7.1
Luottotietolaki
Luottotietolakia sovelletaan luottotietojen keräämiseen, tuottamiseen, tallettamiseen, luovuttamiseen ja muuhun käsittelyyn. Lain mukaisesti kirjataan sekä henkilöluottotietoja että yritysluottotietoja. Yritysluottotietoihin voidaan myös yhdistää yrityksen vastuuhenkilöitä koskevia tietoja. Laissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu kaikilta osin tietosuoja-asetuksen ja sitä täydentävän tietosuojalain soveltamisalaan. Henkilötietojen käsittelyn ensisijaisena oikeusperusteena olisi tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. Tietosuojalain 4 § mukauttaa kyseistä tietosuoja-asetuksen kohtaa käsittelyperusteena. Pykälän 1 kohdan mukaan henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, jos kysymys on henkilön asemaa, tehtäviä sekä niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhteista sillä tavoiteltuun oikeutettuun päämäärään nähden. Käsittelyperustetta sovellettaessa katsottaisiin, että henkilön yksityisyyden suojaa turvaavat edut eivät syrjäytä rekisterinpitäjän tai sivullisen intressejä. Luottotietolaissa tarkoitettujen henkilötietojen käsittelyperuste ei oikeuttaisi niiden käsittelyä mitä tahansa tarkoitusta varten. Laissa säädetään myös yksityiskohtaisesti käyttötarkoituksista, joihin luottotietoja voidaan luovuttaa.
Laissa tarkoitettuun toimintaan voi liittyä myös henkilötietojen käsittelyä, joka on 6 artiklan 1 kohdan f alakohdan mukaisesti tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Siltä osin kuin on kyse esimerkiksi luotonantajien suorittamasta henkilöluottotietojen käsittelystä, henkilötietojen käsittelyn oikeusperuste voi olla myös 6 artiklan 1 kohdan a, b tai c alakohta. Tällaisessa tilanteessa rekisterinpitäjän olisi sovellettava suoraan tietosuoja-asetusta. Kansallisen sääntelyliikkumavaran käyttö luottotietolaissa perustuisi kuitenkin e alakohtaan. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa on käytetty yksityiskohtaisten säännösten antamiseksi erityisesti henkilötietojen rekisteröinnistä, säilyttämisajoista ja luovuttamisesta, mutta myös muusta käsittelystä. Ottaen huomioon, että sääntely koskee osittain erilaisten maksuhäiriötietojen käsittelyä, jolla voi olla kielteisiä vaikutuksia rekisteröidyn toimintamahdollisuuksiin, yksityiskohtaista ja tarkkarajaista sääntelyä voidaan riskiperusteisesti pitää tarpeellisena. Luottotietolain 2 §:n mukainen tarkoitus täyttää tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisen yleisen edun mukaisen tavoitteen, ottaen huomioon erityisesti tarpeen suojata luotonantoa siihen kohdistuvilta riskeiltä sekä luonnollisten henkilöiden ja yritysten oikeuden tulla arvioiduiksi asianmukaisesti. Laissa säädettäisiin henkilötietojen käsittelystä tietosuoja-asetuksen säännösten täydentämiseksi siltä osin kuin säännökset ovat rekisteröidyn oikeuksiin kohdistuvien riskien kannalta välttämättömiä. Laista poistettaisiin sellaiset yksityiskohdat, joiden katsotaan tulevan riittävästi katetuiksi suoraan yleislain säännöksillä. Yksityiskohtaisen sääntelyn tavoitteena on varmistaa, että se on rekisteröidyn kannalta läpinäkyvää, mikä edistää rekisteröidyn oikeuksien toteutumista.
Valittu oikeusperuste tarkoittaisi, että tietosuoja-asetuksen mukaiset rekisteröidyn oikeudet tulisivat täysimääräisesti sovellettavaksi. Rekisteröidyllä olisi myös tietosuoja-asetuksen 17 artiklan mukainen oikeus henkilötietojen poistamiseen ja 21 artiklassa tarkoitettu oikeus vastustaa henkilötietojen käsittelyä. Näitä oikeuksia olisi kuitenkin mahdollista rajoittaa tietosuoja-asetuksen 23 artiklan mukaisesti, edellyttäen, että rajoitukselle on jokin artiklan 1 kohdassa tarkoitettu peruste ja rajoituksesta säädetään laissa. Lainsäädäntötoimenpiteen olisi täytettävä 23 artiklan 2 kohdassa säädetyt kriteerit. Luottotietolakiin sisältyvät säännökset yksilöintitietojen ja toimintakelpoisuutta koskevien tietojen säilyttämisajoista sekä maksuhäiriömerkintöjen ja luokitustietojen säilyttämisajoista, jotka merkitsevät rajoituksia tietosuoja-asetuksen 17 artiklan mukaiseen rekisteröidyn oikeuteen tietojen poistamiseen. Luonnollisen henkilön maksuhäiriötietojen säilytysaikojen eräillä tarkistuksilla varmistettaisiin, että säännökset ovat tietosuoja-asetuksen 6 artiklan 3 kohdan vaatimuksen mukaisesti oikeasuhteisia.
Luottotietolain sisältämien henkilötietojen käsittelyä koskevien säännösten oikeasuhteisuuden arviointiin vaikuttavat säilytysaikojen ohella erityisesti henkilöluottotietorekisterien tietosisältöä ja sallittuja tietojen luovutustarkoituksia koskevat säännökset. Lain 12 §:ssä ja 13 §:ssä on lueteltu tyhjentävästi ne tiedot, joita rekistereihin saa tallentaa henkilöluottotietoina. Rekisterien tietosisältö on varsin laaja, mutta tietosisältö on pyritty rajaamaan yksityiskohtaisesti ja tarkkarajaisesti sellaisiin tietoihin, joilla on merkitystä luottokelpoisuuden arvioinnin kannalta. Luottotietorekistereihin myös kohdistuu luotettavuuden vaatimus. Rekisterien tietosisällössä on huomioitu tarve varmistaa niiden saatavuus laissa säädettyjä käyttötarkoituksia varten, minkä lisäksi luottotietojen laadun turvaamiseksi rekistereihin on tarpeen tallentaa eräitä täydentäviä tietoja, kuten tieto saatavan maksamisesta. Tällaisilla tiedoilla myös turvataan rekisteröidyn oikeutta tulla arvioiduksi ajantasaisten ja täsmällisten tietojen valossa. Henkilöluottotietojen luovutustarkoitukset ovat varsin laajat verrattuna muihin EU:n jäsenvaltioihin. Suurin osa laissa säädetyistä tietojen luovutustarkoituksista on kuitenkin läheisessä yhteydessä alkuperäiseen luottotietojen käsittelytarkoitukseen siten kuin tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohta ja 6 artiklan 4 kohta edellyttävät.
Lain 19 §:ssä on sallittu muutama käyttötarkoitus, jotka ovat kauempana luottotietojen alkuperäisestä käyttötarkoituksesta, erityisesti 19 §:n 1 momentin 1, 5, 6 ja 8 kohta. Näistä ensimmäinen kuitenkin edellyttää erikseen laissa säätämistä, minkä yhteydessä olisi huomioitava sääntelyn tarkkarajaisuutta ja oikeasuhteisuutta koskevat vaatimukset. Tyypillisimmät viranomaistarkoitukset (1 kohta), joihin luottotietoja luovutetaan, ovat turvallisuusselvitykset, poliisin esitutkintaan liittyvät tarkoitukset sekä rahanpesun ja terrorismin rahoitukseen liittyvien epäilyttävien liiketoimien selvittely, josta vastaa keskusrikospoliisin rahanpesun selvittelykeskus. Vuokrasopimuksia (5 kohta) ei voida puolestaan täysin rinnastaa luotonantoon käyttötarkoituksena. Vuokrasopimuksissa on kuitenkin kyse sopimuksista, jotka ovat luonteeltaan kestovelkasuhteita ja joissa vuokranantajan mahdollisuuksia varmistua toisen osapuolen kyvystä vastata sitoumuksestaan voidaan pitää hyväksyttävänä tarkoituksena. Käytännössä henkilöluottotiedot ovat myös ainoa yksityisille vuokranantajille käytettävissä oleva keino varmistua asiasta. Sopimusehtojen sisällön määrittelemisellä (6 kohta) viitataan sellaisiin sopimuksiin, joiden tekemisestä elinkeinonharjoittaja ei voi kieltäytyä. Nämä tilanteet ovat jokseenkin rajallisia, vaikka säännös on lähinnä lisätty lakiin selkeyden vuoksi. Työnhakijaa tai työntekijää koskevien luottotietojen luovuttaminen (8 kohta) liittyy suoraan yksityisyyden suojasta työelämässä annettuun lakiin (759/2004), jossa säädetään tyhjentävästi tilanteista, joissa luottotietoja saa käyttää. Nämä tilanteet liittyvät myös osittain edellä mainittuihin turvallisuusselvityksiin. Vaikka nämä mainitut tiedonluovutustarkoitukset eivät rinnastu luotonantoon, luottotietojen käytölle laissa säädettyihin tarkoituksiin on perusteltu ja hyväksyttävä syy, ja asiasta säädetään yksityiskohtaisesti ja tarkkarajaisesti.
Lisäksi sääntelyn oikeasuhteisuuden arvioinnin kannalta on tietosuoja-asetuksen 6 artiklan 4 kohdan c alakohdan mukaisesti merkitystä luovutettavien tietojen luonteella. Tiedonluovutussäännökset eivät kata tietosuoja-asetuksen erityisiä henkilötietoryhmiä tai rikostuomioihin tai rikoksiin liittyviä henkilötietoja. Erityisesti maksuhäiriötietojen laajalla luovutusmahdollisuudella on kuitenkin 6 artiklan 4 kohdan d alakohdassa tarkoitetulla tavalla seurauksia rekisteröidylle. Niiden luovutuksilla on jopa merkittäviä vaikutuksia rekisteröidyn yksityiselämän ja henkilötietojen suojaan. Erityisesti luotonantoon kohdistuvien riskien kannalta näiden tietojen käsittely on kuitenkin välttämätöntä, huomioiden myös lain tarkoituksen turvata tällaisten tietojen saatavuus. Huomioiden näiden tietojen luovutuksiin liittyvät riskit, lakiehdotukseen on sisällytetty useita nimenomaisia näiden tietojen suojaa vahvistavia säännöksiä. Ehdotettu sääntely täyttäisi siten välttämättömyyden ja oikeasuhteisuuden vaatimuksen. Sääntelyn välttämättömyyttä perusoikeuksien rajoittamisen oikeuttamiseksi arvioidaan tarkemmin esityksen säätämisjärjestysperusteluissa.
Laista ehdotetaan poistettavaksi tietosuoja-asetuksen kanssa päällekkäisiä säännöksiä, joiden ei arvioida olevan kansallisen liikkumavaran puitteissa. Lisäksi laista ehdotetaan poistettavaksi tarpeettomat säännökset suhteessa yleislakina sovellettavaan tietosuojalakiin sekä tarkennettavaksi eräitä säännöksiä, mukaan lukien erityisesti luottokelpoisuusarvioita ja liiketoimintakieltoja koskevien tietojen luovuttamista koskevat säännökset.
1 §.Lain soveltamisala. Luottotietolain esitöiden mukaan merkittävin osa lain säännöksistä koskee luottotietojen toimittamista ulkopuolisten käyttöön ja tätä tarkoitusta varten pidettäviä luottotietorekistereitä. Lain 2 luvun säännökset koskevat kuitenkin myös luotonantajaa ja muita luottotietojen käsittelyyn osallistuvia, kuten niitä yrityksiä, jotka luovuttavat tietoja luottotietoina käytettäviksi. Lisäksi henkilöluottotietojen käyttöä koskevia säännöksiä sovelletaan luotonantajiin ja muihin luottotietoja käyttäviin. Soveltamisalan rajaus ei kuitenkaan ilmene lain säännöksistä selkeästi, mikä on ongelmallista henkilötietojen käsittelyn erilaisten oikeusperusteiden kannalta. Erityisesti luotonantajien kannalta olisi tarkoituksenmukaista, että lainsäädäntöä selkiytettäisiin siten, että tavoitteena olisi mahdollisimman yhdenmukainen sääntely EU:n sisämarkkinoilla. Epäselvä soveltamisalan rajaus myös aiheuttaa epäselvyyttä laissa tarkoitettujen valvontavaltuuksien käyttämisen kannalta. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että siihen sisällytetään lain esitöistä ilmenevä soveltamisalan rajaus. Lain soveltaminen rajattaisiin 1 momentissa koskemaan pääasiassa vain luottotietotoiminnan harjoittajia. Momenttiin lisättäisiin virke, jonka mukaan 2 luvun ja 19 §:n 5 ja 6 momentin säännöksiä sovellettaisiin luottotietotoiminnan harjoittajien lisäksi luottotietojen käyttäjiin ja luottotietoja muutoin käsitteleviin. Kyseisiin säännöksiin sisällytettäisiin ne säännökset, jotka eivät riittävällä yksityiskohtaisuudella sisälly muuhun lainsäädäntöön. Myös muissa luottotietolain säännöksissä tehtäisiin niiden soveltamisalaa rajaavia teknisiä muutoksia. Pykälän 2 momentti ehdotetaan kumottavaksi tarpeettomana. Momentti sisältää viittauksen kumottuun henkilötietolakiin, eikä luottotietolakiin ole tarpeen sisällyttää yleisluontoista informatiivista viittausta tietosuoja-asetukseen ja tietosuojalakiin. Lakiin sen sijaan sisällytettäisiin eräiden säännösten yhteyteen aineellisia tai informatiivisia viittauksia, joilla täsmennettäisiin niiden suhdetta tietosuoja-asetukseen.
2 §.Lain tarkoitus. Pykälässä ehdotetaan korvattavaksi sana ”yksityisyyden” sanoilla ”yksityiselämän ja henkilötietojen”. Muutetussa sanamuodossa huomioitaisiin perustuslain 10 §:n 1 momentin sisältö tarkemmin.
3 §. Määritelmät. Pykälän 4 kohta ehdotetaan kumottavaksi. Rekisteröidyn määritelmä ilmenee tietosuoja-asetuksen 4 artiklan 1 kohdasta, jonka mukaan rekisteröidyllä tarkoitetaan luonnollista henkilöä, johon henkilötiedot liittyvät. Luottotietolain määritelmä kattaa myös rekisteröidyt yritykset. Rekisteröityä ei voida kansallisessa lainsäädännössä määritellä tietosuoja-asetuksesta poikkeavalla tavalla. Rekisteröidyn määritelmää ei myöskään saa toistaa kansallisessa lainsäädännössä. Rekisteröidyt luonnolliset henkilöt voivat joissakin tapauksissa olla myös luottotietolaissa tarkoitettuja yritysten omistajia tai vastuuhenkilöitä.
