<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Personvernforordningen og hvitvaskingsloven. Godzilla vs King Kong?

Photo_R_RGB_HK_D4_3819 ‹ Tilbake til artikler

 

Hvis du jobber med compliance i Finansnæringen, må du ha hatt et friår for å bo sammen med en isolert stamme i det indre av Brasil eller tilbrakt et år på en forskningsstasjon i Antarktis hvis du ikke har fått med deg den nye personvernforordningen (GDPR) og kravene som settes til etterlevelse. Forordningen har et stort ris bak speilet; en bot på opp til 20 millioner euro eller 4% av global brutto omsetning ved manglende etterlevelse. Men nå ser det ut til at den får “konkurranse” fra hvitvaskingsloven. Lovforslaget, som kom i februar 2018, har et foreslått bøtenivå på 44 millioner, riktignok i norske kroner, men med en omsetningsgrense på 10% av brutto global omsetning. 

Har complianceavdelingen fått et prioriteringsproblem?

You win some, you loose some

Forslaget til ny hvitvaskingslov kan gjøre livet litt lettere for den hvitvaskingsansvarlige, men også litt vanskeligere.

Lettelsen består i at loven gir det juridiske grunnlaget for å behandle personopplysninger, også særlige kategorier av personopplysninger. Den gir også grunnlag for å oppbevare informasjon om kunder og transaksjoner i fem år etter at transaksjonen har funnet sted.

Men - lovforslaget inneholder også et pålegg om å «ha systemer som muliggjør raske og fullstendige svar på forespørsler fra Økokrim, tilsynsmyndigheten eller andre offentlige myndigheter om vedkommende har eller i løpet av de siste fem år har hatt kundeforhold til konkrete personer og om kundeforholdets art». Dette kan være svært krevende, særlig hos banker som har kompliserte konfigurasjoner med hensyn på systemer, produkter og konsernstrukturer. I tillegg er det mange banker og finansinstitusjoner som ikke har registrert denne informasjonen hos ganske store kundegrupper, særlig kunder som er registrert for mange år siden.

Lovforslaget innebærer slett ikke noe generelt unntak fra personvernforordningen. Det vil fremdeles stilles strenge krav til dataminimering og at opplysninger som oppbevares skal være nødvendige for formålet som virksomheten har et rettslig grunnlag for å behandle. Andre personvernregler gjelder også, som eksempelvis sikker behandling, sletterutiner og at personer skal enkelt få innsyn i hvilke opplysninger som behandles om en og hvordan behandlingen skjer.

Failing to plan is planning to fail

Dersom du er complianceansvarlig i en bank eller en organisasjon som på en annen måte er rapporteringspliktig i henhold til hvitvaskingsloven bør du allerede nå forberede deg på introduksjonen av hvitvaskingsloven. Du trenger en plan.

En detaljert kartlegging av personopplysninger som behandles bør inngå som en del av arbeidet med å implementere nytt personvernregelverk i virksomheten.

Bruk av personopplysninger for å avdekke hvitvasking eller annen økonomisk kriminalitet er i denne sammenheng et eget formål. Opplysninger bør kartlegges i forhold til om de er nødvendige for å gjennomføre identifikasjon og undersøkelse av mistenkelige transaksjoner. Dette er ganske omfattende, det inkluderer informasjon for alle tiltak som er spesifisert i loven. Men også data utover dette kan bli omfattet. Data som tidligere har falt inn under det som har vært definert som transaksjonsdata kan være omfattet, for eksempel e-poster til og fra kundesenter eller data fra chat dersom dette er tilbudt som en kommunikasjonskanal. Dersom disse dataene er er nødvendige for å avkrefte eller bekrefte mistanke knyttet til avvikende transaksjon skal de oppbevares.

Raskt og fullstendig

Det er en potensiell utfordring i kravet til å kunne være istand til å skaffe informasjon “raskt og fullstendig” om «kundeforhold til konkrete personer og kundeforholdets art». Det vil her komme forskrifter som inneholder flere detaljer. Men rapporteringspliktige bør allerede nå identifisere om det er systemutfordringer i å fremskaffe «fullstendige» data «raskt».

Gamle synder blir som nye

Ny hvitvaskingslov tydeliggjør en ting; rapporteringspliktige må sørge for å ha fullstendig oversikt over opplysninger om alle kunder, også kunder som har vært registrert lenge. Pålegget om utlevering gjelder alle kunder, ikke bare de kunder som er rapportert til Økokrim. Det vil sannsynligvis innebære at flere banker må gjennomføre betydelig re-legitimering og innhenting av opplysninger om kundeforholdet. Det kan være en krevende oppgave. Men den gode nyheten her er at det finnes analytiske produkter og løsninger som kan automatisere deler av dette arbeidet. 

Banken bør gå opp egne retningslinjer og rutiner. Særlig bør rutiner ivareta:

  • Hvilke opplysninger som kan utleveres til kunder. Rapporteringspliktige må særlig påse at de ikke gis ut informasjon som kan «avsløre» at en MT- melding har blitt sendt.
  • Hvordan banken responderer og samler inn data ved en forespørsel fra Økokrim eller «andre myndigheter».

Mer oversikt

En klar konsekvens av både personvernforordningen og nytt forslag til hvitvaskingslov er at det kreves mer oversikt. Det må identifiseres hvilke data som skal brukes i undersøkelser og deteksjonssystemer, og dette må begrunnes. Det forventes at organisasjoner har oversikt over prosesser, data, rapporteringslinjer og rutiner. Og har svar tilgjengelig ikke bare til enkeltkunder, men til et tilsynsmyndigheter, inkludert Datatilsynet og Økokrim.

Nyttige lenker;

Legg igjen en kommentar

Relevante artikler

Les artikkelen

AML Risikoanalyse for dummies

Fra og med i dag gjelder ny hvitvaskingslov. De som nettopp har kommet hjem fra et lengre opphold hos en stamme i jungelen i Brasil vil tro ...

Les artikkelen
Les artikkelen

3 tips til næringslivsledere som vil unngå hvitvasking og korrupsjon

Les artikkelen
Les artikkelen

Hvitvasking

Noen enkle men prinsipielle poenger om hvitvasking: 

Les artikkelen