Tilitoimistoihin kohdistuva sääntely : rahanpesulaki ja GDPR
Vainikainen, Liisamari (2021)
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021110519341
https://urn.fi/URN:NBN:fi:amk-2021110519341
Tiivistelmä
Opinnäytetyö käsittelee tilitoimistoihin kohdistuvaa sääntelyä rahanpesulain sekä EU:n tietosuoja-asetuksen GDPR:n muodossa. Aloite opinnäytetyöhön tuli toimeksiantajana toimivalta tilitoimistolta. Työn tavoitteena oli selvittää rahanpesulain ja GDPR:n tärkeimmät lainsäädännölliset velvoitteet tilitoimistojen näkökulmasta sekä tarjota yleiskatsaus näihin teemoihin. Työn kehittämistehtäviä oli kaksi. Ensimmäinen oli luoda tilannekatsaus toimeksiantajan käyttämästä, uudelleen aktiiviseen käyttöön ottamasta myGDPR-palvelusta käymällä läpi palveluun vastatut lähtötietoselvityskysymykset, kommentoimalla niitä GDPR:n näkökulmasta sekä antaa toimenpide-ehdotuksia. Toisessa tehtävässä arvioin toimeksiantajayrityksen rahanpesulakiin liittyvän ohjeistuksen päivittämistarvetta. Nämä kehittämistehtävät jäivät työn salattavaan tausta-aineistoon.
Opinnäytetyön tietoperusta koostuu kirjanpitoa, talousrikoksia ja rahanpesulakia sekä EU:n yleistä tietosuoja-asetusta käsittelevistä pääluvuista. Rahanpesulakia ja GDPR:ää käsittelevien lukujen viimeiset alaluvut on omistettu lakia/asetusta soveltaville viranomaisten ja tilitoimistoalan asian-tuntijoiden ohjeille. Opinnäytetyön julkisen osan tutkimusmenetelmänä oli lainopilliseen lähdeaineiston tulkintaan perustuva dokumenttianalyysi. Tärkeimpinä lähteinä toimivat lait ja asetukset, – erityisesti rahanpesulaki, GDPR, rikoslaki ja kirjanpitolaki - hallituksen esitykset, viranomaisten (erityisesti aluehallintoviraston) ohjeet sekä lähdekirjallisuus.
Rahanpesulain tärkeimpiä velvoitteita tilitoimistoille ovat rahanpesun riskejä kuvaavan riskiarvion laadinta, asiakkaan tuntemiseen ja tunnistamiseen liittyvät velvoitteet, asiakkaan tosiasiallisten edunsaajien tunnistaminen, selonottovelvollisuus asiakkaasta sekä ilmoitusvelvollisuus epäilyttävästä liiketoimesta. Lisäksi laki edellyttää sisäisten toimintaohjeiden laatimista, henkilökunnan kouluttamista sekä työtekijöiden suojelua rahanpesusta ilmoittaessa. Erityisesti riskiarvion laadinta ja jatkuva selonottovelvollisuus voivat olla tilitoimistoille työläitä toteuttaa. GDPR:ään liittyen tilitoimiston vastuut ja velvoitteet määräytyvät asiakkaan eli rekisterinpitäjän ja tilitoimiston eli henkilötietojen käsittelijän välisessä tietosuojasopimuksessa, jossa sovitaan, että tilitoimisto käsittelee tietoja ainoastaan asiakkaan ohjeiden mukaisesti. Lisäksi sovitaan esimerkiksi alihankinta- ja salassa-pitosopimuksista ja tietoturvaan liittyvistä toimenpiteistä. Muita GDPR:n velvoitteita ovat muun muassa selosteen laatiminen käsittelytoimista ja tietoturvaloukkauksista ilmoittaminen rekisterinpitäjälle. Tilitoimistolla on velvollisuus avustaa asiakastaan rekisterinpitäjän velvollisuuksien toteuttamisessa ja tämä edellyttää laajaa dokumentaatiota myös tilitoimistolta.
Sekä rahanpesulaki että GDPR ovat tuoneet uusia velvoitteita tilitoimistoille, ja molempien noudattaminen edellyttää asiakkaan tilanteen tuntemista sekä riskien arviointia. Molemmat ovat edelleen ajankohtaisia aiheita, sillä ne edellyttävät toimintojen jatkuvuutta ja ohjeistusten päivittämistä. The topic of this thesis is the Act on Preventing Money Laundering and Terrorist Financing and the EU General Data Protection Regulation from an accounting firm’s perspective. The aim of the thesis was to find out the most important obligations of these regulations for an accounting firm. Moreover, another aim was to provide a present situation analysis and proposals for action of the myGDPR service for the case company. Additionally, the need for updating the case
company’s internal instructions regarding the Act on Preventing Money Laundering was analysed.
The theory of the thesis is based on the Act on Preventing Money Laundering and Terrorist
Financing and other legislation regarding money laundering, the EU General Data Protection
Regulation and accounting legislation. The thesis method is jurisprudence and primary sources
consist of laws, law drafting documents and directions of the authorities. Literature and writings on accounting, financial crimes, money laundering and data protection were also used.