Ehdotettu määritelmän muutos huomioitaisiin lisäksi muissa luottotietolain säännöksissä siten, että sana ”rekisteröity” korvattaisiin tapauskohtaisesti joko ”luonnollisella henkilöllä” tai ”yrityksellä” tai molemmilla. Joissakin lainkohdissa rekisteröity olisi mahdollista korvata myös sanalla ”velallinen”. Luonnollisella henkilöllä tarkoitettaisiin henkilöluottotietorekisteriin tallennettua henkilöä. Yrityksellä tarkoitettaisiin pykälän 2 kohdan mukaisesti elinkeinotoimintaa harjoittavaa luonnollista henkilöä ja muuta yksikköä, joka yritys- ja yhteisötietolain (244/2001) 3 §:n 1 momentin 1-5 kohdan mukaan on rekisteröitävä yritys- ja yhteisötietojärjestelmään. Tällaiset elinkeinotoiminnan harjoittajat, joilla on Y-tunnus, tallennetaan luottotietolaissa tarkoitettuun yritysluottotietorekisteriin.
5 §.Hyvä luottotietotapa. Hyvää luottotietotapaa koskevan pykälän soveltamisala on laaja. Säännökset koskevat lain esitöiden mukaan luottotietotoiminnan harjoittajien lisäksi myös muita luottotietojen käsittelijöitä ja käyttäjiä. Pykälän johdantokappale ehdotetaan jaettavaksi kahteen osaan siten, että ainoastaan siinä säädetty huolellisuusvelvoite koskisi kaikkia luottotietojen käsittelijöitä ja käyttäjiä. Lisäksi säädettäisiin erikseen luottotietotoiminnan harjoittajia ja muita luottotietoja käyttäviä tai muutoin käsitteleviä elinkeinotoiminnan harjoittajia koskevista yksityiskohtaisimmista velvoitteista, jotka vastaisivat pääosin voimassa olevan pykälän kohtia. Tällä varmistettaisiin, että esimerkiksi sellaisia vuokranantajia, jotka ovat luonnollisia henkilöitä ja käsittelevät henkilöluottotietoja henkilökohtaista tai kotitalouttaan koskevassa toiminnassa, eivät koskisi kohtuuttomat velvoitteet, joiden noudattaminen ei käytännössä olisi mahdollista. Tietosuoja-asetusta ei myöskään sen soveltamisalasäännösten mukaan sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa, joka ei ole sidoksissa mihinkään ammatilliseen tai kaupalliseen toimintaan. Toisaalta yksityisille vuokranantajillekin voidaan luovuttaa henkilöluottotietoja lain 19 §:n nojalla, jolloin laissa on syytä säilyttää myös tällaisten henkilöiden osalta eräitä velvoitteita henkilöluottotietorekisteriin tallennettujen luonnollisten henkilöiden yksityiselämän suojaamiseksi. Pykälän 1 ja 3 kohdassa sana ”rekisteröity” korvattaisiin sanoilla ”luonnollinen henkilö” ja ”yritys”. Pykälän 2 kohdassa rekisteröity korvattaisiin pelkästään sanoilla ”luonnollinen henkilö”. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi 2 kohdassa korvattaisiin sana ”yksityisyyden” sanalla ”yksityiselämän”. Luottotietolain perustelujen mukaan myös yrityksillä on oikeus asianmukaiseen tietojen käsittelyyn ja oikeus tulla arvioiduksi oikeiden ja asianmukaisten tietojen perusteella. Sen sijaan pykälän 2 kohdassa tarkoitettu yksityiselämän suoja voi koskea vain luonnollisia henkilöitä.
6 §.Luottotietojen laatu ja tietolähteet. Pykälän säännökset koskevat luottotietotoiminnan harjoittajien lisäksi myös muita luottotietojen käsittelijöitä ja käyttäjiä. Luottotietojen lähteitä koskevia säännöksiä on siten sovellettu erityisesti myös luotonantotilanteissa. Pykälän 1 momentissa korvattaisiin sana ”rekisteröidyn” sanoilla ”luonnollisen henkilön tai yrityksen”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi momentin toinen virke ehdotetaan poistettavaksi. Voimassa olevan säännöksen mukaan henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia henkilötietoja saa käyttää tai muutoin käsitellä vain, jos oikeudesta tietojen käyttöön säädetään laissa tai määrätään lain nojalla tehdyssä päätöksessä. Kumotun henkilötietolain 11 §:ssä tarkoitetut arkaluonteiset henkilötiedot ovat käsitteenä laajempi kuin tietosuoja-asetuksessa tarkoitetut erityiset henkilötietoryhmät. Luottotietotoiminnan harjoittajilla ei ole laissa säädettyjä oikeuksia arkaluonteisten henkilötietojen käsittelyyn. Virkkeen poistaminen momentista tarkoittaisi erityisten henkilötietoryhmien osalta, että luottotietotoiminnan harjoittajat ja luotonantajat soveltaisivat henkilötietojen käsittelyssään suoraan tietosuoja-asetuksen 9 artiklan säännöksiä. Yleisesti sovellettavien säädösten mukaisesti erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely olisi pääsääntöisesti kiellettyä, jollei kyse ole jostakin säädetystä poikkeuksesta. Luottotietotoiminnan harjoittajia tai luotonantajia ei ole nimenomaisesti huomioitu tietosuoja-asetuksen ja tietosuojalain sisältämissä poikkeuksissa, mutta käsittelyn perusteena voisi olla esimerkiksi rekisteröidyn nimenomainen suostumus. Voimassa olevan luottotietolain 6 §:n 1 momentissa tarkoitettuihin lain nojalla tehtyihin päätöksiin ei puolestaan ole enää tarpeen viitata, koska tarkoituksena on ollut mahdollistaa ns. väärinkäytösrekistereistä saatavat tiedot. Nämä tiedot ovat perustuneet tietosuojalautakunnan päätöksiin, jotka on korvattu voimassa olevilla luottolaitostoiminnasta annetun lain ja maksulaitoslain säännöksillä, jotka mahdollistavat vastaavat rekisterit.Väärinkäytöstietoja on voitu käsitellä myös maksupalvelulain nojalla. Näissä laeissa tai muualla laissa ei kuitenkaan ole kuitenkaan säädetty oikeudesta luovuttaa väärinkäytösrekistereihin sisältyviä tietoja luottotietotoiminnan harjoittajille. Tietosuojalautakunnan päätökset eivät myöskään koskeneet luottotietotoiminnan harjoittajia. Momentin ruotsinkieliseen sanamuotoon tehtäisiin lisäksi kielellinen tarkistus.
Pykälän 2 momentissa sana ”rekisteröidyltä” korvattaisiin sanoilla ”luonnolliselta henkilöltä tai yritykseltä”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Momentin ensimmäisestä virkkeestä poistettaisiin ilmaisu ”tai määrätä lain nojalla tehdyssä päätöksessä”. Lain nojalla tehdyllä päätöksellä on tarkoitettu lähinnä edellä tarkoitettuja tietosuojalautakunnan lupia, joita ei enää sovelleta. Momentin toinen virke ehdotetaan poistettavaksi tarpeettomana. Henkilötietojen luovuttamista koskevaa sääntelyä sisältyy Suomessa viranomaisten toiminnan julkisuudesta annetun lain salassapitosäännöksistä johtuen lukuisiin erityislakeihin, jotka eivät välttämättä ole yksinomaan henkilötietojen käsittelyä koskevia säännöksiä, ja jotka koskevat viranomaisten välisiä tiedonluovutuksia. Salassapitosäännöksistä johtuvia tiedonluovutussäännöksiä sisältyy myös muuhun lainsäädäntöön, mutta ei yleisesti sovellettavaan henkilötietojen käsittelyä koskevaan lainsäädäntöön. Luottotietotoiminnan harjoittajien ja luotonantajien tiedonsaannin osalta laissa säätämisen edellytys on riittävästi huomioitu momentin ensimmäisessä virkkeessä. Virkkeen poistamisella ei kuitenkaan rajoitettaisi erityisesti luotonantajien oikeutta hankkia ja käsitellä luotonmyönnön tai luottokelpoisuuden arvioinnin kannalta tarpeellisia tietoja tietosuoja-asetuksen tai muun lainsäädännön mukaisesti. Virkkeen poistaminen ei myöskään estäisi sitä, että rekisteröidyn suostumuksella voitaisiin käsitellä muitakin tietolähteitä, esimerkiksi tulotietoja. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa, mukaan lukien oikeus peruuttaa suostumus milloin tahansa. Ehdotetut muutokset eivät muuttaisi nykytilaa. Momentin ruotsinkieliseen sanamuotoon tehtäisiin lisäksi kielellinen tarkistus.
7 §. Tietoturvallisuus. Pykälän 1 momentin sisältö on henkilötietojen käsittelyn osalta päällekkäinen niiden tietosuoja-asetuksen säännösten kanssa, jotka liittyvät henkilötietojen käsittelyn tietoturvallisuuteen. Näitä ovat erityisesti 25 artiklan säännökset sisäänrakennetusta ja oletetusta tietosuojasta sekä 2 jakson säännökset henkilötietojen käsittelyn turvallisuudesta ja henkilötietojen tietoturvaloukkauksia koskevista ilmoituksista. Momentissa ehdotetaan sana ”luottotietojen” korvattavaksi sanalla ”yritysluottotietojen”, minkä lisäksi momentin lopusta poistettaisiin vaatimus ottaa huomioon käsittelyn merkitys rekisteröityjen yksityisyyden suojan ja oikeusturvan kannalta, mikä koskee vain luonnollisia henkilöitä. Luonnollisten henkilöiden osalta sovellettaisiin suoraan tietosuoja-asetuksen säännöksiä. Momentin ruotsinkieliseen versioon ehdotetaan lisäksi kielellisiä täsmennyksiä. Pykälän 2 momentti ehdotetaan korvattavaksi viittaussäännöksellä, jonka mukaan henkilötietojen käsittelyn turvallisuuteen sovelletaan, mitä tietosuoja-asetuksen 25 ja 32 artiklassa säädetään. Momentilla täsmennettäisiin säännösten suhdetta tietosuoja-asetukseen. Momentista poistettaisiin toinen virke, jonka mukaan momentti ei koske 12 §:n 2 kohdassa tarkoitettujen yrityskytkentätietojen käsittelyä. Huomioiden pykälän laajan soveltamisalan, momenttiin sisältyvä, luottotietorekistereitä koskeva vaatimus huolehtia siitä, että tieto henkilöluottotietojen käsittelystä kirjautuu tietojärjestelmään, siirrettäisiin henkilöluottorekistereitä koskeviin 12 ja 13 §:ään. Vaatimus ei koskisi yrityskytkentätietoja, mikä vastaa nykytilaa.
Pykälän tietoturvallisuutta koskevia vaatimuksia on lain esitöiden valossa sovellettu kaikkiin luottotietoja käsitteleviin ja käyttäviin. Vaatimukset ovat mittavia erityisesti sellaisten tahojen osalta, jotka eivät käsittele luottotietoja elinkeino- tai ammattitoiminnan yhteydessä. Kun pykälän sisältö rajattaisiin kuitenkin koskemaan vain yritysluottotietoja, säännökset eivät enää olisi ongelmallisia tällaisten luottotietojen käyttäjien osalta. Henkilöluottotietojen osalta tietosuoja-asetuksen tietoturvallisuutta koskevia vaatimuksia sovellettaisiin puolestaan tietosuoja-asetuksen soveltamisalan mukaisessa laajuudessa. Tietosuoja-asetusta ei sovelleta henkilötietojen käsittelyyn, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa.
10 §.Palveluja koskevat velvoitteet. Pykälän 1 momentissa ehdotetaan korvattavaksi sana ”rekisteröityä” sanoilla ”luonnollista henkilöä tai yritystä”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Pykälän 2 momentin ruotsinkielistä versiota ehdotetaan tarkistettavaksi siten, että sanat ”på begäran” korvataan sanoilla ”till den som ber om sådana upplysningar”. Muutettu sanamuoto ilmaisee tarkemmin, kenelle tietoja luovutetaan. Momentin suomenkielistä versiota ehdotetaan muutettavaksi siten, että siitä poistetaan sana ”henkilölle”. Luottotietolakiin tehdyn terminologisen tarkistuksen seurauksena säännöksessä voisi olla sekaantumisvaara rekisteröidyn oikeuteen saada tieto itseään koskevista tiedoista. Kohdan esitöiden mukaan momentin tarkoituksena on varmistaa, että luottotiedot ovat myös niiden saatavissa, jotka eivät jatkuvasti tarvitse luottotietoja ja joilla ei siten ole mahdollisuuksia tai tarvetta hankkia tietoja teknisen käyttöyhteyden avulla luottotietorekisteristä. Momentti ei siten koske rekisteröidyn oikeuksia eikä sitä ole myöskään rajoitettu koskemaan pelkästään luonnollisia henkilöitä. Pykälän 3 momentti on henkilötietojen käsittelyn osalta osittain päällekkäinen tietosuoja-asetuksen 15 artiklan 3 kohdan kanssa, jonka mukaan rekisteröidyllä on oikeus saada jäljennös käsiteltävistä henkilötiedoista. Myös rekisterinpitäjän oikeudesta periä kohtuullinen maksu useista jäljennöksistä säädetään kyseisessä kohdassa. Toisaalta tietosuoja-asetuksen 15 artiklan 3 kohdassa säädetyn rekisteröidyn oikeuden tarkoitus on eri kuin luottotieto-otteen tarkoitus. Rekisteröity voi käyttää otetta, jonka sisältö ei ole yhtä laaja, esimerkiksi vuokrasopimuksen tekemiseen. Luottotietotoiminnan harjoittaja voi periä otteesta kohtuullisen korvauksen. Sen osalta on kuitenkin huomattava, että maksun periminen koskee säännöksen mukaisesti vain luottotieto-otetta. Silloin, kun rekisteröity käyttää tietosuoja-asetuksen 15 artiklan mukaista oikeuttaan, rekisterinpitäjällä ei ole oikeutta periä maksua yksittäisestä jäljennöksestä. Momentti ehdotetaan säilytettäväksi. Huomioiden, että momentti koskee pelkästään rekisteröidyn oikeutta saada itseään koskevat henkilöluottotiedot, sana ”rekisteröidyllä” ehdotetaan korvattavaksi sanoilla ”luonnollisella henkilöllä”.
