Jenni Tolvanen Open Finance ja positiivinen luottotietorekisteri osana luotonmyöntöprosessia Vaasa 2026 Laskentatoimen ja rahoituksen akateeminen yksikkö Talousoikeuden pro gradu -tutkielma Kauppatieteiden maisteriohjelma 2 VAASAN YLIOPISTO Laskentatoimen ja rahoituksen akateeminen yksikkö Tekijä: Jenni Tolvanen Tutkielman nimi: Open Finance ja positiivinen luottotietorekisteri osana luotonmyöntöprosessia Tutkinto: Kauppatieteiden maisteri Oppiaine: Talousoikeus Työn ohjaaja: Marika Salo-Lahti Valmistumisvuosi: 2026 Sivumäärä: 86 TIIVISTELMÄ: Finanssiala on viimeisen vuosikymmenen aikana ollut voimakkaassa murroksessa digitalisaation, teknologisen kehityksen sekä sääntelykehikon muutosten myötä. Luotonmyönnön ollessa yhä enemmän dataperusteista, on tiedonsaannilla korostunut merkitys luottokelpoisuuden arvioinnissa. Luotonannon on lainsäädännön mukaisesti perustuttava terveisiin ja selkeästi määriteltyihin perusteisiin. Etenkin kuluttajaluotot edellyttävät luottokelpoisuuden huolellista analysointia. Aiemmin luottopäätökset ovat perustuneet pitkälti historialliseen tietoon sekä maksuhäiriöiden tarkistamiseen. Open financen sekä positiivinen luottotietorekisterin myötä luottolaitokset saavat kokonaisvaltaista ja reaaliaikaista tietoa luotonhakijan taloudellisesta tilanteesta, ja täten ne edesauttavat huolellisen luottokelpoisuuden arvioinnin tekemistä. Open finance, eli avoin pankkitoiminta, perustuu toiseen maksupalveludirektiiviin, jonka myötä pankkien oli avattava rajapintansa kolmansille osapuolille asiakkaan suostumuksella. Tämä on tarkoittanut sitä, että maksutilitietoihin liittyvää dataa on voitu siirtää eri toimijoiden välillä. Open financessa tällaista dataa on tarkoitus hyödyntää yhä laajemmin eri toimialoilla. Positiivisesta luottotietorekisteristä puolestaan saadaan ajantasaista tietoa yksityishenkilöiden luotoista sekä tulotiedoista. Se perustuu positiiviseen luottotietolakiin, jonka tavoitteena on ehkäistä ylivelkaantumista sekä parantaa luotonantajien mahdollisuuksia arvioida luotonhakijan taloudellista kokonaistilannetta. Koska sekä Open financessa että positiivisessa luottotietorekisterissä käsitellään henkilötietoja, nousevat yleisen tietosuoja-asetuksen määräykset olennaisiksi reunaehdoiksi datan hyödyntämisessä ja käsittelyssä. Tutkielmassa analysoidaan, miten Open financen sekä positiivisen luottotietorekisterin ovat vaikuttaneet luotonmyöntöprosessiin eri vaiheisiin. Lisäksi tutkielma määrittelee lainsäädännön ja teknologisen kehityksen tuomia velvollisuuksia ja oikeuksia, sekä mahdollisuuksia ja haasteita. Tutkielma osoittaa, että Open finance ja positiivinen luottotietorekisteri ovat nousseet merkittäviksi tietolähteiksi, sillä ne mahdollistavat kokonaisvaltaisemman, tarkemman sekä ennakoivamman tietopohjan luotonmyöntöpäätöksen tekemiseksi. Tiedon saatavuus sekä liikkuvuus ovat muodostuneet keskeiseksi resurssiksi. Tutkielmassa Open financen ja positiivisen luottotietorekisterin hyödyiksi on tunnistettu tiedon laatuun, saatavuuteen ja hallintaan liittyvät seikat. Lisäksi ne edesauttavat tiedon oikeellisuuden varmistamista ja täten luovat paremmat lähtökohdat myös riskienhallintaan. Sekä Open finance että positiivinen luottotietorekisteri ovat kumpikin kehitysvaiheessa, joten niiden sisältöön liittyy myös erinäisiä haasteita ja ristiriitaisuuksia, kuten tietosuojaan liittyviä kysymyksiä, joiden selvittäminen voi vaatia lisäsääntelyä. AVAINSANAT: Open finance, positiivinen luottotietorekisteri, luotonmyöntöprosessi, tietosuoja, luottokelpoisuus, finanssisääntely 3 Sisällys 1 Johdanto 6 1.1 Tutkimuskysymykset ja aiheen rajaus 8 1.2 Tutkimusmetodi ja lähdemateriaali 9 1.3 Tutkimuksen rakenne 10 2 Open financen ja positiivisen luottotietorekisterin sääntelystä 12 2.1 Sääntely EU-tasolla 12 2.1.1 Toinen maksupalveludirektiivi 14 2.1.2 Yleinen tietosuoja-asetus 16 2.2 Sääntely kansallisella tasolla 19 2.2.1 Maksupalvelulaki 20 2.2.2 Tietosuojalaki 22 2.2.3 Positiivinen luottotietolaki 23 2.2.4 Luottolaitoslaki 27 2.2.5 Kuluttajansuojalaki 28 3 Open Finance ja positiivinen luottotietorekisteri 30 3.1 Open Finance 30 3.2 Positiivinen luottotietorekisteri 34 3.2.1 Positiivisen luottotietorekisterin käyttötarkoituksesta 36 3.2.2 Positiiviset luottotietojärjestelmät Euroopassa 38 4 Open finance ja positiivinen luottotietorekisteri osana luotonmyöntöprosessia 40 4.1 Tiedon laatu, saatavuus ja hallinta 44 4.2 Riskienhallinta ja petosten ehkäisy 46 4.3 Automatisoinnin ja tekoälyn rooli luotonmyöntöprosessissa 48 5 Open financen ja Positiivisen luottotietorekisterin käytännön haasteista 52 5.1 Säädösten keskinäisiä ristiriitaisuuksia 54 5.2 Luottamuksen puute ja tietoturvariskit 56 5.3 Tekoälyyn ja automaatioon liittyvät toiminnalliset haasteet 59 6 Tulevaisuudennäkymät 62 4 6.1 Komission Open Finance -asetusesitys 62 6.2 Kolmas maksupalveludirektiivi ja maksupalveluasetus 64 6.3 Tekoälyn rooli ja automatisointi 67 7 Johtopäätökset 70 Lähteet 77 5 Kuvat Kuva 1. Avoin rahoitusekosysteemi (Open Banking Limited, n.d.) 32 Kuva 2. Positiivisen luottotietorekisterin toimintaperiaate (Verohallinto, 2024b) 37 Kuva 3. Luotonmyöntöprosessin vaiheet (Finanssivalvonta 2018b; kuvan tekemisessä on hyödynnetty ChatGPT -tekoälyä) 42 Kuva 4. Kuluttajien esteet open bankingin käyttöönottamisessa (Mastercard, 2024) 57 Taulukot Taulukko 1. (EU) 2016/679 5 artiklan mukaiset periaatteet sekä 6 artiklan mukaiset henkilötiedon käsittelyn lainmukaiset perusteet. 18 Taulukko 2. Luottotietorekisterissä olevat tiedot (Positiivinen luottotietolaki (739/2022) 2 luku) 26 Lyhenteet API Application Programming Interface EBA European Banking Authority; Euroopan pankkiviranomainen ETA Euroopan talousalue EU Euroopan unioni GDPR General Data Protection Regulation HE Hallituksen esitys KKV Kilpailu- ja kuluttajavirasto PSD2 Toinen maksupalveludirektiivi Säädösluettelo Kuluttajalaki Kuluttajansuojalaki 38/1978 Luottolaitoslaki Laki luottolaitostoiminnasta 610/2014 MPL Maksupalvelulaki 290/2010 Positiivinen luottotietolaki Laki positiivisesta luottotietorekisteristä 739/2022 Tietosuojalaki Tietosuojalaki 1050/2018 6 1 Johdanto Luotonmyöntö on luottolaitosten ydintoimintaa, jossa yhdistyvät liiketoiminnalliset tavoitteet, riskienhallinta sekä sääntelyvaatimusten noudattaminen. Luotonmyöntöprosessi perustuu lakisääteiseen huolelliseen luottoanalyysiin, jonka tavoitteena on varmistaa, että luotonantajalla on riittävän kattava kuva luotonhakijasta sekä hänen luottokelpoisuudestaan päätöksen tekemiseksi. Yritysluotoissa tämä voi edellyttää esimerkiksi tilinpäätöstietojen, liiketoimintasuunnitelmien, sekä mahdollisten budjetti- ja kassavirtalaskelmien analysointia, kuluttajaluotoissa puolestaan tulo- ja luottotietojen tarkastelua. Luottoanalyysin lisäksi luotonmyöntöprosessiin kuuluu myös vakuus- ja luottoriskihallinta. 1 Myönteinen luotonantopäätös edellyttää, että luotonantaja voi perustellusti luottaa asiakkaan maksukykyyn sekä haluun maksaa velvoitteensa. Koska luotonantoon sisältyy aina riskejä, on luotonmyöntö täten myös osa harkitun riskin ottamista. Luottopäätökset voivat jälkikäteen arvioituna osoittautua onnistuneiksi tai epäonnistuneiksi. Riskisidonnaisuuden vuoksi päätösten laatua ei tule yksinomaan arvioida vain lopputulosten perusteella, vaan ennen kaikkea sen mukaan, millaiseen tietoon ja analyysiin ne ovat perustuneet. Päätös voidaan katsoa epäonnistuneeksi etenkin silloin, kun se perustuu virheellisiin tai riittämättömiin tietoihin.2 Kotitalouksien velkaantuminen on herättänyt paljon keskustelua. Suomen pankin mukaan suomalaisilla kotitalouksilla oli joulukuun 2025 mennessä Suomessa toimivien pankkien myöntämiä lainoja 140,9 miljardia euroa, josta kuluttajaluottojen osuus oli 17,5 miljardia euroa. Suomalaisten yritysten lainakanta oli puolestaan 45,9 miljardia euroa.3 Oikeusministeriön toteuttaman selvityksen mukaan suomalaisten kotitalouksien velkaantumisaste ja maksuvaikeudet ovat kasvaneet koko 2000-luvun läpi. Ylivelkaantumisen on todettu ongelmalliseksi kansantaloudenkin kannalta, sillä 1 Finanssivalvonta, 2018, s. 12, 14–16 2 Lindström, 2014, s. 7–8 3 Suomen Pankki, 2026 7 työikäisestä väestöstä noin 9–12 prosenttia täyttää ylivelkaantumisen kriteerit4. Vuoden 2023 aikana ulosotossa olevien määrä oli yhteensä yli 410 000.5 Vastauksena tähän kehitykseen Suomessa otettiin huhtikuussa 2024 käyttöön positiivinen luottotietorekisteri, joka tarjoaa luotonantajille ajantasaisen kokonaiskuvan kuluttajien taloudellisesta tilanteesta. Sen tarkoituksena on parantaa luottokelpoisuuden arvioinnin laatua sekä ehkäistä ylivelkaantumista. 6 Maksuhäiriöihin perustuvista perinteisestä luottotietorekisteristä poiketen se keskittyy kokonaisvaltaisen taloudellisen kuvan muodostamiseen. Positiivisen luottotietorekisterin lisäksi digitalisaatio tuomat innovaatiot ovat mahdollistaneet rahoitusmarkkinoilla toimivien pankkien ja luottolaitoksien tehokkaan datan hyödyntämisen. Finanssiala on viimeisen vuosikymmenen aikana ollut voimakkaassa murroksessa digitalisaation, teknologisen kehityksen sekä sääntelyn muutosten myötä. 7 Perinteisesti luotonmyöntö on aiemmin perustunut asiakkaan menneeseen tietoon, asiakkaan ilmoittamiin tulotietoihin sekä mahdollisten maksuhäiriömerkintöjen tarkasteluun 8 . Muutosta on vauhdittanut etenkin toinen maksupalveludirektiivi (EU) 2015/2366, jonka myötä rahoitusmarkkinoille on tullut uusia digitaalisten teknologioiden mahdollistamia palveluntarjoajia, eli niin sanottuja kolmansia osapuolia. Direktiivi toimii suunnannäyttäjänä Open financelle eli avoimelle pankkitoiminnalle, jossa pankki- ja maksudataa voidaan hyödyntää laajemmin eri toimijoiden välillä. 9 Luotonmyöntöprosessin näkökulmasta tämä merkitsee sitä, että luotonantaja voi saada aiempaa kattavampaa ja ajantasaisempaa tietoa luotonhakijan tosiasiallisesta taloudellisesta tilanteesta esimerkiksi tilitietopalvelujen tarjoajia hyödyntämällä. Open finance ja positiivinen luottotietorekisteri ovat muuttaneet luotonmyöntöprosessia perustavanlaatuisesti. Niiden myötä luottoanalyysi voidaan 4 Tilanne, jossa yksilö ei pysty hoitamaan taloudellisia velvoitteita ilman vaikeuksia. Ylivelkaantumisen mittaamiseen käytetään ulosottoa, maksuhäiriömerkintöjä sekä itse raportoituja maksuvaikeuksia (Salo et al, 2025, s.11). 5 Salo et al, 2025, s. 8, 11 6 Jaatinen et al, 2021, s. 10–11 7 Finanssivalvonta, 2020 8 De Pascalis, 2022, s. 402 9 Finanssivalvonta, 2020 8 perustaa entistä dataohjautuvampaan sekä reaaliaikaisempaan tietoon, jolloin tietojen oikeellisuudesta voidaan myös olla varmempia. Koska tiedot ovat sähköisessä muodossa, voivat ne myös edistävät automatisoitua päätöksentekoa. Tutkielman kannalta on hyvä huomioida, että sekä Open finance että positiivinen luottotietorekisteri ovat kumpikin vielä kehitysvaiheessa. Koska sekä Open finance että positiivinen luottotietorekisteri käsittelevät henkilötietoja, korostuu tietojen käsittelyssä yleisen tietosuoja-asetuksen (EU) 2016/679 merkitys. Asetus toimii oikeudellisena perustana ja rajoittavana sääntelykehyksenä, sillä se mahdollistaa tietojen käsittelyn, mutta asettaa ehdot esimerkiksi läpinäkyvyydelle sekä käyttötarkoituksen rajaukselle. Yleinen tietosuoja-asetus tuo luotonmyöntäjille velvollisuuksia, kun puolestaan luotonhakijan näkökulmasta se lisää oikeuksia. Täten se tasapainottaa datan tehokkaan hyödyntämistä sekä yksilön suojaa luotonmyöntöprosessissa. 