Hoppa till innehåll på sidan

Stärkta åtgärder mot penningtvätt och finansiering av terrorism

SOU 2021:42

Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter
skyddas i samband med behandling av personuppgifter.

IMY lämnar följande synpunkter.

Vad gäller brottsbekämpande myndigheters behandling inom särskild samverkan ger förslaget långtgående möjligheter för myndigheter och verksamhetsutövare att behandla personuppgifter i syfte att bekämpa penningtvätt och finansiering av
terrorism.

Ett grundläggande krav enligt EU:s dataskyddsförordning är att behandling av personuppgifter måste ha stöd i en rättslig grund, dvs. antingen ske med samtycke eller uppfylla villkoren i något av leden b–f i artikel 6.1 första stycket. Bland dessa
villkor ingår att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (led c) och att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (led e). Enligt
utredningens bedömning kan den behandling av personuppgifter som sker inom ramen för en beslutad samverkan anses nödvändig för att uppfylla en rättslig förpliktelse, dvs. ske med stöd av artikel 6.1 c i dataskyddsförordningen. IMY anser att
det är tveksamt om en beslutad samverkan innebär att det uppstår en rättslig förpliktelse för deltagarna i dataskyddsförordningens mening. Den som deltar i en särskilt beslutad samverkan är förvisso ålagd en skyldighet att lämna uppgifter till
andra deltagare. Deltagandet i en särskilt beslutad samverkan är dock frivilligt. Den myndighet eller verksamhetsutövare som inte vill lämna ut sina personuppgifter har därmed en reell möjlighet att avstå. IMY delar däremot utredningens bedömning att
den behandling av personuppgifter som utförs inom ramen för särskilt beslutad samverkan kan ske med stöd av artikel 6.1 e i dataskyddsförordningen, så länge behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av
lag (penningtvättslagen).

Brottsbekämpande myndigheter kommer att lämna ut integritetskänsliga uppgifter, som normalt sett omfattas av sekretess, till enskilda verksamhetsutövare. Utredningen föreslår bestämmelser om förbehåll och tystnadsplikt som ska motverka att dessa
uppgifter lämnas vidare till obehöriga. IMY anser att det i detta sammanhang bör framhållas att personuppgifter måste skyddas mot obehörig åtkomst genom lämpliga tekniska och organisatoriska säkerhetsåtgärder i samband med behandling av personuppgifter t.ex. genom system och interna rutiner för begränsad åtkomst. Det framgår redan av de grundläggande kraven i artikel 5.1 f dataskyddsförordningen att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet. Det framgår vidare av artikel 32.2 dataskyddsförordningen att vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Lämplig säkerhetsnivå ska även iakttas i samband med att personuppgifterna överförs mellan de olika aktörerna.

Med beaktande särskilt av att även privata aktörer kommer att ingå i beslut om särskild samverkan är det viktigt att integritetskänsliga och sekretesskyddade uppgifter som lämnas ut av en brottsbekämpande myndighet får ett tillräckligt skydd. Vilka säkerhetsmässiga krav som ställs på behandlingen hos de olika myndigheterna och verksamhetsutövarna är således något som bör uppmärksammas i samband med att en samverkan beslutas. Det framgår inte av betänkandet vad det skriftliga beslutet om samverkan i detalj ska innehålla. Det ankommer på respektive aktör att utforma ett sådant beslut utifrån gällande regler och verksamhetens behov. Vilka krav på säkerhet i samband med behandling av personuppgifter som är lämpligt hos de olika aktörerna kan vara en sådan omständighet som bör tas med i det skriftliga beslutet.

Förslaget innebär att privata aktörer kommer att få tillgång till känslig information från myndigheter på ett sätt som inte tidigare varit möjligt. Många uppgifter kommer att handla om misstankar mot enskilda. Den enskildes rättigheter begränsas bland annat genom regler om verksamhetsutövares och tjänsteleverantörers tystnadsplikt. IMY anser att det kan finnas anledning att närmare analysera vilka eventuella begränsningar av behandlingen som kan göras i förhållande till de uppgifter som kan komma att utbytas och om kompensatoriska åtgärder för att stärka den registrerades rättigheter och skyddet för den personliga integriteten bör införas. Det kan handla om krav på detaljerad dokumentation av vilka omständigheter som ligger till grund för beslutet om samverkan och den personuppgiftsbehandling som kan anses nödvändig inom ramen för det enskilda projekt som samverkan avser. Det kan även handla om kortare bevarandetider av känslig information som en verksamhetsutövare fått ta del av. Det bör som jämförelse framhållas att den enskilde i vissa avseenden har fler rättigheter mot brottsbekämpande myndigheter än mot verksamhetsutövare och tjänsteleverantörer. Den registrerade kan enligt 5 kap. 3 § brottsdatalagen begära att IMY ska kontrollera om uppgifter om denne behandlas författningsenligt hos brottsbekämpande myndigheter. En sådan så kallad laglighetsprövning kan den registrerade begära om han misstänker att myndigheten har brister i sin personuppgiftsbehandling. Det kan handla om att den registrerade misstänker att han finns med i ett register som han inte borde vara med i eller att myndigheten behandlar uppgifter om den registrerade som är felaktiga. IMY kan vägra att utföra kontrollen om begäran är uppenbart ogrundad eller orimlig. Om IMY vägrar att utföra kontrollen får den klagande ett skriftligt beslut om detta som kan överklagas. Frågor om kompensatoriska åtgärder för att stärka de registrerades rättigheter bör belysas ytterligare i den kommande beredningen.

Detta yttrande har beslutats av enhetschefen Catharina Fernquist efter föredragning av avdelningsdirektören Hans Kärnlöf. Vid den slutliga handläggningen har även juristen Jonas Agnvall medverkat.

Catharina Fernquist, 2021-09-23 (Det här är en elektronisk signatur)

Mottagare:
Regeringskansliet, Finansdepartementet

Diarienummer:
DI-2021-5157

Ert diarienummer:
Fi2021/02222

Datum: 2021-09-23

 

Senast uppdaterad: 5 oktober 2021
Sidans etiketter Dataskydd