11 §.Luonnollisten henkilöiden ja yritysten yhdenvertainen kohtelu. Pykälän otsikkoon ja sisältöön tehtäisiin terminologinen tarkistus, jossa sana ”rekisteröityjä” korvattaisiin sanoilla ”luonnollisia henkilöitä ja yrityksiä”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä.
12 §.Yksilöintitiedot ja toimintakelpoisuutta koskevat tiedot. Pykälässä säädetään luonnollista henkilöä koskevien tietojen tallettamisesta luottotietorekisteriin. Ottaen huomioon, että pykälässä säädetyt tiedot voitaisiin yhdistää maksuhäiriötietoihin, joihin arvioidaan liittyvän erityisiä riskejä rekisteröidyn suojan kannalta, rekisterin tietosisältö ehdotetaan säilytettäväksi pääpiirteittäin. Koska pykälässä kuitenkin säädettäisiin lähtökohtaisesti tiedoista, jotka ovat joko julkisia tai rekisteröidyn itsensä ilmoittamia, pykälässä riittäisi tietoryhmistä säätäminen. Toisaalta henkilön yksilöintitietojen yksityiskohtainen luettelo ei olisi riskiperusteisen arvion perusteella tarpeen. Henkilötieto määritellään tietosuoja-asetuksen 4 artiklassa. Kaikkien henkilötietojen käsittelyyn sovellettaisiin suoraan tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimointiperiaatetta. Huomioiden kuitenkin sen, että säännös ei olisi tyhjentävä, tallentamisoikeus sidottaisiin välttämättömiin yksilöintitietoihin. Tietosuojalain 29 §:n 2 momentissa säädetään jo henkilötunnuksen käsittelystä luottotietotoiminnassa, jolloin henkilötunnuksen käsittelystä ei ole enää tarpeen säätää luottotietolaissa. Pykälän rakenne ehdotetaan muutettavaksi siten, että voimassa oleva pykälä korvattaisiin kahdella uudella momentilla, joissa säädettäisiin rekisteriin tallennettavista tiedoista tietoryhmittäin, minkä lisäksi pykälään lisättäisiin uusi momentti tietojen kirjautumisvaatimuksesta. Pykälän 1 momentissa säädettäisiin välttämättömien yksilöintitietojen (johdantokappale) tallettamisen lisäksi nykytilaa vastaavasti toimintakelpoisuustietojen ja luottokiellon tallettamisesta. Momentin johdantokappaleessa mainitut välttämättömät yksilöintitiedot voisivat olla nykytilaa vastaavasti luonnollisen henkilön nimi ja yhteystiedot sekä henkilötunnus tai syntymäaika ja –paikka. Välttämättömyydellä huomioitaisiin tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukainen henkilötietojen minimointiperiaate.
Pykälän voimassa oleva 1 ja 2 kohta poistettaisiin. Pykälän 3 kohdasta tulisi uusi 1 kohta ja 4 kohdasta uusi 2 kohta. Pykälän 1 kohdassa säädettäisiin toimintakelpoisuutta koskevasta tiedosta. Säännös vastaisi nykytilaa. Kohdan viittaus holhoustoimesta annetun lain (442/1999) kumottuun 67 §:n 1 momenttiin korvattaisiin kuitenkin viittauksella Digi- ja väestötietoviraston eräistä henkilörekistereistä annetun lain (1156/2019) 10 §:n 2 momenttiin ja kyseisessä laissa säädettyyn holhousasioiden rekisteriin. Pykälän 2 kohdassa säädettäisiin nykytilaa vastaavasti henkilön itsensä ilmoittamasta luottokiellosta. Tämä tieto olisi 17 §:n 1 momentin 4 kohdan mukaan nykytilaa vastaavasti poistettava heti, kun luonnollinen henkilö sitä pyytää. Huomioiden, että muista tiedoista poiketen luottokiellon käsittely edellyttää rekisteröidyn suostumusta, käsittelyn olisi täytettävä tietosuoja-asetuksen 7 artiklassa säädetyt suostumuksen edellytykset, mukaan lukien suostumuksen peruuttaminen. Suostumuksesta ei olisi tarpeen säätää tarkemmin uudelleen, huomioiden tietosuoja-asetuksen säännösten suoran soveltamisen. Lisäksi sana ”rekisteröidyn” poistettaisiin 1 kohdasta, ja korvattaisiin sanoilla ”kyseessä olevan henkilön” 2 kohdassa. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi 2 kohdan ruotsinkielistä sanamuotoa tarkistettaisiin.
Pykälän uudessa 2 momentissa säädettäisiin yrityskytkentätietojen tallettamisesta. Momentin sisältö vastaisi voimassa olevan pykälän 2 kohtaa. Yrityskytkentätiedot ovat luonteeltaan 1 momentissa säädettäväksi ehdotetuista tiedoista poikkeava tietoryhmä, jonka käyttöä ei laissa sidottaisi tiettyihin käyttötarkoituksiin. Käyttötarkoitussidonnaisuuden periaate olisi kuitenkin huomioitava niissä tilanteissa, joissa yrityskytkentätietoja käsitellään samaan tarkoitukseen kuin 1 momentissa tai 13 §:ssä tarkoitettuja tietoja.
Pykälään ehdotetaan lisättäväksi uusi 3 momentti, jonka perusteella luottotietotoiminnan harjoittajan olisi huolehdittava 1 momentissa tarkoitettuja tietoja talletettaessa tai muutoin käsiteltäessä siitä, että tieto käsittelystä kirjautuu tietojärjestelmään. Vaatimus vastaisi nykytilaa ja rajattaisiin koskemaan muita kuin yrityskytkentätietoja. Säännökseen lisätty maininta tallettamisesta ei laajentaisi säännöksen soveltamisalaa, koska voimassa olevassa laissa käytetty termi ”käsittely” kattaa sellaisenaankin muun muassa henkilötietojen tallentamisen. Vaikka kirjaamista koskevaa vaatimusta ei sovellettaisi edelleenkään yrityskytkentätietoihin, tietosuoja-asetuksen mukaiset tietoturvallisuutta koskevat vaatimukset koskevat kaikkia henkilötietoja. Säännös ei ole päällekkäinen tietosuoja-asetuksen kanssa. Kyseessä on tietosuoja-asetuksen 6 artiklan 3 kohdan mukainen käsittelytoimea koskeva erityinen säännös, jolla mukautetaan tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 32 artiklan 2 kohdan sekä 25 artiklan 2 kohdan soveltamista. Säännöksen tavoitteena on helpottaa tietosuoja-asetuksen noudattamista.
Tietosuoja-asetuksen soveltamisen kannalta olisi huomioitava, että henkilötietojen käsittely on laaja käsite ja kattaa myös haut, kyselyt ja tietojen luovuttamisen. Koska tietosuoja-asetuksessa ei nimenomaisesti säädetä lokitiedoista, käsittelyn kirjautumista koskeva voimassa olevan lain mukainen vaatimus voi käytännössä tarkoittaa sitä, että rekisterinpitäjän on ylläpidettävä riittäviä lokitietoja voidakseen seurata tietojen käyttöä ja luovutuksia ja pystyäkseen osoittamaan valvontaviranomaiselle, millä tavalla se on huolehtinut esimerkiksi 19 §:ssä säädettyjen käyttötarkoitusten toteutumisesta.
13 §.Maksuhäiriötiedot ja niitä täydentävät tiedot. Pykälässä säädetään henkilöluottotietoina talletettavista luonnollisen henkilön maksuhäiriötiedoista. Erityisesti luonnollisen henkilön maksuhäiriötietojen käsittelyllä laissa säädettyihin tarkoituksiin, mukaan lukien henkilötietojen luovuttaminen, on merkittäviä vaikutuksia yksityiselämän suojaan ja luonnollisen henkilön mahdollisuuksiin toimia yhteiskunnassa, ja käsiteltävien tietojen laajoihin käyttötarkoituksiin liittyy erityisiä riskejä luonnollisen henkilön tietosuojan kannalta. Niistä tietoryhmistä, joiden tallentaminen rekisteriin ja muu käsittely olisi sallittua, olisi edelleen säädettävä yksityiskohtaisesti ja tarkkarajaisesti.
Terminologian yhdenmukaisuuden varmistamiseksi erityisesti pykälän kahdessa ensimmäisessä kohdassa mainittujen lakien kanssa pykälän 1 momentin 1-3 ja 8 kohdassa sekä 2 ja 3 momentissa sana ”rekisteröity” ehdotetaan korvattavaksi sanalla ”velallinen”. Vastaava muutos tehtäisiin myös ruotsinkielisen version 1 momentin 6 kohdassa. Momentin 2 kohdassa vanhentunut viittaus yksityishenkilön velkajärjestelystä annetun lain (57/1993) 87 §:ään korvattaisiin viittauksella velkajärjestelyrekisteristä annettuun lakiin (368/2017). Lisäksi pykälän 1 momentin 6 kohdan suomenkielisessä versiossa poistettaisiin sana ”rekisteröidyn” ja korvattaisiin sana ”hän” sanalla ”velallinen”. Suomenkielistä kohtaa tarkistettaisiin myös kielellisesti. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä.
Lisäksi 1 momentin 8 kohdassa sekä 2 ja 3 momentissa ehdotetaan sana ”rekisterinpitäjä” korvattavaksi sanalla ”luottotietotoiminnan harjoittaja”. Rekisterinpitäjää ei määritellä luottotietolaissa. Laista kuitenkin ehdotetaan poistettavaksi tietosuoja-asetuksen kanssa päällekkäinen sääntely, joka liittyy rekisterinpitoon ja rekisteröidyn oikeuksiin sekä henkilötietojen käsittelyn valvontaan. Laissa säädettäisiin pääasiassa luottotietotoiminnan harjoittajien valvonnasta. Lisäksi lain 3 §:n 7 kohdassa määritellään luottotietotoiminnan harjoittaminen. Tästä syystä laissa olisi syytä käyttää systemaattisesti elinkeinonharjoittajasta termiä ”luottotietotoiminnan harjoittaja”. Terminologinen muutos tehtäisiin jäljempänä useaan pykälään. Pykälän 1 momentin 8 kohdan ruotsinkieliseen sanamuotoon tehtäisiin myös kielellinen tarkistus. Pykälän 2 ja 3 momentissa sana ”rekisteri” korvattaisiin selkeyden vuoksi sanalla ”luottotietorekisteri”. Lisäksi Pykälän 2 momentin ruotsinkieliseen versioon ehdotetaan lisäksi kielellisiä muutoksia, jotta sen sanamuoto on yhdenmukainen lain 24 §:n 3 momentin sanamuodon kanssa.
Lisäksi 1 momentin 3 kohtaan tehtäisiin selventävä muutos. Voimassa olevan kohdan mukaan luottotietorekisteriin saa muun muassa tallettaa viranomaisen toteamina maksuhäiriötietoina tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla. Muutoksen myötä tällaisen tiedon tallettamisen edellytyksenä olisi nimenomaisesti, että maksuvaatimusta ei ole riitautettu perusteeltaan tai määrältään. Tuomiorekisteriä, johon tiedot lainvoimaisesta tuomiosta merkitään, ylläpitää Oikeusrekisterikeskus. Tuomiorekisteriin lähetetään kaikki lainvoiman saaneet tuomiot, jotka on annettu summaarisen haastehakemuksen perusteella vireille tulleessa asiassa niiden sisällöstä riippumatta. Tuomiorekisteriin lähetetään näin ollen myös ne tuomiot, joissa kanne on hylätty taikka hyväksytty kokonaan tai osittain. Tiedot kaikista niistä tuomioista, joissa kanne on hyväksytty kokonaan tai osittain, luovutettiin aiemmin luottotietotoiminnan harjoittajille. Näin ollen myös sellaiset kanteen osittain tai kokonaan hyväksyvät tuomiot, jotka koskevat perustellusti riitautettua saatavaa, johtivat maksuhäiriömerkintään. Velkomusasiassa ei kuitenkaan välttämättä kaikissa tapauksissa ole kyse maksun laiminlyönnistä silloin, kun maksuperuste on riitainen.
Oikeusrekisterikeskus on toteuttanut järjestelmämuutoksen, jolla edellä kuvattu ongelma korjattiin. Momentin säännöstä edotetaan kuitenkin selvennettäväksi talletettavien tuomioistuinratkaisujen osalta. Ehdotetun täsmennyksen myötä vain tiedot sellaisista lainvoimaisista tuomioista, jotka tosiasiallisesti osoittavat velallisen maksukyvyttömyyttä tai maksuhaluttomuutta, luovutettaisiin luottotietotoiminnan harjoittajille. Siten vain niistä aiheutuisi maksuhäiriömerkintä. Tarkistuksen myötä sanamuoto vastaisi nykyisin noudatettua menettelyä. Samalla varmistettaisiin sääntelyn läpinäkyvyys rekisteröidyn kannalta tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan vaatimuksen mukaisesti.
Pykälään ehdotetaan lisättäväksi uusi 4 momentti, jonka perusteella luottotietotoiminnan harjoittajan olisi huolehdittava 1 momentissa tarkoitettuja tietoja talletettaessa tai muutoin käsiteltäessä siitä, että tieto käsittelystä kirjautuu tietojärjestelmään. Vastaavasti kuin 12 §:ään lisättävässä 3 momentissa, myös tässä säännöksessä on kyseessä tietosuoja-asetuksen 6 artiklan 3 kohdan mukainen käsittelytoimea koskeva erityinen säännös, jolla mukautetaan tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 32 artiklan 2 kohdan sekä 25 artiklan 2 kohdan soveltamista. Säännöksen tavoitteena on helpottaa tietosuoja-asetuksen noudattamista.
Pykälään ehdotetaan lisättäväksi uusi 5 momentti, johon siirrettäisiin voimassa olevasta 29 §:stä säännös, jonka perusteella rekisteröidyllä on oikeus saada tieto saatavan vaikutuksesta tiedon säilytysaikaan. Säännös ehdotetaan rajattavaksi kuitenkin riskiperusteisesti koskemaan maksuhäiriötietoja. Säännöksen mukaan luonnolliselle henkilölle, jota koskeva 1 momentissa tarkoitettu tieto on ensimmäistä kertaa merkitty luottotietorekisteriin, olisi annettava tieto saatavan vaikutuksesta tiedon säilytysaikaan. Muista käsiteltävistä tiedoista olisi informoitava rekisteröityjä luonnollisia henkilöitä pelkästään tietosuoja-asetuksen säännösten mukaisesti. Ehdotettu momentti toimisi samalla suojatoimena maksuhäiriötietojen käsittelyssä, joihin liittyy erityisiä riskejä rekisteröidyn oikeuksien suojan kannalta.