1.1 Tutkimuskysymykset ja aiheen rajaus Tutkielman tarkoituksena on tarkastella rahoitusmarkkinoilla toimivia pankkeja ja luottolaitoksia koskevaa sääntelyä ja sen kehitystä suhteessa digitalisaation mahdollistamiin innovaatioihin. Tutkielman keskeisiä käsitteitä ovat Open Finance ja positiivinen luottotietorekisteri, ja tutkielman tarkoituksena on selvittää niiden vaikutusta luottopäätöksen tekemiseen erityisesti luottokelpoisuuden arvioinnin näkökulmasta. Tutkielma selvittää, mitä oikeudellisia reunaehtoja Open financen sekä positiivisen luottotietorekisterin hyödyntämisessä ilmenee. Tarkoituksena on vastata seuraaviin tutkimuskysymyksiin: - Mikä on Open Financen ja positiivisen luottotietorekisterin merkitys luotonmyönnössä? - Mitä oikeuksia ja velvollisuuksia toinen maksupalveludirektiivi, yleinen tietosuoja-asetus sekä kansallinen lainsäädäntö asettavat 9 luotonmyöntöprosessissa tapahtuvaan tietojen käsittelyyn, ja miten näiden säädösten keskinäinen suhde jäsentyy? - Mitä haasteita ja mahdollisuuksia teknologian kehitys sekä sektoriin liittyvä sääntely tuovat? Tutkielmassa tarkastellaan Suomessa tapahtuvaa luotonmyöntöä sekä Suomessa toimivia luotonantajia. Tutkielmaa ei ole rajattu koskemaan yksinomaan kuluttaja- tai yritysluottoja, vaan kattaa luotonmyöntötoiminnan tarkastelun yleisellä tasolla. On kuitenkin huomioitava, että osaa sääntelystä sovelletaan ainoastaan kuluttajaluottoihin. Koska rahoitusmarkkinoita on säännelty sekä kansallisella että EU-tasolla, ja täten aiheeseen liittyy laaja ja osin moniulotteinen sääntelykokonaisuus, on tarkastelu kohdistettu tarkoituksenmukaisen rajauksen vuoksi niihin säädöksiin ja oikeudellisiin kysymyksiin, joilla on keskeinen merkitys luotonmyöntöprosessin kannalta. Tutkielma keskittyy tarkastelemaan aihetta normatiivisen viitekehyksen näkökulmasta, eikä se sisällä tarkempaa erittelyä teknisistä toteutuksista tai tietojärjestelmistä. 1.2 Tutkimusmetodi ja lähdemateriaali Kyseessä on oikeusdogmaattinen eli lainopillinen tutkimus, jonka tarkoituksena tulkita sekä systematisoida voimassa olevaa oikeutta ja sen sisältöä10. Tarkoituksena on selvittää, mikä on voimassa olevan sääntelyn sisältö ja merkitys Open financen, positiivisen luottotietorekisterin sekä luottopäätösprosessin osalta. Lisäksi tutkielmassa tarkastellaan mahdollisia tulevia säätelykehityksiä. Sääntelyn sisällön ja merkityksen lisäksi tutkielmassa arvioidaan sääntelyn toimivuutta ja tarkoituksenmukaisuutta. Tutkielmassa määritellään, millaisia oikeudellisia velvoitteita ja reunaehtoja Open financen sekä positiivisen luottotietorekisterin sääntely asettaa luotonmyöntöprosessille. Oikeudellinen analyysi toimii perustana liiketoiminnallisten vaikutusten ymmärtämiselle. Täten tutkielma rakentuu normien analysoinnille sekä 10 Hirvonen, A., 2011, s. 21–22 10 niiden keskinäisten suhteiden jäsentämiselle, yhdistäen oikeudellisen sekä rahoitussektorin toiminnallisen tarkastelun. Tutkielman lähdemateriaali pohjautuu pääosin oikeuslähteisiin, jotka toimivat juridisen päätöksenteon perustana. Oikeuslähdeoppi määrittää sen, mitä oikeuslähteitä on käytettävä tai on sallittu käyttää, sekä sen, mikä niiden painoarvo ja keskinäinen etusijajärjestys on. Suomessa keskeisin oikeuslähde on laki, joka käsittää kansallisen lainsäädännön lisäksi myös Euroopan unionin oikeutta. 11 Oikeuslähteet voivat olla vahvasti velvoittavia, heikosti velvoittavia sekä sallittuja. Velvoittavilla oikeuslähteillä on etusija, eli ne sivuuttavat heikosti velvoittavat ja sallitus oikeuslähteet. Velvoittavia oikeuslähteitä ovat kansallinen lainsäädäntö, EU-säädökset, kansainväliset sopimukset, sekä maan tapa. 12 Tutkielma pohjautuu voimassa olevaan kansalliseen ja EU-tason sääntelyyn. Heikosti velvoittavat oikeuslähteet on huomioitava, ellei ole osoitettavissa vahvoja vasta-argumentteja. Tällaisia ovat esimerkiksi lainsäädännön esityöt, kuten tässä tutkielmassa hyödynnetyt hallituksen esitykset sekä valiokuntien mietinnöt ja lausunnot. Sallituksi oikeuslähteiksi luetaan muu oikeuskäytäntö ja oikeustieteellinen kirjallisuus.13 Lainsäädännön sekä esitöiden lisäksi tässä tutkielmassa hyödynnetään muita viranomaisjulkaisuja, ohjeistuksia ja selvityksiä, asianomaisten toimijoiden julkaisuja sekä muuta aiheeseen liittyvää ammatti- ja asiantuntijakirjallisuutta. Tutkielmassa on hyödynnetty tekoälyä, kuten ChatGPT:tä, tutkielman rakenteen jäsentämiseen, tutkimuskysymysten muotoiluun sekä kuvien ja taulukoiden tekemiseen. 1.3 Tutkimuksen rakenne Tutkielma koostuu 7 kappaleesta. Ensimmäinen kappale sisältää johdatuksen aiheeseen, jonka lisäksi siinä käydään läpi tutkielman rakenne ja sisältö. Kappaleessa kaksi tutustutaan voimassa oleviin sääntelyyn. Tutkielma sisältää katsauksen sekä kansallisen että EU-tason säädöskehikkoon. Tämän tutkielman kannalta olennaiseksi EU-tason 11 Eduskunta, n.d. 12 Tuori, 2013, s. 44–45 13 Tuori, 2013, s. 45–46 11 sääntelyksi on nostettu toinen maksupalveludirektiivi sekä yleinen tietosuoja-asetus. Kansallisen tason sääntelystä tutkielmaan on nostettu maksupalvelulaki, tietosuojalaki, positiivinen luottotietolaki, luottolaitoslaki sekä kuluttajansuojalaki. Kolmannessa kappaleessa tutkielmassa tutustutaan tarkemmin käsitteisiin ”Open Finance” ja ”Positiivinen luottotietorekisteri”, sekä niiden taustaan ja merkitykseen finanssialalla. Kappaleessa neljä tuodaan esiin edellä mainittujen käsitteiden tuomia mahdollisuuksia, sekä pohditaan Open financen sekä positiivisen luottotietorekisterin merkitystä luotonmyöntöprosessissa tiedon laadun, riskienhallinnan sekä automatisoinnin ja tekoälyn hyödyntämisen näkökulmasta. Tutkielman viides kappale puolestaan syventyy sääntelyyn ja tiedonsaantiin liittyviin ristiriitoihin, luottamuksenpuutteeseen ja tietoturvariskeihin, sekä tekoälyyn että automatisointiin. Kappaleessa kuusi tutkielma tarkastelee tulevaisuudennäkymiä sääntelykehikon sekä tekoälyn ja automatisoinnin osalta. Viimeiseksi kappaleessa seitsemän käydään läpi johtopäätökset ja tutkielmasta esiin nousseet avainhavainnot, sekä pohditaan mahdollisia jatkotutkimusehdotuksia. 12 2 Open financen ja positiivisen luottotietorekisterin sääntelystä Finanssialalla toimivat pankit ja luottolaitokset ovat tarkan sääntelyn alaisia. Rahoitusmarkkinoiden sääntelyllä pyritään vakauttamaan vahva rahoitusjärjestelmä, joka pystyy vastaamaan toimintaympäristön muutoksiin. Tämä edellyttää niin viranomaisilta kuin lainsäätäjiltä jatkuvaa arviointia, jotta muutoksiin osataan reagoida perustellusti, oikeasuhteisesti sekä ajallaan.14 Hallituksen esityksessä (HE 22/2022 vp, s. 38) todetaan, että etenkin luottotietojärjestelmiin liittyvällä sääntelyllä voidaan turvata luotettavat ja tehokkaat järjestelmät, jotka sisältävät relevanttia, täsmällistä, oikea- aikaista ja riittävää tietoa, sekä varmistaa niiden turvallisuutta. Toimialaa koskeva sääntely käsittää niin kansalliselle kuin EU-tasolle ylettyviä määräyksiä ja ohjeistuksia. Digitalisaation tuodessa rahoitusmarkkinoille lisää mahdollisuuksia, on sääntelyn myös pystyttävä vastaamaan siitä seuraaviin muutoksiin15 . Tiivis yhteystyö niin EU:n tasolla kuin kansallisella tasolla edesauttaa digitaalisen rahoituksen mahdollistaman innovatiivisen toimintaympäristön toteutumisen koko sisämarkkina-alueella16. 2.1 Sääntely EU-tasolla EU:ssa pyritään edistämään digitaalista siirtymää, ja komission ensisijaisena tavoitteena onkin EU:n digitaalisen muutoksen tukeminen 17 . Digitaalisilla rahoituspalveluilla halutaan modernisoida Eurooppa johtavana globaalina digitaalisena toimijana, ja erinäisten säädöksien avulla pyritään saavuttamaan yhä kuluttajaystävällisempi, turvallisempi sekä innovatiivisempi toimintaympäristö. Avoin digitaalisen rahoituksen sektori edesauttaa rahoitusmarkkinoiden yhdentymistä unionin sisämarkkinoilla, 14 Asplund T. & Vauhkonen J., 2024 15 Asplund T. & Vauhkonen J., 2024 16 Euroopan komissio, 2020, s. 19 17 Euroopan komissio, 2020, s. 1 13 vahvistaen Euroopan talous- ja rahaliittoa.18 Rahoitussektorin digitaaliseen muutokseen liittyy myös haasteita ja riskejä, joita unionin on minimoitava sekä ennaltaehkäistävä19. Euroopan komissio hyväksyi syyskuussa 2020 digitaalisen rahoituksen paketin, jonka tavoitteena on luoda kilpailukykyinen EU:n rahoitussektori, joka tarjoaa innovatiivisia rahoitustuotteita varmistaen kuluttajasuojan sekä rahoitusvakauden toteutumisen. Paketti sisälsi muun muassa digitaalisen rahoituksen strategian, sekä digitaaliseen resilienssiin liittyviä lainsäädäntöehdotuksia.20 EU:n strategiseksi tavoitteeksi asetettiin digitaalisen rahoituksen edistäminen kuluttajien ja yritysten hyödyksi huomioiden riskien vakaan sääntelyn, ja strategialla haluttiin määritellä ne yleiset suuntaviivat, joilla EU:n rahoitussektorin digitaalista muutosta lähdettiin tukemaan. Strategia muodostuu neljästä keskeisestä painopisteestä: digitaalisten sisämarkkinoiden hajanaisuuteen puuttumisesta, sääntelykehityksen mukauttamisesta digitaalisen innovaation edistymiseksi, datavetoisen rahoituksen edistämisestä sekä digitaalisiin muutoksiin liittyviin uusiin haasteisiin ja riskeihin puuttumisesta.21 EU:n sääntelylähestymistavan mukaisesti nähdään, että kattavalla ja yhdenmukaisella sääntelykehikolla voidaan edistää haluttua innovaatiota, kuitenkin valvoen ja halliten siihen kohdistuvia riskejä. Euroopan komissio arvioi säännöllisesti yhdessä Euroopan valvontaviranomaisten ja Euroopan keskuspankin kanssa EU:n sääntelykehitystä ja sen kykyä vastata rahoitusmarkkinoiden tarpeisiin sekä riskeihin. EU:n digitaalisen rahoituksen strategialla on pyritty edistämään EU-tason sääntelyä, ja sen pohjalta on hyväksytty uusia lakeja. Lainsäädäntöön liittyvä kehitystyö jatkuu tälläkin hetkellä esimerkiksi Open financen osalta.22 Tämän tutkielman kannalta olennaiseksi sääntelyksi on nostettu toinen maksupalveludirektiivi sekä yleinen tietosuoja-asetus. 18 European Commission, 2020 19 Euroopan komissio, 2020, s. 16 20 European Commission, 2020 21 Euroopan komissio, 2020, s. 3–5 22 Hallak, I., 2024, s. 1 14 2.1.1 Toinen maksupalveludirektiivi Maksupalveluilla on keskeinen asema digitaalisissa rahoituspalveluissa 23 . Sähköisten maksupalvelutyyppien lisääntyessä myös turvallisuusriskit ovat kasvaneet. EU:ssa vuonna 2018 voimaan astuneen toisen maksupalveludirektiivin (EU) 2015/2366 (Payment Service Directive, PSD2) tavoitteena on direktiivin perustelukappaleen 33 mukaisesti markkinoiden jatkuvuuden sekä kilpailun turvaaminen, sääntelypuitteiden selkeyttäminen ja yhdenmukaistaminen, sekä kuluttajansuojan parantaminen. Sen avulla haluttiin saattaa maksupalvelut entistä laajemmin sääntelyn piiriin sekä päivittää säätelyä vastaamaan paremmin rahoitusmarkkinoilla tapahtuneeseen kehitykseen 24 . Lisäksi perustelukappaleiden 4 ja 15 mukaan direktiivillä pyritään vastaamaan digitaalisten palveluntarjoajien roolin kasvuun, sekä poistamaan niihin liittyviä sääntelyhaasteita. Uusi maksupalveludirektiivi nähtiin tarpeelliseksi, sillä kortti-, verkko- ja mobiilimaksut olivat yhä hajautuneempia kansallisesti, minkä lisäksi ensimmäinen maksupalveludirektiivi (2007/64/EY) jätti perustelukappaleen 4 mukaisesti monet uudet maksupalvelut sääntelyn ulkopuolelle. Epäselvän ja vanhentuneen sääntelyn katsottiin täten aiheuttavan oikeudellista epävarmuutta, turvallisuusriskejä sekä puutteita kuluttajansuojaan. Perustelukappaleen 6 mukaisesti direktiivi on yhdenmukaistanut maksupalveluihin liittyvää lainsäädäntöä sisämarkkinoilla, ja se turvaa nykyisien ja uusien markkinatoimijoiden tasapuoliset toimintaedellytykset laajentaen maksuvälineiden markkinoita sekä taaten kuluttajansuojan korkean tason. Toisen maksupalveludirektiivin (EU) 2015/2366 yhtenä keskeisimpänä muutoksena on niin sanottujen kolmansien palveluntarjoajien tuonti sääntelyn ja valvonnan piiriin25 . Kolmansia maksupalveluntarjoajia ovat maksutoimeksiantopalvelun tarjoajat (Payment Initiation Service Providers, PISP) sekä tilitietopalvelun tarjoajat (Account Infromation Service Providers, AISP), joille tilinpitäjäpankkien on mahdollistettava pääsy asiakkaansa 23 Euroopan komissio, 2020, s. 2 24 Finanssivalvonta, 2025 25 Finanssivalvonta, 2025 15 tileille tämän nimenomaisen suostumuksen perusteella26. Maksutoimeksiantopalvelun tarjoajat27 käyttävät perustelukappaleen 30 mukaisesti maksupalveluiden myöntämiä ja tilinpitäjäpankkien turvatunnuksia, mutta ne eivät välttämättä solmi sopimusta keskenään. Tästä huolimatta tilinpitäjäpankkien on mahdollistettava se, että maksutoimeksiantopalvelut voivat hyödyntää tunnistusmenettelyitä maksujen käynnistymiseen asiakkaan puolesta. Asiakkaan tili ylläpitävän maksupalvelutarjoajan28 on tarjottava perustelukappaleen 32 mukaisesti mekanismi, jolla maksutoimeksiantopalveluilla on suoraan tai välillisesti pääsy maksajan tileihin. Tilitietopalvelun tarjoajat puolestaan tarjoavat