistavat vastaavat rekisterit.Väärinkäytöstietoja on voitu käsitellä myös maksupalvelulain nojalla. Näissä laeissa tai muualla laissa ei kuitenkaan ole kuitenkaan säädetty oikeudesta luovuttaa väärinkäytösrekistereihin sisältyviä tietoja luottotietotoiminnan harjoittajille. Tietosuojalautakunnan päätökset eivät myöskään koskeneet luottotietotoiminnan harjoittajia. Momentin ruotsinkieliseen sanamuotoon tehtäisiin lisäksi kielellinen tarkistus.

Pykälän 2 momentissa sana ”rekisteröidyltä” korvattaisiin sanoilla ”luonnolliselta henkilöltä tai yritykseltä”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Momentin ensimmäisestä virkkeestä poistettaisiin ilmaisu ”tai määrätä lain nojalla tehdyssä päätöksessä”. Lain nojalla tehdyllä päätöksellä on tarkoitettu lähinnä edellä tarkoitettuja tietosuojalautakunnan lupia, joita ei enää sovelleta. Momentin toinen virke ehdotetaan poistettavaksi tarpeettomana. Henkilötietojen luovuttamista koskevaa sääntelyä sisältyy Suomessa viranomaisten toiminnan julkisuudesta annetun lain salassapitosäännöksistä johtuen lukuisiin erityislakeihin, jotka eivät välttämättä ole yksinomaan henkilötietojen käsittelyä koskevia säännöksiä, ja jotka koskevat viranomaisten välisiä tiedonluovutuksia. Salassapitosäännöksistä johtuvia tiedonluovutussäännöksiä sisältyy myös muuhun lainsäädäntöön, mutta ei yleisesti sovellettavaan henkilötietojen käsittelyä koskevaan lainsäädäntöön. Luottotietotoiminnan harjoittajien ja luotonantajien tiedonsaannin osalta laissa säätämisen edellytys on riittävästi huomioitu momentin ensimmäisessä virkkeessä. Virkkeen poistamisella ei kuitenkaan rajoitettaisi erityisesti luotonantajien oikeutta hankkia ja käsitellä luotonmyönnön tai luottokelpoisuuden arvioinnin kannalta tarpeellisia tietoja tietosuoja-asetuksen tai muun lainsäädännön mukaisesti. Virkkeen poistaminen ei myöskään estäisi sitä, että rekisteröidyn suostumuksella voitaisiin käsitellä muitakin tietolähteitä, esimerkiksi tulotietoja. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa, mukaan lukien oikeus peruuttaa suostumus milloin tahansa. Ehdotetut muutokset eivät muuttaisi nykytilaa. Momentin ruotsinkieliseen sanamuotoon tehtäisiin lisäksi kielellinen tarkistus.

7 §.Tietoturvallisuus. Pykälän 1 momentinsisältö on henkilötietojen käsittelyn osalta päällekkäinen niiden tietosuoja-asetuksen säännösten kanssa, jotka liittyvät henkilötietojen käsittelyn tietoturvallisuuteen. Näitä ovat erityisesti 25 artiklan säännökset sisäänrakennetusta ja oletetusta tietosuojasta sekä 2 jakson säännökset henkilötietojen käsittelyn turvallisuudesta ja henkilötietojen tietoturvaloukkauksia koskevista ilmoituksista. Momentissa ehdotetaan sana ”luottotietojen” korvattavaksi sanalla ”yritysluottotietojen”, minkä lisäksi momentin lopusta poistettaisiin vaatimus ottaa huomioon käsittelyn merkitys rekisteröityjen yksityisyyden suojan ja oikeusturvan kannalta, mikä koskee vain luonnollisia henkilöitä. Luonnollisten henkilöiden osalta sovellettaisiin suoraan tietosuoja-asetuksen säännöksiä. Momentin ruotsinkieliseen versioon ehdotetaan lisäksi kielellisiä täsmennyksiä. Pykälän 2 momentti ehdotetaan korvattavaksi viittaussäännöksellä, jonka mukaan henkilötietojen käsittelyn turvallisuuteen sovelletaan, mitä tietosuoja-asetuksen 25 ja 32 artiklassa säädetään. Momentilla täsmennettäisiin säännösten suhdetta tietosuoja-asetukseen. Momentista poistettaisiin toinen virke, jonka mukaan momentti ei koske 12 §:n 2 kohdassa tarkoitettujen yrityskytkentätietojen käsittelyä. Huomioiden pykälän laajan soveltamisalan, momenttiin sisältyvä, luottotietorekistereitä koskeva vaatimus huolehtia siitä, että tieto henkilöluottotietojen käsittelystä kirjautuu tietojärjestelmään, siirrettäisiin henkilöluottorekistereitä koskeviin 12 ja 13 §:ään. Vaatimus ei koskisi yrityskytkentätietoja, mikä vastaa nykytilaa.

Pykälän tietoturvallisuutta koskevia vaatimuksia on lain esitöiden valossa sovellettu kaikkiin luottotietoja käsitteleviin ja käyttäviin. Vaatimukset ovat mittavia erityisesti sellaisten tahojen osalta, jotka eivät käsittele luottotietoja elinkeino- tai ammattitoiminnan yhteydessä. Kun pykälän sisältö rajattaisiin kuitenkin koskemaan vain yritysluottotietoja, säännökset eivät enää olisi ongelmallisia tällaisten luottotietojen käyttäjien osalta. Henkilöluottotietojen osalta tietosuoja-asetuksen tietoturvallisuutta koskevia vaatimuksia sovellettaisiin puolestaan tietosuoja-asetuksen soveltamisalan mukaisessa laajuudessa. Tietosuoja-asetusta ei sovelleta henkilötietojen käsittelyyn, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa.

10 §.Palveluja koskevat velvoitteet.Pykälän 1 momentissa ehdotetaan korvattavaksi sana ”rekisteröityä” sanoilla ”luonnollista henkilöä tai yritystä”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Pykälän 2 momentin ruotsinkielistä versiota ehdotetaan tarkistettavaksi siten, että sanat ”på begäran” korvataan sanoilla ”till den som ber om sådana upplysningar”. Muutettu sanamuoto ilmaisee tarkemmin, kenelle tietoja luovutetaan. Momentin suomenkielistä versiota ehdotetaan muutettavaksi siten, että siitä poistetaan sana ”henkilölle”. Luottotietolakiin tehdyn terminologisen tarkistuksen seurauksena säännöksessä voisi olla sekaantumisvaara rekisteröidyn oikeuteen saada tieto itseään koskevista tiedoista. Kohdan esitöiden mukaan momentin tarkoituksena on varmistaa, että luottotiedot ovat myös niiden saatavissa, jotka eivät jatkuvasti tarvitse luottotietoja ja joilla ei siten ole mahdollisuuksia tai tarvetta hankkia tietoja teknisen käyttöyhteyden avulla luottotietorekisteristä. Momentti ei siten koske rekisteröidyn oikeuksia eikä sitä ole myöskään rajoitettu koskemaan pelkästään luonnollisia henkilöitä. Pykälän 3 momentti on henkilötietojen käsittelyn osalta osittain päällekkäinen tietosuoja-asetuksen 15 artiklan 3 kohdan kanssa, jonka mukaan rekisteröidyllä on oikeus saada jäljennös käsiteltävistä henkilötiedoista. Myös rekisterinpitäjän oikeudesta periä kohtuullinen maksu useista jäljennöksistä säädetään kyseisessä kohdassa. Toisaalta tietosuoja-asetuksen 15 artiklan 3 kohdassa säädetyn rekisteröidyn oikeuden tarkoitus on eri kuin luottotieto-otteen tarkoitus. Rekisteröity voi käyttää otetta, jonka sisältö ei ole yhtä laaja, esimerkiksi vuokrasopimuksen tekemiseen. Luottotietotoiminnan harjoittaja voi periä otteesta kohtuullisen korvauksen. Sen osalta on kuitenkin huomattava, että maksun periminen koskee säännöksen mukaisesti vain luottotieto-otetta. Silloin, kun rekisteröity käyttää tietosuoja-asetuksen 15 artiklan mukaista oikeuttaan, rekisterinpitäjällä ei ole oikeutta periä maksua yksittäisestä jäljennöksestä. Momentti ehdotetaan säilytettäväksi. Huomioiden, että momentti koskee pelkästään rekisteröidyn oikeutta saada itseään koskevat henkilöluottotiedot, sana ”rekisteröidyllä” ehdotetaan korvattavaksi sanoilla ”luonnollisella henkilöllä”.

11 §.Luonnollisten henkilöiden ja yritysten yhdenvertainen kohtelu. Pykälän otsikkoon ja sisältöön tehtäisiin terminologinen tarkistus, jossa sana ”rekisteröityjä” korvattaisiin sanoilla ”luonnollisia henkilöitä ja yrityksiä”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä.

12 §.Yksilöintitiedot ja toimintakelpoisuutta koskevat tiedot. Pykälässä säädetään luonnollista henkilöä koskevien tietojen tallettamisesta luottotietorekisteriin. Ottaen huomioon, että pykälässä säädetyt tiedot voitaisiin yhdistää maksuhäiriötietoihin, joihin arvioidaan liittyvän erityisiä riskejä rekisteröidyn suojan kannalta, rekisterin tietosisältö ehdotetaan säilytettäväksi pääpiirteittäin. Koska pykälässä kuitenkin säädettäisiin lähtökohtaisesti tiedoista, jotka ovat joko julkisia tai rekisteröidyn itsensä ilmoittamia, pykälässä riittäisi tietoryhmistä säätäminen. Toisaalta henkilön yksilöintitietojen yksityiskohtainen luettelo ei olisi riskiperusteisen arvion perusteella tarpeen. Henkilötieto määritellään tietosuoja-asetuksen 4 artiklassa. Kaikkien henkilötietojen käsittelyyn sovellettaisiin suoraan tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimointiperiaatetta. Huomioiden kuitenkin sen, että säännös ei olisi tyhjentävä, tallentamisoikeus sidottaisiin välttämättömiin yksilöintitietoihin. Tietosuojalain 29 §:n 2 momentissa säädetään jo henkilötunnuksen käsittelystä luottotietotoiminnassa, jolloin henkilötunnuksen käsittelystä ei ole enää tarpeen säätää luottotietolaissa. Pykälän rakenne ehdotetaan muutettavaksi siten, että voimassa oleva pykälä korvattaisiin kahdella uudella momentilla, joissa säädettäisiin rekisteriin tallennettavista tiedoista tietoryhmittäin, minkä lisäksi pykälään lisättäisiin uusi momentti tietojen kirjautumisvaatimuksesta. Pykälän 1 momentissa säädettäisiin välttämättömien yksilöintitietojen (johdantokappale) tallettamisen lisäksi nykytilaa vastaavasti toimintakelpoisuustietojen ja luottokiellon tallettamisesta. Momentin johdantokappaleessa mainitut välttämättömät yksilöintitiedot voisivat olla nykytilaa vastaavasti luonnollisen henkilön nimi ja yhteystiedot sekä henkilötunnus tai syntymäaika ja –paikka. Välttämättömyydellä huomioitaisiin tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukainen henkilötietojen minimointiperiaate.

Pykälän voimassa oleva 1 ja 2 kohta poistettaisiin. Pykälän 3 kohdasta tulisi uusi 1 kohta ja 4 kohdasta uusi 2 kohta. Pykälän 1 kohdassa säädettäisiin toimintakelpoisuutta koskevasta tiedosta. Säännös vastaisi nykytilaa. Kohdan viittaus holhoustoimesta annetun lain (442/1999) kumottuun 67 §:n 1 momenttiin korvattaisiin kuitenkin viittauksella Digi- ja väestötietoviraston eräistä henkilörekistereistä annetun lain (1156/2019) 10 §:n 2 momenttiin ja kyseisessä laissa säädettyyn holhousasioiden rekisteriin. Pykälän 2 kohdassa säädettäisiin nykytilaa vastaavasti henkilön itsensä ilmoittamasta luottokiellosta. Tämä tieto olisi 17 §:n 1 momentin 4 kohdan mukaan nykytilaa vastaavasti poistettava heti, kun luonnollinen henkilö sitä pyytää. Huomioiden, että muista tiedoista poiketen luottokiellon käsittely edellyttää rekisteröidyn suostumusta, käsittelyn olisi täytettävä tietosuoja-asetuksen 7 artiklassa säädetyt suostumuksen edellytykset, mukaan lukien suostumuksen peruuttaminen. Suostumuksesta ei olisi tarpeen säätää tarkemmin uudelleen, huomioiden tietosuoja-asetuksen säännösten suoran soveltamisen. Lisäksi sana ”rekisteröidyn” poistettaisiin 1 kohdasta, ja korvattaisiin sanoilla ”kyseessä olevan henkilön” 2 kohdassa. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi 2 kohdan ruotsinkielistä sanamuotoa tarkistettaisiin.

Pykälän uudessa 2 momentissa säädettäisiin yrityskytkentätietojen tallettamisesta. Momentin sisältö vastaisi voimassa olevan pykälän 2 kohtaa. Yrityskytkentätiedot ovat luonteeltaan 1 momentissa säädettäväksi ehdotetuista tiedoista poikkeava tietoryhmä, jonka käyttöä ei laissa sidottaisi tiettyihin käyttötarkoituksiin. Käyttötarkoitussidonnaisuuden periaate olisi kuitenkin huomioitava niissä tilanteissa, joissa yrityskytkentätietoja käsitellään samaan tarkoitukseen kuin 1 momentissa tai 13 §:ssä tarkoitettuja tietoja.

Pykälään ehdotetaan lisättäväksi uusi 3 momentti, jonka perusteella luottotietotoiminnan harjoittajan olisi huolehdittava 1 momentissa tarkoitettuja tietoja talletettaessa tai muutoin käsiteltäessä siitä, että tieto käsittelystä kirjautuu tietojärjestelmään. Vaatimus vastaisi nykytilaa ja rajattaisiin koskemaan muita kuin yrityskytkentätietoja. Säännökseen lisätty maininta tallettamisesta ei laajentaisi säännöksen soveltamisalaa, koska voimassa olevassa laissa käytetty termi ”käsittely” kattaa sellaisenaankin muun muassa henkilötietojen tallentamisen. Vaikka kirjaamista koskevaa vaatimusta ei sovellettaisi edelleenkään yrityskytkentätietoihin, tietosuoja-asetuksen mukaiset tietoturvallisuutta koskevat vaatimukset koskevat kaikkia henkilötietoja. Säännös ei ole päällekkäinen tietosuoja-asetuksen kanssa. Kyseessä on tietosuoja-asetuksen 6 artiklan 3 kohdan mukainen käsittelytoimea koskeva erityinen säännös, jolla mukautetaan tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 32 artiklan 2 kohdan sekä 25 artiklan 2 kohdan soveltamista. Säännöksen tavoitteena on helpottaa tietosuoja-asetuksen noudattamista.

Tietosuoja-asetuksen soveltamisen kannalta olisi huomioitava, että henkilötietojen käsittely on laaja käsite ja kattaa myös haut, kyselyt ja tietojen luovuttamisen. Koska tietosuoja-asetuksessa ei nimenomaisesti säädetä lokitiedoista, käsittelyn kirjautumista koskeva voimassa olevan lain mukainen vaatimus voi käytännössä tarkoittaa sitä, että rekisterinpitäjän on ylläpidettävä riittäviä lokitietoja voidakseen seurata tietojen käyttöä ja luovutuksia ja pystyäkseen osoittamaan valvontaviranomaiselle, millä tavalla se on huolehtinut esimerkiksi 19 §:ssä säädettyjen käyttötarkoitusten toteutumisesta.

13 §.Maksuhäiriötiedot ja niitä täydentävät tiedot. Pykälässä säädetään henkilöluottotietoina talletettavista luonnollisen henkilön maksuhäiriötiedoista. Erityisesti luonnollisen henkilön maksuhäiriötietojen käsittelyllä laissa säädettyihin tarkoituksiin, mukaan lukien henkilötietojen luovuttaminen, on merkittäviä vaikutuksia yksityiselämän suojaan ja luonnollisen henkilön mahdollisuuksiin toimia yhteiskunnassa, ja käsiteltävien tietojen laajoihin käyttötarkoituksiin liittyy erityisiä riskejä luonnollisen henkilön tietosuojan kannalta. Niistä tietoryhmistä, joiden tallentaminen rekisteriin ja muu käsittely olisi sallittua, olisi edelleen säädettävä yksityiskohtaisesti ja tarkkarajaisesti.

Terminologian yhdenmukaisuuden varmistamiseksi erityisesti pykälän kahdessa ensimmäisessä kohdassa mainittujen lakien kanssa pykälän 1 momentin 1-3ja 8 kohdassa sekä 2 ja 3 momentissa sana ”rekisteröity” ehdotetaan korvattavaksi sanalla ”velallinen”. Vastaava muutos tehtäisiin myös ruotsinkielisen version 1 momentin 6 kohdassa. Momentin 2 kohdassa vanhentunut viittaus yksityishenkilön velkajärjestelystä annetun lain (57/1993) 87 §:ään korvattaisiin viittauksella velkajärjestelyrekisteristä annettuun lakiin (368/2017). Lisäksi pykälän 1 momentin 6 kohdan suomenkielisessä versiossa poistettaisiin sana ”rekisteröidyn” ja korvattaisiin sana ”hän” sanalla ”velallinen”. Suomenkielistä kohtaa tarkistettaisiin myös kielellisesti. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä.

Lisäksi 1 momentin 8 kohdassa sekä 2 ja 3 momentissa ehdotetaan sana ”rekisterinpitäjä” korvattavaksi sanalla ”luottotietotoiminnan harjoittaja”. Rekisterinpitäjää ei määritellä luottotietolaissa. Laista kuitenkin ehdotetaan poistettavaksi tietosuoja-asetuksen kanssa päällekkäinen sääntely, joka liittyy rekisterinpitoon ja rekisteröidyn oikeuksiin sekä henkilötietojen käsittelyn valvontaan. Laissa säädettäisiin pääasiassa luottotietotoiminnan harjoittajien valvonnasta. Lisäksi lain 3 §:n 7 kohdassa määritellään luottotietotoiminnan harjoittaminen. Tästä syystä laissa olisi syytä käyttää systemaattisesti elinkeinonharjoittajasta termiä ”luottotietotoiminnan harjoittaja”. Terminologinen muutos tehtäisiin jäljempänä useaan pykälään. Pykälän 1 momentin 8 kohdan ruotsinkieliseen sanamuotoon tehtäisiin myös kielellinen tarkistus. Pykälän 2 ja 3 momentissa sana ”rekisteri” korvattaisiin selkeyden vuoksi sanalla ”luottotietorekisteri”. Lisäksi Pykälän 2 momentin ruotsinkieliseen versioon ehdotetaan lisäksi kielellisiä muutoksia, jotta sen sanamuoto on yhdenmukainen lain 24 §:n 3 momentin sanamuodon kanssa.

Lisäksi 1 momentin 3 kohtaan tehtäisiin selventävä muutos. Voimassa olevan kohdan mukaan luottotietorekisteriin saa muun muassa tallettaa viranomaisen toteamina maksuhäiriötietoina tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla. Muutoksen myötä tällaisen tiedon tallettamisen edellytyksenä olisi nimenomaisesti, että maksuvaatimusta ei ole riitautettu perusteeltaan tai määrältään. Tuomiorekisteriä, johon tiedot lainvoimaisesta tuomiosta merkitään, ylläpitää Oikeusrekisterikeskus. Tuomiorekisteriin lähetetään kaikki lainvoiman saaneet tuomiot, jotka on annettu summaarisen haastehakemuksen perusteella vireille tulleessa asiassa niiden sisällöstä riippumatta. Tuomiorekisteriin lähetetään näin ollen myös ne tuomiot, joissa kanne on hylätty taikka hyväksytty kokonaan tai osittain. Tiedot kaikista niistä tuomioista, joissa kanne on hyväksytty kokonaan tai osittain, luovutettiin aiemmin luottotietotoiminnan harjoittajille. Näin ollen myös sellaiset kanteen osittain tai kokonaan hyväksyvät tuomiot, jotka koskevat perustellusti riitautettua saatavaa, johtivat maksuhäiriömerkintään. Velkomusasiassa ei kuitenkaan välttämättä kaikissa tapauksissa ole kyse maksun laiminlyönnistä silloin, kun maksuperuste on riitainen.

Oikeusrekisterikeskus on toteuttanut järjestelmämuutoksen, jolla edellä kuvattu ongelma korjattiin. Momentin säännöstä edotetaan kuitenkin selvennettäväksi talletettavien tuomioistuinratkaisujen osalta. Ehdotetun täsmennyksen myötä vain tiedot sellaisista lainvoimaisista tuomioista, jotka tosiasiallisesti osoittavat velallisen maksukyvyttömyyttä tai maksuhaluttomuutta, luovutettaisiin luottotietotoiminnan harjoittajille. Siten vain niistä aiheutuisi maksuhäiriömerkintä. Tarkistuksen myötä sanamuoto vastaisi nykyisin noudatettua menettelyä. Samalla varmistettaisiin sääntelyn läpinäkyvyys rekisteröidyn kannalta tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan vaatimuksen mukaisesti.

Pykälään ehdotetaan lisättäväksi uusi 4 momentti, jonka perusteella luottotietotoiminnan harjoittajan olisi huolehdittava 1 momentissa tarkoitettuja tietoja talletettaessa tai muutoin käsiteltäessä siitä, että tieto käsittelystä kirjautuu tietojärjestelmään. Vastaavasti kuin 12 §:ään lisättävässä 3 momentissa, myös tässä säännöksessä on kyseessä tietosuoja-asetuksen 6 artiklan 3 kohdan mukainen käsittelytoimea koskeva erityinen säännös, jolla mukautetaan tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 32 artiklan 2 kohdan sekä 25 artiklan 2 kohdan soveltamista. Säännöksen tavoitteena on helpottaa tietosuoja-asetuksen noudattamista.

Pykälään ehdotetaan lisättäväksi uusi 5 momentti, johon siirrettäisiin voimassa olevasta 29 §:stä säännös, jonka perusteella rekisteröidyllä on oikeus saada tieto saatavan vaikutuksesta tiedon säilytysaikaan. Säännös ehdotetaan rajattavaksi kuitenkin riskiperusteisesti koskemaan maksuhäiriötietoja. Säännöksen mukaan luonnolliselle henkilölle, jota koskeva 1 momentissa tarkoitettu tieto on ensimmäistä kertaa merkitty luottotietorekisteriin, olisi annettava tieto saatavan vaikutuksesta tiedon säilytysaikaan. Muista käsiteltävistä tiedoista olisi informoitava rekisteröityjä luonnollisia henkilöitä pelkästään tietosuoja-asetuksen säännösten mukaisesti. Ehdotettu momentti toimisi samalla suojatoimena maksuhäiriötietojen käsittelyssä, joihin liittyy erityisiä riskejä rekisteröidyn oikeuksien suojan kannalta.

