VAASAN YLIOPISTO LASKENTATOIMEN JA RAHOITUKSEN YKSIKKÖ TALOUSOIKEUS Eveliina Palmroos KYC-TIETOJEN KÄSITTELY PANKISSA Rahanpesulain ja tietosuoja-asetuksen rajapinta Talousoikeuden pro gradu -tutkielma ICT-juridiikan koulutusohjelma VAASA 2018 1 SISÄLLYSLUETTELO sivu TIIVISTELMÄ 7 LYHENNELUETTELO 9 1. JOHDANTO 10 1.1. Tutkimuskohteen kuvaus 10 1.2. Tutkimustehtävä ja sen rajaus 13 1.3. Tutkimuksen metodit ja lähteet 14 1.4. Tutkimuksen rakenne 15 2. NORMIPERUSTA 17 2.1. Rahanpesulainsäädäntö 17 2.1.1. EU-lainsäädäntö 17 2.1.2. Suomen lainsäädäntö 18 2.1.3. Finanssivalvonta 19 2.2. Tietosuojalainsäädäntö 20 2.2.1. EU-lainsäädäntö 20 2.2.2. Suomen lainsäädäntö 21 2.2.3. Tietosuojavaltuutetun toimisto 21 2.3. Rahanpesulain ja tietosuoja-asetuksen rajapinta 22 3. ASIAKKAAN TUNTEMINEN 24 3.1. Asiakkaan tuntemisen taustaa 24 3.2. Asiakkaan tuntemisen määritelmä 25 3.3. Riskiperusteinen arviointi 27 3.4. Tunnistaminen ja tuntemistietojen hankkiminen 30 3.5. Tuntemisen tasot 33 3.5.1. Yksinkertaistettu tunteminen 34 3 3.5.2. Tehostettu tunteminen 34 3.6. Tuntemisen tason valinta 35 4. TUNTEMISTIETOJEN KÄSITTELY 37 4.1. Henkilötietojen käsittelyn taustaa 37 4.2. Henkilötietojen käsittelyn määritelmä 38 4.3. Henkilötietojen käsittelyn yleiset periaatteet 40 4.3.1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys 40 4.3.2. Käyttötarkoitussidonnaisuus 42 4.3.3. Tietojen minimointi 43 4.3.4. Täsmällisyys 44 4.3.5. Säilytyksen rajoittaminen 45 4.3.6. Eheys ja luottamuksellisuus 46 4.4. Erityisiä henkilöryhmiä koskeva käsittely 47 4.5. Profilointi 49 4.6. Oletusarvoinen tietosuoja 52 4.7. Henkilötietojen turvallisuus 53 4.8. Rekisteröidyn oikeudet 54 4.9. Rekisterinpitäjän velvollisuudet 57 5. SELONOTTO- JA ILMOITUSVELVOLLISUUS 59 5.1. Selonotto- ja ilmoitusvelvollisuuden taustaa 59 5.2. Selonottovelvollisuus 60 5.3. Ilmoitusvelvollisuus 63 5.4. Jatkuva seuranta 66 6. HAASTEET PANKILLE 69 6.1. Lainsäädäntöjen vastakkaiset intressit 69 6.2. Pankin ja viranomaisten ero 70 6.3. Tietojen määrä ja laatu 70 5 6.4. Toiminnan kehittäminen tulevaisuudessa 72 7. JOHTOPÄÄTÖKSET 74 LÄHDELUETTELO 77 7 ______________________________________________________________________ VAASAN YLIOPISTO Laskentatoimen ja rahoituksen yksikkö Tekijä: Eveliina Palmroos Tutkielman nimi: KYC-tietojen käsittely pankissa – Rahanpesulain ja tietosuoja-ase- tuksen rajapinta Ohjaaja: Pekka Vainio Tutkinto: Kauppatieteiden maisteri Oppiaine: Talousoikeus Koulutusohjelma: ICT-juridiikka Aloitusvuosi: 2012 Valmistumisvuosi: 2018 Sivumäärä: 86 ______________________________________________________________________ TIIVISTELMÄ Asiakkaan tunteminen, eli KYC (Know Your Customer), on noussut viime aikoina me- diassa esiin pankkien asiakkailleen esittämien kysymysten johdosta. Pankkien valvonnan lisääntyessä on kuitenkin myös huoli yksityisyyden säilymisestä kasvanut. Pankin tulee- kin asiakkaan tuntemiseen liittyvissä prosesseissa ottaa huomioon sekä rahanpesulain että tietosuoja-asetuksen eriävät intressit. Asiakkaan tunteminen on monipuolinen, koko asiakkuuden elinkaaren kattava prosessi. Alati muuttuva lainsäädäntö, dynaaminen rikosympäristö ja kahden, vastakkaisia intres- sejä ajavan lain noudattaminen luovat pankille oman haasteensa sopeutua viranomaisten asettamiin lukuisiin velvoitteisiin. Tutkimuksen tarkoituksena onkin ensinnäkin selvittää, millaisia lakisääteisiä velvollisuuksia pankilla on koskien henkilöasiakkaidensa tietojen käsittelyä asiakkaan tuntemisen näkökulmasta, tarkoituksena estää rahanpesua ja terro- rismin rahoittamista. Toiseksi, tutkimus pyrkii selvittämään, miten rahanpesulaki ja tie- tosuoja-asetus suhteutuvat toisiinsa asiakkaan tuntemiseen kerättyjä henkilötietoja käsi- tellessä, ja millaisia haasteita näiden kahden lain yhteensovittaminen luo pankille. Tutkielma perustuu tämänhetkisen oikeustilan systematisointiin ja tulkintaan, käyttäen hyväksi lainsäädännön ja viranomaislähteiden lisäksi sekä kotimaista että kansainvälistä oikeuskirjallisuutta. Tutkimuksessa käy ilmi, että pankki on haastavassa tilanteessa pyr- kiessään samanaikaisesti soveltamaan kahta, täysin vastakkaisia intressejä ajavia lakeja. Siinä kuitenkin onnistuessaan pankki on osana luomassa aiempaa toimivampaa, turvalli- sempaa ja yksilöiden oikeuksia kunnioittavampaa yhteiskuntaa. AVAINSANAT: Asiakkaan tunteminen, henkilötietojen käsittely, rahanpesu, terroris- min rahoittaminen, yksityisyyden suoja 9 LYHENNELUETTELO EU Euroopan unioni HE Hallituksen esitys KYC Know Your Customer LuottoL Laki luottolaitostoiminnasta 610/2014 RahanpesuL Laki rahanpesun ja terrorismin rahoittamisen estämisestä 444/2017 Tietosuoja-asetus Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, luonnollisten henkilöiden suojelusta henkilötietojen käsitte- lyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktii- vin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 10 1. JOHDANTO 1.1. Tutkimuskohteen kuvaus Asiakkaan tunteminen, eli KYC, on noussut viime aikoina vahvasti esille etenkin pank- kien esittämien, asiakkaan tuntemiseen liittyvien kysymysten johdosta1. Aihe on ihme- tyttänyt ja puhututtanut ihmisiä, ja keskustelu aiheen ympärillä on usein ollut negatiivis- sävytteistä. Pankkien tiedustelut on koettu tungettelevina, syyttävinä ja tarpeettomina. Keskusteluista käy ilmi etteivät asiakkaat ole täysin tietoisia siitä, minkä vuoksi pankki kerää tietoa asiakkaistaan, ja onko tällainen toiminta laillista asiakkaiden yksityisyyden suojan näkökulmasta. Yleisen keskustelun perusteella vaikuttaakin siltä, että asiakkaan tuntemiseen liittyvät ky- symykset nähdään pankin vapaaehtoisesti harjoittamana toimintana, jonka uskotaan pal- velevan pankin liiketoiminnallisia intressejä. Asia ei kuitenkaan ensisijaisesti ole näin. Pankin asiakkailleen esittämät kysymykset perustuvat ennen kaikkea pankin lakisäätei- seen velvollisuuteen tuntea asiakkaansa2. Yrityksen oman edun sijaan kysymys on siis yhteiskunnallisesta hyvästä, sillä asiakkaan tuntemisella pyritään pääasiallisesti estämään rahanpesua ja torjumaan terrorismin rahoittamista. Pankilla, kuten muillakin finanssipal- veluiden tarjoajilla, on lakiin perustuva velvollisuus sekä tunnistaa että tuntea asiak- kaansa3. Asiakkaan tuntemisen tarkoituksena on mahdollistaa rahanpesun ja terrorismin rahoitta- misen estäminen. Rahanpesulla tarkoitetaan rikoksella hankittujen varojen alkuperän häi- vyttämistä niin, että varojen alkuperä saadaan vaikuttamaan lailliselta4. Rikollisella toi- minnalla hankittua omaisuutta pyritään siis peittelemään ja näin välttymään viranomais- toimenpiteiltä5. Varojen alkuperää, tosiallista luonnetta tai todellisia edunsaajia pyritään peittämään kierrättämällä varoja laillisen maksujärjestelmän kautta6. Rahanpesu edellyt- tää siis esirikoksen tapahtumista, eli varojen hankintaan laittomin toimin7. Terrorismin rahoittamisella sen sijaan tarkoitetaan varojen hankkimista tai keräämistä terroristista tar- koitusta varten. Terrorismin rahoittaminen poikkeaa rahanpesusta varojen alkuperän 1 Savolainen 2016. 2 Siikala 2015. 3 Finanssivalvonta 2017 a. 4 Seymour 2008: 374. 5 Poliisi 2018. 6 Sisäministeriö 2018. 7 Poliisi 2018. 11 osalta siinä, että terrorismia voidaan rahoittaa sekä laillisesti että laittomasti hankituilla varoilla.8 Rahanpesua ja terrorismin rahoittamista koskeva lainsäädäntö on jatkuvassa muutoksessa muun muassa maksujärjestelmien monipuolistumisen, teknologian kehittymisen ja glo- balisoitumisen vuoksi. Rahanpesu kriminalisointiin Suomessa vuonna 19949. Tämän jäl- keen rahanpesulaki on muuttanut muotoaan muun muassa Euroopan unionin lainsäädän- nön myötä. Vuonna 2008 voimaan astunut laki rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä kumottiin rahanpesulain kokonaisuudistuksen yhteydessä lailla rahanpesun ja terrorismin rahoittamisen estämisestä10 heinäkuussa 201711. Uusi kansallinen laki rahanpesun ja terrorismin rahoittamisen estämisestä perustuu voimassa olevaan, niin sanottuun neljänteen rahanpesudirektiiviin ja FATF:n12 vuonna 2004 anta- miin suosituksiin. Lainsäädännön dynaamisuutta ilmentää lisäksi hyvin Euroopan komis- sion heinäkuussa 2016 antama ehdotus heinäkuussa 2017 kansallisesti voimaan saatetun neljännen rahanpesudirektiivin muutokseksi.13 Rahanpesu on yksi suurimmista esteistä toimivalle, kansainväliselle rahoitusjärjestel- mälle. Rahanpesu on globaali ilmiö ja kansainvälinen haaste, johon liittyy usein moni- mutkaisia liiketoimia ja lukuisia ulkomaisilla lainkäyttöalueilla toimivia rahoituslaitok- sia. Tästä johtuen sekä rahanpesua että terrorismin rahoittamista on erittäin vaikeaa tutkia ja tuomita.14 Rahanpesu on olennainen osa järjestäytynyttä rikollisuutta. Integroituneen maailman johdosta rahanpesun ja terrorismin rahoittamisen torjunta ei ole kansallinen ongelma, vaan se on rajat ylittävä, kansainvälinen haaste.15 Pankeilla on muiden finans- sialalla toimivien yritysten ohella merkittävä asema rahanpesun estämisessä ja terroris- min rahoittamisen torjunnassa. Tämän vuoksi pankkeja velvoitetaankin aktiivisesti suo- jelemaan palveluitaan rahanpesuun ja terrorismin rahoittamiseen liittyviltä väärinkäytök- siltä.16 Rahanpesu tapahtuu nimenomaan laillisten maksujärjestelmien17, esimerkiksi pankkien kautta. Pankit voivat siis edesauttaa rahanpesun ja terrorismin rahoittamisen es- tämistä tunnistamalla ja tuntemalla asiakkaansa. 8 Sisäministeriö 2018. 9 Poliisi 2018. 10 Laki rahanpesun ja terrorismin rahoittamisen estämisestä 444/2017. 11 Eduskunta 2017. 12 FATF on lyhenne sanoista Financial Action Task Force on Money Laundering. 13 Valtiovarainministeriö 2018. 14 Buchanan 2004: 115. 15 Poliisi 2018. 16 de Koker 2006: 28. 17 Sisäministeriö 2018. 12 Vaikka asiakkaan tunteminen onkin aiheena yhteiskunnallisesti tärkeä nimenomaan ra- hanpesun ja terrorismin rahoittamisen estämisen näkökulmasta, liittyy siihen kääntöpuo- lena myös toinen tärkeä aihe, nimittäin yksityisyyden ja henkilötietojen suoja. Samalla kun pankkeja velvoitetaan täyttämään rahanpesulaissa asetetut, asiakkaan tuntemiseen liittyvät vaatimukset, tulee pankkien myös yhtä lailla ottaa huomioon henkilötietojen kä- sittelyä koskevat säännökset käsitellessään asiakkaan tuntemista varten kerättyjä henki- lötietoja. Henkilötietojen käsittelyn merkitys on noussut uudella tavalla esiin Euroopan unionin yleisen tietosuoja-asetuksen18 myötä, jota on sovellettu 25.5.2018 lähtien. Ennen tieto- suoja-asetusta henkilötietojen käsittelyyn on Suomessa sovellettu henkilötietolakia19, joka on jo itsessään ollut sisällöltään hyvin kattava. Henkilötietolain periaatteet ovatkin vastanneet monilta osin tietosuoja-asetuksen säädöksiä, ja tietosuoja-asetus onkin lähinnä tuonut täsmennyksiä henkilötietolain sisältöön20. Tietosuoja-asetus tuo kuitenkin muka- naan myös uusia vaatimuksia ja tiukempia sanktioita tietosuojarikkeisiin, minkä voidaan nähdä olevan asiakkaan tuntemisen osalta pankille suuri haaste jo valmiiksi vahvasti sää- dellyssä lainsäädäntöympäristössä. Maailma on muuttunut merkittävästi vuodesta 1999, jolloin henkilötietolaki astui voi- maan. Teknologia on kehittynyt ja maiden väliset rajat ovat väistyneet globalisoitumisen myötä. Tietosuoja-asetuksella pyritäänkin vastaamaan muuttuneen maailman tarpeisiin yhtenäistämällä EU:n jäsenmaiden tietosuojaa koskevaa sääntelyä. Tietosuoja-asetuksen tarkoituksena on tehdä henkilötietojen käsittelystä avoimempaa ja läpinäkyvämpää, sa- malla lisäten rekisteröityjen mahdollisuutta valvoa henkilötietojensa käsittelyä.21 Kaik- kien tietosuoja-asetuksen sääntelyn piiriin kuuluvien toimijoiden on kiinnitettävä huomi- oita siihen, mitä tietoja yrityksellä on olemassa asiakkaistaan, missä ja miten tietoja säi- lytetään, onko tietojen säilyttämiselle oikeudellisia perusteita, ja ovatko tiedot turvassa kolmansilta osapuolilta22. Vaikka lainsäädäntö henkilötietojen käsittelyn suhteen on ollut esimerkiksi Suomen osalta jo ennestään hyvin kattava, jäsenmaiden lainsäädännön yh- denmukaistaminen edesauttaa sisämarkkinoiden digitaalitalouden kehitystä ja rakentaa luottamusta toimivaan yhteiskuntaan.23 18 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, luonnollisten henkilöiden suojelusta henkilö- tietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus); esiintyy myöhemmin tekstissä terminä ”tietosuoja-asetus”. 