direktiivin perustelukappaleen 28 mukaisesti maksupalvelunkäyttäjille29 kootusti reaaliaikaista tietoa maksutileistä, joita yksi tai useampi maksupalveluntarjoaja ylläpitää ja joihin pääsee maksupalveluntarjoajan verkkorajapinnan kautta. Näin maksupalvelunkäyttäjä näkee kokonaiskuvan rahoitustilanteestaan reaaliaikaisesti. Nämä rajapinnat mahdollistavat esimerkiksi Open Financen hyödyntämisen, ja ovat siksi olennaisessa osassa avoimen pankkitoiminnan kehityksessä. Avoimien rajapintojen lisäksi direktiivi sisältää vaatimuksen asiakkaan vahvasta tunnistamisesta sähköisissä maksutapahtumissa 30 . Sähköiset maksupalvelut on toteutettava turvallisesti hyödyntäen teknologiaa, joka varmistaa maksupalvelukäyttäjän tunnistamisen ja näin ollen vähentää petosriskiä. Vahvaa tunnistautumista on käytetty laajasti jo aiemmin muissa kuin sähköisissä maksuissa, kuten pankkikorttimaksuissa, mutta enne toista maksupalveludirektiiviä vain osa EU maista on hyödyntänyt sitä myös sähköisissä maksuissa. Direktiivin ansiosta asiakkaat ovat paremmin suojattuja käyttäessään verkkopankkia tai tehdessään ostoja verkossa. Vahvassa 26 Finanssivalvonta, 2025 27 Maksutoimeksiantopalvelu: ”maksutoimeksiannon käynnistämiseksi maksupalvelun käyttäjän pyynnöstä toteutettavaa palvelua toisen maksupalveluntarjoajan hallussa olevan maksutilin osalta” Maksupalveludirektiivi (EU) 2015/2366 (4 artikla, 15) 28 Maksupalveluntarjoaja: ”1 artiklan 1 kohdassa tarkoitettua laitosta tai luonnollista henkilöä tai oikeushenkilöä, jotka kuuluvat soveltamatta jäätämisen piiriin 32 tai 33 artiklan nojalla” Maksupalveludirektiivi (EU) 2015/2366 (4 artikla, 11) 29 ”Maksunpalvelukäyttäjä: ”luonnollista tai oikeushenkilöä, joka käyttää maksupalvelua joko maksajan tai maksunsaajan tai molempien ominaisuudessa” Maksupalveludirektiivi (EU) 2015/2366 (4 artikla, 10) 30 Finanssivalvonta, 2025 16 tunnistautumisessa seuraavista kolmesta tunnistautumiselementistä on hyödynnettävä vähintään kahta: vain asiakkaalla olevaa tietoa (kuten salasanaa tai PIN-koodia), jotakin asiakkaan omistamaa välinettä (kuten pankkikorttia tai matkapuhelinta) tai jotain asiakkaasta olevaa biometristä tietoa (kuten sormenjälkeä tai iirisskannausta). Lisäksi tunnistuksessa voidaan käyttää kertaluonteisia salasanoja tai koodeja, jolla pyritään ennaltaehkäisemään mahdolliset petosyritykset. Mikäli petosriskin arvioidaan olevan alhainen, voidaan vanhaan tunnistautumiseen liittyvät poikkeukset sallia.31 Toisen maksupalveludirektiivin (EU) 2015/2366 6 perustelukappaleen mukaan säädöksiin koskevien toimenpiteiden odotetaan laajentavan maksujärjestelmiä ja niitä koskevaa soveltamisalla, sekä lisäävän niiden tehokkuutta ja avoimuutta. EU:ssa arvioidaan jatkuvasti sääntelyn kykyä vastata kehitykseen ja siitä johtuviin muutoksiin32. Komissio on Open financeen liittyvän lainsäädännön kehitystyön lisäksi julkistanut ehdotuksen uudesta, niin sanotusta kolmannesta maksupalveludirektiivistä, jonka tarkoituksena on modernisoida nykyistä maksupalveludirektiiviä33. 2.1.2 Yleinen tietosuoja-asetus Yleinen tietosuoja-asetuksen (EU) 2016/679 (GDPR) perustelukappaleen 6 mukaan teknologian kehitys ja sen mahdollistama datan laaja levitettävyys ovat tuoneet mukanaan myös henkilösuojaan liittyviä haasteita. Aikaisemman direktiivin (95/46/EY) ei katsottu perustelukappaleen 9 mukaisesti pysyvän estämään tietosuojaan liittyvää hajanaisuutta, oikeudellista epävarmuutta eikä verkkoympäristöön liittyviä riskejä, jonka vuoksi tietosuojaan liittyvän sääntelyn kehittäminen uudessa direktiivissä nähtiin tarpeelliseksi EU:ssa. Vuonna 2016 voimaan astunut yleinen tietosuoja-asetus on osa EU:n tietosuojauudistusta. Sen tarkoituksena on perustelukappaleiden 6, 7 ja 11 mukaisesti suojata yksityishenkilöitä heitä koskevan tiedon käsittelyssä niin yksityisellä kuin julkisella sektorilla, sekä auttaa henkilötietojen hallinnassa. Lisäksi asetuksella 31 European Commission, 2017 32 Hallak, I., 2024, s. 1 33 European Commission, 2023a 17 haluttiin kohdan 13 mukaisesti päivittää ja yhdenmukaistaa henkilötietoja koskevaa sääntelyä unionissa. Käytännössä yksityishenkilöiden näkökulmasta asetus helpotti pääsyä yksilön omiin tietoihinsa sekä näiden tietojen jakamista, mutta sen avulla tuotiin myös selkeämmin esiin yksilön oikeutta tulla unohdetuksi sekä oikeutta saada tietoja henkilötietoihin liittyvistä tietoturvaloukkauksista. Yrityksien näkökulmasta asetus puolestaan vähensi hallinnollista taakkaa sekä paransi oikeusvarmuutta, mutta samalla kuitenkin toi erinäisiä vaatimuksia tietosuojavastaavien nimeämisestä, vaikutusarvioinnin tekemisestä sekä yksityisyydensuojaa parantavien tekniikoiden käyttämisestä.34 Tietosuoja-asetusta sovelletaan silloin, kun henkilötietoja käsittelevä organisaatio sijaitsee EU:ssa, kun henkilötietojen käsittely kohdistuu EU:n alueella asuviin ihmisiin, tai kun yritys seuraa yksilöiden käyttäytymistä EU:ssa. Siten sääntely voi koskea myös EU:n ulkopuolisiin organisaatioihin35. Yleisen tietosuoja-asetuksen merkitys korostuu etenkin Open Financen ja positiivisen luottotietorekisterin kohdalla, sillä ne käsittelevät laajasti henkilötietoja. Henkilötiedoksi luokitellaan kaikki tieto, joka koskee tunnistettua tai tunnistettavissa olevaa henkilöä. Henkilötietojen erityisiin tietoryhmiin36 liittyy kuitenkin myös rajoituksia, jotka kieltävät tai rajoittavat organisaation oikeutta käsitellä kerättyä dataa.37 Henkilödatan käsittelyn on perustuttava vähintään yhteen asetuksen 6 artiklassa määriteltyihin lainmukaisuuksiin eli tiedon käsittelyn perusteisiin, jonka lisäksi käsittelyn on noudatettava 5 artiklan mukaisia periaatteita. Nämä periaatteet ja perusteet on eritelty taulukossa 1: Periaatteet Perusteet - Lainmukaisuus - Kohtuullisuus - Suostumus henkilötietojen käsittelyyn 34 EUR-Lex, 2022 35 Your Europe, 2025 36 Esimerkiksi yksilön rotuun tai etniseen alkuperään, sukupuoliseen tai poliittiseen suuntautumiseen, uskonnolliseen tai filosofiseen vakaumukseen, geneettisiin tai terveydellisiin tietoihin liittyvät henkilötiedot. 37 Your Europe, 2025 18 - Läpinäkyvyys - Käyttötarkoitussidonnaisuus - Välttämättömyysperiaate/tietojen minimointi - Täsmällisyys - Säilytyksen rajoittaminen - Eheys ja luottamuksellisuus - Osoitusvelvollisuus - Käsittely on tarpeen sopimuksen täytäntöönpanemiseksi - Käsittely tehdään pyynnöstä sopimusta edeltävien toimenpiteiden toteuttamiseksi - Käsittely on tarpeen lakisääteisen velvoitteen noudattamiseksi - Käsittely on tarpeen elintärkeiden etujen suojaamiseksi - Käsittely on tarpeen yleisen edun tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi - Käsittely on tarpeen oikeutettujen etujen toteuttamiseksi Taulukko 1. (EU) 2016/679 5 artiklan mukaiset periaatteet sekä 6 artiklan mukaiset henkilötiedon käsittelyn lainmukaiset perusteet. Nämä yleisen tietosuoja-asetuksen (EU) 2016/679 periaatteet ja perusteet sääntelevät siis sitä, että mitä ja mihin tarkoitukseen henkilödataa saa hyödyntää. Yksilö voi esimerkiksi antaa suostumuksensa tietojen jakamiseen ja käsittelyyn, ja henkilötietojen käsittely voikin olla tarpeen etenkin, kun kyseessä on luottosopimuksen tekeminen. Suostumus on annettava selkeällä ilmaisulla, kuten esimerkiksi sähköisellä tai suullisella lausumalla. Oikeutetulla edulla voidaan viitata esimerkiksi petosten estämiseen sekä riskienhallintaan. Yritysten on pystyttävä osoittamaan esimerkiksi dokumentoinnilla, että se täyttää sille asetetut sovellettavat velvoitteet38. Asetus takaa myös yksilöiden henkilötietoihin liittyviä oikeuksia. Ensinnäkin yksilölle on taattava ilmainen pääsy omiin henkilötietoihinsa, sekä pyynnöstä kerrottava siihen 38 Your Europe, 2025 19 liittyvästä sisällöistä ja käsittelystä. Tämä takaa dataan liittyvän läpinäkyvyyden toteutumisen. Henkilötietojen käsittelyä voi myös vastustaa, mikäli käsittelyn perusteena on yrityksen oikeutettu etuus tai yleisen edun toteutus. Yksilöllä on oikeus saada tietonsa oikaistuksi tai täydennetyiksi, mikäli katsoo niiden olevan virheellisiä, epätarkkoja tai puutteellisia. Tietyissä olosuhteissa yksilöllä on oikeus tulla unohdetuksi pyytämällä rekisterinpitäjää poistamaan kerätyt henkilötiedot. Mikäli esimerkiksi luottopäätös tehdään automatisoinnin avulla, on automaattisesta päätöksestä ilmoitettava ja yksilölle annettava tilaisuus riitauttaa päätös sekä vaatia päätöksentekoon osallistumista.39 Vaikka tiedon jakamisen ja siihen pääsyn on tapahduttava turvallisessa ja eettisessä ympäristössä tietosuoajavaatimuksia noudattaen, liittyy henkilötietojen käsittelyyn myös riskejä, kuten tietojen väärinkäyttöä sekä kyberriskejä 40 . Yritys voi syyllistyä tietoturvaloukkaukseen, mikäli kerättyjä tietoja on joko vahingossa tai laittomasti luovutettu valtuuttamattomalle vastaanottajalle tai mikäli tietoihin pääsy on tilapäisesti estetty tai tietoja muutettu. Yritysten on tehtävä yksityisyyden kunnioittamisesta oletusasetus. Lisäksi yritysten ja organisaatioiden on uusia käsittelytapoja suunniteltaessa toteutettava teknisiä toimenpiteitä, joilla se voi taata tietosuojaperiaatteiden toteutumisen sekä henkilön oikeuksien suojelemisen.41 2.2 Sääntely kansallisella tasolla Euroopan unionin jäsenenä Suomen kansallinen lainsäädäntö pohjautuu EU-sääntelyyn, eli sen on oltava yhdenmukainen EU:n oikeudellisen toimintaympäristöön. Kansallista säädösvalmistelua toteutetaan sitä mukaan, kun EU:n säädösehdotukset etenevät kohti hyväksyntää. Suomea voidaan pitää digitalisaation edelläkävijänä, ja Suomi haluaakin olla mukana digitaalisen rahoituksen edistämisessä sekä sen vaikutusten 39 Your Europe, 2025 40 European Commission, 2022, s. 14, 21 41 Your Europe, 2025 20 seuraamisessa. 42 Tehokkaat sekä vakaat markkinat edistävät talouskehitystä, ja Valtionvarainministeriöllä on vastuu siitä, että kansallinen sääntely edistää rahoitusmarkkinoiden turvallista, tuottavaa sekä monipuolista toimintaa. Lisäksi ministeriön toimintaan kuuluu kansainvälisen sääntelyn kehityksen seuraaminen ja valmistelu. 43 Suomessa toimivan valvontaviranomaisen Finanssivalvonnan tehtävänä on huolehtia, että pankit ja luottolaitokset täyttävät niille asetetut lakisääteiset vaatimukset44. Suomen Pankin johtokunnan varapuheenjohtaja Marja Nykänen korostaa, että EU:n yhtenäinen sääntely ja valvonta ajaa myös Suomen etua. Rahoitusmarkkinat ovat tarkoin säännelty toimiala, ja lainsäätäjien, viranomaisten sekä rahoitusmarkkinoilla toimivien yhteistyöllä voidaan saada aikaan arvokkaita kehitysehdotuksia 45 . Digitalisaatio, teknologinen kehitys, sekä jatkuvasti uusiutuva kansainvälinen sääntely edesauttavat innovatiivisen toimintaympäristön ylläpitämistä, ja näin ollen monipuolistavat myös Suomen rahoitusmarkkinoita46. 2.2.1 Maksupalvelulaki Maksupalvelulailla (290/2010) ja siihen tehdyillä muutoksilla on toimeenpantu maksupalveludirektiivien kansallinen toteutus Suomessa. Alkuperäinen laki astui voimaan vuonna 2010. Sen soveltamisala laajeni alkuvuodesta 2018, kun toisen maksupalveludirektiivin (EU) 2015/2366 seurauksena laki asetettiin koskemaan myös muita kuin maksutilejä pitävien palveluntarjoajien, eli niin sanottujen kolmansien osapuolien, tarjoamia maksutoimeksiantopalveluita sekä tilitietopalveluita. 