14 §.Velkojan ilmoittamia maksuhäiriöitä koskevat erityissäännökset. Pykälän 1 momentin johdantokappaleessa ehdotetaan korvattavaksi sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Vastaava muutos tehtäisiin myös 1 momentin 1 kohdassa ja 2 momentissa. Pykälän 1 momentin johdantokappaleen ruotsinkielistä sanamuotoa tarkistettaisiin lisäksi kielellisesti.
16 §.Luottokelpoisuusarviointi. Voimassa olevassa pykälässä säädetään siitä, minkälaisia tietoja saa käyttää arvioitaessa luonnollisen henkilön luottokelpoisuutta. Luottokelpoisuusarvioinnilla tarkoitetaan henkilötietojen käyttöä eräänlaiseen mallinnukseen, jonka avulla laaditaan erilaisia luottoluokitusmalleja tai muodostetaan markkinoinnin kohderyhmiä. Tilastollisiin menetelmiin perustuvat luotonhakijan luottoluokitus- ja pisteytysjärjestelmät (credit scoring, luottoluokitus) sekä sellaiset palvelut, joissa palvelujen tarjoaja arvioi luotonhakijoiden luottokelpoisuutta omien rekisteriensä avulla, ovat luottoriskien arviointiin tarkoitettuja palveluita.
Luottotietolain mukaisen profiloinnin vaikutusten arvioinnissa on otettu erityisesti huomioon Euroopan tietosuojaviranomaisten laatimat suuntaviivat (29 artiklan mukainen tietosuojatyöryhmä, Suuntaviivat automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöön panemiseksi, tarkistettu 6.2.2018) ja luottotietolain esityöt, joissa selostetaan luottokelpoisuusarvioihin käytettyjä tilastollisia menetelmiä. Niiden perusteella esityksen valmistelun yhteydessä on päädytty erilaiseen arvioon luottotietotoimintaan liittyvän profiloinnin luonteesta kuin esimerkiksi Ruotsissa. Ensinnäkin Ruotsin lakiin ei sisälly 16 §:ää vastaavia säännöksiä. Toiseksi luottotietolain 19 § sallii myös luottokelpoisuusarvioiden luovuttamisen laajemmin erilaisiin käyttötarkoituksiin kuin Ruotsin lain perusteella on mahdollista. Näin ollen Suomessa luottokelpoisuusarvioiden vaikutukset muodostuvat merkittävämmiksi. Luottokelpoisuusarvioita myös säilytetään luottotietolain mukaan siihen saakka, kunnes muut merkinnät on poistettu rekisteristä. Luottotietolain 16 §:ssä tarkoitettu luottokelpoisuusarviointi myös pääsääntöisesti tapahtuu täysin automatisoidusti.
Luonnolliselle henkilölle ei välttämättä aiheutuisi välittömiä vaikutuksia luottotietotoiminnan harjoittajan suorittaman profiloinnin seurauksena. Luonnollisen henkilön luottotietoluokitus voisi kuitenkin vaikuttaa esimerkiksi siihen, myöntääkö luottotietotoiminnan harjoittajan asiakkaana oleva luotonantaja kyseessä olevalle henkilölle luoton, jolloin luottokelpoisuusarvio voisi vaikuttaa rekisteröityyn merkittävällä tavalla. Luottokelpoisuusarviot myös tuotetaan automatisoidusti ilman, että luonnollinen henkilö osallistuu prosessiin. Erotuksena tietosuoja-asetuksen 22 artiklassa tarkoitetulle profiloinnille, 4 artiklan 4 kohdassa määritelty profilointi ei sulje pois ihmisen tekemää arviointia. Profilointi olisi tietosuoja-asetuksen perustelujen mukaisesti ymmärrettävä laajasti siten, että se tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi (johdanto-osan 71 kappale). Perusteluissa mainitaan nimenomaisena esimerkkitilanteena taloudellisen tilanteen analysoiminen tai ennakoiminen. Tietosuoja-asetuksen johdanto-osasta ei ilmene tarkemmin, mitä 22 artiklassa tarkoitetaan merkittävällä vaikutuksella. Asiaan on otettu kuitenkin kantaa Euroopan tietosuojaviranomaisten laatimissa suuntaviivoissa (s. 23). Vaikka rekisteröidyn lailliset oikeudet tai velvollisuudet eivät muutu, häneen saattaa silti kohdistua riittävän merkittävä vaikutus, joka edellyttää 22 artiklan mukaista suojelua. Jotta tietojenkäsittelyn vaikutus henkilöön olisi merkittävä, päätöksen tai profiilin olisi voitava mahdollisesti vaikuttaa merkittävästi rekisteröidyn olosuhteisiin, käyttäytymiseen tai valintoihin, vaikuttaa rekisteröityyn pitkäaikaisesti tai pysyvästi tai jopa johtaa rekisteröidyn syrjäytymiseen tai syrjintään. Vaikutukset voisivat ohjeiden valossa kohdistua esimerkiksi henkilön taloudellisiin olosuhteisiin, kuten luottokelpoisuuteen.
Pykälää ehdotetaan muutettavaksi tietosuoja-asetuksen 22 artiklan vaatimusten huomioimiseksi. Ehdotuksessa pitäydyttäisiin kuitenkin sellaisissa vaatimuksessa, jotka liittyvät 22 artiklan mukaisen sääntelyliikkumavaran käyttöön. Pykälän 1 momentin viittausta 12 §:ään tarkistettaisiin kyseisen pykälän muutosten huomioimiseksi siten, että viittaus vastaisi nykytilaa. Luottokelpoisuusarviota muodostettaessa ei saisi edelleenkään käyttää esimerkiksi sukupuolen tai iän ilmaisevaa tietoa. Tällä ennalta estettäisiin mahdollisia profiloinnin syrjiviä vaikutuksia. Pykälässä olisi lisäksi huomioitava erityisesti 22 artiklan 2 kohdan b alakohdassa tarkoitetut suojatoimenpiteet. Artikla sallii automaattiseen käsittelyyn perustuvan päätöksenteon, mukaan lukien profilointi, jolla on oikeusvaikutuksia tai joka vaikuttaa muuten rekisteröityyn merkittävästi, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.
Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan luonnolliselle henkilöllä olisi oikeus esittää kantansa luottokelpoisuusluokasta ja vaatia luottoluokituksen uudelleenarviointia luottotietotoiminnan harjoittajan toimesta silloin, kun luonnollisen henkilön luottokelpoisuusluokan muodostaminen perustuu pelkästään automaattiseen tietojenkäsittelyyn. Tämä suojatoimi samalla täyttäisi tietosuoja-asetuksen edellytyksen ihmisen osallistumisesta tietojen käsittelyyn luottotietotoiminnan harjoittajan puolesta. Ehdotettavalla muutoksella käytettäisiin tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan mukaista liikkumavaraa säätää sovellettavista suojatoimista. Pykälää ei sovellettaisi luotonantajiin tai muihin luottotietoja hyödyntäviin, vaan pelkästään luottotietotoiminnan harjoittajiin, joiden osalta profilointi ei perustu asiakassuhteeseen tai rekisteröidyn suostumukseen. Esimerkiksi luottolaitokset soveltavat suoraan tietosuoja-asetuksen 22 artiklaa automatisoituun päätöksentekoon omassa toiminnassaan. Pykälän voimassa olevasta 2 momentista tulisi uusi 3 momentti.
Luonnollisella henkilöllä, jota luottokelpoisuusarvio koskee, on lisäksi käytettävissään tietosuoja-asetukseen perustuvat rekisteröidyn oikeudet. Luottotietotoiminnan harjoittajan olisi huolehdittava rekisteröityjen riittävästä informoinnista tietosuoja-asetuksen vaatimusten mukaisesti, mukaan lukien tiedot profilointimenetelmistä sekä siitä, mihin luottokelpoisuusarvioita voidaan luovuttaa ja käyttää. Luottotietotoiminnan harjoittajan olisi lisäksi noudatettava, mitä tietosuoja-asetuksen 19 artiklassa säädetään ilmoitusvelvollisuudesta. Joka tapauksessa luottotietotoiminnan harjoittajan olisi luonnollisen henkilön pyynnöstä ilmoitettava, mihin häntä koskeva luottokelpoisuusarvio on luovutettu. Luottotietotoiminnan harjoittajan olisi myös kiinnitettävä erityistä huomiota profiloinnin yhteydessä siihen, että tarkoitukseen käytetään tarkkoja ja ajantasaisia tietoja. Silloin, kun kyse on 22 artiklassa tarkoitetusta automaattisesta käsittelystä, rekisterinpitäjän olisi myös varmistettava, että sen käytössä olevat matemaattiset tai tilastolliset menetelmät soveltuvat sen varmistamiseen, että henkilötietojen virheellisyyteen johtavat tekijät korjataan ja virheriski minimoidaan (tietosuoja-asetuksen johdanto-osan 71 kappale). Jos automatisoidussa päätöksenteossa tai profilointiprosessissa käytetyt tiedot ovat epätarkkoja, niiden tuloksena tehtävä päätös tai profiili ovat virheellisiä. Päätöksiä voitaisiin sen seurauksena tehdä vanhentuneiden tietojen tai ulkoisten tietojen virheellisen tulkinnan perusteella. Epätarkkuudet voisivat johtaa epäasianmukaisiin ennusteisiin tai lausuntoihin luottoriskeistä.
Luottokelpoisuusarvioiden laadinnassa olisi lain mukaan sallittua käyttää myös luonnollisen henkilön itse ilmoittamaa luottokieltoa. Käsittelylle annettu suostumus on kuitenkin mahdollista peruuttaa 17 §:n 1 momentin 4 kohdan ja tietosuoja-asetuksen 7 artiklan 3 kohdan mukaisesti. Ehdotetuilla suojatoimilla olisi siten merkitystä myös tämän oikeuden toteutumisen kannalta.
17 §.Yksilöintitietojen ja toimintakelpoisuutta koskevien tietojen säilyttämisajat. Pykälän 1 momentin johdantokappaleessa korvattaisiin sana ”rekisteröidyn” sanalla ”luonnollisen henkilön”, ja sana ”rekisteristä” korvattaisiin sanalla ”luottotietorekisteristä”. Momentin 1 ja 2 kohdassa sana ”rekisteröity” korvattaisiin sanalla ”hän” ja 4 kohdassa sanoilla ”luonnollinen henkilö” ja ”hän”. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi momentin 2 ja 4 kohdan ruotsinkieliseen sanamuotoon tehtäisiin kielellinen tarkistus.
18 §.Maksuhäiriömerkintöjen ja luokitustietojen säilyttämisajat. Pykälässä käytetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa antaa tarkempia säännöksiä säilytysajoista 5 artiklan 1 kohdan e alakohdan mukauttamiseksi. Kyseisen alakohdan mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Ehdotetuilla säilytysaikojen muutoksilla varmistettaisiin, että säännökset täyttävät paremmin tietosuoja-asetuksen 5 artiklan 1 kohdan a kohdan mukaisen läpinäkyvyyden vaatimuksen ja ottaisi myös huomioon 5 artiklan 1 kohdan c alakohdan mukaisen tietojen minimointivaatimuksen, jonka mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Samalla varmistettaisiin, että sääntely on oikeasuhteista 6 artiklan 3 kohdan mukaisesti.
Pykälän 1 momentin 1 kohdan mukaista säilytysaikaa ehdotetaan muutettavaksi siten, että konkurssia koskevat tiedot olisi poistettava kuukauden kuluessa siitä, kun tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä. Tiedot olisi poistettava kuitenkin viimeistään viiden vuoden kuluttua konkurssin alkamisesta. Tietojen säilytysaika määräytyisi sen mukaisesti, kumpi niistä on lyhyempi. Voimassa olevan säännöksen mukaan tiedot on poistettu viiden vuoden kuluessa konkurssin alkamisesta, mutta kuitenkin kuukauden kuluessa siitä, kun konkurssi- ja yrityssaneerausrekisteristä on poistettu konkurssiasiaa koskevat tiedot sen vuoksi, että konkurssihakemus on hylätty taikka jätetty tutkimatta tai sillensä taikka että konkurssi on määrätty peruuntumaan. Säilytysaika on voinut voimassa olevan 18 §:n 2 momentin nojalla pidentyä uuden merkinnän johdosta, mutta kaikki konkurssia koskevat merkinnät on kuitenkin poistettava kolmen kuukauden kuluessa siitä, kun viimeisintä konkurssimerkintää koskevat tiedot on poistettu yrityssaneeraus- ja konkurssirekisteristä. Säilytysaika ehdotetaan sidottavaksi selkeämmin konkurssi- ja yrityssaneerausrekisterin säilytysaikaan. Konkurssi- ja yrityssaneerausrekisteristä annetun lain (137/2004) mukaan luonnollisen henkilön konkurssiasiaa koskevat tiedot poistetaan viimeistään viiden vuoden kuluttua konkurssin alkamisesta.
Momentin 4 kohtaa ehdotetaan täydennettäväksi siten, että ulosottotieto poistettaisiin heti myös silloin, kun ulosotto päättyy saatavan vanhennuttua lopullisesti velan vanhentumisesta annetun lain 13 a §:n nojalla. Ulosottokaarta muutettiin jo lailla 60/2018 siten, että ulosottomiehen on tehtävä velallisen pyynnöstä luottotietotoiminnan harjoittajalle antamiaan tietoja koskeva peruuttamisilmoitus riippumatta siitä, onko saatavan lopullinen vanhentuminen tapahtunut ulosottoperusteen määräajan umpeutumisen vai saatavan vanhenemisen perusteella. Ehdotetulla muutoksella huomioitaisiin ulosottokaaren muutos.
