7 Behandling av personopplysninger og andre opplysninger
7.1 Innledning
Regelverket for tiltak mot hvitvasking og terrorfinansiering forutsetter behandling av både personopplysninger og andre opplysninger, herunder dokumenter. Rapporteringspliktige behandler personopplysninger og andre opplysninger ved bl.a. gjennomføring av kundetiltak, nærmere undersøkelser og rapportering. Videre har avsløringsforbudet og regler om utveksling av opplysninger om kunder enten til offentlige myndigheter eller som følge av utkontraktering eller bruk av tredjeparts kundetiltak, også en side til regler om behandling av personopplysninger.
Behandling av personopplysninger er generelt regulert i personopplysningsloven. Reglene her vil i utgangspunktet gjelde for rapporteringspliktiges behandling av personopplysninger i medhold av hvitvaskingsregelverket. Rapporteringspliktige vil dermed ha flere regelsett å forholde seg til ved behandlingen av personopplysninger. Det er derfor nødvendig å avklare forholdet mellom regelsettene, særlig sett hen til de grunnleggende rettighetene personopplysningsregelverket i utgangspunktet gir personer hvis personopplysninger behandles. Disse rettighetene er også vernet i Grunnloven § 102 og Den europeiske menneskerettighetskonvensjon (EMK) artikkel 8.
Regelverket om behandling av personopplysninger bygger på EUs personverndirektiv (direktiv 95/46/EF). Direktivet avløses av EUs personvernforordning (forordning (EU) 2016/679) 25. mai 2018. Justis- og beredskapsdepartementet hadde på høring til 18. oktober 2017 forslag til ny lov om behandling av personopplysninger. Høringsnotatet omfatter bl.a. gjennomføring av personvernforordningen som norsk lov. Høringen er foreløpig ikke fulgt opp med en lovproposisjon fra Justis- og beredskapsdepartementet.
Hvitvaskingsregelverket innebærer også behandling av personopplysninger fra det offentliges side. Særlig gjelder dette Enheten for finansiell etterretning ved Økokrim. Behandlingen av personopplysninger i politiet og påtalemyndigheten er i utgangspunktet uttømmende regulert i politiregisterloven og politiregisterforskriften, og det er derfor nødvendig å sikre at hvitvaskingsregelverket er konsistent med de nevnte reglene.
7.2 Rapporteringspliktiges behandling av opplysninger og dokumenter
7.2.1 Gjeldende rett
Rapporteringspliktige har plikt til å registrere opplysninger i medhold av hvitvaskingsloven §§ 8, 17 og 22. Reglene knytter seg til gjennomføring av kundekontroll, undersøkelser og oppbevaring av opplysninger og dokumenter benyttet i forbindelse med kundekontroll og gjennomføring av undersøkelser.
Som hovedregel skal rapporteringspliktige registrere kundens navn, fødselsnummer eller organisasjonsnummer, eller annen entydig identitetskode, og adresse, se hvitvaskingsloven § 8 første ledd. Det skal også registreres en referanse til legitimasjonen som er brukt for å bekrefte kundens identitet. Videre må det registreres tilstrekkelige opplysninger til entydig å identifisere reell rettighetshaver, se § 8 femte ledd. I § 8 annet til fjerde ledd er det gjort enkelte unntak fra hovedregelen om opplysningene som skal registreres om kunden, og hvilke opplysninger som i så fall skal registreres i stedet.
Resultater av undersøkelser av mistenkelige transaksjoner, jf. hvitvaskingsloven § 17, skal registreres skriftlig eller elektronisk, jf. § 17 annet ledd.
Etter § 22 må rapporteringspliktige oppbevare kopier av dokumenter benyttet i forbindelse med kundekontroll og registrerte opplysninger som nevnt i § 8, i fem år etter at kundeforholdet er avsluttet eller transaksjonen gjennomført. Lengre frister kan følge av annen lov eller forskrift. Rapporteringspliktige må bruke kontonummer eller lignende for å registrere en entydig forbindelse mellom kundeforhold og registrerte opplysninger. Dokumenter i tilknytning til mistenkelige transaksjoner, jf. § 17, skal oppbevares i minst fem år etter at transaksjonen er gjennomført.
Bokføringsloven med forskrift inneholder generelle regler om oppbevaring av bokføringsmateriale. Alle som er regnskapspliktige, er også bokføringspliktige, jf. bokføringsloven § 2. Det er plikt til å oppbevare bl.a. spesifikasjoner av pliktig regnskapsrapportering som nevnt i § 5, jf. bokføringsloven § 13 første ledd nr. 2. Oppbevaringstiden er fem år etter regnskapsårets slutt, jf. § 13 annet ledd. Pliktig regnskapsrapportering omfatter blant annet kundespesifikasjon, jf. § 5 første ledd nr. 3. I bokføringsforskriften § 3-1 første ledd nr. 3 er kravet til innholdet i spesifikasjonen presisert. Kravene innebærer at alle transaksjoner med kunder skal fremgå av kundespesifikasjonen.
Hvitvaskingsloven §§ 22 og 25 og hvitvaskingsforskriften § 17 stiller krav til måten opplysninger og dokumenter oppbevares. Disse skal oppbevares betryggende, beskyttes mot uautorisert tilgang og slettes senest ett år etter at oppbevaringstiden er gått ut, jf. § 22. Videre skal rapporteringspliktige som nevnt i hvitvaskingsloven § 4 første ledd ha systemer som muliggjør raske og fullstendige svar på forespørsler fra myndighetene om den rapporteringspliktige har hatt kundeforhold med konkrete personer. Systemet skal også kunne gi opplysninger om kundeforholdets art.
I medhold av hvitvaskingsforskriften § 17 skal kopier av dokumenter ha påskrift om «rett kopi bekreftes» med signatur av personen som har gjennomført kundekontroll. Oppbevaringsmediet skal sikre lesekvaliteten i hele oppbevaringstiden, og for elektronisk materiale skal det foreligge sikkerhetskopi som lagres atskilt fra originalen, se forskriften § 17 annet og tredje ledd.
Hvitvaskingsloven inneholder enkelte regler som uttrykkelig gir hjemmel for utlevering av opplysninger som er taushetsbelagt. Hvitvaskingsloven § 20 første ledd bestemmer at opplysninger gitt til Økokrim i god tro i samsvar med § 18 om rapportering verken kan medføre erstatnings- eller straffansvar. I annet ledd åpnes det for at finansinstitusjoner og forsikringsselskaper uten hinder av taushetsplikt utveksler nødvendige kundeopplysninger som ledd i gjennomføringen av undersøkelser i samsvar med § 17. Utveksling av opplysninger fra tredjepart til rapporteringspliktig, som er nødvendige for at rapporteringspliktig skal oppfylle sine plikter i henhold til §§ 5 annet ledd, 8 eller 22, medfører ikke brudd på taushetsplikt når kunden informeres om at opplysningene utleveres, jf. § 11 fjerde ledd. Ved utkontraktering er det gjort unntak for utveksling av opplysninger og dokumenter fra oppdragstaker til rapporteringspliktig, når dette er nødvendig for å sikre rapporteringspliktigs etterlevelse av §§ 5 annet ledd, 8 og 22, se § 12 fjerde ledd.
Reglene om forbud mot å avsløre undersøkelser, rapportering mv., begrenser rapporteringspliktiges adgang til å utlevere opplysninger.
I hvitvaskingsloven § 22 tredje ledd er det bestemt at personopplysningsloven gjelder for rapporteringspliktiges oppbevaring av personopplysninger i medhold av hvitvaskingsloven. Sentrale elementer i personopplysningsloven omfatter krav til grunnlaget for å behandle personopplysninger, formålsbegrenset behandling av personopplysninger, informasjonssikkerhet og internkontroll. I tillegg gis den registrerte rett til innsyn, informasjon og krav om retting og sletting.
7.2.2 EØS-rett
Hvitvaskingslovutvalget redegjør for fjerde hvitvaskingsdirektiv sine regler om rapporteringspliktiges behandling av personopplysninger i NOU 2016: 27 punkt 7.3.1:
«Fjerde hvitvaskingsdirektiv artikkel 40 gjelder lagring av opplysninger og dokumenter. Overtredelser av denne artikkelen skal kunne sanksjoneres, jf. artikkel 59 nr. 1 bokstav c.
Etter artikkel 40 nr. 1 bokstav a skal rapporteringspliktige pålegges å lagre kopier av dokumenter og opplysninger som er innhentet i forbindelse med gjennomføring av kundetiltak. Bokstav b gjelder alle transaksjoner. Rapporteringspliktige skal lagre original eller kopi som kan være bevis ved rettergang, av dokumenter og arkiv som er nødvendig for å identifisere transaksjoner. Opplysningene og dokumentasjonen skal lagres i fem år etter at kundeforholdet ble avsluttet eller transaksjonen ble utført for kunde rapporteringspliktige ikke har et kundeforhold til.
Om ikke annet er bestemt i nasjonal rett, skal personopplysninger slettes ved utløpet av lagringsperioden, se artikkel 40 nr. 1 annet ledd. Medlemsstatene kan utvide lagringsperioden med maksimalt ytterligere fem år. Myndighetene må gjennomføre en grundig vurdering av nødvendigheten og proporsjonaliteten ved ytterligere lagring av personopplysninger. Vurderingen skal gjøres opp mot hensynet til å forebygge, avdekke og etterforske hvitvasking og terrorfinansiering. Den totale lagringstiden kan ikke overstige ti år.
