Delning av kunduppgifter mellan banker i syfte att motverka ekonomisk brottslighet
IMY arbetar sedan ett par år tillbaka med sin regulatoriska sandlåda för att ge vägledning i gråzonsfrågor som rör dataskyddsförordningen, GDPR. I detta projekt har IMY tillsammans med SEB, Nordea, Swedbank och Handelsbanken undersökt några av de juridiska förutsättningarna för att öka informationsdelningen mellan banker för att stärka förmågan att bekämpa penningtvätt, terrorfinnansering och bedrägerier.
Bankerna ser ett behov av att kunna dela uppgifter om kunder som utgör en förhöjd risk genom att ”flagga” en kund i ett gemensamt system. En viktig fråga i projektet har varit om bankernas flaggningar i sig kan utgöra uppgifter om lagöverträdelser enligt artikel 10 i GDPR. IMY:s bedömning är att mycket talar för att det kan anses vara personuppgifter om lagöverträdelser eller brottsmisstankar.
Projektet har även undersökt om det finns rättslig grund för en bank att inom ramen för en annan banks kundkännedomsprocess och riskbedömning dela uppgifter om kunder.
IMY konstaterar att det visserligen kan utgöra både ett allmänt intresse och ett berättigat intresse att bekämpa ekonomisk brottslighet, men att det inte finns stöd i gällande rätt för bankernas tilltänkta delning av kunduppgifter som rör lagöverträdelser. Banksekretessen i banklagen och sekretessbestämmelserna i penningtvättslagen och betaltjänstlagen gör det svårt att möjliggöra en sådan delning.
För att dela kunduppgifter på det sätt som varit aktuellt i projektet behövs sannolikt lagändringar. Att motverka penningtvätt, finansiering av terrorism och bedrägerier är allmänna intressen som kan motivera lagstiftning som skapar en rättslig grund för delningen av personuppgifter, även uppgifter om lagöverträdelser. En sådan reglering anser IMY behöver innehålla särskilda skyddsåtgärder och uppfylla de grundläggande kraven på nödvändighet och proportionalitet.