19 Henkilötietolaki 523/1999. 20 Talus, Autio, Hänninen, Pihamaa & Kantonen 2017: 9-12. 21 Talus ym. 2017: 9; Young 2017. 22 Young 2017. 23 Talus ym. 2017: 9. 13 Asiakkaan tunteminen on siis aiheena hyvin ajankohtainen ja tutkimuskohteena dynaa- minen sekä moniulotteinen. Aihe on myös sekä kansallisesti että kansainvälisesti puhut- tava, sillä asiakkaan tuntemistoimenpiteet koskevat jokaista maksujärjestelmien piirissä olevaa yksityishenkilöä ja yritystä. Kaksi hiljattain uudistunutta, vastakkaisia intressejä ajavat lainsäädännöt tuovat oman mielenkiintonsa aiheen tarkasteluun pankin näkökul- masta, sillä alati muuttuvat regulaatiot luovat pankeille haasteita sopeuttaa liiketoimin- tansa eri osa-alueet vastaamaan lain velvoittamia vaatimuksia. 1.2. Tutkimustehtävä ja sen rajaus Tämän tutkielman tarkoituksena on ensinnäkin selvittää, minkälaisia velvoitteita laki asettaa pankeille koskien henkilötietojen käsittelyä asiakkaan tuntemisen näkökulmasta. Tutkielman tarkoituksena on myös selventää rahanpesulain ja tietosuoja-asetuksen raja- pintaa: miten nämä toisiinsa nähden vastakkaisia intressejä ajavat lait suhteutuvat toi- siinsa. Yleislakina Euroopan unionin yleinen tietosuoja-asetus sääntelee luonnollisten henkilöi- den henkilötietojen käsittelyä. Henkilötietojen käsittelyä säännellään tietosuoja-asetuk- sen lisäksi useissa erityislaissa, jotka ovat sovellettavuudeltaan ensisijaisia yleislakiin nähden. Erityislakien säännöksillä voi olla oleellinen vaikutus henkilötietojen käsittelyyn ja yksityisyyden suojaan.24 Laki rahanpesusta ja terrorismin rahoittamisen estämisestä luo omat puitteensa erityislakina asiakkaan tuntemisen johdosta suoritettuun henkilötie- tojen käsittelyyn. Vaikkakin rahanpesulaki näyttäytyy tietosuoja-asetukseen nähden eri- tyislakina, ei tietosuoja-asetusta voida sivuuttaa asiakkaan tuntemista varten kerättyjä henkilötietoja käsiteltäessä. Tutkimus rajautuu pankkien velvollisuuteen tunnistaa ja tuntea henkilöasiakkaansa. Tut- kimuksen ulkopuolelle jäävät siis muut, saman velvollisuuden piirissä olevat finanssipal- veluita tarjoavat toimijat. Tutkimuksessa käsitellään lisäksi ainoastaan asiakkaan tunte- mista luonnollisten henkilöiden osalta, jättäen oikeushenkilöt tutkimuksen ulkopuolelle. Asiakkaan tuntemisella tarkoitetaan tässä tutkielmassa ainoastaan pankkien lakiin perus- tuvaa velvollisuutta tunnistaa ja tuntea asiakkaansa rahanpesun ja terrorismin rahoittami- 24 Tietosuojavaltuutetun toimisto 2013. 14 sen estämisen näkökulmasta. Mahdolliset muut pankkien lakisääteiset selonottovelvolli- suudet tai liiketoiminnalliset intressit koskien asiakkaan tuntemista jätetään tämän tutki- muksen ulkopuolelle. Tutkielma keskittyy kahden tutkimustehtävän käsittelyyn, jotka voidaan asettaa seuraa- vaan muotoon: 1) Millaisia lakisääteisiä velvollisuuksia pankilla on koskien henkilöasiakkaidensa tieto- jen käsittelyä asiakkaan tuntemisen (KYC) näkökulmasta, tarkoituksena estää rahanpesua ja terrorismin rahoittamista? 2) Miten rahanpesulaki ja tietosuoja-asetus suhteutuvat toisiinsa asiakkaan tuntemiseen kerättyjä henkilötietoja käsitellessä, ja millaisia haasteita näiden kahden lain yhteensovit- taminen luo pankille? 1.3. Tutkimuksen metodit ja lähteet Tutkimuksen tarkoituksena on selvittää tutkimusaihetta koskevien voimassaolevien oi- keussääntöjen sisältöä. Voimassa olevien oikeussääntöjen sisällön selvittämisellä tarkoi- tetaan kahta asiaa: oikeuden voimassaolon toteamista ja oikeussäännön sisällön selvittä- mistä25. Tämän tutkielman metodina käytetäänkin lainopillista, eli oikeusdogmaattista metodia. Oikeusdogmaattisen metodin tarkoituksena on systematisoida ja tulkita voi- massa olevia oikeusnormeja. Voimassaolevan oikeuden systematisoinnilla tarkoitetaan yksittäisten normien ja niiden tosiasiallisten tarkoitusten kokoamista yhdenmukaiseksi kokonaisuudeksi, kun taas tulkinnalla tarkoitetaan oikeuden sisällön selvittämistä.26 Tutkielmassa käytetyt lähteet koostuvat velvoittavuudeltaan eri asteisista oikeuslähteistä, primaarisista ja sallituista oikeuslähteistä27. Primaarisina, eli vahvasti velvoittavina läh- teinä käytetään EU-lainsäädännön ja Suomen lain lisäksi lukuisia viranomaislähteitä, jotka ovat tutkielman kannalta erittäin keskeisessä asemassa. Primaaristen oikeuslähtei- den tukena käytetään sallittuja oikeuslähteitä, eli oikeuskirjallisuutta sen eri muodoissa. 25 Aarnio 1989: 47. 26 Aarnio 1989: 48. 27 Virolainen 2012: 4. 15 1.4. Tutkimuksen rakenne Tutkimus muodostuu johdantokappaleen lisäksi viidestä erillisestä asiakokonaisuudesta ja tutkielman lopussa esitettävistä johtopäätöksistä. Tutkimus etenee kronologisessa jär- jestyksessä, käyden läpi asiakkaan tuntemiseen liittyvät moninaiset vaiheet ja osa-alueet koko asiakkuuden elinkaaren ajalta, aina asiakkuuden perustamisesta jatkuvaan seuran- taan asti. Kaikkien asiakkaiden tuntemista koskevien vaiheiden lisäksi käydään läpi vain tiettyjä asiakkaita koskeva selonotto- ja ilmoitusvelvollisuus, ja niihin liittyvät toimenpi- teet. Henkilötietojen käsittelyä koskeviin periaatteisiin ja määräyksiin syvennytään tar- kemmin omassa kappaleessaan, vaikkakin aihe on mukana myös muissa tutkielman osi- oissa. Asiakkaan tuntemiseen liittyvän prosessin ja henkilötietojen käsittelyn lisäksi poh- ditaan miten rahanpesulaki ja tietosuoja-asetus suhteutuvat toisiinsa, ja millaisia haasteita pankki kohtaa pyrkiessään noudattamaan molempien lakien asettamia vaatimuksia. Ensimmäisessä varsinaisessa osiossa (2. kappale) käsitellään tutkielmaan liittyvää normi- perustaa ensin erikseen sekä rahanpesu- että tietosuojalainsäädännön näkökulmasta, minkä jälkeen käsitellään lyhyesti näiden kahden lain välistä rajapintaa. Toisessa varsinaisessa osiossa (3. kappale) käsitellään asiakkaan tuntemiseen liittyviä te- kijöitä yleisten periaatteiden, tunnistamisen ja tuntemistietojen hankkimisen ja tuntemi- sen eri tasojen osalta. Kappale on tutkielman kannalta hyvin keskeinen, sillä se kattaa kaikki ne toimenpiteet, joita pankeilta vaaditaan asiakkuudesta tai asiakkaan harjoitta- masta toiminnasta riippumatta. Asiakkaan toiminta ei siis itsessään vaikuta juurikaan sii- hen, tuleeko pankin täyttää yllä mainitut vaatimukset asiakkaan tuntemiseen liittyen. Kolmannessa varsinaisessa osiossa (4. kappale) käydään läpi, mitä asiakkaan tuntemis- tietojen käsittely käytännössä pitää sisällään. Yleisten tietojenkäsittelyä koskevien peri- aatteiden lisäksi kappaleessa esitellään myös muita tietojenkäsittelyyn liittyviä säädöksiä, sekä rekisteröidyn oikeuksia että rekisterinpitäjän velvollisuuksia. Kappaleessa tuodaan esiin rahanpesulain ja tietosuoja-asetuksen eriävät intressit ja se, miten nämä kaksi lakia suhteutuvat toisiinsa. Kappaleessa päästään paneutumaan tietojenkäsittelyyn muita kap- paleita yksityiskohtaisemmin, vaikkakin näkökulma on vahvasti mukana myös tutkiel- man muissa kappaleissa. Neljännessä varsinaisessa osiossa (5. kappale) paneudutaan pankin selonotto- ja ilmoi- tusvelvollisuuteen sekä jatkuvan seurannan toteuttamiseen. Selonotto- ja ilmoitusvelvol- 16 lisuuden täyttymiseen vaikuttaa pitkälti asiakkaan käyttäytyminen, minkä vuoksi se voi- daankin nähdä poikkeuksellisesti toteutuvana, pankin harjoittamana toimenpiteenä kol- mannessa kappaleessa esitettyihin, tavanomaisiin asiakkaan tuntemiseen liittyviin toi- menpiteisiin nähden. Tämä kappale on hyvin mielenkiintoinen, sillä juurikin selonotto- ja ilmoitusvelvollisuus voidaan nähdä kiteyttävän koko asiakkaan tuntemisen funktion. Viidennessä varsinaisessa kappaleessa (6. kappale) pohditaan millaisia haasteita pankki kohtaa pyrkiessään luovimaan kahden täysin erilaisia intressejä ajavan lain välillä. Tieto- suoja-asetuksen soveltaminen on vasta alkumetreillä eikä kattavaa rahanpesu- ja tietosuo- jalainsäädäntöä vertailevaa tutkimusta ole saatavilla, joten kappaleessa esitetyt näkökul- mat ovat yksittäisten artikkeleiden ja kirjoittajan omien näkemysten perusteella tehtyjä tulkintoja. 17 2. NORMIPERUSTA 2.1. Rahanpesulainsäädäntö Rahanpesun ja terrorismin rahoittamisen estäminen on globaali haaste, jota pyritään tor- jumaan kansainvälisin standardein28. Rahanpesun ja terrorismin rahoittaminen eivät ole siis ainoastaan yksittäisten valtioiden sisäisiä ongelmia. Globalisoitumisen vuoksi haas- teet ovat yhteisiä ja niiden torjumiseksi tarvitaan kansainvälisiä ja yhtenäisiä toimintata- poja. Finanssilaitoksilla asiakkaan tunteminen on selonotto- ja ilmoitusvelvollisuuden ohella tärkein rahanpesua ja terrorismin rahoittamista estävä toimenpide. Jotta rahanpe- sua ja terrorismin rahoittamista pystytään torjumaan, tulee asiakkaan tuntemista koske- vien menettelytapojen olla globaalisti yhtenäisiä29. Asiakkaan tuntemista koskeva normiperusta rakentuu EU-lainsäädännöstä, Suomen lain- säädännöstä ja eri viranomaistahojen, kuten Finanssivalvonnan sääntelystä30. EU-lainsää- däntö perustuu FATF:n suosituksiin. FATF on taloudellisen yhteistyön ja kehityksen jär- jestö OECD:n31 alaisuudessa toimiva, hallitusten välinen toimintaryhmä, joka työskente- lee rahanpesun ja terrorismin rahoittamisen vastustamisen parissa kansainvälisellä ta- solla. Kansallinen rahanpesun ja terrorismin rahoittamisen estämisestä annettu laki vas- taavasti perustuu EU:n lainsäädäntöön, eli voimassa olevaan rahanpesudirektiiviin, ja FATF:n vuonna 2004 antamiin suosituksiin.32 2.1.1. EU-lainsäädäntö EU-lainsäädännössä on yhteensä neljä voimassa olevaa asiakkaan tuntemista sekä rahan- pesua ja terrorismin rahoittamisen estämistä säätelevää asetusta ja direktiiviä, jotka ovat niin sanottu neljännes rahanpesudirektiivi33, niin sanottu toinen maksajan tiedot -asetus34, 28 Finanssivalvonta 2017 b. 29 Finanssivalvonta 2017 b. 30 Finanssivalvonnan standardi 2.4 2015. 31 OECD on lyhenne sanoista Organisation for Economic Co-operation and Development. 32 Valtiovarainministeriö 2018. 33 Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/849, rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 muuttamisesta sekä Euroopan parlamentin ja neuvoston direktiivin 2005/60/EY ja komission di- rektiivin 2006/70/EY kumoamisesta. 34 Euroopan parlamentin ja neuvoston asetus (EU) 2015/847, varainsiirtojen mukana toimitettavista tie- doista ja asetuksen (EY) N:o 1781/2006 kumoamisesta. 