Pykälän 2 momenttia muutettaisiin siten, että jos rekisterinpitäjälle on tullut tieto sen saatavan suorittamisesta, jonka laiminlyönnistä velkojan ilmoittama maksuhäiriötä koskeva tieto tai 1 momentin 6 kohdassa tarkoitettu merkintä on syntynyt, tieto poistetaan yhden kuukauden kuluessa tiedon saamisesta. Saatavan suorittamista koskeva tieto lyhentäisi näin ollen seuraavia henkilöluottotietoina talletettavia maksuhäiriömerkintöjä: velkojan ilmoittamaa maksuhäiriötä, viranomaisen toteamia maksuhäiriötietoja ja ulosottotietoja (luottotietolain 13 §:n 1 momentin 3, 4 ja 5 kohdat). Pykälän 1 momentin 4 kohdassa ja 2 momentissa ehdotetaan myös korvattavaksi sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”.
Pykälän 3 momentti poistettaisiin ja voimassa olevasta 4 momentista tulisi uusi 3 momentti. Momentin poistaminen tarkoittaisi, että uusi maksuhäiriömerkintä ei enää pidentäisi 1 momentin 1 ja 6 kohdassa tarkoitettujen maksuhäiriömerkintöjen, eli konkurssia koskevien, viranomaisen toteamien ja ulosottotietojen, säilytysaikaa. Muutoksen johdosta jokaisen maksuhäiriötiedon säilytysaika olisi itsenäinen.
19 §.Henkilöluottotietojen luovuttamisen ja käyttämisen yleiset edellytykset. Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötietoja on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Pykälän 1 momentissa säädetään alkuperäisestä tarkoituksesta, johon henkilöluottotietoja saa luovuttaa käytettäviksi ja käyttää. Sen lisäksi pykälän 2 momentissa täsmennetään, mihin tarkoituksiin henkilöluottotietoja saa 1 momentin estämättä luovuttaa ja käyttää. Näitä tarkoituksia pidettäisiin tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan sekä 6 artiklan 4 kohdan tarkoittamana yhteensopivana käsittelynä. Pykälässä käytetään 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa mukauttaa tietosuoja-asetuksen säännöksiä käyttötarkoitussidonnaisuuden osalta.
Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että momentissa viitattaisiin henkilöluottotietojen sijasta 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuihin tietoihin, minkä lisäksi momenttia tarkistettaisiin kielellisesti. Huomioiden pykälän voimassa olevan 3 momentin, jossa säädetään poikkeuksesta yrityskytkentätietojen osalta, säännös vastaisi nykytilaa. Muutetun 1 momentin säännöksen sanamuoto olisi tarkkarajaisempi kuin voimassa oleva momentti.
Pykälän 2 momentin johdantokappaletta tarkistettaisiin kielellisesti. Momentin 2 kohdassa ja 7 kohdassa korvattaisiin sana ”rekisteröity” sanoilla ”henkilö”. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi lainsäädäntöteknisenä tarkistuksena 7 kohdassa muutettaisiin viittausta rahanpesulaissa tarkoitettuihin ilmoitusvelvollisiin. Luottotietojen käyttötarkoitukseksi säädetty ”rahanpesun estämistä ja paljastamista koskevien velvoitteiden toteuttaminen” korvattaisiin tarkempirajaisella käyttötarkoituksella ”asiakkaan tuntemistoimien toteuttaminen”. Rahanpesulakiin on tehty uutta lakia säädettäessä terminologinen tarkistus, jonka perusteella laissa säädetään rahanpesun ja terrorismin rahoittamisen estämisestä, kun taas paljastaminen ja selvittäminen ovat erillisessä laissa rahanpesun selvittelykeskukselle säädettyjä tehtäviä. Laki koskee myös terrorismin rahoittamisen estämistä. Ilmoitusvelvollisilla on rahanpesulain 3 luvun 4 §:n nojalla velvollisuus hankkia tietoja asiakkaansa ja tämän tosiasiallisen edunsaajan toiminnasta, liiketoiminnan laadusta ja laajuudesta sekä perusteista palvelun tai tuotteen käyttämiselle. Ilmoitusvelvollisille on asetettu aktiivinen asiakassuhteen jatkuva seurantavelvollisuus ja selonottovelvollisuus. Teknisellä tarkistuksella ei laajennettaisi eikä kavennettaisi ilmoitusvelvollisten mahdollisuuksia saada asiakkaasta tai tämän tosiasiallisesta edunsaajasta tietoja luottotietolain nojalla.
Momentin 10 kohtaa olisi tarkistettava teknisesti sen huomioimiseksi, että siinä mainittu henkilötietolaki on kumottu. Pykälän 3 momentista ehdotetaan poistettavaksi tarpeettomana ensimmäinen virke, jonka mukaan momentissa säädetty ei estä yrityskytkentätietojen luovuttamista. Yrityskytkentätietoja koskeva poikkeus huomioitaisiin pykälän 1 momentin johdantokappaleessa. Säännös on myös osittain päällekkäinen 26 §:n säännösten kanssa. Koska yrityskytkentätiedot ovat lähtökohtaisesti julkisia, niiden luovuttamisesta ei olisi tarpeen säätää pykälässä, joka koskee käyttötarkoitussidonnaista henkilötietojen luovuttamista. Käyttötarkoitussidonnaisuutta koskevaa vaatimusta olisi kuitenkin noudatettava siinä tapauksessa, että yrityskytkentätietoja luovutettaisiin yhdistettyinä sellaisiin tietoihin, joita 19 §:ssä säädetyt edellytykset koskevat.
Pykälään ehdotetaan lisättäväksi uusi 4 momentti, jonka mukaan luonnollisella henkilöllä olisi oikeus saada tieto siitä, kenelle häntä koskeva 12 §:n 1 momentissa tai 13 §:ssä tarkoitettu tieto on viimeisen vuoden aikana luovutettu. Säännös on siirretty 29 §:stä, ja vastaisi nykytilaa. Säännös koskisi luottotietotoiminnan harjoittajia. Muilta osin rekisteröidyn informointiin sovellettaisiin suoraan tietosuoja-asetuksen säännöksiä. Pykälän 4 momentilla mukautettaisiin 6 artiklan 3 kohdan mukaisesti 13 artiklan 1 kohdassa säädettyjä menettelyjä, huomioiden henkilöluottotietojen ja erityisesti maksuhäiriötietojen luovutuksiin liittyvät riskit rekisteröidyn oikeuksien kannalta.
Pykälään lisättäisiin uusi 5 momentti, jonka mukaan sen, joka hankkii luottotietorekisteristä henkilöluottotietoja käytettäviksi luottoa myönnettäessä tai 2 momentin 4-6 kohdassa säädettyyn tarkoitukseen, olisi huolehdittava siitä, että rekisteröity voi saada ennakolta tiedon henkilöluottotietojensa käytöstä ja siitä, mistä luottotietorekisteristä tiedot hankitaan. Säännös on siirretty 29 §:n 2 momentista ja vastaisi sisällöllisesti nykytilaa. Momentin soveltamisala olisi laaja ja kattaisi tietojen luovutukset luoton myöntämisen lisäksi takauksen ja vierasvelkapantin hyväksymistä ja antamista varten, huoneenvuokrasopimuksen tekemistä varten sekä erilaisiin yksityisoikeudellisiin sopimuksiin sisältyvien sopimusehtojen määrittelemistä varten, jos kysymys on sellaisesta sopimuksesta, jonka tekemisestä ei lain mukaan voi kieltäytyä. Asunto-omaisuuteen liittyviä kuluttajaluottoja tarjoavien luotonantajien osalta säännöksellä on pantu täytäntöön asuntoluottodirektiivin 18 artiklan 5 kohdan b alakohta. Koska vastaavaa säännöstä ei sisälly kuluttajansuojalakiin, etukäteinen ilmoitusvelvollisuus olisi säilytettävä luottotietolaissa. Velvollisuus on myös yksityiskohtaisempi ja tarkkarajaisempi kuin yleisesti sovellettavat tietosuoja-asetuksen rekisteröidyn informointia koskevat säännökset, joita mukautettaisiin 6 artiklan 3 kohdan salliman sääntelyliikkumavaran perusteella. Tämän säännöksen säilyttäminen laissa on myös tärkeää siitä syystä, että maksuhäiriötietojen luovutuksilla pykälän 2 momentin 4-6 kohdassa säädettyihin tarkoituksiin on pitkälle meneviä vaikutuksia luonnollisen henkilön yksityiselämään.
Pykälään lisättäisiin uusi 6 momentti, jonka mukaan luottotietorekisteristä henkilöluottotietoja hankkineen, joka hylkää luottohakemuksen 12 §:n 1 momentissa tai 13 §:ssä tarkoitettujen tietojen perusteella, olisi välittömästi päätöksen jälkeen ilmoitettava luonnolliselle henkilölle tällaisesta luottotiedon käytöstä ja siitä, mistä luottotietorekisteristä tieto on peräisin. Säännös on siirretty 29 §:n 2 momentista ja vastaisi sisällöllisesti nykytilaa. Säännös koskisi luotonantajia. Henkilötietojen käsittelystä informointiin sovellettaisiin lähtökohtaisesti sellaisenaan tietosuoja-asetuksen säännöksiä. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisesti olisi tarpeen mukauttaa 13 §:n 1 kohdassa säädettyjä menettelyjä. Säännöksellä on pantu täytäntöön kulutusluottodirektiivin 9 artiklan 2 kohta ja asuntoluottodirektiivin 18 artiklan 5 kohdan c alakohdan toinen virke. Koska vastaavaa velvollisuutta ei sisälly kuluttajansuojalakiin, säännös olisi säilytettävä luottotietolaissa.
Uusiin momentteihin sisältyvät säännökset ehdotetaan siirrettäväksi 29 §:stä siitä syystä, että 29 § sisältää myös sellaisia säännöksiä, jotka eivät ole tietosuoja-asetuksen rinnalla mahdollisia. Kyseisen pykälän säännösten soveltamisala on myös nykyisellään epäselvä. Kun säännökset sisältyisivät samaan pykälään, jossa myös säädetään henkilöluottotietojen yhteensopivista käsittelytarkoituksista, sääntely olisi selkeämpää luottotietojen käyttäjien ja valvonnan kannalta. Esimerkiksi luotonantajat käsittelevät luottotietoja eri oikeusperusteilla kuin luottotietotoiminnan harjoittajat. Erityisesti maksuhäiriötietojen luovutuksilla on niiden säilytysaikojen ohella merkittäviä vaikutuksia rekisteröidyn oikeuksiin, jolloin säännösten sijoittaminen selkeämmin samaan kokonaisuuteen tekisi myös sääntelystä läpinäkyvämpää tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan vaatimuksen mukaisesti. Rekisteröidyn oikeudet ilmenisivät tietojen luovutustilanteissa laista aiempaa selkeämmin, jolloin myös rekisteröidyn oikeuksien suoja vahvistuisi.
20 §.Henkilöluottotietojen luovuttaminen sähköisesti. Pykälässä säädetään henkilöluottotietojen luovuttamisesta teknisen käyttöyhteyden välityksellä 19 §:ssä tarkoitettuihin tarkoituksiin. Pykälän johdantokappaletta ehdotetaan täsmennettäväksi 19 §:n 1 momenttia vastaavasti siten, että siinä viitattaisiin 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuihin tietoihin. Sähköistä tietojen luovuttamista koskevat edellytykset koskisivat nykytilaa vastaavasti kaikkia pykälissä tarkoitettuja tietoja lukuun ottamatta yrityskytkentätietojen luovutuksia. Pykälän 3 momentti ehdotetaan samalla kumottavaksi.
Momentti on perusteltu lain esitöissä sillä, että rajoituksetta tapahtuvan yrityskytkentätietojen luovuttamisen ei voida katsoa vaarantavan perustuslain 10 §:n 1 momentissa säädettyä yksityiselämän suojaa, koska kysymys on tiedoista, jotka liittyvät henkilön toimintaan yritystoiminnassa tai muussa vastaavassa roolissa. Lain 12 §:n mukaisesti nämä tiedot kuitenkin luokitellaan henkilöluottotietoihin, eikä lain esitöissä ole esitetty erityisiä perusteluja sille, mistä syystä niitä tulisi voida luovuttaa löyhemmin perustein kuin muita henkilöluottotietoja. EU:n tuomioistuin on katsonut, että ilmaisua "yksityiselämä" ei pidä tulkita suppeasti ja ettei mikään periaatteellinen syy salli sitä, että ammattitoiminta jätettäisiin tämän käsitteen ulkopuolelle" (Esim. yhdistetyt asiat C-465/00, C-138/01 ja C-139/01, Österreichischer Rundfunk ym., EU:C:2003:294, 73 kohta). Suhteellisuusperiaatteen mukaisesti perusoikeuskirjan takaamiin oikeuksiin ja vapauksiin voidaan kuitenkin säätää poikkeuksia, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia (esim. tuomio yhdistetyissä asioissa Star Storage ym., C‑439/14 ja C‑488/14, EU:C:2016:688, 49 kohta ja tuomio asiassa N., C‑601/15 PPU, EU:C:2016:84, 50 kohta. Lainsäätäjän olisi siten varmistuttava siitä, että yksityiselämän suojan rajoittaminen on välttämätöntä ja oikeasuhteista. Yrityskytkentätietojen muita henkilötietoja laajemmalla saatavuudella voidaan katsoa olevan yleisen edun mukainen tavoite, joka liittyy erityisesti harmaan talouden torjuntaan.
Siihen, että henkilötietoja luovutetaan yleisen tietoverkon välityksellä, voi kuitenkin liittyä aina riskejä luonnollisen henkilön oikeuksien kannalta, vaikka tiedot olisivat lähtökohtaisesti julkisia. Nämä riskit liittyvät erityisesti siihen, että yleisessä tietoverkossa henkilötiedot ovat helposti ja nopeasti saatavilla ja yhdistettävissä muihin tiedonlähteisiin. Myös yrityskytkentätietoihin voi liittyä rekisteröidyn kannalta yllättäviä kielteisiä vaikutuksia. Näin voi olla esimerkiksi silloin, jos henkilö on lupautunut muodollisesti osallistumaan toisen yrityksen hallitukseen vailla tosiasiallista mahdollisuutta vaikuttaa yrityksen talouteen.
Luonnollisen henkilön toimintamahdollisuuksiin kohdistuvien riskien ja yksityiselämän suojaan kohdistuvan rajoituksen oikeasuhteisuuden varmistamiseksi yrityskytkentätietoja koskevaa poikkeusta ei saisi soveltaa siinä tapauksessa, että niitä luovutettaisiin samanaikaisesti maksuhäiriötietojen tai muiden henkilöluottotietojen kanssa tai yhdistettyinä tällaisiin tietoihin. Tämä vastaisi nykytilaa, jossa poikkeus koskee pelkästään yrityskytkentätietoja. Vastaava periaate on myös nimenomaisesti huomioitu lain 26 §:ssä, jonka mukaan yrityksen vastuuhenkilöitä koskevia maksuhäiriötietoja saa luovuttaa teknisen käyttöyhteyden avulla tai muutoin sähköisesti 19 §:ssä säädettyjen edellytysten täyttyessä.
