- Ehdotetut asetukset velvoittaisivat luottolaitoksia, maksulaitoksia ja sijoituspalveluyrityksiä luovuttamaan viranomaisten käyttöön laajoja, yksityiskohtaisia ja arkaluonteisia tietoaineistoja. FA pitää tärkeänä, että asetuksissa tai niiden antamiseen valtuuttavissa laeissa myös selkeästi määriteltäisiin, mihin tarkoituksiin, missä laajuudessa ja millä tavoin viranomaiset saavat niitä käsitellä.
- FA pitää myös tarpeellisena selvittää, voidaanko luovutettavat aineistot turvaluokitella ja näin suojata tavalla, joka vastaa niiden arkaluonteisuutta ja kriittisyyttä luovuttajalleen.
- Perustelumuistiossa arvioidaan, ettei ehdotuksella olisi finanssiyrityksiin merkittäviä taloudellisia tai toiminnallisia vaikutuksia. FA pitää johtopäätöstä oikeutettuna vain, jos tietoaineistojen luovutuksista ja jatkokäsittelystä aiheutuva riski arvioidaan merkityksettömäksi.
VN/27729/2024
Finanssiala ry:n lausunto luonnoksista DORA-muutosdirektiivin täytäntöönpanoa koskeviksi valtiovarainministeriön asetuksiksi
Valtiovarainministeriö on 2.10.2024 pyytänyt Finanssiala ry:n (FA) lausuntoa luonnoksista DORA-muutosdirektiivin täytäntöönpanoa koskeviksi valtiovarainministeriön asetuksiksi.
Asetusluonnokset velvoittaisivat luottolaitoksia, maksulaitoksia, sijoituspalveluyrityksiä ja kriisinratkaisulaissa (1194/2014) tarkoitettuja konserneja luovuttamaan viranomaisten käyttöön laajoja ja yksityiskohtaisia tietoaineistoja, jotka ovat arkaluonteisia, luottamuksellisia ja luovuttajansa liiketoiminnan jatkuvuudelle, turvallisuudelle ja häiriönsietokyvylle kriittisiä. Rikollisten tai vihamielisen valtiollisen toimijan käsiin joutuessaan tällaiset tietoaineistot ovat vaarallisia sekä niitä luovuttaneelle finanssiyritykselle, sen asiakkaalle että vakavimmillaan koko kansalaisyhteiskunnan häiriöttömälle toiminnalle.
FA pitää tärkeänä, että asetuksissa tai niiden antamiseen valtuuttavissa laeissa määriteltäisiin selkeästi ja tarkkarajaisesti, mihin tarkoituksiin, missä laajuudessa ja millä tavoin viranomaiset saavat tietoaineistoja käsitellä. Aineistojen arkaluonteisuus ja kriittisyys huomioon ottaen olettamus tai edes yleisluonteinen maininta tietojen käsittelystä virkavastuulla ei FA:n arvion mukaan ole riittävä.
FA pitää selvänä, että käsittelyn tulee rajoittua vain valtuuttavissa laeissa nimenomaisesti määriteltyihin tarkoituksiin, poisluettuina kuitenkin käyttötarkoitukset, jotka eivät välittömästi perustu asianomaisten lakien perustana olevaan Euroopan unionin lainsäädäntöön. Luovutettuja tietoaineistoja ei myöskään tule käsitellä laajemmin kuin on välttämätöntä käyttötarkoituksen kannalta.
Käsittelytapojen osalta FA kiinnittää huomiota finanssisektorin huoltovarmuuskriittisyyteen ja yksittäisten toimijoiden systeemiseen merkitykseen maan sisäisen maksuliikkeen ja arvopaperikaupan toiminnalle. Ottaen lisäksi huomioon aineistojen arkaluonteisuus ja kriittisyys luovuttajalleen, FA pitää perusteltuna, että viranomaisille luovutettavat tietoaineistot luokiteltaisiin suoraan asetusten nojalla tiedonhallintalain (906/2019) 18 §:n 1 momentin nojalla turvallisuusluokitteluasetuksen (1101/2019) 3 §:n 1 momentissa tarkoitettuun turvaluokkaan I (erittäin salainen) tai II (salainen).
Tiedonhallintalain 18 §:n 1 momentin nojalla turvallisuusluokkaa koskeva merkintä on tehtävä, jos asiakirja tai siihen sisältyvä tieto on salassa pidettävä julkisuuslain (621/1999) 24 §:n 1 momentin 2, 5 tai 7–11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa mm. poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, valtion- ja kansantalouden toimivuudelle tai muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle. Pykälässä viitattuja salassa pidettäviä tietoja ovat mm. laitosten ja tieto- ja viestintäjärjestelmien turvajärjestelyjä sekä poikkeusoloihin varautumista koskevat asiakirjat eli tiedot, jotka muodostavat keskeisen osan asetusluonnosten perusteella viranomaisille luovutettavista aineistoista.
Mikäli luottolaitosten, maksulaitosten, sijoituspalveluyritysten ja konsernien luovutettaviksi määrättävien tietoaineistojen ei katsottaisi täyttävän tiedonhallintalain 18 §:n 1 momentin soveltamisen edellytyksiä, FA katsoo, että aineistojen tietoturvallinen ja lainmukainen käsittely tulee turvata erillisillä säännöksillä, jotka tulee laatia niin, että tietoaineistojen luovuttajalla on mahdollisuus ennen luovutusta arvioida ja varmistua käsittelyn asianmukaisuudesta ja turvallisuudesta
Lopuksi FA kiinnittää huomiota esittelymuistion kohdan 3 vaikutustenarviointiin, jossa arvioidaan, ettei ehdotuksella olisi luottolaitoksiin, sijoituspalveluyrityksiin ja maksulaitoksiin merkittäviä taloudellisia tai toiminnallisia vaikutuksia. Johtopäätös on oikeutettu, jos tietoaineistojen luovutuksista ja jatkokäsittelystä viranomaisissa aiheutuva riski arvioidaan merkityksettömän vähäiseksi.
FINANSSIALA RY
Taina Ahvenjärvi
Jäikö kysyttävää?
|Ota yhteyttä aiheen asiantuntijaan