Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Linköpings universitet | Institutionen för ekonomisk och industriell utveckling Masteruppsats 30 hp | Masterprogram i Affärsjuridik -‐ Affärsrätt
HT2016/VT2017 | LIU-‐IEI-‐FIL-‐A-‐-‐17/02423-‐-‐SE
Fjärde penningtvättsdirektivet och reglerna om kundkännedom – Särskilt med beaktande av reglerna om personuppgifter i
den nya dataskyddsförordningen The Fourth Anti-‐Money Laundering Directive and the ”Know Your Customer” Rules – Especially with Regard to the New General Data Protection Regulation Linnea Franzén Magnusson Handledare: Elif Härkönen Examinator: Anders Holm
Linköpings universitet SE-‐581 83 Linköping, Sverige
013-‐28 10 00, www.liu.se
Sammanfattning Penningtvätt är ett ständigt växande problem som kräver effektiva gränsöverskridande
åtgärder för att upprätthålla en god finansiell stabilitet. Ett av de mest handfasta och effektiva
redskap för banker att tillgå för att förhindra penningtvätt är kundkännedomsprocessen. Under
våren 2015 antog EU ett fjärde penningtvättsdirektiv, vilket innehåller förenklade men skärpta
krav på när kundkännedomsåtgärder ska vidtas. Direktivet har en ökad betoning på det
riskbaserade förhållningssättet, vilket innebär att bankerna ska genomföra riskbedömningar
och anpassa kundkännedomsåtgärderna därefter. Under våren 2016 antog EU även en ny
dataskyddsförordning, vilken ska ge ett ökat skydd för personlig integritet. Samtidigt som
kraven på kundkännedom skärps ska således enskilda personer ges större kontroll över sina
personuppgifter.
I framställningen behandlas kundkännedomsreglerna och huruvida bankerna kan tillämpa
dessa för att arbetet mot penningtvätt ska kunna företas på ett effektivt sätt. Kärnan i
kundkännedomsprocessen kan vidare sägas vara insamling och hantering av, ofta känsliga,
personuppgifter. Det krävs därmed att bankerna kan utföra kundkännedomsprocessen på ett
sätt som inte bryter mot reglerna om personuppgifter. Till följd av detta har systemkonflikten
som finns mellan kundkännedomsreglerna och reglerna om personuppgifter analyserats och
diskuterats.
Av resultatet framgår att kundkännedomsreglerna, särskilt med beaktade av de nya kraven i
fjärde penningtvättsdirektivet, innebär ett långtgående krav på bankerna att genomföra
korrekta riskbedömningar. En misslyckad övergripande riskbedömning leder till
genomgående brister i verksamhetens arbete mot penningtvätt, inte minst vad avser
kundkännedomsåtgärderna. Detta innebär en negativ påverkan på regelverkets effektivitet.
Vidare förutsätter kundkännedomsreglerna korrekta och kvalitativa riskbedömningar för att
säkerställa väl förankrade riskklassificeringar av kunderna, vilka styrker rätten att inhämta
personuppgifter i viss omfattning. Systemkonflikten mellan regelverkens motstående
intressen försätter bankerna i en svår bedömningssituation där intresset av att bekämpa
penningtvätt måste vägas mot intresset av att värna om den personliga integriteten.
Materialinsamlingen avseende lagstiftningsarbetet för den nya penningtvättslagen avslutades
den 22 februari 2017.
Innehållsförteckning 1. Inledning .................................................................................................................................... 1
1.1 Problembakgrund .............................................................................................................................. 1 1.2 Syfte ...................................................................................................................................................... 3 1.3 Problemformulering ......................................................................................................................... 3 1.4 Metod .................................................................................................................................................... 4 1.5 Avgränsningar .................................................................................................................................... 5 1.6 Disposition ........................................................................................................................................... 5
2. Regelverken avseende penningtvätt och dess framväxt ............................................ 7 2.1 Kort om penningtvätt och den omgärdande problematiken ................................................... 7 2.2 Regelverkens framväxt på internationell nivå ............................................................................ 8
2.2.1 Allmänt om den internationella arenan för åtgärder mot penningtvätt .......................................... 8 2.2.2 Grundandet av FATF - en milstolpe i det internationella arbetet .................................................... 8 2.2.3 EU:s arbete för bekämpning av penningtvätt ...................................................................................... 10
2.3 Regelverkens framväxt på nationell nivå .................................................................................. 12 2.3.1 Kort om implementeringen av EU:s penningtvättsdirektiv i svensk lagstiftning .................... 12 2.3.2 Mer om den svenska administrativa penningtvättslagstiftningen ................................................. 13
3. Reglerna om kundkännedom ........................................................................................... 14 3.1 Övergripande om kundkännedomsreglerna ............................................................................. 14
3.1.1 Kundkännedomsreglerna som redskap för att minska risken för penningtvätt ........................ 14 3.1.2 Kundkännedom och principen om ett riskbaserat förhållningssätt .............................................. 14
3.2 Mer om kundkännedomsreglerna enligt nuvarande PTL ..................................................... 16 3.2.1 Omfattningen av kundkännedomsreglerna .......................................................................................... 16 3.2.2 När kundkännedom ska uppnås och vad konsekvenserna blir om uppgifter saknas .............. 19 3.2.3 Rapportering av misstänkta transaktioner ............................................................................................ 19 3.2.4 Finansinspektionens möjlighet att kontrollera bankernas regelefterlevnad .............................. 20