14 §.Velkojan ilmoittamia maksuhäiriöitä koskevat erityissäännökset. Pykälän 1 momentin johdantokappaleessa ehdotetaan korvattavaksi sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Vastaava muutos tehtäisiin myös 1 momentin 1 kohdassa ja 2 momentissa. Pykälän 1 momentin johdantokappaleen ruotsinkielistä sanamuotoa tarkistettaisiin lisäksi kielellisesti.

16 §.Luottokelpoisuusarviointi. Voimassa olevassa pykälässä säädetään siitä, minkälaisia tietoja saa käyttää arvioitaessa luonnollisen henkilön luottokelpoisuutta. Luottokelpoisuusarvioinnilla tarkoitetaan henkilötietojen käyttöä eräänlaiseen mallinnukseen, jonka avulla laaditaan erilaisia luottoluokitusmalleja tai muodostetaan markkinoinnin kohderyhmiä. Tilastollisiin menetelmiin perustuvat luotonhakijan luottoluokitus- ja pisteytysjärjestelmät (credit scoring, luottoluokitus) sekä sellaiset palvelut, joissa palvelujen tarjoaja arvioi luotonhakijoiden luottokelpoisuutta omien rekisteriensä avulla, ovat luottoriskien arviointiin tarkoitettuja palveluita.

Luottotietolain mukaisen profiloinnin vaikutusten arvioinnissa on otettu erityisesti huomioon Euroopan tietosuojaviranomaisten laatimat suuntaviivat (29 artiklan mukainen tietosuojatyöryhmä, Suuntaviivat automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöön panemiseksi , tarkistettu 6.2.2018) ja luottotietolain esityöt, joissa selostetaan luottokelpoisuusarvioihin käytettyjä tilastollisia menetelmiä. Niiden perusteella esityksen valmistelun yhteydessä on päädytty erilaiseen arvioon luottotietotoimintaan liittyvän profiloinnin luonteesta kuin esimerkiksi Ruotsissa. Ensinnäkin Ruotsin lakiin ei sisälly 16 §:ää vastaavia säännöksiä. Toiseksi luottotietolain 19 § sallii myös luottokelpoisuusarvioiden luovuttamisen laajemmin erilaisiin käyttötarkoituksiin kuin Ruotsin lain perusteella on mahdollista. Näin ollen Suomessa luottokelpoisuusarvioiden vaikutukset muodostuvat merkittävämmiksi. Luottokelpoisuusarvioita myös säilytetään luottotietolain mukaan siihen saakka, kunnes muut merkinnät on poistettu rekisteristä. Luottotietolain 16 §:ssä tarkoitettu luottokelpoisuusarviointi myös pääsääntöisesti tapahtuu täysin automatisoidusti.

Luonnolliselle henkilölle ei välttämättä aiheutuisi välittömiä vaikutuksia luottotietotoiminnan harjoittajan suorittaman profiloinnin seurauksena. Luonnollisen henkilön luottotietoluokitus voisi kuitenkin vaikuttaa esimerkiksi siihen, myöntääkö luottotietotoiminnan harjoittajan asiakkaana oleva luotonantaja kyseessä olevalle henkilölle luoton, jolloin luottokelpoisuusarvio voisi vaikuttaa rekisteröityyn merkittävällä tavalla. Luottokelpoisuusarviot myös tuotetaan automatisoidusti ilman, että luonnollinen henkilö osallistuu prosessiin. Erotuksena tietosuoja-asetuksen 22 artiklassa tarkoitetulle profiloinnille, 4 artiklan 4 kohdassa määritelty profilointi ei sulje pois ihmisen tekemää arviointia. Profilointi olisi tietosuoja-asetuksen perustelujen mukaisesti ymmärrettävä laajasti siten, että se tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi (johdanto-osan 71 kappale). Perusteluissa mainitaan nimenomaisena esimerkkitilanteena taloudellisen tilanteen analysoiminen tai ennakoiminen. Tietosuoja-asetuksen johdanto-osasta ei ilmene tarkemmin, mitä 22 artiklassa tarkoitetaan merkittävällä vaikutuksella. Asiaan on otettu kuitenkin kantaa Euroopan tietosuojaviranomaisten laatimissa suuntaviivoissa (s. 23). Vaikka rekisteröidyn lailliset oikeudet tai velvollisuudet eivät muutu, häneen saattaa silti kohdistua riittävän merkittävä vaikutus, joka edellyttää 22 artiklan mukaista suojelua. Jotta tietojenkäsittelyn vaikutus henkilöön olisi merkittävä, päätöksen tai profiilin olisi voitava mahdollisesti vaikuttaa merkittävästi rekisteröidyn olosuhteisiin, käyttäytymiseen tai valintoihin, vaikuttaa rekisteröityyn pitkäaikaisesti tai pysyvästi tai jopa johtaa rekisteröidyn syrjäytymiseen tai syrjintään. Vaikutukset voisivat ohjeiden valossa kohdistua esimerkiksi henkilön taloudellisiin olosuhteisiin, kuten luottokelpoisuuteen.

Pykälää ehdotetaan muutettavaksi tietosuoja-asetuksen 22 artiklan vaatimusten huomioimiseksi. Ehdotuksessa pitäydyttäisiin kuitenkin sellaisissa vaatimuksessa, jotka liittyvät 22 artiklan mukaisen sääntelyliikkumavaran käyttöön. Pykälän 1 momentin viittausta 12 §:ään tarkistettaisiin kyseisen pykälän muutosten huomioimiseksi siten, että viittaus vastaisi nykytilaa. Luottokelpoisuusarviota muodostettaessa ei saisi edelleenkään käyttää esimerkiksi sukupuolen tai iän ilmaisevaa tietoa. Tällä ennalta estettäisiin mahdollisia profiloinnin syrjiviä vaikutuksia. Pykälässä olisi lisäksi huomioitava erityisesti 22 artiklan 2 kohdan b alakohdassa tarkoitetut suojatoimenpiteet. Artikla sallii automaattiseen käsittelyyn perustuvan päätöksenteon, mukaan lukien profilointi, jolla on oikeusvaikutuksia tai joka vaikuttaa muuten rekisteröityyn merkittävästi, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan luonnolliselle henkilöllä olisi oikeus esittää kantansa luottokelpoisuusluokasta ja vaatia luottoluokituksen uudelleenarviointia luottotietotoiminnan harjoittajan toimesta silloin, kun luonnollisen henkilön luottokelpoisuusluokan muodostaminen perustuu pelkästään automaattiseen tietojenkäsittelyyn. Tämä suojatoimi samalla täyttäisi tietosuoja-asetuksen edellytyksen ihmisen osallistumisesta tietojen käsittelyyn luottotietotoiminnan harjoittajan puolesta. Ehdotettavalla muutoksella käytettäisiin tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaista liikkumavaraa säätää sovellettavista suojatoimista. Pykälää ei sovellettaisi luotonantajiin tai muihin luottotietoja hyödyntäviin, vaan pelkästään luottotietotoiminnan harjoittajiin, joiden osalta profilointi ei perustu asiakassuhteeseen tai rekisteröidyn suostumukseen. Esimerkiksi luottolaitokset soveltavat suoraan tietosuoja-asetuksen 22 artiklaa automatisoituun päätöksentekoon omassa toiminnassaan. Pykälän voimassa olevasta 2 momentista tulisi uusi 3 momentti.

Luonnollisella henkilöllä, jota luottokelpoisuusarvio koskee, on lisäksi käytettävissään tietosuoja-asetukseen perustuvat rekisteröidyn oikeudet. Luottotietotoiminnan harjoittajan olisi huolehdittava rekisteröityjen riittävästä informoinnista tietosuoja-asetuksen vaatimusten mukaisesti, mukaan lukien tiedot profilointimenetelmistä sekä siitä, mihin luottokelpoisuusarvioita voidaan luovuttaa ja käyttää. Luottotietotoiminnan harjoittajan olisi lisäksi noudatettava, mitä tietosuoja-asetuksen 19 artiklassa säädetään ilmoitusvelvollisuudesta. Joka tapauksessa luottotietotoiminnan harjoittajan olisi luonnollisen henkilön pyynnöstä ilmoitettava, mihin häntä koskeva luottokelpoisuusarvio on luovutettu.Luottotietotoiminnan harjoittajan olisi myös kiinnitettävä erityistä huomiota profiloinnin yhteydessä siihen, että tarkoitukseen käytetään tarkkoja ja ajantasaisia tietoja. Silloin, kun kyse on 22 artiklassa tarkoitetusta automaattisesta käsittelystä, rekisterinpitäjän olisi myös varmistettava, että sen käytössä olevat matemaattiset tai tilastolliset menetelmät soveltuvat sen varmistamiseen, että henkilötietojen virheellisyyteen johtavat tekijät korjataan ja virheriski minimoidaan (tietosuoja-asetuksen johdanto-osan 71 kappale). Jos automatisoidussa päätöksenteossa tai profilointiprosessissa käytetyt tiedot ovat epätarkkoja, niiden tuloksena tehtävä päätös tai profiili ovat virheellisiä. Päätöksiä voitaisiin sen seurauksena tehdä vanhentuneiden tietojen tai ulkoisten tietojen virheellisen tulkinnan perusteella. Epätarkkuudet voisivat johtaa epäasianmukaisiin ennusteisiin tai lausuntoihin luottoriskeistä.

Luottokelpoisuusarvioiden laadinnassa olisi lain mukaan sallittua käyttää myös luonnollisen henkilön itse ilmoittamaa luottokieltoa. Käsittelylle annettu suostumus on kuitenkin mahdollista peruuttaa 17 §:n 1 momentin 4 kohdan ja tietosuoja-asetuksen 7 artiklan 3 kohdan mukaisesti. Ehdotetuilla suojatoimilla olisi siten merkitystä myös tämän oikeuden toteutumisen kannalta.

17 §.Yksilöintitietojen ja toimintakelpoisuutta koskevien tietojen säilyttämisajat. Pykälän 1 momentin johdantokappaleessa korvattaisiin sana ”rekisteröidyn” sanalla ”luonnollisen henkilön”, ja sana ”rekisteristä” korvattaisiin sanalla ”luottotietorekisteristä”. Momentin 1 ja 2 kohdassa sana ”rekisteröity” korvattaisiin sanalla ”hän” ja 4 kohdassa sanoilla ”luonnollinen henkilö” ja ”hän”. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi momentin 2 ja 4 kohdan ruotsinkieliseen sanamuotoon tehtäisiin kielellinen tarkistus.

18 §.Maksuhäiriömerkintöjen ja luokitustietojen säilyttämisajat. Pykälässä käytetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa antaa tarkempia säännöksiä säilytysajoista 5 artiklan 1 kohdan e alakohdan mukauttamiseksi. Kyseisen alakohdan mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Ehdotetuilla säilytysaikojen muutoksilla varmistettaisiin, että säännökset täyttävät paremmin tietosuoja-asetuksen 5 artiklan 1 kohdan a kohdan mukaisen läpinäkyvyyden vaatimuksen ja ottaisi myös huomioon 5 artiklan 1 kohdan c alakohdan mukaisen tietojen minimointivaatimuksen, jonka mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Samalla varmistettaisiin, että sääntely on oikeasuhteista 6 artiklan 3 kohdan mukaisesti.

Pykälän 1 momentin 1 kohdan mukaista säilytysaikaa ehdotetaan muutettavaksi siten, että konkurssia koskevat tiedot olisi poistettava kuukauden kuluessa siitä, kun tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä. Tiedot olisi poistettava kuitenkin viimeistään viiden vuoden kuluttua konkurssin alkamisesta. Tietojen säilytysaika määräytyisi sen mukaisesti, kumpi niistä on lyhyempi. Voimassa olevan säännöksen mukaan tiedot on poistettu viiden vuoden kuluessa konkurssin alkamisesta, mutta kuitenkin kuukauden kuluessa siitä, kun konkurssi- ja yrityssaneerausrekisteristä on poistettu konkurssiasiaa koskevat tiedot sen vuoksi, että konkurssihakemus on hylätty taikka jätetty tutkimatta tai sillensä taikka että konkurssi on määrätty peruuntumaan. Säilytysaika on voinut voimassa olevan 18 §:n 2 momentin nojalla pidentyä uuden merkinnän johdosta, mutta kaikki konkurssia koskevat merkinnät on kuitenkin poistettava kolmen kuukauden kuluessa siitä, kun viimeisintä konkurssimerkintää koskevat tiedot on poistettu yrityssaneeraus- ja konkurssirekisteristä. Säilytysaika ehdotetaan sidottavaksi selkeämmin konkurssi- ja yrityssaneerausrekisterin säilytysaikaan. Konkurssi- ja yrityssaneerausrekisteristä annetun lain (137/2004) mukaan luonnollisen henkilön konkurssiasiaa koskevat tiedot poistetaan viimeistään viiden vuoden kuluttua konkurssin alkamisesta.

Momentin 4 kohtaa ehdotetaan täydennettäväksi siten, että ulosottotieto poistettaisiin heti myös silloin, kun ulosotto päättyy saatavan vanhennuttua lopullisesti velan vanhentumisesta annetun lain 13 a §:n nojalla. Ulosottokaarta muutettiin jo lailla 60/2018 siten, että ulosottomiehen on tehtävä velallisen pyynnöstä luottotietotoiminnan harjoittajalle antamiaan tietoja koskeva peruuttamisilmoitus riippumatta siitä, onko saatavan lopullinen vanhentuminen tapahtunut ulosottoperusteen määräajan umpeutumisen vai saatavan vanhenemisen perusteella. Ehdotetulla muutoksella huomioitaisiin ulosottokaaren muutos.

Pykälän 2 momenttia muutettaisiin siten, että jos rekisterinpitäjälle on tullut tieto sen saatavan suorittamisesta, jonka laiminlyönnistä velkojan ilmoittama maksuhäiriötä koskeva tieto tai 1 momentin 6 kohdassa tarkoitettu merkintä on syntynyt, tieto poistetaan yhden kuukauden kuluessa tiedon saamisesta. Saatavan suorittamista koskeva tieto lyhentäisi näin ollen seuraavia henkilöluottotietoina talletettavia maksuhäiriömerkintöjä: velkojan ilmoittamaa maksuhäiriötä, viranomaisen toteamia maksuhäiriötietoja ja ulosottotietoja (luottotietolain 13 §:n 1 momentin 3, 4 ja 5 kohdat). Pykälän 1 momentin 4 kohdassa ja 2 momentissa ehdotetaan myös korvattavaksi sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”.

Pykälän 3 momentti poistettaisiin ja voimassa olevasta 4 momentista tulisi uusi 3 momentti. Momentin poistaminen tarkoittaisi, että uusi maksuhäiriömerkintä ei enää pidentäisi 1 momentin 1 ja 6 kohdassa tarkoitettujen maksuhäiriömerkintöjen, eli konkurssia koskevien, viranomaisen toteamien ja ulosottotietojen, säilytysaikaa. Muutoksen johdosta jokaisen maksuhäiriötiedon säilytysaika olisi itsenäinen.

19 §.Henkilöluottotietojen luovuttamisen ja käyttämisen yleiset edellytykset. Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötietoja on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Pykälän 1 momentissa säädetään alkuperäisestä tarkoituksesta, johon henkilöluottotietoja saa luovuttaa käytettäviksi ja käyttää. Sen lisäksi pykälän 2 momentissa täsmennetään, mihin tarkoituksiin henkilöluottotietoja saa 1 momentin estämättä luovuttaa ja käyttää. Näitä tarkoituksia pidettäisiin tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan sekä 6 artiklan 4 kohdan tarkoittamana yhteensopivana käsittelynä. Pykälässä käytetään 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa mukauttaa tietosuoja-asetuksen säännöksiä käyttötarkoitussidonnaisuuden osalta.

Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että momentissa viitattaisiin henkilöluottotietojen sijasta 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuihin tietoihin, minkä lisäksi momenttia tarkistettaisiin kielellisesti. Huomioiden pykälän voimassa olevan 3 momentin, jossa säädetään poikkeuksesta yrityskytkentätietojen osalta, säännös vastaisi nykytilaa. Muutetun 1 momentin säännöksen sanamuoto olisi tarkkarajaisempi kuin voimassa oleva momentti.

Pykälän 2 momentin johdantokappaletta tarkistettaisiin kielellisesti. Momentin2 kohdassa ja 7 kohdassa korvattaisiin sana ”rekisteröity” sanoilla ”henkilö”. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi lainsäädäntöteknisenä tarkistuksena 7 kohdassa muutettaisiin viittausta rahanpesulaissa tarkoitettuihin ilmoitusvelvollisiin. Luottotietojen käyttötarkoitukseksi säädetty ”rahanpesun estämistä ja paljastamista koskevien velvoitteiden toteuttaminen” korvattaisiin tarkempirajaisella käyttötarkoituksella ”asiakkaan tuntemistoimien toteuttaminen”. Rahanpesulakiin on tehty uutta lakia säädettäessä terminologinen tarkistus, jonka perusteella laissa säädetään rahanpesun ja terrorismin rahoittamisen estämisestä, kun taas paljastaminen ja selvittäminen ovat erillisessä laissa rahanpesun selvittelykeskukselle säädettyjä tehtäviä. Laki koskee myös terrorismin rahoittamisen estämistä. Ilmoitusvelvollisilla on rahanpesulain 3 luvun 4 §:n nojalla velvollisuus hankkia tietoja asiakkaansa ja tämän tosiasiallisen edunsaajan toiminnasta, liiketoiminnan laadusta ja laajuudesta sekä perusteista palvelun tai tuotteen käyttämiselle. Ilmoitusvelvollisille on asetettu aktiivinen asiakassuhteen jatkuva seurantavelvollisuus ja selonottovelvollisuus. Teknisellä tarkistuksella ei laajennettaisi eikä kavennettaisi ilmoitusvelvollisten mahdollisuuksia saada asiakkaasta tai tämän tosiasiallisesta edunsaajasta tietoja luottotietolain nojalla.

Momentin10 kohtaa olisi tarkistettava teknisesti sen huomioimiseksi, että siinä mainittu henkilötietolaki on kumottu. Pykälän 3 momentista ehdotetaan poistettavaksi tarpeettomana ensimmäinen virke, jonka mukaan momentissa säädetty ei estä yrityskytkentätietojen luovuttamista. Yrityskytkentätietoja koskeva poikkeus huomioitaisiin pykälän 1 momentin johdantokappaleessa. Säännös on myös osittain päällekkäinen 26 §:n säännösten kanssa. Koska yrityskytkentätiedot ovat lähtökohtaisesti julkisia, niiden luovuttamisesta ei olisi tarpeen säätää pykälässä, joka koskee käyttötarkoitussidonnaista henkilötietojen luovuttamista. Käyttötarkoitussidonnaisuutta koskevaa vaatimusta olisi kuitenkin noudatettava siinä tapauksessa, että yrityskytkentätietoja luovutettaisiin yhdistettyinä sellaisiin tietoihin, joita 19 §:ssä säädetyt edellytykset koskevat.

Pykälään ehdotetaan lisättäväksi uusi 4 momentti, jonka mukaan luonnollisella henkilöllä olisi oikeus saada tieto siitä, kenelle häntä koskeva 12 §:n 1 momentissa tai 13 §:ssä tarkoitettu tieto on viimeisen vuoden aikana luovutettu. Säännös on siirretty 29 §:stä, ja vastaisi nykytilaa. Säännös koskisi luottotietotoiminnan harjoittajia. Muilta osin rekisteröidyn informointiin sovellettaisiin suoraan tietosuoja-asetuksen säännöksiä. Pykälän 4 momentilla mukautettaisiin 6 artiklan 3 kohdan mukaisesti 13 artiklan 1 kohdassa säädettyjä menettelyjä, huomioiden henkilöluottotietojen ja erityisesti maksuhäiriötietojen luovutuksiin liittyvät riskit rekisteröidyn oikeuksien kannalta.

Pykälään lisättäisiin uusi 5 momentti, jonka mukaan sen, joka hankkii luottotietorekisteristä henkilöluottotietoja käytettäviksi luottoa myönnettäessä tai 2 momentin 4-6 kohdassa säädettyyn tarkoitukseen, olisi huolehdittava siitä, että rekisteröity voi saada ennakolta tiedon henkilöluottotietojensa käytöstä ja siitä, mistä luottotietorekisteristä tiedot hankitaan. Säännös on siirretty 29 §:n 2 momentista ja vastaisi sisällöllisesti nykytilaa. Momentin soveltamisala olisi laaja ja kattaisi tietojen luovutukset luoton myöntämisen lisäksi takauksen ja vierasvelkapantin hyväksymistä ja antamista varten, huoneenvuokrasopimuksen tekemistä varten sekä erilaisiin yksityisoikeudellisiin sopimuksiin sisältyvien sopimusehtojen määrittelemistä varten, jos kysymys on sellaisesta sopimuksesta, jonka tekemisestä ei lain mukaan voi kieltäytyä. Asunto-omaisuuteen liittyviä kuluttajaluottoja tarjoavien luotonantajien osalta säännöksellä on pantu täytäntöön asuntoluottodirektiivin 18 artiklan 5 kohdan b alakohta. Koska vastaavaa säännöstä ei sisälly kuluttajansuojalakiin, etukäteinen ilmoitusvelvollisuus olisi säilytettävä luottotietolaissa. Velvollisuus on myös yksityiskohtaisempi ja tarkkarajaisempi kuin yleisesti sovellettavat tietosuoja-asetuksen rekisteröidyn informointia koskevat säännökset, joita mukautettaisiin 6 artiklan 3 kohdan salliman sääntelyliikkumavaran perusteella. Tämän säännöksen säilyttäminen laissa on myös tärkeää siitä syystä, että maksuhäiriötietojen luovutuksilla pykälän 2 momentin 4-6 kohdassa säädettyihin tarkoituksiin on pitkälle meneviä vaikutuksia luonnollisen henkilön yksityiselämään.

Pykälään lisättäisiin uusi 6 momentti, jonka mukaan luottotietorekisteristä henkilöluottotietoja hankkineen, joka hylkää luottohakemuksen 12 §:n 1 momentissa tai 13 §:ssä tarkoitettujen tietojen perusteella, olisi välittömästi päätöksen jälkeen ilmoitettava luonnolliselle henkilölle tällaisesta luottotiedon käytöstä ja siitä, mistä luottotietorekisteristä tieto on peräisin. Säännös on siirretty 29 §:n 2 momentista ja vastaisi sisällöllisesti nykytilaa. Säännös koskisi luotonantajia. Henkilötietojen käsittelystä informointiin sovellettaisiin lähtökohtaisesti sellaisenaan tietosuoja-asetuksen säännöksiä. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisesti olisi tarpeen mukauttaa 13 §:n 1 kohdassa säädettyjä menettelyjä. Säännöksellä on pantu täytäntöön kulutusluottodirektiivin 9 artiklan 2 kohta ja asuntoluottodirektiivin 18 artiklan 5 kohdan c alakohdan toinen virke. Koska vastaavaa velvollisuutta ei sisälly kuluttajansuojalakiin, säännös olisi säilytettävä luottotietolaissa.

