Behandling av personuppgifter i samband med kundkännedom 30

4.3.1 Något om personuppgiftslagen och relevanta regler för åtgärder mot penningtvätt

Regelverket om åtgärder mot penningtvätt kräver att verksamhetsutövarna, däribland bankerna, samlar in, hanterar och bevarar kundinformation i betydande omfattning. För att skydda människor mot att deras personliga integritet kränks genom behandling av uppgifter finns bestämmelser i personuppgiftslagen, vilken är tillämplig när verksamhetsutövaren samlar in kundinformation.144 Om verksamhetsutövare enbart hade haft personuppgiftslagen att tillgå hade det varit vanskligt att uppfylla kraven i penningtvättslagstiftningen. Av den anledningen finns kompletterande bestämmelser i 4 kap. PTL, vilka gäller utöver personuppgiftslagen. Dessa korrelerar således med varandra och det är av stor vikt att bankerna följer reglerna om penningtvätt på ett sätt som inte kränker den personliga integriteten och därigenom bryter mot bestämmelserna i personuppgiftslagen.145

För att personuppgiftslagen ska bli tillämplig krävs att personuppgiftsbehandlingen är helt eller delvis automatiserad. Även annan behandling av personuppgifter omfattas om uppgifterna ingår i, eller är avsedda att ingå i, en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det krävs således att personuppgifterna behandlas på ett visst sätt för att lagen ska bli tillämplig. I lagens mening innebär dock varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, att uppgifterna behandlas. Således faller i stort sett all typ av aktivitet beträffande personuppgifter under lagens                                                                                                                

144 _{Se 1 § PUL.}

145 _{Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och}

definition. Personuppgifter definieras i lagen som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det krävs således inte någon viss kvalitet på informationen för att den ska utgöra personuppgifter.146 _{I fråga om kundkännedom} och uppgifter om en fysisk person som är kund, kan det exempelvis vara namn, personnummer, adress, kopia på legitimation, sysselsättning, källa till inkomst, medel och tillgångar samt kundkännedomsnivå. Även uppgifter om fysiska personer som inte är kunder utgör personuppgifter, exempelvis uppgifter som kan hänföras till en fysisk person som agerar som ombud, god man eller förvaltare.147

I personuppgiftslagen ställs vissa grundläggande krav upp, vilka måste vara uppfyllda för att personuppgiftsbehandling ska få ske överhuvudtaget. Dessa innebär att personuppgifter endast får behandlas om det är lagligt, om de behandlas på ett korrekt sätt och i enlighet med god sed. Uppgifterna får endast samlas in för särskilda, uttryckligen angivna och berättigade ändamål, och inte för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Uppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen med behandlingen. De ska vara riktiga och, om det är nödvändigt, aktuella. Om uppgifterna är felaktiga eller ofullständiga, med hänsyn till ändamålen med behandlingen, ska alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter. Slutligen får personuppgifterna inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till personuppgiftsbehandlingens ändamål.148

Behandling av personuppgifter är vidare tillåtet i två fall, antingen om den registrerade lämnat sitt samtycke eller i de fall behandlingen är nödvändig för vissa, i lagen uppställda, syften. Dessa syften, eller tillåtlighetsgrunder, tillåter personuppgiftsbehandling om det är nödvändigt för att fullgöra ett avtal med den registrerade, om verksamhetsutövaren ska kunna fullgöra en rättslig skyldighet, för att skydda vitala intressen för den registrerade samt för att kunna utföra en arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning. Därtill kan intresseavvägning sägas utgöra en särskild grund där bedömning får göras om vikten av att behandla personuppgifter väger tyngre än den registrerades intresse av skydd för den personliga integriteten.149 _{När bankerna samlar in personuppgifter inom ramen för}                                                                                                                

146 _{3 § PUL.}

147 _{Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och}

kommentar, s. 181.  