3.3 Fjärde penningtvättsdirektivet och nya penningtvättslagen ................................................ 21 3.3.1 Något övergripande om fjärde penningtvättsdirektivet ................................................................... 21 3.3.2 Utredningens förslag till en ny penningtvättslag ................................................................................ 22
3.3.2.1 Något om de övergripande förändringarna till följd av direktivet ......................................................... 22 3.3.2.2 Mer om förändringarna avseende kundkännedom i nya penningtvättslagen ..................................... 23
3.3.2.2.1 Obligatoriska, förenklade och skärpta åtgärder för kundkännedom ...................................... 23 3.3.2.2.2 Ett centralt register över verkliga huvudmän ................................................................................... 27
4. Kundkännedomsreglerna och den nya dataskyddsförordningen ....................... 29 4.1 Skydd för den personliga integriteten ........................................................................................ 29 4.2 En ny dataskyddsförordning ersätter det tidigare dataskyddsdirektivet .......................... 29 4.3 Behandling av personuppgifter i samband med kundkännedom ........................................ 30
4.3.1 Något om personuppgiftslagen och relevanta regler för åtgärder mot penningtvätt .............. 30 4.3.2 Tillåtlighet för personuppgiftsbehandling i kundkännedomsprocessen ..................................... 32 4.3.3 Fjärde penningtvättsdirektivet och behandling av personuppgifter ............................................. 33
4.4 Något om förändringarna till följd av den nya dataskyddsförordningen .......................... 35
5. En analys av kundkännedomsreglerna i fjärde penningtvättsdirektivet med beaktade av dataskyddsförordningen .................................................................................. 38
5.1 Inledning ........................................................................................................................................... 38 5.2 Kundkännedomsreglerna som ett effektivt redskap mot penningtvätt .............................. 38
5.2.1 Gynnar de internationella satsningarna reglernas effektivitet? ..................................................... 38 5.2.2 Gynnar det riskbaserade förhållningssättet regelverkets effektivitet? ........................................ 39 5.2.3 Kommer den nya penningtvättslagen underlätta tillämpningen? ................................................. 43
5.3 Vad innebär systemkonflikten mellan kundkännedomsreglerna och reglerna om personuppgifter i dataskyddsförordningen? ...................................................................................... 44 5.4 Slutsats .............................................................................................................................................. 47
Källförteckning ............................................................................................................................. 48
Förkortningar
EBA European Banking Authority
EBM Ekobrottsmyndigheten
EDPS European Data Protection Supervisor
EIOPA European Insurance and Occupational Pensions Authority
ESA The Joint Committe of the European Supervisory Authorities
ESMA European Securities and Markets Authority
FATF Financial Action Task Force
FI Finansinspektionen
FIPO Finanspolisen
PbD Privacy by Design
PEP Person i politiskt utsatt ställning
SIMPT Svenska Institutet mot Penningtvätt
1
1. Inledning
1.1 Problembakgrund Bolag verkar idag i allt större utsträckning på en global marknad, vilket leder till nya
utmaningar, inte minst inom finansbranschen. Penningtvätt är ett ständigt växande problem
som kräver effektiva, gränsöverskridande åtgärder. I Sverige rör det sig uppskattningsvis om
mångmiljardbelopp, vilket innebär att förfarandet utgör ett allvarligt hot mot såväl det
finansiella systemet som dess institutioner.1 I förlängningen kan även samhällsekonomin och
den finansiella säkerheten påverkas. 2 Om institutionerna inom det finansiella systemet
förknippas med illegala tillgångar och penningtvätt kan förtroendet för dessa snabbt skadas,
vilket i sin tur hotar den finansiella stabiliteten. 3 Den tekniska utvecklingen påverkar
möjligheterna att, på ett snabbt och effektivt sätt, flytta tillgångar mellan nationer. Därmed
blir det även enklare för penningtvättare att dölja sina spår.4 Problematiken sträcker sig
således över nationsgränserna, vilket ställer höga krav på internationellt samarbete och
regleringar.5 Samtidigt bör onödiga hinder för legitima betalningar undvikas till förmån för
innovativa lösningar inom området, vilket främjar friheten för kapitalrörelser och friheten att
tillhandahålla finansiella tjänster inom Europeiska Unionens (EU) integrerade område.6
Idag sker arbetet med att bekämpa penningtvätt på flera nivåer - internationellt, inom EU och
nationellt - genom att verkningsfulla och förebyggande åtgärder vidtas. Det internationella
mellanstatliga organet Financial Action Task Force (FATF) har till uppgift att fastställa
normer och främja ett effektivt genomförande av rättsliga och operativa åtgärder för att
bekämpa penningtvätt och värna om den internationella finansiella stabiliteten. FATF:s
rekommendationer, vilka utgör internationella standarder, har fått stor spridning och ställer
1 Gemensam myndighetsrapport/Finansinspektionen, Penningtvätt – en nationell riskbedömning, s. 7. 2 Regeringens skrivelse 2013/14:245, s. 3 och Falkman, Bankernas skyldighet att ta emot inlåning, s. 735. 3 Harvey, Just How Effective is Money Laundering?, s. 189. 4 KOM (2016) 450 final: Förslag till Europaparlamentets och rådets direktiv om ändring av direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism och om ändring av direktiv 2009/101/EG, s. 2 (hädanefter KOM (2016) 450). 5 Ekobrottsmyndigheten, Ekobrottsmyndighetens Underrättelsebild 2012 - extern version, s. 19 6 Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG, EUT L 141, 5.6.2015, beaktandeskäl (2) (hädanefter Europaparlamentets och rådets direktiv 2015/849/EU).
2
krav på länder att identifiera, analysera och förstå sina risker, vidta åtgärder samt fördela
resurserna i enlighet med dessa.7
Under år 2012 reviderade FATF sina rekommendationer och till följd av detta antog EU,
under våren 2015, två nya rättsakter för att anpassa unionsrätten till rekommendationerna.
