Behandling av personuppgifter i registret över bank- och betalkonton och i sammanställningsprogrammet

Grund för behandling av personuppgifter

Behandlingen av personuppgifter grundar sig på lagen om ett övervakningssystem för bank- och betalkonton (571/2019).

Rättslig grund:

  • Lagen om ett övervakningssystem för bank- och betalkonton, 4–6 § och 7 a §. 

Ändamålet med behandlingen av personuppgifter

Syftet med lagen om ett övervakningssystem för bank- och betalkonton är att främja myndigheternas elektroniska tillgång till information om bank- och betalkonton och effektivera myndigheternas förfrågningar så att de riktas rätt bl.a. vid förebyggande, avslöjande och utredning av allvarliga brott. Övervakningssystemet för bank- och betalkonton kan bara användas av de behöriga myndigheter som nämns i lagen, om det är nödvändigt för utförande av deras uppgifter och om myndigheten enligt någon annan lag har rätt att få åtkomst till den information som nämns i lagen om ett övervakningssystem för bank- och betalkonton. De behöriga myndigheterna och för vilket ändamål informationen kan användas förtecknas i punkten Regelbundet utlämnande av personuppgifter nedan.

Tullen är personuppgiftsansvarig för registret över bank- och betalkonton och förvaltar registret samt ansvarar för att de uppgifter som förts in i registret förmedlas till behöriga myndigheter genom ett sammanställningsprogram. Syftet med registret över bank- och betalkonton är att ta emot och lagra uppgifter samt lämna ut uppgifter som avses i lagen och lagrats i kontoregistret.   

Sammanställningsprogrammet är en automatiserad teknisk lösning som förmedlar behöriga myndigheters begäranden om uppgifter till bl.a. bank- och betalkontoregistret samt överför de uppgifter som tagits emot från registret till behöriga myndigheter enligt begäran om uppgifter. Uppgifterna i fråga förtecknas i punkten Personuppgiftskategorier nedan. 

Källor till personuppgifter

Registret över bank- och betalkonton

Uppgifter till registret över bank- och betalkonton lämnas av betalningsinstitut, institut för elektroniska pengar, tillhandahållare av virtuella valutor och av kreditinstitut som fått Finansinspektionens tillstånd till avvikelse. Dessa aktörer ansvarar för att de uppgifter som de lämnar för att föras in i registret över bank- och betalkonton är korrekta och att rättelser görs utan ogrundat dröjsmål. Nya uppgifter och information om ändringar i befintliga uppgifter ska lämnas till registret över bank- och betalkonton senast följande bankdag. Uppgifterna lämnas ut trots sekretessbestämmelserna och andra begränsningar som gäller erhållande av information.

Regelbundet utlämnande av personuppgifter

Tullens uppgift är att lämna ut uppgifter från registret över bank- och betalkonton till behöriga myndigheter genom sammanställningsprogrammet. Uppgifterna får lämnas ut oberoende av vad som i artikel 18.1 a i EU:s allmänna dataskyddsförordning  föreskrivs om den registrerades rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av personuppgifter. 

Begäranden om uppgifter samt innehållet i svaren på dem, förmedlade genom sammanställnings-programmet, är sekretessbelagda. 

Följande behöriga myndigheter har rätt att få åtkomst till informationen i övervakningssystemet för bank- och betalkonton, om detta är nödvändigt för fullgörandet av följande uppgifter och myndigheten enligt någon annan lag har rätt att få åtkomst till den nämnda informationen:

  1. polisen, centralen för utredning av penningtvätt, Tullen och Gränsbevakningsväsendet för att förebygga, upptäcka och utreda brott som avses i bilaga I till Europolförordningen (Europaparlamentets och rådets förordning (EU) 2016/794 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF); 
  2. Skatteförvaltningen a) för inriktande av den skyldighet att lämna uppgifter som avses i 19 § i lagen om beskattningsförfarande (1558/1995), b) för ett syfte enligt 3 § i lagen om det nationella genomförandet av de bestämmelser som hör till området för lagstiftningen i rådets direktiv om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EEG samt om tillämpning av direktivet (185/2013);
  3. Tullen för inriktande av den skyldighet att lämna uppgifter som avses i 102 § 2 mom. i tullagen (304/2016) för beskattning, skattekontroll och förundersökning och för uppgifter i anslutning till förhindrande och avslöjande av tullbrott som avses i 1 kap. 2 § 3 och 4 punkten i lagen om brottsbekämpning inom Tullen (623/2015);
  4. utsökningsmyndigheterna för sådan verkställighet som avses i utsökningsbalken (705/2007);
  5. Finansinspektion, Polisstyrelsen, Patent- och registerstyrelsen, regionförvaltningsverket och advokatföreningen för utförandet av en sådan övervakningsuppgift som avses i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017, nedan kallad penningtvättslagen);
  6. centralen för utredning av penningtvätt för skötseln av uppgifter enligt 2 § 1 mom. 1–4, 7 och 8 punkten i lagen om centralen för utredning av penningtvätt (445/2017);
  7. polisen och gränsbevakningsväsendet, information som behövs för förebyggande, avslöjande och utredning av brott samt för förande av brott till åtalsprövning och upprätthållande av den nationella säkerheten, och polisen, information som behövs för utförande av i lagen om penninginsamlingar (863/2019) avsedd övervakning i samband med penninginsamlingar samt för polisundersökning enligt 6 kap. i polislagen (872/2011), om ett viktigt allmänt eller enskilt intresse kräver det;  
  8. Försvarsmakten för förebyggande, avslöjande och utredning av brott som avses i lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) samt i enlighet med 104 § i lagen om militär underrättelseverksamhet (590/2019), 
  9. Finansinspektionen för skötseln av uppgifter enligt i 3 § i lagen om Finansinspektionen (878/2008).