18 direktiivi rahoitusjärjestelmän käytön estämisestä rahanpesutarkoituksiin sekä terroris- min rahoitukseen35 ja EU:n komission täytäntöönpanodirektiivi36.37 Toukokuussa 2018 on lisäksi säädetty neljännen rahanpesudirektiivin muuttamiseksi niin sanottu viides ra- hanpesudirektiivi38, joka on saatettava jäsenmaissa voimaan viimeistään tammikuussa 2020. Euroopan komissio on myös jo suunnittelemassa viidettä rahanpesudirektiiviä täy- dentävää, niin sanottua kuudetta rahanpesudirektiiviä39. Yllä mainittujen direktiivien ja asetusten lisäksi terrorismin rahoittamista pyritään estä- mään YK:n ja EU:n asettamilla finanssipakotteilla. Finanssipakotteet kohdistuvat niihin tahoihin, jotka ovat joko osallistuneet terroritekoihin tai edistäneet niitä. Suomessa ulko- asiainministeriö koordinoi näiden pakotteiden noudattamisen valvontaa. Kuten aiemmin mainittiin, EU:n rahanpesudirektiivit perustuvat FATF:n antamiin suosituksiin.40 2.1.2. Suomen lainsäädäntö Keskeisen kansallinen asiakkaan tuntemiseen liittyvä laki on laki rahanpesun ja terroris- min rahoittamisen estämisestä41. Asiakkaan tuntemista käsitellään myös monissa muissa erikoislaeissa. Näistä laeista mainittakoon laki luottolaitostoiminnasta42, joka on lain ra- hanpesusta ja terrorismin rahoittamisen estämisestä lisäksi oleellisin laki tämän tutkiel- man kannalta. Kansallinen laki rahanpesun ja terrorismin rahoittamisen estämisestä pohjautuu ns. nel- jänteen rahanpesudirektiiviin ja FATF:n vuonna 2004 antamiin suosituksiin43. Suomessa rahanpesun ja terrorismin rahoittamisen vastaisesta lainsäädännön kehittämisestä vastaa 35 Euroopan parlamentin ja neuvoston direktiivi 2005/60/EY, rahoitusjärjestelmän käytön estämisestä ra- hanpesutarkoituksiin sekä terrorismin rahoitukseen. 36 Komission direktiivi 2006/70/EY, Euroopan parlamentin ja neuvoston direktiivin 2005/60/EY täytän- töönpanotoimenpiteistä ”poliittisesti vaikutusvaltaisen henkilön” määritelmän sekä yksinkertaistettuja asi- akkaan tuntemismenettelyjä sekä satunnaisesti tai hyvin rajoitetusti harjoitetun rahoitustoiminnan perus- teella myönnettyjä poikkeuksia koskevien teknisten perusteiden osalta. 37 Finanssivalvonta 2017 b. 38Euroopan parlamentin ja neuvoston direktiivi (EU) 2018/843, rahoitusjärjestelmän käytön estämisestä rahanpesuun tai terrorismin rahoitukseen annetun direktiivin (EU) 2015/849 ja direktiivien 2009/138/EY ja 2013/36/EU muuttamisesta. 39 O’Connor 2018. 40 Finanssivalvonta 2017 b. 41 Laki rahanpesun ja terrorismin rahoittamisen estämisestä 444/2017. 42 Laki luottolaitostoiminnasta 610/2014. 43 Valtiovarainministeriö 2018. 19 sisäministeriö44. Sisäministeriö koordinoi rahanpesulaissa esitettyjen toimivaltaisten vi- ranomaisten keskinäistä yhteistyötä45. Sisäministeriön lisäksi muita rahanpesuun ja terrorismin rahoittamisen estämiseen liitty- viä viranomaistahoja ovat esimerkiksi valtiovarainministeriö ja poliisin alaisuudessa toi- miva rahanpesun selvittelykeskus. Valtiovarainministeriö osallistuu neljästi vuodessa Eu- roopan neuvoston rahanpesun ja terrorismin rahoituksen vastaiseen asiantuntijatyöryh- mään, jonka tarkoituksena on tarkastella tämänhetkisiä lainsäädäntöhankkeita, markki- nailmiöitä ja kansainvälisen yhteistyön tilaa46. Rahanpesun selvittelykeskus on keskusri- kospoliisin alaisuuteen vuonna 1988 perustettu yksikkö, jonka toimialaan kuuluvat ra- hanpesun ja terrorismin rahoittamisen estämiseen liittyvät erinäiset tehtävät47. 2.1.3. Finanssivalvonta Finanssivalvonta on hallinnollisesti Suomen Pankin yhteydessä toimiva, päätöksenteos- saan itsenäinen rahoitus- ja vakuutusvalvontaviranomainen. Pankit kuuluvat useiden mui- den tahojen ohella finanssivalvonnan valvottavien piiriin. Finanssivalvonnan tarkoituk- sena on ylläpitää finanssimarkkinoiden vakautta, turvata asiakkaiden etuja ja edesauttaa finanssimarkkinoiden toimintaan kohdistuvan yleisen luottamuksen säilyttämistä.48 Finanssivalvonnalla on sekä oikeus antaa määräyksiä, että valvoa näiden määräysten ja muiden säännösten noudattamista. Finanssivalvonnalla on muun muassa oikeus antaa määräyksiä koskien asiakkaan tuntemista sekä rahanpesun ja terrorismin rahoittamisen estämistä. Finanssivalvonta saa antaa määräyksiä asiakkaan tuntemisessa noudatettaviin menettelytapoihin sekä rahanpesun ja terrorismin rahoittamisen estämiseen liittyvään ris- kienhallintaan. Oikeus yllä mainittujen määräysten antamiseen on kirjattu useampaan kansalliseen lakiin, joista tämän tutkielman kannalta tärkeimpänä mainittakoon laki luot- tolaitostoiminnasta.49 Määräysten lisäksi Finanssivalvonnalla on laissa rahanpesun ja ter- rorismin rahoittamisen estämisestä annettu mandaatti valvoa finanssialalla toimivien ta- hojen säännösten ja määräysten noudattamista. 44 Finanssivalvonta 2017 b. 45 Sisäministeriö 2018. 46 Valtiovarainministeriö 2018. 47 Poliisi 2018. 48 Finanssivalvonta 2017 c. 49 Finanssivalvonnan standardi 2.4 2015. 20 2.2. Tietosuojalainsäädäntö Noudattaessaan rahanpesulakia asiakkaan tuntemiseen liittyvissä toimenpiteissä pankki kohtaa myös toisen, päinvastaista intressiä ajavan lain: Euroopan unionin yleisen tieto- suoja-asetuksen. Kuluttajien huoli yksityisyyden suojaa ja henkilötietojen käsittelyä koh- taan on kasvanut50 verkostoituneessa yhteiskunnassamme, jossa henkilötietoja kerätään yhä kasvavassa määrin erilaisiin tarkoituksiin51. Yksityisyyden suoja ja henkilötietojen käsittely on vahvasti läsnä asiakkaan tuntemiseen liittyvissä toimenpiteissä, sillä kaikissa asiakkaan tuntemisen vaiheissa käsitellään asiakkaan henkilötietoja. Pankin toiminnan on siis oltava rahanpesulain lisäksi myös tietosuoja-asetuksen edellyttämien säännösten mu- kaista. Tietosuojalainsäädäntö perustuu ensisijaisesti Euroopan unionin tietosuoja-asetukseen sekä tulevaan kansalliseen tietosuojalakiin. Lainsäädännön lisäksi tietosuojavaltuutetun toimistolla on merkittävä rooli valvojana sekä neuvojana tietosuoja-asioihin ja henkilö- tietojen käsittelyyn liittyvissä kysymyksissä52. 2.2.1. EU-lainsäädäntö Uudistunut tietosuojalainsäädäntö perustuu 25.5.2018 voimaan astuneeseen Euroopan unionin tietosuoja-asetukseen, jolla korvattiin vuoden 1995 henkilötietodirektiivi53. Tie- tosuoja-asetusta on sovellettava välittömästi sellaisenaan kaikissa jäsenmaissa54. Tieto- suoja-asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötieto- jen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Ase- tuksen tarkoituksena on suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.55 Siitä huolimatta, että kumotun tietosuojadirektiivin ja nykyisen tietosuoja-asetuksen vä- lillä on reilusti yli kaksikymmentä vuotta, kuten tietosuojavaltuutettu Reino Aarniokin tuo esiin tietosuojavaltuutetun toimiston blogissaan, moni asia pysyy myös samana uuden asetuksen myötä56. Ennen tietosuoja-asetusta henkilötietojen käsittelyssä ensisijaisesti 50 Graeff & Harmon 2002: 302. 51 Pitkänen 2014: 202. 52 HE 9/2018 vp: 10. 53 Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, yksilöiden suojelusta henkilötietojen käsitte- lyssä ja näiden tietojen vapaasta liikkuvuudesta. 54 Tietosuojavaltuutetun toimisto 2018 a. 55 Yleinen tietosuoja-asetus 2016/679: 1 artiklan 1 ja 2 kohta. 56 Aarnio 2018. 21 sovellettu henkilötietolaki sisältää paljon samoja asioita kuin tietosuoja-asetus. Henkilö- tietolaissa kirjatut rekisteröidyn oikeudet pysyvät siis ennallaan. Näiden jo olemassa ole- vien oikeuksien rinnalle tulee myös uusia oikeuksia, jotka Eija Warman mukaan lisäävät rekisteröidyn mahdollisuuksia kontrolloida omia tietojaan57. 2.2.2. Suomen lainsäädäntö Hallitus on antanut eduskunnalle esityksen EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi, jossa ehdotetaan säädettäväksi tietosuojalaki. Lain tarkoituksena olisi täydentää ja täsmentää EU:n yleistä tietosuoja-asetusta.58 Samalla kumottaisiin tämänhet- kinen henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta. Tieto- suojalain käsittely on vielä eduskunnassa kesken. Lain valmistumiseen asti sovelletaan henkilötietolakia, poikkeuksena tietosuoja-asetuksen kanssa ristiriidassa olevat säädök- set, joita ei EU-oikeuden etusijaperiaatteen vuoksi sovelleta.59 Tulevan tietosuojalain ja nykyisen henkilötietolain lisäksi henkilötietojen käsittelystä säädetään myös muissa kansallisissa erikoislaeissa. Näistä laeista pankin käsittelemien henkilötietojen kannalta tärkein on luottotietolaki60, jota sovelletaan luottotietojen kerää- miseen, tuottamiseen, tallettamiseen, luovuttamiseen, käyttöön ja muuhun käsittelyyn61. 2.2.3. Tietosuojavaltuutetun toimisto Tietosuojavaltuutetun toimisto on asiantuntijaorganisaatio, joka on perustettu vuonna 1987 turvaamaan ihmisten oikeuksia ja vapauksia henkilötietojen käsittelyssä. Tietosuo- javaltuutetun toimisto on itsenäinen ja riippumaton viranomainen. Tietosuojavaltuutetun toimiston tarkoituksena on valvoa, että henkilötietoja käsitellään lainmukaisesti ja var- mistaa tietosuojaoikeuksien toteutuminen. Tietosuojavaltuutetun toimiston tehtävänkuva on laaja, ulottuen aina valvonnasta hallinnollisten määräysten antamiseen, ja henkilötie- tojen käsittelyä koskevan tietoisuuden levittämiseen.62 57 Juntunen 2016. 58 HE 9/2018 vp: 1. 59 Tietosuojavaltuutetun toimisto 2018 b. 60 Luottotietolaki 11.5.2007/527. 61 Luottotietolaki 11.5.2007/527: 1.1. 62 Tietosuojavaltuutetun toimisto 2018 c. 22 Tietosuojavaltuutetun toimiston merkittävimpiä tehtäviä on valvoa tietosuoja-asetuksen ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista, sekä määrätä hallin- nollisia seuraamuksia, jos henkilötietojen käsittelyssä ilmenee rikkomuksia. Näiden teh- tävien lisäksi tietosuojavaltuutetun toimistolla on lukuisia muita toimenkuvia, joista mai- nittakoon tietoisuuden edistäminen henkilötietojen käsittelyä koskevissa kysymyksissä, sekä yhteistyö muiden EU:n tietosuojaviranomaisten kanssa.63 2.3. Rahanpesulain ja tietosuoja-asetuksen rajapinta Rahanpesu- ja tietosuojalainsäädännöllä on toisiinsa nähden hyvin erilaiset tarkoituspe- rät. Rahanpesulainsäädännön tavoitteena on estää rahanpesua ja terrorismin rahoittamista, edistää tällaisen toiminnan paljastamista ja selvittämistä sekä tehostaa rikoksen tuottaman hyödyn jäljittämistä ja takaisinsaantia64. Tietosuoja-asetuksen tarkoituksena on vastaa- vasti suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan65. Rahanpesulainsäädännön tarkoituksena on siis ki- teytettynä estää rahanpesua ja terrorismin rahoittamista, kun taas tietosuojalainsäädännön tarkoituksena on suojella luonnollisten henkilöiden yksityisyyttä ja henkilötietojen käsit- telyä. Rahanpesun ja terrorismin rahoittamisen takana on aina luonnollinen henkilö, vaikka oi- keushenkilöitä käytettäisiinkin rikollisten tarkoitusperien saavuttamiseen. Jotta rikollinen toiminta pystytään joko havaitsemaan tai poissulkemaan, tulee mahdollisten tekojen ta- kana olevasta luonnollisesta henkilöstä kerätä mahdollisimman paljon tietoa. Tietosuoja- lainsäädännön tarkoituksena taas on suojella luonnollisten henkilöiden yksityisyyttä hen- kilötietojen käsittelyn sääntelyn kautta. Suurimmat ongelmat ja ristiriidat rahanpesu- ja tietosuojalainsäädännön yhdistämisestä pankin näkökulmasta kulminoituvat ensisijaisesti kerätyn tiedon käsittelyyn lukuisista eri näkökulmista katsottuna. Juurikin tieto, sen kerääminen ja käsittely ovat tekijöitä, jotka aiheuttavat intressikonfliktin näiden kahden lain välille. Lainsäädännön vastakkaisten in- tressien ydin onkin yksityisyyden suojan ja yhteiskunnan turvallisuuden vastakkainaset- telussa, mikä aiheuttaa väistämättä ristiriitoja. 63 Tietosuojavaltuutetun toimisto 2018 c. 64 RahanpesuL 1:1. 65 Yleinen tietosuoja-asetus 2016/679: 1 artiklan 1 kohta. 23 Rahanpesu- ja tietosuojalainsäädännön vertaileminen on tutkimuskohteena hyvin uusi tuoreiden lainsäädäntöjen vuoksi, eikä vertailevaa, tieteellistä materiaalia näin ollen juu- rikaan ole saatavilla. Tästä johtuen tutkimuskysymyksiin ei ole olemassa valmiita vas- tauksia, vaan oikeudentila on jokseenkin määrittelemätön ja tulkinnanvarainen. Tutki- muskysymyksiin pyritään löytämään vastaus perehtymällä lukuisiin eri oikeuslähteisiin ja tekemällä näiden perusteella tulkintoja, päätelmiä ja kannanottoja. 