Artikkel 42 pålegger statene å kreve at rapporteringspliktige har systemer for å kunne svare på spørsmål fra FIU-en eller andre myndigheter om den rapporteringspliktige har hatt kundeforhold med konkrete personer i løpet av de siste fem årene. Rapporteringspliktig må også kunne gi opplysninger om arten av kundeforholdet. Svar på forespørslene må gis gjennom sikre kanaler med full konfidensialitet.
Artikkel 45 nr. 8 bestemmer generelt at utlevering av opplysninger innad i konsern skal være tillatt. Mistanke om at midler er utbytte fra straffbare handlinger eller er knyttet til terrorfinansiering som er rapportert til FIU-en, skal utleveres innad i konsernet. Det er unntak om FIU-en har gitt andre instrukser om utlevering av opplysninger.
Direktivet pålegger avsløringsforbud etter artikkel 39 nr. 1, og angir unntak fra avsløringsforbudet i nr. 2 til 6. Når det gjelder forholdet til taushetsplikt ellers, bestemmer artikkel 37 at rapportering til FIU-en i god tro ikke skal anses som brudd på taushetsplikt. Disse artiklene er nærmere omtalt i punkt 6.5.6 og 6.5.7. Direktivet har ellers ingen uttrykkelige regler om taushetsplikt.»
Fjerde hvitvaskingsdirektiv artikkel 41 nr. 1 bestemmer at personverndirektivet (direktiv 95/46/EF), som gjennomført i nasjonal rett, skal gjelde for behandlingen av personopplysninger med grunnlag i fjerde hvitvaskingsdirektiv. I personvernforordningen, som opphever personverndirektivet ved ikrafttredelsen 25. mai 2018, bestemmer artikkel 94 at henvisninger til personverndirektivet skal forstås som henvisninger til personvernforordningen.
Personvernforordningen artikkel 5 angir de grunnleggende prinsippene for behandling av personopplysninger. Personopplysninger må bare behandles lovlig, rimelig og på en gjennomsiktig måte, se artikkel 5 nr. 1 bokstav a. Videre kan personopplysninger bare samles inn for spesifiserte, uttrykkelige og legitime formål, se bokstav b. Behandlingen av personopplysninger skal begrenses til adekvate, relevante og nødvendige personopplysninger, sett hen til formålet med behandlingen, se bokstav c. Personopplysningene som behandles må være korrekte («accurate») og, om nødvendig, oppdaterte. Opplysninger som ikke er korrekte, må slettes eller rettes uten opphold, se bokstav d. Lagringen av personopplysningene skal begrenses til det som er nødvendig ut fra formålet med behandlingen av personopplysninger, se bokstav e. I tillegg er det et grunnleggende krav om sikring av personopplysninger, herunder sikring mot uautorisert eller ulovlig behandling og mot tap, skade eller ødeleggelse av opplysningene, se bokstav f.
Forordningen utdyper de grunnleggende prinsippene i senere artikler. Bl.a. stilles det særlig strenge krav til grunnlaget for å behandle særskilte kategorier personopplysninger. I tillegg gis den personen det behandles opplysninger om, en rekke rettigheter. Dette gjelder bl.a. rett til innsyn, klage, informasjon, retting og sletting, se forordningen kapittel III.
I artikkel 23 angir forordningen på hvilket grunnlag medlemsstatene skal kunne gjøre unntak fra forordningens artikler 12 til 22 og artikkel 34. I tillegg kan det gjøres unntak fra artikkel 5 i den grad dens regler korresponderer med artikkel 12 til 22. Unntak må gjøres ved lov. Mulige grunnlag for å gjøre unntak omfatter bl.a. avverging, etterforsking, avdekking og påtale av straffbare overtredelser, jf. artikkel 23 nr. 1 bokstav d. Også andre viktige formål av generell offentlig interesse er omfattet, se bokstav e. I artikkel 23 nr. 2 stilles det krav til innholdet i lovgivningen som gjør unntak fra de nevnte artiklene. Lovgivningen må, der det er relevant, bl.a. angi kategoriene personopplysninger som omfattes av unntaket, sikringsmekanismene for å forhindre misbruk, hvem unntaket gjelder og i hvilke tilfeller mv.
Fjerde hvitvaskingsdirektiv artikkel 41 nr. 2 til 4 utdyper forholdet mellom direktivet og personverndirektivet:
«2. Personopplysninger skal behandles av ansvarlige enheter på grunnlag av dette direktiv bare med sikte på å forebygge hvitvasking av penger og finansiering av terrorisme som nevnt i artikkel 1, og skal ikke viderebehandles på en måte som er uforenlig med disse formålene. Behandling av personopplysninger på grunnlag av dette direktiv for noe annet formål, for eksempel kommersielle, skal være forbudt.
3. Ansvarlige enheter skal gi nye klienter de opplysninger som kreves i henhold til artikkel 10 i direktiv 95/46/EF før de oppretter en forretningsforbindelse eller gjennomfører en enkeltstående transaksjon. Disse opplysningene skal særlig omfatte generell informasjon om ansvarlige enheters juridiske forpliktelser i henhold til dette direktiv når de behandler personopplysninger med sikte på å forebygge hvitvasking av penger og finansiering av terrorisme som nevnt i artikkel 1.
4. Ved anvendelsen av forbudet mot utlevering av opplysninger fastsatt i artikkel 39 nr. 1, skal medlemsstatene vedta lovgivningsmessige tiltak som helt eller delvis begrenser den registrertes tilgang til opplysninger om seg selv, i den utstrekning slik hel eller delvis begrensning utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn, samtidig som det tas behørig hensyn til den berørte persons rettmessige interesser, for å
a) sette den ansvarlige enhet eller vedkommende nasjonale myndighet i stand til å utføre sine oppgaver forsvarlig i henhold til dette direktiv, eller
b) unngå å hindre offisielle eller rettslige undersøkelser, analyser, forundersøkelser og framgangsmåter i henhold til dette direktiv og sikre at forebygging, etterforskning og avdekking av hvitvasking av penger og finansiering av terrorisme ikke settes i fare.»
7.2.3 FATFs anbefalinger
Anbefaling 11 om «Record-keeping» lyder som følger:
«Financial institutions should be required to maintain, for at least five years, all necessary records on transactions, both domestic and international, to enable them to comply swiftly with information requests from the competent authorities. Such records must be sufficient to permit reconstruction of individual transactions (including the amounts and types of currency involved, if any) so as to provide, if necessary, evidence for prosecution of criminal activity.
Financial institutions should be required to keep all records obtained through CDD measures (e.g. copies or records of official identification documents like passports, identity cards, driving licences or similar documents), account files and business correspondence, including the results of any analysis undertaken (e.g. inquiries to establish the background and purpose of complex, unusual large transactions), for at least five years after the business relationship is ended, or after the date of the occasional transaction.
Financial institutions should be required by law to maintain records on transactions and information obtained through the CDD measures.
The CDD information and the transaction records should be available to domestic competent authorities upon appropriate authority.»
Anbefaling 9 krever generelt at «financial institution secrecy laws» ikke skal hindre implementering av FATFs anbefalinger. I FATF-metodologien om anbefaling 9 er det i en fotnote henvist til anbefalingene 13, 16 og 17 om henholdsvis korrespondentforbindelser, elektroniske betalingsoverføringer («wire transfers») og adgangen til å legge til grunn kundetiltak utført av tredjepart når det gjelder rapporteringspliktiges muligheter til å utlevere opplysninger i samsvar med anbefaling 9.
Utlevering av opplysninger i forbindelse med rapportering til FIU-en i god tro, skal ikke kunne medføre verken straffansvar eller sivilrettslig ansvar for brudd på taushetsplikt, se anbefaling 21 bokstav a. Dette gjelder uavhengig av om taushetsplikten bygger på kontrakt, lov eller forskrift.
7.2.4 Utvalgets forslag
Utvalget foreslår i NOU 2016: 27 punkt 7.6 et samlet kapittel om behandling av opplysninger, herunder personopplysninger. Bestemmelsene knyttes til registrering, lagring, utlevering og sletting av opplysninger og dokumenter. I tillegg foreslås enkelte bestemmelser om forholdet til personopplysningsloven.
Utvalget foreslår en innledende bestemmelse om forholdet til personopplysningsloven, se lovutkastet § 27. Bestemmelsen gjør det klart at personopplysningslovens regler i utgangspunktet gjelder for rapporteringspliktige, men med de unntak og presiseringer som fremgår av hvitvaskingsloven. Lovutkastet er ikke ment å gripe inn i personopplysningsloven § 5 om personopplysningslovens virkeområde. I tillegg innebærer utkastet til lovbestemmelse at det gis uttrykkelig hjemmel for rapporteringspliktige til å behandle personopplysninger, herunder sensitive personopplysninger. Lovutkastet skal ikke påvirke melde- og konsesjonssystemet i personopplysningsloven.