Dels antogs ett fjärde penningtvättsdirektiv med syfte att förstärka och förbättra det
europeiska ramverket för bekämpning av penningtvätt och finansiering av terrorism, dels en
reviderad förordning om uppgifter som ska åtfölja överföringar av medel. 8 Fjärde
penningtvättsdirektivet reglerar hur olika aktörer ska arbeta för att förhindra att unionens
finansiella system utnyttjas för penningtvätt och finansiering av terrorism.9
Ett av de mest handfasta och effektiva redskap för verksamhetsutövare, såsom kreditinstitut
och finansiella institut, att tillgå för att förhindra penningtvätt är kundkännedomsprocessen.
Genom att skaffa sig god kännedom om sina kunder kan verksamhetsutövare på ett konkret
sätt hantera riskerna och upprätthålla ett effektivt skydd mot penningtvätt. Åtgärder för att
uppnå kundkännedom ska vidtas utifrån ett riskbaserat förhållningssätt, vilket innebär
anpassade åtgärder utifrån den risk som anses föreligga. För att leva upp till kraven i
regelverket måste det således finnas en klar koppling mellan de åtgärder som vidtas och de
risker som föreligger för penningtvätt. Det riskbaserade förhållningssättet ska genomsyra hela
verksamheten och genom att utgå ifrån de risker för penningtvätt som föreligger i det
specifika företaget, kan interna rutiner inrättas för att avgöra i vilka situationer och i vilken
omfattning kundkännedom behöver uppnås.10
Fjärde penningtvättsdirektivet innehåller förenklade men skärpta krav på när
kundkännedomsåtgärder ska vidtas. Senast den 26 juni 2017 ska direktivet vara
implementerat i Sverige och därmed kommer lagen (2009:62) om åtgärder mot penningtvätt
och finansiering av terrorism (PTL) att ersättas av en ny penningtvättslag.11 I januari 2016
överlämnade den tillsatta utredningen sitt betänkande till regeringen, vilket överlag har fått ett
7 FATF (2012), s. 7. 8 Europaparlamentets och rådets direktiv 2015/849/EU och Europaparlamentets och rådets förordning (EU) 2015/847 av den 20 maj 2015 om uppgifter som ska åtfölja överföringar av medel och om upphävande av förordning (EG) nr 1781/2006, EUT L 141, 5.6.2015 (hädanefter Europaparlamentets och rådets förordning (EU) 2015/847). 9 SOU 2016:8 del 1, s. 26-27. 10 SOU 2016:8 del 1, s. 199-201. 11 Europaparlamentets och rådets direktiv 2015/849/EU, art. 67.1 och SOU 2016:8, s. 595.
3
positivt gensvar.12 Regelverket är dock mycket omfattande och det finns utrymme för olika
tolkningar, vilket kan leda till osäkerhet vid tillämpningen.
Därtill finns en stor risk för systemkonflikt mellan kundkännedomsreglerna och reglerna om
personuppgiftsbehandling. Under våren 2016 antog EU en ny dataskyddsförordning,13 vilken
kommer att ersätta den svenska personuppgiftslagen (1998:204) (PUL). Bankerna måste
således ta hänsyn till såväl fjärde penningtvättsdirektivet som dataskyddsförordningen när de
anpassar verksamheten till de nya reglerna.14 Kraven på kundkännedom skärps, samtidigt som
den nya dataskyddsförordningen innebär att företag och myndigheter får en utökad
informationsskyldighet och enskilda personer större kontroll över sina personuppgifter. Hur
dessa regelverk förhåller sig till varandra ter sig i dagens läge oklart.15 Detta kan skapa ett
otryggt klimat för bankerna, av vilka det krävs korrekt tillämpning av båda regelverken.
1.2 Syfte Syftet med denna uppsats är att belysa reglerna avseende de skärpta kraven på
kundkännedom, vilka följer av fjärde penningtvättsdirektivet. Därtill är syftet att utreda och
analysera om kundkännedomsreglerna är utformade på ett sätt som bidrar till att arbetet mot
penningtvätt kan företas på ett effektivt sätt. Slutligen är syftet att analysera konflikten
mellan kundkännedomsreglerna i fjärde penningtvättsdirektivet och reglerna om
personuppgifter i den nya dataskyddsförordningen.
1.3 Problemformulering I uppsatsen ämnar nedanstående frågor besvaras:
• Kommer kundkännedomsreglerna kunna tillämpas på ett sätt som bidrar till att arbetet
mot penningtvätt kan företas på ett effektivt sätt?
• Vad innebär systemkonflikten mellan kundkännedomsreglerna i fjärde
penningtvättsdirektivet och reglerna om personuppgifter i dataskyddsförordningen?
12 SOU 2016:8. 13 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), EUT L 119, 4.5.2016 (hädanefter Europaparlamentets och rådets förordning (EU) 2016/679). 14 Khan, The Fourth AML Directive and the EU’s Approach to Data Protection: A Precautionary Warning. 15 Glynn, KYC vs Data Protection – The Next Compliance Hurdle, s. 2.
4
1.4 Metod Som tidigare nämnts är penningtvätt ett internationellt problem, vilket kräver ett vidare
perspektiv med sträckning över nationsgränserna. Till följd av detta, och på grund av den
framträdande globaliseringen, krävs olika metoder för att kunna besvara frågeställningarna
och uppnå syftet med uppsatsen. Metoderna kommer att används som komplement till
varandra och beskrivs mer ingående nedan.
De svenska reglerna avseende penningtvätt och personuppgiftsbehandling bygger på EU-
rättsliga förordningar och direktiv, vilka måste implementeras i den svenska lagstiftningen.