24 3. ASIAKKAAN TUNTEMINEN 3.1. Asiakkaan tuntemisen taustaa Rahanpesun torjunta muodostuu sekä ennaltaehkäisevistä että jälkikäteisistä toimista. En- naltaehkäisevät, eli preventiiviset toimenpiteet ovat muotoutuneet alun perin rahoituslai- tosten kansainvälisen yhteistyön myötä, kun taas jälkikäteisillä, eli repressiivisillä kei- noilla on pyritty estämään rikollisella toiminnalla saatujen varojen saattaminen joko esi- rikoksen suorittaneen tahon käyttöön tai uusien rikosten rahoittamiseen. Merkittävä pre- ventiivinen keino rahanpesun ja terrorismin rahoittamisen torjumiseksi on laissa rahan- pesun ja terrorismin rahoittamisen estämisestä erinäisille yhteisöille ja elinkeinonharjoit- tajalle asetettu ilmoitusvelvollisuus, jonka perusteella esimerkiksi pankkien on ilmoitet- tava rahanpesun selvittelykeskukselle havaitsemistaan epäilyttävistä liiketoimista.66 Jotta epäilyttävien liiketoimien havaitseminen ja siitä ilmoittaminen on mahdollista, tulee pankkien muiden rahanpesulaissa esitettyjen toimijoiden ohella tuntea asiakkaansa. Asiakkaan tunteminen muodostaakin rahanpesulain keskeisen velvoitteen67, sillä ilman asiakkaan tuntemiseen liittyviä toimenpiteitä ei myöskään pystytä havaitsemaan epäilyt- tävään liiketoimeen viittaavia poikkeavia tapahtumia ja käyttäytymismalleja. Pankkien tulee tuntea asiakkaansa koko asiakassuhteen keston ajan; ei riitä, että tiedot päivitetään kertaalleen asiakassuhdetta perustettaessa. Asiakkaan käyttäytymismallit voivat lain ohella muuttua asiakassuhteen aikana, minkä vuoksi on tarpeellista päivittää asiakkaan tuntemistietoja säännöllisin väliajoin. Rahanpesulain asettamien velvoitteiden lisäksi myös tietosuoja-asetus edellyttää, että asiakkaasta kerättävät tiedot ovat tarpeellisia ja virheettömiä, joten on huolehdittava siitä, että tiedot ovat sekä oikein että ajan tasalla.68 Asiakkaan tuntemisen velvoitteet perustuvat EU:n lainsäädäntöön, Suomen lainsäädän- töön ja Finanssivalvonnan sääntelyihin69. Laissa rahanpesun ja terrorismin rahoittamisen estämisessä on säädetty tarkat vähimmäistiedot, jotka pankin on hankittava asiakkaistaan täyttääkseen velvoitteensa asiakkaan tuntemisesta. Osa rahanpesulain tiedoista on yksi- tyiskohtaisia, kun taas osa kohdista on jätetty väljemmiksi, mahdollistaen näin pankkien 66 Lahti & Koponen 2007: 151-152. 67 Finanssivalvonnan standardi 2.4 2015. 68 Finanssivalvonta 2016. 69 Finanssivalvonnan standardi 2.4. 2015. 25 riskiperusteisen harkinnan.70 Pankeilla tulee olla valtuudet arvioida kuhunkin asiakkuu- teen liittyvät riskit, ja arvionsa perusteella tehdä päätös asiakkaasta kerättävän tiedon määrästä ja laadusta. Toimimalla näin pankit sekä optimoivat rajallisten resurssiensa käy- tön että asiakkaan yksityisyyden säilymisen. Rahanpesun ja terrorismin rahoittamisen il- menemismuotoja on lisäksi mahdotonta ennakoida, minkä vuoksi lainsäädäntö ei voi olla yksiselitteinen ja joustamaton. Antamalla pankeille valtuudet tietyissä rajoissa päättää myös esitetyistä kysymyksistä varmistetaan, että pankit voivat sopeuttaa asiakkaan tun- temiseen liittyvät toimenpiteet kulloiseenkin tilanteeseen sopivaksi. Seuraavassa alaluvussa 3.2. määritellään tarkemmin, mitä asiakkaan tuntemisella tarkoi- tetaan ja millaisia tekijöitä asiakkaan tunteminen pitää sisällään. Luvussa esitellään asi- akkaan tunnistamisen ja tuntemisen käsitteet, sekä asiakassuhteen perustamisen edelly- tykset. Luvussa sivutaan lyhyesti myös asiakkaan jatkuvaa seurantaa, tietojen käsittelyä ja dokumentointia, sekä selonotto- ja ilmoitusvelvollisuutta. 3.2. Asiakkaan tuntemisen määritelmä Kuten aiemmassa kappaleessa kävi jo ilmi, pankeilla on lakiin perustuva velvollisuus sekä tunnistaa että tuntea asiakkaansa, mikä muodostaa rahanpesulain keskeisen velvoit- teen71. Asiakkaan tuntemisella tarkoitetaan pankin velvollisuutta sekä tunnistaa että tun- tea asiakkaansa ja tämän toiminnan laadun ja laajuuden. Asiakkaan tunteminen käsittää sekä asiakkaan tunnistamisen että asiakkaan kokonaisvaltaisen tuntemisen. Asiakkaan tunnistamisella tarkoitetaan asiakkaan oikeasta henkilöllisyydestä varmistumista henki- löllisyyden todentamisen avulla. Asiakkaan kokonaisvaltainen tunteminen tarkoittaa asi- akkaan toiminnan ja taustojen tuntemista asiakassuhteen vaatimalla laajuudella.72 Asiak- kaan tunteminen edellyttää myös riskien hallintaa uusien asiakkuuksien avaamisen koh- dalla, transaktioiden monitorointia ja eri asiakkuuksille suunnattuja menettelytapoja73. Asiakkaan tunteminen alkaa siitä hetkestä, kun asiakas haluaa avata asiakkuuden pan- kissa. Asiakas ja pankki sopivat asiakkuuden ehdoista, minkä jälkeen asiakas luovuttaa 70 Finanssivalvonta 2017 a. 71 Finanssivalvonnan standardi 2.4. 2015. 72 Finanssivalvonnan standardi 2.4. 2015. 73 Parra Moyano & Ross 2017: 412. 26 pankille pankin tarvitsemat tiedot asiakkaan tunnistamiseksi ja tuntemiseksi. Pankki ana- lysoi saamansa tiedot, joiden perusteella luodaan sisäinen dokumentaatio74 asiakkuu- desta. Dokumentaation tarkoituksena on todentaa viranomaisille, että asiakkuus on joko hyväksytty tai hylätty, ja asiakkaan tuntemistiedot on asianmukaisesti kerätty ja doku- mentoitu.75 Asiakkaan tunteminen on koko asiakassuhteen ajan kestävä, jatkuva prosessi, eikä asiak- kaan tunteminen siten rajoitu ainoastaan hetkeen, jolloin asiakassuhde perustetaan. Asi- akkaan tuntemisen tulee lain mukaan olla jatkuvaa ja tietojen on oltava sekä oikeita että ajan tasalla.76 Asiakassuhdetta ei siten tule perustaa tai ylläpitää, jos asiakkaan tuntemis- tiedot ovat pankin oman riskiperusteisen arvion perusteella puutteellisia77. Asiakkaan jat- kuva tunteminen on tärkeää, sillä asiakkaan käyttäytyminen voi muuttua asiakassuhteen keston aikana. Asiakassuhteen perustamishetken käytös voi olla lainmukaista, kun taas myöhemmät tapahtumat saattavat indikoida rahanpesua tai terrorismin rahoittamista. Myös pankin monitorointijärjestelmät kehittyvät alati, minkä vuoksi epäilyttäviä toimia ei välttämättä ole pystytty vielä asiakassuhteen alussa havaitsemaan nykyhetken näkökul- masta puutteellisten järjestelmien takia. Asiakkaan tunnistamisen ja tuntemistietojen hankkimisen lisäksi asiakkaan tuntemistie- toja tulee siis päivittää säännöllisin väliajoin ja asiakkuuden kehittymistä on seurattava koko asiakassuhteen keston ajan. Tuntemistiedot on dokumentoitava asiallisesti ja niitä tulee säilyttää lain asettamaan määräaikaan asti. Yllä mainittujen toimien lisäksi asiak- kaan tuntemiseen liittyvät toimenpiteet kattavat myös selonotto- ja ilmoitusvelvollisuu- den. Pankin on kaikissa asiakkaan tuntemisen vaiheissa, mukaan lukien selonotto- ja ilmoitus- velvollisuuteen liittyvissä toimenpiteissä, otettava huomioon tietosuoja-asetuksen mukai- set vaatimukset tietojenkäsittelylle. Edellä mainitut toimenpiteet sisältävät hyvin erilaisia tietojenkäsittelyn muotoja, joihin kohdistuu täten erilaisia velvollisuuksia. Näitä velvol- lisuuksia käsitellään tarkemmin luvussa 4. 74 Sisäisellä dokumentaatiolla tarkoitetaan asiakkaan KYC-tietolomaketta. 75 Parra Moyano & Ross 2017: 412. 76 Finanssivalvonta 2016. 77 Finanssiala ry 2016. 27 Seuraavassa alaluvussa 3.3. käydään läpi pankkien harjoittamaa riskiperusteista arvioin- tia asiakkaan tuntemisen toimenpiteissä. Luvussa tuodaan esiin asiakkuuksiin kohdistu- vien riskien arvioinnin välttämättömyys, sekä riskiarvion suorittamiseen kehitetyt työka- lut. 3.3. Riskiperusteinen arviointi Pankeilla on suuri riski altistua käytettäväksi rahanpesullisiin tarkoituksiin, minkä vuoksi pankkien on tärkeää pystyä arvioimaan asiakkaisiinsa kohdistuvat riskit78. Rahanpesulain mukaan pankin on asiakassuhteeseen liittyviä rahanpesun ja terrorismin rahoittamisen riskejä arvioidessaan otettava huomioon asiakkaisiin, maihin tai maantieteellisin aluei- siin, tuotteisiin, palveluihin ja liiketoimiin sekä jakelukanaviin liittyvät rahanpesun ja ter- rorismin rahoittamisen riskit79. Pankin tulee siis suhteuttaa asiakkaan tuntemiseen liitty- vät toimenpiteet ottaen huomioon kokonaisvaltaisesti asiakkaan aiheuttamat riskit rahan- pesun ja terrorismin rahoittamisen näkökulmasta. Jos pankki arvioi, että asiakkuuteen liit- tyy kesimääräistä suurempi väärinkäytösriski rahanpesun ja terrorismin rahoittamisen nä- kökulmasta, tulee asiakkaaseen tällöin kohdistaa tehostettuun tuntemiseen liittyviä toi- menpiteitä80. Pankille ei ole tarkoituksenmukaista tai rajallisten resurssien puitteissa edes mahdollista monitoroida jokaista asiakkuutta samalla laajuudella ja tarkkuudella. Pankin tuleekin fo- kusoitua niihin asiakkuuksiin, jotka vaativat sekä lain että pankin oman riskiarvion pe- rusteella tarkempaa valvontaa81. Pankilla on kuitenkin velvollisuus kohdistaa asianmu- kaiset toimenpiteet myös niihin asiakkuuksiin, joiden voidaan nähdä muodostavan rahan- pesun ja terrorismin rahoittamisen näkökulmasta alhaisemman riskin. Näihin asiakkuuk- siin voidaan kuitenkin kohdistaa standardoidumpia tuntemistoimenpiteitä.82 Tarkoituksenmukaisuuden ja resurssienhallinnan lisäksi pankin tulee ottaa toiminnassaan huomioon myös tietosuoja-asetuksen asettamat velvoitteet tietojenkäsittelylle. Tieto- suoja-asetuksen oletusarvoista tietosuojaa83 käsittelevän 25 artiklan toisen kohdan perus- 78 Mat Isa, Sanusi, Haniff, Barnes 2015: 7. 79 RahanpesuL 3:1:2. 80 Finanssivalvonnan standardi 2.4. 2015. 81 Ramage 2012: 273. 82 de Wit 2007: 161. 83 Oletusarvoinen tietosuoja tunnetaan paremmin englanninkielisenä terminä privacy by default. 28 teella rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpi- teet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Oletusarvoisen tietosuojan noudattaminen on oleellista riskiperusteista arviota suoritta- essa, sillä tehostetun tuntemisen tason valinta vaikuttaa merkittävästi erityisesti kerättyjen henkilötietojen määrään, laajuuteen ja käsittelyaikaan. Yksi oletusarvoisen tietosuojan pääperiaatteista on tiedon minimointi, jolla tarkoitetaan henkilötietojen käsittelyn rajaa- mista mahdollisimman minimaaliseen määrään84. Tietojen rajaamisella mahdollisimman pieneen määrään tarkoitetaan sitä, että asiakkaasta tulisi kerätä vain tiettyä, rajattua tar- koitusta varten oleellinen määrä tietoa.85 Oli kyseessä sitten yksinkertaistettu tai tehos- tettu tunteminen, tulee kerättyjen tuntemistietojen tuntemisen tasosta huolimatta vastata sitä tarkoitusta, mihin tiedot on kerätty. Pankin tulee siis pystyä tunnistamaan asiakkuuksiin liittyvät riskit, jotta voidaan tehdä päätös sen suhteen, täyttääkö asiakkuus korkean riskin asiakkaan tunnusmerkit, vai voi- daanko asiakas luokitella vähäisen riskin asiakkaaksi. Ensimmäinen arvio tehdään luon- nollisesti uusien asiakkuuksien kohdalla asiakassuhdetta perustettaessa. Asiakkuuden pe- rustamisen jälkeen asiakkaan jatkuva tunteminen etenee asiakkuuden muodostamien ris- kien puitteissa, missä pankin sisäiset, monitorointiin tarkoitetut järjestelmät ovat tärke- ässä asemassa.86 Pankilla tulee olla käytössään asianmukaiset järjestelmät sen arvioimiseen, millaisia ris- kejä asiakkaat aiheuttavat liiketoiminnalle. Näiden järjestelmien tarkoituksena on tukea asiakkaan tuntemiseen liittyviä toimintatapoja sekä estää väärinkäytöksiä. Järjestelmien ei tarvitse muodostaa muusta liiketoiminnasta erillistä kokonaisuutta, vaan ne voivat olla osa pankin yleistä riskienhallintaa ja sisäistä tarkastusta.87 Järjestelmien tarkoituksena on muun muassa mahdollistaa transaktioiden automaattinen monitorointi, jota ei ole mah- dollista suorittaa rajallisten resurssien vuoksi manuaalisesti henkilöstön voimalla88. Järjestelmien käyttö keinona havainnoida rahanpesua ja terrorismin rahoittamista kohtaa haasteita tietosuoja-asetuksen näkökulmasta, sillä järjestelmän tuottama automaattinen 84 Romanou 2018: 103. 