The most significant obligations of the Act on Preventing Money Laundering are preparing a risk assessment regarding the risks of money laundering and terrorist financing, customer due
diligence and customer identification, obtaining customer due diligence data and ongoing
monitoring, the identification of the beneficial owners and obligation to report suspicious
transactions. Some of these obligations can be arduous tasks for an accounting firm, in particular the risk assessment since the accounting firm has to identify risks concerning the business
environments of both its own and its customers’.
According to GDPR, the accountant firm can usually be interpreted as a data processor, whose obligations are governed by a contract between the accountant office and its customer (as known as a data controller). The most important thing to take into account is that the processor shall
process the personal data only on documented instructions from the controller. The contract also defines subcontracts and confidentiality agreements, for example. The processor may have
laborious obligations to assist the controller to fullfill its obligations and this can require
large-scale documentation.
In conclusion, both of this legislation introduced many new obligations to accounting firms. It is essential for these firms to know their customers and to analyse the risks of their
business environment.
Opinnäytetyön tietoperusta koostuu kirjanpitoa, talousrikoksia ja rahanpesulakia sekä EU:n yleistä tietosuoja-asetusta käsittelevistä pääluvuista. Rahanpesulakia ja GDPR:ää käsittelevien lukujen viimeiset alaluvut on omistettu lakia/asetusta soveltaville viranomaisten ja tilitoimistoalan asian-tuntijoiden ohjeille. Opinnäytetyön julkisen osan tutkimusmenetelmänä oli lainopilliseen lähdeaineiston tulkintaan perustuva dokumenttianalyysi. Tärkeimpinä lähteinä toimivat lait ja asetukset, – erityisesti rahanpesulaki, GDPR, rikoslaki ja kirjanpitolaki - hallituksen esitykset, viranomaisten (erityisesti aluehallintoviraston) ohjeet sekä lähdekirjallisuus.
Rahanpesulain tärkeimpiä velvoitteita tilitoimistoille ovat rahanpesun riskejä kuvaavan riskiarvion laadinta, asiakkaan tuntemiseen ja tunnistamiseen liittyvät velvoitteet, asiakkaan tosiasiallisten edunsaajien tunnistaminen, selonottovelvollisuus asiakkaasta sekä ilmoitusvelvollisuus epäilyttävästä liiketoimesta. Lisäksi laki edellyttää sisäisten toimintaohjeiden laatimista, henkilökunnan kouluttamista sekä työtekijöiden suojelua rahanpesusta ilmoittaessa. Erityisesti riskiarvion laadinta ja jatkuva selonottovelvollisuus voivat olla tilitoimistoille työläitä toteuttaa. GDPR:ään liittyen tilitoimiston vastuut ja velvoitteet määräytyvät asiakkaan eli rekisterinpitäjän ja tilitoimiston eli henkilötietojen käsittelijän välisessä tietosuojasopimuksessa, jossa sovitaan, että tilitoimisto käsittelee tietoja ainoastaan asiakkaan ohjeiden mukaisesti. Lisäksi sovitaan esimerkiksi alihankinta- ja salassa-pitosopimuksista ja tietoturvaan liittyvistä toimenpiteistä. Muita GDPR:n velvoitteita ovat muun muassa selosteen laatiminen käsittelytoimista ja tietoturvaloukkauksista ilmoittaminen rekisterinpitäjälle. Tilitoimistolla on velvollisuus avustaa asiakastaan rekisterinpitäjän velvollisuuksien toteuttamisessa ja tämä edellyttää laajaa dokumentaatiota myös tilitoimistolta.
Sekä rahanpesulaki että GDPR ovat tuoneet uusia velvoitteita tilitoimistoille, ja molempien noudattaminen edellyttää asiakkaan tilanteen tuntemista sekä riskien arviointia. Molemmat ovat edelleen ajankohtaisia aiheita, sillä ne edellyttävät toimintojen jatkuvuutta ja ohjeistusten päivittämistä.
company’s internal instructions regarding the Act on Preventing Money Laundering was analysed.
The theory of the thesis is based on the Act on Preventing Money Laundering and Terrorist
Financing and other legislation regarding money laundering, the EU General Data Protection
Regulation and accounting legislation. The thesis method is jurisprudence and primary sources
consist of laws, law drafting documents and directions of the authorities. Literature and writings on accounting, financial crimes, money laundering and data protection were also used.
The most significant obligations of the Act on Preventing Money Laundering are preparing a risk assessment regarding the risks of money laundering and terrorist financing, customer due
diligence and customer identification, obtaining customer due diligence data and ongoing
monitoring, the identification of the beneficial owners and obligation to report suspicious
transactions. Some of these obligations can be arduous tasks for an accounting firm, in particular the risk assessment since the accounting firm has to identify risks concerning the business
environments of both its own and its customers’.
According to GDPR, the accountant firm can usually be interpreted as a data processor, whose obligations are governed by a contract between the accountant office and its customer (as known as a data controller). The most important thing to take into account is that the processor shall
process the personal data only on documented instructions from the controller. The contract also defines subcontracts and confidentiality agreements, for example. The processor may have
laborious obligations to assist the controller to fullfill its obligations and this can require
large-scale documentation.
In conclusion, both of this legislation introduced many new obligations to accounting firms. It is essential for these firms to know their customers and to analyse the risks of their
business environment.