De EU-rättsliga källorna bygger i sin tur på internationella källor och fungerar därmed som ett
led mellan den internationella och den nationella rätten.16 För att hantera de EU-rättsliga
källorna och för att avgöra hur dessa bör tolkas och tillämpas på nationell nivå kommer den
EU-rättsliga metoden att användas.17
Vidare kommer en rättsekonomisk metod att användas i uppsatsen eftersom reglerna om
penningtvätt syftar till att stärka det finansiella systemet och förhindra att det utnyttjas på ett
sätt som hotar den finansiella stabiliteten. Den rättsekonomiska metoden innebär att rätten
tolkas och analyseras utifrån ett ekonomiskt perspektiv och kan användas för att utvärdera
lagarnas effekter på sociala värden. Inom rättsekonomin ses inte rätten som ett eget
självständigt system, utan ett system med ändamål att uppnå en högre nivå av ekonomisk
effektivitet eller välfärd. 18 För att utreda reglerna om kundkännedom i fjärde
penningtvättsdirektivet, och huruvida dessa är effektiva för att uppnå målet om ett stärkt
finansiellt system,19 kommer främst en normativ rättsekonomisk analys att genomföras i syfte
att visa på hur lagstiftningen borde se ut för att uppnå ekonomisk effektivitet.20 Vidare
kommer kundkännedomsreglerna analyseras för att undersöka om bankerna kan tillämpa
dessa på ett sätt som bidrar till en högre nivå av ekonomisk effektivitet.
En del av frågeställningen handlar även om att analysera konflikten mellan
kundkännedomsreglerna och dataskyddsförordningen. För att beskriva lagreglerna och
16 Exempelvis FATF:s rekommendationer. 17 Hettne & Otken Eriksson, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, s. 34-35 och Korling & Zamboni, Juridisk metodlära, s. 109-110. 18 Dahlman, Glader, Reidhav, Rättsekonomi – En introduktion, s. 9-10 och Cooter & Ulen, Law and Economics, s. 4. 19 Harvey, Just How Effective is Money Laundering?, s. 191. 20 Korling & Zamboni, Juridisk metodlära, s. 178.
5
systematisera dessa kommer jag att tillämpa en rättsdogmatisk metod. Genom att studera
aktuella rättskällor, vari europarättsligt och unionsrättsligt material är inbegripna, kan
samband, likheter och skillnader identifieras.21 Den andra problemformuleringen innebär en
analys av ifrågavarande lagar och regelkonflikten dem emellan. Systemkonformitet kan ses
som ett övergripande mål vid lagstiftning och detta kommer att användas som metod för att
analysera konflikten mellan kundkännedomsreglerna och reglerna om
personuppgiftsbehandling.22
1.5 Avgränsningar I uppsatsen behandlas endast bankernas tillämpning av kundkännedomsreglerna och deras
ansvar vid brottsförebyggande arbete. Således bortses från andra verksamhetsutövare, vilka
omfattas av lagstiftningen. Framställningens tyngdpunkt ligger vidare på reglerna om
kundkännedom som ett hjälpmedel mot penningtvätt. Det administrativa regelverket är även
tillämpligt på finansiering av terrorism men detta berörs inte i uppsatsen.
De straffrättsliga regelverken avseende penningtvätt, dvs. lagen om straff för
penningtvättsbrott (2014:307) och lagen om straff för finansiering av särskilt allvarlig
brottslighet i vissa fall (2002:444), kommer inte att beröras eftersom de saknar relevans för att
kunna besvara uppsatsens frågeställningar.
Det svenska lagstiftningsarbetet avseende den nya penningtvättslagen är, i skrivande stund,
fortfarande pågående. Därav har endast material till och med den 22 februari 2017 beaktats i
detta hänseende.23
1.6 Disposition I kapitel 2 ges en introduktion till de rekommendationer och regelverk, vilka syftar till att
motverka penningtvätt. Kapitlet innehåller inledningsvis en historisk tillbakablick för att ge
läsaren en djupare förståelse för utvecklingen på området och vad som har föranlett den
utökade regleringen. I och med att penningtvättsfrågorna har en viktig gränsöverskridande roll 21 Sandgren, Om teoribildning och rättsvetenskap, s. 322-326, Sandgren, Rättsvetenskap för uppsatsförfattare: ämne, material, metod och argumentation, s. 43 samt Peczenik, Juridikens allmänna läror, s. 259. 22 Andersson, Om lagstiftningstekniken kring behörighets- och befogenhetsöverskridande i ABL, särskilt om särskilda firmatecknare, s. 768-769 och prop. 2004/05:30 s. 1. 23 Den 23 februari offentliggjordes lagrådsremissen Ytterligare åtgärder mot penningtvätt och finansiering av terrorism.
6
kräver den historiska framställningen en genomgång på internationell, EU-rättslig samt
nationell nivå.
I kapitel 3 skildras reglerna avseende kundkännedom och dess funktion vid bekämpning av
penningtvätt, särskilt med beaktande av fjärde penningtvättsdirektivet. Det krävs förståelse
för riskbaserade förhållningssättet, varför kapitlet även innehåller en genomgång av detta
förhållningssätt.
I kapitel 4 utreds reglerna om kundkännedom i relation till reglerna om personuppgifter,
särskilt med beaktade av nya den dataskyddsförordningen. Läsaren ges en kort introduktion
till de regler som påverkar och är av intresse för kundkännedomsprocessen. Därefter skildras
de mest väsentliga förändringar som följer av dataskyddsförordningen.
I kapitel 3 och 4 finns inslag av analys men först i kapitel 5 analyseras problemen mer
djupgående och problemformuleringarna besvaras.