85 Koops, Hoepman & Leenes 2013:679. 86 de Wit 20017: 158. 87 Finanssivalvonnan standardi 2.4. 2015. 88 de Wit 2007: 159. 29 data voidaan nähdä tietosuoja-asetuksen mukaisena profilointina. Tietosuoja-asetuksessa profiloinnilla tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia omi- naisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luon- nollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtai- siin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.89 Rahanpesun ja terrorismin rahoittamisen estämisen näkökulmasta profi- loinnin kieltämisellä voitaisiin olla ajautumatta vääriin ja virheellisiin tulkintoihin90, ja näin ollen suojella asiakkaiden henkilötietoja. Vaikkakin profilointi voidaan nähdä ongelmallisena rahanpesun ja terrorismin rahoitta- misen estämisen, ja sitä tukevan tutkinnan kontekstissa, on automaattisen tietojenkäsitte- lyn käyttämättä jättäminen käytännössä mahdotonta suurien tietomassojen takia. On myös otettava huomioon mahdollisen profiloinnin pois jättämisen vaikutukset asiakkai- den henkilötietojen käsittelyyn. Ilman profilointia pankki joutuisi manuaalisesti tarkista- maan kaikkien asiakkaiden tiedot, jolloin asiakkaiden yksityisyyden suoja vaarantuisi huomattavasti enemmän. Mahdollinen ratkaisu profiloinnin luomiin ongelmiin olisikin kehittää automaattista tietojenkäsittelyä havaitsemaan paremmalla tarkkuudella epäilyt- tävät tapahtumat normaalista, jolloin tosiasiallisesti ei-rikollisten asiakkaiden henkilötie- toja ei jouduttaisi käsittelemään. Rahanpesun ja terrorismin rahoittamisen estämisen tekee haastavaksi muun muassa ky- seisten aktiviteettien monimuotoisuus, kansainvälisyys ja jatkuvasti muuttuva toimin- taympäristö. Pankkien osalta näiden haasteiden selättämisessä keskeisessä asemassa ovat monitorointiin tarkoitetut järjestelmät ja pankin oma riskiperusteinen arvio. Riskiperus- teisen arvion avulla pystytään keskittymään niihin asiakkuuksiin, joiden kohdalla näh- dään kohonnut riski. Riskiperusteinen arvio mahdollistaa resurssien keskittämisen epäi- lyttäviin tapahtumiin, unohtamatta kuitenkaan myös muiden asiakkuuksien rutiininomai- sempaa seurantaa. Kyse on siis riskienhallinnasta ja resurssien tarkoituksenmukaisesta kohdentamisesta. Riskiperusteinen arvio onkin yksi neljännen rahanpesudirektiivin kes- keisistä muutoksista aiempaan direktiiviin verrattuna. Seuraavassa alaluvussa 3.4. syvennytään tarkemmin asiakkaan tunnistamiseen ja tunte- miseen, ja määritellään näiden kahden käsitteen välinen ero. Luvussa perehdytään myös pankin riskiperusteiseen arviointiin näitä toimia suorittaessa. 89 Yleinen tietosuoja-asetus 2016/679: 4 artiklan 4 kohta. 90 Koops ym. 2013: 685. 30 3.4. Tunnistaminen ja tuntemistietojen hankkiminen Pankeilla on lakiin perustuva velvollisuus sekä tunnistaa että tuntea asiakkaansa. Asiak- kaan tunteminen kattaa kaikki asiakkaasta kerätyt tiedot ja tietojen käsittelyyn liittyvät toimenpiteet koko asiakassuhteen kattamalta ajalta. Asiakkaan tunnistaminen sisältyy asi- akkaan tuntemiseen, mutta on itsessään asiakkaan tuntemista suppeampi käsite. Lain mu- kaan asiakas on tunnistettava ja tämän henkilöllisyys todennettava vakituista asiakassuh- detta perustettaessa91. Asiakas on lisäksi tunnistettava ja tämän henkilöllisyys todennet- tava muun muassa silloin, jos aiemmin todennetun asiakkaan henkilöllisyyden todenta- mistietojen luotettavuutta tai riittävyyttä on syytä epäillä92. Asiakkaan tunnistamisella tar- koitetaan siis asiakkaan henkilöllisyydestä varmistumista vakituista asiakassuhdetta pe- rustettaessa ja muissa laissa määritetyissä erityistilanteissa. Finanssivalvonnan mukaan vakituiseksi asiakkuudeksi määritellään sellainen asiakas, joka muun muassa avaa tilin, ryhtyy luottosuhteeseen tai solmii arvopaperivälityssopimuksen pankin kanssa93. Pankeilla on pääsääntöisesti velvollisuus tarjota asiakkaille peruspankkipalvelut, eli tal- letustili ja maksukortti. Luottolaitostoiminnasta annetussa laissa on kuitenkin määrätty poikkeus tähän, sillä talletuspankki saa kieltäytyä tavanomaisen talletustilin avaamisesta ja tilin käyttöön tarkoitetun välineen myöntämisestä tai maksupalvelua koskevan toimek- siannon hoitamisesta ETA-valtiossa laillisesti oleskelevalle luonnolliselle henkilölle vain, jos kieltäytymiselle on painava peruste. Perusteen tulee liittyä asiakkaaseen, hänen aiempaan käyttäytymiseensä tai siihen, ettei asiakassuhteelle ilmeisesti ole todellista tar- vetta. Kieltäytymisen peruste on ilmoitettava asiakkaalle.94 Yksi esimerkki painavasta syystä on se, ettei pankki pysty tunnistamaan asiakastaan. Pan- killa on oikeus kieltäytyä asiakassuhteen perustamisesta esimerkiksi sellaisen tahon kanssa, joka kieltäytyy antamasta riittäviä tietoja itsestään tai toiminnastaan. Pankilla ei siis lain mukaan saa olla tunnistamattomia, eli anonyymeja asiakkaita, mikä onkin yksi esimerkki painavasta syystä kieltäytyä tarjoamasta asiakkaalle edes vähimmäisvaatimuk- sen mukaisia peruspankkipalveluita. Myös asiakassuhteen tai toimeksiannon muodosta- essa kesimääräistä suuremman riskin rahanpesun tai terrorismin osalta, voidaan asiakas- suhde jättää perustamatta tai toimeksianto suorittamatta.95 91 RahanpesuL 3:2:1. 92 RahanpesuL 3:2:1:n 4 kohta. 93 Finanssivalvonta 2017 b. 94 LuottoL 15:6 :1. 95 Finanssivalvonnan standardi 2.4. 2015. 31 Asiakas tunnistetaan ja henkilöllisyys todennetaan asiakkaan toimittaman asiakirjan pe- rusteella. Asiakkaan on oltava asiakirjasta tunnistettavissa ja henkilötiedot yksiselittei- sesti todennettavissa. Asiakkaan henkilöllisyys voidaan todentaa joko viranomaisen myöntämän henkilöllisyystodistuksen tai vahvan sähköisen tunnistautumisen kautta, riip- puen siitä, tapahtuuko asiakkuuden perustaminen asiakkaan ollessa henkilökohtaisesti läsnä vai etänä verkkotapaamisen yhteydessä. Pankki voi oman riskienhallintaperiaat- teensa mukaan päättää, mitkä asiakaskirjat hyväksytään henkilöllisyyden todentamiseksi. Yleisesi kuitenkin katsotaan, että passi ja henkilökortti ovat niiden myöntämisprosessin osalta esimerkiksi ajokorttia varmempi henkilöllisyyden todentamisen väline.96 Henkilöllisyystodistuksia käsitellessä tulee olla erityisen tarkka, sillä henkilöstä otetut kasvokuvat, joita käytetään esimerkiksi passeissa ja ajokorteissa, luetaan biometrisiksi tiedoiksi97 niissä esiintyvien, yksilöllisen tunnistamisen mahdollistavien fyysisten piirtei- den vuoksi98. Biometrisillä tiedoilla tarkoitetaan kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saa- tuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan var- mistaa99. Lähtökohtaisesti biometristen tietojen käyttäminen on kiellettyä tietosuoja-asetuksen 9 artiklan 1 kohdan nojalla. Artikla esittää kuitenkin poikkeustilanteita, joissa kyseisten tie- tojen käsittely on sallittua. Asiakkaan tuntemista koskevissa toimenpiteissä voidaan nähdä täyttyvän artiklan 2 kohdan 1 alakohta, jonka mukaan tietoja saa käsitellä, jos re- kisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsitte- lyyn yhtä tai useampaa tiettyä tarkoitusta varten, sillä asiakkaalle tulee ilmoittaa tietojen käyttämisestä rahanpesun ja terrorismin rahoittamisen estämiseen100. Kansainvälisissä rahanpesuun liittyvissä regulaatioissa on kiinnitetty huomiota etenkin asiakassuhteen perustamishetkeen, joka on asiakkaan ja pankin välisen suhteen kannalta erittäin tärkeä ja ratkaiseva. Perustamishetkellä hankittua tietoa käytetään päivitettävien tietojen ohella koko asiakassuhteen keston ajan, joten asiakkaan henkilöllisyydestä ei saa 96 Finanssivalvonta 2017 a. 97 Romanou 2018: 104. 98 Tikkinen-Piri, Rohunen & Markkula 2018:139. 99 Yleinen tietosuoja-asetus 2016/679: 4 artiklan 14 kohta. 100 RahanpesuL 3:3.4. 32 olla epäilyksiä101 ja asiakkaan tuntemistietojen tulee olla virheettömiä. Asiakkaan tunnis- tamiseen liittyvien prosessien lisäksi pankin tulee myös tuntea asiakkaansa, eli olla tie- toinen asiakkuuteen liittyvistä oleellisista asioista, kuten varallisuudesta ja maksuliiken- teestä.102 Kun asiakkaan käyttäytyminen on pääpiirteittäin pankin tiedossa, pystytään välttämättään mahdolliset epäselvyydet liittyen asiakkaan maksuliikenteeseen. Jos asiak- kaan monitoroinnin yhteydessä huomataan esimerkiksi ulkomaille kohdistuvia suorituk- sia, ei asiakasta tarvitse välttämättä tavoitella tapahtumiin liittyen, jos tiedot ulkomaan- maksuliikenteestä on jo kirjattu asiakkaan tuntemistietoihin. Rahanpesulaissa määritellään ne tiedot, joita pankin on hankittava asiakkaistaan, jotta voidaan katsoa asiakkaan tuntemisen täyttyneen. Osa tiedoista on määritelty yksiselittei- sesti, kun taas joidenkin tietojen kohdalla on jätetty myös pankille varaa toteuttaa omaa riskiperusteista arviotaan. Kun asiakkaalle avataan peruspankkipalvelut, eli maksutili, maksukortti ja verkkopankki, tulee pankin tietää asiakkaastaan perustietojen103 lisäksi, onko asiakas poliittisesti vaikutusvaltainen henkilö tai kuuluuko asiakas tällaisen henki- lön lähipiiriin, mikä on asiakkaan taloudellista elämäntilannetta kuvaava status104, onko kyseessä asiakkaan pääasiallinen pankkiasiakkuus ja mistä asiakkaan varallisuus on pe- räisin. Pankin on myös saatava asiakkaalta tämän arvio säännöllisen maksuliikenteen määrästä sekä mahdollisista ulkomaanmaksuista ja niiden perusteista.105 Näiden tietojen lisäksi pankilla on oikeus kysyä asiakkaalta tuntemiseen liittyviä lisäky- symyksiä asiakkuuden laadun ja laajuuden perusteella. Pankilla on lisäksi tarvittaessa oi- keus pyytää asiakkaalta dokumentaatiota selvityksen tueksi.106 Tämä korostuu etenkin selonottovelvollisuuden yhteydessä, kuten jäljempänä kappaleessa 5.2. ilmenee. Henkilötietoja kerätessä ja käsiteltäessä on huomioitava, että tietoja tulee kerätä vain teh- tävän vaativa tarpeellinen määrä107, minkä lisäksi henkilötietojen on oltava asianmukaisia ja olennaisia108. Henkilötietoja ei voi siis kerätä ylettömissä määrin tai varmuuden vuoksi, vaan kerättävien tietojen tulee perustua johonkin nimenomaiseen tarkoitukseen, ja tieto- jen keräämisen tarkoituksena tulee olla jonkin tietyn tehtävän suorittaminen. 101 Demetriades 2016: 80. 102 de Wit 2007: 159. 103 Perustietoja ovat esimerkiksi henkilön nimi, osoite, henkilötunnus ja kansalaisuus. 104 Elämäntilannetta kuvaava status voi olla esimerkiksi opiskelija, eläkeläinen ja palkansaaja. 105 Finanssivalvonta 2017 a. 106 Finanssivalvonta 2017 a. 107 Tikkinen-Piri ym. 2018:139; Lindroos-Hovinheimo 2018: 62. 108 Yleinen tietosuoja-asetus 2016/679: 5 artiklan 1 kohdan c alakohta. 33 Seuraavissa alaluvuissa (3.5., 3.5.1., 3.5.2. ja 3.5.3.) käsitellään tarkemmin asiakkaan tun- temisen tasoja ja tuntemisen tasoon vaikuttavia tekijöitä. Luvuissa korostetaan pankin oman riskiarvion merkitystä tuntemistason valinnassa, unohtamatta lakiin perustuvia vaa- timuksia. 