Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Transkript

1 Datum Diarienr Ert Dnr nr Fi2014/2420 Finansdepartementet Finansmarknadsavdelningen Att: Hanna Wetter STOCKHOLM Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen Datainspektionen har granskat promemorian huvudsakligen utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Sammanfattning Datainspektionen anser att det bör ske en författningsreglering av bevarande och gallring av uppgifter om åtgärder som vidtagits vid den generella granskningen av transaktioner enligt 3 kap. 1 första stycket lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen). Datainspektionen anser vidare att det behöver klargöras i vilken omfattning 3 kap. 1 penningtvättslagen ska tillämpas i stället för 21 personuppgiftslagen (1998:204). Datainspektionen anser att bestämmelsen om information till de registrerade måste utformas på ett sådant sätt att det inte blir någon ändring i sak i förhållande till nuvarande lagstiftning. Datainspektionen anser att fjärde kapitlets tillämpningsområde bör tydliggöras. Allmänt I förarbetena till det nu gällande fjärde kapitlet om registerfrågor i penningtvättslagen framgår att ändamålet med ett penningtvättsregister inte omfattar den generella granskningen av transaktioner som syftar till att upptäcka misstänkta fall av penningtvätt. Den dagliga granskningen av samtliga kunders transaktioner (monitoreringen) har således hittills reglerats genom personuppgiftslagen (Prop. 2008/09:70 s ). Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: Webbplats: Telefax:

2 Som Datainspektionen förstår förslaget ändras nu detta. All den personuppgiftsbehandling som sker i syfte att leva upp till kravet på kundkännedom och den granskningsskyldighet som föreskrivs i 3 kap. 1 penningtvättslagen kommer fortsättningsvis att omfattas av bestämmelserna i fjärde kapitlet penningtvättslagen. Datainspektionens kommentarer till de enskilda paragraferna utgår från detta sakförhållande. Bevarande av uppgifter 3 kap. 1 b Genom den nya bestämmelsen införs ett krav på att verksamhetsutövaren ska bevara uppgifter om åtgärder som vidtagits vid särskild granskning av transaktioner i fem år. Bestämmelsen kommer därmed att stå i bättre överensstämmelse med motsvarande bestämmelse i polisdatalagen. Som en följd av denna bestämmelse tas bestämmelsen om gallring i 4 kap. 6 bort. Det införs vidare en ny bestämmelse i 8 kap. 1 p 12 enligt vilken regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om bevarande av uppgifter om åtgärder som vidtagits vid en sådan granskning som sägs i 3 kap. 1 b. Detta inbegriper vilka uppgifter som ska bevaras. Datainspektionen har inget att erinra mot att bestämmelsen om bevarande av uppgifter som lämnats över till Polismyndigheten bringas i överensstämmelse med bestämmelsen om gallring i 20 polisdatalagen (2010:361). Datainspektionen har mot bakgrund av de skäl som framförts inte heller något att erinra mot att uppgifter om särskild granskning som inte lett till någon polisanmälan sparas i fem år. Det framgår av promemorian att bestämmelsen i 3 kap. 1 b penningtvättslagen inte reglerar hur länge en verksamhetsutövare ska bevara uppgifter när den generella granskningen enligt 3 kap. 1 första stycket inte har lett till någon särskild granskning enligt 3 kap. 1 andra stycket. Hur länge dessa uppgifter ska bevaras ska i stället bedömas utifrån bestämmelsen i 9 i personuppgiftslagen. Datainspektionen konstaterar att det framgår av förslaget att orsaken till att uppgifter om särskild granskning av transaktioner ska bevaras i fem år är att penningtvätt och finansiering av terrorism ofta utgör ett led i omfattande brottslighet som kan pågå under längre tid. Detta resonemang torde vara avgörande även för hur länge uppgifter från den generella granskningen bör bevaras. Datainspektionen anser att det bör ske en författningsreglering av bevarande och gallring av uppgifter om åtgärder som vidtagits för granskningsändamål enligt 3 kap. 1 första stycket penningtvättslagen även i de fall den generella granskningen av transaktioner inte leder till någon särskild granskning. Ett alternativ till detta vore att utvidga möjligheten till be- Sida 2 av 7