148 _{9 § PUL.} 149 _{10 § PUL.}

kundkännedomsprocessen kan de sägas göra detta för att följa kraven i penningtvättslagstiftningen. De mest centrala tillåtlighetsgrunderna för bankerna torde vara behandling i syfte att fullgöra ett avtal eller en rättslig skyldighet samt intresseavvägningen.150

Tillåtlighetsgrunderna enligt ovan kan inte åberopas när det gäller så kallade känsliga personuppgifter, vilka är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter rörande hälsa och sexualliv. 151 _{Därtill är det även förbjudet att behandla personuppgifter om} lagöverträdelser, och behandling av uppgifter om personnummer får endast ske när det är klart motiverat.152 I syfte att möjliggöra för verksamhetsutövare att fullgöra sina skyldigheter har tillåtlighetsgrunderna i personuppgiftslagen kompletterats av bestämmelsen i 4 kap. 2 § PTL, vilken ger verksamhetsutövarna rätt att behandla känsliga uppgifter i vissa situationer, om det är nödvändigt för att följa penningtvättsregelverket.

4.3.2 Tillåtlighet för personuppgiftsbehandling i kundkännedomsprocessen

Generellt sett är behandling av personuppgifter, i syfte att uppfylla kraven i 2 kap. PTL, tillåten enligt personuppgiftslagen på den grund att verksamhetsutövaren fullgör en rättslig skyldighet.153 Samtidigt torde behandlingen av uppgifterna vara tillåten på den grund att det är nödvändigt för att administrera avtalsrelationen med kunden.154 Det kritiska för att någon tillåtlighetsgrund ska kunna åberopas är att behandlingen verkligen är nödvändig för de givna ändamålen. En verksamhetsutövare måste kunna motivera vilken betydelse en inhämtad uppgift i kundkännedomsprocessen har. I annat fall är nödvändighetsrekvisitet inte uppfyllt.155 Det torde vara nödvändighetsrekvisitet och de särskilda bestämmelserna om känsliga uppgifter och lagöverträdelser som är särskilt intressanta utifrån kundkännedomsprocessen.

150 _{Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och}

kommentar, s. 182-183.  

151 _{13 § PUL.}

152 _{21 och 22 §§ PUL.} 153 _{10 § 1 st. b) PUL.} 154 _{10 § 1 st. a) PUL.}

155 _{Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och}

Det riskbaserade förhållningssättet genomsyrar hela penningtvättsregelverket och är en grundläggande utgångspunkt vid bedömning av vilken risknivå en kund ska åsättas. Det är således en förutsättning att relevanta uppgifter samlas in om kunden och därtill en nödvändighet att lagra och hantera uppgifter om själva kundkännedomsnivån samt, för de kunder som har tilldelats skärpt kundkännedom, uppgifter om relevanta riskindikationer, dvs. varför kunden tilldelats denna risknivå. Enligt personuppgiftslagen har kunden rätt att få tillgång till de uppgifter som har samlats in under kundkännedomsprocessen, och därav är det av största vikt att riskbedömningen inte sker på godtyckliga grunder, och att bankerna grundar sig på gedigna bedömningar utifrån risken för penningtvätt.156

Enligt personuppgiftslagen är uppgifter, vilka avser lagöverträdelser, normalt förbehållna myndigheter. Datainspektionen har dock möjlighet att meddela föreskrifter eller i enskilda fall besluta om undantag från förbudet.157

4.3.3 Fjärde penningtvättsdirektivet och behandling av personuppgifter

Redan av ingressen till fjärde penningtvättsdirektivet framgår att behandling av personuppgifter bör tillåtas men att det samtidigt är av stor vikt att de grundläggande rättigheterna respekteras till fullo. Det får endast ske för de syften och för den verksamhet som anges i direktivet, såsom vidtagande av åtgärder för kundkännedom, fortlöpande övervakning, undersökning och rapportering av ovanliga eller misstänkta transaktioner, identifiering av den verkliga huvudmannen, identifiering av en PEP samt informationsutbyte från berörda parter. 158 Till skillnad från sina föregångare innehåller fjärde penningtvättsdirektivet dessutom uttryckliga bestämmelser, vilka gäller behandling av personuppgifter. Av artikel 41 framgår att penningtvättsdirektivet ska läsas i ljuset av dataskyddsdirektivet, vilket är det direktiv som idag generellt reglerar personuppgiftsbehandling och som ligger till grund för den svenska personuppgiftslagen. I artikel 43 i penningtvättsdirektivet uttalas dessutom att behandling av personuppgifter, på grundval av penningtvättsdirektivet i syfte att förebygga penningtvätt, ska betraktas som något som är av allmänt intresse enligt dataskyddsdirektivet. Dock har kritik riktats mot att inte tillräcklig hänsyn har tagits till EU:s regler om skydd för personuppgifter. I sitt yttrande,                                                                                                                

156 _{Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och}

kommentar, s. 184.

