Virtuaalivaluuttoja säännellään sekä EU-tasolla että kansallisesti. Sääntely on kuitenkin vielä kesken, ja sitä vähemmän kuin muilla finanssialan toimijoilla.
Euroopan parlamentin ja Euroopan neuvoston asetuksessa (EU 679/2016) luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta, myöhemmin tietosuoja-asetus, säädetään EU-alueen yleisestä tietosuojasta.
Asetuksen johdanto-osan 1 kohdan ensimmäisen alakohdan mukaan luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä on perusoikeus. Samalla tässä kohdassa tähdennetään, että Euroopan unionin perusoikeuskirjan, jäljempänä perusoikeuskirja, 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan.
Toisen alakohdan mukaan niissä periaatteissa ja säännöissä, jotka koskevat luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä, olisi heidän kansalaisuudestaan ja asuinpaikastaan riippumatta otettava huomioon heidän perusoikeutensa ja -vapautensa ja erityisesti oikeus henkilötietojen suojaan. Tässä kohdassa jatketaan vielä painottamalla asetuksen tarkoitusta, joka on tukea vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä, talouksien lujittamista ja lähentämistä sisämarkkinoilla sekä luonnollisten henkilöiden hyvinvointia.
Toisen artiklan mukaan asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
Kansallinen sääntely ei tuo virtuaalivaluuttoja sijoittajansuojan piiriin
Kansallisessa lainsäädännössä tietosuojasta säädetään Suomen perustuslain (731/1999) 10 §:ssä sekä tietosuojalaissa (2018/1050), jolla kansallisesti täsmennetään tietosuoja-asetusta. Tietosuojalain 2 luvussa on eritelty yleisistä oikeusperusteista ja 5 luvussa erityistilanteista.
Koska virtuaalivaluuttoja tarjoavat palvelut joutuvat työssään käsittelemään asiakkaidensa henkilötunnuksia. Näin ollen voidaan olettaa, että siinä tapauksessa edettäisiin tietosuojalain 5 luvun 29.1§:n mukaan, jolloin henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai jos käsittelystä säädetään laissa.
Tietosuojalain 29 §:n 1 momentin mukaan henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää laissa säädetyn tehtävän suorittamiseksi, silloin rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi tai historiallista tai tieteellistä tutkimusta taikka tilastointia varten.
Tässä laissa ei ole kuitenkaan erityisesti säädetty virtuaalivaluuttojen tarjoajien henkilötietojen käsittelystä, joten on todennäköistä, että esimerkiksi henkilötunnusta voitaisiin lähtökohtaisesti näin ollen käsitellä rekisteröidyn suostumuksella, mutta tästä ei ole täyttä varmuutta. Myöskään virtuaalivaluuttalaissa (572/2019) ei ole tämän lisäksi asetettu riskienhallinnalle lainsäädännöllisiä vaatimuksia.
Valvonnasta ja rekisteröinnistä huolimatta virtuaalivaluuttojen ominaispiirteet sekä virtuaalivaluuttasijoittamiseen liittyvät riskit pysyvät ennallaan.
Virtuaalivaluutoille ei ole myöskään asetettu pääomavaatimuksia. Virtuaalivaluutan tarjoajiin kohdistuva sääntely ja valvonta onkin muihin finanssialan toimijoihin verrattuna selkeästi vähäisempää. Sääntely ei myöskään tuo virtuaalivaluuttoja sijoittajansuojan piiriin.
Valvonnasta ja rekisteröinnistä huolimatta virtuaalivaluuttojen ominaispiirteet sekä virtuaalivaluuttasijoittamiseen liittyvät riskit pysyvät ennallaan. Puolestaan tietosuojaan liittyviä riskejä voi olla esimerkiksi virtuaalivaluuttojen vaihtopaikkoihin, virtuaalivaluuttalompakkoihin sekä -lompakkopalvelun tarjoajiin tai erityisesti näiden tekniseen kokonaisuuden hallintaan liittyvät uhat.
Näin ollen kansallisessa sääntelyssä on virtuaalivaluuttoihin liittyen selvästi vielä paljon tietosuojakysymyksiin liittyviä puutteita, jotka todennäköisesti tulevat jatkossa parantumaan, kun puutteisiin kiinnitetään parempaa huomiota.
Mutta sitä ennen jokaisen virtuaalivaluutoista kiinnostuneen tulee varautua itse pitämään mahdollisimman hyvä huoli omasta virtuaalivaluuttoihin liittyvästä tietoturvasta ja yksityisyydestä.
Henri Väkeväinen
Kirjoittaja on Suomen Kryptovaluuttayhdistys Konsensus Ry:n hallituksen jäsen, ja hänellä on vuosien kokemus kryptovaluutoista sekä niihin liittyvien oikeudellisten tilanteiden ratkaisemisesta