3 myndigande enligt 8 kap. 1 p 12 till att omfatta även bevarande av uppgifter om åtgärder som vidtagits vid den generella granskningen av transaktioner. Det kan tilläggas att det framgår av 2 kap. 13 penningtvättslagen att en verksamhetsutövare ska bevara uppgifter om åtgärder som vidtagits för att uppnå kundkännedom i minst fem år. Det är således bara uppgifter om de åtgärder som vidtas vid den generella granskningen av transaktioner enligt 3 kap. 1 första stycket som inte har en författningsreglerad kortaste eller längsta bevarandetid. Behandling av personuppgifter Det framgår av promemorian att bestämmelsen om granskningsskyldighet i 3 kap. 1 penningtvättslagen är en sådan bestämmelse som avviker från personuppgiftslagen i den mening som avses i 2 personuppgiftslagen. Som en följd av detta ska 3 kap. 1 penningtvättslagen tillämpas i stället för personuppgiftslagen. Datainspektionen anser att det behöver klargöras i vilken omfattning 3 kap. 1 penningtvättslagen ska tillämpas i stället för 21 personuppgiftslagen. Det framgår av promemorian att 21 personuppgiftslagen inte är tillämplig på den personuppgiftsbehandling som sker när verksamhetsutövaren genomför en sådan särskild granskning som avses i 3 kap. 1 andra stycket penningtvättslagen. Fråga uppstår däremot i vad mån 21 personuppgiftslagen är tillämplig på den personuppgiftsbehandling som sker när verksamhetsutövaren genomför den generella granskning som avses i 3 kap. 1 första stycket penningtvättslagen. Det framgår av förarbetena till penningtvättslagen att frågan om kontroller mot den s.k. OFAC-listan, det vill säga SDN-listan (Specially Designated Nationals and Blocked Persons) som administreras av Office of Foreign Assets Control (OFAC) som är en myndighet under USA:s Finansdepartementet, får hanteras av Datainspektionen (prop. 2008/09:70 s. 142). Datainspektionen har därför hittills utgått ifrån att 21 personuppgiftslagen är tillämplig på behandling av personuppgifter om lagöverträdelser när verksamhetsutövaren behandlar personuppgifter för att uppnå kundkännedom vid etablering av en affärsförbindelse och vid den generella granskning som föregår den särskilda granskningen. Datainspektionen har som en följd av detta handlagt ett flertal ansökningar från bl.a. kreditinstitut om undantag från förbudet i 21 personuppgiftslagen för att uppnå kundkännedom och för löpande kontroll av kunddatabasen mot olika internationella sanktionslistor. Datainspektionen har i samband därmed Sida 3 av 7

