Under 2022 har en förvaltningsrättsdom och ett beslut från Integritetsskyddsmyndigheten (IMY) väckt frågan om kravet att genomföra penningtvättskontroller i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) utgör en rättslig förpliktelse enligt den allmänna dataskyddsförordningen (GDPR) eller inte. Skulle det inte röra sig om en rättslig förpliktelse behöver kontrollerna basera sig på någon annan rättslig grund såsom intresseavvägning. Frågan är av viss betydelse givet att det är många aktörer i Sverige som träffas av penningtvättslagen och då detta område blir allt viktigare att hantera korrekt. JP Infonets expert, Gastón Fernández Palma, analyserar frågan.
Analys: Kräver penningtvättskontroller en intresseavvägning?
RÄTTSLIG BAKGRUND
Enligt 2 kap. 3 § i penningtvättslagen ska en verksamhetsutövare bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med en kundrelation. Kundens riskprofil ska bestämmas med utgångspunkt i verksamhetsutövarens allmänna riskbedömning och dennes kännedom om kunden.
Enligt 5 kap. 2 § i penningtvättslagen får en verksamhetsutövare behandla personuppgifter i syfte att kunna fullgöra sina skyldigheter enligt lagen.
För att kunna fastställa vilken risk som är förknippad med en kund krävs det att verksamhetsutövaren behandlar personuppgifter avseende kunden.
För att en behandling av personuppgifter ska vara laglig krävs det enligt artikel 6.1 i GDPR att denna baserar sig på någon av de rättsliga grunderna som anges i artikeln. En av de rättsliga grunderna som anges är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den
personuppgiftsansvarige (artikel 6.1 c).
Enligt artikel 6.3 i GDPR ska den grund för behandlingen som avses i 6.1 c (det vill säga den rättsliga förpliktelsen) fastställas i enlighet med unionsrätten eller den medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av bestämmelsen framgår vidare att syftet med behandlingen ska fastställas i den rättsliga grunden.
Detta innebär bland annat att en bestämmelse i svensk lag som förpliktar en verksamhetsutövare att utföra en viss kontroll (vilken i sin tur kräver att personuppgifter behandlas) utgör en rättslig förpliktelse. Dock måste bland annat även syftet med behandlingen fastställas i bestämmelsen.
Avseende utformningen av den rättsliga grunden anges det i skäl 41 i GDPR att den rättsliga grunden bör vara tydlig och precis och att dess tillämpning bör vara förutsägbar för dem som omfattas av den.
När det gäller vilken grad av tydlighet och precision som krävs för att behandling av personuppgifter ska anses nödvändig har regeringen i förarbetena till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) uttalat att detta måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Regeringen har vidare uttalat följande:
”Ett mer kännbart intrång, till exempel behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 §§ RF.” (Se prop. 2017/18:105 s. 51.)
IMY:S BESLUT
IMY har den 30 september 2022, dnr DI-2021-2183, beviljat en bank ett tillstånd att behandla personuppgifter om lagöverträdelser som innefattar brott. I sak rör ärendet om banken har rätt att kontrollera nya kunder mot en koncernintern lista över tidigare kunder som filialer inom koncernen har anmält till polisen på grund av krav enligt penningtvättslagen.
Banken för hos IMY fram att den ansöker, om IMY anser att det behövs, om tillstånd för att behandla personuppgifter om lagöverträdelser. Enligt banken har den en skyldighet att efterleva bestämmelserna i penningtvättslagen vilket inbegriper att i enlighet med 2 kap. 3 § i lagen bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen. För att uppfylla bland annat dessa krav i penningtvättslagen har banken behov av att kontrollera nya kunder mot en intern lista över kunder som har rapporterats till Finanspolisen för misstänkt penningtvätt eller finansiering av terrorism och vars kundrelation har avslutats efter att ha rapporterats till Finanspolisen och bedömts överskrida bankens
Banken anser att det föreligger en rättslig förpliktelse enligt dataskyddsförordningen att genomföra de nämnda kontrollerna alternativt att de kan baseras på en intresseavvägning.
IMY beviljar tillståndet grundat på att den tilltänkta behandlingen är godtagbar i den mån det är nödvändigt för att uppfylla krav inom ramen för penningtvättslagen.
Det intressanta i beslutet är emellertid inte utfallet utan IMY:s resonemang kring om kraven i penningtvättslagen om att kontrollera kunder utgör en rättslig förpliktelse enligt GPDR eller inte.