3.5. Tuntemisen tasot Asiakkaan tuntemiseen liittyvät toimenpiteet määräytyvät riskiperusteisesti asiakkuu- desta riippuen. Asiakkuuteen liitettävää riskiä voidaan määritellä muun muassa asiakas- tyypin, asiakkaan yritysyhteyksien ja tilitapahtumien perusteella109. Jotta pankki pystyy tunnistamaan epäilyttävän ja mahdollisesti rikollisen toiminnan normaalista, tulee pankin ymmärtää epäilyttäviltä vaikuttavien, poikkeavien toimintatapojen lisäksi myös mikä on normaalia ja rehellistä käyttäytymistä asiakkailta. Vain näin pystyään erottamaan asia- kasmassan joukossa olevat poikkeavuudet. Kun poikkeavuudet osataan tunnistaa, pysty- tään kehittämään pankin sisäisiä due diligence110, KYC ja tilitapahtumien monitorointi- prosesseja. Kun nämä prosessit ovat kunnossa, on rahanpesua ja terrorismin rahoittamista indikoivia elementtejä mahdollista huomata jo ennenaikaisesti jälkikäteisen havainnoin- nin sijaan.111 Normaalia huolellisuutta tulee noudattaa silloin, kun asiakkuuteen ei liitetä korkeariskisiä tekijöitä. Normaalin huolellisuuden yhteydessä puhutaan yksinkertaisesta asiakkaan tun- temisesta. Erityistä huolellisuutta, eli asiakkaan tehostettua tuntemista tulee noudattaa nii- den asiakkaiden kohdalla, joiden nähdään muodostavan pankille korkeamman riskin.112 Pankeilla on mandaatti harjoittaa toiminnassaan riskiperusteita arviointia, sillä kaikkia riskitekijöitä ei pystytä ottamaan huomioon laissa. Rahanpesun ja terrorismin rahoittami- sen keinot muuttuvat jatkuvasti, ja riskitekijät elävät luonnollisesti näiden muutoksien mukana. Laissa on määritelty tiettyjä riskitekijöitä, jotka on otettava huomioon, jättäen kuitenkin tilaa pankkien omalle, riskiperusteiselle arviolle. Riskiperusteinen arvio mah- dollistaa resurssien allokoinnin korkeariskisiin asiakkaisiin, mikä tukee sekä pankin että valtion intressejä. Pankki pystyy tällöin toimimaan tarkoituksenmukaisesti ja kustannus- tehokkaasti, mikä johtaa siihen, että epäilyttävät tapahtumat huomataan suuremmalla to- dennäköisyydellä ja ne voidaan saattaa viranomaisten tietoon. 109 de Koker 2006: 28. 110 Käsitteellä due diligence tarkoitetaan asianmukaista huolellisuutta. 111 Lowe 2017: 478. 112 de Koker 2006: 28; Ramage 2012: 278. 34 Riskiperusteinen arviointi kytkeytyy vahvasti myös yhteen tietosuoja-asetuksen ydinkä- sitteeseen, vaatimuksen oletusarvoisesta tietosuojasta. Tietoja kerätessä pitää perusteelli- sesti harkita, onko kerättävä tieto aidosti keräykseen kohdistuvan tarkoituksen kannalta oleellista, ja kuinka kauan tietoja on tarpeen säilyttää.113 Tuntemisen tason valinnalla on suuri vaikutus kerättävän tiedon määrään, laatuun ja säilytysaikaan, joten riskiarviota teh- dessä tulee kiinnittää huomiota myös tietosuoja-asetuksen vaatimuksiin. 3.5.1. Yksinkertaistettu tunteminen Rahanpesulain mukaan ilmoitusvelvollinen noudattaa yksinkertaistettua menettelyä asi- akkaan tuntemiseksi, jos ilmoitusvelvollinen arvioi, että asiakassuhteeseen tai yksittäi- seen liiketoimeen liittyy vähäinen rahanpesun ja terrorismin rahoittamisen riski. Ilmoi- tusvelvollisen on kuitenkin seurattava asiakassuhdetta poikkeuksellisten tai epätavallisten liiketoimien havaitsemiseksi.114 Laissa ei määritellä tarkemmin, milloin asiakkaan voi- daan katsoa muodostavan vain vähäisen riskin rahanpesun tai terrorismin rahoittamisen näkökulmasta. Paljon jätetään siis pankkien oman, riskiperusteisen arvion varaan. Jos asiakkaan maksuliikenne koostuu pääosin henkilöasiakkaalle tyypillisistä tilitapahtu- mista, kuten palkkatuloista ja päivittäiseen elämiseen liittyvistä kustannuksista, ei asiak- kuuden pääsääntöisesti voida nähdä muodostavan suurta riskiä rahanpesun tai terrorismin rahoittamisen näkökulmasta. Tällöin on sekä pankin resurssienhallinnan että asiakkaan yksityisyydensuojan näkökulmasta tarkoituksenmukaista soveltaa asiakkaaseen yksin- kertaistettua tuntemista. Näin mahdollistetaan resurssien kohdistaminen korkeariskisiin asiakkaisiin ja varmistetaan, että asiakkaan tietoja käsitellään vain välttämättömässä mit- takaavassa. 3.5.2. Tehostettu tunteminen Tehostettua menettelyä asiakkaan tuntemiseksi on lain mukaan sovellettava, jos arvioi- daan, että asiakassuhteeseen tai yksittäiseen liiketoimeen liittyy tavanomaista suurempi rahanpesun ja terrorismin rahoittamisen riski, tai jos asiakkaalla tai liiketoimella on liit- tymäkohta valtioon, jonka rahanpesun ja terrorismin rahoittamisen estämis- ja selvittely- 113 Dickie & Yule 2017: 101. 114 RahanpesuL 3:8:1. 35 järjestelmä muodostaa komission arvion mukaan merkittävän riskin EU:n sisämarkki- nalle tai ei täytä kansainvälisiä velvoitteita.115 Näiden tekijöiden lisäksi poliittisesti vai- kutusvaltainen henkilö tai tällaisen henkilön perheenjäsen tai yhtiökumppani on asetet- tava tehostetun tuntemisen piiriin.116 Edellä mainittujen tekijöiden lisäksi on myös muita asioita, joiden voidaan nähdä muo- dostavan korkean riskin rahanpesun ja terrorismin rahoittamisen näkökulmasta. Käteis- perusteinen asiointi on yksi hyvä esimerkki korkeariskisestä tekijästä. Koska käteisen al- kuperää tai käyttötarkoitusta on varmuudella vaikea selvittää, voidaan käteisten runsas käyttö nähdä korkeana riskinä. Käteisen käyttö, kuten myöskään poliittinen vaikutusval- taisuus tai yhteys korkeariskiseen valtioon, ei itsessään indikoi rikollista toimintaa, mutta on kuitenkin tekijä, jonka perusteella asiakkaan tuntemisessa on hyvä noudattaa erityistä huolellisuutta. Seuraavassa alaluvussa 3.6. pohditaan tarkemmin, millaisiin tekijöihin asiakkaan tunte- misen tason valinta voi perustua. 3.6. Tuntemisen tason valinta Koska laki ei tarjoa yksittäisiä tilanteita lukuun ottamatta yksiselitteisiä vastauksia tunte- misen tason valintaan, tulee pankin tehdä päätös tuntemisen tasosta oman, riskiperustei- sen arvioinnin pohjalta. Riskiperusteinen harkinta ja päätöksenteko perustuu pitkälti asi- akkaasta saatavilla olevaan tietoon. Asiakkaalta saatujen tietojen lisäksi tilitapahtumat ovat varteenotettava vaihtoehto riskiä arvioidessa, sillä tilitapahtumien perusteella asiak- kaan toiminnasta voidaan muodostaa totuudenmukaisen kuvan. Tilitapahtumien monito- rointi onkin avainasemassa epäilyttävien tapahtumien havaitsemisessa117. Asiakkuuteen liittyvät mahdolliset korkeariskiset tekijät saattavatkin tulla huomatuksi vasta pankkien tilitapahtumien monitorointiin tarkoitettujen järjestelmien havaitsemien poikkeavuuksien myötä. Näiden järjestelmien kautta havaitut poikkeavuudet, joko yksittäiset tai systemaat- tiset, ovat riskejä, joita ei tyhjentävästi pystytä kartoittamaan laissa tai asiakkaan tunte- miseen liittyvien kysymysten muodossa. Tämä ilmentää hyvin sitä, ettei rahanpesu ja ter- rorismin rahoittaminen ole rikoslajina staattista tai ennakoitavaa. 115 RahanpesuL 3:10:1; Hughes 2018: 2, 8. 116 RahanpesuL 3:13:3:n 3 kohta; Demetriades 2016: 85. 117 Lucchetti 2018: 4. 36 Tilitapahtumien tarkastelun lisäksi korkeariskisten asiakkaiden jäljille voi päästä ymmär- tämällä miksi ja mihin tarkoitukseen rikolliset tarvitsevat pankin tarjoamia palveluita. Jotta voidaan ymmärtää mihin rikollinen pyrkii suorittamillaan tilitoimilla, on tiedettävä, millaisia motiiveja rikollisilla on ja mihin asioihin heidän päätöksentekonsa perustuu. Näiden asioiden ymmärtämiseksi pankki voi analysoida aiemmissa tutkinnoissa esiin nousseita tapauksia ja jakaa näistä saatua tietoa, sekä muodostaa erilaisia kuvioita käyt- täytymismalleista.118 Poikkeavat ja epäilyttävät tapahtumat eivät ole siis välttämättä aina räikeitä, selkeästi havaittavissa olevia tapahtumia, vaan epäilyttävän käytöksen huomaa- minen voi vaatia laajempaa ymmärrystä rikollisten toiminnan taustalla olevasta logii- kasta. Laki ei yksinään siis pysty määrittelemään yksiselitteisiä rajoja asiakkaan tuntemisen ta- soille, vaan pankeilla tulee olla hallussaan omia sisäisiä, riskien tunnistamiseen tarkoitet- tuja monitorointijärjestelmiä. Riskien tunnistaminen ja rikollisen toiminnan estäminen edellyttää tiedon keräämistä, arvioimista ja analysointia, minkä avulla pystytään hahmot- taan pankin kohtaamia riskejä119. Riskien analysoinnin avulla pystytään myös muodosta- maan selkeämpi käsitys toimintamallien ohella siitä, mitkä asiakkuudet muodostavat kor- kean riskin pankin liiketoiminnalle rahanpesun ja terrorismin rahoittamisen näkökul- masta. Oppiminen, joka tapahtuu sekä ulkoisten lähteiden ja tietojen, että sisäisessä tut- kinnassa karttuneen kokemuksen avulla, on tärkeässä asemassa asiakkaan toiminnan ym- märtämisessä ja siten onnistuneen riskiarvion luomisessa. 118 Lowe 2017: 478. 119 Lowe 2017: 478. 37 4. TUNTEMISTIETOJEN KÄSITTELY 4.1. Henkilötietojen käsittelyn taustaa Teknologisesti kehittyneet kaupungit älykkäine infrastruktuureineen nähdään usein mer- kittävänä tilaisuutena yhteiskunnalle ja taloudelle. Lukuisten positiivisten tekijöiden ohella tällaisilla yhteiskunnilla on kuitenkin myös kääntöpuolensa. Merkittävänä haas- teena tietoyhteiskunnassa120, jossa kerätään jatkuvasti valtavia määriä informaatiota, voi- daan nähdä yksilöiden perusoikeuksien, kuten yksityisyyden ja henkilötietojen onnistunut suojaaminen.121 Viimeisten vuosien aikana tietojenkäsittelyyn liittyvät riskit ovat muuttaneet muotoaan. Aiempi huoli valtion tarkkailusta on saanut ohelleen huolen henkilötietojen väärinkäyt- tämisestä taloudellisen hyödyn tavoittelemiseen ilman yksilön suostumusta. Informaation keskeisen roolin myötä myös huoli syrjinnästä on kasvanut, ja tietoon perustuvat päätök- sentekoprosessit voidaankin nähdä hyvin ongelmallisena tasa-arvoisen kohtelun näkökul- masta esimerkiksi tietojen automaattisen käsittelyn kohdalla.122 Liiketoiminnan näkökul- masta tietojen automaattinen käsittely on manuaaliseen käsittelyyn verrattuna huomatta- vasti nopeampaa, ja näin ollen luonnollisesti kustannustehokkaampaa. Yrityksen hyöty- essä automaattisen käsittelyn tuomista eduista, yksilön oikeudet saattavat kuitenkin kär- siä. Yleinen tietosuoja-asetus on luotu ensisijaisesti ja ennen kaikkea EU-kansalaisten tietojen turvaamista varten. Kaikki asiakastieto on yksilön omaisuutta, mikä onkin tietosuoja-ase- tuksen ydinsanoma. Yksilö voi tarjota tietojaan yritykselle, mikä ei kuitenkaan tarkoita sitä, että yksilö samalla luopuisi oikeuksistaan antamiinsa tietoihin. Tietojen luovuttami- sessa yritykselle on kyse ennemminkin tietojen lainaamisesta.123 Henkilötiedot ovat ny- kyaikana valtava liiketoiminnallinen resurssi, joita ilman harva yritys pärjäisi. Jotta yri- tyksellä on oikeus liiketoiminnassaan hyödyntää henkilötietoja, on sen muutettava toi- mintaansa niin, että henkilötietoja käsitellään turvallisesti ja yksilön oikeuksia kunnioit- taen. Henkilötietojen asianmukaisen ja laillisen käsittelyn on siis mentävä yrityksen lii- ketoiminnallisten intressien edelle. 120 Tietoyhteiskunnalla tarkoitetaan yhteiskuntaa, jossa informaation tuottaminen, jakelu ja käyttäminen on merkittävä osa taloutta ja kulttuuria. 121 van Dijk, Tanas, Rommetveit & Raab 2018: 230. 122 Mantelero 2017: 593. 123 O’Connor 2017: 52-54. 38 Uudistunut, yleinen tietosuoja-asetus ei ole muuttanut asetusta edeltäneen tietosuojadi- rektiivin pääelementtejä, sillä henkilötietojen suojelu perustuu edelleen pääasiallisesti yk- silön oikeuksiin ja niiden turvaamiseen. Rekisteröidyn informointi ja suostumuksen edel- lytys käsittelyn lähtökohtana muodostavat edelleen tärkeän oikeudellisen pohjan tietojen- käsittelylle. Näiden pääperiaatteiden lisäksi tietosuoja-asetuksella pyritään vahvistamaan rekisteröidyn oikeuksia esimerkiksi minimoimalla ja rajoittamalla tietojen käsittelyä.124 Keskustelu uudistuneen tietosuoja-asetuksen ympärillä on viimeisten kuukausien aikana keskittynyt pitkälti asetuksen oikeudelliseen viitekehykseen. Hyvin vähän on keskitytty niihin vaikutuksiin, joita asetuksella on yrityksen tosiasialliseen liiketoimintaan. Yrityk- set eivät voi enää suhtautua henkilötietojen käsittelyyn välinpitämättömästi, sillä tieto- suoja-asetuksen noudattaminen on liiketoiminnan kannalta välttämätöntä.125 Yrityksen on siis ryhdyttävä konkreettisiin toimiin täyttääkseen tietosuoja-asetuksen vaatimukset. Tietosuoja-asetus näyttäytyy yrityksen toiminnassa sisäisten toimien lisäksi erilaisina velvoitteina asiakkaita ja viranomaisia kohtaan. Jo entuudestaan haastavaan kombinaatioon oman lisänsä tuo henkilötietojen käsittely asi- akkaan tuntemisen näkökulmasta. Enää yhtälössä ei ole mukana ainoastaan liiketoimin- nan ja tietosuoja-asetuksen yhdistäminen, vaan henkilötietojen käsittelyä tulee harjoittaa rahanpesulainsäädäntö ja sen mukaiset velvoitteet mielessä pitäen. Tietosuoja- ja rahan- pesulainsäädännön yhdistämisessä on otettava huomioon käsittelyn vaikutukset kolmeen erilliseen tahoon: pankkiin, asiakkaaseen ja yhteiskuntaan. Lainsäädäntöympäristö on tässä kontekstissa poikkeuksellisen haastava, sillä kaikilla osapuolilla on omat intressinsä tietojen käsittelyn suhteen. Seuraavassa alaluvussa 4.2. käydään läpi, mitkä toiminnot voidaan katsoa henkilötietojen käsitellyksi, ja mitkä tiedot voidaan lukea henkilötiedoiksi. Luvussa käsitellään lisäksi lyhyesti tietosuoja-asetuksen ja henkilötietolain välistä eroa henkilötietojen käsittelyn määritelmässä. 