7
2. Regelverken avseende penningtvätt och dess framväxt
2.1 Kort om penningtvätt och den omgärdande problematiken Det saknas idag en allmän vedertagen definition av begreppet penningtvätt, men det kan på
ett förenklat sätt förklaras som åtgärder som företas i syfte att dölja samband mellan egendom
och brott. Genom att utnyttja det finansiella systemet kan vinster från brott föras in i det
legala systemet via investeringar eller konsumtion. Det kan handla om att undanhålla
egendom från myndigheter och rättsväsen eller andra åtgärder som syftar till att skapa en
falsk förespegling om att egendomen härrör från legitima källor.24
För att det ska vara tal om penningtvätt krävs att det först uppstår en ekonomisk fördel till
följd av ett brott. Det ursprungliga brottet, från vilket pengar eller annan egendom emanerar,
kallas ofta för ”förbrott” eller ”underliggande brott”. I princip alla typer av brott, vilka kan
generera pengar eller annan egendom, kan utgöra förbrott till penningtvätt men även indirekt
ekonomisk vinning till följd av brott kan, enligt praxis, räknas dit.25
Av definitionen i PTL, vilken är framtagen i enlighet med FATF:s rekommendationer och
EU:s penningtvättsdirektiv, framgår att med penningtvätt avses såväl åtgärder med pengar
eller egendom som har förvärvats genom brott som åtgärder med annan egendom än den som
förvärvats genom brott, om åtgärderna är ägnade att dölja att någon har berikat sig genom
brottslig gärning.26 Det sistnämnda innebär att penningtvätt även omfattar de fall där
förbrottet är skattebrott eller andra fiskala brott. Egendomen har i det fallet inte förvärvats
genom brott men den brottsliga handlingen har lett till att den som har begått brottet har fått
en ekonomisk fördel. Det kan exempelvis innebära att gärningsmannen lättare får behålla
egendom som denne redan har rådighet över genom att ge sken av att denne är rättmätig
ägare, eller att skatt inte behöver betalas.27
24 Se exempelvis Interpol, Money Laundering, United Nations Office on Drugs and Crime, Introduction to money-laundering, FATF, What is money laundering? samt 1 kap. 5 § 6 p. PTL. 25 Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 24 och NJA 2005 s. 833. 26 1 kap. 5 § 6 p. PTL. 27 Ekobrottsmyndigheten, Penningtvätt, s. 8-10.
8
2.2 Regelverkens framväxt på internationell nivå
2.2.1 Allmänt om den internationella arenan för åtgärder mot penningtvätt
Penningtvätt är en internationell företeelse, vilken vållar stora problem inom den finansiella
sektorn med återverkningar på andra områden. Från början låg tyngdpunkten på att bekämpa
penningtvätt från droghandeln och narkotikabrottsligheten. Idag är syftet med de
internationella regelverken att motverka penningtvätt avseende alla typer av brottslig
verksamhet. Dessa regelverk styr inte enbart inriktningen på de gemensamma internationella
strategierna utan påverkar även, i stor utsträckning, utformningen av de nationella systemen.28
Flera ledande internationella organisationer och standardsättare är engagerade i kampen mot
penningtvätt, däribland FATF, Förenta Nationerna (FN), EU, Europarådet, Internationella
valutafonden (IMF) och Världsbanken. Även samarbetsorgan och standardsättare inom det
finansiella tillsynsområdet, såsom Baselkommittén för banktillsyn, International Association
of Insurance Supervisors (IAIS) på försäkringsområdet och International Organisation of
Securities Commissions (IOSCO) på värdepappersområdet, har åtgärder mot penningtvätt
som ett högt prioriterat område. Samtliga av dessa organisationer har tagit fram ”core
principles” inom sitt område, vilka tillämpas som utgångspunkter för åtgärder inom finansiell
tillsyn och hos finansiella institutioner. Därtill arbetar privata organisationer, exempelvis
nationella och internationella branschorganisationer för banker och andra finansiella
institutioner och internationella sammanslutningar av advokater och revisorer m.fl.,29 aktivt
med frågor om åtgärder mot penningtvätt. Dessa fyller en viktig roll, inte minst genom att
föra en dialog med de internationella standardsättarna och organisationerna, vilket har visat
sig vara effektivt när nya regler ska tas fram.30
2.2.2 Grundandet av FATF - en milstolpe i det internationella arbetet
Vid ett toppmöte i Paris år 1989 grundade G7-länderna31 det mellanstatliga organet FATF, till
följd av ett ökat behov av åtgärder avseende pengar härrörande från framför allt
28 SOU 2016:8 del 1, s. 41. 29 Exempelvis European Banking Federation, Wolfsberggruppen, American Bankers Association, British Bankers Organisation, Joint Money Laundering Steering Group och International Bar Association. 30 Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 48-53. 31 G7-gruppen är en informell grupp bestående av Frankrike, Italien, Japan, Kanada, Storbritannien, Tyskland och USA.
9
narkotikahandeln men även annan kriminell verksamhet.32 Detta är ett av de viktigaste
internationella initiativ som tagits inom området, och FATF har under sin existens utvecklats
och anses idag utgöra det världsledande internationella organet inom området för åtgärder mot
penningtvätt och finansiering av terrorism.33 Vid skapandet av den första arbetsgruppen
deltog ytterligare åtta stater, däribland Sverige.34 Idag har FATF 37 medlemmar, varav
35 länder och två organisationer (Europeiska kommissionen och Gulfstaternas samarbetsråd).