Utvalget foreslår en særskilt bestemmelse om formålsbestemt behandling av personopplysninger, se lovutkastet § 28. Utvalget sier følgende om bestemmelsens betydning for rapporteringspliktige i NOU 2016: 27 punkt 7.6.2:
«For rapporteringspliktige innebærer kravet om formålsbestemt behandling av personopplysninger at opplysningene som innhentes som ledd i kundetiltak, ikke kan brukes ved f.eks. markedsføring overfor kundene. Det samme gjelder dersom rapporteringspliktig ønsker å utlevere opplysninger til andre. Personopplysningene kan bare behandles med formål om å forebygge og avdekke hvitvasking og terrorfinansiering.»
Videre foreslår utvalget bestemmelser om rapporteringspliktiges registrering, lagring, sletting og utlevering av opplysninger og dokumenter innhentet i medhold av hvitvaskingsloven. Utvalget har lagt vekt på å samle alle bestemmelser om rapporteringspliktiges behandling av opplysninger og dokumenter på ett sted i loven, fremfor å ha dem spredd på ulike bestemmelser slik som i gjeldende hvitvaskingslov. Utvalget foreslår i all hovedsak endringer i reglene på bakgrunn av fjerde hvitvaskingsdirektiv og FATF-rapporten, men foreslår også enkelte endringer som ikke har bakgrunn i direktivet og rapporten.
For det første foreslår derfor utvalget å fjerne enkelte av de uttrykkelige pliktene knyttet til lagringen av opplysninger og dokumenter, se NOU 2016: 27 punkt 7.6.3.3. Utvalget viser til at den grunnleggende plikten er å sikre betryggende lagring, og presiseringer i enkelte retninger kan medføre at rapporteringspliktige ikke gjør mer enn det som er uttrykkelig bestemt for å oppfylle kravet til betryggende lagring.
For det andre foreslår utvalget at lagringstiden for opplysninger og dokumenter utarbeidet i forbindelse med gjennomføring av undersøkelser, knyttes til eventuelt opphør av kundeforhold, se lovutkastet § 31 første ledd. Utvalget viser til FATF-rapporten og fjerde hvitvaskingsdirektiv.
For det tredje foreslår utvalget en klarere angivelse av sletteplikten knyttet til personopplysninger, og viser til at gjeldende rett kan innebære at opplysninger lagres inntil seks år, fremfor de fem årene som i utgangspunktet skal gjelde etter fjerde hvitvaskingsdirektiv. Samtidig presiserer utvalget at sletteplikten kun gjelder personopplysninger. For andre opplysninger vil det være plikt til å lagre dem i fem år, men ingen plikt til å slette dem. Videre foreslår utvalget at rapporteringspliktige kan lagre personopplysningene inntil fem år lenger, totalt ti år. Utvalget viser til at det kan være tilfeller der det er et sterkt behov for å lagre opplysninger og dokumenter lenger enn fem år. Utvalget foreslår at det må være «strengt nødvendig» at opplysninger lagres lenger, og at opplysningene skal slettes så snart formålet ikke lenger tilsier lagring. Utvalget foreslår, i samsvar med direktivet, at opplysningene uansett må slettes senest etter ti år.
For det fjerde foreslår utvalget en særskilt bestemmelse om adgangen til å utlevere opplysninger fra rapporteringspliktige, se lovutkastet § 32. Samtidig foreslår utvalget ikke å videreføre særlige bestemmelser i gjeldende hvitvaskingslov om utveksling av opplysninger mellom tredjepart og rapporteringspliktig, i forbindelse med utkontraktering og som ledd i gjennomføring av undersøkelser. Utvalget viser til at fjerde hvitvaskingsdirektiv kun uttrykkelig regulerer situasjonen der det innad i konsern skal utveksles opplysninger om at det er rapportert til FIU-en. Utvalget overlater i stedet reguleringen av de nevnte situasjonene til generelle regler om taushetsplikt og vern av personopplysninger, herunder eventuelle konsesjoner fra Datatilsynet. Når det gjelder unntak fra taushetsplikt ved rapportering og utveksling av opplysninger med Økokrim, viser utvalget til at det er foreslått at slik rapportering og utveksling i god tro ikke skal medføre verken straff- eller erstatningsansvar.
I lys av at fjerde hvitvaskingsdirektiv gir enkelte presiseringer opp mot personverndirektivet, foreslår utvalget to regler som ligger tett opptil direktivet, se utkastet til §§ 33 og 34. Utvalget uttaler følgende i NOU 2016: 27 punkt 7.6.3.6 om utkastet til § 33 om unntak fra retten til innsyn:
«Etter utvalgets oppfatning må det gjøres en konkret og individuell vurdering ved innsynsbegjæringen. Begrensningen i innsyn må være et nødvendig og proporsjonalt inngrep overfor den enkelte. Rapporteringspliktig må veie hensynet til den enkelte mot hensynet til ikke å vanskeliggjøre verken gjennomføringen av egne plikter etter loven, kompetente myndigheters plikter eller etterforskning eller lignende undersøkelser. «Lignende undersøkelser» må ses i sammenheng med direktivteksten, som viser til «official or legal inquiries, analyses, investigations or procedures for the purposes of this Directive». Dette omfatter med andre ord også bl.a. Økokrims anmodning om informasjon fra rapporteringspliktige.
Utvalget foreslår en bestemmelse som avgrenser innsynsretten i opplysninger i situasjoner som ligger tett opptil direktivteksten, se forslaget til § 33. Adgangen til å gi innsyn må særlig sees i sammenheng med forbudet mot å avsløre undersøkelser, rapportering eller oversendelse av ytterligere opplysninger til Økokrim i samsvar med forslaget til § 25 første ledd. Som ledd i vurderingen av om innsynsbegrensning er et nødvendig og proporsjonalt inngrep overfor den enkelte, vil det særlig være relevant å vurdere om innsyn kan avgrenses til visse opplysninger. Det vil etter utvalgets oppfatning alltid være proporsjonalt og nødvendig å begrense innsyn i opplysninger om undersøkelse, rapportering og at det er oversendt ytterligere opplysninger til Økokrim.»
7.2.5 Høringsinstansenes syn
Advokatforeningen bemerker at de forstår lovutkastet § 28 slik at behandlingen av personopplysninger etter loven bare kan skje for å forebygge hvitvasking og terrorfinansiering. Foreningen understreker at når utvalget omtaler dette i NOU 2016: 27 punkt 7.6.2 og sier at opplysningene kan brukes til å forebygge og avdekke hvitvasking, herunder profittmotivert kriminalitet, antar foreningen at utvalget ikke mener å gi uttrykk for et utvidet anvendelsesområde.
Datatilsynet har en rekke kommentarer til utvalgets forslag om regulering av behandling av personopplysninger i lovutkastet. Overordnet understreker Datatilsynet at hensynet til personvernregelverket må hensyntas i utformingen av regler om tiltak mot hvitvasking og terrorfinansiering. Datatilsynet påpeker også at lovforslaget må tilpasses ikrafttredelsen av ny personvernforordning, og ikke kan begrenses til tilpasninger til personverndirektivet.
Konkret mener Datatilsynet at lovforslaget klarere må spesifisere hvilke personopplysninger som kan behandles av rapporteringspliktige. Tilsynet mener også det er svært problematisk at lovutkastet åpner for behandling av sensitive personopplysninger uten nærmere vurderinger av behov og forholdsmessighet, og heller ingen angivelse av eller begrensninger i typen sensitive personopplysninger.
Videre anbefaler Datatilsynet at det uttrykkelig fastsettes forbud mot å behandle personopplysninger til andre formål enn å forebygge og avdekke hvitvasking og terrorfinansiering. Datatilsynet bemerker videre at utvalgets vurdering av at det vil ligge innenfor formålet med direktivet å bruke opplysningene også til etterforskning av profittmotivert kriminalitet, synes å være riktig så langt det dreier seg om den straffbare handlingen som utbyttet som er hvitvasket eller forsøkt hvitvasket, stammer fra. Datatilsynet mener derimot at det ikke er adgang til å benytte opplysningene til å etterforske profittbasert kriminalitet generelt, herunder skatteunndragelser. Datatilsynet anbefaler at rekkevidden av formålsbegrensningsprinsippet avklares og presiseres nærmere.
Datatilsynet mener utvalgets forslag om adgang for rapporteringspliktige til å lagre personopplysninger utover fem år, ikke bygger på en nøye vurdering av behovet og forholdsmessigheten av ytterligere lagring i samsvar med fjerde hvitvaskingsdirektiv artikkel 40 nr. 1. Datatilsynet påpeker at det ikke er presisert nærmere for hvilke typer opplysninger eller i hvilke tilfeller utvidet lagringstid er forsvarlig. Tilsynet mener det i for stor grad overlates til rapporteringspliktiges skjønn om de skal lagre opplysningene utover fem år. Datatilsynet foreslår derfor at det kan gis en forskriftshjemmel som gjør det mulig for departementet å fastsette nærmere regler om utvidet lagring etter en konkret vurdering, basert på erfaring.
Etter Datatilsynets oppfatning har utkastet til bestemmelse som begrenser retten til innsyn i registrerte opplysninger, fått en alt for vid og generell utforming. Datatilsynet mener det bør presiseres i hvilke tilfeller det ikke skal gis innsyn og i hva slags type opplysninger/informasjon, og viser til nye krav til unntaksregler i personvernforordningen.