4 meddelat undantag från förbudet för kontroll mot SDN-listan. Datainspektionen har däremot avslagit ansökningar om undantag från förbudet för att uppnå kundkännedom och för löpande kontroll av kunddatabaser mot ett flertal andra internationella sanktionslistor, till exempel OFAC:s NS-PLC-lista (Non-SDN Palestinian Legislative Council) som innehåller uppgifter om medlemmar av palestinska myndigheter. Det bör även nämnas att flera svenska dotterbolag till amerikanska moderbolag uppger att amerikanska myndigheter anser att amerikanska bestämmelser som syftar till bekämpning av penningtvätt och finansiering av terrorism i många fall har extraterritoriella verkningar. Datainspektionen har ansett sig förhindrad att godkänna undantag från förbudet i sådana fall där dotterbolag till amerikanska företag anser sig behöva kontrollera sina kunddatabaser löpande mot olika sanktionslistor för att leva upp till krav i amerikansk lagstiftning som saknar motsvarighet i svensk lagstiftning. Som exempel kan nämnas att Datainspektionen inte gått med på att amerikanska dotterbolag ska få behandla uppgifter om lagöverträdelser från den av den amerikanska myndigheten Bureau of Industry and Security (BIS) utfärdade s.k. BIS Entity-listan som anger parter, såsom företag och enskilda personer, som har kommit till den amerikanska statens kännedom på grund av inblandning i vapenspridningsverksamhet eller är inblandade i aktiviteter som bedöms stå i strid med USA:s nationella säkerhet och/eller utrikespolitiska intressen. Flera av Datainspektionens beslut har överklagats. I de fall Förvaltningsrätten i Stockholm meddelat dom har överklagandena avslagits. För det fall 21 personuppgiftslagen inte är tillämplig på den personuppgiftsbehandling som sker när verksamhetsutövaren genomför den generella granskning som avses i 3 kap. 1 första stycket penningtvättslagen finns det enligt Datainspektionens mening anledning att befara att kreditinstitut och andra företag som ska följa bestämmelserna i penningtvättslagen kan komma att anse det nödvändigt att löpande kontrollera sina kunddatabaser mot ett stort antal internationella sanktionslistor som Datainspektionen saknar närmare kännedom om. Det går inte att utesluta att kontroller mot sådana sanktionslistor kan innebära intrång i den registrerades personliga integritet eftersom det ofta är oklart på vilka grunder enskilda personer registreras på de olika sanktionslistorna. Det finns vidare anledning att anta att många kontroller kommer att ske på grund av bestämmelser i utländsk lagstiftning som saknar motsvarighet i svensk lagstiftning. För det fall 21 personuppgiftslagen inte är tillämplig på den personuppgiftsbehandling som sker när verksamhetsutövaren genomför den generella granskning av transaktioner som avses i 3 kap. 1 första stycket penningtvättslagen finns det enligt Datainspektionens mening anledning att överväga om Sida 4 av 7

5 det vore en framkomlig väg att ge regeringen eller den myndighet som regeringen bestämmer, exempelvis Finansinspektionen, ett bemyndigande enligt 8 kap. 1 att meddela föreskrifter om vilka sanktionslistor som får användas i samband med den generella granskningen av transaktioner som avses i 3 kap. 1 första stycket. Förslag till lag om ändring i lagen om åtgärder mot penningtvätt och finansiering av terrorism 4 kap. 1 Syfte Datainspektionen har inget att erinra mot bestämmelsen. 4 kap. 2 Tillämpningsområde Av 5 personuppgiftslagen framgår att lagen gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagen innehåller två olika regelsystem. För det första innehåller lagen en rad hanteringsregler för behandling av personuppgifter i strukturerat material såsom register och databaser. För det andra innehåller lagen i 5 a en förenklad reglering för behandling av personuppgifter i ostrukturerat material såsom löpande text och ljud och bild som i princip får föras fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet. Den föreslagna bestämmelsen om tillämpningsområde i 4 kap. 2 penningtvättslagen har samma innehåll som 5 personuppgiftslagen. Bestämmelsen om förenklad behandling i 5 a personuppgiftslagen föreslås inte få någon motsvarighet i penningtvättslagen. Bestämmelserna i fjärde kapitlet penningtvättslagen ska således tillämpas på all personuppgiftsbehandling, oavsett om behandlingen är strukturerad eller inte. Det bör därför påpekas att förslaget därmed innebär en viss avvikelse från personuppgiftslagens regelverk. Som en följd av denna avvikelse innebär den föreslagna bestämmelsen i 4 kap. 3 penningtvättslagen om behandling av känsliga personuppgifter, i förhållande till personuppgiftslagens regelverk, dels en utökad möjlighet att behandla känsliga personuppgifter i strukturerat material, dels en begränsning av möjligheterna att behandla känsliga personuppgifter i ostrukturerat material. I det sistnämnda fallet krävs enligt förslaget att behandlingen av känsliga uppgifter ska vara nödvändig. Om behandlingen i stället faller under Sida 5 av 7