157 _{21 § PUL.}

avseende förslaget till det fjärde penningtvättsdirektivet, betonade European Data Protection Supervisor (EDPS) vikten av att åtgärderna för att nå målet med penningtvättsdirektivet genomfördes på ett sätt som innebar att kraven för dataskydd uppfylldes. EDPS framförde vidare kritik mot att penningtvättsdirektivet skulle innebära personuppgiftsinsamling i större omfattning, vilket kunde öka de negativa effekterna för enskilda personer.159 När penningtvättsdirektivet senare antogs kvarstod delvis de oklarheter som EDPS påkallade. Det åligger medlemsstaterna att besluta om hur penningtvättsreglerna implementeras i de nationella lagstiftningarna samtidigt som de måste beakta den kommande dataskyddsförordningen, vilket kan skapa stora svårigheter.160

Utredningen föreslår att huvuddragen i 4 kap. PTL förs in i den nya lagen men att ändamålet med verksamhetsutövarens personuppgiftsbehandling ska beskrivas på ett annat sätt.161 Vidare föreslår utredningen, till följd av direktivet, att samkörningsförbudet luckras upp för att underlätta ett effektivt informationsflöde inom koncerner. I nuvarande penningtvättslagstiftning finns en bestämmelse, vilken förbjuder samtliga verksamhetsutövare att samköra sina register med personuppgifter mot en annan verksamhetsutövares register. Detta har begränsat möjligheterna att utbyta information inom koncerner. Den nya lagen kommer således att tillåta samkörning för verksamhetsutövare, vilka är att anse som kreditinstitut eller finansiella institut.162

Ytterligare en förändring är att en särskild bestämmelse föreslås klargöra penningtvättslagens företräde framför 21 § PUL, av vilken det ska framgå att en verksamhetsutövare får behandla personuppgifter om lagöverträdelser om det är nödvändigt för att uppfylla penningtvättslagens gransknings- och rapporteringsskyldighet.163 Vad gäller bevaring av handlingar och uppgifter, vilka har använts vid åtgärder för att uppnå kundkännedom samt vid granskning och rapportering, föreslås att huvudregeln ska vara fem år, istället för minst fem år som den nuvarande lagstiftningen stadgar. Om det är nödvändigt för att förebygga, upptäcka eller utreda penningtvätt får uppgifterna bevaras under en längre tid men den sammanlagda tiden får inte överstiga tio år. För att verksamhetsutövare ska få bevara                                                                                                                

159 _{Executive summary of the Opinion of the European Data Protection Supervisor on a proposal for a Directive}

of the European Parliament and of the Council on the prevention of the use of the financial system for the purpose of money laundering and terrorist financing, and a proposal for a Regulation of the European Parliament and of the Council on information on the payer accompanying transfers of funds, OJ C 32, 4.2.2014, p. 9–12.

160 _{Khan, The Fourth AML Directive and the EU’s Approach to Data Protection: A Precautionary Warning.} 161 _{SOU 2016:8 del 1, s. 313.}

162 _{Europaparlamentets och rådets direktiv 2015/849/EU, art. 45.8 och SOU 2016:8 del 1, s. 319-320.} 163 _{SOU 2016 del 1, s. 316-319.}  

uppgifter under en längre tid måste det framstå som nödvändigt och proportionerligt. Utredningen föreslår att närmare reglering, om när sådan ytterligare lagringstid är nödvändig, sker i författning av lägre valör.164 _{Detta tycks gå i linje med strävan efter ett ökat skydd för} den personliga integriteten.