Datatilsynet har også bemerkninger til utvalgets utkast til bestemmelse om konsernrutiner. Etter Datatilsynets syn er det viktige sider av fjerde hvitvaskingsdirektiv artikkel 45 som ikke gjenspeiles i utkastet. Datatilsynet viser til at direktivets krav om felles policy og prosedyre for utveksling og behandling av data, må sees i lys av at overføring av personopplysninger til land utenfor EØS i utgangspunktet er forbudt etter personverndirektivet og personvernforordningen. Overføring kan likevel skje dersom tredjelandet er ansett som trygt, eller det gis tilstrekkelige garantier. En slik garanti kan være interne avtaleverk i konserner for utveksling av personopplysninger.
Finans Norge bemerker at de forstår kravet til behandlingsgrunnlag for sensitive personopplysninger i personvernforordningen slik at det medfører at lovgiver må vurdere hvilke kategorier sensitive personopplysninger som kan behandles. I tillegg må det foretas en vurdering av formålet med behandlingen, holdt opp mot inngrepet i personvernet. Finans Norge påpeker videre at personvernforordningen artikkel 22 inneholder bestemmelser knyttet til automatiserte prosesser, herunder profilering, med blant annet krav om lovhjemmel. Finans Norge viser til at finansnæringen i stor grad benytter digitaliserte prosesser, og at det er viktig at nytt regelverk er teknologinøytralt for å sikre hensiktsmessig utnyttelse av ressurser. Organisasjonen bemerker også at utvalgets forslag til regler om utvidet lagringstid for opplysninger og dokumenter når det er «strengt nødvendig», kan synes å gå lenger enn direktivet åpner for. Finans Norge stiller spørsmål ved om dette er en realitetsforskjell, og om denne eventuelt er tilsiktet.
Skatteetaten påpeker at utvalgets forslag til regler om lagringstid for opplysninger og dokumenter innhentet ved kundetiltak ikke er harmonisert med kravene i OECDs «Common Reporting Standard» (CRS). Skatteetaten viser til at CRS stiller krav om at opplysninger om kontohaver skal lagres i fem år etter året opplysningene skal rapporteres, det vil si i praksis ett år lenger enn utvalgets forslag. Av hensyn til å gi personene underlagt begge regelsett en felles frist å forholde seg til, foreslår Skatteetaten å utvide fristen for sletting til seks år. Skatteetaten viser også til at det i EU er fastsatt et eget direktiv om skattemyndighetenes tilgang på opplysninger innhentet gjennom hvitvaskingsregelverket, se direktiv (EU) 2016/2258. Direktivet er ikke EØS-relevant, men Skatteetaten mener det er liten grunn til å legge seg på en strengere linje enn øvrige europeiske land.
Skatteetaten mener også at forslaget til § 2 om definisjoner ikke tar tilstrekkelig høyde for det vide formålet til gjeldende hvitvaskingslov og fremhever at dette på sikt kan skape uklarhet om særlig Skatteetatens tilgang til og bruk av opplysninger. Skatteetaten mener det ikke bør være tvil om at etaten kan bruke opplysningen til undersøkelse av om skattepliktig har gitt uriktige eller ufullstendige opplysninger eller har unnlatt å gi pliktig opplysning.
Tilsynsrådet for advokatvirksomhet bemerker at forslaget om maksimal lagringstid på fem år harmonerer dårlig med Advokatlovutvalgets forslag om at advokater må oppbevare dokumenter som ikke kan overleveres til klient eller annen berettiget person i ti år.
7.2.6 Departementets vurdering
Departementet foreslår et eget kapittel om behandlingen av personopplysninger for rapporteringspliktige i hvitvaskingsloven. På bakgrunn av høringen har departementet gjort endringer i utvalgets lovutkast. Departementet redegjør for disse i tilknytning til bestemmelsene i lovutkastet.
7.2.6.1 Forholdet til personopplysningsloven. Behandling av personopplysninger
Departementet foreslår en innledende bestemmelse i kapittelet om formålsbestemt behandling av personopplysninger og forholdet til personopplysningsloven, se lovforslaget § 29. Dette er en sammenslåing av to bestemmelser i utvalgets utkast.
Når det gjelder forslaget om formålsbegrensning, er departementets forslag endret sammenlignet med utvalgets utkast. Departementet foreslår at bestemmelsen om formålsstyrt behandling av opplysningene i stedet for å henvise til forebygging og avdekking av hvitvasking og terrorfinansiering, viser til rapporteringspliktiges oppfyllelse av lovens forpliktelser. Departementet foreslår videre at Økokrims behandling av personopplysninger dels reguleres i politiregisterloven med forskrift, og dels reguleres i hvitvaskingsloven, slik som i dag.
Departementet viser til at det i høringen ble gitt uttrykk for at det må være klare regler for bruken av opplysningene som innhentes gjennom hvitvaskingsloven. Etter departementets vurdering er en formålsbestemmelse alene ikke egnet til å gi en tilfredsstillende avgrensning av utleveringsadgangen og -plikten til verken rapporteringspliktige eller Økokrim. Departementet foreslår derfor at dette i større grad reguleres særskilt.
Departementet presiserer at en del opplysninger som innhentes etter hvitvaskingsregelverket, også kan lovlig innhentes med grunnlag i annen lovgivning. Ett eksempel er foretak underlagt opplysningsplikten i skatteforvaltningsloven § 7-3 med tilhørende forskrift. Disse foretakene skal blant annet innhente opplysninger om kontohaver og reell rettighetshaver, og vil i en del tilfeller kunne legge til grunn opplysninger som allerede er innhentet etter hvitvaskingsloven. Det skal ikke være nødvendig å innhente opplysningene fra kunden to ganger, bare fordi opplysningene skal innhentes med grunnlag i ulike regelsett. Et annet eksempel er krav om lagring av opplysninger om kunden, eksempelvis transaksjonsinformasjon som ledd i løpende oppfølging. Bokføringsregelverket kan medføre krav om at transaksjonshistorikk oppbevares lenger enn det hvitvaskingsregelverket krever. Tilsvarende vil kunne gjelde for en del andre opplysninger i en del andre sammenhenger. Etter departementets vurdering er det ikke nødvendig med ytterligere presiseringer av dette i loven.
I høringen har Datatilsynet anført at utvalgets utkast til bestemmelse som uttrykkelig gir grunnlag for behandling av personopplysninger, ikke er klar nok eller gir nødvendige garantier for å sikre at kun personopplysninger som er nødvendige og proporsjonale å behandle, blir behandlet. Dette gjelder blant annet sensitive personopplysninger.
Departementet presiserer at adgangen til å behandle personopplysninger må sees i sammenheng med lovens forpliktelser. Hva forpliktelsene går ut på, eksempelvis identifisering av kunde og reell rettighetshaver, vurdering av kundeforholdets formål og tilsiktede art mv., vil dermed være styrende for hvilke opplysninger som kan registreres. På bakgrunn av høringen samt de overordnede rettslige rammene i nasjonal rett, finner likevel departementet grunn til å foreslå en forskriftshjemmel til utfylling av hvitvaskingsloven på dette punktet, se lovforslaget § 29 tredje ledd. Departementet anser forskriftsregulering for å være mer hensiktsmessig enn lovregulering på dette punktet, dels fordi vurderingene av hva som er nødvendige og proporsjonale opplysninger kan endre seg, og dels på grunn av detaljnivået.
Departementet foreslår videre at behandling av sensitive personopplysninger forutsetter hjemmel i forskrift gitt av departementet, se lovforslaget § 29 tredje ledd. Departementet viser til at det bør vurderes nærmere hvilke typer sensitive personopplysninger som kan behandles i hvilke tilfeller. Departementet vil forberede en forskrift til utfylling av loven på dette punktet når loven er vedtatt.
7.2.6.2 Registrering og lagring av opplysninger og dokumenter. Sletting av personopplysninger
Departementet foreslår en samlet bestemmelse om registrering, lagring, lagringstid og sletteplikt for personopplysninger og andre opplysninger, se lovforslaget § 30.
Departementets forslag innebærer i all hovedsak å forkorte utvalgets utkast til lovbestemmelser. Departementet deler også i hovedsak utvalgets vurderinger. Departementet finner grunn til å presisere at kravet om betryggende lagring bl.a. vil innebære at det må sikres en forbindelse mellom lagrede og oppbevarte opplysninger og dokumenter og den enkelte kunden. Videre vil kravet om betryggende lagring også stille krav til notoriteten ved de handlingene som er gjort, eksempelvis tidsangivelse og angivelse av hvem som har bekreftet identiteten til kunden, herunder en referanse til hva som ble brukt for å bekrefte identiteten.
Departementet foreslår at kravet om å ha systemer som muliggjøre raske og fullstendige svar mv., presiseres slik at dette også gjelder svar til andre offentlige myndigheter enn Økokrim og tilsynsmyndigheten. Departementet viser til fjerde hvitvaskingsdirektiv artikkel 42, som ikke har noen begrensning knyttet til offentlige myndigheter.
Departementet foreslår at det kan gis nærmere regler om registreringen og lagringen av opplysninger og dokumenter, se lovforslaget § 30 fjerde ledd.