Av 5 § 2 p. förordningen (2018:219) med kompletterande bestämmelser till EU:s
dataskyddsförordning (kompletteringsförordningen) framgår nämligen bland annat att personuppgifter som rör fällande domar i brottmål och överträdelser får behandlas av andra än myndigheter om behandlingen är nödvändig för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras. I denna del anför IMY följande:
”IMY konstaterar att för att artikel 6.1 c i dataskyddsförordningen ska vara tillämplig krävs en i rättsordningen fastställd rättslig förpliktelse som uppfyller kraven på precision och tydlighet. Om förpliktelsen är för svepande och ger den personuppgiftsansvarige en alltför stor handlingsfrihet i fråga om hur den ska uppfyllas kan den inte utgöra rättslig grund enligt artikel 6.1 c. Bestämmelsen i 5 § 2 kompletteringsförordningen bör tolkas på motsvarande sätt.
Ett företag ska enligt 2 kap. 3 § penningtvättslagen vidta åtgärder som syftar till att förhindra att det utnyttjas för penningtvätt och finansiering av terrorism. Åtgärderna ska anpassas efter risken för att verksamheten utnyttjas för penningtvätt och finansiering av terrorism, ett s.k. riskbaserat förhållningssätt. Det riskbaserade förhållningssättet innebär att verksamhetsutövare har utrymme för egna bedömningar i fråga om vad som utgör en tillräcklig kontroll av kundens identitet. För det fall en allmän hänvisning till en verksamhetsutövares skyldighet att bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen skulle innebära en rättslig förpliktelse att behandla uppgifter om lagöverträdelser skulle detta betyda en väsentlig utvidgning av möjligheterna att behandla personuppgifter om lagöverträdelser.
Kraven på kundkännedom är uppfyllda om åtgärderna för kundkännedom kan vidtas i en sådan omfattning att risken för penningtvätt och finansiering av terrorism i den enskilda kundrelationen kan hanteras, dvs. hållas på en acceptabel nivå. Det riskbaserade synsättet bygger också på att brister avseende en eller flera åtgärder för kundkännedom ska kunna läkas genom att den fortlöpande uppföljningen och övervakningen av affärsrelationen skärps.”
IMY bedömer därför att bestämmelsen i 2 kap. 3 § penningtvättslagen är för otydlig och oprecis för att anses utgöra en rättslig förpliktelse av sådan precision och tydlighet att den kan ligga till grund för den aktuella behandlingen av personuppgifter.
Som en följd av detta anses bankens behandling av personuppgifter som rör lagöverträdelser inte kunna ske med stöd av 5 § 2 p. kompletteringsförordningen utan kräver IMY:s tillstånd. Den rättsliga grunden för behandlingen av uppgifterna bedöms utgöras av en intresseavvägning där bankens intresse väger tyngre än de registrerades.
DOM FRÅN FÖRVALTNINGSRÄTTEN
Ett liknande resonemang som det ovanstående framgår av en dom från Förvaltningsrätten i Stockholm av den 31 januari 2022 i mål nr 28259-20.
Omständigheterna i fallet är att en bank delvis fick tillstånd av IMY att behandla personuppgifter om lagöverträdelser som innefattade brott. Behandlingen bestod i att banken kontrollerade kunder mot vissa sanktionslistor vilket ansågs godtagbart i den mån det var nödvändigt för att uppfylla krav inom ramen för bland annat penningtvättslagen. Skälen för bifallet var att IMY ansåg att banken, utifrån kraven som ställs i bland annat penningtvättslagen, hade stöd i en intresseavvägning enligt artikel 6.1 f dataskyddsförordningen för att kontrollera kunder mot vissa sanktionslistor. IMY avslog dock bankens ansökan i den delen som rörde kontroller mot icke-allmänt tillgängliga listor.
Som en följd av detta överklagades beslutet till förvaltningsrätten.
I förvaltningsrätten yrkar banken att rätten ska fastslå att den inte behöver något tillstånd från IMY med hänsyn till att banken har en rättslig skyldighet att utföra personuppgiftsbehandlingen för var och en av de två aktuella listorna. Banken yrkar i andra hand att förvaltningsrätten ska bevilja banken tillstånd eftersom banken har ett berättigat intresse av att motverka penningtvätt och finansiering av terrorism.
IMY vidhåller sitt beslut och anför bland annat att bestämmelserna i 2 och 3 kap. penningtvättslagen är alltför otydliga och oprecisa för att utgöra en rättslig grund för den aktuella behandlingen. IMY påpekar dock att det är tillåtet att behandla vissa uppgifter om lagöverträdelser som banken anser sig ha behov av. Detta gäller till exempel övervakningen som sker i syfte att upptäcka avvikande aktiviteter och transaktioner.
Förvaltningsrätten uttalar bland annat följande:
”Av förarbetena till lagen med kompletterade bestämmelser till EU:s dataskyddsförordning framgår att begreppet rättslig förpliktelse som utgångspunkt ska tolkas och tillämpas på samma sätt som i det nu upphävda dataskyddsdirektivet och personuppgiftslagen. Vidare anges att offentligrättsliga förpliktelser i första hand torde omfattas av begreppet men att det även i civilrättsliga författningar finns bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, till exempel inom arbetsrätten (prop. 2017/18:105 s. 53).