21 §.Yrityksen perustiedot. Pykälän johdantokappaleessa ehdotetaan sana ”rekisteröity” korvattavaksi sanoilla ”yritys tai sen edustaja tai vastuuhenkilö”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Yrityksen oikeuksia voi käyttää myös yrityksen vastuuhenkilö tai sen muu edustaja, joka voisi antaa suostumuksen myös muiden kuin pykälässä tarkoitettujen perustietojen tallettamiseen rekisteriin. Oikeuksien käyttö yrityksen puolesta on huomioitu jo voimassa olevan 30 §:n 1 momentissa. Yrityksen vastuuhenkilö määritellään 3 §:n 3 kohdassa. Se, mitä edustajalla tarkoitettaisiin, määräytyy tapauskohtaisesti kunkin yrityksen osalta sitä koskevan lainsäädännön perusteella. Edustaja voi käytännössä olla joku vastuuhenkilön määritelmässä tarkoitetuista henkilöistä, mutta laissa nimenomaisesti säädetyn edustuksen lisäksi on tarpeen kattaa myös muu mahdollinen henkilö, jolla on edustusoikeus joko yrityksen palveluksessa olevana henkilönä tai sopimussuhteen perusteella.
22 §.Viranomaisen rekisteristä poikkeavan merkinnän tekeminen. Pykälän otsikko muutettaisiin vastaamaan tarkemmin säännösten sisältöä. Pykälässä käytetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa mukauttamalla tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan mukaista henkilötietojen täsmällisyysvelvoitetta, jonka mukaan rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Pykälässä ehdotetaan korvattavaksi sanat ”luottotietorekisterin pitäjä” ja ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Pykälän ruotsinkielistä sanamuotoa tarkistettaisiin myös kielellisesti.
23 §.Tiedot liiketoimintakiellosta. Pykälässä säädetään oikeudesta tallettaa luottotietorekisteriin tiedot henkilöstä, joka on määrätty liiketoimintakieltoon. Pykälän mukaan tietoja saa myös luovuttaa teknisen käyttöyhteyden avulla tai muutoin sähköisesti. Liiketoimintakiellosta annetun lain (1059/1985) 21 §:ssä säädetään Oikeusrekisterikeskuksen pitämästä rekisteristä, jonka sisältämät voimassa olevia liiketoimintakieltoja koskevat tiedot ovat julkisia ja kenellä tahansa on oikeus saada rekisteristä tieto voimassa olevasta liiketoimintakiellosta myös kopiona tai tulosteena. Teknisen käyttöyhteyden avulla tapahtuva tietojen luovuttaminen on kuitenkin rajattu tiettyihin käyttötarkoituksiin. Luottotietotoimintaa harjoittavalla on oikeus saada tieto teknisen käyttöyhteyden avulla omaa toimintaansa varten. Luottotietolaissa ei ole säädetty liiketoimintakieltorekisteristä tapahtuvia luovutuksia vastaavaa käyttötarkoituksen rajoitusta, vaikka kyse olisi tietojen jälleen luovuttamisesta. Lisäksi liiketoimintakieltorekisterin sisältämät päättyneitä liiketoimintakieltoja koskevat tiedot ovat salassa pidettäviä. Niitä voidaan luovuttaa salassapitovelvollisuuden estämättä vain rajattuihin käyttötarkoituksiin. Luottotietolaissa ei ole rajattu ollenkaan näiden tietojen luovuttamista.
Pykälää ehdotetaan muutettavaksi siten, että luottotietotoiminnan harjoittaja saisi luovuttaa tiedon voimassa olevasta liiketoimintakiellosta luottotiedon käyttäjälle, jos se on tarpeen 19 §:ssä säädettyyn tarkoitukseen. Tiedon luovuttaminen sidottaisiin siten voimassa oleviin liiketoimintakieltoihin. Päättynyttä liiketoimintakieltoa koskevaa tietoa ei saisi luovuttaa edelleen. Huomioiden, että alkuperäisessä rekisterissä tietojen sähköinen luovuttaminen on sidottu käyttötarkoitukseen, pykälässä olisi asetettava myös käyttötarkoitusrajoitus. Koska voimassa oleva liiketoimintakieltoa koskeva tieto on julkinen ja luovutettava tieto on yksilöity, tiedonluovutus voitaisiin sitoa tiedon tarpeellisuuteen 19 §:ssä säädettyyn tarkoitukseen.
24 §.Yrityksen maksuhäiriöitä koskevat ja niitä täydentävät tiedot. Pykälän 1 momentin 1 kohdassa sana ”rekisteröidystä” korvattaisiin sanoilla ”merkitystä velallisesta” ja 2 kohdassa sana ”rekisteröidyn” korvattaisiin sanalla ”velallisen”. Momentin 4 ja 6 kohdassa tehtäisiin vastaavat muutokset. Lisäksi 1 ja 4 kohtaa tarkistettaisiin kielellisesti. Myös pykälän 3 ja 4 momentissa sana ”rekisteröity” korvattaisiin sanalla ”velallinen”. Muutoksilla huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi 3 ja 4 momentissa korvattaisiin sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja” sekä selkeyden vuoksi sana ”rekisteri” sanalla ”luottotietorekisteri”. Momenttien ruotsinkielistä versiota tarkistettaisiin kielellisesti, jotta niiden sanamuoto on yhdenmukainen lain 13 §:n 2 ja 3 momentin sanamuodon kanssa.
26 §.Yrityksen vastuuhenkilöitä koskevien henkilöluottotietojen käsittely. Pykälässä korvattaisiin sana ”luottotietorekisterin pitäjä” sanalla ”luottotietotoiminnan harjoittaja”.
27 §.Yrityksen luottokelpoisuusarvioinnissa käytettävät tiedot. Pykälän 1 momentissa ehdotetaan sana ”rekisterinpitäjä” korvattavaksi sanalla ”luottotietotoiminnan harjoittaja”. Lisäksi momentin ruotsinkieliseen sanamuotoon tehtäisiin kielellinen tarkistus.
28 §.Rekisterimerkintöjen säilyttämisajat. Pykälän 1 momentin 1 kohtaa ehdotetaan muutettavaksi siten, että konkurssia koskevat tiedot olisi poistettava kuukauden kuluessa siitä, kun tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä. Konkurssiasiaa koskevat tiedot olisi kuitenkin poistettava viimeistään viiden vuoden kuluttua konkurssin alkamisesta. Säilytysaika määräytyisi sen mukaisesti, kumpi niistä on lyhyempi. Voimassa olevan säännöksen mukaan konkurssia koskevat tiedot poistetaan viiden vuoden kuluessa konkurssin alkamisesta. Tiedot on kuitenkin poistettava kuukauden kuluessa siitä, kun konkurssi- ja yrityssaneerausrekisteristä on poistettu konkurssiasiaa koskevat tiedot sen vuoksi, että konkurssihakemus on hylätty taikka jätetty tutkimatta tai sillensä taikka että konkurssi on määrätty peruuntumaan. Säilytysaika on voinut pidentyä uuden merkinnän johdosta, kuitenkin niin, että tiedot on poistettava kolmen kuukauden kuluessa siitä, kun viimeisintä konkurssimerkintää koskevat tiedot on poistettu konkurssi- ja yrityssaneerausrekisteristä. Säilytysaika sidottaisiin selkeämmin konkurssi- ja yrityssaneerausrekisteriin, kuitenkin niin, että vastaavasti, kuin luonnollista henkilöä koskevat tiedot, yrityksen konkurssia koskevat tiedot olisi poistettava viimeistään viiden vuoden kuluessa konkurssin alkamisesta.
Momentin 4 kohdassa ehdotetaan korvattavaksi sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Momentin 5 kohdassa korvattaisiin sana ”rekisteröidyn” sanalla ”velallisen”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä.
Momentin 8 kohdan mukaista liiketoimintakieltoa koskevan merkinnän säilytysaikaa muutettaisiin siten, että merkintä poistettaisiin luottotietorekisteristä, kun liiketoimintakielto päättyy. Muutos olisi tarpeen, koska lakiin ehdotetaan samalla myös lisättäväksi kielto luovuttaa päättynyttä liiketoimintakieltoa koskevaa tietoa.
Pykälän 2 momenttia muutettaisiin siten, että jos luottotietotoiminnan harjoittajalle on tullut tieto 24 §:n 1 momentin 2, 3, 5 tai 7 kohdassa tarkoitetun saatavan suorittamisesta, jonka laiminlyönnistä merkintä on syntynyt, tieto poistetaan yhden kuukauden kuluessa tiedon saamisesta. Muutos koskisi seuraavin perustein tehtyjä yritysten maksuhäiriötietoja: tiedot maksun laiminlyönnistä, joka on todettu tuomioistuimen lainvoimaisella tuomiolla tai yksipuolisella tuomiolla taikka rekisteröidyn hyväksymän vekselin protestilla, tiedot asiakohtaisesti eriteltyinä sellaisesta ulosottoasiasta, jossa on annettu estetodistus tai tieto pitkäkestoisesta ulosotosta. veroviranomaisen julkistama tieto sellaisesta verosaatavasta tai vakuutuslaitoksen ilmoittama tieto sellaisen lakisääteiseen vakuutukseen perustuvan saatavan laiminlyönnistä, joka voidaan ulosmitata ilman tuomiota tai päätöstä, tieto velkojan erääntyneen ja riidattoman saatavan johdosta antamasta maksukehotuksesta. Momenttia muutettaisiin lisäksi siten, että 1 momentin 1 ja 7 kohdassa tarkoitetun merkinnän säilytysaikaa ei enää pidennettäisi uuden merkinnän johdosta. Muutoksen myötä jokaisen yritysluottotietona talletettavan maksuhäiriömerkinnän säilytysaika olisi riippumaton tulevista merkinnöistä.
7 luku – Oikeus saada tietoja ja virheen oikaisu. Luku ehdotetaan otsikoitavaksi uudelleen. Voimassa olevan lain otsikko ”Rekisteröidyn oikeudet ja niiden toteuttaminen” antaa vaikutelman päällekkäisestä sääntelystä tietosuoja-asetuksen sisältämien rekisteröidyn oikeuksia koskevien säännösten kanssa. Uusi otsikko kattaisi ne luvun säännökset, joiden säilyttäminen on tarpeen laissa tarkoitetun muun tiedonsaantioikeuden ja virheen oikaisun turvaamiseksi. Laissa olisi edelleen säädettävä yrityksen tiedonsaantioikeudesta, rekisteröidyn oikeuksien rajoittamisesta ja muun virheen kuin virheellisen henkilötiedon oikaisemisesta. Luvusta poistettaisiin sellaiset säännökset, jotka ovat päällekkäisiä tietosuoja-asetuksen säännösten kanssa.
29 §.Tiedottaminen rekisteröidylle. Pykälä ehdotetaan kumottavaksi. Pykälän sisällössä on jossain määrin päällekkäisyyttä tietosuoja-asetuksen 12 artiklan kanssa. Artiklan mukaan rekisterinpitäjällä on aktiivinen rekisteröidyn informointivelvollisuus. Vastaavasti 29 §:n tarkoituksena on huomioida tilanteet, joissa luottotietorekisterin pitäjän ja luottotietojen käyttäjän on aktiivisesti annettava rekisteröidylle tietoa luottotietojen käsittelystä. Pykälä koskee luonnollisia henkilöitä.
Luottotietolain voimassa oleva 29 § sisältää kuitenkin tietosuoja-asetuksen 12 artiklaan nähden tarkempia säännöksiä, jotka osoittavat tarkemmin ne tilanteet, joissa tiedonantovelvollisuus on olemassa. Tiedonantovelvollisuus on myös jossain määrin laajempi. Tietosuoja-asetuksesta ei johdu suoraan velvollisuutta ilmoittaa rekisteröidylle tietoa saatavan suorittamisen vaikutuksesta luottotietorekisteriin tehtäviin merkintöihin. Pykälässä tarkoitetut voidaan antaa esimerkiksi markkinoinnin yhteydessä, asiakaskirjeissä tai vakiosopimuksissa.
Pykälän 1 momentissa tarkoitettu informointivelvollisuus on osittain päällekkäinen tietosuoja-asetuksen 14 artiklan mukaisen rekisterinpitäjälle kuuluvan velvollisuuden kanssa. Momentissa säädetty velvollisuus lähettää tieto saatavan suorittamisen vaikutuksesta luottotietorekisteriin tehtäviin merkintöihin sisällytettäisiin lain 18 §:ään, jossa säädetään maksuhäiriötietojen säilytysajoista. Pykälän 2 momentissa säädetään luottotietojen käyttäjälle kuuluvasta informointivelvollisuudesta. Tietojen käyttäjä ei ole luottotietorekisterin rekisterinpitäjä, mutta voi olla omassa toiminnassaan käsiteltävien henkilötietojen rekisterinpitäjä. Momentissa on kyse tietojen luovuttamisesta luoton myöntämistä varten taikka 19 §:n 2 momentin 4-6 kohdassa säädettyihin tarkoituksiin, joita ovat takauksen tai vierasvelkapantin hyväksyminen tai antaminen; huoneenvuokrasopimuksen tekeminen; sekä sopimusehtojen määritteleminen, jos kysymys on sellaisesta sopimuksesta, jonka tekemisestä ei lain mukaan voida kieltäytyä. Momentin ensimmäinen ja toinen virke ovat samalla asuntoluottodirektiivin ja kulutusluottodirektiivin täytäntöönpanoon liittyviä säännöksiä, jotka siirrettäisiin lain 19 §:ään. Lisäksi viimeinen virke ehdotetaan poistettavaksi tarpeettomana. Momentissa säädetään yrityskytkentätietoja koskevasta poikkeuksesta, josta ei olisi tarpeen säätää. Tällä ei olisi vaikutusta nykytilaan. Siirretyissä säännöksissä informointivelvollisuus olisi rajattu lain 12 §:n 1 momentissa ja 13 §:ssä tarkoitettuihin tietoihin.