I høringen har Datatilsynet særlig problematisert utvalgets forslag til bestemmelse om lagringstid. Skatteetaten har etterlyst en samkjøring av kravene til lagring med regelverket om «Common Reporting Standard» (CRS) i skatteforvaltningsloven med forskrift. Etaten har også vist til at hvitvaskingslovens regler ikke må fortrenge særlige lagringsregler i bokføringsregelverket for banker og finansieringsforetak.
På bakgrunn av høringen foreslår departementet at plikt til ytterligere lagring utover fem år må fastsettes i forskrift, se lovforslaget § 30 fjerde ledd. Departementet viser til at et kriterium om «strengt nødvendig» kan etterlate uklarhet og skape lite forutsigbarhet om når det er adgang til å lagre opplysningene utover fem år. Departementet bemerker at direktivet ikke stiller krav om at ytterligere lagring forutsetter konkrete avgjørelser i den enkelte sak.
Etter departementets vurdering er det ikke ønskelig å regulere forholdet til eksempelvis bokføringsregelverket eller CRS særskilt. I gjeldende hvitvaskingslov § 22 første ledd fremgår det at lagringstiden ikke begrenser anvendelsen av andre regler om lagringstid. Departementet mener det er hensiktsmessig med en tilsvarende regel i ny hvitvaskingslov for å avskjære mulig tvil om sletteplikten, se lovforslaget § 30 annet ledd.
Lovforslaget gjennomfører fjerde hvitvaskingsdirektiv artikkel 40 og 42 og FATF-anbefaling 11 og deler av anbefaling 10.
7.2.6.3 Utveksling av opplysninger fra rapporteringspliktige
Departementet foreslår en særskilt bestemmelse om utlevering av opplysninger fra rapporteringspliktige, se lovforslaget § 31. Departementets forslag er i hovedsak i samsvar med utvalgets utkast, men departementet foreslår at det skal være pliktig for rapporteringspliktige omfattet av unntaket fra avsløringsforbudet i § 28 tredje ledd å utveksle opplysninger om at det er rapportert internt i konsernet. Departementet viser til fjerde hvitvaskingsdirektiv artikkel 45 nr. 8, der det fremgår at informasjon om at opplysninger er rapportert til FIU-en «skal utveksles innen konsernet», om ikke FIU-en har sagt noe annet.
I artikkel 45 nr. 8 fremgår det videre at medlemsstatene skal sikre at informasjonsdeling innad i konsern er tillatt. Etter departementets vurdering må bestemmelsen sees i sammenheng med artikkel 39 nr. 3 om avsløringsforbudet. Her er adgangen til å utveksle opplysninger konkretisert til «kredittinstitusjoner og finansinstitusjoner» og mellom disse og deres filialer og datterselskaper. Videre vil utvekslingen være avhengig av at konsernselskapene samt filialene etterlever konsernrutiner for etterlevelse av hvitvaskingsregelverket, herunder regelverk for behandling av personopplysninger. For å sikre tilstrekkelig rettslig grunnlag for denne typen utveksling av informasjon innad i konsern, foreslår departementet at slik informasjonsdeling kan skje i konsern som omtalt foran, se lovforslaget § 31 første ledd. For å sikre en rimelig avgrensning av adgangen til å utveksle opplysninger, foreslår departementet at det må gis forskrift om slik utveksling der det kan gis nærmere regler.
I tillegg foreslår departementet å presisere adgangen til å utveksle opplysninger i samsvar med gjeldende hvitvaskingslov § 20 annet ledd, se lovforslaget § 31 tredje ledd. Departementet viser til punkt 6.7.5 for begrunnelsen for å videreføre det nevnte unntaket fra avsløringsforbudet i hvitvaskingsloven § 20 annet ledd.
Departementet bemerker, slik utvalget redegjør for i NOU 2016: 27 punkt 7.6.3.5, at utlevering av opplysninger forutsetter at verken regler om taushetsplikt eller behandling av personopplysninger er til hinder for utleveringen. Departementet bemerker at andre bestemmelser i lovgivningen kan danne grunnlag for utveksling av opplysninger, herunder andre regler i hvitvaskingsloven.
Departementets forslag sikrer klar lovhjemmel for utveksling av opplysninger uten hinder av taushetsplikt. Lovhjemmel sikrer også rapporteringspliktige et utvetydig rettslig grunnlag for den behandlingen av personopplysninger som utveksling av opplysninger medfører. Departementet foreslår at det kan gis nærmere regler i forskrift om hvilke opplysninger som kan utleveres, se lovforslaget § 31 tredje ledd.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 45 og FATF-anbefaling 18.
I høringen har Skatteetaten reist spørsmålet om etatens adgang til visse opplysninger innhentet som ledd i gjennomføringen av kundetiltak. Etaten viser til direktiv (EU) 2016/2258, som ikke er EØS-relevant, der skattemyndighetene skal sikres tilgang på opplysninger om reell rettighetshaver. Begrunnelsen er at skattemyndighetene må sikres mulighet til å føre kontroll med opplysningene som innhentes med grunnlag i Common Reporting Standard (CRS), som i Norge er gjennomført ved skatteforvaltningsloven § 7-3 med forskrift.
Departementet bemerker at skattemyndighetenes kontrollhjemler er regulert i skatteforvaltningsloven kapittel 10. Etter departementets vurdering vil skatteforvaltningsloven kapittel 10, jf. § 7-3, sikre skattemyndighetenes tilgang på opplysninger i sammenheng med kontroll av rapportering etter CRS. Departementet foreslår derfor ikke særskilte regler i hvitvaskingsloven om dette.
7.2.6.4 Unntak fra retten til innsyn etter personopplysningsloven
Departementet foreslår at det i visse tilfeller skal gjøres unntak fra retten til innsyn i registrerte opplysninger, se lovforslaget § 32.
I høringen viste Datatilsynet til at det kan være gode grunner til å unnta opplysninger fra retten til innsyn, men at disse bør konkretiseres. I tillegg ble det vist til at personvernforordningen stiller strengere krav til unntak fra retten til innsyn, enn det som gjelder etter personverndirektivet.
Etter departementets vurdering bør unntaksadgangen presiseres til å gjelde opplysninger omfattet av avsløringsforbudet i § 28 første ledd. I tillegg skal opplysninger innhentet gjennom undersøkelsene unntas fra innsyn. Forslaget vil dekke bl.a. situasjonen der Økokrim gir rapporteringspliktig tilbakemelding om bruken av rapporterte opplysninger. Departementet bemerker at en lignende angivelse av unntaket fra retten til innsyn er vedtatt i Sverige.
I tillegg bør ikke rapporteringspliktig gi innsyn i andre opplysninger som kan vanskeliggjøre etterlevelsen av denne loven, etterforskning eller lignende undersøkelser. Departementet viser til fjerde hvitvaskingsdirektiv artikkel 41. For å sikre tilstrekkelig spesifisering av hvilke opplysninger som kan og ikke kan unntas retten til innsyn, foreslår departementet at nærmere regler kan gis i forskrift, se lovforslaget § 32 annet ledd.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 41.
7.2.6.5 Informasjon til kunder
Departementet foreslår en bestemmelse om informasjon som skal gis til kunder om behandlingen av personopplysninger i forbindelse med opprettelse av kundeforhold eller før gjennomføring av enkeltstående transaksjon, se lovforslaget § 33. Ingen høringsinstanser har uttalt seg om utvalgets utkast.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 41.
7.3 Økokrims behandling av opplysninger og dokumenter
7.3.1 Gjeldende rett
Hvitvaskingsloven § 29 bestemmer at Økokrim skal slette opplysninger de mottar i forbindelse med rapportering av mistenkelige transaksjoner senest fem år etter at opplysningene ble registrert. Det er gjort unntak fra femårsregelen i tilfeller der det i løpet av disse fem årene er registrert nye opplysninger eller foretatt etterforsknings- eller rettergangsskritt overfor den registrerte. Dersom Økokrims undersøkelser viser at det ikke foreligger en straffbar handling, skal opplysningene slettes snarest mulig, se annet ledd.
I hvitvaskingsforskriften § 19 er det bestemt at Økokrim skal utarbeide retningslinjer for sin interne saksbehandling for å sikre betryggende systemer for mottak av opplysninger fra rapporteringspliktige og hindre uvedkommendes innsyn i slike opplysninger.
I tillegg til hvitvaskingsloven med forskrift er Økokrims behandling av opplysninger regulert i politiregisterloven med forskrift. Politiregisterforskriften kapittel 52 gir regler om Økokrims hvitvaskingsregister, «ASK». Kapittelet inneholder regler om bl.a. hvilke opplysninger som kan lagres, informasjonsplikt og innsyn, retting, sperring og sletting, informasjonssikkerhet og internkontroll, klageadgang og tilsyn.
Økokrims ledelse og ansatte i EFE har tilgang til registeret, dvs. rett til å foreta direkte søk, jf. politiregisterforskriften § 52-5 første ledd. Andre ansatte i Økokrim med et tjenestemessig behov kan gis tilgang til registeret. § 52-6 gir regler om utlevering av opplysninger fra ASK. Reglene omfatter utlevering innad i politiet og påtalemyndigheten, til andre norske offentlige organer og til utenlandske myndigheter. Politiregisterloven kapittel 5 og 6 gjelder med de særreglene som er fastsatt i § 52-6.