47 Maksupalvelulain muutokset koskevat hallituksen esityksen (HE 132/2017 vp, s. 7-8) mukaisesti pääasiassa toisen maksupalveludirektiivin III ja IV osaston säädöksiä. Direktiivin III osio säätelee maksupalveluehtojen avoimuutta sekä 42 Finanssivalvonta, 2021 43 Ranta, A., n.d. 44 Finanssivalvonta, 2018, s. 11 45 Nykänen, M., 2024 46 Alakiuttu et al, 2021 47 Oikeusministeriö, 2017; MPL 1 § 21 tietojenantovaatimuksia, IV osio puolestaan maksupalvelujen tarjoamiseen ja käyttöön liittyvistä oikeuksista ja velvollisuuksista. Maksupalvelulain 2 luku käsittelee palveluntarjoajien tiedonantovelvollisuutta. Maksutoimeksiantopalvelun tarjoajalla on sen mukaan velvollisuus antaa maksajalle ennakkotiedot maksutoimeksiannon käynnistämistä koskevasta sopimuksesta. Luvussa säädetään myös tiedoista, jotka maksutoimeksiantopalvelun tarjoajan on annettava maksajalle, maksunsaajalle ja maksutiliä pitävälle maksunpalveluntarjoajalle maksutoimeksiannon käynnistämisen jälkeen. Maksupalvelulaki koskee yhä laajemmin myös matkapuhelimella toteutettavia maksuja, jotka peritään liittymälaskun yhteydessä. Maksupalvelun käyttäjän huolimattomuuteen perustuva vastuu rajoittuu nykylain puitteissa aikaisemman 150 euron sijasta enintään 50 euroon, mikäli maksuvälinettä on käytetty oikeudettomasti. Maksupalvelulakiin lisättiin myös uusi 8a luku, jossa säädetään oikeudesta käyttää tilitietopalveluita, tilitietopalvelun tarjoajien velvollisuuksista sekä maksutilillepääsyn epäämisestä. Sen mukaan maksutiliä tarjoavan maksupalvelutarjoajan on sallittava tilitietopalveluiden käyttö, sekä käsiteltävä tietopyyntöjä tasapuolisesti. Lain 10 luku sisältää puolestaan tunnistamiseen sekä viestintästandardeihin liittyvän sääntelyn. Hallituksen esityksen (132/2017 vp, s. 22) mukaan maksupalvelulain soveltamisalan laajeneminen on tuonut suomalaisille kuluttajille sekä muille maksupalveluiden käyttäjille lisää toimintavaihtoehtoja. Lisäksi sen on katsottu lisäävän kilpailua ja näin ollen alentavan maksamiseen liittyviä kustannuksia. Esityksessä kuitenkin huomautetaan, että Suomessa sähköiset palvelut ja verkkomaksaminen ovat olleet laajassa käytössä jo ennen toista maksupalveludirektiiviä, joten sen tuomaa rahamääräistä hyötyä on vaikea arvioida. Maksupalvelulain muutoksia valmisteltaessa hallituksen esityksessä ei osattu varmasti arvioida, missä laajuudessa ja millä aikataululla maksutoimeksiantopalvelujen ja tilitietopalvelujen käyttö yleistyisi Suomessa. 22 2.2.2 Tietosuojalaki Maksupalvelulain tavoin myös tietosuojalailla (1050/2018) on toimeenpantu yleisen tietosuoja-asetuksen kansallinen täydentäminen. Laki astui voimaan vuodesta 2019 alkaen, kumoten samalla entisen henkilötietolain sekä lain tietosuojalautakunnasta ja tietosuojavaltuutetusta. 48 Tietosuojalaki on henkilötietojen käsittelyyn sovellettava yleislaki, jota sovelletaan rinnakkain GDPR:n eli yleisen tietosuoja-asetuksen kanssa, joka puolestaan jättää EU:n jäsenvaltioille kansallista liikkumisvaraa. Se ei siis muodosta kattavaa, itsenäistä sääntelykokonaisuutta. Hallituksen esityksen (HE 9/2018 vp, s. 4–5, 52) mukaan lain tarkoituksena on täsmentää henkilötietojen käsittelyn oikeudellista perustaa, täydentää valvontaviranomaista koskevia säännöksiä, sekä säätää tietojen käsittelyyn liittyvistä eritysitilanteista. Lisäksi lailla on haluttu määrätä siitä, että yleistä tietosuoja-asetusta sovelletaan myös silloin, kun henkilötietojen käsittely jää unionin sekä muun lainsäädännön soveltamisalan ulkopuolelle. Kappaleessa 2.1.2 Yleinen tietosuoja-asetus on lueteltu ne lainmukaisuudet49 , joiden perusteella henkilötietoja voidaan käsitellä. Tästä poiketen tietosuojalain 5 § säätelee henkilötietojen käsittelystä silloin, kun palvelua tarjotaan lapselle. Pykälän mukaan henkilötietojen käsittely tietoyhteiskunnan palveluiden tarjoamiseksi suoraan lapsille edellyttää vähintään 13 vuoden ikää, kun yleisessä tietosuoja-asetuksessa vastaava vähimmäisikä on 16 vuotta. Tätä nuoremmilla on oltava vanhempien suostumus. Tietosuojavaltuutettu toimii valvontaviranomaisena, jonka lisäksi apuna on vähintään kaksi apulaistietosuojavaltuutettua sekä asiantuntijalautakunta. Yleistä tietosuoja- asetusta on täsmennetty tietosuojalaissa niin, että hallinnollista seuraamismaksua ei sovelleta julkisella sektorilla tapahtuvaan henkilötietojen käsittelyyn, sillä viranomaisia sitoo lainmukaisuusvaatimus, virkavastuu ja vahingonkorvausvastuu. Lisäksi tietosuojalaissa säädetään poikkeuksia sekä vapautuksia henkilötietojen käsittelyedellytyksiin, kun kyseessä on sananvapauden turvaaminen. Tämä voi tarkoittaa 48 Oikeusministeriö, 2018 49 Ks. Taulukko 1, s. 17–18 23 esimerkiksi sitä, että rekisteröidyllä ei ole oikeutta tarkistaa itseään koskevia tietoja. Näissä tapauksissa henkilötietojen käsittelijän on laadittava tietosuojaa koskeva vaikutusten arviointi sekä sitouduttava noudattamaan erityisiä käytännesääntöjä.50 Tietosuojalainsäädäntöön liittyen on parhaillaan kehitteillä kokonaisuudistus Pääministeri Orpon hallitusohjelman mukaisesti. Uudistuksen tavoitteena on parantaa julkisten palveluiden järjestymistä niin, että lainsäädännöstä tunnistettaisiin sellaiset henkilötietojen käsittelyä koskevat säännökset, jotka vaikuttava viranomaisten tiedon liikkuvuuteen sekä palvelujen järjestymiseen. Tarkoituksena on poistaa säädökset, jotka haittaavat tiedon liikkuvuutta, pilvipalveluiden käyttöä ja julkisten palveluiden järjestymistä. Tarkastelun kohteena on kansallisen tietosuojan yleissääntely ja erityislainsäädäntö siltä osin, kun yleisessä tietosuoja-asetuksessa on jätetty kansallista liikkumisvaraa. Tietosuojalaissa tarkastelun kohteena on lain 4 §:n 2 kohta, jossa säädetään henkilötietojen käsittelyn lainmukaisuudesta silloin, kun käsittely on tarpeen ja oikeasuhteista viranomaisten toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi. Uudistus on tällä hetkellä lausuntokierroksella. Hallituksen esitykset pyritään antamaan eduskunnalle alkuvuodesta 2026 alkaen.51 2.2.3 Positiivinen luottotietolaki Positiivinen luottotietolaki (739/2022) astui voimaan 1.8.2022, mutta virallisesti positiivinen luottotietorekisteri otettiin käyttöön kuluttajaluottojen osalta 1.4.2024, jolloin rekisteristä alettiin luovuttamaan kuluttajaluottoihin liittyviä tietoja. Luottolaitosten oli lain mukaisesti 1.2.2024 alkaen ilmoitettava rekisteriin kuluttajaluottoja koskevia tietoja. Muiden luottojen osalta rekisteri otetaan käyttöön vasta huhtikuusta 2026 alkaen, jolloin rekisteristä voidaan luovuttaa myös luonnollisten henkilöiden elinkeinotoimintaan varten myönnettyjen luottojen tietoja. Luotonantajien tulee ilmoittaa rekisteriin yksityisille elinkeinoharjoittajille myönnetyistä luotoista 50 Oikeusministeriö, 2018 51 Koivu et al, 2024, s. 8–10, 33 24 1.12.2025 alkaen. Positiivisen luottotietolain aikainen voimaantuleminen sekä täytäntöönpanon porrastaminen katsottiin hallituksen esityksen (HE 22/2022 vp, s. 89) mukaisesti tarpeelliseksi, jotta siihen liittyville täytäntöönpanotoimille, kuten tietojärjestelmien valmistumiseen ja tiedottamiseen, jää riittävästi aikaa. Positiivisen luottotietolain 3 luvussa säädetään, että ilmoitusvelvollisia ovat pankit ja rahoituslaitokset, kulutusluottoja, niihin rinnastettavia luottoja ja osamaksusopimuksia tarjoavat yritykset, sekä muut luottolaitokset, jotka tarjoavat luonnollisille henkilöille tai tämän elinkeinotoiminnalle lainaa. Ilmoitusvelvollisten tulee lain mukaan olla ilmoittautua ilmoitusvelvolliseksi myös Tulorekisteriyksikölle. Edellä mainittujen lisäksi myös Kansaneläkelaitoksen on ilmoitettava positiiviseen luottotietorekisteriin opintolainan takaussaatavat. Positiivinen luottotietolaki säätelee positiivisen luottotietorekisterin sisällöstä, käyttötarkoituksesta, sekä siihen liittyvistä velvollisuuksista ja oikeuksista. Lain tarkoituksena on 1 §:n mukaan luotettavien luottotietojen ja luottomarkkinoita kuvaavien tietojen saatavuuden varmistaminen, luottokelpoisuuden arvioinnin parantaminen sekä luonnollisten henkilöiden oman taloudellisen hallinnan mahdollistaminen. Lain 2 luvun mukaan positiiviseen luottotietorekisteriin on ilmoitettava seuraavat tiedot: Tietoryhmä Sisältö Luotonantajan tiedot - Luotonantajan nimi - Y-tunnus - Mahdolliset muut tunnistetiedot Luotonhakijan ja luotonsaajan tiedot - Henkilön tai yrityksen nimi - Henkilötunnus tai Y-tunnus - Tulorekisteriin tallennetut tulotiedot Luottosopimusta koskevat tiedot - Luoton numero 25 - Luoton myöntämispäivä - Sopimuksen voimassaoloaika - Velallisten määrä - Tiedot leasing sopimuksista Luoton määrä ja ehdot - Luoton alkuperäinen määrä - Luottoraja (joustoluotot) - Luoton nostotiedot - Kokonaiskorko, vuosikorko ja korkomarginaali - Koron määräytymisperuste ja koron määräytymisjakson pituus Lyhennykset ja maksut - Lyhennysohjelma - Kuukausierän suuruus - Seuraavan maksuerän eräpäivä - Maksetun korot ja muut luottokustannukset Takaukset ja vakuudet - Luoton vakuustiedot, vakuuden tyyppi - Takausjärjestelyt Luoton tilanne - Avoin, luoton saldo - Maksettu/päättynyt Viivästykset ja maksuhäiriöt - Maksuerän eräpäivä - Maksuerän maksamatta oleva määrä - Luotto- ja velalliskohtainen tieto, mikäli luotto kuuluu yksityishenkilön velkajärjestelyn tai yrityksen saneerauksen piiriin, tai tieto niiden raukeamisesta 26 Vapaaehtoinen luottokielto - Määräaikainen tai toistaiseksi voimassa oleva - Syy (henkilötietojen väärinkäyttö, taloudenhallintaan liittyvä syy) Taulukko 2. Luottotietorekisterissä olevat tiedot (Positiivinen luottotietolaki (739/2022) 2 luku) Luotonantajalla on oltava 27 a §:n mukainen luotonantajan tiedonsaantiin oikeuttava lupa, jota haetaan Tulorekisteriyksiköltä. Lupa voidaan myöntää, kun hakija on esittänyt riittävän selvityksen käyttötarkoituksesta, tietojen suojauksesta sekä käytön valonnasta. Rekisteri sisältää henkilötietoja, joista puolestaan säännellään yleisessä tietosuoja- asetuksessa sekä tietosuojalaissa52. Positiivisen luottotietolain 3 luvun mukaisesti tiedot on ilmoitettava rekisteriin viimeistään luottosopimuksen tekemistä seuraavana päivänä. Tämän jälkeen tapahtuvista muutoksista tulee puolestaan ilmoittaa kahden päivän sisällä. Henkilötietoihin, ja siten tietosuojaan liittyy myös salassapitosäännöksiä, joten ilmoitusvelvollisten on ilmoitettava sellaiset tiedot sekä niihin liittyvät muutokset, jotka ovat kohtuullisin toimenpitein ilmoitusvelvollisen saatavilla. Positiivisen luottotietorekisterin sisältämät tiedot ovat Ilmoitusvelvollisen nimeä ja yritys- ja yhtiötunnusta lukuun ottamatta salassa pidettäviä 53 . Tietoja voidaan luovuttaa ainoastaan lain 21 §:n mukaan luotonantajille velallisen luottokelpoisuuden arvioimiseksi, luottorajan korottamiseksi tai kuluttajaa koskevien tietojen ajantasaisuuden tarkistamiseksi, sekä 24 §:n mukaisesti välttämättömiä tietojen antamiseksi viranomaisille54. 52 Verohallinto, 2025 53 Verohallinto, 2025 54 Rekisteristä voidaan luovuttaa tietoja Suomen Pankille, rahoitusvakausvirastolle, Finanssivalvonnalle, kuluttaja-asiamiehelle, Kilpailu- ja kuluttajavirastolle ja Tilastokeskukselle niille säädettyjen tehtävien hoitamiseksi (Positiivinen luottotietolaki 24 §). 27 2.2.4 Luottolaitoslaki Luottolaitoslaissa (610/2014) säännellään oikeudesta harjoittaa luottolaitostoimintaa, asetetaan luottolaitoksia vaatimuksia sekä määrätään niitä koskevasta valvonnasta. Luottolaitos voi olla suomalainen tai ulkomainen yritys, tai sivuliike, jolle on myönnetty luottolaitoslain 4 luvun mukainen toimilupa. Laissa määritellään toimiluvan edellytykset sekä toiminnan jatkuvuuden velvoitteet, jotka luotonantajan on täytettävä. Luotonantajien osalta etenkin lain 9 luku on olennainen, sillä luvussa säännellään luotonmyöntöprosessista sekä siihen liittyvistä periaatteista. Luottolaitoksilta edellytetään, että luotonmyöntö perustuu luottoanalyysiin, jolla voidaan todentaa, että luotonmyönnölle on riittävät perusteet. Analyysin tarkoituksena on selvittää asiakkaan taloudellinen tilanne sekä arvioida tämän maksukykyä. Lähtökohtana on, että luottolaitosten riskienhallinta on systemaattista ja läpinäkyvää, jonka lisäksi sen tulee olla suhteutettu luotonantajan toiminnan laajuuteen. Luottolaitoslaki korostaa sitä, että riskienhallinta on keskeinen osa luottolaitosten toimintaa.55 Luottolaitoslain 9 luku sääntelee riskien hallinnasta, ja on täten keskeinen perusta tutkielmalle sekä yleisesti luottolaitosten vastuulliselle toiminnalle. Luvun 1 § mukaisesti luottolaitosten on huolehdittava sen pääomien riittävyydestä. Luottolaitoksilla on pykälän mukaisesti oltava kattavat ja tehokkaat menettelytavat, joilla se turvaa oman vakavaraisuutensa. Luotonmyöntöprosessin on luottolaitoslain luvun 10 §:n mukaan perustuttava terveisiin ja selkeästi määriteltyihin perusteluihin. Keskeisenä seikkana onkin, että luotonantajalla tulee olla riittävä kuva luotonhakijan luottokelpoisuudesta56. Koska luotonantoon liittyy aina riskejä, tulee luottolaitosten samaisen luvun mukaisesti myös hallita ja seurata luottoriskejä, sekä tehdä niihin liittyvää luottoriskin rajoittamista. Luottolaitosten tulee 10 §:n mukaisesti huolehtia myös siitä, että luottojen myöntämistä sekä riskienhallintaa koskevista prosesseista on selkeä ja dokumentoidut toimintaperiaatteet ja menettelytavat. Olennaisena seikkana luottolaitoslaista ja 55 Finanssivalvonta, 2018, s. 9, 12 56 Finanssivalvonta, 2018, s. 12, 28 erityisesti luvusta 9 voidaan nostaa, että riskienhallinta on jatkuva prosessi, joka ohjaa luottolaitoksia käytännön toiminnassa sekä toimii perustana turvalliselle, ennakoivalle ja läpinäkyvälle pankkitoiminnalle. 