Gælder GDPR for hvidvaskere?

Persondataforordningen gælder for alle – også kriminelle. Og alle har ret til at få deres persondata beskyttet. Og dog. Kan du som hvidvasker regne med at få indblik i de personoplysninger, som banken behandler for at opklare sagen, eller de oplysninger om dig, som banken sender videre til myndighederne? Det svarer Jakob Dedenroth Bernhoft på i denne uges klumme – der i den aktuelle anledning tjener som forbrugeroplysning for hvidvaskere.

Danske Bank har som bekendt fået en kæmpe hvidvasksag på halsen i Estland. Og for nogle dage siden kom det frem, at mistænkelige kunder med bankkonti i Nordea har fået overført 2 mia. kr. Alle sammen med konti på Vesterbrogade i centrum af København.

Når man som bank fatter mistanke til, at en kunde kan være indblandet i hvidvask, skal det indberettes til Bagmandspolitiet (SØIK), medmindre kunden har en god forklaring på, hvad der foregår. Tit og ofte indeholder en sådan indberetning personoplysninger. Gælder GDPR her? Kan man få indsigt i, hvad banken har indberettet til myndighederne om én selv? GDPR gælder i princippet for alle – også kriminelle. Alle har ret til at få deres personoplysninger beskyttet. Og dog. For når det kommer til hvidvasklovgivning, så er dele af GDPR sat ud af kraft.

Hvidvaskloven helt kort
Hvidvaskloven indeholder regler, som skal forsøge at imødegå hvidvask. Det betyder blandt andet, at banker skal være sikre på, hvem det er, der opretter en konto, og de skal overvåge kundens transaktioner. Hvis der er usædvanlige transaktioner, skal banken tage fat i kunden og spørge ind til årsagen. Hvis kunden ikke kommer med en overbevisende forklaring, skal banken indberette kunden til Bagmandspolitiet. En usædvanlig transaktion kan for eksempel være, hvis en VVS-virksomhed med danske kunder og en årlig omsætning på 2 mio. kr. pludselig modtager en betaling på 4 mio. kr. fra en virksomhed i Polen.

Når der sker indberetning til Bagmandspolitiet (SØIK), sender banken en lang række personoplysninger afsted om den person, som er kontohaver, eksempelvis fornavn, efternavn, fødselsdato, cpr. nr., adresse og kontonummer. Herudover selvfølgelig også oplysninger om, hvad det er, som banken har fundet mistænkeligt, og som kan indeholde en lang række af personoplysninger.

Hvidvaskloven er omfattet af oplysningspligten i GDPR
Et centralt princip i GDPR er transparens. Når man som virksomhed behandler personoplysninger, skal man fortælle den pågældende person, hvad det er, man gør med dem. Man skal for eksempel fortælle, hvad formålet er med behandlingen, hjemlen til behandling, hvor lang tid oplysningerne opbevares, eventuelle modtagere af personoplysningerne og hvorvidt der sker overførelser til et tredjeland.

Dette gælder også personoplysninger indsamlet med hjemmel i hvidvaskloven.

Hvidvaskloven afskærer indsigtsretten
Der findes forskellige bestemmelser i hvidvaskloven, som reducerer indsigtsretten, og hvor den pågældende person ikke har krav på at få indsigt i egne personoplysninger:

  • Det gælder i forhold til undersøgelser om formålet med komplekse og usædvanligt store transaktioner samt alle usædvanlige transaktionsmønstre. Det gælder også aktiviteter, der ikke har et klart økonomisk eller påviseligt lovligt formål. Formålet er at fastslå, om der er mistanke om eller rimelig grund til at formode, at disse har eller har haft tilknytning til hvidvask eller finansiering af terrorisme. De personoplysninger, som behandles i disse tilfælde, kan den pågældende person ikke få indsigt i.
  • Man er også afskåret fra at få at vide hvilke personoplysninger, som banken eventuelt har videregivet til Bagmandspolitiet.

GDPR er beskyttelse af personoplysninger, men til en vis grænse. Når det kommer til kriminelle, så er her et område, hvor reglerne i forhold til indsigtsretten er sat ud af spil. Og det virker fornuftigt nok.

Ingen bidske bemærkninger og halvsure opstød herfra i denne uges blog. Der er tale om almindelig forbrugeroplysning: Hvis du har tænkt dig at hvidvaske, skal du ikke regne med at få indblik i de personoplysninger, som banken behandler for at opklare sagen, eller de oplysninger om dig, som banken sender videre til Bagmandspolitiet (SØIK).

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.