Av skäl 41 till dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär.”
Förvaltningsrätten konstaterar att den aktuella behandlingen rör känsliga personuppgifter som innebär ett kännbart intrång i den enskildes integritet.
Enligt förvaltningsrättens mening innebär detta att högre krav borde ställas på den rättsliga grundens precisering. Förvaltningsrätten instämmer mot denna bakgrund i IMY:s bedömning att bestämmelserna i 2 och 3 kap. penningtvättslagen är för oprecisa för att de i sig ska anses kunna medföra att den nu aktuella behandlingen är tillåten enligt 5 § 2 p. kompletteringsförordningen utan ett beslut från IMY. Banken behöver således tillstånd för den aktuella personuppgiftsbehandlingen.
SLUTSATSER
Vad menar då förvaltningsrätten och IMY i sin dom respektive sitt beslut, eller snarare vilka slutsatser kan möjligen dras?
Det ska inledningsvis påpekas att fallen rör kontroller mot sanktionslistor och att det inte finns några uttryckliga krav i penningtvättslagen om att utföra sådana kontroller. Detta kan i sig leda till att mina slutsatser far för långt.
Dock finner jag att resonemangen i sig är något tänkvärda. Det framgår av såväl IMY:s beslut som förvaltningsrättens dom att kraven i penningtvättslagens 2 kap. 3 § om att genomföra kontroller av kunder inte utgör rättsliga förpliktelser i GDPR:s mening. Beslutet och domen anför dock att kontroller kan ske med stöd av en intresseavvägning. Om en behandling stöds på intresseavvägning för det dock med sig vissa konsekvenser.
För det första måste en intresseavvägning göras utifrån ett antal rekvisit som räknas upp i artikel 6 i GDPR och det berättigade intresset måste redovisas särskilt för den registrerade (se artiklarna 13 och 14 i GDPR). Utöver detta stärks den enskildes rättigheter bland annat då den enskilde enligt artikel 21 i GDPR har rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på en intresseavvägning. Sker detta, det vill säga om en invändning görs, får den personuppgiftsansvarige inte längre behandla personuppgifterna såvida inte denne kan påvisa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Som en följd av att grunda kontroller på en intresseavvägning tillkommer det därför flera rättsliga bedömningar och administrativa moment för den personuppgiftsansvarige med ett osäkert utfall jämfört med om denne kan genomföra penningtvättskontroller grundat på en rättslig förpliktelse.
I sammanhanget är det vidare viktigt att notera vad som angavs i förarbetena till den nuvarande penningtvättslagen. I propositionen angavs bland annat att verksamhetsutövare skulle få behandla personuppgifter vid bedömningen av den risk som kunde förknippas med kundrelationen. Regeringen konstaterade vidare att penningtvättsdirektivets artiklar om personuppgiftsbehandling byggde på den grundläggande förutsättningen att verksamhetsutövare ska kunna behandla personuppgifter på ett sätt som gör det möjligt för dem att uppfylla skyldigheterna enligt direktivet. (Se prop. 2016/17:173 s. 306 och 308.)
Det bör även noteras att dataskyddslagen (och som en logisk följd av det även underordnade författningar) är subsidiära i förhållande till andra lagar.
Min tolkning av beslutet och domen är att det är högst oklart om verksamhetsutövare kan anse att det föreligger en rättslig förpliktelse att genomföra penningtvättskontroller med stöd av 2 kap. 3 § penningtvättslagen. Som en följd av detta behöver företag antingen anpassa sig till detta förhållande och genomföra intresseavvägningar eller så behöver det uttryckligen anges i exempelvis penningtvättslagen att personuppgifter får behandlas för att genomföra kontroller enligt 2 kap. 3 § i samma lag.
Det förstnämnda alternativet kommer högst sannolikt att kräva ytterligare administrativa åtgärder från verksamhetsutövare jämfört med i dag. Vidare måste nuvarande behandlingar som grundas på den rättsliga grunden rättslig förpliktelse ändras vid risk att annars ådra sig sanktioner från IMY.
Vad gäller en eventuell lagändring skulle en sådan högst sannolikt kunna modelleras utifrån nuvarande 5 kap. 5 § penningtvättslagen.
Det är dock något märkligt att, såsom lagstiftningen är utformad i dagsläget, verksamhetsutövare får behandla såväl känsliga personuppgifter som personuppgifter om lagöverträdelser för att bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 § penningtvättslagen (se 5 kap. 5 och 6 §§ penningtvättslagen) men inte andra personuppgifter som är mindre integritetskänsliga. För verksamhetsutövares och individers bästa behöver detta klargöras.
Gastón Fernández Palma
Compliance officer, Cirio Advokatbyrå