2.2.5 Kuluttajansuojalaki Kuluttajansuojalaissa (38/1978) säädetään keskeisistä velvoitteista, joita luotonantajan tulee noudattaa silloin, kun on kyse kuluttajaluottojen luotonmyöntöprosessista. Kuluttajaluottojen erillisellä sääntelyllä halutaan täten varmistaa, että luotonmyöntöprosessi on läpinäkyvää, vastuullista sekä kuluttajan kannalta kohtuullista. Lain 7 luku käsittää kuluttajaluottojen yleiset säännökset, jotka ovat tämän tutkielman kannalta olennaisia. Luotonantajan tulee varmistaa, että kuluttaja kykenee hoitamaan luotosta aiheutuvat taloudelliset velvoitteet, esimerkiksi selvittämällä kuluttajan tulot, lainamenot sekä muut taloudelliset sitoumukset. Kuluttaja-asiamies Katri Väänänen korostaakin kuluttajan tosiasiallisen maksukyvyn yksilöllisen selvittämisen merkitystä, sillä tulojen sekä menojen tasapaino ei välttämättä takaa kuluttajan toimeentuloa, eikä luotonmyöntämisen tule perustua oletuksiin kuluttajan kulutustottumuksista57. Lain 7 luvussa säännellään muun muassa luotonantajan tiedonantovelvollisuudesta, joka on yksi kuluttajaluottoihin liittyvän sääntelyn olennaisimmista seikoista. 8 § sekä 9 § asettavat vaatimuksia luottojen mainonnalle, hinnoittelulle sekä ennakkotiedoille. Lain mukaan mainonnan on oltava selkeää, ja sen on sisällettävä todenmukaiset tiedot luoton kustannuksista, kuten todellisesta vuosikorosta. Lisäksi ne sääntelevät kuluttajaluottoihin koskevaa tiedonantovelvollisuutta ennen luottosopimuksen tekemistä. Luotonantajalla on 13 §:n mukaisesti noudatettava hyvää luottotapaa, eli sen on meneteltävä vastuullisesti. Tämä tarkoittaa muun muassa sitä, että luotonantajien tulee antaa luotosta totuudenmukainen ja riittävä kuvan, eivätkä ne voi luoda kuluttajalle harhaanjohtavaa tai tämän etua heikentävää menettelyä. Olennaiseksi tutkielman kannalta nousee eritoten myös 7 luvun 14 §, joka velvoittaa luotonantajia 57 Kilpailu- ja kuluttajavirasto, 2024 29 kuluttajan luottokelpoisuuden arviointiin riittävien tietojen perusteella. Kuluttajaluottoja saadaan myötää 16 a §:n mukaisesti vain silloin, kuin luotonantaja pystyy luottokelpoisuuden arvioinnin perusteella osoittamaan, että luotonhakijan voidaan todennäköisesti katsoa pystyvän täyttämään tälle luottosopimuksesta johtuvat velvoitteet. 30 3 Open Finance ja positiivinen luottotietorekisteri Digitalisaatio sekä toimialaan liittyvän sääntelyn kehitys ovat mahdollistaneet Open Financen sekä positiivisen luottotietorekisterin hyödyntämisen luottopäätöksenteossa. Luottopäätöksen tekijät saavat niiden avulla reaaliaikaista tietoa luotonhakijaa osallistavalla tavalla, joka puolestaan auttaa luotonantopäätöksen tekemisessä. Digitaalinen rahoitus kehittyy jatkuvasti, ja se tuo mahdollisuuksia rahoitusjärjestelmän eri osa-alueisiin.58 Tässä tutkielmassa tutustutaan Open Financeen sekä positiiviseen luottotietorekisteriin, jotka ovat osa avointa rahoitusekosysteemiä. 3.1 Open Finance Open Financen pääasiallisena tarkoituksena on edistää innovatiivisia rahoitustuotteita ja -palveluita niin kuluttajille kuin yrityksillekin mahdollistaen entistä paremmin kohdennetun neuvonnan sekä palvelun. Termillä viitataan pääsyyn henkilötietoihin sekä muuhun dataan, sen jakamiseen sekä uudelleenkäyttämiseen erilaisten rahoituspalveluiden tarjoamiseksi. Koska Open Finance korostaa asiakaslähtöistä lähestymistapaa, nousee kuluttajien luottamuksen merkitys keskeiseksi osaksi toimivaa järjestelmää.59 Open Finance pohjautuu tällä hetkellä toiseen maksupalveludirektiiviin, mutta siihen liittyen on parhaillaan kehitteillä uutta sääntelyä EU:n tasolla60. Lisäksi Open Finance on olennaisesti yhteydessä tietosuoja-asetukseen sekä -lakiin, sillä siinä käsitellään yksilöiden henkilötietoja, ja näin ollen siihen vaaditaan asiakkaan suostumus. Open Finance on siis vielä monilta osin kehitteillä, eikä sen tarkasta sisällöstä ole vielä varmuutta61 . Sitä voidaan pitää kokonaisuutena, jonka pohjautuu digitalisaatioon ja datafikaatioon. Asiakaskokemus, osallistaminen, asiakkaan hallinta sekä innovaatio muodostavat Open Financen keskiön. Sen olennaisiin elementteihin kuuluu datan 58 Hallak, I., 2024, s. 2 59 European Commission, 2022, s. 5–6 60 European Commission, n.d. 61 Nordea, 2023 31 helppo saatavuus ja saavutettavuus, tietosuojan ja kuluttajansuojan turvaaminen, sekä datan standardoiminen.62 Open Banking on käytäntö, jossa tietoa siirretään eri toimijoiden, sovellusten ja verkkosivujen välillä asiakkaan suostumuksella. Näin pankkitilin tiedot ja maksupalvelut voidaan saattaa muiden osapuolten kuin niitä hallinnoivan pankin saataville.63 Open Banking edelsi Open Financea, ja Open Financen tarkoituksena onkin seurata, laajentaa sekä kehittää datan hyödyntämistä eri toimialoihin sekä erinäisiin tarkoituksiin, kuten esimerkiksi kirjanpitoon, vakuutuksiin, sijoittamiseen, säästämiseen sekä erinäisten Fintech-sovellusten käyttämiseen64 . Alla oleva kuva 1 havaintaa tätä Open Financen mahdollistamaa avointa rahoitusekosysteemiä ja sen hyödyntämistä eri rahoitusinstrumenteissa ja -tuotteissa. Toinen maksupalveludirektiivi on pakottanut pankit avaamaan API-rajapintojaan 65 kolmansille osapuolille, jotka voivat tarjota erinäisiä maksutoimeksianto- ja tilitietopalveluja. Toisen maksupalveludirektiivin (EU) 2015/2366 mahdollistamat avoimet rajapinnat mahdollistavat eri pankkien ja rahoituslaitokset välisen tiedonvaihdon, mahdollistaen näin avoimemman, joustavamman sekä asiakaslähtöisemmän palvelukokemuksen. Luotonantopäätöksessä etenkin kolmansien osapuolten tarjoamat tilitietopalvelut ovat hyödyksi, sillä niiden avulla saadaan reaaliaikaista tietoa esimerkiksi yhden tai useamman maksutilin saldosta, tilitapahtumista ja maksuhistoriasta. Näin ollen ne auttavat muodostamaan tarkemman kokonaiskuvan asiakkaan taloudellisesta tilanteesta. 62 European Commission, 2022, s. 6, 10; De Pascalis, 2022, s. 400 63 Nordea, 2023a 64 Nordea, 2023b; De Pascalis, 2022, s. 399 65 API-rajapinnat (Application Programming Interface) tarkoittavat ohjelmointirajapintoja, jotka toimivan ns. siltoina mahdollistaen erilaisten sovellusten, ohjelmistojen ja järjestelmien välisen viestinnän ja tiedonvaihdon. (Goodwin, 2024) 32 Kuva 1. Avoin rahoitusekosysteemi (Open Banking Limited, n.d.) Open Finance hyödyntää niin sanottuja rajapintoja. Rajapinta eli API sisältää erinäisiä sääntöjä ja protokollia, jotka mahdollistavat eri järjestelmien ja ohjelmistosovellusten välisen kommunikoinnin, eli tiedon ja toimintojen vaihdon. Näitä ovat esimerkiksi jo ylempänä mainittu tilitietojen tarkastelu sekä maksutapahtuman käynnistäminen. Rajapinnat määrittävät sen, mikä on tarvittavaa tietoa ja miten sitä voidaan pyytää ja jakaa eri ohjelmistojen välillä. 66 Ne rajaavat selkeät käyttöoikeudet sekä tiedon käyttäjälle että sen haltijalle, sillä käyttäjä voi itse hallita sitä, kuinka paljon ja mitä tietoa jaetaan. Tällä varmistetaan Open Financen edellyttämä luottamus ja halukkuus tiedon 66 Goodwin, 2024 33 jakamiseen sekä rahoitusekosysteemin käyttäjälähtöisyys. 67 Toisen maksupalveludirektiivin (EU) 2015/2366 mukaan niin sanotut kolmannet osapuolet ovat perinteisistä pankeista ja rahoituslaitoksista eriäviä palveluntarjoajia, jotka hyödyntävät rajapintojen kautta saatua tietoa uusien palveluiden, kuten erinäisten sovellusten, tarjoamiseen. Tällaisia kolmansia osapuolia ovat maksutoimeksiantopalvelun tarjoajat sekä tilitietopalvelun tarjoajat. Maksutoimeksiantopalvelujen tarjoajien palveluiden avulla voidaan toimeenpanna maksuja suoraan asiakkaan tililtä. Tällainen on esimerkiksi ruotsalainen yritys Klarna, joka tarjoaa asiakkailleen suoramaksu- sekä laskutuspalvelua68. Tilitietopalvelun tarjoajia voidaan direktiivin mukaisesti puolestaan hyödyntää eri tilien saldon sekä rahaliikkeen tarkastelemiseen. Esimerkiksi ruotsalainen FinTech-yritys Tink on Euroopassa tilitietopalveluja tarjoava yritys, joka auttaa niin kuluttajia kuin yrityksiäkin talouden hallinnassa69. Koska Open Finance sekä siihen liittyvä sääntely on vielä kehitteillä, ei sen käytännön toteutumisesta ole vielä täyttä selvyyttä. Tarkoituksena on kuitenkin laajentaa Open Bankingin mahdollistamien toimintojen hyödyntämisen maksutilien lisäksi myös muihin rahoitustuotteisiin 70 . Luotonantajat ovatkin jo hyödyntäneet Open Financen mahdollistamia innovaatioita. 71 Luotonantajat hyödyntävät API-rajapintoja tilien varmentamiseen sekä luottokelpoisuuden arvioimiseen. Rajapintojen kautta saadut tiedot mahdollistavat luotonhakijan tulo- sekä lainatietojen ajantasaisemman ja tarkemman varmentamisen, jonka puolestaan edesauttaa luottoon liittyvien riskien ja luotonhakijan takaisinmaksukyvyn arviointia. Rajapinnat tehostavat myös mahdollisten petosten tunnistamista.72 67 Open Finance Association, 2022., s. 1–2 68 Ks. Klarna.com 69 Ks. Tink.com 70 Ks. Kuva 1, s. 32 71 Nordea, 2023 72 Finansinspektionen, 2023, s. 11 34 Open Financeen liittyy kuitenkin myös riskejä. Ruotsin finanssiviranomainen 73 on kategorisoinut kahteen nämä ryhmään: kuluttajansuojaan liittyvät riskit sekä operatiiviseen toimintaan riskit. Vaikka Open Financen tarkoituksena onkin vähentää kuluttajien tiedonsaantiin liittyvää haittaa, on riskinä se, että yrityksillä on enemmän tietoa kuluttajasta kuin kuluttajalla itsellään. Kuluttajasuojaan liittyvänä riskinä nähdään myös tarpeettoman tiedon kerääminen, sekä kerätyn tiedon väärinkäyttäminen. Merkittävänä riskinä on nähty lisäksi se, että kuluttajalla ei välttämättä ole tietoa jakaessaan ymmärrystä siitä, mitä tietoa jaetaan kenellekin osapuolelle, tai kuka jaetusta tiedosta vastaa. Henkilötietoihin voi myös liittyä arkaluontoisia tietoja, joiden käsittelyyn tulisi kiinnittää erityistä huomiota. Operatiiviseksi riskiksi Finansinspektionen on puolestaan tunnistanut kasvavat tietoturvaan- ja kyberturvallisuusteen liittyvät riskit, sillä Open Finance mahdollistaa suurten datamäärien saatavuuden usealle eri osapuolelle. Sekä kuluttajansuojaan että operatiiviseen toimintaan liittyvien riskien huomioiminen ja hallinta on edellytys sille, että Open Financella on myönteinen vaikutus rahoitusmarkkinoihin.74 3.2 Positiivinen luottotietorekisteri Positiivinen luottotietorekisteri on Suomessa Open Financeakin uudempi tulokas, sillä se otettiin käyttöön huhtikuusta 2024 alkaen. Tästä eteenpäin luotonantajien tulee tarkistaa luotonhakijan tiedot rekisteristä. Open financen pohjautuessa asiakkaan suostumukseen, on positiivisen luottotietorekisterin tietojen käyttö päinvastaisesti lakisääteistä.75 Rekisterinpitäjänä toimii Verohallinnon Tulorekisteriyksikkö. Positiivisen luottotietorekisterin taustalla on pyrkimys ylivelkaantumisen torjumiseen hyödyntämällä rekisteriin kerättyä tietoa luonnollisten henkilöiden luotoista sekä tuloista. Luotonmyöntäjät puolestaan hyödyntävät rekisteriä luotonannossa.76 Vaikka hallituksen esityksessä (HE 22/2022 vp, s. 11) ei ole löydetty vertailukelpoisia selvityksiä 73 Finansinspektionen, 2023, s. 15–16 74 Finansinspektionen, 2023, s. 15–16 75 Verohallinto, 2024a 76 Jaatinen et al, 2021, s. 10–11 35 muiden EU-maiden rekistereiden vaikutuksista ylivelkaantumiseen, katsottiin sillä olevan velkaantumiseen nähden potentiaalinen myönteinen vaikutus. Esityksen mukaan tavoitteena on pyrkiä varmistamaan luotettavien tietojen saaminen luotonantotilanteessa, joka näin ollen edesauttaa luotonhakijan taloudellisen tilanteen ja luottokelpoisuuden arviointia. Taulukossa 2 77 on eriteltynä tiedot, jotka ilmoitusvelvollisen on ilmoitettava rekisteriin. Ilmoitusvelvollisten, kuten esimerkiksi pankkien ja luottolaitosten, tulee ilmoittaa laissa määritellyt luottoja koskevat tiedot rekisteriin niiden luonnollisten henkilöiden osalta, joilla on Suomessa asuinpaikka ja suomalainen henkilötunnus. Lisäksi rekisteriin tallennetaan tietoja myös ulkomailla asuvista luonnollisista henkilöistä, mikäli heillä on suomalainen henkilötunnus sekä tuloja Suomesta. Rekisteri sisältää täysi-ikäisten lisäksi myös alaikäisille myönnetyt luotot. 