Til andre deler av politiet enn Økokrim kan det bare utleveres opplysninger for å bekjempe hvitvasking, terrorfinansiering og tilknyttet kriminalitet, jf. § 52-6. Til andre offentlige myndigheter kan opplysninger for det første utleveres i samsvar med politiregisterloven §§ 26 og 27, se politiregisterforskriften § 52-6 første ledd nr. 2 bokstav a punkt i. Dette omfatter utveksling i forbindelse med henholdsvis den enkelte straffesak og ved avvergende og forebyggende virksomhet. Ved avvergende og forebyggende virksomhet må utleveringen være forholdsmessig i den enkelte situasjon, jf. politiregisterloven § 27 tredje ledd. Utlevering av opplysninger til offentlige myndigheter kan videre skje når det er nødvendig for å innhente opplysninger til EFEs analysearbeid, se politiregisterforskriften § 52-6 første ledd nr. 2 bokstav a punkt ii. Utlevering kan også skje når EFE etter en nærmere analyse har kommet til at det bør undersøkes nærmere om det har forekommet straffbare forhold innenfor det respektive organets ansvarsområde, se punkt iii.
I hvitvaskingsloven § 30 første ledd er det gitt hjemmel til å utlevere opplysninger fra Økokrim til andre organer enn politiet med oppgaver knyttet til forebygging av terrorhandlinger. Etter annet ledd kan opplysninger også utleveres til skatteetaten og toll- og avgiftsetaten til bruk i deres arbeid med skatt, avgift og toll.
Utlevering av opplysninger fra ASK til utlandet kan bare skje til samarbeidende utenlandske FIU-er, se politiregisterforskriften § 52-6 første ledd nr. 3.
I tillegg til reglene ovenfor, kan opplysninger fra ASK utleveres til relevante tilsynsmyndigheter når opplysningene kan få betydning for tilsynsmyndighetens tilsyn med rapporteringspliktige, jf. politiregisterforskriften § 52-6 fjerde ledd.
Politiregisterloven § 20 annet ledd gir hjemmel til å utlevere ikke-verifiserte opplysninger når det er nødvendig for å verifisere opplysningene.
Tilsynet med Økokrims håndtering av opplysninger er delt mellom Datatilsynet og Kontrollutvalget for tiltak mot hvitvasking og terrorfinansiering. Kontrollutvalget fører kontroll med Økokrims behandling av rapporter om mistenkelige transaksjoner, pålegg om stans eller godkjenning av gjennomføring av mistenkelig transaksjon etter hvitvaskingsloven § 19 og Økokrims håndtering av opplysninger etter § 29, se hvitvaskingsloven § 31. Kontrollutvalget har krav på alle opplysninger, dokumenter osv. som utvalget finner nødvendig for sin kontroll, se § 31 tredje ledd. Økokrims tjenestemenn har plikt til å forklare seg overfor Kontrollutvalget uten hensyn til taushetsplikt. Datatilsynet fører tilsyn med Økokrims forvaltning av ASK, se politiregisterforskriften § 52-14 annet ledd. Tilsynet omfatter politiregisterloven § 17 om kravet til sporbarhet og § 15 og politiregisterforskriften kapittel 40 om informasjonssikkerhet. Videre fører Datatilsynet tilsyn med at Økokrims internkontroll for å oppfylle kravene i politiregisterloven §§ 15 og 17, og forskriften kapittel 40, er i samsvar med politiregisterloven § 16 og politiregisterforskriften kapittel 39.
7.3.2 EØS-rett
Fjerde hvitvaskingsdirektiv gir ikke regler om FIU-ens registrering, lagring og sletting av opplysninger. Direktivet gir imidlertid regler om utlevering av opplysninger fra FIU-en til innenlandske myndigheter og utenlandske FIU-er.
Hvitvaskingslovutvalget beskriver reglene i NOU 2016: 27 punkt 7.3.2.2 på følgende måte:
«Artikkel 32 gjelder FIU-er og deres oppgaver, herunder utlevering av opplysninger til nasjonale myndigheter. Artikkel 32 nr. 3 første ledd bestemmer blant annet at FIU-en skal være ansvarlig for å spre resultatene av sine analyser og alle tilleggsopplysninger til kompetente myndigheter når det er grunn til mistanke om hvitvasking, underliggende primærlovbrudd eller terrorfinansiering. Videre skal FIU-en kunne svare på anmodninger om utlevering av opplysninger fra disse myndighetene, jf. artikkel 32 nr. 4. Avgjørelsen om å gjennomføre en analyse eller utlevere opplysninger skal ligge hos FIU-en.
FIU-en kan nekte å utlevere opplysninger når det kan skade pågående etterforskning eller analyser, jf. artikkel 32 nr. 5. Det samme gjelder i spesielle («exceptional») tilfeller, når utlevering vil være klart uforholdsmessig av hensyn til en fysisk eller juridisk person eller være irrelevant sett opp mot formålet bak anmodningen om opplysninger.
Samarbeid mellom FIU-er på tvers av landegrensene er regulert i artikkel 52 til 57. FIU-ene skal utlevere alle opplysninger, spontant eller etter anmodning, som kan være relevant for behandlingen eller analysen av opplysninger knyttet til hvitvasking eller terrorfinansiering og de fysiske eller juridiske personene som er involvert, se artikkel 53 nr. 1 første ledd. Utlevering skal skje uavhengig av om primærlovbruddet er identifisert ved utleveringen av opplysningene. Anmodninger om opplysninger skal inneholde relevante fakta, bakgrunnsinformasjon, begrunnelsen for anmodningen og en beskrivelse av hvordan opplysningene skal brukes, se annet ledd.
Når FIU-er mottar «mistenkelig transaksjon»-rapporter som gjelder en annen medlemsstat enn FIU-ens hjemstat, skal FIU-en uten opphold videresende rapporten til denne staten, se artikkel 53 nr. 1 tredje ledd.
FIU-er kan bare nekte å utlevere opplysninger med andre FIU-er i spesielle («exceptional») tilfeller der utlevering vil være i strid med grunnleggende prinsipper i nasjonal rett, se artikkel 53 nr. 3. Slike unntak skal være spesifisert slik at de ikke innebærer en urimelig begrensning av den frie utleveringen av opplysninger for analytiske formål, eller unntak som innebærer en mulighet til å misbruke utleveringen av opplysninger.
Opplysningene og dokumentene som utleveres i samsvar med artikkel 52 og 53, skal brukes til å fremme FIU-ens formål etter direktivet. Avsenderen kan pålegge begrensninger og vilkår for bruken av opplysningene som mottakeren må overholde, jf. artikkel 54.
Formålet med anmodningen om å få utlevert opplysninger er bestemmende for hva de utleverte opplysningene kan brukes til, se artikkel 55 nr. 1. Dersom opplysningene skal sendes videre fra mottakeren, skal FIU-en som utleverte opplysningene samtykke. Medlemsstatene skal sikre at FIU-er gir samtykke i så stor grad som mulig, jf. nr. 2. Nektelse av samtykke skal bare skje hvis spredning av opplysninger faller utenfor anvendelsen av hvitvaskingsregelverket, kan skade en pågående etterforskning, er klart uforholdsmessig overfor en fysisk eller juridisk person, eller på annen måte vil være i strid med grunnleggende prinsipper i nasjonal rett. Nektelsen skal begrunnes.
Utlevering av opplysninger skal skje gjennom beskyttede kommunikasjonskanaler, jf. artikkel 56 nr. 1. Medlemsstatene oppfordres til å bruke FIU.net eller dets etterfølger. FIUene skal samarbeide om utvikling av ny teknologi, se nr. 2. Teknologien skal gjøre det mulig for FIU-er å sammenstille opplysninger mellom FIU-ene på en anonym måte som sikrer vern av personopplysninger. Målet er å avdekke om personer i FIU-ens register har interesse i andre medlemsstater. FIU-er fra EUs medlemsstater bruker i dag et system som heter «Ma3tch».
Generelt er det bestemt at FIU-en skal være operasjonelt uavhengig, og herunder kunne utføre sine oppgaver fritt. Dette skal omfatte å treffe egne avgjørelser om å analysere, anmode om og utlevere opplysninger, jf. artikkel 32 nr. 3. Direktivet inneholder ikke regler om tilsyn med FIU-ens behandling av opplysninger.»
7.3.3 FATFs anbefalinger
Forklarende note til anbefaling 29 om finansielle etterretningsenheter (FIU-er) punkt 7 lyder slik:
«Information received, processed, held or disseminated by the FIU must be securely protected, exchanged and used only in accordance with agreed procedures, policies and applicable laws and regulations. An FIU must, therefore, have rules in place governing the security and confidentiality of such information, including procedures for handling, storage, dissemination, and protection of, as well as access to such information.»
Utvalget redegjør slik for anbefalingene som gjelder FIU-ens adgang til å utlevere opplysninger og forholdet til taushetsplikt i NOU 2016: 27 punkt 7.4.2.2:
««Interpretive note» til FATF-anbefaling 29 punkt 4 gjelder utlevering av opplysninger fra FIU-en til kompetente myndigheter. FIU-en skal ha mulighet til, både på eget initiativ og etter anmodning, å videreformidle opplysninger og resultater av sine analyser til relevante myndigheter. Det skal være adgang til å videreformidle opplysninger på eget initiativ til relevante myndigheter ved mistanke om hvitvasking, terrorfinansiering eller et underliggende primærlovbrudd. Ved anmodning om opplysninger eller gjennomføring av analyse, skal det være opp til FIU-en om anmodningen skal etterkommes eller ikke.
