Den 1 november 2024 trädde IMY:s uppdaterade föreskrifter IMYFS 2024:1 om behandling av personuppgifter som rör lagöverträdelser i kraft. En av de stora förändringarna är att det blir enklare för företag inom den finansiella sektorn att behandla uppgifter om lagöverträdelser i samband med kontroller mot sanktionslistor. Här ger vi en sammanfattning av de nya föreskrifterna och vad de innebär.
Företag i olika sektorer kan i vissa situationer ha behov av att behandla uppgifter som rör lagöverträdelser, till exempel uppgift om att någon har begått ett visst brott. I GDPR och nationell lagstiftning som kompletterar GDPR framgår att sådana uppgifter får behandlas av andra än myndigheter endast om det antingen är nödvändigt för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras.
Därutöver får Integritetsskyddsmyndigheten (”IMY”) meddela ytterligare föreskrifter om i vilka situationer andra än myndigheter får behandla personuppgifter som rör lagöverträdelser, eller besluta om att tillåta sådan behandling i enskilda fall, där behandlingen av brottsuppgifter i annat fall skulle vara förbjuden enligt huvudregeln.
Den 1 november 2024 trädde IMY:s uppdaterade föreskrifter IMYFS 2024:1 om behandling av personuppgifter som rör lagöverträdelser i kraft. Därmed upphörde också IMY:s tidigare föreskrifter DIFS 2018:2 att gälla som togs fram i samband med att GDPR skulle börja tillämpas i maj 2018.
Företag som verkar inom den finansiella sektorn har behov av att göra kontroller mot sanktionslistor för att kunna efterleva lagkrav till exempel att förhindra penningtvätt och finansiering av terrorism. Det finns också exportrestriktioner som ska följas som förutsätter att kontroller görs mot sanktionslistor.
När kontroller görs mot sanktionslistor kan det innebära att personuppgifter om lagöverträdelser behandlas. Fram tills den 1 november 2024 krävde kontroll mot sanktionslistor som inte beslutats av EU ett särskilt godkännande från IMY. Det har i praktiken inneburit att om till exempel en bank önskar göra kontroller mot sanktionslistor utfärdade av myndigheter i andra länder har banken som utgångspunkt behövt ansöka om ett beslut om tillstånd från IMY.
Genom IMY:s nya föreskrifter tillåts företag som verkar inom den finansiella sektorn, och som står under Finansinspektionens tillsyn, att behandla personuppgifter som rör lagöverträdelser i samband med kontroller mot sanktionslistor. Gemensamt är att företag inom dessa sektorer har lagkrav för kontroll av sina kunder i syfte att motverka penningtvätt och finansiering av terrorism, samt för att efterleva internationella exportrestriktioner. Genom föreskrifterna införs ett generellt undantag till förbudet i GDPR mot behandling av personuppgifter som rör lagöverträdelser.
I IMY:s nya föreskrifter begränsas om vilka kategorier av personer som det är tillåtet att behandla uppgifter som rör lagöverträdelser i samband med kontroller mot sanktionslistor. Exempel på sådana personer är företags styrelsemedlemmar och företagets kunder.
Föreskrifterna uppställer vidare ett nödvändighetskrav för att behandling av personuppgifter om lagöverträdelser i samband med sanktionskontroller ska vara tillåten. Det innebär att behandlingen av personuppgifterna ska vara nödvändig för att efterleva lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, andra föreskrifter eller regelverk på finansmarknadsområdet utfärdade av utländska myndigheter, EU-organ eller mellanstatliga organisationer.
IMY har publicerat en särskild vägledning till hur föreskrifterna ska tillämpas i förhållande till kontroll mot sanktionslistor. I vägledningen ges exemplet att en nödvändig behandling är när en bank kontrollerar sanktionslistor för att efterleva kraven på kundkännedom enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism.
Sanktionslistorna som kontroller görs mot måste därtill vara fastställda i demokratisk ordning och vara allmänt tillgängliga. Det uppställs också krav på att företag som utför kontroller mot sanktionslistor ska vidta integritetsskyddande åtgärder för att kunna skilja på äkta och falska träffar. Exempel på sanktionslistor som är tillåtna att kontrollera inom ramen för IMY:s föreskrifter är amerikanska sanktionslistor från ”Office of Foreign Assets Control” (OFAC) och från brittiska myndigheten HM Treasury – Office of Financial Sanctions Implementation.
IMY:s föreskrifter kan läsas här och IMY:s vägledning här. Om du några frågor om hur IMY:s nya föreskrifter kan påverka ditt företag, eller några GDPR-frågor generellt, är du välkommen att höra av dig till oss på Cederquist.