Uusiin momentteihin sisältyvät säännökset ehdotetaan siirrettäväksi 29 §:stä siitä syystä, että 29 § sisältää myös sellaisia säännöksiä, jotka eivät ole tietosuoja-asetuksen rinnalla mahdollisia. Kyseisen pykälän säännösten soveltamisala on myös nykyisellään epäselvä. Kun säännökset sisältyisivät samaan pykälään, jossa myös säädetään henkilöluottotietojen yhteensopivista käsittelytarkoituksista, sääntely olisi selkeämpää luottotietojen käyttäjien ja valvonnan kannalta. Esimerkiksi luotonantajat käsittelevät luottotietoja eri oikeusperusteilla kuin luottotietotoiminnan harjoittajat. Erityisesti maksuhäiriötietojen luovutuksilla on niiden säilytysaikojen ohella merkittäviä vaikutuksia rekisteröidyn oikeuksiin, jolloin säännösten sijoittaminen selkeämmin samaan kokonaisuuteen tekisi myös sääntelystä läpinäkyvämpää tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan vaatimuksen mukaisesti. Rekisteröidyn oikeudet ilmenisivät tietojen luovutustilanteissa laista aiempaa selkeämmin, jolloin myös rekisteröidyn oikeuksien suoja vahvistuisi.

20 §.Henkilöluottotietojen luovuttaminen sähköisesti. Pykälässä säädetään henkilöluottotietojen luovuttamisesta teknisen käyttöyhteyden välityksellä 19 §:ssä tarkoitettuihin tarkoituksiin. Pykälän johdantokappaletta ehdotetaan täsmennettäväksi 19 §:n 1 momenttia vastaavasti siten, että siinä viitattaisiin 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuihin tietoihin. Sähköistä tietojen luovuttamista koskevat edellytykset koskisivat nykytilaa vastaavasti kaikkia pykälissä tarkoitettuja tietoja lukuun ottamatta yrityskytkentätietojen luovutuksia. Pykälän 3 momentti ehdotetaan samalla kumottavaksi.

Momentti on perusteltu lain esitöissä sillä, että rajoituksetta tapahtuvan yrityskytkentätietojen luovuttamisen ei voida katsoa vaarantavan perustuslain 10 §:n 1 momentissa säädettyä yksityiselämän suojaa, koska kysymys on tiedoista, jotka liittyvät henkilön toimintaan yritystoiminnassa tai muussa vastaavassa roolissa. Lain 12 §:n mukaisesti nämä tiedot kuitenkin luokitellaan henkilöluottotietoihin, eikä lain esitöissä ole esitetty erityisiä perusteluja sille, mistä syystä niitä tulisi voida luovuttaa löyhemmin perustein kuin muita henkilöluottotietoja. EU:n tuomioistuin on katsonut, että ilmaisua "yksityiselämä" ei pidä tulkita suppeasti ja ettei mikään periaatteellinen syy salli sitä, että ammattitoiminta jätettäisiin tämän käsitteen ulkopuolelle" (Esim. yhdistetyt asiat C-465/00, C-138/01 ja C-139/01, Österreichischer Rundfunk ym., EU:C:2003:294, 73 kohta). Suhteellisuusperiaatteen mukaisesti perusoikeuskirjan takaamiin oikeuksiin ja vapauksiin voidaan kuitenkin säätää poikkeuksia, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia (esim. tuomio yhdistetyissä asioissa Star Storage ym., C‑439/14 ja C‑488/14, EU:C:2016:688, 49 kohta ja tuomio asiassa N., C‑601/15 PPU, EU:C:2016:84, 50 kohta. Lainsäätäjän olisi siten varmistuttava siitä, että yksityiselämän suojan rajoittaminen on välttämätöntä ja oikeasuhteista. Yrityskytkentätietojen muita henkilötietoja laajemmalla saatavuudella voidaan katsoa olevan yleisen edun mukainen tavoite, joka liittyy erityisesti harmaan talouden torjuntaan.

Siihen, että henkilötietoja luovutetaan yleisen tietoverkon välityksellä, voi kuitenkin liittyä aina riskejä luonnollisen henkilön oikeuksien kannalta, vaikka tiedot olisivat lähtökohtaisesti julkisia. Nämä riskit liittyvät erityisesti siihen, että yleisessä tietoverkossa henkilötiedot ovat helposti ja nopeasti saatavilla ja yhdistettävissä muihin tiedonlähteisiin. Myös yrityskytkentätietoihin voi liittyä rekisteröidyn kannalta yllättäviä kielteisiä vaikutuksia. Näin voi olla esimerkiksi silloin, jos henkilö on lupautunut muodollisesti osallistumaan toisen yrityksen hallitukseen vailla tosiasiallista mahdollisuutta vaikuttaa yrityksen talouteen.

Luonnollisen henkilön toimintamahdollisuuksiin kohdistuvien riskien ja yksityiselämän suojaan kohdistuvan rajoituksen oikeasuhteisuuden varmistamiseksi yrityskytkentätietoja koskevaa poikkeusta ei saisi soveltaa siinä tapauksessa, että niitä luovutettaisiin samanaikaisesti maksuhäiriötietojen tai muiden henkilöluottotietojen kanssa tai yhdistettyinä tällaisiin tietoihin. Tämä vastaisi nykytilaa, jossa poikkeus koskee pelkästään yrityskytkentätietoja. Vastaava periaate on myös nimenomaisesti huomioitu lain 26 §:ssä, jonka mukaan yrityksen vastuuhenkilöitä koskevia maksuhäiriötietoja saa luovuttaa teknisen käyttöyhteyden avulla tai muutoin sähköisesti 19 §:ssä säädettyjen edellytysten täyttyessä.

21 §.Yrityksen perustiedot. Pykälän johdantokappaleessa ehdotetaan sana ”rekisteröity” korvattavaksi sanoilla ”yritys tai sen edustaja tai vastuuhenkilö”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Yrityksen oikeuksia voi käyttää myös yrityksen vastuuhenkilö tai sen muu edustaja, joka voisi antaa suostumuksen myös muiden kuin pykälässä tarkoitettujen perustietojen tallettamiseen rekisteriin. Oikeuksien käyttö yrityksen puolesta on huomioitu jo voimassa olevan 30 §:n 1 momentissa. Yrityksen vastuuhenkilö määritellään 3 §:n 3 kohdassa. Se, mitä edustajalla tarkoitettaisiin, määräytyy tapauskohtaisesti kunkin yrityksen osalta sitä koskevan lainsäädännön perusteella. Edustaja voi käytännössä olla joku vastuuhenkilön määritelmässä tarkoitetuista henkilöistä, mutta laissa nimenomaisesti säädetyn edustuksen lisäksi on tarpeen kattaa myös muu mahdollinen henkilö, jolla on edustusoikeus joko yrityksen palveluksessa olevana henkilönä tai sopimussuhteen perusteella.

22 §.Viranomaisen rekisteristä poikkeavan merkinnän tekeminen. Pykälän otsikko muutettaisiin vastaamaan tarkemmin säännösten sisältöä. Pykälässä käytetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa mukauttamalla tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan mukaista henkilötietojen täsmällisyysvelvoitetta, jonka mukaan rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Pykälässä ehdotetaan korvattavaksi sanat ”luottotietorekisterin pitäjä” ja ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Pykälän ruotsinkielistä sanamuotoa tarkistettaisiin myös kielellisesti.

23 §.Tiedot liiketoimintakiellosta. Pykälässä säädetään oikeudesta tallettaa luottotietorekisteriin tiedot henkilöstä, joka on määrätty liiketoimintakieltoon. Pykälän mukaan tietoja saa myös luovuttaa teknisen käyttöyhteyden avulla tai muutoin sähköisesti. Liiketoimintakiellosta annetun lain (1059/1985) 21 §:ssä säädetään Oikeusrekisterikeskuksen pitämästä rekisteristä, jonka sisältämät voimassa olevia liiketoimintakieltoja koskevat tiedot ovat julkisia ja kenellä tahansa on oikeus saada rekisteristä tieto voimassa olevasta liiketoimintakiellosta myös kopiona tai tulosteena. Teknisen käyttöyhteyden avulla tapahtuva tietojen luovuttaminen on kuitenkin rajattu tiettyihin käyttötarkoituksiin. Luottotietotoimintaa harjoittavalla on oikeus saada tieto teknisen käyttöyhteyden avulla omaa toimintaansa varten. Luottotietolaissa ei ole säädetty liiketoimintakieltorekisteristä tapahtuvia luovutuksia vastaavaa käyttötarkoituksen rajoitusta, vaikka kyse olisi tietojen jälleen luovuttamisesta. Lisäksi liiketoimintakieltorekisterin sisältämät päättyneitä liiketoimintakieltoja koskevat tiedot ovat salassa pidettäviä. Niitä voidaan luovuttaa salassapitovelvollisuuden estämättä vain rajattuihin käyttötarkoituksiin. Luottotietolaissa ei ole rajattu ollenkaan näiden tietojen luovuttamista.

Pykälää ehdotetaan muutettavaksi siten, että luottotietotoiminnan harjoittaja saisi luovuttaa tiedon voimassa olevasta liiketoimintakiellosta luottotiedon käyttäjälle, jos se on tarpeen 19 §:ssä säädettyyn tarkoitukseen. Tiedon luovuttaminen sidottaisiin siten voimassa oleviin liiketoimintakieltoihin. Päättynyttä liiketoimintakieltoa koskevaa tietoa ei saisi luovuttaa edelleen. Huomioiden, että alkuperäisessä rekisterissä tietojen sähköinen luovuttaminen on sidottu käyttötarkoitukseen, pykälässä olisi asetettava myös käyttötarkoitusrajoitus. Koska voimassa oleva liiketoimintakieltoa koskeva tieto on julkinen ja luovutettava tieto on yksilöity, tiedonluovutus voitaisiin sitoa tiedon tarpeellisuuteen 19 §:ssä säädettyyn tarkoitukseen.

24 §.Yrityksen maksuhäiriöitä koskevat ja niitä täydentävät tiedot. Pykälän 1 momentin 1 kohdassa sana ”rekisteröidystä” korvattaisiin sanoilla ”merkitystä velallisesta” ja 2 kohdassa sana ”rekisteröidyn” korvattaisiin sanalla ”velallisen”. Momentin4 ja 6 kohdassa tehtäisiin vastaavat muutokset. Lisäksi 1 ja 4 kohtaa tarkistettaisiin kielellisesti. Myös pykälän 3 ja 4 momentissa sana ”rekisteröity” korvattaisiin sanalla ”velallinen”. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi 3 ja 4 momentissa korvattaisiin sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja” sekä selkeyden vuoksi sana ”rekisteri” sanalla ”luottotietorekisteri”. Momenttien ruotsinkielistä versiota tarkistettaisiin kielellisesti, jotta niiden sanamuoto on yhdenmukainen lain 13 §:n 2 ja 3 momentin sanamuodon kanssa.

26 §.Yrityksen vastuuhenkilöitä koskevien henkilöluottotietojen käsittely. Pykälässä korvattaisiin sana ”luottotietorekisterin pitäjä” sanalla ”luottotietotoiminnan harjoittaja”.

27 §.Yrityksen luottokelpoisuusarvioinnissa käytettävät tiedot. Pykälän 1 momentissa ehdotetaan sana ”rekisterinpitäjä” korvattavaksi sanalla ”luottotietotoiminnan harjoittaja”. Lisäksi momentin ruotsinkieliseen sanamuotoon tehtäisiin kielellinen tarkistus.

28 §.Rekisterimerkintöjen säilyttämisajat. Pykälän 1 momentin 1 kohtaa ehdotetaan muutettavaksi siten, että konkurssia koskevat tiedot olisi poistettava kuukauden kuluessa siitä, kun tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä. Konkurssiasiaa koskevat tiedot olisi kuitenkin poistettava viimeistään viiden vuoden kuluttua konkurssin alkamisesta. Säilytysaika määräytyisi sen mukaisesti, kumpi niistä on lyhyempi. Voimassa olevan säännöksen mukaan konkurssia koskevat tiedot poistetaan viiden vuoden kuluessa konkurssin alkamisesta. Tiedot on kuitenkin poistettava kuukauden kuluessa siitä, kun konkurssi- ja yrityssaneerausrekisteristä on poistettu konkurssiasiaa koskevat tiedot sen vuoksi, että konkurssihakemus on hylätty taikka jätetty tutkimatta tai sillensä taikka että konkurssi on määrätty peruuntumaan. Säilytysaika on voinut pidentyä uuden merkinnän johdosta, kuitenkin niin, että tiedot on poistettava kolmen kuukauden kuluessa siitä, kun viimeisintä konkurssimerkintää koskevat tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä. Säilytysaika sidottaisiin selkeämmin konkurssi- ja yrityssaneerausrekisteriin, kuitenkin niin, että vastaavasti, kuin luonnollista henkilöä koskevat tiedot, yrityksen konkurssia koskevat tiedot olisi poistettava viimeistään viiden vuoden kuluessa konkurssin alkamisesta.

Momentin 4 kohdassa ehdotetaan korvattavaksi sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Momentin 5 kohdassa korvattaisiin sana ”rekisteröidyn” sanalla ”velallisen”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä.

Momentin 8 kohdan mukaista liiketoimintakieltoa koskevan merkinnän säilytysaikaa muutettaisiin siten, että merkintä poistettaisiin luottotietorekisteristä, kun liiketoimintakielto päättyy. Muutos olisi tarpeen, koska lakiin ehdotetaan samalla myös lisättäväksi kielto luovuttaa päättynyttä liiketoimintakieltoa koskevaa tietoa.

Pykälän 2 momenttia muutettaisiin siten, että jos luottotietotoiminnan harjoittajalle on tullut tieto 24 §:n 1 momentin 2, 3, 5 tai 7 kohdassa tarkoitetun saatavan suorittamisesta, jonka laiminlyönnistä merkintä on syntynyt, tieto poistetaan yhden kuukauden kuluessa tiedon saamisesta. Muutos koskisi seuraavin perustein tehtyjä yritysten maksuhäiriötietoja: tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla tai yksipuolisella tuomiolla taikka rekisteröidyn hyväksymän vekselin protestilla, tiedot asiakohtaisesti eriteltyinä sellaisesta ulosottoasiasta, jossa on annettu estetodistus tai tieto pitkäkestoisesta ulosotosta. veroviranomaisen julkistama tieto sellaisesta verosaatavasta tai vakuutuslaitoksen ilmoittama tieto sellaisen lakisääteiseen vakuutukseen perustuvan saatavan laiminlyönnistä, joka voidaan ulosmitata ilman tuomiota tai päätöstä, tieto velkojan erääntyneen ja riidattoman saatavan johdosta antamasta maksukehotuksesta. Momenttia muutettaisiin lisäksi siten, että 1 momentin 1 ja 7 kohdassa tarkoitetun merkinnän säilytysaikaa ei enää pidennettäisi uuden merkinnän johdosta. Muutoksen myötä jokaisen yritysluottotietona talletettavan maksuhäiriömerkinnän säilytysaika olisi riippumaton tulevista merkinnöistä.

7 luku – Oikeus saada tietoja ja virheen oikaisu. Luku ehdotetaan otsikoitavaksi uudelleen. Voimassa olevan lain otsikko ”Rekisteröidyn oikeudet ja niiden toteuttaminen” antaa vaikutelman päällekkäisestä sääntelystä tietosuoja-asetuksen sisältämien rekisteröidyn oikeuksia koskevien säännösten kanssa. Uusi otsikko kattaisi ne luvun säännökset, joiden säilyttäminen on tarpeen laissa tarkoitetun muun tiedonsaantioikeuden ja virheen oikaisun turvaamiseksi. Laissa olisi edelleen säädettävä yrityksen tiedonsaantioikeudesta, rekisteröidyn oikeuksien rajoittamisesta ja muun virheen kuin virheellisen henkilötiedon oikaisemisesta. Luvusta poistettaisiin sellaiset säännökset, jotka ovat päällekkäisiä tietosuoja-asetuksen säännösten kanssa.

29 §.Tiedottaminen rekisteröidylle. Pykälä ehdotetaan kumottavaksi. Pykälän sisällössä on jossain määrin päällekkäisyyttä tietosuoja-asetuksen 12 artiklan kanssa. Artiklan mukaan rekisterinpitäjällä on aktiivinen rekisteröidyn informointivelvollisuus. Vastaavasti 29 §:n tarkoituksena on huomioida tilanteet, joissa luottotietorekisterin pitäjän ja luottotietojen käyttäjän on aktiivisesti annettava rekisteröidylle tietoa luottotietojen käsittelystä. Pykälä koskee luonnollisia henkilöitä.

Luottotietolain voimassa oleva 29 § sisältää kuitenkin tietosuoja-asetuksen 12 artiklaan nähden tarkempia säännöksiä, jotka osoittavat tarkemmin ne tilanteet, joissa tiedonantovelvollisuus on olemassa. Tiedonantovelvollisuus on myös jossain määrin laajempi. Tietosuoja-asetuksesta ei johdu suoraan velvollisuutta ilmoittaa rekisteröidylle tietoa saatavan suorittamisen vaikutuksesta luottotietorekisteriin tehtäviin merkintöihin. Pykälässä tarkoitetut voidaan antaa esimerkiksi markkinoinnin yhteydessä, asiakaskirjeissä tai vakiosopimuksissa.

Pykälän 1 momentissa tarkoitettu informointivelvollisuus on osittain päällekkäinen tietosuoja-asetuksen 14 artiklan mukaisen rekisterinpitäjälle kuuluvan velvollisuuden kanssa. Momentissa säädetty velvollisuus lähettää tieto saatavan suorittamisen vaikutuksesta luottotietorekisteriin tehtäviin merkintöihin sisällytettäisiin lain 18 §:ään, jossa säädetään maksuhäiriötietojen säilytysajoista. Pykälän 2 momentissa säädetään luottotietojen käyttäjälle kuuluvasta informointivelvollisuudesta. Tietojen käyttäjä ei ole luottotietorekisterin rekisterinpitäjä, mutta voi olla omassa toiminnassaan käsiteltävien henkilötietojen rekisterinpitäjä. Momentissa on kyse tietojen luovuttamisesta luoton myöntämistä varten taikka 19 §:n 2 momentin 4-6 kohdassa säädettyihin tarkoituksiin, joita ovat takauksen tai vierasvelkapantin hyväksyminen tai antaminen; huoneenvuokrasopimuksen tekeminen; sekä sopimusehtojen määritteleminen, jos kysymys on sellaisesta sopimuksesta, jonka tekemisestä ei lain mukaan voida kieltäytyä. Momentin ensimmäinen ja toinen virke ovat samalla asuntoluottodirektiivin ja kulutusluottodirektiivin täytäntöönpanoon liittyviä säännöksiä, jotka siirrettäisiin lain 19 §:ään. Lisäksi viimeinen virke ehdotetaan poistettavaksi tarpeettomana. Momentissa säädetään yrityskytkentätietoja koskevasta poikkeuksesta, josta ei olisi tarpeen säätää. Tällä ei olisi vaikutusta nykytilaan. Siirretyissä säännöksissä informointivelvollisuus olisi rajattu lain 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuihin tietoihin.

30 §.Yrityksen oikeus saada tietoja. Voimassa olevan pykälän otsikko ”Tarkastusoikeus” on päällekkäinen tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden kanssa siltä osin kuin on kyse henkilötietojen käsittelystä. Otsikko ehdotetaan korvattavaksi uudella otsikolla, jossa huomioitaisiin pelkästään yrityksen tiedonsaantioikeus. Voimassa olevan pykälän 1 momenttikoskee yrityksen, sen edustajan ja vastuuhenkilön oikeutta saada tieto siitä, mitä tietoja yrityksestä ja sen vastuuhenkilöistä on talletettu luottotietorekisteriin ja mistä rekisteriin talletetut tiedot ovat peräisin. Säännös vastaisi nykytilaa. Lain soveltamisen kannalta on kuitenkin tarpeen selventää, että tiedonsaantioikeus ei kata toista luonnollista henkilöä koskevaa maksuhäiriötietoa, jota on käsitelty henkilöluottotietona, jos maksuhäiriötieto ei liity yritystoimintaan.

Huomioiden tietosuoja-asetuksen suoran sovellettavuuden siltä osin kuin on kyse luonnollisten henkilöiden oikeudesta saada tieto itseään koskevien henkilötietojen tallettamisesta, viittaus tietosuoja-asetukseen ei olisi välttämätön. Selkeyden vuoksi asia kuitenkin huomioitaisiin uudella informatiivisella viittaussäännöksellä. Vanhentunut viittaus henkilötietolakiin poistetaan tarpeettomana. Momentissa myös korvattaisiin sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Momentin ruotsinkieliseen sanamuotoon ehdotetaan kielellisiä tarkistuksia.

Pykälän 2 momentti ehdotetaan korvattavaksi uudella momentillaja 3 momentti ehdotetaan kumottavaksi. Uusi 2 momentti sisältäisi informatiivisen viittaussäännöksen tietosuoja-asetukseen, jossa säädetään rekisteröidyn oikeudesta saada tietoja. Säännös kattaisi sekä voimassa olevassa 1 momentissa tarkoitettujen yrityksen edustajien ja vastuuhenkilöiden oikeuksien lisäksi voimassa olevan lain 2 ja 3 momentin mukaiset oikeudet saada tieto eräistä tiedonluovutuksista. Näihin tilanteisiin sovellettaisiin sellaisenaan tietosuoja-asetuksen säännöksiä. Koska rekisteröidyn tarkastusoikeudesta ei enää säädettäisi luottotietolaissa, myöskään pykälän 2 momentin mukaiselle rekisteröidyn tarkastusoikeuden rajoittamiselle ei ole tarvetta. Rekisteröidyn tarkastusoikeutta on voimassa olevassa laissa rajoitettu siltä osin kuin on kyse oikeudesta saada tieto yrityskytkentätietojen luovuttamisesta. Tarkastusoikeutta olisi kuitenkin mahdollista rajoittaa yksittäistapauksessa tietosuojalain 34 §:n 1 momentin nojalla, jos tiedon antaminen saattaisi haitata esimerkiksi rikoksen selvittämistä. Tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdan sanamuoto sisältää myös vaihtoehtoina mahdollisuuden antaa rekisteröidylle tieto vastaanottajista tai vastaanottajaryhmistä, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa. Pykälän 3 momentin sisältämä rekisteröidyn tarkastusoikeuden rajoitus ehdotetaan sisällytettäväksi uuteen 30 a §:ään.