78 Koska rekisteri sisältää henkilötietoja, säädetään siitä positiivisen luottotietolain lisäksi myös yleisessä tietosuoja-asetuksessa sekä sitä täydentävässä tietosuojalaissa siltä osin, kun tietosuoja-asetus on jättänyt kansallista liikkumavaraa. Luotonantajan on ilmoitettava luottorekisterikyselyssä rekisteriotteen käyttötarkoitus, johon hallituksen esityksen (HE 22/2022 vp, s. 1) mukaisesti lukeutuu tietojen käyttö luotonannossa. Tietojen käsittelyssä on kuitenkin noudatettava käyttötarkoitussidonnaisuuden ja täsmällisyyden periaatteita. Kuten alla olevasta kuvasta 279 ilmenee, positiivisesta luottotietorekisteristä hyötyvät niin kuluttajat, luotonmyöntäjät kuin yhteiskuntakin. 80 Pankit ja luotonantajat ovat ottaneet Positiivisen luottotietorekisterin vastaan positiivisesti. Sidosryhmille toteutetun kyselyn perusteella rekisterin koettiin parantavan luottopäätösten laatua, tarjoavan paremman kokonaiskuvan asiakkaiden taloudellisesta tilanteesta sekä edistävän terveempää luotonatoa Suomessa.81 Positiivisen luottotietorekisterin voidaan siis katsoa edistävän osaltaan pankkien ja luottolaitosten vastuullista luotonantoa. 77 Ks. Taulukko 2, s. 24–26 78 Jaatinen et al, 2021, s. 31–33 79 Ks Kuva 2, s. 37 80 Jaatinen et al, 2021, s. 10–11 81 Verohallinto, 2024a 36 Luotonmyöntäjät voivat hyöyntää rekisteriin tallennettuja tietoja yksittäisen luottopäätöksen sekä luottokelpoisuuden arvioinnin lisäksi myös esimerkiksi luottomarkkinoiden valvonnassa.82 Hallituksen esityksessä (HE 22/2022 vp, s. 11–12, 26–27) on katsottu, että rekisterin hyödyt rahoitussektorille ovat merkittävät, sillä se parantaa tiedon jakautumista luottomarkkinoilla etenkin silloin, kun luottoon ei saada vakuutta, ja kun asiakkaan maksukyvyn katsotaan olevan vähäinen. Rekisteristä saadaan luottojen ajantasaiset perustiedot, lyhennykset ja maksuviivetiedot, sekä korkoa ja muita kustannuksia koskevat tiedot. Julkisen vallan ylläpitämänä se vähentää luotonmyöntäjien manuaalista työtä liittyen luotonhakijan toimittamien tietojen oikeellisuuden varmistamistoimenpiteisiin, tehostaen näin luotonantoprosessia. Ajantasaisten ja oikeiden tietojen saaminen auttaa myös luotonantajaa luottoriskin hallinnassa. Näin ollen hallituksen esityksessä on katsottu, että rekisterin avulla luotonantajalla on paremmat edellytykset luotonhakijoiden erittelylle korkean riskin ja matalan riskin asiakkaisiin, vaikuttaen näin myös lainan hinnoitteluun. 3.2.1 Positiivisen luottotietorekisterin käyttötarkoituksesta Postiviinen luottotietorekisteri hyödyttää myös kuluttajia, sillä he saavat sitä kautta kootusti yhdestä paikasta ajantasaiset taloudelliset tietonsa, jolloin heillä on paremmat edellytykset oman taloudellisen kokonaistilanteensa arviointiin 83 . Hallituksen esityksessä (HE 22/2022 vp, s. 21) on katsottu, että rekisterin avulla voidaan ennaltaehkäistä hallitsematonta ylivelkaantumista etenkin silloin, kun lainoja on usealta eri luotonantajalta, sillä aikaisemmin velallisilla on voinut olla puutteellinen käsitys lainojensa suuruudesta sekä lainanhoitokustannusten määrästä. Lisäksi esityksessä on katsottu rekisterillä voi olla luotonhakijan kannalta positiivisia vaikutuksia lainan myöntöön sekä hinnoitteluun liittyen. Mikäli luotonhakijan kokonaisvelkaantumissuhde suhteessa tuloihin on matala, voi luoton hinta madaltua. Rekisteri voi parantaa luotonsaannin mahdollisuutta esimerkiksi silloin, kun rekisterin positiiviset tiedot 82 Jaatinen et al, 2021, s. 10–11 83 Jaatinen et al, 2024, s.10 37 vakuuttavat luotonmyöntäjän myöntämään lainan sellaiselle henkilölle, jolle sitä ei muutoin myönnettäisi negatiivisten luottotietojen perusteella. Edellä mainittujen hyötyjen lisäksi hallituksen esityksessä on katsottu, että rekisterin käyttö edesauttavaa tiedon oikeellisuuden sekä siihen liittyvän läpinäkyvyyden toteutumista, sillä luonnollinen henkilö voi asiointipalvelun kautta seurata luottotietojaan sekä niiden käyttöä. Kuva 2. Positiivisen luottotietorekisterin toimintaperiaate (Verohallinto, 2024b) Rekisterin käytössä on kuitenkin ilmennyt myös haasteita, kuten oikeuksien puutteellisuutta, sääntelyn epäselvyyttä, tietojen laadun vaihtelua sekä teknisiä rahoituksia. Koska se sisältää vain luonnollisten henkilöiden taloudellisia tietoja, ei sitä voida toistaiseksi hyödyntää yrityslainojen myöntämisessä, vaikka kyse olisi yksityisestä elinkeinotoiminnanharjoittajasta. Lisäksi siellä olevat tulotiedot voivat olla puutteellisia, sillä ne saadaan tulorekisteristä, johon ei puolestaan ilmoiteta esimerkiksi pääomatuloja ja yritystoimintaan liittyviä tuloja. 84 Suomen Yrittäjät -järjestön mukaan tämä on heikentänyt merkittävästi toiminimiyrittäjien lainansaantia. Järjestö on ollut asiaan 84 Verohallinto, 2024a 38 liittyen yhteydessä tietosuojavaltuutettuun, sillä se katsoo, että positiivisen luottotietorekisterin rakenteelliset puutteet tuovat yksityiset elinkeinoharjoittajat epätodenmukaiseen asemaan. Tietosuojavaltuutettu Anu Talus korostaakin, että mikäli rekisteriote ei kata kaikkia tietoja, on luotoantajan pyydettävä lisäselvityksiä luottokelpoisuuden arvioimiseen. 85 Hallituksen esityksessä (HE 22/2022 vp) on huomioutu, että positiivisesta luottotietorekisteristä aiheutuu luotonmyöntäjille hallinnollista taakkaa, järjestelmämuutoksista johtuvia kustannuksia sekä luottotietoraporttien käyttömaksuja. Verohallinto tekee sidosryhmien kanssa yhteistyötä rekisterin kehittämiseksi 86 . Positiivinen luottotietorekisteri siirtyi toiseen vaiheeseen, kun joulukuusta 2025 alkaen luotonantajat ovat voineet alkaa ilmoittaa rekisteriin myös yksityisille elinkeinoharjoittajille myönnettyjä luottoja. Tähän mennessä rekisteriin oli ilmoitettava vain kuluttajanluotot sekä niihin rinnastettavat luotot. Yksityisten elinkeinoharjoittajien kohdalla positiivinen luottotietorekisteri astuu voimaan 1.4.2026 alkaen, jonka jälkeen rekisteriä hyödynnetään myös yritystoimintaan haettujen luottojen luottokelpoisuuden arviointiin. Kolmas vaihe toteutetaan alkuvuodesta 2027, jolloin rekisteriin aletaan siirtämään tietoja taloyhtiölainojen huoneistokohtaisista luottovastuista. Nämä tiedot näkyvät positiivisen luottotietorekisterin rekisteriotteella 1.4.2027 alkaen.87 3.2.2 Positiiviset luottotietojärjestelmät Euroopassa Positiivisen luottotietorekisterin edellytyksiä selvittäessä oikeusministeriö on tutkinut luottotietojärjestelmiä ja niiden toteutustapoja myös muualla Euroopassa, jossa positiivisten luottoihin liittyvien tietojen kerääminen on varsin yleistä. Erilaisia positiivisia luottotietojärjestelmiä on käytössä lähes kaikissa EU:n jäsenvaltioissa, joista osa on julkisen vallan ylläpitämiä ja osa yksityisiä rekistereitä. Useassa maassa julkiset ja yksityiset luottotietorekisterit toimivat rinnakkain.88 Hallituksen esityksestä (HE 22/2022 85 Suomen Yrittäjät, 2025 86 Verohallinto, 2024a 87 Verohallinto, 2024b 88 Kontkanen & Lång, 2018, s.29 39 vp, s. 37) käy ilmi, että luottotietojärjestelmiä on perustettu muissa EU:n jäsenvaltioissa erinäisiin tarpeisiin, kuten rahoitusmarkkinoiden vakauttamiseen, ylivelkaantumisen hillintään, sekä vastuuttoman luotonannon ja luottoon liittyvien riskien ehkäisyyn. Viranomaisten ylläpitämiä rekistereitä hyödynnetään EU:n jäsenvaltioissa esimerkiksi makrotalouden ja rahoitusmarkkinoiden analysoimisessa ja tilastoinnissa sekä luottolaitosten valvonnassa. Luottotietorekistereihin tallennettava tieto vaihtelee maiden välillä, kuten myös se, missä määrin, mihin tarkoitukseen ja kenelle rekisteriin tallennettua tietoa voidaan luovuttaa. Kuten Suomessakin, luotonantajat sekä muut ilmoitusvelvolliset ovat järjestelmien merkittävin tietolähde, mutta tietoa saadaan myös esimerkiksi viranomaisilta89. Vaikka positiivinen luottotietorekisteri on Suomessa otettu vastikään käyttöön, ovat ne muualla EU:ssa hyvin yleisiä. Muista EU-maista Tanska sekä Ranska ovat olleet Suomen lisäksi kuuluneet niihin harvoihin Euroopan maihin, jossa positiivista luottotietorekisteriä ei ole ollut käytössä. Sen sijaan muissa pohjoismaissa yksityiset yritykset vastaavat positiivisten luottotietoja keräämisestä keskitetyn viranomaisen sijasta 90 . Myös Hallituksen esityksessä (HE 2022/22 vp, 37–38) on vertailtu eri maiden rekisterijärjestelmiä. Esimerkiksi Itävallan sekä Romanian rekisterit vastaavat Suomen tämänhetkistä rekisteriä siltä osin, että niihin kerätään vain luonnollisten henkilöiden tietoja. Belgian ja Irlannin rekisterit keräävät puolestaan myös yritysluottotietoja. Useassa maassa tietojen ilmoittaminen on Suomen mukaisesti pakollista, mutta ilmoitus- sekä tarkistusvelvollisuuksissa esiintyy maittain myös erinäisiä rajoituksia. Esimerkiksi haetun luoton määrä on yleinen kynnysarvo, johon luotonantajien velvollisuus luottotietorekisterin sisältämien tietojen tarkistamiseen luotonhakijan luottokelpoisuutta arvioidessa perustuu.91 89 Kontkanen & Lång, 2018, s.30 90 Kontkanen & Lång, 2018, s.25, 28 91 Kontkanen & Lång, 2018, s.25–30 40 4 Open finance ja positiivinen luottotietorekisteri osana luotonmyöntöprosessia Luotonantoon sisältyy aina riskejä92. Siksi luottokelpoisuuden arviointi sekä luottoriskin hallinta ovat keskeinen osa niin luottopäätöksenteossa kuin luottolaitosten liiketoiminnassakin. Arvioinnilla halutaan varmistaa, että lainanottaja kykenee hoitamaan luotosta aiheutuvat taloudelliset velvoitteet. Luottoriskien hallintaa koskevilla määräyksillä halutaan puolestaan varmistaa, että luottolaitoksilla on riittävät ja tehokkaat toiminnot luottoriskien tunnistamiseksi, mittaamiseksi, rajoittamiseksi, seuraamiseksi sekä valvomiseksi. Sekä yritys- että kuluttajaluottojen luotonmyöntöprosessiin sekä sen vaiheisiin liittyy noudatettavia periaatteita sekä erinäisiä säädöksiä. 93 EBA:n mukaan luottokelpoisuuden arvioinnissa olisi syytä kiinnittää huomiota ainakin seuraaviin seikkoihin: Kuluttajaluotot - lainan käyttötarkoitus, jos sillä on merkitystä tuotetyypin kannalta; - hakijan työtilanne; - takaisinmaksukyvyn lähde; - kotitalouden koostumus ja huollettavien määrä; - taloudelliset sitoumukset ja niiden hoitomenot; - säännölliset menot; - vakuudet (vakuudellinen luotonanto); - muut riskiä pienentävät tekijät, kuten takuut, jos niitä saatavilla.94 Yritysluotot - lainan käyttötarkoitus, jos sillä on merkitystä tuotetyypin kannalta; - tulot ja kassavirta; - rahoitusasema ja sitoumukset, myös pantatut varat ja ehdolliset velat; - liiketoimintamalli ja tarvittaessa yritysrakenne; - liiketoimintasuunnitelmat, joita täydentävät taloudelliset ennusteet; - vakuudet (vakuudellinen luotonanto); - muut riskiä pienentävät tekijät, kuten takuut, jos niitä saatavilla; 92 Lindström, 2014, s. 7 93 Finanssivalvonta, 2018, s. 9, 12 94 European Banking Authority, 2020, s. 25 41 - tuotetyyppikohtaiset oikeudelliset asiakirjat (esimerkiksi luvat, sopimukset).95 Kuvassa 396 on eritelty luotonmyöntöprosessin eri vaiheet luottolaitoslakiin perustuen. Luotonmyöntöprosessi käsittää tiedonhankinnan ja siihen perustuvan luottoanalyysin, vakuushallinnan, luottoriskin mittaamisen sekä sen rajoittamisen. Lisäksi asiakassuhteen seuranta on olennaisessa osassa luottoriskin hallintaa, jota luottolaitokset harjoittavat koko asiakassuhteen keston ajan. 97 Luottolaitoslain 9 luvun 10 §:n mukaisesti luotonannon on perustuttava terveisiin ja selkeästi määriteltyihin perusteisiin. Luotonantajan on ennen luottopäätöksen tekemistä selvitettävä huolellisesti kaikki päätöksentekoon vaikuttavat seikat, sekä varmistettava niiden oikeellisuus sekä tarkoituksenmukaisuus98. Luottopäätöksen tulee perustua luottoanalyysiin, jota varten luotonantajan on hankittava luotonhakijasta riittävästi tietoa perusteellisen ja kattavan arvion muodostamiseksi. Yritysluotoissa tiedonhankinnassa voidaan hyödyntää esimerkiksi saatavilla olevia tilinpäätöstietoja, kuluttajaluotoissa