Etterlevelse av hvitvaskingsregelverket står i et kontinuerlig spenningsforhold med hensynet til personvern. I tillegg til de sektorspesifikke taushetspliktene, er rapporteringspliktige foretak også underlagt et strengt avsløringsforbud. Som følge av rapporteringspliktiges tilgang på informasjon om kontoaktivitet og transaksjoner, kreves det særlig aktsomhet i behandlingen av personopplysninger, både internt og eksternt mellom rapporteringspliktige.
Behandling av personopplysninger internt
Utveksling av opplysninger innen samme juridiske enhet
Behandlingen av personopplysninger kan møte på utfordringer når opplysningene er registrert i én del av virksomheten, men som kan være relevante i en annen del av virksomheten. Hensynet til personvern og kravene etter GDPR tilsier at den rapporteringspliktige må ha et bevisst forhold til behandlingen av opplysningene, også innad i den juridiske enheten.
Behandling av personopplysninger forutsetter et behandlingsgrunnlag.1
Hvitvaskingsregelverket utgjør et selvstendig behandlingsgrunnlag hvor rapporteringspliktige har anledning til å behandle personopplysninger for å oppfylle forpliktelsene etter hvitvaskingsloven og forskriften.2
Det avgjørende er hvorfor informasjonen behandles, hvor forutsetningen for behandlingsgrunnlaget er at opplysningene behandles for å forebygge og avdekke hvitvasking og terrorfinansiering. Rapporteringspliktige vil dermed som utgangspunkt kunne benytte informasjon som er tilgjengelig internt, forutsatt at formålet er å forebygge og avdekke hvitvasking og terrorfinansiering.
Adgangen til å benytte tilgjengelig informasjon internt er imidlertid ikke ubegrenset.
Avsløringsforbudet tilsier et “need to know”-prinsipp, hvor også “tredjepersoner” internt i virksomheten omfattes av forbudet.3 Forbudet gjelder imidlertid ikke ansatte som jobber med kunden, eller som på annet grunnlag har tjenestelig behov for informasjonen.4 Finanstilsynet er av den oppfatning at foretaket i slike tilfeller bør dele all relevant informasjon med ansatte som håndterer den aktuelle kunden. Som et eksempel viser Finanstilsynet til at det vil være relevant å dele opplysninger om undersøkelser og rapportering av en personkunde med ansatte i bedriftsmarkedet, dersom denne kunden også er reell rettighetshaver i en bedriftskunde, og omvendt.5
Behandlingsgrunnlagets omfang og nødvendigheten av å behandle personopplysningene for å overholde forpliktelsene etter hvitvaskingsregelverket bør imidlertid dokumenteres i en konkret risikobasert vurdering.6
Med andre ord: Er behandlingen nødvendig for å forebygge og avdekke hvitvasking og terrorfinansiering? Vurderingen bør være dekkende både for behovet for å benytte personopplysninger internt i den juridiske enheten og behovet for å benytte opplysningene på tvers av ulike områder og/eller tjenester.
Utveksling av opplysninger i konsernforhold
Hvitvaskingsloven gir også adgang til å utveksle opplysninger innad i konsernforhold. Adgangen gjelder kun mellom visse typer rapporteringspliktige (finansforetak, verdipapirforetak, verdipapirfond og låneformidlingsforetak) som er del av samme konsern og etablert i EØS.7
Utveksling av opplysninger i konsernforhold kan kun skje på nærmere angitte vilkår, herunder at informasjonen gjelder enten en felles kunde, eller kunder som har særlig tilknytning til hverandre (for eksempel felles reell rettighetshaver eller andre forhold som kan tilsi at en transaksjon eller aktivitet gjennomføres på vegne av samme person).8
Dersom vilkårene er innfridd, kan alle relevante opplysninger og dokumenter som er innhentet eller utarbeidet etter hvitvaskingsregelverket utveksles, også ved etablering av kundeforhold.9
Det presiseres at det enkelte selskap er fremdeles pliktig til å gjennomføre risikoklassifisering og kundetiltak mv. og adgangen til å motta opplysninger fra andre selskap i konsernet endrer ikke dette.10 Det stilles også krav til en sentralisert funksjon for informasjonsdeling for å håndtere konsernets risiko for hvitvasking og terrorfinansiering.11
Utveksling av opplysninger eksternt
Taushetsplikter for ulike foretak er strengt regulert i lovgivningen. Innenfor området for anti-hvitvasking og terrorfinansiering pålegges i tillegg de rapporteringspliktige foretakene et avsløringsforbud som har til formål å verne om undersøkelser og eventuell etterforskning av forhold som knytter seg til hvitvasking og terrorfinansiering.
Hvitvaskingsregelverket har egne bestemmelser som gir unntak fra disse pliktene - taushetsplikten og avsløringsforbudet - hvor enkelte rapporteringspliktige foretak kan utveksle opplysninger seg imellom. Adgangen til å utveksle opplysninger fremgår av to lovbestemmelser. Den ene er hvvl. § 28 som gir unntak fra avsløringsforbudet og den andre er hvvl. § 31 som gir unntak fra taushetsplikten.