30 a §.Rajoitus rekisteröidyn oikeudesta saada tietoja. Pykälän 1 momentti vastaisi sisällöllisesti voimassa olevan lain 30 §:n 3 momenttia. Momentin mukaisesti tietosuoja-asetuksessa tarkoitetulla rekisteröidyllä ei olisi oikeutta saada tietoa siitä, jolle häntä koskeva henkilöluottotieto on luovutettu, jos tietoja on luovutettu rahanpesulaissa tarkoitetulle ilmoitusvelvolliselle poikkeavia liiketoimia koskevan selonottovelvollisuuden hoitamista varten taikka jos tieto on luovutettu rahapesun selvittelykeskukselle rahanpesun tai terrorismin rahoittamisen estämiseksi, paljastamiseksi tai selvittämiseksi. Ehdotetulla rekisteröidyn oikeuden rajoituksella huomioidaan se, että ilmoitusvelvollisella on myös rahanpesulain 4 luvun mukainen velvollisuus ilmoittaa rahanpesun selvittelykeskukselle epäilyttävistä liiketoimista, joita koskee salassapitovelvollisuus. Voimassa oleva 30 §:n 3 momentti on alun perin lisätty luottotietolakiin vuonna 2008. Säännös koskee pelkästään tiedonluovutuksia luottotietotoiminnan harjoittajan rekisteristä rahanpesulaissa säädettyihin tarkoituksiin. Siltä osin kuin kyse on rekisteröidyn oikeudesta saada tieto sellaisista luovutetuista tiedoista, jotka on talletettu rahanpesulain 2 luvun 1 §:ssä tarkoitetun ilmoitusvelvollisen ylläpitämään henkilörekisteriin, rekisteröidyn tarkastusoikeuteen sovellettaisiin, mitä rahanpesulaissa säädetään. Rahanpesun selvittelykeskuksen ylläpitämään rekisteriin talletettuihin tietoihin kohdistuvaan rekisteröidyn tarkastusoikeuteen puolestaan sovellettaisiin, mitä rahanpesun selvittelykeskuksesta annetussa laissa (445/2017) säädetään. Momentti on voimassa olevassa luottotietolain 30 §:ssä osa lainsäädäntökokonaisuutta, jolla on pantu täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/849 rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen.

Pykälässä säädetty tarkastusoikeuden rajoitus olisi edelleen mahdollinen tietosuoja-asetuksen 23 artiklan 1 kohdan d alakohdan nojalla, jotta voidaan taata rahanpesu- ja terrorismin rahoittamisrikosten sekä rahanpesun esirikosten ennalta estäminen, selvittäminen ja paljastaminen tai tällaisiin rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano. Rajoittamista tarkoittavan lainsäädäntötoimenpiteen olisi kuitenkin täytettävä 23 artiklan 2 kohdassa säädetyt edellytykset. Rajoituksen kattamat käsittelyn tarkoitukset, henkilötietoryhmät ja soveltamisala ilmenevät ehdotetusta rajoitussäännöksestä. Rajoituksen oikeasuhteisuuden varmistamiseksi se koskisi pelkästään henkilöluottotietoja, jotka on luovutettu poikkeavia liiketoimia koskevan selonottovelvollisuuden hoitamista varten. Muiden 23 artiklan 2 kohdassa säädettyjen edellytysten arvioidaan täyttyvän tietosuoja-asetuksen yleisillä säännöksillä, jotka koskevat erityisesti tietoturvallisuutta. Pykälään ehdotetaan kuitenkin lisättäväksi selvyyden vuoksi 2 momentti, jossa viitattaisiin sovellettavaan yleislakiin, jossa säädetään siitä, että rekisteröidylle olisi kerrottava rajoituksen syy, jollei se vaaranna rajoituksen tarkoitusta, sekä rekisteröidyn mahdollisuudesta käyttää oikeuksiaan tietosuojavaltuutetun välityksellä. Tämä olisi perusteltua, ottaen huomioon, että 1 momentissa tarkoitetuissa tilanteissa henkilötietoja vastaanottaviin tahoihin sovelletaan eri yleislakeja. Rahanpesun selvittelykeskus kuuluu rikosasioiden tietosuojalain soveltamisalaan.

Pykälän erityissäännökset olisivat edelleen tarpeen, koska siinä säädettävissä tilanteissa ei ole mahdollista soveltaa tietosuojalain 34 §:n säännöksiä, joiden nojalla rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin. Tietosuojalain 34 §:n 1 momentin nojalla rekisteröidyn oikeutta voidaan rajoittaa muun muassa, jos tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä. Säännöksiä sovelletaan yleisimmin tietojen luovuttamiseen esitutkintaviranomaiselle tai Suojelupoliisille.

31 §.Virheen oikaisu. Pykälän sanamuotoa ehdotetaan tarkistettavaksi osittain päällekkäisenä tietosuoja-asetuksen kanssa, ja samalla muutetusta pykälästä tulisi uusi 1 momentti. Voimassa olevassa pykälässä säädetään luottotietorekisterissä tai luottotietolausunnossa olevan virheen oikaisusta, mutta säännöksessä ei ole rajattu virheen oikaisua henkilötietoihin. Rekisterinpitäjän on pykälän nojalla oikaistava ilman aiheetonta viivytystä luottotietorekisterissä tai luottotietolausunnossa oleva virheellinen, puutteellinen tai harhaan johtava tieto sekä rekisteröidyn pyynnöstä ilmoitettava virheen oikaisusta sille, jolle virheellinen tieto on annettu. Sen lisäksi rekisteröidyn pyynnöstä on yritysluottotiedossa olleen virheen oikaisusta ilmoitettava sille, jonka rekisteröity ilmoittaa saaneen virheellisen yritysluottotiedon. Säännös koskee siten rekisteröityjen luonnollisten henkilöiden lisäksi myös yrityksiä ja on keskeinen rekisteröidyn oikeusturvan kannalta sekä henkilöluottotietojen että yritysluottotietojen osalta. Tästä syystä säännös ehdotetaan säilytettäväksi suureksi osaksi sen varmistamiseksi, että rekisterinpitäjällä olisi myös oikaista sellainen muu rekisteröidyn oikeuksiin vaikuttava virheellinen tieto kuin tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdassa tarkoitettu epätarkka ja virheellinen henkilötieto. Rekisterinpitäjällä on tietosuoja-asetuksen mukaan velvollisuus joko oikaista tai poistaa tällainen tieto rekisteröidyn pyynnöstä tai oma-aloitteisesti. Uudesta momentista ehdotetaan kuitenkin poistettavaksi tietosuoja-asetuksen sääntelyn kanssa päällekkäisenä rekisterinpitäjän velvollisuus ilmoittaa virheen oikaisusta sille, jolle virheellinen henkilöluottotieto on annettu. Tähän tilanteeseen sovellettaisiin sellaisenaan tietosuoja-asetuksen 19 artiklan säännöksiä. Ensimmäisessä virkkeessä korvattaisiin sana ”luottotietolausunnossa” sanoilla ”luottokelpoisuutta osoittavassa arviointitiedossa”, jota käytetään 16 §:ssä ja 27 §:ssä. Lisäksi toisessa virkkeessä, joka koskee pelkästään yritysluottotietoja, sana ”rekisteröity” korvattaisiin sanoilla ”yritys tai sen edustaja tai vastuuhenkilö”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Samalla virkettä tarkistettaisiin kielellisesti. Virheen oikaisulla 1 momentissa tarkoitettaisiin erilaisten asiavirheiden ja teknisten virheiden oikaisemista. Asiavirheen korjaamisella tarkoitettaisiin selvästi virheelliseen tai puutteelliseen selvitykseen tai ilmeisen väärään lain soveltamiseen perustuvan luottotietotoiminnan harjoittajan päätöksen muuttamista tai uutta päätöstä. Tekniset virheet voivat olla esimerkiksi kirjoitus- tai laskuvirheitä, teknisestä viasta aiheutuneita virheitä taikka muita näihin verrattavissa olevia virheitä. Virheen oikaisu kattaisi siten myös luottokelpoisuusarvioiden muodostamisessa tapahtuneet virheet, joissa ei ole kyse pelkästä henkilötiedosta. Pykälä koskisi siten muita kuin tietosuoja-asetuksessa tarkoitettuja henkilötietoja. Säännös myös kattaisi edelleen sellaiset yritysluottotietojen käsittelyssä ilmenneet virheet, jotka eivät liity yksiselitteisesti henkilötietojen käsittelyyn.

Pykälään ehdotetaan lisättäväksi viittaussäännös (2 momentti), jonka mukaan virheellisen henkilötiedon oikaisemisesta säädetään tietosuoja-asetuksessa. Henkilöluottotiedot ja yrityskytkentätiedot ovat tietosuoja-asetuksessa tarkoitettuja henkilötietoja. Informatiivinen säännös olisi tarpeen ehdotetun sääntelyn ja tietosuoja-asetuksen suhteen täsmentämiseksi.

31 a §.Kielteinen päätös. Lakiin ehdotetaan lisättäväksi uusi 31 a §, johon siirrettäisiin kumottavaksi ehdotettavan 32 §:n 2 momentin sisältö siltä osin kuin on kyse luottotietorekisteriin tallennettujen yrityksiä koskevien tietojen antamista ja virheellisten tietojen muuttamista koskevista ratkaisuista. Pykälän mukaan luottotietotoiminnan harjoittajan olisi annettava kirjallinen päätös, jos se kieltäytyy antamasta yritykselle 30 §:ssä tarkoitettua tietoa tai oikaisemasta 31 §:n 1 momentissa tarkoitettua virheellistä tietoa. Päätöksestä tulisi ilmetä ne lainkohdat ja tosiseikat, joihin kieltäytyminen perustuu. Päätökseen olisi liitettävä tieto oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi. Luonnollisten henkilöiden esittämien henkilötietojen oikaisua koskevien pyyntöjen käsittelyyn sovellettaisiin tietosuoja-asetusta. Säännösten säilyttäminen on keskeistä luonnollisen henkilön oikeusturvan ja yrityksen oikeuksien varmistamiseksi niissä tilanteissa, joita tietosuoja-asetuksen säännökset eivät kata.

32 §.Oikeus käyttää omaa kieltä. Pykälän 1 momentissa säädetään rekisteröidyn oikeudesta käyttää omaa kieltään, joko suomea tai ruotsia, käyttäessään rekisteröidyn tarkastusoikeutta tai esittäessään virheen oikaisupyynnön. Rekisteröidyllä on Suomessa tällainen oikeus suoraan kielilain (2003/423) nojalla silloin, kun kyse on asioinnista viranomaisessa. Jos julkinen hallintotehtävä on lailla tai lain nojalla säädetty yksityiselle, sitä koskee sen hoitaessa tätä tehtävää, mitä kielilaissa säädetään viranomaisesta. Momentti ehdotetaan säilytettäväksi, koska luottotietotoiminnan harjoittajat eivät ole viranomaisia, eivätkä yleisesti sovellettavat tietosuoja-asetus ja tietosuojalaki sisällä säännöksiä rekisteröidyn oikeudesta käyttää omaa kieltään. Luottotietolain säännöksiä ei ole perusteltu suhteessa perustuslain 124 §:ään. Luottotietolain osalta ei ole myöskään esitöiden valossa arvioitu, voisiko luottotietotoiminnassa olla kyse kielilain 25 §:ssä tarkoitetun julkisen hallintotehtävän antamisesta yksityisille, jolloin yksityistä koskisivat kielilain vaatimukset. Sen sijaan luottotietolaissa erikseen säädetty rekisteröidyn oikeus käyttää omaa kieltä voidaan perustella luottotietotoiminnan vaikutuksilla rekisteröidyn oikeuksiin ja oikeusturvaan. Momenttia täsmennettäisiin siten, että siinä viitattaisiin luonnolliseen henkilöön, joka käyttää tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksiaan tai lain 31 §:n mukaista oikeuttaan, ja yritykseen, joka käyttää 30 tai 31 §:n mukaista oikeuttaan. Momentista poistettaisiin sanat ”tarkastusoikeutta ja virheen oikaisua koskevassa”. Samalla momentin ruotsinkielistä sanamuotoa muutettaisiin vastaamaan kielilain terminologiaa siten, että sanat ”sitt modersmål” korvataan sanoilla ”sitt eget språk”. Luonnollisella henkilöllä ja yrityksellä olisi oikeus käyttää omaa kieltään, joko suomea tai ruotsia, omassa asiassaan sekä saada asiakirjat tällä kielellä. Säännöksellä ei tarkoitettaisi yleisiä tiedusteluja, vaan tilanteita, joissa yrityksen tai luonnollisen henkilön on tarve saada itseään koskevia tietoja tai saada itseään koskeva tieto oikaistuksi. Yrityksen osalta omalla kielellä tarkoitettaisiin kyseessä olevan oikeushenkilön pöytäkirjakieltä, jos se on suomi tai ruotsi.

Pykälän 2 momentti ehdotetaan kumottavaksi päällekkäisenä tietosuoja-asetuksen ja tietosuojalain sääntelyn kanssa. Momentissa säädetään rekisterinpitäjän velvollisuudesta antaa kirjallinen ratkaisu, jos se kieltäytyy toteuttamasta rekisteröidyn tarkastusoikeutta tai muuttamasta rekisterissä olevaa tietoa, sekä ne lainkohdat ja tosiseikat, joihin kieltäytyminen perustuu. Samalla pykälän otsikko ehdotetaan muutettavaksi siten, että se vastaa pelkästään säilytettävän 1 momentin sisältöä. Tarvittava sääntely sisällytettäisiin uuteen 31 a §:ään.

8 luku – Valvonta. Luvussa säädetään luottotietotoiminnan valvonnasta, joka lain 33 §:n mukaan kuuluu tietosuojavaltuutetulle. Voimassa olevan luvun sisältämät säännökset ovat osittain päällekkäisiä tietosuoja-asetuksen ja tietosuojalain mukaisen valvonnan kanssa, joten pykäliä ehdotetaan eräiltä osin tarkistettavaksi. Luottotietolain mukainen valvonta ei kuitenkaan kaikilta osin ole pelkkää henkilötietojen käsittelyn valvontaa, vaan kyseessä on laajempi valvontavastuu. Tästä syystä suurin osa säännöksistä on tarpeen säilyttää. Kattavalla valvontaa koskevalla sääntelyllä on myös merkitystä erityisesti 16 §:ssä tarkoitettujen luottokelpoisuusarvioiden laadintaan liittyvän rekisteröidyn oikeusturvan varmistamisen kannalta.

Luottotietolaissa ei ole mahdollista tehdä samanlaista rajausta kuin Ruotsin laissa, jossa tietosuojaviranomaisen valvonta ei kata sellaisia luottolaitoksia, joiden toisen viranomaisen myöntämä toimilupa kattaa luottotietojen käsittelyn. Ensinnäkin Suomessa luottotietolaissa tarkoitettua luottotietojen käsittelyn valvontaa ei toistaiseksi harjoita muu valvontaviranomainen. Toiseksi luottotietolaissa sallitut luottotietojen käyttötarkoitukset ovat huomattavasti Ruotsin lain mukaisia tarkoituksia laajemmat. Osa voimassa olevista 8 luvun valvontaa koskevista säännöksistä kohdistuu selkeästi luottotietotoiminnan harjoittajiin, kun taas osassa ei ole tehty vastaavia rajauksia. Tietosuojavaltuutetun on kuitenkin mahdollista mukauttaa valvontatoimenpiteitä sen mukaisesti, mikä on tarkoituksenmukaista suhteessa luottotietojen käyttäjään ja tämän suorittaman käsittelyn luonteeseen. Luottotietolaissa säädettyjen valvontaa koskevien säännösten säilyttäminen pääosin on tarpeen, huomioiden erityisesti ne tilanteet, joita tietosuoja-asetuksen ja tietosuojalain säännökset eivät kattaisi.

33 §.Valvontaviranomainen. Huomioiden lain soveltamisalaa koskevien säännösten tarkistukset, valvontaviranomaista koskevaa pykälää ehdotetaan tarkennettavaksi vastaavasti. Voimassa oleva ilmaisu ”yleinen valvonta” on epätarkka. Ehdotetun pykälän mukaan luottotietolain mukaisen luottotietotoiminnan harjoittamisen ja muun luottotietojen käsittelyn valvonta kuuluisi tietosuojavaltuutetulle. Valvonta kohdistuisi pääosin luottotietotoiminnan harjoittajiin, ja kattaisi näiden osalta sekä elinkeinotoiminnan että luottotietojen käsittelyn valvonnan. Luotonantajien ja muiden luottotietojen käyttäjien osalta valvonta koskisi erityisesti 2 luvun ja 19 §:n 5 ja 6 momentissa tarkoitettujen velvoitteiden noudattamista. Lain 4 §:ssä mainittujen elinkeinonharjoittajien osalta valvonta kattaisi luottotietojen käsittelyn myös kyseisessä pykälässä tarkoitetuissa luottotietojen käsittelytilanteissa. Tällaisia elinkeinonharjoittajia ovat esimerkiksi perintätoiminnan harjoittajat.

34 §.Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeus.Pykälässä säädetään tietosuojavaltuutetun oikeudesta saada nähtäväkseen tiedot luottotietojen käsittelystä luottotietolain mukaista valvontaa varten sekä oikeudesta saada sakkorekisteristä tietoja valvottavan hallituksen jäsenen tai varajäsenen taikka toimitusjohtajan tai toimitusjohtajan sijaisen luotettavuuden selvittämiseksi. Säännösten mukainen tiedonsaanti oikeus on laajempi kuin tietosuoja-asetuksen ja tietosuojalain mukainen oikeus tarkastaa henkilötietojen käsittelyn lainmukaisuus. Pykälän 1 momentti on osittain päällekkäinen tietosuoja-asetukseen ja tietosuojalakiin perustuvaa valvontaa koskevan sääntelyn kanssa. Momenttia ehdotetaan muutettavaksi siten, että tiedonsaanti koskisi luottotietotoiminnan harjoittamisen ja muun luottotietojen käsittelyn valvonnan kannalta välttämättömiä tietoja. Muutoksella selkiytettäisiin elinkeinotoiminnan valvonnan suhdetta henkilötietojen käsittelyyn kohdistuvaan valvontaan. Lisäksi tiedonsaantioikeus kytkettäisiin tietojen välttämättömyyteen, huomioiden, että säännös on muotoiltu avoimeksi eikä luovutettavia tietoja ole yksilöity. Säännösten ja kyseisten henkilötietojen käsittelyä koskevien säädösten suhteen selkiyttämiseksi pykälään kuitenkin ehdotetaan lisättäväksi uusi 3 momentti, jonka mukaan tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeudesta henkilötietojen käsittelyn valvonnassa säädetään tietosuoja-asetuksessa ja tietosuojalaissa. Tällä informatiivisella säännöksellä selvennettäisiin sitä, että 1 momenttia sovelletaan muiden tietojen saantiin. Momentin ruotsinkielistä sanamuotoa tarkistettaisiin lisäksi kielellisesti.

35 §.Määräysten antaminen.Tietosuojavaltuutetulla on tietosuoja-asetuksen 58 artiklan 2 kohdan nojalla muun muassa valtuudet määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tietosuoja-asetukseen perustuvien rekisteröidyn oikeuksien käyttöä. Kyseinen tietosuoja-asetuksen säännös on päällekkäinen voimassa olevan 35 §:n 1 kohdan kanssa siltä osin kuin lainkohdassa on kyse henkilötietojen käsittelyn valvontaan liittyvistä toimivaltuuksista. Kohtaa ehdotetaan muutettavaksi siten, että siinä säädettäisiin tietosuojavaltuutetun oikeudesta antaa luottotietotoiminnan harjoittajalle määräys 30 §:ssä tarkoitetun yrityksen tiedonsaantioikeuden toteuttamisesta tai 31 §:n 1 momentissa tarkoitetun virheellisen tiedon oikaisemisesta. Muutettua säännöstä ei siten sovellettaisi tietosuoja-asetuksen mukaisiin rekisteröidyn oikeuksiin. Säännös kuitenkin kattaisi esimerkiksi sellaiset 16 §:n soveltamiseen liittyvät tilanteet, joita tietosuoja-asetus ei koskisi. Kohdassa ehdotetaan myös korvattavaksi sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Pykälän 2 ja 3 kohta koskevat luottotietotoiminnan muuta valvontaa kuin henkilötietojen käsittelyn valvontaa, joten ne ehdotetaan säilytettäväksi. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan tietosuojavaltuutetun toimivaltuuksista henkilötietojen käsittelyn valvonnassa säädetään tietosuoja-asetuksessa ja tietosuojalaissa. Informatiivisella viittaussäännöksellä täsmennettäisiin sääntelyn ja tietosuoja-asetuksen suhdetta.

9 luku – Erinäiset säännökset. Luku sisältää säännökset tietojen tallettamisesta eräissä tapauksissa, luottotietotoiminnan harjoittajan ilmoituksesta, salassapitovelvollisuudesta, vahingonkorvausvastuusta ja muutoksenhausta sekä viittaussäännökset rikoslakiin ja henkilötietolain rangaistussäännöksiin ja säännökset luottotietorikkomuksesta.

37 §.Tietojen tallettaminen eräissä tapauksissa. Pykälässä korvattaisiin sana ”luottotietorekisterin pitäjää” sanalla ”luottotietotoiminnan harjoittaja”. Lisäksi sana ”luottotietolausunnon” korvattaisiin sanoilla ”luottokelpoisuutta osoittavan arviointitiedon muodostamista”, joita käytetään lain 16 §:ssä ja 27 §:ssä. Pykälässä tehtäisiin tekninen korjaus siten, että siinä viitattaisiin 30 ja 31 pykälän sijasta 30–31 §:ään, koska uuteen 30 a §:ään on siirretty osa 30 §:n sisällöstä. Lisäksi pykälän ruotsinkielistä sanamuotoa korjattaisiin viittaamalla 24 §:n 4 momenttiin suomenkielistä sanamuotoa vastaavasti.

39 §.Salassapitovelvollisuus. Pykälän 1 momentissa sana ”rekisteröityä” ehdotetaan korvattavaksi sanoilla ”luonnollista henkilöä tai yritystä”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä.

40 §.Vahingonkorvausvastuu. Pykälän 1 momentissa sana ”rekisteröidylle” korvattaisiin sanoilla ”luonnolliselle henkilölle tai yritykselle”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi momentissa sanat ”rekisterinpitäjä” ja ”luottotietorekisterinpitäjä” korvattaisiin sanoilla ”luottotietotoiminnan harjoittaja”. Muutos vastaisi nykytilaa, koska lain esitöiden mukaan rekisterisääntely koskee vain luottotietotoiminnan harjoittajia. Momentin ruotsinkieliseen sanamuotoon tehtäisiin myös kielellinen tarkistus. Voimassa olevan pykälän 2 momentti sisältää informatiivisen viittauksen henkilötietolakiin, jossa säädetään virheellisistä henkilöluottotiedoista ja lainvastaisesta henkilöluottotietojen käsittelystä aiheutuneiden vahinkojen korvaamisesta. Tietosuoja-asetuksen 82 artiklassa säädetään vastuusta ja oikeudesta korvauksen saamiseen niissä tilanteissa, joissa rekisteröidylle aiheutuu vahinkoa asetuksen rikkomisesta. Tietosuoja-asetuksen säännökset ovat suoraan sovellettavia myös voimassa olevassa 40 §:n 2 momentissa tarkoitetuissa tilanteissa. Momentin informatiivinen viittaussäännös ehdotetaan selkeyden vuoksi säilytettäväksi. Muutetun momentin mukaan henkilötietojen käsittelyä koskevien säännösten rikkomisesta aiheutuvan vahingon osalta oikeudesta vahingonkorvaukseen säädettäisiin tietosuoja-asetuksessa. Muilta osin vahingonkorvaukseen sovellettaisiin nykytilaa vastaavasti vahingonkorvauslakia (412/1974).

