Tietosuojavaltuutettu antoi Verohallinnolle huomautuksen liian laajoista tietopyynnöistä
Tietosuojavaltuutetun toimiston tutkinnassa kävi ilmi, että Verohallinto oli pyytänyt pankeilta tietoja kaikista Suomen rajat ylittävistä tilisiirroista vuosina 2015–2021. Tietopyynnöt kattoivat muun muassa ulkomaisissa kaupoissa ja verkkokaupoissa pankkikortilla maksetut ostokset. Huomautuksen lisäksi tietosuojavaltuutettu määräsi Verohallinnon poistamaan tietosuoja-asetuksen vastaisesti käsitellyt henkilötiedot ja lopettamaan liian laajojen tietopyyntöjen esittämisen pankeille.
Verohallinto esitti tietopyyntöjä rajat ylittävistä tilisiirroista Suomessa toimiville pankeille. Rajat ylittävillä tilisiirroilla tarkoitetaan lähteviä ja saapuvia maksuja, joissa maksajan tai saajan pankki sijaitsee muualla kuin Suomessa. Tietopyynnöt kattoivat myös tilin käyttöön liittyvillä maksukorteilla tehdyt rajat ylittävät maksut, kuten ulkomaan matkoilla tai ulkomaisissa verkkokaupoissa pankkikortilla maksetut ostokset. Verohallinto pyysi pankkeja toimittamaan muun muassa maksun määrän, päivämäärän sekä asiakkaiden yhteystietoja. Tietoaineistot pyydettiin verovalvonnan tekemistä varten.
Verohallinto ei rajannut tietopyyntöjä esimerkiksi tilitapahtumien suuruuden perusteella tai huomioinut lapsia erityistä suojaa tarvitsevana ryhmänä. Tietosuojavaltuutettu katsoi tietopyyntöjen kattaneen merkittävän osan pankkien asiakasrekistereistä tietopyynnön luonteen ja tilinomistajien määrän perusteella. Esimerkiksi vuoden 2018 osalta kolme suurinta pankkien Verohallinnolle toimittamaa tietoaineistoa käsitti yhteensä noin 17 860 000 tilitapahtumaa. Tilinomistajien lukumäärän kannalta kolme suurinta aineistoa koski noin 880 000 tilinomistajaa, joista noin 85 prosenttia on ollut yksityishenkilöitä.
Tietosuojavaltuutettu katsoo, että Verohallinto ei ole huomioinut riittävästi henkilötietojen käsittelyyn liittyviä riskejä. Kun käteisen rahan käytöstä on siirrytty yhä enemmän pankkitilin välityksellä tapahtuvaan maksuliikenteeseen, henkilön yksityiselämästä voi saada aiempaa yksityiskohtaisemman kuvan tilitapahtumien perusteella.
Viranomaisen toimivallan rajaamisesta on huolehdittava tarkasti
”Vaikka Verohallinnon päämäärä on ollut tärkeä, viranomaisen toimivalta on rajattava tarkasti ihmisten yksityisyyttä koskevissa asioissa”, tietosuojavaltuutettu Anu Talus toteaa. ”Viranomaisen rajattu toimivalta on yksi oikeusvaltion keskeisistä kulmakivistä ja sen merkitys on vain korostunut maailmanpoliittisten kriisien keskellä”, Talus painottaa.
Henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä käyttötarkoituksen eli tässä tapauksessa verovalvonnan toteutumiseksi. Verohallinto on aineistot saatuaan rajannut tutkittavia tilitapahtumia tarkempien kriteerien perusteella. Tietosuojavaltuutettu katsoo, että Verohallinto olisi voinut rajata pyytämiään tietoja jo etukäteen.
Tietosuojavaltuutettu arvioi Verohallinnon edellytyksiä poiketa tietosuojaperiaatteista
Verohallinto on perustellut tietopyyntöjen laajuutta muun muassa verotustietojen julkisuudesta ja salassapidosta annetun lain 10 §:llä. Pykälän mukaan Verohallinto saa käsitellä tiettyä verotusasiaa varten saamiaan ja laatimiaan verotustietoja muidenkin lainmukaisten tehtävien suorittamiseksi henkilötietojen suojaa ja asiakirjojen salassapitoa koskevien säännösten estämättä.
Lainsäädännössä on mahdollista rajata eräitä tietosuoja-asetuksen mukaisia velvoitteita verotukseen liittyvillä perusteilla. Tietosuojavaltuutettu kuitenkin katsoo, että Verohallinto ei voi poiketa tietojen minimointiperiaatteesta tai muista yleisen tietosuoja-asetuksen mukaisista periaatteista kyseisen säännöksen nojalla, koska poikkeuksessa ei ole säädetty rajoitusten laajuudesta tai yksilöity olosuhteita, joissa rajoituksia voidaan soveltaa.
Käytännössä kyseiseen säännökseen nojautuminen tarkoittaa, että Verohallinto voisi käsitellä pankkien laajasti luovuttamia, esimerkiksi ostotietoja sisältäviä aineistoja myös muihin tarkoituksiin kuin niihin, joihin se on tietoja pyytänyt. Tietosuojavaltuutettu kiinnitti huomiota myös siihen, ettei eduskunnan perustuslakivaliokunta ole arvioinut säännöstä. Asia on saatettu valtiovarainministeriön tietoon mahdollisten lainsäädännön muutostarpeiden arvioimista varten.
Päätös ei ole vielä lainvoimainen. Siihen voi hakea muutosta valittamalla hallinto-oikeuteen.
Tietosuojavaltuutetun päätös 3681/186/21 (pdf)
Lisätietoja:
tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766
tietosuojavaltuutetun toimiston viestintä, viestinta.tietosuoja(at)om.fi
viestintäsuunnittelija Sara Jaakonmäki, puh. 029 566 6764
viestintäasiantuntija Elina Autio, puh. 029 566 6705