4.2. Henkilötietojen käsittelyn määritelmä Tietosuoja-asetuksen määritelmä henkilötietojen käsittelystä on henkilötietolakia katta- vampi ja käsittää näin ollen useammat tietojen käsittelyn muodot ja tilanteet. Tietosuoja- 124 Mantelero 2017: 586. 125 Jackson 2018. 39 asetuksen 4 artiklan 2 kohdan mukaisesti käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko auto- maattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallenta- mista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muu- toin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista. Tietosuoja-asetuksessa henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistetta- vissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunniste- tietojen, kuten nimen, henkilötunnuksen, sijainti tiedon, verkkotunnistetietojen taikka yh- den tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.126 Valtaosa tietosuoja-asetuksen artikloista on jo aiemmin sisällytetty jäsenmaiden kansal- lisiin lainsäädäntöihin. Tietosuoja-asetuksen tarkoituksena on kuitenkin harmonisoida tietosuojalainsäädäntöä Euroopassa ja luoda jäsenmaille tasapuoliset toimintaedellytyk- set.127 Suurin osa näistä edellä mainituista käsittelyn muodoista onkin jo sisällytetty Suo- men kansalliseen lainsäädäntöön, eli henkilötietolakiin. Tietosuoja-asetuksen määritelmä henkilötietojen käsittelystä ja sen eri muodoista on kuitenkin hieman henkilötietolain 3§:n 2 kohtaa laajempi, sillä henkilötietojen jäsentämistä, hakua, kyselyä ja rajoittamista ei ole yksilöity henkilötietolaissa. Asiakkaan tuntemista varten kerättävät tiedot koostuvat asiakkaan henkilötiedoista, minkä vuoksi tietojen käsittelyyn sovelletaan tietosuoja-asetusta128. Kaikki asiakkuuden elinkaaren vaiheet, aina asiakkuuden perustamisesta jatkuvaan seurantaan, sekä mahdol- listen selonotto- ja ilmoitusvelvollisuuden täyttämiseen, ovat kokonaisuudessaan henki- lötietojen käsittelyä. Tietosuoja-asetuksen ollessa rahanpesulakiin nähden yleislaki, risti- riitatilanteissa tulee rahanpesulaki ensisijaisesti sovellettavaksi. Tällaisissakin tilanteissa on kuitenkin otettava huomioon tietosuoja-asetuksen mukaiset vaatimukset ja suhteuttava toiminta niin, että asiakkaan tietoja käsitellään mahdollisuuksien rajoissa tietosuoja-ase- tuksen säännöksiä kunnioittaen. 126 Yleinen tietosuoja-asetus 2016/679: 4 artiklan 1 kohta. 127 O’Connor 2017: 52-54. 128 Hughes 2018: 7. 40 Seuraavassa alaluvussa 4.3. esitellään tietosuoja-asetuksen mukaiset henkilötietojen kä- sittelyn yleiset kuusi periaatetta. Periaatteita käsitellään tarkemmin alaluvun jälkeisissä alaotsikoissa sekä tietosuoja-asetuksen että rahanpesulainsäädännön näkökulmasta. 4.3. Henkilötietojen käsittelyn yleiset periaatteet Tietosuoja-asetuksen 5 artiklan 1 kohdan mukaisesti tietoja käsitellessä on noudatettava kuutta periaatetta, jotka ovat lainmukaisuus, kohtuullisuus ja läpinäkyvyys, tietojen mi- nimointi, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus. Näitä kuutta periaatetta on lähtökohtaisesti noudatettava kaikessa toiminnassa, jossa jollain ta- valla käsitellään henkilötietoja. Rekisterinpitäjän on 5 artiklan 2 kohdan mukaisesti osoi- tusvelvollisuuden nojalla pystyttävä todistamaan, että näitä periaatteita noudatetaan tie- toja käsitellessä. On kuitenkin tilanteita, joissa noudattaminen on ristiriidassa jonkin erityislain kanssa, jolloin periaatteiden noudattaminen ei ole aina yksiselitteistä. Esimerkiksi läpinäkyvyy- den noudattaminen on ristiriidassa rahanpesulain epäilyttäviä liiketoimia koskevan salas- sapitovelvollisuutta käsittelevän 4 luvun 4§:n kanssa, jolloin tietojen käsitteleminen täy- sin läpinäkyvästi ei ole mahdollista. Tällaisissa tilanteissa on pyrittävä toimimaan niin, että erityislain vaatimukset toteutuvat, mutta myös yleislain säännökset otetaan mahdol- lisimman hyvin toiminnassa huomioon. Seuraavissa alaluvuissa (4.3.1., 4.3.2., 4.3.3., 4.3.4., 4.3.5., 4.3.6. ja 4.3.7.) käsitellään tarkemmin kutakin periaatetta. Periaatteita käsitellessä otetaan myös huomioon, miten kukin periaate näyttäytyy rahanpesulainsäädännön näkökulmasta, ja ovatko periaatteet täysin sovellettavissa sellaisinaan, vai velvoittaako rahanpesulainsäädäntö tekemään pe- riaatteiden soveltamiseen poikkeuksia. Joidenkin periaatteiden kohdalla tietosuoja-ase- tusta pystytään soveltamaan sellaisenaan, kun taas joidenkin periaatteiden kohdalla ra- hanpesulain ja tietosuoja-asetuksen välillä on selkeitä ristiriitoja. 4.3.1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys Tietosuoja-asetuksen mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukai- sesti ja rekisteröidyn kannalta läpinäkyvästi129. Tietojenkäsittelyn laillisuus kulminoituu 129 Yleinen tietosuoja-asetus 2016/679: 5 artiklan 1 kohdan a alakohta. 41 ensisijaisesti asiakkaan antamaan suostumukseen tietojen käsittelylle130. Asiakkaan tieto- jen käsittelyyn antaman suostumuksen on perustuttava vapaaehtoisuuteen, minkä lisäksi suostumuksen on oltava yksilöity, yksiselitteinen ja tietoisesti tehty131. Suostumuksen li- säksi asiakkaalla on lähtökohtaisesti aina oikeus määrätä tietojenkäsittely keskeytettä- väksi.132 Lainmukaisen tietojenkäsittelyn ja -hallinnan edellytyksenä on siis se, että tietojen ke- rääjä on pyytänyt ennen tietojen keräämistä asiakkaalta nimenomaista ja tiedostettua suostumusta tietojen käsittelyyn133. Asiakkaalle tulee lisäksi kertoa selkeästi ja ymmär- rettävällä tavalla, mihin tarkoitukseen tietoja kerätään, ja miten tietoja tullaan jatkossa käsittelemään. Näiden toimien lisäksi rekisterinpitäjän tulee huolehtia siitä, että tietoja käsitellään turvallisesti asiakkaan yksityisyyttä kunnioittaen. Kun asiakas tietää mihin tarkoitukseen hänestä kerättyjä tietoja käytetään, asiakkaalla on mahdollisuus tehdä tosi- asiallisiin tietoihin perustuva päätös siitä, haluaako hän antaa rekisterinpitäjälle oikeuden käsitellä henkilötietojaan.134 Tietosuoja-asetuksen tietojenkäsittelyn määritelmän on erittäin laaja, minä vuoksi ase- tusta sovelletaan lukuisissa erilaisissa tilanteissa. Tietosuoja-asetuksessa mahdollisim- man moni henkilötietojen käsittelyn muoto ja toiminto onkin pyritty sisällyttämään tieto- jen käsittelyn määritelmään. Rekisterinpitäjän on ennen mahdollista tietojen käsittelyä kartoitettava, onko kyseessä nimenomaisesti henkilötietojen käsittely, minkä jälkeen on varmistuttava siitä, löytyykö käsittelylle oikeudellisia perusteita. Käsittelyn oikeudelliset perusteet selviävät tietosuoja-asetuksen yksityiskohtaisista määräyksistä.135 Myös asiakkaan tuntemista varten kerätyissä tiedoissa on noudatettava lainmukaisuutta. Rahanpesulain 3 luvun 3 §:n 4 momentin mukaan asiakkaalle on ilmoitettava, että asiak- kaan tuntemistietoja ja muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu, tutkintaan saattamista varten. 130 Pitkänen, Tiilikka & Warma 2013: 83. 131 Talus ym. 2017: 20. 132 Alvarez 2017: 20. 133 Hughes 2018: 9; Pitkänen ym. 2013: 83. 134 Garcia-Rivadulla 2016: 235-236. 135 Lindroos-Hovinheimo 2018: 60. 42 Tietojen keräämisen on siis perustuttava ensisijaisesti asiakkaan suostumukseen. Pankilla on rahanpesulain nojalla velvollisuus tuntea asiakkaansa ja kerättävä asiakkaasta tarvit- tava määrä tietoa. Tästä huolimatta asiakkaalla on kuitenkin mahdollisuus kieltäytyä tie- tojen antamisesta, sillä uhalla, ettei pankki enää pysty kieltäytymisen jälkeen jatkamaan asiakassuhdetta. On huomioitavaa, ettei pankki ole viranomainen, eikä näin ollen voi vas- ten asiakkaan tahtoa kerätä asiakkaasta tietoja. Pankin on otettava myös kohtuullisuus huomioon kerätessään tietoja asiakkaasta. Tieto- jen keräämisen tulee perustua tiettyyn käyttötarkoitukseen, minkä lisäksi tietoja tulee ke- rätä vain välttämättömissä määrin. Tietojen käyttötarkoitussidonnaisuutta ja minimointia käsitellään tarkemmin jäljempänä alaluvuissa 4.3.2. ja 4.3.3. Lainmukaisuuden ja kohtuullisuuden toteutuessa, täydellistä läpinäkyvyyttä ei rahanpe- sua ja terrorismin rahoittamisen estämistä varten kerättyjen tietojen kohdalla pystytä nou- dattamaa. Tietosuoja-asetuksen 15 artiklan 1 kohdan mukaisesti rekisteröidyllä on oikeus saada pääsy omiin tietoihinsa. Rahanpesulain 4 luvun 4 §:n 1 momentissa on kuitenkin määrätty salassapitosäännökset, joiden mukaan asiakkaalle ei saa paljastaa, jos hänestä on tehty ilmoitus epäilyttävästä liiketoimesta. Rahanpesulaki voidaan nähdä tässä kohdin tietosuoja-asetukseen nähden erityislakina, ja siten ensisijaisesti sovellettavana lakina ra- hanpesuun ja terrorismin rahoittamiseen liittyvissä tapauksissa. Myös jatkuvan seurannan aikana saadut tiedot voidaan katsoa kuuluvan osaksi pankin riskienhallintaa, ja tämän myötä lukeutuvan tiedoksi, johon asiakkaalla ei ole tarkistusoikeutta136. Vaikkei asiak- kaalla itsellään ole oikeutta saada tietoonsa asiakkaasta tehtyä epäilyttävää liiketoimi-il- moitusta koskevia tietoja, voi tietosuojavaltuutettu asiakkaan pyynnöstä tarkastaa asia- kasta koskevien tietojen lainmukaisuuden137. 4.3.2. Käyttötarkoitussidonnaisuus Pankin velvollisuus tietojenkäsittelyn suhteen alkaa usein velvollisuudesta kertoa asiak- kaalle, mihin tarkoitukseen tietoja kerätään ja miten tietoja käsitellään138. Tietosuoja-ase- tus määrääkin, että henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimatto- malla tavalla139. Käyttötarkoitussidonnaisuus pätee myös asiakkaan tuntemista varten ke- 136 Finanssivalvonnan standardi 2.4. 2015. 137 RahanpesuL 7:8:4. 138 Dockeray & Westbrook 2018: 56-58. 139 Yleinen tietosuoja-asetus 2016/679: 5 artiklan 1 kohdan b-d alakohdat. 43 rättyihin tietoihin. Rahanpesulain 3 luvun 3§:n 5 momentin mukaan asiakkaan tuntemis- tietoja tai muita henkilötietoja, jotka on hankittu ainoastaan rahanpesun ja terrorismin rahoittamisen estämiseksi ja paljastamiseksi, ei saa käyttää tarkoitukseen, joka on yhteen- sopimaton näiden tarkoitusten kanssa. Käyttötarkoitussidonnaisuuden periaate tulisi rahanpesun ja terrorismin rahoittamisen es- tämisen kontekstissa ottaa huomioon myös suunnitellessa mitä lisätietoja asiakkaalta tu- lisi saada asiakkaan toiminnan selvittämiseksi140. Käyttötarkoitussidonnaisuus tässä kon- tekstissa liittyy myös vahvasti tietojen minimointiin, jota käsitellään tarkemmin alalu- vussa 4.3.3. Asiakkaalta ei ole tarkoituksenmukaista kysyä varmuuden vuoksi mahdolli- simman paljon tietoa sen kartoittamiseksi, onko asiakkaan toiminta epäilyttävää. Pankin tulisi sen sijaan tarkkaan harkita, mitä tietoja asiakkaalta on tosiasiassa pyydettävä. Har- kinta tietoja pyydettäessä palvelee sekä asiakasta että pankkia, sillä tällöin suojellaan asi- akkaan yksityisyyttä, ja vastaavasti hallitaan pankin rajallisia resursseja sekä ajankäytön että kustannusten suhteen. 