42 §.Viittaus rikoslakiin. Voimassa oleva pykälä sisältää viittaussäännökset rikoslain ja henkilötietolain rangaistussäännöksiin. Pykälää ehdotetaan tarkistettavaksi siten, että siinä huomioidaan uusi rikoslain 38 luvun 9 §:n mukainen tietosuojarikos, minkä lisäksi säännöksiä tarkennettaisiin rikosnimikkeiden osalta siten, että momentin ensimmäinen virke vastaisi tietosuojalaissa käytettyä sanamuotoa. Lisäksi pykälän otsikkoa täsmennettäisiin.

43 §.Luottotietorikkomus. Pykälän 1 kohdassa korvattaisiin sana ”rekisteröidyn” sanoilla ” yrityksen”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä sekä 30 §:n muuttaminen. Mainittua pykälää ehdotetaan muutettavaksi siten, että luottotietolain mukainen tiedonsaantioikeus koskee vain yrityksiä, kun taas luonnollisten henkilöiden informointiin sovellettaisiin tietosuoja-asetusta. Lisäksi 2 kohdassa korvattaisiin täsmällisyyden vuoksi sana ”tietosuojaviranomaiselle” sanalla ”tietosuojavaltuutetulle”. Pykälän ruotsinkielistä sanamuotoa tarkistettaisiin myös kielellisesti.

7.2 Maksupalvelulaki

Maksupalvelulaki on maksupalveludirektiivin täytäntöönpanolaki. Lakiin sisältyy runsaasti tietojen käsittelyyn liittyvää sääntelyä. Kyseessä ei ole kuitenkaan yksinomaan rekisteröidyn henkilötietojen käsittelyä koskeva sääntely, vaan tietojen käsittely liittyy muun muassa palveluiden tarjoajan tiedonantovelvollisuuteen ja tilitietopalveluihin, minkä lisäksi laissa säädetään esimerkiksi palvelun käyttäjän sähköisestä tunnistamisesta. EU:n jäsenvaltio ei voi yksin arvioida, ovatko direktiivin sisältämät henkilötietojen käsittelyä koskevat säännökset tietosuoja-asetuksen salliman sääntelyliikkumavaran mukaisia.

Laki sisältää myös nimenomaisen henkilötietojen käsittelyä koskevan pykälän (86 §), jonka 1 momentin mukaan palveluntarjoaja saa vain maksupalvelun käyttäjän nimenomaisella suostumuksella käsitellä sellaisia henkilötietoja, jotka ovat tarpeen maksupalvelujen tarjoamiseksi. Suostumusta koskevalla säännöksellä on pantu täytäntöön maksupalveludirektiivin 94 artiklan 2 kohta. Koska säännös perustuu EU-oikeuteen, sen yhteensopivuutta tietosuoja-asetuksen kanssa ei arvioida tässä esityksessä. Laissa ei muuten säädetä tarkemmin maksupalvelun tarjoamiseen liittyvien henkilötietojen käsittelyä koskevista vaatimuksista, joten siihen sovellettaisiin 86 §:n 1 momentin lisäksi kaikilta osin tietosuoja-asetuksen säännöksiä. Koska maksupalvelulaki ei sisällä direktiivin täytäntöönpanoa lukuun ottamatta muuta tietojen tai henkilötietojen käsittelyä koskevia erityissäännöksiä, sääntelyä olisi pidettävä oikeasuhteisena.

Lain 86 §:n 2-4 momentin säännökset perustuvat direktiivin 94 artiklan 1 kohtaan, jonka mukaan jäsenvaltioiden on sallittava, että maksujärjestelmät ja maksupalveluntarjoajat käsittelevät henkilötietoja, kun se on välttämätöntä maksupetoksiin liittyvien rikosten torjunnan, tutkinnan ja selvittämisen turvaamiseksi. Säännökset ovat välttämättömiä direktiivin vaatimusten täytäntöönpanon kannalta, huomioiden myös tarpeen mahdollistaa sellaisten tietojen luovuttaminen, jotka on säädetty salassa pidettäviksi. Perustuslakivaliokunta on pitänyt tällaisen sääntelyn tarkoitusta hyväksyttävänä käsitellessään vakuutuslainsäädännön muuttamista koskevia lakiehdotuksia. Perustuslakivaliokunta on kuitenkin kiinnittänyt huomiota tarpeeseen varmistaa sääntelyn yhdenmukaisuus tietosuoja-asetuksen 10 artiklan kanssa (ks. PeVL 78/2018 vp; PeVL 17/2019 vp). Direktiivi jättää liikkumavaraa sen osalta, miten yksityiskohtaisesti asiasta säädetään, joten yksityiskohtaisempi ja tarkkarajaisempi sääntely on mahdollista tietosuoja-asetuksen sääntelyliikkumavaran puitteissa.

Luottolaitostoiminnasta annettua lakia on äskettäin muutettu lisäämällä siihen säännökset ns. asiakashäiriörekistereistä, jotka ovat aiemmin perustuneet tietosuojalautakunnan päätöksiin. Samalla maksulaitoslakia on muutettu siten, että lain 39 a §:ssä viitataan luottolaitostoiminnasta annetuin lain 15 luvun 18 a §:ään. Näissä laeissa säädettyjen rekisterien käyttötarkoitus on maksupalvelulain 86 §:ää vastaava. Luottolaitostoiminnasta annetun lain 18 a §:ää ei ole hyväksytty perustuslakivaliokunnan myötävaikutuksella, mutta sen sisältö on pitkälti samanlainen kuin jo hyväksytty vakuutusyhtiöitä koskeva sääntely.

Asiakashäiriörekisterien osalta voitaisiin katsoa, että henkilötietojen käsittely perustuisi rekisterinpitäjän oikeutettuun etuun, joka olisi maksupalvelutoimintaan kohdistuvien väärinkäytösten ennalta estäminen ja selvittäminen. Tietosuoja-asetuksen johdanto-osassa todetaan välttämättömän henkilötietojen käsittelyn petosten estämistarkoituksissa olevan asianomaisen rekisterinpitäjän oikeutetun edun mukaista (johdanto-osan 47 kappale). Tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan osalta on kuitenkin syytä huomata, että se ei sellaisenaan oikeusperusteena salli yksityiskohtaisempia kansallisia säännöksiä henkilötietojen käsittelystä.

Petosten ennalta estämisen voidaan katsoa olevan samanaikaisesti yleistä etua koskeva tehtävä (6 artiklan 1 kohdan e alakohta), jota olisi pidettävä maksupalvelulain 86 §:n 2-4 momentin osalta käsittelyn ensisijaisena oikeusperusteena. Sen osalta tietosuoja-asetusta täydentävä sääntely on mahdollista ja asiakashäiriörekistereistä voidaan antaa aiempaa yksityiskohtaisempia säännöksiä.

Tietosuoja-asetusta täydentävän sääntelyn osalta on myös huomioitava, että asiakashäiriörekistereissä on kyse rikoksiin liittyvistä tiedoista. Niiden osalta 10 artikla edellyttää, että käsittely sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Tällaisina suojatoimina voitaisiin pitää esimerkiksi voimassa olevan 86 §:n 2-4 momentin säännöksiä rekisteröinnin edellytyksistä ja tietojen poistamisesta. Sääntely ei kuitenkaan ole kovin yksityiskohtaista verrattuna luottolaitostoiminnasta annetun lain 15 luvun 18 a §:n säännöksiin. Huomioiden, että säännösten tarkoitus on vastaava, maksupalvelulain 86 §:ää ehdotetaan muutettavaksi siten, että myös maksupalveluntarjoajia koskisivat saman tasoiset vaatimukset kuin asiakashäiriörekistereitä ylläpitäviä luotto- ja maksulaitoksia.

86 §.Henkilötietojen käsittely. Pykälän voimassa olevilla 2-4 momentilla on tarkoitettu poikettavaksi kumotun henkilötietolain arkaluonteisten henkilötietojen käsittelykiellosta. Säännöksissä tarkoitetuista arkaluonteisina pidettävistä tiedoista säädetään tietosuoja-asetuksen 10 artiklassa. Tietosuoja-asetuksen 10 artiklan mukaan rikostuomioihin tai rikoksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella on mahdollista vain viranomaisen valvonnassa tai kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä.

Maksupalveludirektiivin 94 artiklan 1 kohta ja pykälän 2-4 momentti samalla nimenomaisesti sallivat tietosuoja-asetuksen 10 artiklassa tarkoitettujen rikostuomioita ja rikoksia koskevien henkilötietojen käsittelyn. Niiden käsittelyä koskeviin suojatoimiin sovellettaisiin tietosuojalain 7 §:n perusteella tietosuojalain 6 §:n 2 momenttia.

Pykälän 2 momenttiin ehdotetaan lisättäväksi aineellinen viittaussäännös luottolaitostoiminnasta annetun lain 15 luvun 18 a §:ään vastaavasti kuin maksulaitoslakiin on lisätty. Luottolaitostoiminnasta annetun lain säännöksiä sovellettaisiin myös maksulaitoksiin, jos ne rekisteröivät tai käsittelevät muuten asiakashäiriötietoja. Momentissa säilytettäisiin voimassa oleva asiakashäiriötietojen luovuttamista koskeva säännös. Yksityiskohtaisempi sääntely kattaisi rekisterin tietosisällön, rekisteröinnin edellytykset ja tietojen säilytysajat, sekä velvollisuuden informoida rekisteröityä, jos tietoja käytetään päätöksentekoon ja niillä on kielteinen vaikutus rekisteröityyn. Ottaen huomioon, että osa maksupalveluntarjoajista on samalla luottolaitoksia tai maksulaitoksia, niitä koskevat jo nyt luottolaitostoiminnasta annetun lain mukaiset säännökset asiakashäiriötietojen käsittelystä. Viittaussäännöksellä varmistettaisiin yhdenmukainen sääntely kaikkien asiakashäiriötietoja käsittelevien palveluntarjoajien osalta. Yksityiskohtaisempi sääntely toimisi samalla rekisteröidyn oikeuksien suojatoimena sen lisäksi, mitä tietosuojalaissa säädetään. Luottolaitostoiminnasta annetun lain 15 luvun 18 a §:n 6 momentissa säädetään velvollisuudesta ilmoittaa rekisteröidylle tietojen käytöstä päätöksenteossa, jos luoton epääminen tai muu rekisteröidylle kielteinen päätös johtuu asiakashäiriörekisterissä olevasta tiedosta. Säännöksessä on kyse eri asiasta kuin tietosuoja-asetuksen mukaisessa rekisteröidyn informoinnissa. Rekisteröityä koskisivat luottolaitostoiminnasta annetun lain mukaisen informoinnin lisäksi tietosuoja-asetuksen 13-18 artiklan mukaiset oikeudet. Tietosuoja-asetuksen 14 artiklassa säädetään rekisteröidylle annettavista tiedoista silloin, kun tietoja ei ole saatu rekisteröidyltä itseltään. Lisäksi erityisen oleellinen on rekisteröidyn 15 artiklan mukainen oikeus saada tieto itseään koskevien henkilötietojen käsittelystä, jollei sitä ole tarpeen rajoittaa tietosuojalain 34 §:n nojalla esimerkiksi vireillä olevan esitutkinnan vuoksi. Tällaisessa tilanteessa sovellettavaksi tulisivat 34 §:n 2-4 momentin mukaiset suojatoimet.

Pykälän 2 momentista poistettaisiin lisäksi informatiivinen viittaus henkilötietolain 11 §:ään. Ottaen huomioon 2 momenttiin lisättävän aineellisen viittaussäännöksen, 3 ja 4 momentti ehdotetaan kumottavaksi päällekkäisinä säännöksinä luottolaitostoiminnasta annetun lain 15 luvun 18 a §:n kanssa.

7.3 Rikosrekisterilaki

Rikosrekisterilaki kuuluu rikosasioiden tietosuojalain soveltamisalaan. Rikosrekisterilain säännöksiä on arvioitu eräiltä osin rikosasioiden tietosuojalain säätämisen yhteydessä. Rikosrekisterin rekisterinpitäjä on Oikeusrekisterikeskus. Laissa säädetään rikosrekisterin käyttötarkoituksesta ja siihen tallennettavista tiedoista sekä henkilötietojen luovuttamisesta ja rekisteristä poistamisesta. Säännökset perustuvat erityisesti rikosasioiden tietosuojadirektiivin 5 artiklaan, 8 artiklan 2 kohtaan ja 9 artiklan 1 kohtaan.

4 a §. Pykälässä säädetään henkilötietojen luovuttamisesta tilanteissa, joissa viranomainen tai adoptiotoimisto joutuu arvioimaan henkilön luotettavuutta tai soveltuvuutta. Tietoja voidaan luovuttaa rikosrekisteristä pykälän 1 momentin mukaan esimerkiksi silloin, kun viranomaisen luvan tai hyväksynnän edellytyksenä on henkilön luotettavuus.

Voimassa olevan 3 momentin nojalla oikeusministeriö voi painavista syistä antaa luvan tietojen luovuttamiseen rikosrekisteristä viranomaiselle henkilön luotettavuuden selvittämistä ja arviointia varten muussakin kuin 1 momentissa tarkoitetussa asiassa. Säännöstä on lain esitöissä perusteltu sillä, että poikkeusluvan myöntäminen sisältää sellaista oikeuspoliittista harkintaa ja linjanvetoa, joka luonteensa puolesta soveltuu paremmin ministeriölle kuin hallinnolliselle viranomaiselle. Momentin nojalla tietoja rikosrekisteristä voitaisiin luovuttaa myös muulle kuin Suomen viranomaiselle. Se, että jokin muu taho kuin rekisterinpitäjä voisi päättää henkilötietojen luovuttamisesta rekisteristä, ei kuitenkaan ole yhteensopiva ratkaisu henkilötietojen suojaa koskevien säännösten kanssa. Rikosasioiden tietosuojalain mukaisesti rekisterinpitäjä on aina vastuussa sen varmistamisesta, että henkilötietojen luovuttamisessa ja muussa käsittelyssä noudatetaan lakia. Tämä koskee myös tilanteita, joissa henkilötietoja luovutetaan kolmannen maan viranomaiselle. Säännöksen taustana on esitöiden valossa se, että oikeusministeriö on aiemmin vastannut rikosrekisterin ylläpidosta, mutta ylläpitovastuu on siirretty Oikeusrekisterikeskukselle. Oikeusministeriö ei ole myöskään ainakaan viimeisen kymmenen vuoden aikana tehnyt momentissa tarkoitettuja päätöksiä. Momenttia ehdotetaan muutettavaksi siten, että Oikeusrekisterikeskus vastaisi henkilötietojen luovuttamisesta momentissa tarkoitetuissa poikkeustapauksessa. Koska säännöksen tarkempi soveltamisala ei ilmene pykälästä tai lain esitöistä, tietojen luovuttamiskynnystä ehdotetaan lisäksi tarkennettavaksi siten, että tietojen olisi oltava välttämättömiä henkilön luotettavuuden selvittämistä ja arviointia varten muussa kuin 1 momentissa tarkoitetussa asiassa.

Rikosasioiden tietosuojalain 3 §:n 1 momentin 6 kohdan mukaan rekisterinpitäjällä tarkoitetaan toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty. Tämä vastaa tietosuoja-asetuksen 4 artiklan 7 kohdan määritelmää. Euroopan tietosuojaneuvoston ohjeiden mukaan ”määrittelyllä” viitataan rekisterinpitäjän päätöksentekovaltaan henkilötietojen käsittelyprosessissa. Käsittelyprosessissa on merkitystä muodollisen säännöksiin perustuvan toimivallan lisäksi myös sillä, kuka tosiasiallisesti käyttää rekisterinpitäjän toimivaltaa. (Euroopan tietosuojaneuvoston ohjeet 7/2020, s. 10) Myös EU:n tuomioistuin on tulkintakäytännössään kiinnittänyt huomiota toisaalta määräysvaltaan sekä toisaalta siihen, kuka tai ketkä tosiasiallisesti osallistuvat henkilötietojen käsittelyn tarkoituksen ja keinojen määrittelyyn (Google Spain ja Google, C-131/12, EU:C:2014:317, kohdat 32 ja 33, Jehovan todistajat, C-25/17, ECLI:EU:C:2018:551, kohdat 67, 68 ja 75). Oikeusministeriö ei tosiasiallisesti osallistu Oikeusrekisterikeskuksen henkilötietojen käsittelyyn eikä sen tarkoitusten ja keinojen määrittelyyn siten kuin rikosasioiden tietosuojalaissa ja tietosuoja-asetuksessa on tarkoitettu. Oikeusrekisterikeskuksen osalta niistä kuitenkin säädetään pitkälti laissa. Sinänsä laissa olisi mahdollista määrittää myös oikeusministeriö rekisterinpitäjäksi. Tätä ei ole kuitenkaan tehty, eikä se olisi tarkoituksenmukaista yksittäisen tiedonluovutustilanteen osalta.

8 Voimaantulo

Lakien ehdotetaan tulevan voimaan mahdollisimman pian kuitenkin siten, että luottotietolain 18 ja 28 § tulisivat voimaan kuutta kuukautta myöhemmin kuin muut mainitun lain säännökset. Myöhempi voimaantulo on tarpeen luottotietotoiminnan harjoittajille aiheutuvien tietojärjestelmämuutosten tekemistä varten sekä luotonantajille luotonmyöntöprosessiin ja järjestelmiin aiheutuvien muutosten toteuttamiseksi.

Esityksen 1. lakiehdotus sisältää myös 18 ja 28 §:n muutoksiin liittyvät siirtymäsäännökset. Luottotietotoiminnan harjoittajien olisi poistettava näiden muutosten voimaan tullessa rekisteristä maksuhäiriömerkinnät, joissa on suorituksen maksamistieto. Lisäksi luottotietotoiminnan harjoittajan olisi palautettava 18 §:n 3 momentin tai 28 §:n 2 momentin nojalla pidennetty säilytysaika ennalleen ja poistettava näiden momenttien nojalla poistamatta jätetty merkintä, jos alkuperäinen määräaika merkinnän poistamiselle on kulunut.

9 Toimeenpano ja seuranta

Luottotietolakiin tehtävien muutosten toimivuutta on seurattava kokonaisuutena erityisesti rekisteröidyn oikeuksien toteutumisen osalta. Lisäksi on tarpeen seurata vaikutuksia luottotietotoiminnan harjoittamiseen, luottotietojen käyttäjiin ja valvontaresursseihin. Rekisteröidyn oikeuksien toteutumisen seurannassa hyödynnetään tietosuojavaltuutetun asiamääriä koskevia tilastoja ja muita saatavilla olevia valvontaa koskevia tietoja. Maksuhäiriömerkintöjen säilytysaikojen muutosten vaikutuksia luonnollisten henkilöiden ja yritysten asemaan seurataan esimerkiksi luottotietotoiminnan harjoittajien maksuhäiriömerkintöjen määrää koskevien tilastojen ja muiden käytettävissä olevien lähteiden, kuten ylivelkaantumista koskevan uusimman tutkimustiedon avulla.

Ehdotettavien säilytysaikojen muutosten resurssivaikutuksia Ulosottolaitokseen olisi seurattava tarkoin jo lainmuutosten soveltamisen alkuvaiheessa. Seurannassa käytetään Ulosottolaitoksen peruuttamisilmoitusten ja ulosottotodistuspyyntöjen lukumääriä koskevia tilastotietoja.

10 Suhde muihin esityksiin
10.1 Esityksen riippuvuus muista esityksistä

Esityksellä ei ole yhteyttä muihin eduskunnalle jo annettuihin esityksiin.

11 Suhde perustuslakiin ja säätämisjärjestys

Henkilötietojen suoja ja kansallisen sääntelyliikkumavaran käyttö

Ehdotetut lainmuutokset ovat merkityksellisiä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta on säädettävä tarkemmin lailla. Perustuslakivaliokunta on pitänyt aiemmin henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (PeVL 25/1998 vp). Näiden seikkojen sääntelyn lain tasolla on tullut lisäksi olla kattavaa ja yksityiskohtaista.

Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus) 8 artiklan mukainen yksityiselämän suoja sekä Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Perusoikeuskirjan 52 artiklan 3 kohdan mukaan, siltä osin kuin perusoikeuskirjan oikeudet vastaavat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, niiden merkitys ja ulottuvuus ovat samat. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.

Tietosuoja-asetus on EU:n säädös, joka on kaikilta osiltaan velvoittava ja jota sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. esim. PeVL 1/2018 vp). Perustuslakivaliokunta on myös todennut, että sen valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Perustuslakivaliokunta on kuitenkin esittänyt huomioita unionin lainsäädännön ja kansallisen lainsäädännön suhteesta. Valiokunta on tulkintakäytännössään pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4).

Perustuslakivaliokunnan mukaan henkilötietojen suojan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa valtiosääntöisessä arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan. Valtiosääntöisiä kysymyksiä liittyy myös esimerkiksi kansallista sääntelyä edellyttäviin oikeusturvan ja hyvän hallinnon takeisiin (ks. PeVL 14/2018 vp, s. 7). Perustuslakivaliokunta painottaa edelleen, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden (ks. PeVL 14/2018 vp, s. 8). Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 54/2014 vp, s. 2/II, PeVL 10/2014 vp, s. 4/II).

Perustuslakivaliokunta on tietosuoja-asetusta täydentävää lainsäädäntöä koskevassa lausunnossaan pitänyt perusteltuna tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. (PeVL 14/2018 vp, s. 4) Perustuslakivaliokunta katsoo myös, että sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellainen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa. Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta. (PeVL 14/2018 vp, s. 5)

Luottotietolain muuttamista koskevassa lakiehdotuksessa on pyritty huomioimaan tietosuoja-asetuksen sallima kansallinen liikkumavara poistamalla tarpeetonta päällekkäistä sääntelyä tietosuoja-asetuksen ja sitä täydentävän tietosuojalain kanssa. Luottotietolain ja maksupalvelulain muuttamista koskevissa lakiehdotuksissa lähdetään siitä, että henkilötietojen suoja taattaisiin jatkossa ensisijaisesti suoraan tietosuoja-asetuksen ja sitä täydentävän tietosuojalain säännöksillä. Tämä koskee erityisesti rekisteröidyn oikeuksia ja valvontaa koskevia säännöksiä sekä muita sellaisia säännöksiä, jotka eivät mahdollista sääntelyliikkumavaran käyttöä tai joissa sääntelyliikkumavaraa on vain vähän. Ottaen huomioon tietosuoja-asetuksen ja tietosuojalain yksityiskohtaiset ja kattavat säännökset rekisteröidyn oikeuksista ja henkilötietojen käsittelyn valvonnasta, henkilöluottotietojen valvontaa koskevien erityissäännösten poistaminen ei heikentäisi rekisteröidyn luonnollisen henkilön oikeuksien suojaa. Toisaalta luottotietolaissa säädetään yksityiskohtaisesti maksuhäiriötiedoista, joilla voi olla kielteisiä vaikutuksia rekisteröidyn toimintamahdollisuuksiin. Luottotietolain mukaisella toiminnalla on siinä määrin luonnollisen henkilön luottokelpoisuuteen ulottuvia välittömiä vaikutuksia, että sääntelystä aiheutuu erityisiä riskejä luonnollisen henkilön oikeuksille ja vapauksille. Tästä syystä erityisesti maksuhäiriötietojen ja niihin liittyvien muiden henkilöluottotietojen rekisteröintiä ja luovuttamista koskevien yksityiskohtaisten ja kattavien säännösten säilyttäminen on perusteltua. Näissä säännöksissä käytetään tietosuoja-asetuksen sallimaa kansallista sääntelyliikkumavaraa. Maksupalvelulain säännökset, jotka koskevat niin sanottujen asiakashäiriötietojen käsittelyä, kuuluvat puolestaan sääntelykontekstiin, johon liittyy arkaluonteisten tietojen käsittelyä. Myös asiakashäiriömerkinnöillä voi olla välittömiä kielteisiä vaikutuksia maksupalveluntarjoajan asiakkaan toimintamahdollisuuksiin. Yksityiskohtaista ja kattavaa asiakashäiriörekisterisääntelyä voidaan siten pitää perusteltuna.