Därtill finns nio associerade medlemmar och 22 observatörer, vilket ger arbetet en bred
geografisk spridning.35
Arbetet inom FATF syftar till att fastställa internationella standarder och främja
implementering av legala och operativa åtgärder för att bekämpa penningtvätt, finansiering av
terrorism och finansiering av spridning av massförstörelsevapen. Detta sker genom
framtagande av rekommendationer och tolkningsnoter för medlemsländerna att tillämpa på
nationell nivå. FATF tar även fram vägledningsdokument till stöd för införandet och
tillämpningen av standarderna.36 Den första uppsättningen rekommendationer antogs av
arbetsgruppen vid G7-toppmötet år 1990 och bestod av tre centrala delar; förbättringar av de
nationella rättssystemen, förbättringar av det finansiella systemets roll och ett stärkt
internationellt arbete. 37 Rekommendationerna reviderades första gången år 1996 och
resulterade i att även vissa aktörer utanför den finansiella sektorn kom att omfattas av dessa.38
Revideringen genomfördes även för att möta nya trender och tekniker på området för
penningtvätt samt för att bredda reglernas tillämpningsområde. År 2001, kort efter
händelserna den 11 september, antogs åtta specialrekommendationer gällande åtgärder för att
motverka finansiering av terrorism, vilka senare kompletterades med en nionde
specialrekommendation.39 Genom en revidering år 2003 infördes en riskbaserad metod
avseende bland annat åtgärder för kundkännedom. Metoden innebar genomförande av
riskbedömningar och att omfattningen av åtgärderna därefter skulle anpassas utefter den risk
32 FATF (2012), s. 7-9. Se även Prop. 2014/15:80, s. 16-17. 33 SOU 2016:8 del 1, s. 63 och Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 21. 34 Prop. 2014/15:80, s. 17. 35 Financial Action Task Force, FATF Members and observers. 36 FATF (2012), s. 7. 37 FATF (1990). 38 FATF (2012), s. 7 och prop. 2014/15:80, s. 17. 39 FATF (2012), s. 7.
10
som ansågs föreligga. Denna utgör idag den centrala metoden vid tillämpningen av
kundkännedomsprocessen.40
De nu gällande 40 rekommendationerna antogs i februari 2012 och fokus ligger på att bygga
upp ett effektivt system för att bekämpa penningtvätt och finansiering av terrorism.
Revideringen genomfördes för att möta nya framkommande hot, såsom ökad globalisering
och digitalisering, men också för att klargöra och stärka de redan existerande förpliktelserna.
Länderna uppmanas även att lägga större fokus på områden där stora risker kvarstår eller där
implementeringen kan förbättras. Vid tillämpningen av den riskbaserade metoden ska
länderna identifiera, bedöma och förstå riskerna för penningtvätt som de möter, för att sedan
vidta lämpliga åtgärder med syfte att minska denna risk. Metoden tillåter länderna att anta en
mer flexibel uppsättning åtgärder, vilket ska leda till en mer effektiv allokering av resurser
genom att åtgärder vidtas i proportion till den typ av risk som anses föreligga.41
FATF utvärderar och granskar regelbundet medlemsländernas implementering och
efterlevnad av rekommendationerna. Sverige granskades under år 2006 och FATF riktade, vid
det tillfället, framförallt kritik mot att systemet för att bekämpa penningtvätt inte ansågs
tillräckligt effektivt. År 2016 granskades Sverige återigen i syfte att utvärdera hur väl Sverige
följer de reviderade rekommendationerna och hur effektivt det svenska systemet för
bekämpning av penningtvätt är idag. Resultatet från granskningen kommer att presenteras i en
rapport under mars 2017.42
2.2.3 EU:s arbete för bekämpning av penningtvätt
EU har sedan en lång tid tillbaka arbetat aktivt för att förhindra penningtvätt och många av de
internationella standarder som tas fram införs i nationell rätt genom införlivande av EU-
direktiv. Samtliga av de penningtvättsdirektiv som har antagits inom EU bygger på FATF:s
rekommendationer. Direktiven har således tillkommit på grund av den internationella
utvecklingen på området och med en önskan om att anpassa lagstiftningen inom EU:s
medlemsländer för att harmonisera med utvecklingen inom FATF. År 1991 antogs det första
40 FATF (2003). 41 FATF (2012), s. 8. 42 FATF, Mutual Evaluations och FATF (2006), Third Mutual Evaluation/ Detailed Assessment Report Anti-Money Laundering and Combating the Financing of Terrorism: Sweden.
11
penningtvättsdirektivet,43 vilket syftade till att samordna insatserna för att förhindra att
friheten för kapitalrörelser och friheten att tillhandahålla finansiella tjänster utnyttjades för
penningtvätt.44 Ändringar i det första penningtvättsdirektivet beslutades år 2001 och därmed
antogs ett andra penningtvättsdirektiv,45 genom vilket tillämpningsområdet utvidgades till att
omfatta även vissa verksamheter utanför den finansiella sektorn, såsom revisorer,
skatterådgivare och fastighetsmäklare. Dessutom utökades kretsen av förbrott för att omfatta
även andra brott än narkotikabrott.46 År 2005 antogs det tredje penningtvättsdirektivet,47 på
vilket dagens svenska penningtvättslagstiftning bygger. Detta direktiv ersatte de två tidigare
direktiven och gick betydligt mycket längre än sina föregångare. Exempelvis vidgades
definitionen av penningtvätt genom att den grundades på en vidare krets av förbrott och nya
verksamhetsutövare kom att omfattas. De största förändringarna var dock att det riskbaserade
förhållningssättet introducerades i unionsrätten samt att direktivet var tydligare i fråga om
regler för kundkontroller. Det ställdes upp uttryckliga krav på vad verksamhetsutövarna
skulle ta reda på om sina kunder samt vilka situationer som tillät förenklade eller krävde
skärpta åtgärder för kundkontroll.48 Gemensamt för samtliga penningtvättsdirektiv är att de
har byggt på hörnstenarna identitetskontroll samt gransknings- och rapporteringsskyldighet,
vilket åligger vissa verksamhetsutövare.49 Redan av första penningtvättsdirektivet framgår att
kontroller av kundernas identitet, granskning av misstänkta transaktioner och
tillhandahållande av information och rapportering till tillsynsmyndigheten, utgör nödvändiga
led i kampen mot penningtvätt i syfte att upprätthålla sundhet och integritet hos det finansiella
systemet.50
Efter att FATF uppdaterade sina rekommendationer år 2012 och genomförde flera
förändringar påbörjades ett revideringsarbete även inom EU. Detta resulterade i att EU, den
20 maj 2015, antog två uppdaterade rättsakter. Dels antogs ett omfattande fjärde
penningtvättsdirektiv, dels en förordning om uppgifter som ska åtfölja överföringar av 43 Rådets direktiv 91/308/EEG av den 10 juni 1991 om åtgärder för att förhindra att det finansiella systemet används för tvättning av pengar, EGT L 166, 28.6.1991 (Hädanefter Rådets direktiv 91/308/EEG). 44 Rådets direktiv 91/308/EEG, st. 1 i ingressen. 45 Europaparlamentets och rådets direktiv 2001/97/EG av den 4 december 2001 om ändring av rådets direktiv 91/308/EEG om åtgärder för att förhindra att det finansiella systemet används för tvättning av pengar, EGT L 344, 28.12.2001 (Hädanefter Europaparlamentets och rådets direktiv 2001/97/EG). 46 Europaparlamentets och rådets direktiv 2001/97/EG, art. 1.2 och 1.1 E). 47 Europaparlamentets och rådets direktiv 2005/60/EG av den 26 oktober 2005 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism, EUT L 309, 25.11.2005 (Hädanefter Europaparlamentets och rådets direktiv 2005/60/EG). 48 SOU 2016:8 del 1, s. 74-75. 49 Prop. 2008/09:70, s. 46-48. Se även prop. 1992/93:207, s. 1 och prop. 2003/04:156, s. 34-35. 50 Rådets direktiv 91/308/EEG, st. 12-16 i ingressen.