puolestaan luotonhakijan tulo-, meno- sekä luottotietoja. Luottopäätöksien tulee perustua luotonhakijan maksuhistorian sekä nykyisen maksukyvyn lisäksi myös arvioon tulevaisuuden takaisinmaksukyvystä. Kerättyyn tietoon pohjautuvan luottoanalyysin avulla voidaan saavuttaa luotettava kokonaiskäsitys luotonhakijan taloudellisesta tilanteesta, maksukyvystä sekä luottokelpoisuudesta. Luottopäätös voi pohjautua asiakkaan luottokelpoisuuden lisäksi myös annettuihin vakuuksiin sekä niiden mahdolliseen realisointiin, jolloin luotonantajan on luottopäätöstä tehdessä harjoitettava myös niihin liittyvää huolellista arviointia. Luotonannon tulisi kuitenkin ensisijaisesti perustua luotonhakijan luottokelpoisuuteen, ei mahdollisiin vakuuksiin ja niiden realisointiin.99 Kaikki seikat huomioiden luottolaitoksen on 9 luvun 9 §:n mukaan mitattava omia sisäisiä riskiarviomenetelmiä käyttäen luotonmyöntöön kohdistuvaa luottoriskiä. Luottoriski ei saa täten yksinomaan perustua ulkopuoliseen luottoluokitukseen. Koska luotonantoon liittyy aina riskejä, on luotonmyöntäjän 9 luvun 95 European Banking Authority, 2020, s. 25 96 Ks. s. 42 97 Finanssivalvonta, 2018, s. 12–20 98 Lindström, 2014, s. 8 99 Finanssivalvonta, 2018, s. 12–15 42 10 §:n mukaisesti myös jatkuvasti seurattava luottoriskiä ja varauduttava sen toteutumiseen koko asiakassuhteen ajan. Kun luottopäätös on tehty, on luotomyönnöstä sekä siihen liittyvistä prosesseista on oltava selkeät ja dokumentoidut toimintaperiaatteet ja menettelytavat. Tällä halutaan varmistaa, että luotonmyöntöprosessi on jälkikäteen todennettavissa aina luottohakemuksesta luottopäätökseen asti. Kuva 3. Luotonmyöntöprosessin vaiheet (Finanssivalvonta 2018b; kuvan tekemisessä on hyödynnetty ChatGPT -tekoälyä) Kuluttajaluotoissa on kiinnitettävä eritysitä huomiota myös kuluttajansuojalakiin. Kilpailu- ja kuluttajavirasto (KKV) on käsitellyt asiassa (KKV/351/14.08.01.05/2022) kuluttajan luottokelpoisuuden arviointia koskevien velvollisuuksien noudattamista. Se on ratkaisussaan korostanut luotonantajan velvollisuutta huolelliseen luottokelpoisuuden arviointiin luotonmyöntöprosessissa. Tässä tapauksessa KKV tutki Santander Consumer Finance Oy:n menettelyjä kuluttajaluottoihin liittyvästä tiedon keräämisestä, sekä sen yhtiön harjoittamasta maksukyvyn arvioinnista. Ratkaisussaan 43 KKV sovelsi kuluttajansuojalain (38/1978) 7 luvun mukaisia velvoitteita. Asiassa katsottiin, ettei Santander Consumer Finance Oy ollut ennen luottopäätöksen tekemistä tehnyt pykälien 13 § sekä 14 § edellyttämää riittävää selvitystä luottoa hakeneiden elinkustannuksista, kuten asumismenoista, tai muita velkoja, eikä sillä siten ollut riittävää kokonaiskuvaa luotonhakijoiden tosiasiallisesta maksukyvystä eikä kerätyn tiedon oikeellisuudesta. Yhtiön voitiin täten katsoa rikkoneen hyvää luotonantotapaa. Lisäksi yhtiön katsottiin rikkoneen pykälää 16a §, sillä se oli myöntänyt luottoa kuluttajille, joiden todellinen maksukyky ei riittänyt luottosopimuksen mukaisiin velvoitteisiin. Huolellisella luottokelpoisuuden arvioinnilla luottoja ei olisi myönnetty kyseisille kuluttajille. Tapaus heijastaa laajempaa ilmiötä, jossa luottokelpoisuuden arvioiminen muuttuu yhä enemmän dataperusteiseksi, sillä riittävän kokonaiskuvan saaminen edellyttää yksilöllistä, ajantasaista sekä todennettuun tietoon perustuvaa selvitystä luotonhakijasta sekä tämän maksukyvystä.100 Tiedonhankinnan voidaan näin ollen katsoa olevan olennaisin osa luotonantopäätöksen tekemistä. Digitaalinen kehitys on tuonut mukanaan uusia tiedonhankinnan menetelmiä 101 . Ennen Open financea ja positiivista luottotietorekisteriä luottopäätöksissä tukeuduttiin asiakkaan toimittamiin tietoihin sekä mahdollisiin negatiivisiin luottotietomerkintöihin. Lisäksi kerätyn tiedon oikeellisuuden sekä ajantasaisuuden varmistaminen oli hankalaa, sillä tieto pohjautui menneisyyteen, ei nykytilaan. Open Financen sekä positiivinen luottotietorekisterin myötä luotonantajilla on käytössään yhä laajempi, reaaliaikaisempi sekä tarkempi tietopohja, jonka avulla luottolaitokset voivat tehdä parempia, yksilöllisempiä sekä riskitietoisempia luottopäätöksiä. Open Financessa luotonantaja voi asiakkaan suostumuksella hyödyntää tämän pankki- ja maksutapatietoja, kuten tilitapahtumia, tuloja, kulutustottumuksia sekä menojen suhdetta tuloihin. Positiivisesta luottotietorekisteristä luotonantaja saa puolestaan tiedot kuluttajan olemassa olevista luotoista, niiden maksueristä tai mahdollisista maksuviiveistä sekä tuloista. Open Financen mahdollistamista 100 Kilpailu- ja kuluttajavirasto, 2024 101 Hallak, 2024, s. 2 44 rajapinnoista kerätyt tiedot sekä Positiivisen luottotietorekisterin rekisteriotteen tiedot parantavat luotonhakijan todellisen maksukyvyn arviointia. Finanssiala onkin yksi datavetoisimmista toimialoista, ja parhaimmillaan avoin rahoitusekosysteemi tarjoaa etuja kaikille osapuolille.102 4.1 Tiedon laatu, saatavuus ja hallinta Koska luottopäätös perustuu luotonhakijasta kerätystä tiedosta tehtyyn luottoanalyysiin, on tiedon laadulla keskeinen asema. Luotonantajalla tulisi olla oikeat ja ajantasaiset tiedot luotonhakijasta, jotta luotonmyönnön voidaan katsoa olevan luottolaitoslain 9 luvun 10 §:n mukaisesti perusteltua. Tilastokeskuksen soveltamisohjeen 103 mukaan tiedon laatukriteerit sekä niiden mittaaminen voidaan jakaa kolmeen laatukriteeriryhmään: 1) Miten tieto kuvaa todellisuutta? 2) Miten tieto on kuvattu? 3) Miten tietoa voi käyttää? Ensimmäisen ryhmän laatukriteereiksi on lueteltu tiedon virheettömyys, tarkkuus, johdonmukaisuus, ajantasaisuus ja kattavuus. Näiden laatukriteerien tarkoituksena on kuvata sitä, mistä tiedosta on kyse, miten hyvin se on käytettävissä, sekä kuinka oikean ja tarkan kuvan ne antavat todellisesta tilanteesta.104 Koska positiivinen luottotietolaki (739/2022) velvoittaa ilmoitusvelvollisia ilmoittamaan esimerkiksi uusista luotoista sekä luottoihin liittyvistä muutoksista viipymättä, saavat luotonantaja sieltä näin ollen oikeat ja ajantasaiset tiedot luotonhakijan nykyisestä taloudellisesta tilanteesta. Tämä puolestaan edesauttaa perustellun luottopäätöksen tekemistä. Koska myös kuluttajalla on pääsy positiiviseen luottotietorekisteriin, edesauttaa tämä esimerkiksi tiedon virheettömyyden toteutumista, sillä kuluttaja voi huomauttaa mahdollisista virheistä 102 De Pascalis, 2022, s. 402 103 Tarkoma et al, 2023, s. 3–4 104 Tarkoma et al, 2023, s. 11 45 sekä pyytää niiden oikaisua. Myös Open finance mahdollistaa Positiivisen luottotietorekisterin kaltaisen ajantasaisten tietojen tarkistamisen. Toisen ryhmän laatukriteereiksi on lueteltu tiedon alkuperäisyys, metatietojen ymmärrettävyys ja suositustenmukaisuus. Nämä puolestaan korostavat tiedon elinkaaren ja kuvaamisen tärkeyttä, sillä hyvin kuvatun tiedon käyttäminen on helpompaa ja vähentää tiedon analysointiin liittyvien virhetulkintojen mahdollisuutta.105 Suomessa Positiivista luottotietorekisteriä ylläpitää Verohallinto106. Se vastaa rekisterin toiminnasta ja hallinnoinnista, ja huolehtii siitä, että rekisteri sisältää sille laissa määritellyt vaatimukset. Rekisterin tiedot saadaan suoraan tietolähteiltä eli ilmoitusvelvollisilta. Open financen mahdollistamat rajapinnat puolestaan edesauttavat tiedon hallintaa ja ymmärrettävyyttä, sillä ne mahdollistavat suurten tietomäärien koneellisen lukemisen ja analysoimisen. Open financen avulla voidaan esimerkiksi tuottaa helppolukuisia analyysejä, raportteja ja laskelmia, joita luotonantajat voivat hyödyntää luotonantopäätöksissään. Rajapinnat toimivat siis niin sanottuina siltoina, mahdollistaen eri järjestelmien ja ohjelmistosovellusten välisen kommunikoinnin.107 Kolmannen ryhmän laatukriteereiksi on lueteltu tiedon koneluettavuus, käyttöoikeudet sekä oikea-aikaisuus. Nämä puolestaan kertovat miten, milloin ja missä muodossa tieto on käytettävissä.108 Edellä mainitusti Open financen rajapinnat mahdollistavat tietojen siirron standardoidussa muodossa, ja sen avulla voidaan muodostaa erinisiä raportteja luotonmyöntöprosessin tueksi.109 Tietoaineiston käsitteleminen on täten mahdollista eri tietojärjestelmissä110. Open financen pohjautuu suostumukseen, eli luotonhakija voi itse päättää, mitä tieto luovutetaan, kenelle ja mihin tarkoitukseen. Positiivinen luottotietorekisterin käyttöoikeudesta on puolestaan säännelty laissa. Kuten 105 Tarkoma et al, 2023, s. 29 106 Jaatinen et al, 2021, s. 10–11 107 Goodwin, 2024 108 Tarkoma et al, 2023, s. 38 109 Goodwin, 2024 110 Tarkoma et al, 2023, s. 38 46 ensimmäistä laatukriteeriryhmää tarkasteltaessa todettiin, sekä Open finance että Positiivinen luottotietorekisteri mahdollistavat ajantasaisen tiedon saatavuuden. Niin tiedon laadun, saatavuuden kuin hallinnankin näkökulmasta voidaan todeta, että Open finance sekä Positiivinen luottotietorekisteri ovat tuoneet selkeää parannusta aiempaan verrattuna, sillä niiden myötä ajantasaista tieto on saatavilla ympäri vuorokauden. Ne vähentävät tietokatkoksia sekä tiedon ristiriitaisuuksia ja hajanaisuutta. Lisäksi sekä Open finance että Positiivinen luottotietorekisteri edesauttavat esimerkiksi luotonmyöntöprosessissa kerätyn tiedon oikeellisuuden tarkistamista. Koska sekä luotonantajalla että luotonhakijalla on mahdollisuus päästä tietoihin käsiksi, lisää tämä myös läpinäkyvyyttä luotonantajan ja luotonhakijan välillä. Tieto on ymmärrettävässä muodossa paremmin saavutettavissa kaikkien osapuolen kesken. Tiedon laadun näkökulmasta voidaankin todeta, että mitä kattavampaa, tarkkaa ja ajantasaista tieto on, sitä paremmat edellytykset perustellun luottopäätöksen tekemiselle sekä siihen liittyvän luottoriskin hallinnalle on. 4.2 Riskienhallinta ja petosten ehkäisy Luotonmyöntäjien on päätöksissään arvioitava myös luotonmyöntöön liittyvää luottoriskiä, ja luottoriskien hallinta onkin yksi luottolaitosten liiketoiminnan keskeisistä tehtävistä111. Hallituksen esityksessä (HE 22/2022 vp, s. 9) on korostettu luottoriskien hallinnan keskeisyyttä rahoitusjärjestelmän vakauden turvaamisessa, sillä luottoriskit ovat yksittäisten luottolaitosten ja siten laajemmin koko rahoitussektorin yksi merkittävimmistä riskityypeistä. Yksittäiset luottolaitokset perustavat luottoanalyysinsä omaan luottoriskihalukkuuteen. Luottolaitoslaissa sekä EU-oikeudessa on kuitenkin säädetty luottoriskien hallinnan vaatimuksia, joilla pyritään turvaamaan riskienhallinnan asianmukaisuus sekä luottolaitosten vakavaraisuus. Myös Finanssivalvonnan luottoriskien hallintaan liittyvän ohjeistuksen 112 mukaan luottolaitoksilla on oltava 111 Finanssivalvonta, 2018, s. 9 112 Finanssivalvonta, 2018, s. 9–10 47 riittävät ja tehokkaat toiminnot luottoriskien tunnistamiseksi, mittaamiseksi, rajoittamiseksi, seuraamiseksi ja valvomiseksi. Hallitsemalla ja valvomalla luottoriskiä luottolaitos varmistaa sen pääomien riittävyyden suhteessa riskeihin sekä toteutuneista riskeistä aiheutuneisiin luottotappioihin.113 Luottolaitoslain 9 luvun 10 §:n mukaisesti luotonannon on perustuttava terveisiin ja selkeästi määriteltyihin perusteisiin, ja luotonmyöntöprosessista on oltava selkeät ja dokumentoidut sisäiset toimintaperiaatteet sekä menettelytavat. Luottolaitokset eivät siten voi luottoriskiä arvioidessaan turvautua yksinään ulkopuoliseen luottoluokitukseen. Finanssiala Ry:n mukaan pankkeihin kohdistuvat petokset ja huijaukset olivat edelleen kasvussa vuonna 2024. Yhteensä huijauksia tehtiin suomalaisille 107,2 miljoonan euron edestä, josta 44,3 miljoonaa euroa saatiin pysäytettyä ja palautettua pankkien toimesta. Vaikka pankit pyrkivät ehkäisemään petoksia, on digitalisaation kehitys mahdollistanut erilaisia huijausmenetelmiä. Asian yhteydessä korostettiin tehokkaan tietojenvaihdon merkitystä niin eri pankkien kuin viranomaistenkin välillä, ja Ry:n petos- ja rikostorjunnan vastaavan Niko Saxholmin mukaan tietojenvaihdon parantaminen onkin paras keino huijauksien kitkemiselle.114 Open financen sekä positiivisen luottotietorekisterin mahdollistamat kattavat ja ajantasaiset tiedot antavat luotonmyöntäjälle aikaisempaa tarkempaa tietoa luotonhakijan taloudellisesta tilanteesta. Mitä