Luottotietolain säännöksiä ehdotetaan tarkennettavaksi erityisesti siltä osin kuin on kyse tietosuoja-asetuksen tarkoittamasta profiloinnista. Vaikka luottotietolain 16 §:ssä tarkoitettujen luottokelpoisuusarvioiden laadinnassa ei ole kyse sellaisesta automatisoidusta päätöksenteosta, johon liittyy erityinen päätös, sitä olisi esityksen mukaan pidettävä tietosuoja-asetuksen 22 artiklassa tarkoitettuna profilointina, jolla on merkittäviä vaikutuksia rekisteröityyn. Tällaisen profiloinnin osalta rekisteröidyn oikeuksia koskevien suojatoimien varmistaminen on oikeusturvan kannalta oleellista. Lisäksi luottotietolakiin ehdotetaan eräitä muita tarkistuksia, joiden tarkoituksena on huomioida nykyistä selkeämmin maksuhäiriötietojen vaikutukset rekisteröityyn. Maksupalvelulain säännöksiä ehdotetaan tarkennettavaksi siten, että ne olisivat voimassa olevia säännöksiä yksityiskohtaisempia ja tarkkarajaisempia. Tällä on merkitystä rekisteröidyn oikeuksien toteutumisen kannalta. Ehdotettujen tarkistusten myötä lakiehdotusten arvioidaan täyttävän perustuslain 10 §:stä seuraavat vaatimukset sen mukaisesti kuin perustuslakivaliokunta on tarkistanut tulkintaansa. Kansallisen liikkumavaran käytöstä tehdään tarkemmin selkoa edellä jaksossa 2 sekä lakiehdotusten säännöskohtaisissa perusteluissa.

Arkaluonteiset henkilötiedot

Perustuslakivaliokunnan mielestä arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. (PeVL 14/2018 vp ja PeVL 15/2018 vp). Vaikka EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (ks. myös PeVL 14/2018 vp), pitää perustuslakivaliokunta edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi (PeVL 15/2018 vp). Näillä tarkoitetaan laajempaa tietojoukkoa kuin vain tietosuoja-asetuksessa tarkoitetut erityiset henkilötietoryhmät (ks. tältä osin myös esim. PeVL 17/2018 vp.). Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 15/2018 vp, myös 13/2016 vp, PeVL 14/2009 vp).

Myös tietosuoja-asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Perustuslakivaliokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 15/2018 vp). Perustuslakivaliokunta on varhaiskasvatusta koskevien tietovarantojen osalta lausunnossaan PeVL 17/2018 vp edellyttänyt, että terveydentilatietojen ja muiden arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn on oltava tietosuoja-asetuksen mahdollistamisissa puitteissa yksityiskohtaista ja kattavaa.

Luottotietolain mukaan henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja saa käyttää tai muutoin käsitellä vain, jos oikeudesta tietojen käyttöön säädetään laissa tai määrätään lain nojalla tehdyssä päätöksessä. Lain esitöiden mukaan viittaussäännöksellä on tarkoitettu lähinnä asiakashäiriötietoja. Luotonantajat soveltavat näihin tietoihin luottolaitostoiminnasta annetun lain ja maksulaitoslain säännöksiä. Luottotietotoiminnan harjoittajilla puolestaan ei ole laissa säädettyä oikeutta käsitellä asiakashäiriötietoja. Luottotietolain soveltamisen kannalta ei ole tarpeen sisällyttää lakiin vastaavaa viittaussäännöstä tietosuoja-asetuksen 9 ja 10 artiklassa tarkoitettuihin tietoihin, joten viittaussäännös ehdotetaan poistettavaksi.

Luottotietolaissa tarkoitettujen maksuhäiriötietojen arkaluonteisuuteen ei ole otettu kantaa perustuslakivaliokunnan tulkintakäytännössä. Hallituksen esityksessä ehdotetut lainmuutokset perustuvat siihen, että maksuhäiriömerkinnät voisivat mahdollisesti vaikutuksiltaan rinnastua sellaisiin tietoihin, joita on pidetty valtiosääntöoikeudellisesti arkaluonteisina. Perustuslakivaliokunta on aiemmin katsonut esimerkiksi, että luonnollisen henkilön yksityiskohtaiset tilitiedot rinnastuvat yksityiselämän suojan ydinalueelle kuuluviin arkaluonteisiin tietoihin (PeVL 48/2018 vp, s. 4). Tässä yhteydessä perustuslakivaliokunta on kuitenkin kiinnittänyt huomiota siihen, että se on tarkistanut yksityiselämän suojan ydinalueen merkitystä koskevaa käytäntöään. Perustuslakivaliokunta on todennut muun muassa, että kategorinen erottelu suojan reuna- ja ydinalueeseen ei aina ole perusteltua, vaan huomiota on yleisemmin kiinnitettävä myös rajoitusten merkittävyyteen (PeVL 18/2014 vp, s. 6/II, ks. myös PeVL 36/2018 vp, s. 22). Perustuslakivaliokunta on katsonut myös EU-oikeuteen perustuvan yksityiselämän ja henkilötietojen suojan kannalta merkityksellisen kansallisen sääntelyn valmistelussa olevan syytä kiinnittää huomiota erityisesti EU-tuomioistuimen asioissa Digital Rights Ireland (C-293/12 ja C-594/12), Schrems (C-362/14) ja Tele2 Sverige ja Watson (C-698/15 ja C-203/15) antamiin ratkaisuihin (PeVL 36/2017 vp, s. 7, PeVL 35/2018 vp, s. 6, PeVL 13/2017 vp, s. 4—5, PeVL 9/2017 vp, s. 5). EU-tuomioistuin on Tele2 Sverige ja Watson -tapauksessa todennut, että liikenne- ja paikkatietojen kokonaisuus voi mahdollistaa hyvin tarkkojen päätelmien tekemisen niiden henkilöiden, joiden tietoja on säilytetty, yksityiselämästä, kuten elämäntavoista, vakituisista tai väliaikaisista oleskelupaikoista, päivittäisestä tai muusta liikkumisesta, tekemisestä sekä näiden henkilöiden sosiaalisista suhteista ja heidän sosiaalisesta ympäristöstään (kohta 99, ks. myös Digital Rights -tuomio, 27 kohta).

Toisaalta perustuslakivaliokunta on kiinnittänyt huomiota arkaluonteisten tietojen käsittelyn lisäksi myös eräisiin muihin valtiosääntöisesti erityisiin käsittelytilanteisiin, joiden osalta sääntelyä on edelleen arvioitava sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (PeVL 14/2018 vp, s. 6-7). Tällaisia tilanteita ovat esimerkiksi tilanteet, joihin liittyy julkisen vallan käyttöä tai jotka ovat muutoin perusoikeusherkkiä sääntelykonteksteja. Riippumatta siitä, olisiko maksuhäiriötietoja pidettävä arkaluonteisina tietoina, maksuhäiriötietojen käsittelyllä on merkittäviä vaikutuksia rekisteröidyn luottokelpoisuuteen. Luottokelpoisuusarvioilla ja maksuhäiriömerkinnöillä voi olla pitkällekin ulottuvia vaikutuksia rekisteröidyn yksityiselämän suojaan, huomioiden, että niitä hyödynnetään laajalti erilaisten yksityisoikeudellisten sopimusten tekemiseen sekä esimerkiksi turvallisuusselvitysten tekemiseen. Luottotietolain muuttamista koskevassa lakiehdotuksessa ehdotetaan pitäydyttäväksi pitkälti nykytilaa vastaavassa sääntelyn yksityiskohtaisuudessa ja kattavuudessa. Ottaen huomioon laajamittaisen maksuhäiriötietojen käsittelyn luonteen ja vaikutukset, yksityiskohtaista sääntelyä voidaan pitää välttämättömänä ja oikeasuhteisena. Lakiehdotuksella ehdotetaan poistettavaksi sellaisia yksityiskohtia koskevia säännöksiä, joita ei rekisteröidyn oikeuksien suojaamisen kannalta välttämättöminä ja joiden arvioidaan tulevan riittävästi katetuiksi tietosuoja-asetuksen ja tietosuojalain säännöksillä.

Maksupalvelulain 86 §:n 2-4 momentin sisältämät säännökset koskevat tietosuoja-asetuksen 10 artiklassa tarkoitettuja henkilötietoja, joita on myös pidetty vakiintuneesti arkaluonteisina. Voimassa olevat säännökset asiakashäiriötietojen käsittelystä eivät ole perustuslain tulkintakäytännön valossa riittävän yksityiskohtaisia ja tarkkarajaisia, ja myös tietosuoja-asetuksen 10 artikla edellyttää tällaisten tietojen osalta, että jäsenvaltion lainsäädännössä säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Maksupalvelulakiin ehdotetaan viittaussäännöstä, joka tarkoittaisi luottolaitostoiminnasta annetun lain 15 luvun 18 a §:n soveltamista myös maksupalvelun tarjoajiin silloin, kun nämä käsittelevät asiakashäiriötietoja maksupalvelulain nojalla. Luottolaitostoiminnasta annetun lain säännökset ovat huomattavasti yksityiskohtaisemmat ja tarkkarajaisemmat kuin maksupalvelulain voimassa olevat säännökset. Luottolaitostoiminnasta annetussa laissa on myös rajattu asiakashäiriötietojen käsittely siihen laajuuteen, mikä on välttämätöntä luottolaitosten ja rahoituslaitosten toimintaan välittömästi kohdistuvien asiakashäiriöiden, rikosten tai rikkomusten estämiseksi ja selvittämiseksi. Ehdotetun muutoksen myötä maksupalvelulain 86 §:n arvioidaan täyttävän arkaluonteisten henkilötietojen käsittelyä koskevalle sääntelylle perustuslain tulkintakäytännössä asetetut vaatimukset.

Säilytysajat

Maksuhäiriötietojen säilytysaikojen välttämättömyydellä ja oikeasuhteisuudella on merkitystä luottotietolain säännösten oikeasuhteisuuden arvioinnissa kokonaisuutena. EU:n tuomioistuin on tuoreessa oikeuskäytännössään katsonut muun muassa viranomaistarkoituksiin yleisesti ja erottamatta säilytettävien liikenne- ja paikkatietojen osalta, että yksityiselämän kunnioittamista koskevan perusoikeuden suoja edellyttää unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan, että poikkeukset henkilötietojen suojaan ja sitä koskevat rajoitukset toteutetaan täysin välttämättömän rajoissa. Yleisen edun mukaiseen tavoitteeseen ei myöskään voida pyrkiä ottamatta huomioon sitä, että se on sovitettava yhteen niiden perusoikeuksien kanssa, joita toimenpide koskee, saattamalla yleisen edun mukainen tavoite ja toisaalta kyseessä olevat oikeudet keskenään harmoniseen tasapainoon (tuomio 6.10.2020, yhdistetyt asiat C 511/18, C 512/18 ja C 520/18, kohdat 130-132). EU:n tuomioistuin on myös korostanut tarvetta varmistaa riittävät takeet, joiden avulla henkilötietoja voidaan tehokkaasti suojata väärinkäytön vaaroilta. Tällainen tarve on varsinkin silloin, kun henkilötietoja käsitellään automaattisesti, etenkin, kun on olemassa huomattava näiden tietojen lainvastaista saantia koskeva vaara. Edellä mainitussa tuomiossa kiinnitetään erityistä huomiota tarpeeseen suojata arkaluonteisia tietoja. Tuomiossa on otettu huomioon tietosuoja-asetuksen säännökset, joihin säilytysaikoja koskevat säännökset merkitsevät poikkeusta. (Ks. myös tuomio 8.4.2014, Digital Rights, C 293/12 ja C 594/12, EU:C:2014:238, 54 ja 55 kohta; tuomio 21.12.2016, Tele2, C 203/15 ja C 698/15, EU:C:2016:970, 117 kohta ja lausunto 1/15 (EU:n ja Kanadan välinen PNR-sopimus), 26.7.2017, EU:C:2017:592, 141 kohta).

Perustuslakivaliokunta on kiinnittänyt tulkintakäytännössään erityistä huomiota arkaluonteisten henkilötietojen säilytysaikoihin. Perustuslakivaliokunnan mukaan tietojen pysyvä säilyttäminen ei ole henkilötietojen suojan mukaista, ellei siihen ole tietojärjestelmän luonteeseen tai tarkoitukseen liittyviä perusteita (ks. esim. PeVL 51/2018 vp, PeVL 31/2017 vp). Valiokunta on pitänyt myös viiden vuoden säilytysaikaa arkaluonteisten tietojen osalta pitkänä (PeVL 3/2021 vp, s. 4, PeVL 51/2018 vp, s. 16, PeVL 13/2017 vp, s. 6) ja korostanut, että mitä pidemmäksi tietojen säilytysaika muodostuu, sitä olennaisempaa on huolehtia tietoturvasta, tietojen käytön valvonnasta ja rekisteröidyn oikeusturvasta (PeVL 28/2016 vp, s. 7).

Maksuhäiriötietojen käsittelyn tarkoitukset poikkeavat EU:n tuomioistuimen käsiteltävänä olleista asioista, joissa säilytysaikoihin on otettu kantaa. Maksuhäiriötietojen mahdolliseen arkaluonteisuuteen ei ole otettu toistaiseksi perustuslakivaliokunnassa kantaa. Myös maksuhäiriötietojen säilyttämistä koskevat kuitenkin yleiset perusoikeuksien rajoitusedellytykset ja tietosuoja-asetuksen vaatimukset sääntelyn oikeasuhteisuudesta. Niiden käsittelyyn myös liittyy erityisiä riskejä rekisteröidyn oikeuksien kannalta. Voimassa olevien luottotietolain 18 §:n säännösten nojalla maksuhäiriötietojen säilytysajat voivat muodostua hyvinkin pitkiksi, jolloin ne voivat rajoittaa rekisteröidyn mahdollisuuksia toimia yhteiskunnassa merkittävästi. Ottaen huomioon maksuhäiriötietojen luovutusten vaikutukset rekisteröidyn asemaan ja oikeuksiin, käsittelyn tarkoituksen kannalta tarpeellisista säilytysajoista olisi edelleen säädettävä laissa. Ehdotetuilla säilytysaikoja koskevien säännösten muutoksilla varmistettaisiin, että maksuhäiriötietoja ei käsitellä pidempään kuin on tarpeen. Samalla varmistettaisiin, että henkilötietojen ja yksityiselämän suojaan kohdistuvat rajoitukset ovat välttämättömiä tavoitteen saavuttamiseksi ja vastaavat tosiasiallisesti tarvetta suojata luottotietojen käyttäjien oikeuksia ja vapauksia.

Henkilötietojen luovuttaminen

Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. PeVL 15/2018 vp ja esim. PeVL 38/2016 vp). Perustuslakivaliokunta on arvioinut tietojen luovuttamista koskevaa sääntelyä erityisesti viranomaisten osalta ja on kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (esim. PeVL 19/2012 vp).

Esitykseen ei sisälly viranomaisten tietojen luovuttamista koskevaa sääntelyä, mutta luottotietolakiin sisältyy säännöksiä henkilötietojen luovuttamisesta viranomaisille. Kyseisillä säännöksillä ei ole mahdollistettu arkaluonteisten tietojen luovuttamista, minkä lisäksi lakiehdotuksessa on poistettu voimassa olevaan lakiin sisältyvä mahdollisuus arkaluonteisten henkilötietojen käsittelyyn. Henkilöluottotietojen luovuttamista koskevien säännösten osalta hallituksen esityksessä kiinnitetään kuitenkin huomiota siihen, että luovutettavat tiedot voivat sisältää muun muassa maksuhäiriötietoja, joiden luovuttamisella on yksityiselämän suojaa kaventavaa vaikutusta. Tiedonluovutuksia koskeviin säännöksiin ehdotetaan eräitä täsmentäviä muutoksia. Maksupalvelulain 86 §:n 2 momentissa on puolestaan kyse arkaluonteisten tietojen luovuttamisesta toiselle palveluntarjoajalle. Säännöksen arvioidaan täyttävän arkaluonteisten tietojen käsittelylle perustuslain tulkinnassa asetetut vaatimukset.

Luottotietolakiin sisältyy luottotietotoiminnan harjoittajalle annettu oikeus luovuttaa liiketoimintakieltoja koskevia tietoja, jotka luottotietotoiminnan harjoittaja saa Oikeusrekisterikeskuksen pitämästä rekisteristä. Kyseisen rekisterin sisältämät voimassa olevia liiketoimintakieltoja koskevat tiedot ovat julkisia ja kenellä tahansa on oikeus saada rekisteristä tieto voimassa olevasta liiketoimintakiellosta myös kopiona tai tulosteena. Teknisen käyttöyhteyden avulla tapahtuva tietojen luovuttaminen on kuitenkin rajattu tiettyihin käyttötarkoituksiin. Lisäksi päättyneitä liiketoimintakieltoja koskevat tiedot ovat salassa pidettäviä. Luottotietolain 23 §:ssä ei ole säädetty vastaavia rajauksia. Pykälää ehdotetaan muutettavaksi siten, että luottotietotoiminnan harjoittaja saisi luovuttaa tiedon voimassa olevasta liiketoimintakiellosta luottotiedon käyttäjälle, jos se on tarpeen johonkin lain 19 §:ssä säädettyyn tarkoitukseen. Tiedon luovuttaminen sidottaisiin siten voimassa oleviin liiketoimintakieltoihin. Päättynyttä liiketoimintakieltoa koskevaa tietoa, joka on liiketoimintakiellosta annetussa laissa säädetty salassa pidettäväksi, ei saisi luovuttaa edelleen. Koska voimassa olevaa liiketoimintakieltoa koskeva tieto on julkinen ja luovutettava tieto on yksilöity, tiedonluovutus voitaisiin sitoa tiedon tarpeellisuuteen. Näiden tarkistusten myötä pykälän arvioidaan täyttävän perustuslain 10 §:stä seuraavat vaatimukset.

Rikosrekisterilain 4 a § sisältää säännöksen, jonka voidaan poikkeustapauksessa antaa lupa rikosrekisterin tietojen luovuttamiseen henkilön luotettavuuden selvittämistä ja arviointia varten. Säännös on muotoiltu väljäksi eikä siinä täsmennetä tarkemmin tietojen vastaanottajaa ja luovutustilannetta. Pykälässä tarkoitetut tiedot ovat myös valtiosääntöoikeudellisesti arkaluonteisia tietoja. Säännöstä ehdotetaan tarkennettavaksi siten, että tietojen olisi oltava välttämättömiä siinä säädettyyn tarkoitukseen.

Ehdotettujen tarkennusten myötä maksupalvelulain, luottotietolain ja rikosrekisterilain säännösten arvioidaan täyttävän perustuslain 10 §:stä johtuvat vaatimukset.

Perustuslain 124 § ja yleistä etua koskevan tehtävän hoitaminen

Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle.

Julkisella hallintotehtävällä viitataan perustuslaissa verraten laajaan hallinnollisten tehtävien kokonaisuuteen, johon kuuluu esimerkiksi lakien toimeenpanoon sekä yksityisten henkilöiden ja yhteisöjen oikeuksia, velvollisuuksia ja etuja koskevaan päätöksentekoon liittyviä tehtäviä. Lainsäädäntö- tai tuomiovallan käyttöä sen sijaan ei voida pitää säännöksessä tarkoitettuna hallintotehtävänä. Perustuslain 124 §:n säännös kattaa sekä viranomaisille nykyisin kuuluvien tehtävien siirtämisen että hallintoon luettavien uusien tehtävien antamisen muille kuin viranomaisille (PeVL 26/2017 vp, s. 48, HE 1/1998 vp, s. 179/I).

Perustuslakivaliokunta on pitänyt esimerkiksi kokonaisuutena tarkastellen meripelastustoimea (PeVL 24/2001 vp, s. 4/I) ja operatiivisten jätehuoltotehtävien muodostamaa kokonaisuutta (PeVL 58/2010 vp, s. 4/II) julkisina hallintotehtävinä. Oikeusapu- ja edunvalvontatehtävissä on perustuslakivaliokunnan mielestä niiden järjestämistapa huomioiden kyse julkisen hallintotehtävän piirteitä omaavasta tehtäväkokonaisuudesta, vaikka niissä painottuvat myös yksityiseen etuun ja elinkeinotoimintaan liittyvät näkökohdat. Valiokunta on tällöin antanut merkitystä sille, että kyse on viranomaisen järjestämisvastuulla olevasta lakisääteisestä palvelutehtävästä, jonka toteuttamista voitiin valiokunnan mielestä luonnehtia myös tosiasialliseksi hallintotoiminnaksi (PeVL 16/2016 vp, s. 2). Myös viranomaista avustavia tehtäviä on pidetty julkisina hallintotehtävinä (ks. esim. PeVL 55/2010 vp, s. 2/I). Julkisesta hallintotehtävästä ei ole ollut kyse sellaisessa puolueettomassa, tekniseen asiantuntemukseen perustuvassa testauksessa ja sertifioinnissa, joka ei vaikuttanut viranomaisen toimivaltaan päättää laitteiden ja rakenteiden määräaikaistarkastuksissa käytettävistä menetelmistä ja henkilöistä (PeVL 4/2012 vp, s. 2/II), eikä varmennetoiminnassa, jonka luonne oli tosiasiassa etääntynyt julkiseen hallintotehtävään liitettävistä ominaispiirteistä (PeVL 16/2009 vp, s. 2—3).