Unntak fra avsløringsforbudet etter hvitvaskingsloven § 28
Hvitvaskingsloven § 28 sjette ledd åpner for utveksling av opplysninger mellom rapporteringspliktige om en felles kunde i en transaksjon. Adgangen forutsetter at de rapporteringspliktige tilhører samme profesjonskategori og er pålagt forpliktelser med hensyn til taushetsplikt og vern av personopplysninger.
Hvitvaskingsforskriften § 5-2 oppstiller hvilke kategorier av rapporteringspliktige som anses å inngå i samme profesjonskategori. For eksempel inngår banker, kredittforetak, finansieringsgforetak, betalingsforetak og andre som har rett til å yte betalingstjenester i samme kategori, jf. bestemmelsens bokstav a.
Finanstilsynets veileder til hvitvaskingsloven presiserer imidlertid at unntaket fra avsløringsforbudet ikke i seg selv medfører hjemmel til å utveksle opplysninger på tvers av eventuelle regler om taushetsplikt og behandling av personopplysninger.12
Finanstilsynet overlater til de rapporteringspliktige å vurdere om det finnes hjemmel til utveksling av opplysninger i hvert konkrete tilfelle, og henviser til hvitvaskingsloven § 31 og finansforetaksloven § 16-2 som eksempler.
Unntak fra taushetsplikten etter hvitvaskingsloven § 31
Hvitvaskingsloven § 31 tredje ledd åpner for informasjonsutveksling mellom visse typer foretak knyttet til undersøkelse av indikasjoner på hvitvasking eller terrorfinansiering. En forutsetning for informasjonsutvekslingen er at kundeopplysningene som utveksles er nødvendige. I tillegg må delingen være nødvendig for undersøkelsene.
I veileder til hvitvaskingsloven presiserer Finanstilsynet at den forespørrende rapporteringspliktige må ha et særskilt grunnlag for forespørselen i pågående undersøkelser med hjemmel i hvitvaskingsloven. Videre presiseres det at undersøkelsene kan i tillegg til kundeinformasjon omhandle transaksjoner og identiteten til avsender eller mottaker.
Adgangen for informasjonsutveksling etter denne bestemmelsen, tar imidlertid ikke utgangspunkt i deling mellom rapporteringspliktige i samme profesjonskategori, slik som unntaket fra avsløringsforbudet etter hvitvaskingsloven § 28 som omtalt over. Det er kun banker, kredittforetak, finansieringsforetak og forsikringsforetak som har adgang til å utveksle informasjon i henhold til denne bestemmelsen, jf. henvisningen til hvitvaskingsloven § 4 første ledd bokstav a til c og j.
Betalingsforetak og andre som har rett til å yte betalingstjenester, som i henhold til hvitvaskingsforskriften § 5-2 anses å inngå i samme profesjonskategori som banker, kredittforetak og finansieringsforetak, er dermed ikke omfattet av unntaket i hvitvaskingsloven § 31.
Dette innebærer at betalingsforetak kan utveksle opplysninger med banker ved nærmere undersøkelser, men ikke ved gjennomføring av øvrige kundetiltak som for eksempel etterspørre midlenes opprinnelse ved kundeetablering. Det er usikkert om formuleringen har vært et bevisst lovgivervalg.
Slik det fremgår av Karnovs kommentarutgave til hvitvaskingsloven, kan det stilles spørsmål om bestemmelsen ikke bør omfatte samme type foretak som unntaket fra avsløringsforbudet og at bestemmelsen av hensyn til formålsbetraktninger burde tolkes utvidende til også å gjelde betalingsforetak.14
Unntak fra taushetsplikten etter finansforetaksloven § 16-2
Finansforetaksloven gir imidlertid betalingsforetak en videre adgang til å utveksle opplysninger.15 Lovens § 16-2 tredje ledd bokstav a legger til grunn at taushetsplikten ikke er til hinder for at et finansforetak i særlige tilfeller gir et annet finansforetak opplysninger som foretaket har mottatt under utøvelsen av virksomheten. Forutsetningen er at formålet er å avdekke eller motvirke økonomisk kriminalitet eller annen alvorlig kriminalitet.
Unntaket fra taushetsplikten etter finansforetaksloven er følgelig ikke begrenset til utveksling av opplysninger ved nærmere undersøkelser, slik som hvitvaskingsloven § 31, men gjelder i alle tilfeller hvor formålet er å avdekke eller motvirke økonomisk kriminalitet eller annen alvorlig kriminalitet, som for eksempel hvitvasking eller terrorfinansiering.
Det innebærer at betalingsforetak, herunder foretak som har rett til å yte betalingstjenester, kan utveksle opplysninger med andre finansforetak, forutsatt at formålet er å avdekke eller motvirke økonomisk kriminalitet eller annen alvorlig kriminalitet.
PwC bistår i håndteringen av reglene
PwC har god erfaring med å gjennomføre risikovurderinger og DPIA, samt med å implementere rutiner for behandling og utveksling av personopplysninger i tråd med hvitvaskingsregelverket og personvernforordningen (GDPR).
Ta kontakt dersom du har spørsmål eller behov for bistand!