6 den förenklade regleringen i 5 a personuppgiftslagen får verksamhetsutövaren behandla känsliga uppgifter så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet. En annan konsekvens är att den föreslagna bestämmelsen om rättelse i 4 kap. 6 innebär att det krav på rättelse som följer av 28 personuppgiftslagen kommer att gälla även personuppgifter i ostrukturerat material. Datainspektionen kan tillstyrka att den förenklade regleringen inte ska tilllämpas när personuppgifter behandlas enligt penningtvättslagen. Det bör dock framhållas att det kan vara svårt för verksamhetsutövare och registrerade att förstå innebörden av den föreslagna bestämmelsen. Bestämmelsens innebörd bör tydliggöras i det fortsatta lagstiftningsarbetet. 4 kap. 3 Datainspektionen har inget ytterligare att anföra utöver vad som sagts angående lagens tillämpningsområde, se ovan. 4 kap. 4 Information till den registrerade Det framgår av promemorian att nuvarande bestämmelse i 4 kap. 5 gamla penningtvättslagen förs över till den nya lagen med vissa ändringar för att anpassa bestämmelsen till det nya kapitlets tillämpningsområde. Någon ändring i sak är inte avsedd. Datainspektionen anser att bestämmelsen kommer att innebära ändring i sak på grund av det nya kapitlets tillämpningsområde. Den nuvarande bestämmelsen omfattar endast uppgifter ur ett register som avses i nuvarande 4 kap. 3 penningtvättslagen. Bestämmelsen omfattar således bara uppgifter som förekommer i ett sådant penningtvättsregister som uppstår efter det att anmälan gjorts till Polismyndigheten. Datainspektionen har inget att invända mot att uppgifter i ett sådant penningtvättsregister inte får lämnas ut till den registrerade. Det nya fjärde kapitel som föreslås i promemorian omfattar som Datainspektionen förstår saken all personuppgiftsbehandling som syftar till att förhindra att verksamhet utnyttjas för penningtvätt eller finansiering av terrorism. Här ingår även den personuppgiftsbehandling som sker i samband med att verksamhetsutövaren vidtar åtgärder för att uppnå kundkännedom när en ny affärsförbindelse etableras. I samband därmed behandlas exempelvis uppgifter från pass och andra id-handlingar och uppgifter som hämtas in vid PEP- Sida 6 av 7

7 kontroller. Till detta kommer att verksamhetsutövaren måste behandla uppgifter om kundens alla transaktioner för att leva upp till kraven på generell granskning enligt 3 kap. 1 första stycket penningtvättslagen. Datainspektionen kan inte se att det finns någon anledning att undanhålla den registrerade information om exempelvis vilka uppgifter som hämtats in för identifiering och PEP-kontroll. Till saken hör att en sådan inskränkning i rätten att få tillgång till information är en avvikelse från artikel 12 i dataskyddsdirektivet. Medlemsstaterna får enligt artikel 13 begränsa de skyldigheter och rättigheter som anges i bl.a. artikel 12, men det förutsätter att begränsningen är en nödvändig åtgärd för att skydda exempelvis brottsutredningar eller viktiga ekonomiska eller finansiella intressen. En sådan begränsning i rätten till information behöver således motiveras av lagstiftaren. Datainspektionen anser att bestämmelsen måste utformas på ett sådant sätt att det inte blir någon ändring i sak i förhållande till nuvarande lagstiftning. 4 kap. 5 Samkörning Datainspektionen har inget att erinra mot bestämmelsen. 4 kap. 6 Rättelse och skadestånd Datainspektionen har inget ytterligare att anföra utöver vad som sagts angående lagens tillämpningsområde, se ovan. 4 kap. 7 Tystnadsplikt Datainspektionen har inget att erinra mot bestämmelsen. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av avdelningsdirektören Hans Kärnlöf. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Catharina Fernquist deltagit. Kristina Svahn Starrsjö Hans Kärnlöf Sida 7 av 7