Luottotietotoiminnalla on merkitystä sekä yhteiskunnallisen edun että luonnollisten henkilöiden oikeuksien ja etujen kannalta. Luottotietotoiminnan ensisijainen tarkoitus on taata luottotietojen saatavuus luotonantoa varten. Luottokelpoisuusarvioita muodostettaessa hyödynnetään kuitenkin verrattain laajalti viranomaisten rekistereistä peräisin olevia tietoja, mukaan lukien kaupparekisteri, ulosottorekisteri ja liiketoimintakieltorekisteri. Luottotietotoiminnan harjoittajille on laissa säädetty velvollisuus käyttää viranomaisten rekistereitä tietolähteinä. Luottotietoja myös luovutetaan viranomaisten tehtävien hoitamista varten, esimerkiksi turvallisuusselvitysten laatimiseen. Luottotietotoiminnan harjoittajat eivät kuitenkaan hoida sellaisia lakisääteisiä palvelutehtäviä, jotka ovat viranomaisen järjestämisvastuulla. Kyse on sen sijaan sellaisesta erityistä asiantuntemusta vaativasta tehtävästä, jota Suomessa hoitavat lain nojalla luottotietotoiminnan harjoittajien lisäksi eräät perintätoimen harjoittajat sekä luotonantajat.

Positiivisten tai negatiivisten luottotietojen käsittelyyn liittyvää tehtävää ei ole toistaiseksi Suomessa säädetty laissa viranomaisen tehtäväksi. Luottotietotoimintaan ei myöskään liity julkisen vallan käyttöä. Toisaalta hallitusohjelman mukaan Suomeen on tarkoitus perustaa niin sanottu positiivinen luottotietorekisteri. Tämä rekisterinpitotehtävä on suunniteltu annettavaksi viranomaiselle. Rekisteri sisältäisi eräiltä osin sellaisia tietoja, jotka luokitellaan luottotietolaissa maksuhäiriötiedoiksi. Luottotietotoiminnan harjoittajat voivat nykyisin käsitellä rekisteröidyn antamina tietoina myös positiivisia luottotietoja.

Luottotietolaissa tarkoitettu henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi, johon liittyy erityisiä sääntelytarpeita. Luottotietotoiminnan harjoittaminen on merkittävä erilaisia yhteiskunnan toimijoita palveleva tehtävä, ja luottotietotoiminnalla ja siinä noudatettavilla menettelytavoilla voi olla välitön vaikutus ihmisten ja yritysten toimintamahdollisuuksiin. Siten luottotietotoimintaan liittyy julkiselle tehtävälle ominaisia piirteitä. Luottotietojen käsittely on oleellinen osa rahoitusmarkkinoiden toimintaa ja maksuhäiriötietojen hyödyntämisellä pyritään hallitsemaan ja vähentämään luotonantoon kohdistuvia riskejä. On siten julkisen intressin mukaista varmistaa luottotietotoiminnan asianmukaisuus ja luotettavuus. Tämän varmistamiseksi merkitystä on erityisesti rekisteröidyn oikeuksia, oikeussuojakeinoja ja henkilötietojen käsittelyn valvontaa koskevilla yksityiskohtaisilla ja kattavilla tietosuoja-asetuksen ja tietosuojalain säännöksillä sekä luottotietotoiminnan harjoittajiin kohdistuvaa valvontaa koskevilla luottotietolain säännöksillä. Tietosuoja-asetuksen ja tietosuojalain säännösten soveltaminen tarkoittaa, että henkilöluottotietojen käsittelyssä tapahtuvaan tietosuoja-asetuksen vaatimusten rikkomiseen sovellettaisiin muun muassa hallinnollisia seuraamuksia koskevia säännöksiä.

Esityksessä ehdotetun mukaisesti tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta on mahdollinen henkilötietojen käsittelyn oikeusperuste myös yksityisille. Tämä henkilötietojen käsittelyn oikeusperuste kuitenkin edellyttää yleisen edun mukaisen tehtävän ja sitä koskevan oikeusperusteen täsmentämistä laissa, minkä lisäksi on syytä täsmentää, kuuluuko rekisterinpito viranomaisen tai muun julkisoikeudellisen oikeushenkilön tehtäväksi vai yksityisten elinkeinonharjoittajien tehtäväksi. Esityksen mukaisesti yleistä etua koskevan tehtävän hoitaminen olisi ensisijainen käsittelyn oikeusperuste vain itsenäistä luottotietotoimintaa harjoittavien yritysten osalta. Luotto- ja rahoituslaitokset käsittelevät luottotietoja muilla perusteilla. Myös muissa EU:n jäsenvaltioissa sovelletaan yleisimmin luottotietojen käsittelyyn suoraan tietosuoja-asetuksen säännöksiä siten, että henkilötietojen käsittelyn oikeusperuste on rekisteröidyn suostumus, sopimussuhde, rekisterinpitäjän lakisääteinen velvollisuus tai rekisterinpitäjän oikeutettu etu (6 artiklan 1 kohdan a, b, c tai f alakohta).

Automatisoitu päätöksenteko ja oikeusturva

Luottotietolaissa ei ole annettu julkista hallintotehtävää luottotietotoiminnan harjoittajien tehtäväksi, joten esitykseen sisältyvään niin sanottujen luottokelpoisuusarvioiden laatimista koskevaan pykälään ei sisälly sellaisia ongelmia, joihin perustuslakivaliokunta on kiinnittänyt erityisesti huomiota automatisoidun päätöksenteon osalta (PeVL 7/2019 vp ja PeVL 62/2018 vp). Luottotietolain 16 §:ssä on kuitenkin sallittu sellainen pelkästään automatisoituun käsittelyyn perustuva profilointi, jolla on tietosuoja-asetuksen 22 artiklassa tarkoitettuja merkittäviä vaikutuksia luonnolliseen henkilöön. Profiloinnin perusteella tuotetaan luottokelpoisuusarvio, jota voidaan luovuttaa ja käyttää lain 19 §:ssä säädettyihin tarkoituksiin.

Sääntelyssä olisi kiinnitettävä erityistä huomioita rekisteröityjen oikeusturvan varmistamiseen, ottaen huomioon, että luottotietolain 16 §:ssä mahdollistettu luonnollisen henkilön luottokelpoisuutta osoittavan arviointitiedon muodostaminen voisi johtaa esimerkiksi luotonantajan tekemään kielteiseen luottopäätökseen. Luottotietolain 16 §:n mukaisia luottokelpoisuusarvioita voidaan myös hyödyntää laajalti muihin tarkoituksiin, jolloin niiden oikeusvaikutukset voivat syntyä vasta myöhemmin toisen rekisterinpitäjän toiminnan yhteydessä. Rekisteröidyllä luonnollisella henkilöllä olisi oltava käytettävissään tehokkaat keinot sen varmistamiseksi, että mahdollinen virheellinen luottokelpoisuusarvio oikaistaan.

Luottotietolaissa säädetään rekisteröidyn luonnollisen henkilön ja yrityksen oikeudesta pyytää virheen oikaisua ja käyttää tätä koskevassa asiassaan joko suomea tai ruotsia, sekä saada asiakirjat tällä kielellä. Rekisterinpitäjän on myös oikaisusta kieltäytyessään annettava kirjallinen ratkaisu, josta ilmenevät sovelletut lainkohdat ja tosiseikat, sekä tieto oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi. Kielellisiä oikeuksia ja asiavirheen oikaisua koskevat säännökset ehdotetaan säilytettäväksi, koska ne eivät tulisi katetuiksi tietosuoja-asetuksen ja tietosuojalain säännöksillä. Luottotietotoimintaan ei sovelleta hallinnon yleislakeja. Perustuslakivaliokunta on esimerkiksi tosiasiallisen hallintotoiminnan osalta katsonut, että muun muassa oikeusturvan vaatimusten turvaamisesta voidaan huolehtia myös sääntelyn yleisen tarkkuuden ja muun asianmukaisuuden avulla (PeVL 26/2017 vp, s. 50, PeVL 24/2001 vp, s. 4/II). Toisaalta 16 §:n mukaisten luottokelpoisuusarvioiden asianmukaisuuden varmistamisen kannalta merkitystä on sillä, että tietosuoja-asetuksen perusteella luonnollisella henkilöllä olisi käytettävissään tietosuoja-asetuksen ja tietosuojalain mukaiset oikeussuojakeinot suhteessa rekisterinpitäjään, mukaan lukien mahdollisuus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja oikeus hakea muutosta tietosuojavaltuutetun ratkaisuun hallinto-oikeudessa. Nämä oikeudet koskevat myös luottokelpoisuusarvioiden laadintaan sisältyvää henkilötietojen käsittelyä. Toisaalta luottotietotoimintaan kohdistuu myös luottotietolaissa säädettyä elinkeinotoimintaan kohdistuvaa valvontaa, joka kattaa toiminnan siltä osin kuin kyse ei ole pelkästään henkilötietojen käsittelystä. Luottotietolain säännöksiä ehdotetaan muutettavaksi siten, että päällekkäiset säännökset tietosuoja-asetuksen kanssa poistettaisiin, varmistaen kuitenkin, että luonnollisen henkilön oikeusturva säilyy kaikilta osin ennallaan. Tietosuoja-asetuksesta seuraavat oikeudet ovat kumotun henkilötietolain ja luottotietolain säännöksiä yksityiskohtaisemmat ja henkilöluottotietojen käsittelyyn kohdistuu tietosuoja-asetuksen ja tietosuojalain säännösten perusteella aiempaa tehokkaampia valvontakeinoja.

Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohta kuitenkin edellyttää, että rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa automatisoitu päätöksenteko on hyväksytty, vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen 22 artiklassa tarkoitettua automatisoitua päätöksentekoa on myös sellainen profilointi, jolla on rekisteröityä koskevia oikeusvaikutuksia tai joka vaikuttaa rekisteröityyn merkittävästi. Luottotietolain 16 §, joka koskee luonnollisen henkilön profilointiin perustuvia luottokelpoisuusarvioita, on yleisluontoinen eikä laissa säädetä erityisistä suojatoimenpiteistä. Lain esitöiden valossa kyse on kuitenkin pelkästään automatisoidusti tuotetuista profiileista. Sääntelyä ehdotetaan tältä osin oleellisesti täsmennettäväksi sen huomioimiseksi, että 16 §:n mukaisella luottokelpoisuusarvion laatimisella voi olla merkittäviä kielteisiä vaikutuksia rekisteröidyn toimintamahdollisuuksiin yhteiskunnassa. Luottotietolaissa säädettäisiin suojatoimenpiteistä, joita olisi noudatettava 16 §:ssä tarkoitetuissa tilanteissa. Lisäksi pykälästä ilmenisi nimenomaisesti, että kyse voi olla automatisoidusti tuotetuista luottokelpoisuusarvioista. Ehdotetuilla säännöksillä käytettäisiin tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaista sääntelyliikkumavaraa luonnollisen henkilön oikeuksien ja vapauksien vahvistamiseksi ja henkilötietojen käsittelyyn liittyvien riskien vähentämiseksi. Näiden täsmennysten myötä luottotietolain 16 §:n arvioidaan täyttävän perustuslain 10 §:stä johtuvat vaatimukset.

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.

Hallitus pitää kuitenkin suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.

Ponsi

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

1.

Laki luottotietolain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan luottotietolain (527/2007) 3 §:n 4 kohta, 20 §:n 3 momentti, 21 §:n 3 kohta ja 29 §, sellaisena kuin niistä on 29 § laissa 751/2010,

muutetaan 1, 2 ja 5 §, 6 §:n 1 ja 2 momentti, 7 ja 10–12 §, 13 §:n 1 momentin 1–3, 6 ja 8 kohta sekä 2 ja 3 momentti, 14 §:n 1 momentin johdantokappale ja 1 kohta sekä 2 momentti, 16 §, 17 §:n 1 momentin johdantokappale sekä 1, 2 ja 4 kohta, 18 §, 19 §:n 1 momentti, 2 momentin johdantokappale ja 2, 7 ja 10 kohta sekä 3 momentti, 20 §:n 1 momentin johdantokappale, 21 §:n johdantokappale, 22 ja 23 §, 24 §:n 1 momentin 1, 2, 4 ja 6 kohta sekä 3 ja 4 momentti, 26 §, 27 §:n 1 momentti, 28 §, 7 luvun otsikko, 30–33 §, 34 §:n 1 momentti, 35 §:n 1 kohta, 37 §, 39 §:n 1 momentti, 40 §:n 1 ja 2 momentti sekä 42 ja 43 §,

sellaisina kuin niistä ovat 13 §:n 1 momentin 3 kohta ja 24 §:n 1 momentin 2 kohta laissa 933/2009, 18 ja 28 § osaksi laissa 933/2009, 19 §:n 2 momentin 7 kohta laissa 459/2017 ja 30 § osaksi laissa 459/2017, sekä

lisätään 13 §:ään, sellaisena kuin se on osaksi laissa 933/2009, uusi 4 ja 5 momentti, 19 §:ään, sellaisena kuin se on osaksi laissa 459/2017, uusi 4–6 momentti, lakiin uusi 30 a ja 31 a §, 34 §:ään uusi 3 momentti ja 35 §:ään uusi 2 momentti seuraavasti:

1 §
Lain soveltamisala

Tätä lakia sovelletaan luottotietotoiminnan harjoittajien suorittamaan luottotietojen keräämiseen, tuottamiseen, tallettamiseen, luovuttamiseen, käyttöön ja muuhun käsittelyyn. Tämän lain 2 luvun ja 19 §:n 5 ja 6 momentin säännöksiä sovelletaan luottotietotoiminnan harjoittajien lisäksi luottotietojen käyttäjiin ja luottotietoja muutoin käsitteleviin.

2 §
Lain tarkoitus

Tämän lain tarkoituksena on varmistaa luotettavien luottotietojen saatavuus, turvata luottotietojen käsittelyssä yksityiselämän ja henkilötietojen suoja sekä luonnollisten henkilöiden ja yritysten oikeus tulla arvioiduiksi oikeiden ja asianmukaisten tietojen perusteella sekä edistää hyvää luottotietotapaa.

5 §
Hyvä luottotietotapa

Luottotietotoiminnan harjoittajan, luottotiedon käyttäjän ja luottotietoja muutoin käsittelevän on noudatettava toiminnassaan huolellisuutta. Luottotietotoiminnan harjoittajan ja muun luottotietoja käyttävän tai muutoin käsittelevän elinkeinotoiminnan harjoittajan on erityisesti pidettävä huolta siitä, että:

1) luottotietojen laadusta, luonnollisten henkilöiden ja yritysten tiedonsaantioikeuksien toteutumisesta sekä tietojärjestelmien tietoturvallisuudesta ja käsittelyn valvonnasta huolehditaan asianmukaisesti;

2) luonnollisten henkilöiden yksityiselämän suojaa ei rajoiteta ilman laissa säädettyä perustetta;

3) luonnollisten henkilöiden ja yritysten oikeutta tulla arvioiduiksi oikeiden ja asianmukaisten tietojen perusteella ei vaaranneta.

6 §
Luottotietojen laatu ja tietolähteet

Luottotietoina saa käyttää ja muutoin käsitellä vain sellaisia tietoja, jotka on saatu luotettavista lähteistä ja jotka ovat tarpeellisia ja asianmukaisia kuvaamaan luonnollisen henkilön tai yrityksen maksukykyä tai maksuhalukkuutta taikka kykyä vastata sitoumuksistaan.

Luottotietoina käytettävät henkilötiedot on hankittava luonnolliselta henkilöltä tai yritykseltä itseltään, luottotietorekisteristä tai niistä viranomaisten rekistereistä, joihin kyseisiä tietoja talletetaan yleistä käyttöä varten, jollei oikeudesta tietojen käyttöön säädetä laissa.


7 §
Tietoturvallisuus

Yritysluottotietojen käsittelyssä on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet tietojen suojaamiseksi asiattomalta pääsyltä niihin sekä vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset sekä käsiteltävien tietojen laatu, määrä ja säilytysaika.

Henkilöluottotietojen käsittelyn turvallisuuteen sovelletaan, mitä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, 25 ja 32 artiklassa säädetään.

10 §
Palveluja koskevat velvoitteet

Luottotietotoiminnan harjoittaja ei saa kieltäytyä antamasta yleiseen käyttöön perustetusta luottotietorekisteristä luottotietoja sille, jonka on lain mukaan käytettävä luottotietoja luonnollista henkilöä tai yritystä koskevaa päätöstä tehdessään.

Luottotietotoiminnan harjoittajan on yksittäistapauksessa kohtuullista korvausta vastaan annettava luottotietoja niitä pyytävälle. Henkilöluottotietoja pyytävän on esitettävä luovutuksen lainmukaisuuden toteamiseksi tarvittava selvitys.

Luonnollisella henkilöllä on oikeus saada kohtuullista korvausta vastaan luottotietorekisteriin hänestä talletetuista henkilöluottotiedoista ote 19 §:ssä säädettyjä tarkoituksia varten.

11 §
Luonnollisten henkilöiden ja yritysten yhdenvertainen kohtelu

Luottotietotoiminnan harjoittajan on pidettävä huolta siitä, että luottotietorekisteriin merkittävien ja siihen merkittyjen luottotietojen käsittelyssä ja muutoin luottotietotoimintaa harjoitettaessa luonnollisia henkilöitä ja yrityksiä kohdellaan yhdenvertaisesti.

12 §
Yksilöintitiedot ja toimintakelpoisuutta koskevat tiedot

Luottotietorekisteriin saa luonnollisesta henkilöstä tallettaa välttämättömät yksilöintitiedot sekä:

1) toimintakelpoisuutta koskevina tietoina ne tiedot, jotka jokaisella on oikeus saada holhousasioiden rekisteristä Digi- ja väestötietoviraston eräistä henkilörekistereistä annetun lain (1156/2019) 10 §:n 2 momentin mukaisesti;

2) tiedon hänen itsensä ilmoittamasta luottokiellosta.

Luonnollisesta henkilöstä saa lisäksi tallettaa yrityskytkentätietoina tiedot siitä, missä yrityksissä hän toimii tai on toiminut vastuuhenkilönä.

Edellä 1 momentissa tarkoitettuja tietoja talletettaessa tai muutoin käsiteltäessä luottotietotoiminnan harjoittajan on huolehdittava siitä, että tieto käsittelystä kirjautuu tietojärjestelmään.

13 §
Maksuhäiriötiedot ja niitä täydentävät tiedot

Luottotietorekisteriin saa henkilöluottotietoina tallettaa:

1)konkurssia koskevina tietoina ne tiedot, jotka velallisesta on talletettu konkurssi- ja yrityssaneerausrekisteristä annetussa laissa (137/2004) tarkoitettuun konkurssi- ja yrityssaneerausrekisteriin;

2) velkajärjestelytietoina ne tiedot, jotka velallisesta on talletettu velkajärjestelyrekisteristä annetussa laissa (368/2017) tarkoitettuun velkajärjestelyrekisteriin;

3) viranomaisen toteamina maksuhäiriötietoina tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla, edellyttäen ettei maksuvaatimusta ollut riitautettu perusteeltaan tai määrältään, yksipuolisella tuomiolla tai ulosottokaaren (705/2007) 2 luvun 26 §:ssä tarkoitetulla ulosottoperusteen määräajan jatkamisesta annetulla tuomiolla taikka velallisen hyväksymän vekselin protestilla;


6) velallisen tunnustamana maksuhäiriötietona tiedon useamman velkojan kanssa tehdyn tai muutoin laaja-alaisen maksujärjestelyjä koskevan sopimuksen yhteydessä annetusta kirjallisesta ilmoituksesta, jolla velallinen tunnustaa lyöneensä maksun laimin;


8) suorituksen maksamistietoina tiedot sellaisen maksuvelvoitteen suorittamisesta, jonka laiminlyönnin johdosta 1–5 kohdassa tarkoitettu maksuhäiriömerkintä on tehty, kun tieto on toimitettu laissa säädetyn velvoitteen mukaisesti luottotietotoiminnan harjoittajalle tai kun velallinen on pyytänyt tällaisen merkinnän tekemistä ja esittänyt luotettavan selvityksen maksun suorittamisesta taikka kun luottotietotoiminnan harjoittajalla muutoin on maksusta tieto;


Luottotietorekisteriin on lisäksi velallisen pyynnöstä ja tämän antaman luotettavan selvityksen perusteella merkittävä tieto siitä, että maksuhäiriö on syntynyt takausvastuun tai vierasvelkapanttauksen johdosta, samoin kuin velallisen luottotietotoiminnan harjoittajalle toimittama pesänhoitajan velallisselvitykseen sisältyvä tieto konkurssin pääasiallisista syistä. Rekisteriin voidaan merkitä muukin velallisen antama tieto maksuhäiriömerkintään johtaneista tekijöistä ja maksuhäiriön alkuperäisestä ajankohdasta.

Luottotietotoiminnan harjoittajan on, jos se yleisesti saatavilla olevien tai luottotietotoiminnan harjoittajalle toimitettujen tietojen perusteella on mahdollista, merkittävä luottotietorekisteriin, mitkä merkinnät aiheutuvat saman saatavan laiminlyönnistä. Merkintä on kuitenkin aina tehtävä velallisen pyynnöstä tämän antaman luotettavan selvityksen perusteella.

Edellä 1 momentissa tarkoitettuja tietoja talletettaessa tai muutoin käsiteltäessä luottotietotoiminnan harjoittajan on huolehdittava siitä, että tieto käsittelystä kirjautuu tietojärjestelmään.

Luonnolliselle henkilölle, jota koskeva 1 momentissa tarkoitettu tieto on ensimmäistä kertaa merkitty luottotietorekisteriin, on annettava tieto saatavan suorittamisen vaikutuksesta tiedon säilytysaikaan.

14 §
Velkojan ilmoittamia maksuhäiriöitä koskevat erityissäännökset

Velkojan ilmoittamat maksuhäiriötiedot saadaan ilmoittaa luottotietotoiminnan harjoittajalle ja tallettaa luottotietorekisteriin, jos maksu on viivästynyt vähintään 60 päivää alkuperäisestä eräpäivästä, jolleivät velallinen ja velkoja ole tehneet alkuperäisen eräpäivän jälkeen uutta maksusopimusta. Maksuhäiriötietojen ilmoittamisen ja tallettamisen edellytyksenä on lisäksi, että:

1) kulutusluottosopimuksessa, jonka velvoitteiden laiminlyöntiä maksuhäiriö koskee, on ollut maininta maksuhäiriötietojen luovuttamisesta luottotietotoiminnan harjoittajalle;


Velkojan on ilmoitettava luottotietotoiminnan harjoittajalle sellaisen saatavan suorittamisesta, jonka laiminlyönnistä velkoja on tehnyt ilmoituksen luottotietotoiminnan harjoittajalle.

16 §
Luottokelpoisuusarviointi

Luottotietotoiminnan harjoittaja saa käyttää luottotietorekisteriin talletettavaa tai sen avulla saatavaa luonnollisen henkilön luottokelpoisuusluokkaa tai muuta luottokelpoisuutta osoittavaa arviointitietoa muodostettaessa vain 12 §:n 1 momentin 1 ja 2 kohdassa ja 2 momentissa sekä 13 §:ssä tarkoitettuja tietoja.

Jos luonnollisen henkilön luottokelpoisuusluokan muodostaminen perustuu pelkästään automaattiseen tietojenkäsittelyyn, hänellä on oikeus esittää kantansa luottokelpoisuusluokasta ja vaatia luottokelpoisuusluokan uudelleen arviointia luottotietotoiminnan harjoittajan toimesta.