30 §.Yrityksen oikeus saada tietoja. Voimassa olevan pykälän otsikko ”Tarkastusoikeus” on päällekkäinen tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden kanssa siltä osin kuin on kyse henkilötietojen käsittelystä. Otsikko ehdotetaan korvattavaksi uudella otsikolla, jossa huomioitaisiin pelkästään yrityksen tiedonsaantioikeus. Voimassa olevan pykälän 1 momentti koskee yrityksen, sen edustajan ja vastuuhenkilön oikeutta saada tieto siitä, mitä tietoja yrityksestä ja sen vastuuhenkilöistä on talletettu luottotietorekisteriin ja mistä rekisteriin talletetut tiedot ovat peräisin. Säännös vastaisi nykytilaa. Lain soveltamisen kannalta on kuitenkin tarpeen selventää, että tiedonsaantioikeus ei kata toista luonnollista henkilöä koskevaa maksuhäiriötietoa, jota on käsitelty henkilöluottotietona, jos maksuhäiriötieto ei liity yritystoimintaan.
Huomioiden tietosuoja-asetuksen suoran sovellettavuuden siltä osin kuin on kyse luonnollisten henkilöiden oikeudesta saada tieto itseään koskevien henkilötietojen tallettamisesta, viittaus tietosuoja-asetukseen ei olisi välttämätön. Selkeyden vuoksi asia kuitenkin huomioitaisiin uudella informatiivisella viittaussäännöksellä. Vanhentunut viittaus henkilötietolakiin poistetaan tarpeettomana. Momentissa myös korvattaisiin sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Momentin ruotsinkieliseen sanamuotoon ehdotetaan kielellisiä tarkistuksia.
Pykälän 2 momentti ehdotetaan korvattavaksi uudella momentillaja 3 momentti ehdotetaan kumottavaksi. Uusi 2 momentti sisältäisi informatiivisen viittaussäännöksen tietosuoja-asetukseen, jossa säädetään rekisteröidyn oikeudesta saada tietoja. Säännös kattaisi sekä voimassa olevassa 1 momentissa tarkoitettujen yrityksen edustajien ja vastuuhenkilöiden oikeuksien lisäksi voimassa olevan lain 2 ja 3 momentin mukaiset oikeudet saada tieto eräistä tiedonluovutuksista. Näihin tilanteisiin sovellettaisiin sellaisenaan tietosuoja-asetuksen säännöksiä. Koska rekisteröidyn tarkastusoikeudesta ei enää säädettäisi luottotietolaissa, myöskään pykälän 2 momentin mukaiselle rekisteröidyn tarkastusoikeuden rajoittamiselle ei ole tarvetta. Rekisteröidyn tarkastusoikeutta on voimassa olevassa laissa rajoitettu siltä osin kuin on kyse oikeudesta saada tieto yrityskytkentätietojen luovuttamisesta. Tarkastusoikeutta olisi kuitenkin mahdollista rajoittaa yksittäistapauksessa tietosuojalain 34 §:n 1 momentin nojalla, jos tiedon antaminen saattaisi haitata esimerkiksi rikoksen selvittämistä. Tietosuoja-asetuksen 15 artiklan 1 kohdan c alakohdan sanamuoto sisältää myös vaihtoehtoina mahdollisuuden antaa rekisteröidylle tieto vastaanottajista tai vastaanottajaryhmistä, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa. Pykälän 3 momentin sisältämä rekisteröidyn tarkastusoikeuden rajoitus ehdotetaan sisällytettäväksi uuteen 30 a §:ään.
30 a §.Rajoitus rekisteröidyn oikeudesta saada tietoja. Pykälän 1 momentti vastaisi sisällöllisesti voimassa olevan lain 30 §:n 3 momenttia. Momentin mukaisesti tietosuoja-asetuksessa tarkoitetulla rekisteröidyllä ei olisi oikeutta saada tietoa siitä, jolle häntä koskeva henkilöluottotieto on luovutettu, jos tietoja on luovutettu rahanpesulaissa tarkoitetulle ilmoitusvelvolliselle poikkeavia liiketoimia koskevan selonottovelvollisuuden hoitamista varten taikka jos tieto on luovutettu rahapesun selvittelykeskukselle rahanpesun tai terrorismin rahoittamisen estämiseksi, paljastamiseksi tai selvittämiseksi. Ehdotetulla rekisteröidyn oikeuden rajoituksella huomioidaan se, että ilmoitusvelvollisella on myös rahanpesulain 4 luvun mukainen velvollisuus ilmoittaa rahanpesun selvittelykeskukselle epäilyttävistä liiketoimista, joita koskee salassapitovelvollisuus. Voimassa oleva 30 §:n 3 momentti on alun perin lisätty luottotietolakiin vuonna 2008. Säännös koskee pelkästään tiedonluovutuksia luottotietotoiminnan harjoittajan rekisteristä rahanpesulaissa säädettyihin tarkoituksiin. Siltä osin kuin kyse on rekisteröidyn oikeudesta saada tieto sellaisista luovutetuista tiedoista, jotka on talletettu rahanpesulain 2 luvun 1 §:ssä tarkoitetun ilmoitusvelvollisen ylläpitämään henkilörekisteriin, rekisteröidyn tarkastusoikeuteen sovellettaisiin, mitä rahanpesulaissa säädetään. Rahanpesun selvittelykeskuksen ylläpitämään rekisteriin talletettuihin tietoihin kohdistuvaan rekisteröidyn tarkastusoikeuteen puolestaan sovellettaisiin, mitä rahanpesun selvittelykeskuksesta annetussa laissa (445/2017) säädetään. Momentti on voimassa olevassa luottotietolain 30 §:ssä osa lainsäädäntökokonaisuutta, jolla on pantu täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/849 rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen.
Pykälässä säädetty tarkastusoikeuden rajoitus olisi edelleen mahdollinen tietosuoja-asetuksen 23 artiklan 1 kohdan d alakohdan nojalla, jotta voidaan taata rahanpesu- ja terrorismin rahoittamisrikosten sekä rahanpesun esirikosten ennalta estäminen, selvittäminen ja paljastaminen tai tällaisiin rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano. Rajoittamista tarkoittavan lainsäädäntötoimenpiteen olisi kuitenkin täytettävä 23 artiklan 2 kohdassa säädetyt edellytykset. Rajoituksen kattamat käsittelyn tarkoitukset, henkilötietoryhmät ja soveltamisala ilmenevät ehdotetusta rajoitussäännöksestä. Rajoituksen oikeasuhteisuuden varmistamiseksi se koskisi pelkästään henkilöluottotietoja, jotka on luovutettu poikkeavia liiketoimia koskevan selonottovelvollisuuden hoitamista varten. Muiden 23 artiklan 2 kohdassa säädettyjen edellytysten arvioidaan täyttyvän tietosuoja-asetuksen yleisillä säännöksillä, jotka koskevat erityisesti tietoturvallisuutta. Pykälään ehdotetaan kuitenkin lisättäväksi selvyyden vuoksi 2 momentti, jossa viitattaisiin sovellettavaan yleislakiin, jossa säädetään siitä, että rekisteröidylle olisi kerrottava rajoituksen syy, jollei se vaaranna rajoituksen tarkoitusta, sekä rekisteröidyn mahdollisuudesta käyttää oikeuksiaan tietosuojavaltuutetun välityksellä. Tämä olisi perusteltua, ottaen huomioon, että 1 momentissa tarkoitetuissa tilanteissa henkilötietoja vastaanottaviin tahoihin sovelletaan eri yleislakeja. Rahanpesun selvittelykeskus kuuluu rikosasioiden tietosuojalain soveltamisalaan.
Pykälän erityissäännökset olisivat edelleen tarpeen, koska siinä säädettävissä tilanteissa ei ole mahdollista soveltaa tietosuojalain 34 §:n säännöksiä, joiden nojalla rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin. Tietosuojalain 34 §:n 1 momentin nojalla rekisteröidyn oikeutta voidaan rajoittaa muun muassa, jos tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä. Säännöksiä sovelletaan yleisimmin tietojen luovuttamiseen esitutkintaviranomaiselle tai Suojelupoliisille.
31 §. Virheen oikaisu. Pykälän sanamuotoa ehdotetaan tarkistettavaksi osittain päällekkäisenä tietosuoja-asetuksen kanssa, ja samalla muutetusta pykälästä tulisi uusi 1 momentti. Voimassa olevassa pykälässä säädetään luottotietorekisterissä tai luottotietolausunnossa olevan virheen oikaisusta, mutta säännöksessä ei ole rajattu virheen oikaisua henkilötietoihin. Rekisterinpitäjän on pykälän nojalla oikaistava ilman aiheetonta viivytystä luottotietorekisterissä tai luottotietolausunnossa oleva virheellinen, puutteellinen tai harhaan johtava tieto sekä rekisteröidyn pyynnöstä ilmoitettava virheen oikaisusta sille, jolle virheellinen tieto on annettu. Sen lisäksi rekisteröidyn pyynnöstä on yritysluottotiedossa olleen virheen oikaisusta ilmoitettava sille, jonka rekisteröity ilmoittaa saaneen virheellisen yritysluottotiedon. Säännös koskee siten rekisteröityjen luonnollisten henkilöiden lisäksi myös yrityksiä ja on keskeinen rekisteröidyn oikeusturvan kannalta sekä henkilöluottotietojen että yritysluottotietojen osalta. Tästä syystä säännös ehdotetaan säilytettäväksi suureksi osaksi sen varmistamiseksi, että rekisterinpitäjällä olisi myös oikaista sellainen muu rekisteröidyn oikeuksiin vaikuttava virheellinen tieto kuin tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdassa tarkoitettu epätarkka ja virheellinen henkilötieto. Rekisterinpitäjällä on tietosuoja-asetuksen mukaan velvollisuus joko oikaista tai poistaa tällainen tieto rekisteröidyn pyynnöstä tai oma-aloitteisesti. Uudesta momentista ehdotetaan kuitenkin poistettavaksi tietosuoja-asetuksen sääntelyn kanssa päällekkäisenä rekisterinpitäjän velvollisuus ilmoittaa virheen oikaisusta sille, jolle virheellinen henkilöluottotieto on annettu. Tähän tilanteeseen sovellettaisiin sellaisenaan tietosuoja-asetuksen 19 artiklan säännöksiä. Ensimmäisessä virkkeessä korvattaisiin sana ”luottotietolausunnossa” sanoilla ”luottokelpoisuutta osoittavassa arviointitiedossa”, jota käytetään 16 §:ssä ja 27 §:ssä. Lisäksi toisessa virkkeessä, joka koskee pelkästään yritysluottotietoja, sana ”rekisteröity” korvattaisiin sanoilla ”yritys tai sen edustaja tai vastuuhenkilö”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Samalla virkettä tarkistettaisiin kielellisesti. Virheen oikaisulla 1 momentissa tarkoitettaisiin erilaisten asiavirheiden ja teknisten virheiden oikaisemista. Asiavirheen korjaamisella tarkoitettaisiin selvästi virheelliseen tai puutteelliseen selvitykseen tai ilmeisen väärään lain soveltamiseen perustuvan luottotietotoiminnan harjoittajan päätöksen muuttamista tai uutta päätöstä. Tekniset virheet voivat olla esimerkiksi kirjoitus- tai laskuvirheitä, teknisestä viasta aiheutuneita virheitä taikka muita näihin verrattavissa olevia virheitä. Virheen oikaisu kattaisi siten myös luottokelpoisuusarvioiden muodostamisessa tapahtuneet virheet, joissa ei ole kyse pelkästä henkilötiedosta. Pykälä koskisi siten muita kuin tietosuoja-asetuksessa tarkoitettuja henkilötietoja. Säännös myös kattaisi edelleen sellaiset yritysluottotietojen käsittelyssä ilmenneet virheet, jotka eivät liity yksiselitteisesti henkilötietojen käsittelyyn.
Pykälään ehdotetaan lisättäväksi viittaussäännös (2 momentti), jonka mukaan virheellisen henkilötiedon oikaisemisesta säädetään tietosuoja-asetuksessa. Henkilöluottotiedot ja yrityskytkentätiedot ovat tietosuoja-asetuksessa tarkoitettuja henkilötietoja. Informatiivinen säännös olisi tarpeen ehdotetun sääntelyn ja tietosuoja-asetuksen suhteen täsmentämiseksi.
31 a §.Kielteinen päätös. Lakiin ehdotetaan lisättäväksi uusi 31 a §, johon siirrettäisiin kumottavaksi ehdotettavan 32 §:n 2 momentin sisältö siltä osin kuin on kyse luottotietorekisteriin tallennettujen yrityksiä koskevien tietojen antamista ja virheellisten tietojen muuttamista koskevista ratkaisuista. Pykälän mukaan luottotietotoiminnan harjoittajan olisi annettava kirjallinen päätös, jos se kieltäytyy antamasta yritykselle 30 §:ssä tarkoitettua tietoa tai oikaisemasta 31 §:n 1 momentissa tarkoitettua virheellistä tietoa. Päätöksestä tulisi ilmetä ne lainkohdat ja tosiseikat, joihin kieltäytyminen perustuu. Päätökseen olisi liitettävä tieto oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi. Luonnollisten henkilöiden esittämien henkilötietojen oikaisua koskevien pyyntöjen käsittelyyn sovellettaisiin tietosuoja-asetusta. Säännösten säilyttäminen on keskeistä luonnollisen henkilön oikeusturvan ja yrityksen oikeuksien varmistamiseksi niissä tilanteissa, joita tietosuoja-asetuksen säännökset eivät kata.