Personuppgiftskategorier

Registret över bank- och betalkonton

I registret över bank- och betalkonton införs följande uppgifter om sådana kunder hos betalningsinstitut, institut för elektroniska pengar och tillhandahållare av virtuella valutor som enligt 3 kap. 2 § i penningtvättslagen ska identifieras:

  1. fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot samt kunderna hos en tillhandahållare av virtuella valutor eller, om kontoinnehavaren eller en kund hos en tillhandahållare av virtuella valutor är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt alla hos den juridiska personen som har rätt att använda kontot och sådana uppgifter om dem som ovan nämns för fysiska personer; (7.5.2021/378)
  2. datum när kundrelationen har börjat och upphört;
  3. i fråga om betalkonton IBAN-nummer eller annat identifikationssignum.

Om ett kreditinstitut av Finansinspektionen beviljats ett i 4 § 1 mom. avsett tillstånd att avvika från skyldigheten att administrera ett datasöksystem, ska följande uppgifter införas i registret över bank- och betalkonton:

  1. fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap för kontoinnehavaren och den som har rätt att använda kontot eller, om kontoinnehavaren är en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet, datum då kundrelationen har börjat och upphört, samt alla hos den juridiska personen som har rätt att använda kontot och sådana uppgifter om dem som ovan nämns för fysiska personer; (29.10.2020/730)
  2. fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för de verkliga förmånstagare som avses i 1 kap. 5–7 § i penningtvättslagen;
  3. i fråga om bank- och betalkonton IBAN-nummer eller annat identifikationssignum samt datum för öppnande och avslutande av kontot;
  4. fullständigt namn, födelsetid och finsk personbeteckning eller, om sådan saknas, medborgarskap, för den som hyr ett bankfack och den som har användningsrätt till det eller, om det är fråga om en juridisk person, dess fullständiga namn, registernummer, registreringsdag och registermyndighet samt identifieringsuppgifter om bankfacket och hyrestidens längd.

I samband med gemensamma konton som förvaltas av en advokat ska det uttryckligen antecknas att bank- eller betalkontot är ett gemensamt konto som förvaltas av en advokat och som omfattas av tystnadsplikten för advokater. Uppgifter om gemensamma konton som förvaltas av en advokat får inte lämnas ut via registret utan bara uppgiften om att det är fråga om ett gemensamt konto som förvaltas av en advokat samt om vilken advokat som förvaltar kontot.

Sammanställningsprogram

Tullen förmedlar med sammanställningsprogrammet ovannämnda uppgifter som sparats i registret över bank- och betalkonton samt uppgifter som avses i 4 § i lagen om ett övervakningssystem för bank- och betalkonton till de behöriga myndigheter som gjort en begäran om uppgifter i datasöksystem.

Tidsfrister för lagring och radering av personuppgifter

Uppgifterna i registret över bank- och betalkonton avförs ur registret tio år efter att giltigheten för den grund på vilken uppgifterna förts in i registret har upphört. 

Behandlingen av personuppgifter i sammanställningsprogrammet sker automatiskt. Uppgifter som lämnats ut genom sammanställningsprogrammet ska raderas ur programmet omedelbart efter att uppgifterna har lämnats ut.

Logguppgifterna ska bevaras under det innevarande året och de fem följande åren, utom i det fall att de behövs i ett pågående tillsynsärende. 
 
Den registrerades rätt till insyn

Registret över bank- och betalkonton

Den registrerades rätt till insyn omfattar uppgifterna i kontoregistrets databas.  

Sammanställningsprogrammet

När uppgifter behandlas med sammanställningsprogrammet har den registrerade inte åtkomst till uppgifterna och inte heller rätt till insyn. 

Om utövande av den registrerades rättigheter via dataombudsmannen bestäms i 29 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018) och i 34 § i dataskyddslagen (1050/2018). En begäran om utövande av rättigheter ska framställas till dataombudsmannen eller till Tullen med iakttagande av 35 § 2 mom. i lagen om behandling av personuppgifter inom Tullen (650/2029). En begäran som framställts till Tullen ska tillställas dataombudsmannen utan dröjsmål. 

Personuppgiftsansvarig

Den personuppgiftsansvariges kontaktperson och mera information:

Esko Hirvonen 
esko.hirvonen(at)tulli.fi