Internasjonalt samarbeid er omhandlet i anbefaling 40 med «interpretive notes».
«Interpretive note» til anbefaling 40 punkt 2 gjelder forbud eller urimelige begrensninger på samarbeidsmulighetene til offentlige organer. Det skal ikke være forbudt å utlevere opplysninger eller gi annen assistanse. Enkelte situasjoner kan ikke begrunne nektelse av å utlevere opplysninger, f.eks. at en anmodning gjelder skattespørsmål eller organet som anmoder om opplysninger har en annen status, f.eks. som påtalemyndighet eller forvaltningsorgan, enn organet anmodningen retter seg til.
«Interpretive note» til anbefaling 40 punkt 3 og 4 gir generelle retningslinjer for utlevering av opplysninger. Opplysninger som utveksles skal bare brukes til det formålet de ble innhentet til eller anmodet for. Dersom den anmodende parten ønsker å videreformidle opplysningene til andre eller bruke informasjonen på annen måte enn det som opprinnelig ble godkjent, skal myndigheten som utleverte opplysningene på forhånd gi samtykke, se «interpretive note» til anbefaling 40 punkt 3. Utleveringen skal skje gjennom trygge og pålitelige kanaler.
FIU-en skal ha rett til å utlevere alle opplysninger FIU-en selv skal ha rett til å få tilgang til etter FATFs anbefalinger og nasjonal rett, se «interpretive note» til anbefaling 40 punkt 9 bokstav a. Etter «interpretive note» til anbefaling 29 punkt 2, 5 og 6 skal FIU-en ha tilgang til opplysninger som mottas i rapporter fra rapporteringspliktige, tilleggsopplysninger som innhentes fra rapporteringspliktige, og i så stor grad som mulig opplysninger fra andre offentlige myndigheter, herunder påtalemyndigheten.
FIU-en skal være medlem av «The Egmont Group of Financial Intelligence Units», se «interpretive note» til anbefaling 29 punkt 13. FIU-en skal herunder ta hensyn til dokumenter utarbeidet og vedtatt i Egmont Group om FIU-ens rolle og funksjonsmåte, og om utlevering av opplysninger mellom FIU-er. (…)»
7.3.4 Utvalgets forslag
Utvalget drøfter i NOU 2016: 27 punkt 7.6.4 reguleringen av Økokrims lagring av personopplysninger i medhold av hvitvaskingsloven. Utvalget foreslår videreføring av gjeldende rett med et utgangspunkt om maksimal lagringstid på fem år, men foreslår også en absolutt maksimal lagringstid på 15 år, se lovutkastet § 35 annet ledd. Utvalget foreslår for øvrig ikke å videreføre bestemmelsen om at opplysninger skal slettes dersom Økokrims undersøkelser viser at det ikke er skjedd noe straffbart, og viser til at politiregisterloven § 50 uansett bestemmer at sletting skal skje når formålet med oppbevaringen ikke lenger er tilstede. Utvalget uttaler følgende i NOU 2016: 27 punkt 7.6.4 om adgangen til å lagre opplysninger utover fem år, og valget av maksimal lagringstid på femten år:
«Det kan imidlertid være et sterkt behov for å lagre opplysninger i ASK i lengre tid enn fem år. Opplysningene kan inngå i en større undersøkelse. Det vil ikke være i samsvar med formålet om å avdekke og forebygge hvitvasking og terrorfinansiering å ha en absolutt plikt til sletting etter fem år. Utvalget foreslår derfor en bestemmelse om at sletteplikten ved utløpet av femårsfristen ikke gjelder der det er «strengt nødvendig» at opplysningene lagres lenger, se forslaget til ny hvitvaskingslov § 35 annet ledd. Om det er strengt nødvendig å lagre opplysninger utover fem år må vurderes og begrunnes konkret i det enkelte tilfellet. Momenter i vurderingen vil være om opplysningene er relevante, om de er brukt, brukes eller kan bli brukt i EFEs arbeid, og måten de eventuelt er blitt brukt. Eksempler på når det er «strengt nødvendig» å lagre opplysningene utover fem år, er der det er foretatt etterforsknings- eller rettergangsskritt mot den registrerte, eller der EFE har benyttet opplysninger i operative analyser.
I dag er det kun politiregisterloven § 50, om sletting når lagring er unødvendig for formålet med behandlingen, som setter en øvre tidsgrense for lagringen av personopplysninger i ASK. Etter utvalgets oppfatning er det uheldig at det ikke er gitt en uttrykkelig maksimal lagringstid i ASK. Av hensyn til vernet av personopplysninger foreslår utvalget at det fastsettes en maksimal lagringstid. Lengstefristen må være av en slik lengde at den tar tilstrekkelig hensyn til særlig forebygging og avdekking av terrorfinansiering. Utvalget foreslår derfor en lengstefrist for lagring av opplysninger i ASK på 15 år, se forslaget til § 35 annet ledd annet punktum. Den foreslåtte lengstefristen berører ikke f.eks. regler om oppbevaring av dokumenter i forbindelse med straffesaker, jf. politiregisterforskriften § 25-3. Utvalget bemerker videre at arkivlova[fotnote] begrenser Økokrims adgang til å kassere dokumenter som har vært gjenstand for saksbehandling, eller som har verdi som dokumentasjon. I forarbeidene til politiregisterloven [fotnote] ble det varslet om oppstart av arbeid mellom Justisdepartementet og Riksarkivaren om å vedta særskilte regler om kassering av opplysninger fra politiets etterretningsregistre. Slike regler er foreløpig ikke gitt.»
I NOU 2016: 27 punkt 7.6.2 drøfter utvalget også Økokrims adgang til å utlevere opplysninger som del av bestemmelsen om formålsbestemt behandling av personopplysninger. Utvalget foreslår ikke å videreføre gjeldende hvitvaskingslov § 30 annet ledd og uttrykker følgende om betydningen av lovutkastet § 28 om formålsbestemthet:
«Kravet til formålsbestemt behandling av personopplysninger i Økokrim setter rammen for hvilken adgang Økokrim har til å utlevere opplysninger til andre. Utleveringsadgangen er ikke styrt av hvilket organ det utleveres til, men til hvilket formål utleveringen skjer. En avgrensning av utleveringsadgangen etter typen organ eller myndighet kunne bli både for vid og for snever sett i lys av formålet med hvitvaskingsregelverket. Personopplysningene kan altså bare utleveres for å forebygge og avdekke hvitvasking og terrorfinansiering. Utvalget anser på denne bakgrunn gjeldende hvitvaskingslov § 30 første ledd for å ha en uheldig utforming og foreslår at bestemmelsen ikke videreføres.
Det er på det rene at opplysningene etter lovforslaget § 28 om formålsbestemthet kan utleveres fra Økokrim til andre deler av politiet for å etterforske hvitvasking. Hvitvasking går ut på å befatte seg med utbytte fra enhver straffbar handling, se lovforslaget § 2 bokstav a med henvisning til straffeloven §§ 332 og 337. Et sentralt formål med å bekjempe hvitvasking er å avdekke og forebygge profittmotivert kriminalitet ved å gjøre det vanskeligere for kriminelle å nyte godt av utbytte av straffbare handlinger. Det vil derfor også være i samsvar med formålsangivelsen å utlevere opplysninger til politiets etterforskning av profittmotivert kriminalitet. Utvalget viser til omtalen av formålet med loven, punkt 2.2.4, og til fjerde hvitvaskingsdirektiv artikkel 32 nr. 3 som forutsetter at FIU-en kan utlevere etterretningsrapporter til etterforskningen av profittmotivert kriminalitet.
Når formålet med hvitvaskingsloven er å forebygge og avdekke hvitvasking, vil opplysningene fra Økokrim kunne brukes også av andre offentlige myndigheter på samme måte som politiet kan bruke opplysningene. Opplysningene kan altså brukes til å forebygge og avdekke hvitvasking, herunder tilknyttet profittmotivert kriminalitet, og terrorfinansiering. Denne adgangen fremgår forutsetningsvis av fjerde hvitvaskingsdirektiv artikkel 32 nr. 3, som omtaler FIU-ens ansvar for å utlevere sine analyser og andre opplysninger til relevante myndigheter når det er «grounds to suspect money laundering, associated predicate offences or terrorist financing». Personopplysningene som utleveres fra Økokrim, kan derfor brukes i tilsynsvirksomhet eller til å ilegge forvaltningssanksjoner, som f.eks. tilleggsskatt eller tilleggsavgift. Derimot kan ikke opplysningene brukes ved alminnelig forvaltningsvirksomhet som ikke har til formål å avdekke og forebygge profittmotivert kriminalitet, eksempelvis ordinære vedtak om ligning, avgift eller øvrig forvaltningsmyndighet. Når direktivet opererer med en uttrykkelig og klar formålsbegrensning, er det ikke lenger grunnlag for å opprettholde gjeldende hvitvaskingslov § 30 annet ledd.