4.3.3. Tietojen minimointi Yksi tärkeistä tietosuoja-asetuksen myötä esiinnousseista pääperiaatteista on tietojen mi- nimointi. Tietosuoja-asetuksen mukaan henkilötietojen on oltava asianmukaisia ja olen- naisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään141. Käsiteltävän tiedon määrän minimoinnilla pyritään turvaamaan hen- kilötietoja ja sitä kautta suojelemaan asiakkaan yksityisyyttä142. Kerätyn ja käsitellyn tie- don rajaaminen ainoastaan laadullisesti ja määrällisesti tarpeelliseen määrään tietoa suo- jelee asiakasta sekä tietoturvariskeiltä että yksityisyyden vaarantumiselta. Tietosuoja-asetuksen minimointiperiaatteen perusteella vain välttämätön määrä tietoa tu- lisi kerätä tietyn tarkoituksen suorittamista varten143. Rahanpesulain 3 luvun 4§:n 1 mo- mentin perusteella pankin on vastaavasti hankittava kokonaisvaltaisesti tietoa asiakkaan toiminnasta. Rahanpesulainsäädäntö ei kuitenkaan määrittele kuinka paljon asiakkaasta on kerättävä tietoa asiakkaan perustietojen lisäksi, joten tämä jää pankin harkinnan va- raan. Pankin onkin tietoja hankkiessaan harkittava, kuinka paljon asiakkaasta tosiasialli- sesti tarvitaan tietoa rahanpesulainsäädännön velvoitteiden noudattamiseksi. 140 Vanto 2011: 53. 141 Yleinen tietosuoja-asetus 2016/679: 5 artiklan 1 kohdan c alakohta; Hughes 2018: 9. 142 Camp 2015: 27-28. 143 McCallister, Zanfir-Fortuna & Mitchell 2018: 39. 44 Tietosuojalain mukaisesti tietoja ei tulisi hankkia varmuuden vuoksi, vaan kerättyjen tie- tojen tulisi juurikin olla olennaisia. Pankin on huomioitava tämä rahanpesulainsäädännön määräyksistä huolimatta. Tilanne on pankin kannalta haastava, sillä on mahdotonta yksi- selitteisesti pystyä määrittelemään, kuinka paljon tietoa on kerättävä, jotta asiakkaan toi- minnasta pystyään muodostamaan ymmärrettävä kuva sen suhteen, onko toiminta laillista vai laitonta. Pankille kertyneen kokemuksen voidaan nähdä olevan merkittävässä ase- massa tietojen keräämisen oikeasuhteisuuden varmistamisessa. Kokemuksen myötä pankki pystyy hahmottamaan, milloin asiakkaalta tulisi saada lisätietoa toiminnan selvit- tämiseksi, ja vastaavasti milloin jo olemassa olevilla tiedoilla pystyään tekemään päätös toiminnan luonteen suhteen. Tietojen minimointi ei ole ainoastaan tärkeää asiakkaan yksityisyyden säilymisen ja tie- toturvariskien minimoinnin näkökulmasta. Tietojen minimoiminen voidaan nähdä myös liiketoiminnallisena etuna pankille, sillä tietojen kerääminen ja asianmukainen käsittely aiheuttaa pankille valtavasti kuluja. Noudattamalla tietosuoja-asetuksen minimointiperi- aatetta, tietojenhallintaprosessit keventyvät ja pankki pystyy toimimaan aiempaa kustan- nustehokkaammin. Toinen merkittävä hyöty kerätyn tiedon minimoinnissa on asiakkaan tuntemiseen ja eten- kin selonottovelvollisuuteen kuluvan ajan vähentyminen. Pankin tehtävänä on ainoastaan havaita epäilyttäviä liiketoimia ja raportoida tehdyistä huomioista eteenpäin rahanpesun- selvittelykeskukselle. Pankin tarkoituksena ei siis ole suorittaa rikostutkintaa ja kerätä ylettömiä määriä tietoja asiakkaasta. Keräämällä ainoastaan ilmoituksen kannalta tarpeel- lisen määrän tietoa, pankki pystyy suorittamaan tutkintaprosessin nopeammin ja keskit- tymään laajempaan määrään epäilyttäviä tapauksia. 4.3.4. Täsmällisyys Tietosuoja-asetuksen mukaisesti henkilötietojen on oltava täsmällisiä, virheettömiä ja tar- vittaessa päivitettyjä144. Pankin on toteutettava kaikki mahdolliset kohtuulliset toimenpi- teet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset hen- kilötiedot poistetaan tai oikaistaan viipymättä145. Myös rahanpesulaki edellyttää pankkia tuntemaan asiakkaansa koko asiakassuhteen keston ajan146. 144 O’Connor 2017: 52-54. 145 Yleinen tietosuoja-asetus 2016/679: 5 artiklan 1 kohdan d alakohta. 146 RahanpesuL 3:4:2. 45 Pankin olisi tietosuoja-asetuksen nojalla huolehdittava, ettei asiakkaasta kerätä tai tallen- neta virheellisiä, epätäydellisiä tai vanhoja tietoja. Tiedot olisikin lähtökohtaisesti hyvä saada asiakkaalta itseltään, tai muita luotettavia lähteitä hyväksikäyttäen.147 Vaatimus tie- tojen täsmällisyydestä, virheettömyydestä, ja ajantasaisuudesta sekä luotettavien tietoläh- teiden käyttämisestä on osittain kuitenkin haastavaa asiakkaan tuntemisen kontekstissa. Pankin käyttäessä sisäisten lähteiden lisäksi myös ulkoisia lähteitä, ei tietojen tarkkuu- desta tai virheettömyydestä pystytä varmistumaan. Näin ollen asiakkaasta kerätyt tiedot ja tietojen perusteella muodostettu profiili asiakkaasta voi perustua ainakin osittain vir- heellisiin ja epätarkkoihin tietoihin. Tietojen ajantasaisuus kuitenkin toteutuu asiakkaan tuntemisen kohdalla ainakin sisäisten tietojen osalta, sillä myös rahanpesulainsäädäntö velvoittaa pitämään asiakkaan tuntemi- sen tiedot ajan tasalla jatkuvan seurannan nojalla. Ulkoisten tietojen osalta, esimerkiksi avoimen haun avulla saatujen tietojen kohdalla, ei aina voida varmistua tietojen ajanta- saisuudesta. Sen sijaan ulkoiset, viralliset rekisterit, kuten Suomen Asiakastieto Oy ja Väestörekisterikeskus ovat useimmiten kuitenkin luotettavia tietolähteitä ajantasaisuu- denkin osalta, sillä päivämäärät, joihin tiedot perustuvat, ovat usein ilmoitettu. 4.3.5. Säilytyksen rajoittaminen Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten148. Lähtö- kohtaisesti rekisterinpitäjän tulisi siis säilyttää tietoja vain sen aikaa kuin on tarpeellista kunkin tehtävän loppuun saattamiseksi149. Koska pankin toimintaa asiakkaan tuntemisen suhteen säätelee kuitenkin tietosuoja-asetuksen ohella ensisijaisesti rahanpesulainsää- däntö, tulee pankin säilyttää tietoja rahanpesulain määräämän ajan. Rahanpesulain 3 luvun 3 §:n 1 momentissa määrätään, että asiakkaan tuntemistietoja on säilytettävä luotettavalla tavalla viiden vuoden ajan vakituisen asiakassuhteen päättymi- sestä. Rahanpesulain 3 §:ssä on määritelty tarkemmin yksityiskohtaiset tiedot, jotka asi- akkaasta on säilytettävä. Tällaisia tietoja ovat muun muassa asiakkaan perustiedot, hen- kilöllisyyden todentamisessa käytetyn asiakirjan tiedot150 sekä asiakassuhteen aikaiseen toimitaan liittyvät tiedot, kuten tiedot tilille talletettujen varojen alkuperästä ja käyttötar- koituksesta. 147 Pitkänen ym. 2013: 104. 148 Yleinen tietosuoja-asetus 2016/679: 5 artiklan 1 kohdan e alakohta. 149 Dockeray & Westbrook. 2018: 56-58; Jackson 2018; McCallister, Zanfir-Fortuna & Mitchell 2018: 39. 150 Hughes 2018: 8. 46 Rahanpesulain 4 luvun 3§:n 1 momentin mukaan pankin on asiakkaan tuntemista varten kerättyjen tietojen lisäksi säilytettävä viiden vuoden ajan epäilyttävää liiketoimi-ilmoi- tusta varten hankitut välttämättömät tiedot sekä näihin liittyvät asiakirjat. Tiedot ja asia- kirjat on pidettävä erillään asiakasrekisteristä eikä niitä saa käyttää muuhun kuin tässä laissa säädettyyn tarkoitukseen. Tiedot ja asiakirjat on poistettava viiden vuoden kuluttua asiakassuhteen päättymisestä tai epäilyttävän liiketoimen suorittamisesta, jollei niiden edelleen säilyttäminen ole tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin tai il- moitusvelvollisen tai sen palveluksessa olevan oikeuksien turvaamiseksi. 4.3.6. Eheys ja luottamuksellisuus Henkilötietojen käsittelyssä tulee noudattaa luottamuksellisuutta. Tällä tarkoitetaan sitä, että henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukai- nen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyt- täen asianmukaisia teknisiä tai organisatorisia toimia151. Eheys ja luottamuksellisuus ovat tietojen saatavuuden ohella kiinteästi sidoksissa tieto- jenhallintaan. Luottamuksellisuudella tarkoitetaan tietojen saatavuuden rajoittamista sel- laisilta henkilöiltä tai osapuolilta, joilla ei ole lupaa saada pääsyä tietoihin. Saatavuuden rajoittamisella pyritään juurikin estämään luvaton pääsy tietoihin muilta kuin tahoilta, joiden kohdalla tietojen käsittely on perustelua. Tietojen eheydellä sen sijaan tähdätään siihen, että tiedot ovat oikein ja ajan tasalla koko tietojen käsittelyä koskevan ajanjakson ajan, joka kattaa kaikki tietojen käsittelyyn liittyvät vaiheet ja toimenpiteet aina tietojen keräämisestä tietojen hallintaan ja muuttamiseen. Saatavuudella pyritään siihen, että tie- dot ovat saatavilla niitä prosesseja varten, joiden vuoksi tiedot on alun perin kerätty. Tie- don saatavuuteen liittyvien turvatoimenpiteiden ja toimintojen tulee olla tarkoituksenmu- kaisia tietojen suojaamiseksi.152 Jotta pankki voi kerätä asiakkaalta tietoja tuntemistoimenpiteitä varten, pankin on ryh- dyttävä tarvittaviin toimenpiteisiin suojellakseen tietoja mahdollisilta tietoturvaris- keiltä.153 Asiakkaan tuntemiseen liittyvien tietojen käsittelyssä luottamuksellisuus voi käytännön tasolla tarkoittaa sitä, että asiakkuuteen liittyvistä asioista keskustellaan aino- astaan asianmukaisten osapuolien kesken tilanteen vaatimassa laajuudessa. Tietojen 151 Yleinen tietosuoja-asetus 2016/679: 5 artiklan 1 kohdan f alakohta. 152 Laybats & Tredinnick 2016: 78. 153 O’Connor 2017: 52-54. 47 eheydestä tulee myös huolehtia tietosuoja-asetuksen lisäksi rahanpesulain 3 luvun 3§:n 1 momentin ja 4 luvun 3§:n 1 momentin nojilla, sillä kyseiset kohdat vaativat säilyttämään asiakkaan tuntemiseksi sekä epäilyttävän liiketoimi-ilmoituksen laatimiseksi kerätyt tie- dot vähintään viiden vuoden ajan asiakassuhteen päättymisestä tai vastaavasti vähintään viiden vuoden ajan epäilyttävän liiketoimi-ilmoituksen laatimisesta. Seuraavassa alaluvussa 4.4. käsitellään tarkemmin, mitä erityisillä henkilötietoryhmillä tarkoitetaan, ja miten niitä koskevia tietoja tulee käsitellä. Luvussa tuodaan esiin sekä arkaluontoisten tietojen että biometristen tietojen käsittelyn periaatteet, sekä näiden tie- tojen käsittelyn näyttäytyminen asiakkaan tuntemista varten kerättyjen tietojen näkökul- masta. 4.4. Erityisiä henkilöryhmiä koskeva käsittely Erityisten henkilötietoryhmien käsittelyksi luetaan tietosuoja asetuksen 9 artiklan 1 koh- dan mukaisesti sellaiset henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Myös ge- neettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen tai luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely lukeutuvat erityistä henkilötietoryhmää kos- keviksi tiedoiksi. Tietynlaiset tiedot ovat arkaluontoisempia kuin toiset. Esimerkiksi terveyteen, rotuun ja etnisyyteen liittyvät tiedot tiettyjen biometristen tietojen ohella lukeutuvat arkaluontoisiin tietoihin.154 Arkaluontoisten ja biometristen tietojen käyttö voi aiheuttaa vakavia uhkia asiakkaan yksityisyydelle. On kuitenkin otettava huomioon, että on tilanteita, joissa täl- laisten tietojen käsittelyllä pyritään suojaamaan joko yhteiskunnallisia tai rekisteröidyn yksityisiä intressejä. Rikostutkinta ja yleisen järjestyksen ylläpitäminen ovat hyviä esi- merkkejä yhteiskunnallisista intresseistä, kun taas erilaisten teknologisten järjestelmien ja tietojen turvaaminen ulkopuolisilta palvelee usein rekisteröidyn yksityisiä intressejä. Tällaisissa tilanteissa edellä mainittujen tietojen käyttäminen voidaan nähdä laillisena yk- sityisyyteen puuttumisena.155 Arkaluontoisten tietojen kerääminen rahanpesun ja terro- rismin rahoittamista varten voidaan nähdä juurikin yhteiskuntaa palvelevana toimintana, 154 Dockeray & Westbrook. 2018: 56-58. 155 Štitilis & Laurinaitis 2017: 619. 48 sillä asiakkaan tuntemiseen liittyvillä toimenpiteillä pyritään takaamaan yhteiskunnalli- sen stabiiliuden säilyminen. Erityisten henkilötietoryhmien kohdalla henkilötietojen oikeudellinen sääntely, sovelta- minen ja tulkinta on äärimmäisen tärkeää. Jossain tilanteissa esimerkiksi biometrisen tek- nologian käyttö on kannustettavaa, kun taas tilanteissa, joissa on havaittu piilevän riski yksityisyyden loukkaamiselle, käyttöä tulisi raj