Elinkeinotoimintaa harjoittavaa luonnollista henkilöä koskevan luottokelpoisuuden arviointitiedon muodostamisessa noudatetaan, mitä 27 §:ssä säädetään.

17 §
Yksilöintitietojen ja toimintakelpoisuutta koskevien tietojen säilyttämisajat

Luonnollisen henkilön yksilöintitiedot ja toimintakelpoisuutta koskevat tiedot on poistettava luottotietorekisteristä seuraavasti:

1) yksilöintitiedot heti, kun häntä koskevat muut merkinnät on poistettava rekisteristä;

2) yrityskytkentätiedot vuoden kuluessa siitä, kun häntä koskeva merkintä toimimisesta kyseisen yrityksen vastuuhenkilönä on poistettu viranomaisen julkisesta rekisteristä;


4) luonnollisen henkilön ilmoittama luottokielto heti, kun hän sitä pyytää.


18 §
Maksuhäiriömerkintöjen ja luokitustietojen säilyttämisajat

Luottotietorekisteriin merkityt maksuhäiriötiedot on poistettava luottotietorekisteristä seuraavasti:

1) konkurssia koskevat tiedot kuukauden kuluessa siitä, kun tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä; tiedot poistetaan kuitenkin viimeistään viiden vuoden kuluttua konkurssin alkamisesta;

2) velkajärjestelytiedot ja kuulutustiedot kuukauden kuluessa siitä, kun niitä vastaavat merkinnät on poistettu siitä viranomaisen rekisteristä, josta tiedot ovat peräisin; velkajärjestelytiedot, joita koskeva maksuohjelma on määrätty raukeamaan velallisen hakemuksesta, poistetaan kuitenkin kolmen kuukauden kuluessa siitä, kun velallinen osoittaa, että maksuohjelma on rauennut;

3) ulosottotieto heti, kun ulosottomies on tehnyt peruuttamisilmoituksen, joka koskee pitkäkestoista tai aiheetonta ulosottoa;

4) muu ulosottotieto heti, kun luottotietotoiminnan harjoittaja on saanut tiedon siitä, että ulosottoperuste on kumottu, velallinen on maksanut suppeassa ulosotossa perittävänä olleen velan, saatavaa koskevan ulosottoperusteen määräaika on kulunut umpeen, ulosotto päättyy sen vuoksi, että velka on vanhentunut lopullisesti velan vanhentumisesta annetun lain (728/2003) 13 a §:n nojalla, tai tuomio, jolla ulosottoperusteen määräaikaa on jatkettu, on kumottu;

5) velkojan ilmoittamaa maksuhäiriötä ja velallisen tunnustamaa maksuhäiriötä koskevat tiedot kahden vuoden kuluessa siitä, kun tieto on talletettu rekisteriin;

6) viranomaisen toteamat maksuhäiriötiedot ja ulosottotiedot viimeistään kolmen vuoden kuluttua siitä, kun tieto on talletettu rekisteriin, jollei tietoa ole sitä ennen poistettava 3 tai 4 kohdan nojalla.

Jos luottotietotoiminnan harjoittajalle on tullut tieto sen saatavan suorittamisesta, jonka laiminlyönnistä 1 momentin 5 kohdassa tarkoitettu velkojan ilmoitukseen perustuva merkintä tai 6 kohdassa tarkoitettu merkintä on syntynyt, maksuhäiriötieto poistetaan yhden kuukauden kuluessa saatavan suorittamista koskevan tiedon vastaanottamisesta.

Luottokelpoisuuden arviointitieto on poistettava, kun henkilöä koskevat muut merkinnät on poistettu rekisteristä.

19 §
Henkilöluottotietojen luovuttamisen ja käyttämisen yleiset edellytykset

Edellä 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuja tietoja saa luovuttaa käytettäviksi vain luoton myöntämistä ja luoton valvontaa varten.

Sen estämättä, mitä 1 momentissa säädetään, 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuja tietoja saa luovuttaa käytettäviksi:


2) viranomaisen yritystoimintaa varten antaman tuen myöntämistä varten, jos henkilö toimii tukea hakeneen yrityksen vastuuhenkilönä;


7) luotto- ja vakuutuslaitokselle henkilön velvoitteiden hoitokyvystä tämän pyynnöstä annettavan todistuksen tai suosituksen laadintaa varten sekä rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa (444/2017) tarkoitetuille ilmoitusvelvollisille asiakkaan tuntemistoimia koskevien velvoitteiden toteuttamiseksi;


10) tieteellistä tutkimusta, tilastointia ja viranomaisen suunnittelu- ja selvitystehtävää varten ottaen huomioon, mitä tietosuoja-asetuksessa ja tietosuojalaissa (1050/2018) säädetään.

Yrityksen vastuuhenkilöitä koskevien henkilöluottotietojen käsittelystä yrityksen luottokelpoisuuden arvioimiseksi säädetään 26 ja 27 §:ssä.

Luonnollisella henkilöllä on oikeus saada tieto siitä, kenelle häntä koskeva 12 §:n 1 momentissa tai 13 §:ssä tarkoitettu tieto on viimeisen vuoden aikana luovutettu.

Sen, joka hankkii luottotietorekisteristä henkilöluottotietoja käytettäviksi luottoa myönnettäessä tai 2 momentin 4–6 kohdassa säädettyyn tarkoitukseen, on huolehdittava siitä, että luonnollinen henkilö voi saada ennakolta tiedon henkilöluottotietojensa käytöstä ja siitä, mistä luottotietorekisteristä tiedot hankitaan.

Luottotietorekisteristä henkilöluottotietoja hankkineen, joka hylkää luottohakemuksen 12 §:n 1 momentissa tai 13 §:ssä tarkoitettujen tietojen perusteella, on välittömästi päätöksen jälkeen ilmoitettava luonnolliselle henkilölle tällaisesta luottotiedon käytöstä ja siitä, mistä luottotietorekisteristä tiedot ovat peräisin.

20 §
Henkilöluottotietojen luovuttaminen sähköisesti

Edellä 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuja tietoja saa luovuttaa teknisen käyttöyhteyden avulla 19 §:ssä tarkoitettuihin tarkoituksiin edellyttäen, että:


21 §
Yrityksen perustiedot

Jollei yritys tai sen edustaja tai vastuuhenkilö ole antanut muuhun suostumustaan, yrityksen perustietoina saa luottotietorekisteriin tallettaa:


22 §
Viranomaisen rekisteristä poikkeavan merkinnän tekeminen

Luottotietotoiminnan harjoittaja voi tehdä rekisteriin yrityksen vastuuhenkilöä kuvaavan merkinnän, joka poikkeaa viranomaisen julkiseen rekisteriin tehdystä merkinnästä, jos viranomaisen rekisterissä oleva merkintä ei sen tallettamisajankohdan tai muun sellaisen syyn vuoksi anna oikeaa kuvaa yrityksen toiminnasta ja siitä tai sen maksuhäiriöistä vastuussa olevista tai yrityksessä tosiasiallista määräysvaltaa käyttävistä tai käyttäneistä henkilöistä. Luottotietotoiminnan harjoittajan on ennen merkinnän tekemistä tai tiedon käyttämistä yrityksen luottokelpoisuuden arvioinnissa annettava yritykselle tilaisuus pyytää viranomaista täydentämään tai oikaisemaan sen rekisterissä oleva tieto, jollei tämä ole ilmeisen tarpeetonta.

Luottotietotoiminnan harjoittajan 1 momentin mukaisesti tekemästä merkinnästä tulee käydä ilmi, että se on tehty tämän lain nojalla.

Mitä tässä laissa säädetään yrityksen vastuuhenkilöä koskevista tiedoista, sovelletaan myös 1 momentissa tarkoitettuihin luottotietotoiminnan harjoittajan tekemiin merkintöihin.

23 §
Tiedot liiketoimintakiellosta

Luottotietorekisteriin saa tallettaa tiedot henkilöstä, joka on määrätty liiketoimintakiellosta annetussa laissa (1059/1985) tarkoitettuun liiketoimintakieltoon, samoin kuin tiedon liiketoimintakiellon kestosta. Luottotietotoiminnan harjoittaja saa luovuttaa tiedon voimassa olevasta liiketoimintakiellosta luottotiedon käyttäjälle, jos se on tarpeen 19 §:ssä säädettyyn tarkoitukseen. Tiedon saa luovuttaa teknisen käyttöyhteyden avulla tai muutoin sähköisesti. Tietoa ei kuitenkaan saa julkaista yleisessä tietoverkossa.

24 §
Yrityksen maksuhäiriöitä koskevat ja niitä täydentävät tiedot

Yrityksen maksuhäiriötietoina saa luottotietorekisteriin tallettaa:

1) konkurssi- ja yrityssaneerausrekisteristä annetussa laissa tarkoitettuun konkurssi- ja yrityssaneerausrekisteriin merkityt tiedot velallisesta ja asian käsittelystä;

2) tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla tai yksipuolisella tuomiolla taikka velallisen hyväksymän vekselin protestilla;


4) julkisesta haasteesta annetun lain 10 §:ssä tarkoitettuun kuulutusrekisteriin merkityt tiedot velallisesta;


6) tiedon velallisen velkojalle antamasta kirjallisesta ilmoituksesta, jolla hän tunnustaa lyöneensä maksun laimin;


Luottotietorekisteriin on lisäksi velallisen pyynnöstä ja tämän antaman luotettavan selvityksen perusteella merkittävä tieto siitä, että maksuhäiriö on syntynyt takausvastuun tai vierasvelkapanttauksen johdosta, sekä velallisen luottotietotoiminnan harjoittajalle toimittama pesänhoitajan velallisselvitykseen sisältyvä tieto konkurssin pääasiallisista syistä. Rekisteriin voidaan merkitä muukin velallisen antama tieto maksuhäiriömerkintään johtaneista tekijöistä ja maksuhäiriön alkuperäisestä ajankohdasta.

Luottotietotoiminnan harjoittajan on, jos se yleisesti saatavilla olevien tai luottotietotoiminnan harjoittajalle toimitettujen tietojen perusteella on mahdollista, merkittävä luottotietorekisteriin, mitkä merkinnät aiheutuvat saman saatavan laiminlyönnistä. Merkintä on kuitenkin aina tehtävä velallisen pyynnöstä tämän antaman luotettavan selvityksen perusteella.

26 §
Yritysten vastuuhenkilöitä koskevien henkilöluottotietojen käsittely

Luottotietotoiminnan harjoittaja saa yhdistää yrityksen vastuuhenkilöitä koskevat henkilöluottotiedot yritysluottotietorekisteriin. Vastuuhenkilöitä koskevia maksuhäiriötietoja saa luovuttaa teknisen käyttöyhteyden avulla tai muutoin sähköisesti 19 §:ssä säädettyjen edellytysten täyttyessä.

27 §
Yrityksen luottokelpoisuusarvioinnissa käytettävät tiedot

Luottotietorekisteriin talletettavaa tai sen avulla saatavaa yrityksen luottokelpoisuusluokkaa tai muuta luottokelpoisuutta osoittavaa arviointitietoa muodostettaessa saa yrityksestä käyttää yrityksen perustietojen sekä 21–25 §:ssä tarkoitettujen tietojen lisäksi vain yrityksen itse luottotietotoiminnan harjoittajalle toimittamia tietoja.


28 §
Rekisterimerkintöjen säilyttämisajat

Yritysluottotietorekisteristä on poistettava tiedot seuraavasti:

1) konkurssia koskevat tiedot kuukauden kuluessa siitä, kun tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä; tiedot poistetaan kuitenkin viimeistään viiden vuoden kuluttua konkurssin alkamisesta;

2) yrityssaneerausta ja kuulutuksia koskevat tiedot kuukauden kuluessa siitä, kun niitä vastaavat merkinnät on poistettu siitä viranomaisen rekisteristä, josta tiedot ovat peräisin;

3) ulosottotieto heti, kun ulosottomies on tehnyt peruuttamisilmoituksen, joka koskee pitkäkestoista tai aiheetonta ulosottoa;

4) muu ulosottotieto heti, kun luottotietotoiminnan harjoittaja on saanut tiedon siitä, että ulosottoperuste on kumottu tai velallinen on maksanut velan, jota perittiin suppeassa ulosotossa;

5) tieto velallisen tunnustamasta maksuhäiriöstä kahden vuoden kuluessa merkinnän tekemisestä;

6) maksutapaa ja luottokelpoisuusluokitusta koskeva merkintä kuuden kuukauden kuluessa sen tekemisestä, jollei sitä korvata mainittuna aikana uudella merkinnällä;

7) 24 §:n 1 momentin 2, 3, 5 ja 7 kohdassa tarkoitetut maksuhäiriötiedot viimeistään kolmen vuoden kuluttua siitä, kun tieto on talletettu rekisteriin, jollei tietoa ole sitä ennen poistettava tämän momentin 3 tai 4 kohdan nojalla;

8) liiketoimintakieltoa koskevat merkinnät, kun liiketoimintakielto päättyy.

Jos luottotietotoiminnan harjoittajalle on tullut tieto sellaisen saatavan suorittamisesta, jonka laiminlyönnistä 24 §:n 1 momentin 2, 3, 5 tai 7 kohdassa tarkoitettu merkintä on syntynyt, maksuhäiriötieto poistetaan yhden kuukauden kuluessa saatavan suorittamista koskevan tiedon saamisesta.

7 luku

Oikeus saada tietoja ja virheen oikaisu

30 §
Yrityksen oikeus saada tietoja

Yrityksellä ja sen edustajalla ja vastuuhenkilöllä on oikeus saada tietää, mitä tietoja yrityksestä ja sen vastuuhenkilöistä on talletettu luottotietorekisteriin ja mistä rekisteriin talletetut tiedot ovat peräisin. Yrityksellä ja sen edustajalla ja vastuuhenkilöllä ei kuitenkaan ole oikeutta saada tietoa niistä yrityksistä, joiden antamia tietoja luottotietotoiminnan harjoittaja käyttää maksutapaa koskevan tiedon muodostamisessa.

Tietosuoja-asetuksessa tarkoitetun rekisteröidyn oikeudesta saada tietoja säädetään tietosuoja-asetuksessa.

30 a §
Rajoitus rekisteröidyn oikeudesta saada tietoja

Tietosuoja-asetuksessa tarkoitetulla rekisteröidyllä ei ole oikeutta saada tietoa siitä, jolle häntä koskeva henkilöluottotieto on luovutettu, jos tietoja on luovutettu rahanpesun ja terrorismin rahoittamisen estämisestä annetussa laissa tarkoitetulle ilmoitusvelvolliselle poikkeavia liiketoimia koskevan selonottovelvollisuuden hoitamista varten taikka jos tietoja on luovutettu rahanpesun selvittelykeskukselle rahanpesun tai terrorismin rahoittamisen estämiseksi, paljastamiseksi tai selvittämiseksi.

Kun rekisteröidyn oikeutta saada tietoja rajoitetaan 1 momentin nojalla, on noudatettava, mitä tietosuojalain 34 §:n 3 ja 4 momentissa säädetään.

31 §
Virheen oikaisu

Luottotietotoiminnan harjoittajan on ilman aiheetonta viivytystä oikaistava luottotietorekisterissä tai luottokelpoisuuden osoittavassa arviointitiedossa oleva virheellinen, puutteellinen, vanhentunut tai muutoin harhaanjohtava tieto. Yrityksen, sen edustajan tai vastuuhenkilön pyynnöstä on yritysluottotiedossa olleen virheen oikaisusta ilmoitettava sille, joka on yrityksen tai sen edustajan tai vastuuhenkilön mukaan saanut virheellisen yritysluottotiedon.

Virheellisen henkilötiedon oikaisemisesta säädetään tietosuoja-asetuksessa.

31 a §
Kielteinen päätös

Luottotietotoiminnan harjoittajan on annettava kirjallinen päätös, jos se kieltäytyy antamasta 30 §:ssä tarkoitettua tietoa tai oikaisemasta 31 §:n 1 momentissa tarkoitettua virheellistä tietoa. Päätöksestä tulee käydä ilmi ne lainkohdat ja tosiseikat, joihin kieltäytyminen perustuu. Päätökseen tulee liittää tieto oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi.

32 §
Oikeus käyttää omaa kieltä

Luonnollisella henkilöllä, joka käyttää tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksiaan tai tämän lain 31 §:n mukaista oikeuttaan, ja yrityksellä, joka käyttää 30 tai 31 §:n mukaista oikeuttaan, on oikeus käyttää asiassaan omaa kieltään, joko suomea tai ruotsia, sekä saada asiakirjat tällä kielellä.

33 §
Valvontaviranomainen

Tämän lain mukaisen luottotietotoiminnan harjoittamisen ja muun luottotietojen käsittelyn valvonta kuuluu tietosuojavaltuutetulle.

34 §
Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeus

Tietosuojavaltuutetulla on tämän lain valvontaa varten salassapitosäännösten estämättä oikeus saada nähtäväkseen ja kopioituna luottotietotoiminnan harjoittamisen ja muun luottotietojen käsittelyn valvonnan kannalta välttämättömät tiedot.


Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeudesta henkilötietojen käsittelyn valvonnassa säädetään tietosuoja-asetuksessa ja tietosuojalaissa.

35 §
Määräysten antaminen

Tietosuojavaltuutetulla on oikeus:

1) antaa luottotietotoiminnan harjoittajalle määräys 30 §:ssä tarkoitetun yrityksen tiedonsaantioikeuden toteuttamisesta tai 31 §:n 1 momentissa tarkoitetun virheellisen tiedon oikaisemisesta;


Tietosuojavaltuutetun toimivaltuuksista henkilötietojen käsittelyn valvonnassa säädetään tietosuoja-asetuksessa ja tietosuojalaissa.

37 §
Tietojen tallettaminen eräissä tapauksissa

Mitä 4–6 luvussa säädetään, ei estä luottotietotoiminnan harjoittajaa tallettamasta velkojaa koskevia tietoja omaa käyttöään varten ylläpitämäänsä rekisteriin 13 §:n 3 momentissa, 24 §:n 4 momentissa sekä 30–31 §:ssä säädettyjen velvoitteiden toteuttamiseksi eikä tietojen tallettamista 22 §:ssä tarkoitettujen merkintöjen tekemistä taikka luottokelpoisuutta osoittavan arviointitiedon muodostamista tai yritystutkimuksen laatimista varten.

39 §
Salassapitovelvollisuus

Se, joka käsittelee tässä laissa tarkoitettuja luottotietoja, ei saa tämän lain vastaisesti ilmaista, mitä hän tehtäviään hoitaessaan on saanut tietää luonnollista henkilöä tai yritystä koskevista asioista tai luottotietojen käsittelyn suojauksesta.


40 §
Vahingonkorvausvastuu

Luottotietotoiminnan harjoittaja on velvollinen korvaamaan tämän lain vastaisesti talletetun tai muodostetun yritysluottotiedon käytöstä luonnolliselle henkilölle tai yritykselle aiheutuvan taloudellisen vahingon. Mitä edellä säädetään, sovelletaan myös yrityksen vastuuhenkilöä koskevaan tietoon, jonka luottotietotoiminnan harjoittaja on tallettanut 22 §:n nojalla.

Henkilötietojen käsittelyä koskevien säännösten rikkomisesta aiheutuvan vahingon osalta oikeudesta vahingonkorvaukseen säädetään tietosuoja-asetuksessa.


42 §
Viittaus rikoslakiin

Rangaistus viestintäsalaisuuden loukkauksesta ja törkeästä viestintäsalaisuuden loukkauksesta säädetään rikoslain (39/1889) 38 luvun 3 ja 4 §:ssä, rangaistus tietomurrosta ja törkeästä tietomurrosta 8 ja 8 a §:ssä sekä rangaistus tietosuojarikoksesta 9 §:ssä. Rangaistus tämän lain 39 §:ssä säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava mainitun lain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

43 §
Luottotietorikkomus

Joka tahallaan tai törkeästä huolimattomuudesta tämän lain vastaisesti

1) laiminlyö noudattaa, mitä luottotietorekisteriin talletettavien yritysluottotietojen käsittelystä, yrityksen luottokelpoisuusluokan tai muun luottokelpoisuutta osoittavan arviointitiedon muodostamisessa käytettävistä tiedoista, yrityksen informoimisesta, yritysluottotiedon oikaisusta tai ilmoituksen tekemisestä tietosuojavaltuutetulle säädetään, tai

2) antaa tietosuojavaltuutetulle yritysluottotietojen käsittelyä koskevassa asiassa väärän tai harhaanjohtavan tiedon,

ja siten vaarantaa yritysten oikeutta tulla arvioiduiksi oikeiden ja asianmukaisten tietojen perusteella taikka vaarantaa luottotietojen saatavuutta, on tuomittava, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, luottotietorikkomuksesta sakkoon.


Tämä laki tulee voimaan päivänä kuuta 20 . Sen 18 ja 28 § tulevat kuitenkin voimaan vasta päivänä kuuta 20 .

Tämän lain 18 ja 28 §:n voimaan tullessa luottotietotoiminnan harjoittajan on:

1) poistettava luottotietolain (527/2007) 13 §:n 1 momentin 3–5 kohdassa ja 24 §:n 1 momentin 2, 3, 5 ja 7 kohdassa tarkoitetut merkinnät, joissa on suorituksen maksamistieto;

2) palautettava mainitun lain 18 §:n 3 momentin tai 28 §:n 2 momentin nojalla pidennetty säilytysaika ennalleen.


2.

Laki maksupalvelulain 86 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan maksupalvelulain (290/2010) 86 §:n 3 ja 4 momentti sekä

muutetaan 86 §:n 2 momentti seuraavasti:

86 §
Henkilötietojen käsittely

Palveluntarjoaja saa sen estämättä, mitä tietojen salassapidosta on säädetty, luovuttaa toiselle palveluntarjoajalle ja muuten käsitellä tietoja harjoittamaansa maksupalvelutoimintaan kohdistuneista epäillyistä ja tehdyistä rikoksista, jos tietojen käsittely on välttämätöntä maksupalveluihin liittyvien rikosten estämiseksi tai selvittämiseksi. Näiden tietojen rekisteröintiin ja muuhun käsittelyyn sovelletaan, mitä luottolaitostoiminnasta annetun lain 15 luvun 18 a §:ssä säädetään.


Tämä laki tulee voimaan päivänä kuuta 20 .


3.

Laki rikosrekisterilain 4 a §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan rikosrekisterilain (770/1993) 4 a §:n 3 momentti, sellaisena kuin se on laissa 1093/1999, seuraavasti:

4 a §

Oikeusrekisterikeskus voi painavista syistä luovuttaa tietoja rikosrekisteristä viranomaiselle, jos ne ovat välttämättömiä henkilön luotettavuuden selvittämistä ja arviointia varten muussa kuin 1 momentissa tarkoitetussa asiassa.



Tämä laki tulee voimaan päivänä kuuta 20 .


Helsingissä 29.6.2021

Pääministeri
Sanna Marin

Oikeusministeri
Anna-Maja Henriksson

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.