Når det gjelder terrorfinansiering, omfatter dette handlinger som beskrevet i straffeloven § 135 og finansiering som beskrevet i straffeloven § 136 a, se lovforslaget § 2 bokstav b. Opplysninger kan utleveres fra Økokrim til alle relevante myndigheter som har oppgaver knyttet til å forebygge og avdekke terrorfinansiering. Formålet med å avdekke og forebygge terrorfinansiering er å hindre terrorlovbrudd. Det vil derfor være i samsvar med formålet med regelverket at Økokrim utleverer opplysninger til myndigheter som har oppgaver knyttet til bekjempelse av terrorlovbrudd i alminnelighet. Utvalget foreslår etter dette ikke å videreføre den særlige bestemmelsen i hvitvaskingsloven § 30 om utlevering av opplysninger til andre offentlige myndigheter enn politiet som har oppgaver knyttet til forebygging av terrorlovbrudd. Med den foreslåtte bestemmelsen om formålsbestemt behandling av personopplysninger er det unødvendig å presisere at utlevering også kan skje til andre offentlige myndigheter enn politiet med oppgaver knyttet til bekjempelse av terrorlovbrudd.
Når det gjelder utlevering av opplysninger til utlandet, skal dette bare kunne skje til finansielle etterretningsenheter. Også her er formålet avgrenset til å gjelde hvitvasking og terrorfinansiering, i samsvar med det som er sagt ovenfor.
Forslaget til ny hvitvaskingslov § 28 vil derfor sette en ramme for Økokrims utlevering av opplysninger fra ASK. Utvalget anser gjeldende politiregisterforskrift § 52-6 første ledd for å være en dekkende presisering av de rammene som forslaget til ny hvitvaskingslov § 28 skal sette.»
Når det gjelder tilsynet med Økokrims behandling av personopplysninger, påpeker utvalget at FATF har hatt innsigelser knyttet til Kontrollutvalget for tiltak mot hvitvasking og terrorfinansiering. Under henvisning til at Datatilsynet normalt fører tilsyn med politiets og påtalemyndighetens behandling av personopplysninger i medhold av politiregisterloven, foreslår utvalget at denne løsningen også skal gjelde ASK og Enheten for finansiell etterretning i Økokrim, se NOU 2016: 27 punkt 7.6.4.3. Utvalget foreslår med andre ord at Kontrollutvalget avvikles.
7.3.5 Høringsinstansenes syn
Advokatforeningen bemerker at de forstår lovutkastet § 28 slik at behandlingen av personopplysninger etter loven bare kan skje for å forebygge hvitvasking og terrorfinansiering. Foreningen understreker at når utvalget omtaler dette i NOU 2016: 27 punkt 7.6.2 og sier at opplysningene kan brukes til å forebygge og avdekke hvitvasking, herunder profittmotivert kriminalitet, antar foreningen at utvalget ikke mener å gi uttrykk for et utvidet anvendelsesområde.
Datatilsynet mener, på samme måte som for rapporteringspliktige, at forslaget til bestemmelse om utvidet lagringstid for Økokrim er for vag og skjønnsmessig.
Skatteetaten mener at forslaget til § 2 om definisjoner, i sammenheng med angivelsen av formålet med hvitvaskingsloven, ikke tar tilstrekkelig høyde for det vide formålet til gjeldende hvitvaskingslov og fremhever at dette på sikt kan skape uklarhet om særlig Skatteetatens tilgang til og bruk av opplysninger. Skatteetaten mener det ikke bør være tvil om at etaten kan bruke opplysningene til undersøkelse av om skattepliktig har gitt uriktige eller ufullstendige opplysninger eller har unnlatt å gi pliktig opplysning.
Økokrim kommenterer generelt at det kan være hensiktsmessig, på bakgrunn av pedagogiske og rettssikkerhetsmessige hensyn, å regulere Økokrims behandling av personopplysninger i én lov, fremfor å spre det utover flere ulike lover og forskrifter som i dag. Videre mener Økokrim bør beholde en adgang, men ikke plikt, til å utlevere opplysninger til skatteetaten og toll- og avgiftsetaten også i alminnelige forvaltningssaker, jf. gjeldende hvitvaskingslov § 30. Økokrim mener adgangen til å dele opplysninger heller burde utvides til andre forvaltningsorganer, eksempelvis NAV og Arbeidstilsynet, fremfor å innskrenke utvekslingsadgangen.
7.3.6 Departementets vurdering
Departementet foreslår en samlet bestemmelse om behandling av opplysninger i Økokrim i all hovedsak i samsvar med utvalgets utkast, se lovforslaget § 34. Forslaget omfatter også å videreføre gjeldende hvitvaskingslov § 30 om Økokrims adgang til å utlevere opplysninger til myndigheter med ansvar for å forhindre terrorhandlinger og utlevering av opplysninger til skatte- og tollmyndighetene. Det er gjort lovtekniske endringer i ordlyden.
Departementet er enig med Økokrim i at en særskilt lov om Enheten for finansiell etterretningsvirksomhet kan vurderes på et fremtidig tidspunkt. Etter departementets vurdering er det imidlertid ikke på det nåværende tidspunkt grunnlag for å fremme et slikt lovforslag. Departementet foreslår derfor en videreføring av gjeldende regler, med enkelte modifiseringer i samsvar med utvalgets utkast. Dette gjelder forslaget om maksimal lagringstid på femten år samt forenklingen av lovteksten ved å fjerne Økokrims sletteplikt i tilfeller der Økokrims undersøkelser viser at det ikke er skjedd straffbare forhold. Departementet viser til at politiregisterlovens generelle regler om behandling av personopplysninger vil gjelde, herunder formålsbegrensningen.
Datatilsynet mener vilkåret for å utvide lagringstiden for Økokrim fra fem til opptil femten år er for vagt utformet. Utvalget foreslår at kriteriet skal være «strengt nødvendig» før opplysninger kan lagres utover fem år. Departementet viser til at gjeldende hvitvaskingslov til sammenligning stiller krav om et det er «registrert nye opplysninger eller det er foretatt etterforsknings- eller rettergangsskritt mot den registrerte». Etter departementets vurdering er det ikke grunn til å endre på hva som kreves for å lagre opplysninger og rapporter om mistenkelige transaksjoner utover fem år. Til dette kommer at det foreslås å begrense den maksimale lagringstiden, noe som innebærer en innstramning av regelverket sammenlignet med i dag. I dag er det ingen maksimal lagringstid for Økokrim, utover den generelle formålsbegrensningen i politiregisterloven.
Skatteetaten fremholder at det ikke bør være tvil om at etaten bør kunne benytte opplysninger den får utlevert fra Økokrim til arbeid med å kontrollere om det er gitt mangelfulle eller ufullstendige opplysninger, eller om det er gitt unnlatt å gi pliktig opplysning. Etter departementets vurdering er det derfor grunn til å videreføre gjeldende hvitvaskingslov § 30 om Økokrims adgang til å utlevere opplysninger til særskilte myndigheter, jf. lovforslaget § 34 annet ledd. Departementet understreker at straffelovens bestemmelser om heleri og hvitvasking ikke skiller mellom ulike typer primærforbrytelser. Skatte- og avgiftsunndragelser er en type primærforbrytelse som kan generere et utbytte som kan hvitvaskes. Dette er også klart forutsatt i fjerde hvitvaskingsdirektiv, se særlig fortalen avsnitt 11 og eksempelvis artikkel 57 om samarbeid mellom finansielle etterretningsenheter. Departementet finner grunn til å presisere at adgangen til å benytte opplysningene til å bekjempe primærlovbrudd, herunder skatteunndragelser mv., ikke er begrenset til de konkrete primærlovbruddene man antar er begått i tilknytning til konkret rapportering til Økokrim.
Økokrim foreslår også å utvide Økokrims adgang til å utlevere opplysninger i gjeldende § 30 til Arbeids- og velferdsetaten (NAV), samtidig som det understrekes at det ikke skal være plikt til å utlevere opplysninger. Etter departementets vurdering bør spørsmålet vurderes nærmere i lys av en eventuell helhetlig gjennomgang av reglene om Enheten for finansiell etterretning, og departementet foreslår derfor ikke på det nåværende tidspunktet en slik utvidelse.
Når det gjelder forslaget om å avvikle Kontrollutvalget, deler departementet utvalgets vurderinger. Departementet viser til at kontrollen med politiets behandling av personopplysninger i alminnelighet føres av Datatilsynet. Den utvidede kontrollen Kontrollutvalget kan føre med EFE i Økokrim, det vil si kontrollen med EFEs pålegg om stans av transaksjoner, skaper dessuten usikkerhet hos andre land vedrørende kontrollen over opplysninger som utveksles med Norge. FATF har i tillegg i to påfølgende evalueringsrapporter fremhevet at utvalgets sammensetning, med medlemmer fra privat sektor, er problematisk. Det er viktig at Norge anses som et land det er trygt å utveksle opplysninger med. Etter departementets vurdering er det derfor nødvendig å avvikle Kontrollutvalget og la Datatilsynet overta tilsynsansvaret som knytter seg til EFEs behandling av personopplysninger. Ordningen vil dermed samsvare med tilsynsordningen som gjelder for resten av politiet og påtalemyndigheten, med unntak av Politiets Sikkerhetstjeneste og enkelte andre unntak, se politiregisterloven § 58 og politiregisterforskriften § 42-1.