enemmän varmennettua tietoa luotonhakijasta on, sitä paremmin luottolaitokset voivat tuntea asiakkaansa. Luottolaitoksilla on Rahanpesulain (444/2017) nojalla velvollisuus tunnistaa ja tuntea asiakkaansa. Mitä paremmin asiakkaan tunteminen toteutuu, voivat epäilyttävä toiminta, petosyritykset sekä muut negatiivisesti luottopäätökseen vaikuttavat seikat ja riskit olla helpommin havaittavissa. Positiivinen luottotietorekisteri mahdollistaa esimerkiksi luotonhakijan tulojen ja muiden luottojen ajantasaisen tilanteen tarkistamisen, kun taas Open financen mahdollistaman tilitietopalvelun myötä luotonmyöntäjä voi tarkastella 113 Finanssivalvonta, 2018, s. 9–10 114 Virolainen, 2025 48 hakijan tilin tai tilien sisäistä rahaliikennettä siltä varalta, mikäli tilitapahtumista ilmenee epäselvää tai epäilyttävää toimintaa, kuten suuria määriä käteisnostoja tai -talletuksia. Myös Finanssivalvonta korostaa asiakkaan tuntemisen merkitystä, ja on määrännyt, että luotonantajan on hankittava luottoanalyysia varten riittävästi tietoa luotonhakijasta. Tilinpäätöstietojen, tulo- ja menotietojen sekä luottotietorekisterin ohelle nousseet Open Finance ja positiivinen luottotietorekisteri edesauttavat luotonhakijan taloudellisen aseman ja luottoriskin selvittämistä juurikin niiden mahdollistaman reaaliaikaisen tiedon toimesta.115 4.3 Automatisoinnin ja tekoälyn rooli luotonmyöntöprosessissa Luottopäätösten perustuessa yhä enemmän kerättyyn dataan, eivät perinteiset manuaaliset metodit välttämättä pysty vastaamaan suurten datamäärien riittävään hallintaan ja analysointiin. Tällöin voi ilmetä tarve automatisoiduille prosesseille sekä tekoälypohjaisille ratkaisuille.116 Finanssivalvonnan mukaan pankkitoimiala onkin yksi finanssisektorin suurimmista tekoälyn käyttäjistä, ja tekoälyn hyödyntämisen uskotaankin lisääntyvät lähivuosina myös asiakasrajapinnassa. Helmikuussa 2025 suoritetun kyselyn mukaan yleisin syy tekoälyn hyödyntämiselle pankkitoimialalla oli tiedon etsiminen ja siihen perustuvien yhteenvetojen tekeminen. Huomioitavaa on, että tekoälyyn keskeisesti pohjautuvan luottokelpoisuuden arvioinnin katsotaan olevan edelleen suuririskistä. Siitä huolimatta pankkisektorilla sekä kuluttajanluotonmyöntäjissä tällaisia tekoälyjärjestelmiä on jo käytössä tai niitä on suunnitteilla.117 Profiloinnilla tarkoitetaan yleisen tietosuoja-asetuksen (2016/769) 4 artiklan mukaisesti mitä tahansa henkilötietojen automaattista käsittelyä, jossa luonnollisen henkilön ominaisuuksia arvioidaan, analysoidaan ja ennakoidaan tämän henkilötietoja hyödyntämällä. Euroopan komission Data Protection Working Party, joka on sittemmin 115 Finanssivalvonta, 2018, s. 12 116 European Banking Authority, 2020, s. 11 117 Talvasto et al, 2025, s. 4, 26, 35 49 korvattu Euroopan tietosuojaneuvostolla, on ohjeessaan Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/769 (WP251rev.01) antanut suuntaviivat automatisoituun yksilöpäätöksentekoon ja profilointiin yleiseen tietosuoja-asetukseen pohjautuen. Ohjeessa todetaan, että luottopäätös voi perustua profilointiin tai yksinomaan automatisoituun päätöksentekoon, jossa voidaan puolestaan sekä hyödyntää että jättää hyödyntämättä profilointia. Sen mukaan profilointiin perustuvassa luottopäätösprosessissa luottopäätöksen tekee ihminen, esimerkiksi luotonantajan alaisuudessa toimiva työntekijä, perustuen automaattisesti tuotettuun profiiliin. Yksinomaan automatisoidussa päätöksenteossa puolestaan algoritmi tekee luottopäätöksen automaattisesti yksin ilman ihmisen tekemää arviointia. Niin sanotun Big datan118 analysointiin tarvitaan yhä enemmän edistynyttä analytiikkaa, jonka tekniikka pohjautuu usein tekoälyyn sekä koneoppimiseen. Edistynyt analytiikka auttaa suurten tietomäärien ymmärtämisessä ja sen hallinnassa, ja sitä voidaan hyödyntää esimerkiksi prosessien automatisointiin, ennusteiden ja suositusten tekemiseen sekä syvempien oivallusten löytämiseen. Luottolaitokset voivat hyödyntää esimerkiksi Open financen sekä Positiivisen luottotietorekisterin avulla kerättyjä tietoja riskipisteytykseen ja näin ollen luottokelpoisuuden arvioimiseen. 119 Luotonmyöntöprosessi voi olla kokonaan tai osittain automatisoitu120 . Luotonantajat hyödyntävät luottopäätöksisään usein esimerkiksi automaattista luottopisteytystä. Myös kerätyn dataan perustuvia tilastollisia analyysejä sekä niihin pohjautuvia ennusteita voidaan hyödyntää koneoppimismenetelmien avulla. 121 Mitä laajempia ja monipuolisempia tietolähteet ovat, sitä tarkempia algoritmien tekemistä päätelmistä saadaan. Tällaiset järjestelmät voivat mahdollistaa tarkemman arvioinnin luotonhakijan takaisinmaksukyvystä, ja täten antaa paremmat edellytykset oikean 118 Termillä viitataan tiedon keräämiseen, sekä sen tallennukseen, analysointiin ja soveltamiseen. Sen ominaispiirteitä ovat kerätyn tiedon määrän, nopeuden ja monimuotoisuuden kasvu (European Banking Authority, 2020, s. 12–13) 119 European Banking Authority, 2020, s. 11–13, 16–17, 19 120 Finanssivalvonta, 2018, s. 16–17 121 European Banking Authority, 2020, s. 20 50 luotonantopäätöksen tekemiseen. Automaattisia pisteytysmalleja hyödyntävät sekä perinteiset pankit ja luottolaitokset, että markkinoiden uudet toimijat kuten FinTech- yritykset122. Myös toimijoiden väliset yhteistyöt ovat yleistyneet.123 EBA:n mukaan koneoppiminen on yksi merkittävimmistä edistyneen analytiikan osa- alueista. Se hyödyntää algoritmeja suurten datamäärien analysoimiseen ja niistä löytyvien kuvioiden ja säännönmukaisuuksien tunnistamiseen oppimisprosessin avulla ilman erillistä ohjelmointia. Sen tarkoituksena on siis tehdä erinäisiä ennustusmalleja sekä päätöksiä kerättyyn data-aineistoon perustuen. Koneoppiminen mahdollistaa piilevien yhteyksien löytämisen, joka voi täten edesauttaa luottokelpoisuuden analysointia. 124 Open finance ja Positiivinen luottotietorekisteri luovat uusia mahdollisuuksia koneoppimisen sekä edistyneen analytiikan hyödyntämiselle, sillä niistä saatua reaaliaikaista tietoa voidaan yhdistää muihin lähteisiin saatuihin tietoihin, ja täten erilaiset koneoppimismallit saavat hyödynnettyä yhä tarkempaa tietoa analyysien ja luottoluokitusmallien tekemiseen. Tämä mahdollistaa dataohjatumman, mutta myös läpinäkyvämmän prosessin, sillä sieltä saatuja tietoa kontrolloidaan sekä viranomaisen että asiakkaan puolelta. EBA:n mukaan yleisimmät koneoppimismenetelmät luottoluokituksen arvioinnissa ovat esimerkiksi regressio- ja päätöspuumallit sekä tilastollinen analyysi. Automaattisissa luottoluokitusmalleissa koneoppimismenetelmien algoritmit opetetaan tunnistamaan suurista datajoukoista yleisiä sääntöjä, joista malli muodostaa havaintoja ja tekee niihin perustuvia ennusteita. EBA:n raportissa korostetaan eettisyyden, selitettävyyden, oikeudenmukaisuuden, jäljitettävyyden, tietosuojan sekä kuluttajansuojan periaatteiden merkitystä. Nämä ovat olennaisia seikkoja, jotka tulee huomioida automaattisten luottoluokitusmallien rakentamisessa. Toimiva luottoluokitusmalli ottaa 122 FinTech-yritykset eli finanssiteknologiayritykset hyödyntävät tietotekniikkaa ja teknologisia innovaatioita erilaisten finanssipalveluiden tarjoamiseen niin kuluttajille kuin rahoitusalalla toimiville yrityksille ja luottolaitoksille (Toivanen, 2015) 123 European Commission, 2021, s. 20 124 European Banking Authority, 2020, s. 14–15 51 huomioon nämä periaatteet, ja siksi luottoluokitusmallien käyttöönotto ei ole pelkästään teknologinen kysymys, vaan se edellyttää kokonaisvaltaista riskienhallintaa sekä sääntelyvaatimusten huomiointia 125 125 European Banking Authority, 2020, s. 20, 30, 35–42 52 5 Open financen ja Positiivisen luottotietorekisterin käytännön haasteista Rahoituksen ja finanssialan digitalisoitumiseen liittyy olennaisesti tekniikan mahdollistama yksityiskohtaisten henkilö- ja tapahtumatietojen kerääminen, tallentaminen, jakaminen sekä niiden hyödyntäminen luotonantopäätöksissä 126 . Digitalisaation kehitys on myös muovannut luotonmyöntäjien vastuuta sekä asiakkaiden oikeuksia. Kuten kappaleesta 4 Open finance ja positiivinen luottotietorekisteri osana luotonmyöntöprosessia käy ilmi, on Open financen ja Positiivinen luottotietorekisterin myötä luotonantajilla yhä laajempi ja tarkempi tietopohja luotonhakijan taloudellisen tilanteen ja luottokelpoisuuden selvittämiseksi. Ne ovat kuitenkin tuoneet mukanaan myös lisää velvollisuuksia liittyen datan keräämiseen, sen tulkintaan sekä asiakkaan oikeuksien turvaamiseen. Näistä velvollisuuksista sekä asiakkaan oikeuksista säädetään useassa eri laissa sekä EU-säädöksessä. Luottolaitoslaki (610/2014) velvoittaa luotonantajia toimimaan hyvän pankkitavan mukaisesti, läpinäkyvästi sekä huolellisesti. Se sisältää olennaisia velvoitteita luotonantajien riskienhallintaan ja luotonannon perusteisiin. Tutkielman kannalta olennaisimmaksi velvoitteeksi voidaan nostaa se, että laki velvoittaa luotonantajat perusteellisen luottokelpoisuusarvioinnin tekemiseen, johon Open financea sekä positiivista luottotietorekisteriä hyödynnetään. Kuluttajansuojalaki (38/1978) velvoittaa luottolaitokset arvioimaan kuluttajaluotonannoissa luotonhakijan todellista maksukykyä, sekä antamaan luotonhakijalle selkeät ja ymmärrettävät tiedot luoton ehdoista. Maksukyvyn arvioinnin tulee olla huolellista sekä ajantasaista, ja positiivinen luottotietolaki (739/2022) velvoittaakin luotonantajat tarkistamaan positiivisen luottotietorekisterin tiedon kuluttajaluottoja myöntäessään. Lisäksi se määrittää tiedot, jotka luotonantajien tulee ilmoittaa rekisteriin. Kansallisten lakien lisäksi yleinen tietosuoja-asetus (EU) 2016/679 velvoittaa luotonantajia toimimaan läpinäkyvästi, 126 OECD, 2018, s. 4 53 erityisesti automatisoidussa päätöksenteossa. Tietosuoja-asetus määrittelee myös sen, millä perustein luotonantajat voivat hyödyntää henkilötietoja. Edellä mainittujen lisäksi toinen maksupalveludirektiivi (EU) 2015/2366 velvoittaa luottolaitokset, kuten pankit, tarjoamaan rajapinnat, joiden kautta kolmannet osapuolet voivat saada asiakkaan suostumuksella pääsyn tämän tilitietoihin. Luotonhakijoille säädökset tuovat puolestaan erinäisiä oikeuksia. Luottolaitoslaki (610/2014) sekä kuluttajansuojalaki (38/1978) turvaavat luotonhakijan oikeuden riittävään sekä olennaiseen tiedonsaantiin. Ne siis korostavat luotonhakijan informaatio- ja tiedonsaantioikeutta, sekä oikeutta huolelliseen ja oikeudenmukaiseen luottoarviointiin. Positiivinen luottotietolaki (739/2022) puolestaan tuo luotohakijalle mahdollisuuden tarkistaa omat ajantasaisen taloudelliset tietonsa, sekä mahdollistaa tiedonsaannin siitä, mihin tarkoitukseen ja milloin rekisteritietoja on hyödynnetty. Mikäli tiedoissa esiintyy virheitä, on luotonhakijalla oikeus pyytää niiden korjaamista. Näiden lisäksi toinen maksupalveludirektiivi (EU)2015/2366, yleinen tietosuoja-asetus (EU) 2016/679 sekä tietosuojalaki (1050/2018) turvaavat luotonhakijan oikeuden tietosuojaan sekä suostumuksellisuuteen. Koska luotonmyöntö perustuu kerättyyn dataan, on tietojen hyödyntämiseen liittyvillä oikeuksilla, kuten omien tietojen kontrolloitavuudella, niiden tarkistamisella, sekä niihin liittyvällä läpinäkyvyydellä ja oikeudenmukaisuudella korostunut merkitys. Yleinen tietosuoja-asetus turvaa myös esimerkiksi luotonhakijan oikeuden olla joutumatta yksinomaan automaattiseen käsittelyyn perustuvaan luotonmyöntöprosessiin. Näiden oikeuksien sekä velvollisuuksien ristiriitaisuudet voivat konkretisoitua erityisesti tilanteissa, joissa luotoantajan tiedonsaantitarpeet ja asiakkaan tietosuojaoikeudet kohtaavat, kuten luotonmyöntöprosessissa. Haasteiksi on nostettu esimerkiksi datan laatuun ja vinoutumiseen, tietosuoja-asioihin sekä reilun päätöksenteon varmistamiseen liittyvät riskit. 127 Digitalisaation ja teknologian kehityksen tehostaessa tiedonsaantia, tiedon läpinäkyvyyttä sekä siihen perustuvaa analysointia, ovat ne kuitenkin myös 127 Talvasto et al, 2025, s. 4 54 herättäneet keskustelua datan vastuulliseen ja eettiseen hyödyntämiseen liittyen, ja aiheeseen liittyykin käytännön haasteita128. 5.1 Säädösten keskinäisiä ristiriitaisuuksia Henkilötietoja käsittelyä sääde