32 §.Oikeus käyttää omaa kieltä. Pykälän 1 momentissa säädetään rekisteröidyn oikeudesta käyttää omaa kieltään, joko suomea tai ruotsia, käyttäessään rekisteröidyn tarkastusoikeutta tai esittäessään virheen oikaisupyynnön. Rekisteröidyllä on Suomessa tällainen oikeus suoraan kielilain (2003/423) nojalla silloin, kun kyse on asioinnista viranomaisessa. Jos julkinen hallintotehtävä on lailla tai lain nojalla säädetty yksityiselle, sitä koskee sen hoitaessa tätä tehtävää, mitä kielilaissa säädetään viranomaisesta. Momentti ehdotetaan säilytettäväksi, koska luottotietotoiminnan harjoittajat eivät ole viranomaisia, eivätkä yleisesti sovellettavat tietosuoja-asetus ja tietosuojalaki sisällä säännöksiä rekisteröidyn oikeudesta käyttää omaa kieltään. Luottotietolain säännöksiä ei ole perusteltu suhteessa perustuslain 124 §:ään. Luottotietolain osalta ei ole myöskään esitöiden valossa arvioitu, voisiko luottotietotoiminnassa olla kyse kielilain 25 §:ssä tarkoitetun julkisen hallintotehtävän antamisesta yksityisille, jolloin yksityistä koskisivat kielilain vaatimukset. Sen sijaan luottotietolaissa erikseen säädetty rekisteröidyn oikeus käyttää omaa kieltä voidaan perustella luottotietotoiminnan vaikutuksilla rekisteröidyn oikeuksiin ja oikeusturvaan. Momenttia täsmennettäisiin siten, että siinä viitattaisiin luonnolliseen henkilöön, joka käyttää tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksiaan tai lain 31 §:n mukaista oikeuttaan, ja yritykseen, joka käyttää 30 tai 31 §:n mukaista oikeuttaan. Momentista poistettaisiin sanat ”tarkastusoikeutta ja virheen oikaisua koskevassa”. Samalla momentin ruotsinkielistä sanamuotoa muutettaisiin vastaamaan kielilain terminologiaa siten, että sanat ”sitt modersmål” korvataan sanoilla ”sitt eget språk”. Luonnollisella henkilöllä ja yrityksellä olisi oikeus käyttää omaa kieltään, joko suomea tai ruotsia, omassa asiassaan sekä saada asiakirjat tällä kielellä. Säännöksellä ei tarkoitettaisi yleisiä tiedusteluja, vaan tilanteita, joissa yrityksen tai luonnollisen henkilön on tarve saada itseään koskevia tietoja tai saada itseään koskeva tieto oikaistuksi. Yrityksen osalta omalla kielellä tarkoitettaisiin kyseessä olevan oikeushenkilön pöytäkirjakieltä, jos se on suomi tai ruotsi.
Pykälän 2 momentti ehdotetaan kumottavaksi päällekkäisenä tietosuoja-asetuksen ja tietosuojalain sääntelyn kanssa. Momentissa säädetään rekisterinpitäjän velvollisuudesta antaa kirjallinen ratkaisu, jos se kieltäytyy toteuttamasta rekisteröidyn tarkastusoikeutta tai muuttamasta rekisterissä olevaa tietoa, sekä ne lainkohdat ja tosiseikat, joihin kieltäytyminen perustuu. Samalla pykälän otsikko ehdotetaan muutettavaksi siten, että se vastaa pelkästään säilytettävän 1 momentin sisältöä. Tarvittava sääntely sisällytettäisiin uuteen 31 a §:ään.
8 luku – Valvonta. Luvussa säädetään luottotietotoiminnan valvonnasta, joka lain 33 §:n mukaan kuuluu tietosuojavaltuutetulle. Voimassa olevan luvun sisältämät säännökset ovat osittain päällekkäisiä tietosuoja-asetuksen ja tietosuojalain mukaisen valvonnan kanssa, joten pykäliä ehdotetaan eräiltä osin tarkistettavaksi. Luottotietolain mukainen valvonta ei kuitenkaan kaikilta osin ole pelkkää henkilötietojen käsittelyn valvontaa, vaan kyseessä on laajempi valvontavastuu. Tästä syystä suurin osa säännöksistä on tarpeen säilyttää. Kattavalla valvontaa koskevalla sääntelyllä on myös merkitystä erityisesti 16 §:ssä tarkoitettujen luottokelpoisuusarvioiden laadintaan liittyvän rekisteröidyn oikeusturvan varmistamisen kannalta.
Luottotietolaissa ei ole mahdollista tehdä samanlaista rajausta kuin Ruotsin laissa, jossa tietosuojaviranomaisen valvonta ei kata sellaisia luottolaitoksia, joiden toisen viranomaisen myöntämä toimilupa kattaa luottotietojen käsittelyn. Ensinnäkin Suomessa luottotietolaissa tarkoitettua luottotietojen käsittelyn valvontaa ei toistaiseksi harjoita muu valvontaviranomainen. Toiseksi luottotietolaissa sallitut luottotietojen käyttötarkoitukset ovat huomattavasti Ruotsin lain mukaisia tarkoituksia laajemmat. Osa voimassa olevista 8 luvun valvontaa koskevista säännöksistä kohdistuu selkeästi luottotietotoiminnan harjoittajiin, kun taas osassa ei ole tehty vastaavia rajauksia. Tietosuojavaltuutetun on kuitenkin mahdollista mukauttaa valvontatoimenpiteitä sen mukaisesti, mikä on tarkoituksenmukaista suhteessa luottotietojen käyttäjään ja tämän suorittaman käsittelyn luonteeseen. Luottotietolaissa säädettyjen valvontaa koskevien säännösten säilyttäminen pääosin on tarpeen, huomioiden erityisesti ne tilanteet, joita tietosuoja-asetuksen ja tietosuojalain säännökset eivät kattaisi.
33 §.Valvontaviranomainen. Huomioiden lain soveltamisalaa koskevien säännösten tarkistukset, valvontaviranomaista koskevaa pykälää ehdotetaan tarkennettavaksi vastaavasti. Voimassa oleva ilmaisu ”yleinen valvonta” on epätarkka. Ehdotetun pykälän mukaan luottotietolain mukaisen luottotietotoiminnan harjoittamisen ja muun luottotietojen käsittelyn valvonta kuuluisi tietosuojavaltuutetulle. Valvonta kohdistuisi pääosin luottotietotoiminnan harjoittajiin, ja kattaisi näiden osalta sekä elinkeinotoiminnan että luottotietojen käsittelyn valvonnan. Luotonantajien ja muiden luottotietojen käyttäjien osalta valvonta koskisi erityisesti 2 luvun ja 19 §:n 5 ja 6 momentissa tarkoitettujen velvoitteiden noudattamista. Lain 4 §:ssä mainittujen elinkeinonharjoittajien osalta valvonta kattaisi luottotietojen käsittelyn myös kyseisessä pykälässä tarkoitetuissa luottotietojen käsittelytilanteissa. Tällaisia elinkeinonharjoittajia ovat esimerkiksi perintätoiminnan harjoittajat.
34 §.Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeus. Pykälässä säädetään tietosuojavaltuutetun oikeudesta saada nähtäväkseen tiedot luottotietojen käsittelystä luottotietolain mukaista valvontaa varten sekä oikeudesta saada sakkorekisteristä tietoja valvottavan hallituksen jäsenen tai varajäsenen taikka toimitusjohtajan tai toimitusjohtajan sijaisen luotettavuuden selvittämiseksi. Säännösten mukainen tiedonsaanti oikeus on laajempi kuin tietosuoja-asetuksen ja tietosuojalain mukainen oikeus tarkastaa henkilötietojen käsittelyn lainmukaisuus. Pykälän 1 momentti on osittain päällekkäinen tietosuoja-asetukseen ja tietosuojalakiin perustuvaa valvontaa koskevan sääntelyn kanssa. Momenttia ehdotetaan muutettavaksi siten, että tiedonsaanti koskisi luottotietotoiminnan harjoittamisen ja muun luottotietojen käsittelyn valvonnan kannalta välttämättömiä tietoja. Muutoksella selkiytettäisiin elinkeinotoiminnan valvonnan suhdetta henkilötietojen käsittelyyn kohdistuvaan valvontaan. Lisäksi tiedonsaantioikeus kytkettäisiin tietojen välttämättömyyteen, huomioiden, että säännös on muotoiltu avoimeksi eikä luovutettavia tietoja ole yksilöity. Säännösten ja kyseisten henkilötietojen käsittelyä koskevien säädösten suhteen selkiyttämiseksi pykälään kuitenkin ehdotetaan lisättäväksi uusi 3 momentti, jonka mukaan tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeudesta henkilötietojen käsittelyn valvonnassa säädetään tietosuoja-asetuksessa ja tietosuojalaissa. Tällä informatiivisella säännöksellä selvennettäisiin sitä, että 1 momenttia sovelletaan muiden tietojen saantiin. Momentin ruotsinkielistä sanamuotoa tarkistettaisiin lisäksi kielellisesti.
35 §.Määräysten antaminen. Tietosuojavaltuutetulla on tietosuoja-asetuksen 58 artiklan 2 kohdan nojalla muun muassa valtuudet määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tietosuoja-asetukseen perustuvien rekisteröidyn oikeuksien käyttöä. Kyseinen tietosuoja-asetuksen säännös on päällekkäinen voimassa olevan 35 §:n 1 kohdan kanssa siltä osin kuin lainkohdassa on kyse henkilötietojen käsittelyn valvontaan liittyvistä toimivaltuuksista. Kohtaa ehdotetaan muutettavaksi siten, että siinä säädettäisiin tietosuojavaltuutetun oikeudesta antaa luottotietotoiminnan harjoittajalle määräys 30 §:ssä tarkoitetun yrityksen tiedonsaantioikeuden toteuttamisesta tai 31 §:n 1 momentissa tarkoitetun virheellisen tiedon oikaisemisesta. Muutettua säännöstä ei siten sovellettaisi tietosuoja-asetuksen mukaisiin rekisteröidyn oikeuksiin. Säännös kuitenkin kattaisi esimerkiksi sellaiset 16 §:n soveltamiseen liittyvät tilanteet, joita tietosuoja-asetus ei koskisi. Kohdassa ehdotetaan myös korvattavaksi sana ”rekisterinpitäjä” sanalla ”luottotietotoiminnan harjoittaja”. Pykälän 2 ja 3 kohta koskevat luottotietotoiminnan muuta valvontaa kuin henkilötietojen käsittelyn valvontaa, joten ne ehdotetaan säilytettäväksi. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan tietosuojavaltuutetun toimivaltuuksista henkilötietojen käsittelyn valvonnassa säädetään tietosuoja-asetuksessa ja tietosuojalaissa. Informatiivisella viittaussäännöksellä täsmennettäisiin sääntelyn ja tietosuoja-asetuksen suhdetta.
9 luku – Erinäiset säännökset. Luku sisältää säännökset tietojen tallettamisesta eräissä tapauksissa, luottotietotoiminnan harjoittajan ilmoituksesta, salassapitovelvollisuudesta, vahingonkorvausvastuusta ja muutoksenhausta sekä viittaussäännökset rikoslakiin ja henkilötietolain rangaistussäännöksiin ja säännökset luottotietorikkomuksesta.
37 §.Tietojen tallettaminen eräissä tapauksissa. Pykälässä korvattaisiin sana ”luottotietorekisterin pitäjää” sanalla ”luottotietotoiminnan harjoittaja”. Lisäksi sana ”luottotietolausunnon” korvattaisiin sanoilla ”luottokelpoisuutta osoittavan arviointitiedon muodostamista”, joita käytetään lain 16 §:ssä ja 27 §:ssä. Pykälässä tehtäisiin tekninen korjaus siten, että siinä viitattaisiin 30 ja 31 pykälän sijasta 30–31 §:ään, koska uuteen 30 a §:ään on siirretty osa 30 §:n sisällöstä. Lisäksi pykälän ruotsinkielistä sanamuotoa korjattaisiin viittaamalla 24 §:n 4 momenttiin suomenkielistä sanamuotoa vastaavasti.
39 §.Salassapitovelvollisuus. Pykälän 1 momentissa sana ”rekisteröityä” ehdotetaan korvattavaksi sanoilla ”luonnollista henkilöä tai yritystä”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä.
40 §.Vahingonkorvausvastuu. Pykälän 1 momentissa sana ”rekisteröidylle” korvattaisiin sanoilla ”luonnolliselle henkilölle tai yritykselle”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä. Lisäksi momentissa sanat ”rekisterinpitäjä” ja ”luottotietorekisterinpitäjä” korvattaisiin sanoilla ”luottotietotoiminnan harjoittaja”. Muutos vastaisi nykytilaa, koska lain esitöiden mukaan rekisterisääntely koskee vain luottotietotoiminnan harjoittajia. Momentin ruotsinkieliseen sanamuotoon tehtäisiin myös kielellinen tarkistus. Voimassa olevan pykälän 2 momentti sisältää informatiivisen viittauksen henkilötietolakiin, jossa säädetään virheellisistä henkilöluottotiedoista ja lainvastaisesta henkilöluottotietojen käsittelystä aiheutuneiden vahinkojen korvaamisesta. Tietosuoja-asetuksen 82 artiklassa säädetään vastuusta ja oikeudesta korvauksen saamiseen niissä tilanteissa, joissa rekisteröidylle aiheutuu vahinkoa asetuksen rikkomisesta. Tietosuoja-asetuksen säännökset ovat suoraan sovellettavia myös voimassa olevassa 40 §:n 2 momentissa tarkoitetuissa tilanteissa. Momentin informatiivinen viittaussäännös ehdotetaan selkeyden vuoksi säilytettäväksi. Muutetun momentin mukaan henkilötietojen käsittelyä koskevien säännösten rikkomisesta aiheutuvan vahingon osalta oikeudesta vahingonkorvaukseen säädettäisiin tietosuoja-asetuksessa. Muilta osin vahingonkorvaukseen sovellettaisiin nykytilaa vastaavasti vahingonkorvauslakia (412/1974).
42 §.Viittaus rikoslakiin. Voimassa oleva pykälä sisältää viittaussäännökset rikoslain ja henkilötietolain rangaistussäännöksiin. Pykälää ehdotetaan tarkistettavaksi siten, että siinä huomioidaan uusi rikoslain 38 luvun 9 §:n mukainen tietosuojarikos, minkä lisäksi säännöksiä tarkennettaisiin rikosnimikkeiden osalta siten, että momentin ensimmäinen virke vastaisi tietosuojalaissa käytettyä sanamuotoa. Lisäksi pykälän otsikkoa täsmennettäisiin.
43 §.Luottotietorikkomus. Pykälän 1 kohdassa korvattaisiin sana ”rekisteröidyn” sanoilla ” yrityksen”. Muutoksella huomioitaisiin rekisteröidyn määritelmän poistaminen 3 §:stä sekä 30 §:n muuttaminen. Mainittua pykälää ehdotetaan muutettavaksi siten, että luottotietolain mukainen tiedonsaantioikeus koskee vain yrityksiä, kun taas luonnollisten henkilöiden informointiin sovellettaisiin tietosuoja-asetusta. Lisäksi 2 kohdassa korvattaisiin täsmällisyyden vuoksi sana ”tietosuojaviranomaiselle” sanalla ”tietosuojavaltuutetulle”. Pykälän ruotsinkielistä sanamuotoa tarkistettaisiin myös kielellisesti.