12
medel.51 Medlemsstaterna ska senast den 26 juni 2017 ha infört de bestämmelser i lagar och
andra författningar, vilka är nödvändiga för att följa direktivet.52
För att säkerställa att EU:s regler om penningtvätt efterlevs på ett effektivt och konsekvent
sätt har ”The Joint Committe of the European Supervisory Authorities” (ESA), bestående av
European Banking Authority (EBA), European Insurance and Occupational Pensions
Authority (EIOPA) samt European Securities and Markets Authority (ESMA), mandat att
utfärda riktlinjer och rekommendationer. 53 ESA har utfärdat riktlinjer avseende det
riskbaserade förhållningssättet i syfte att ge verksamhetsutövare de verktyg som behövs för
att fatta välgrundade, riskbaserade och proportionerliga beslut för en effektiv hantering av
enskilda affärsrelationer och transaktioner.54
2.3 Regelverkens framväxt på nationell nivå
2.3.1 Kort om implementeringen av EU:s penningtvättsdirektiv i svensk lagstiftning
Det första penningtvättsdirektivet implementerades i svensk rätt genom lag (1993:768) om
åtgärder mot penningtvätt. Sverige var vid denna tidpunkt inte medlem i EU, men på grund av
Sveriges medlemskap i EFTA-samarbetet, 55 vilka tillsammans med EU ingick i EES-
samarbetet,56 var Sverige tvunget att ratificera direktivet i svensk lagstiftning.
Det andra penningtvättsdirektivet innebar, för svensk lagstiftning, att bestämmelserna i den
dåvarande penningtvättslagen skärptes.57 I och med att det tredje penningtvättsdirektivet
antogs krävdes ytterligare förändringar i svensk lag. Dessa genomfördes genom en ny
penningtvättslag, vilken är gällande än idag.58 Därtill har Finansinspektionen (FI) gett ut
51 Europaparlamentets och rådets direktiv 2015/849/EU och Europaparlamentets och rådets förordning (EU) 2015/847. 52 Europaparlamentets och rådets direktiv 2015/849/EU, art. 67.1 och SOU 2016:8 del 1, s. 595. 53 European Banking Authority, EBA, EIOPA and ESMA consult on anti-money laundering and countering the financing of terrorism. 54 The Joint Committe of the three European Supervisory Authorities, Joint Guidelines on the characteristics of a risk-based approach to anti-money laundering and terrorist financing supervision, and the steps to be taken when conducting supervision on a risk-sensitive basis. 55 European Free Trade Association (EFTA) är en frihandelsorganisation som grundades år 1960 av Danmark, Norge, Portugal, Schweiz, Storbritannien, Sverige och Österrike. 56 Europeiska ekonomiska samarbetsområdet (EES) inrättades 1994 och innebar ett samarbete mellan EU och EFTA-länderna, vilket syftade till att ge EFTA-länderna tillträde till EU:s inre marknad. 57 Lag om ändring i lagen (1993:768) om åtgärder mot penningtvätt. 58 Lag (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism.
13
föreskrifter, vilka innehåller allmänna råd om åtgärder mot penningtvätt och finansiering av
terrorism.59
2.3.2 Mer om den svenska administrativa penningtvättslagstiftningen
Sedan lagens ikraftträdande år 2009 har en mängd uppdateringar gjorts, varav en av de mer
centrala ändringarna genomfördes år 2015.60 Ändringarna genomfördes dels mot bakgrund av
FATF:s reviderade rekommendationer, dels med beaktade av den nationella riskbedömning,61
vilken offentliggjordes i Sverige under år 2013. Lagändringarna innebar bland annat ett
utvidgat krav på verksamhetsutövare att göra en bedömning av riskerna för penningtvätt i den
egna verksamheten och att begreppet person i politiskt utsatt ställning (PEP) utvidgades.62
I oktober 2014 tillkallade regeringen en särskild utredare med uppdrag att lämna förslag till
nya lagbestämmelser för att implementera fjärde penningtvättsdirektivet i den svenska
lagstiftningen. Därutöver skulle utredningen se över vad som krävdes för att uppfylla FATF:s
rekommendationer samt anpassa svensk rätt till den reviderade förordningen om uppgifter
som ska åtfölja överföringar av medel. Den 1 februari 2016 lämnade utredningen sitt
slutbetänkande till regeringen, vari utredningen föreslog att en ny penningtvättslag ska ersätta
den nuvarande. Förslaget innebär att det i den nya lagen införs flera nya bestämmelser,
exempelvis avseende det riskbaserade förhållningssättet. 63
59 FFFS 2009:1. 60 Lag (2015:443) om ändring i lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism och prop. 2014/15:80, s. 1. 61 Gemensam myndighetsrapport/Finansinspektionen, Penningtvätt – en nationell riskbedömning. 62 Prop. 2014/15, s. 1. Läs mer om PEP under avsnitt 3.2.1. 63 SOU 2016:8.
