Verksamheter inom bank- och finanssektorn måste, utöver dataskyddsförordningen (GDPR), följa sektorspecifik lagstiftning vid behandling av personuppgifter. Exempelvis är banker och flertalet andra verksamheter skyldiga att bedöma om det finns risk för penningtvätt eller finansiering av terrorism inför och under en pågående kundrelation. I samband med detta kan sådana aktörer därför behöva behandla personuppgifter som rör lagöverträdelser (brottsuppgifter) enligt GDPR.
För att behandla brottsuppgifter måste en lämplig rättslig grund enligt GDPR identifieras och, för privata aktörer, även ett så kallat rättsligt undantag. I vissa fall kan även tillstånd behövas för att behandla brottsuppgifter, vilket prövas och beviljas av Integritetsmyndigheten (IMY) i Sverige.
Tillstånd för Danske Bank att kontrollera nya kunder mot sin observationslista
I september förra året prövades Danske Banks ansökan om tillstånd att hantera personuppgifter som rör lagöverträdelser för att ha möjlighet att fullgöra sina skyldigheter när det kommer till motverkande av penningtvätt och liknande brottslig verksamhet.
Ansökan rörde Danske Banks behov av att inom koncernen jämföra nya kunder mot ett register över tidigare kunder som hade rapporterats till Finanspolisen för misstänkt penningtvätt eller finansiering av terrorism. Detta i syfte att kunna identifiera och bedöma om en ny relation ska inledas med en sådan före detta kund om denne ansöker om att bli kund på nytt inom koncernen.
I korthet konstaterade IMY att aktuella kontroller inte utgjorde en strikt rättslig skyldighet enligt lag om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen), vilket annars hade inneburit att något tillstånd inte hade krävts från IMY. IMY ansåg däremot att Danske Bank hade ett berättigat intresse av att genomföra kontrollerna och gav därför Danske Bank tillstånd att behandla brottsuppgifter för nu nämnda ändamål.
Beslutet från IMY är intressant av flera skäl, inte minst eftersom IMY lägger ut texten kring förutsättningarna för att få behandla personuppgifter med stöd av rättslig förpliktelse som rättslig grund i GDPR.
Kontroller mot sanktionslistor
Under föregående år meddelade IMY beslut i ett antal ärenden som rörde tillstånd om att behandla brottsuppgifter vid kontroller mot sanktionslistor, i syfte att motverka penningtvätt och finansiering av terrorism. Flera verksamheter inom bland annat bank- och finanssektorn gavs – under vissa förutsättningar – tillstånd att genomföra kontroller mot utländska sanktionslistor utanför EU.
Kontinuerligt och systematiskt dataskyddsarbete
Utöver hanteringen av brottsuppgifter måste verksamheter inom bank- och finanssektorn i allmänhet följa GDPR och andra tillämpliga dataskyddsregler vid behandling av personuppgifter. För att uppfylla kraven i dessa regelverk är det av stor vikt att ha på plats tydliga rutiner och processer internt, inte minst för att säkerställa ett lyckat förvaltnings- och förändringsarbete vid hantering av personuppgifter.
I en nyligen publicerad rapport från IMY, ”Dataskyddsarbetet i praktiken”, framgår bland annat att mindre än hälften av de tillfrågade dataskyddsombuden upplever att den egna organisationen arbetar kontinuerligt och systematiskt med dataskyddsfrågor.
Fördjupa dina kunskaper
På kursen GDPR för bank- och finanssektorn får du fördjupad kunskap om besluten ovan samt andra nyheter rörande dataskydd och vad verksamheter inom bank- och finanssektorn behöver tänka på för att följa tillämplig dataskyddslagstiftning.
Källor:
- imy.se/globalassets/dokument/beslut/2022/beslut-tillstand-danske-bank.pdf.
- DI-2021-4014 – 4016, DI-2021-4018 – 4022, DI-2021-4024 –
- imy.se/nyheter/dataskyddsombud-varnar-for-brister-i-arbetet-med-gdpr/.