14
3. Reglerna om kundkännedom
3.1 Övergripande om kundkännedomsreglerna
3.1.1 Kundkännedomsreglerna som redskap för att minska risken för penningtvätt
Ett av de mest handfasta och centrala redskap, vilket verksamhetsutövare kan använda sig av
i sin verksamhet för att minska risken för penningtvätt, är kundkännedomsprocessen. Genom
att, vid möte med kunden, vidta åtgärder för att uppnå kännedom om denne, ökar
möjligheterna för att upptäcka dessa företeelser samt möjligheterna att motverka och hantera
riskerna för dem. Verksamhetsutövaren ska skaffa sig kännedom om kunden, dels vid
etableringen av affärsförbindelsen, dels genom fortlöpande uppföljning med återkommande
kontroller. De löpande kontrollerna syftar till att finna avvikelser i förhållande till vad som är
känt om kunden samt till att hålla kännedomen aktuell. 64
3.1.2 Kundkännedom och principen om ett riskbaserat förhållningssätt
Tillämpningen av ett riskbaserat förhållningssätt har successivt vuxit fram inom den
finansiella sektorn. Principen fick stort genomslag när FATF tog in den i sina
rekommendationer vid revideringen år 2003 och ytterligare genomslag när EU införde
motsvarande bestämmelser i tredje penningtvättsdirektivet.65 Efter FATF:s senaste revidering,
i februari 2012, har principen fått en än mer central betydelse och tanken om att resurserna
ska användas där riskerna är som störst genomsyrar hela regelverket.66 Det riskbaserade
förhållningssättet finns numera infört direkt i lag och i myndighetsföreskrifter, varför en
övergång från ett regelbaserat till ett mer riskbaserat system kan anses ha skett.67
Det riskbaserade förhållningssättet tillämpas på såväl internationell och nationell nivå som på
verksamhetsnivå. Utifrån internationella och nationella riskanalyser, inbegripet
undersökningar av sårbarheter och hotbilder i de aktuella systemen, kan övergripande
strategier utarbetas. På verksamhetsnivå tillämpas sedan det riskbaserade förhållningssättet
vid utformningen av interna åtgärder och rutiner, vilka ska företas vid hanteringen av olika
kunder och transaktioner för att uppnå lämplig kundkännedom.68
64 SOU 2016:8 del 1, s. 199-203. 65 Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 75. 66 FATF (2012), s. 8. Se även SOU 2016:8, s. 65-66. 67 Se exempelvis 2 kap. 1 § PTL, 5 kap. 1 § PTL samt 2 kap. 1 § FFFS 2009:1. 68 SOU 2016:8 del 1, s. 66.
15
Det åligger bankerna att kartlägga och bedöma riskerna för penningtvätt i verksamheten
utifrån ett lämpligt sätt med hänsyn till företagets verksamhet, omfattning och komplexitet.
Riskbedömningen ska innehålla en analys av bankens kunder, produkter, tjänster och andra
faktorer, vilka är av relevans för verksamheten. 69 Utifrån denna riskanalys ska sedan
omfattningen av åtgärder, processer, interna kontroller samt allokering av resurser anpassas.
Användningen av det riskbaserade förhållningssättet möjliggör å ena sidan för en tämligen
betydande flexibilitet för bankerna avseende arbetssätt och vilka åtgärder som ska vidtas för
att uppfylla syftet med regelverket. Å andra sidan innebär det en ökad komplexitet och en
förhöjd osäkerhet hos bankerna vid bedömning och tillämpning av reglerna.70 Det finns ingen
fastställd metod för riskbedömningar som bankerna kan tillämpa, utan de har i princip att
själva utforma riskmodeller och riskklassificeringssystem utifrån sin egen organisation,
verksamhet och kundstruktur. Dessa modeller och system utgör grunden för att utföra
företagsövergripande riskbedömningar, utifrån vilka riskbaserade rutiner och åtgärder för
genomförande av kundkännedomsprocessen på affärsförbindelsenivå samt kontrollfunktioner
kan tas fram. 71
Kravet på riskbaserad kundkännedom skapar vissa svårigheter och ett stort ansvar läggs över
på de individuella bankerna. Visserligen innebär friheten att bestämma hur kundkännedom
uppnås bättre anpassade rutiner och arbetsordningar för varje enskild verksamhet. Reglerna
om åtgärder mot penningtvätt omfattar olika typer av verksamhetsutövare, vilket till viss del
förklarar varför lagstiftaren inte närmare preciserar hur tillämpningen av det riskbaserade
förhållningssättet ska se ut i enskilda fall och vilka åtgärder som ska krävas för att uppnå
nödvändig kundkännedom. Detta kan dock innebära att bankerna upplever osäkerhet,
exempelvis avseende vad som är tillräckliga åtgärder för att uppnå kundkännedom i det
enskilda fallet. Detta kan dessutom skapa frågetecken i förhållande till
dataskyddsförordningen och den tillåtna omfattningen av personuppgiftsinsamling.
69 5 kap. 1 § PTL och 2 kap. 3 § FFFS 2009:1. 70 FATF, Guidance for a Risk Based Approach for the Banking Sector, s. 8-10. 71 FATF, Guidance for a Risk Based Approach for the Banking Sector, s. 9 och Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 77-78.
16
3.2 Mer om kundkännedomsreglerna enligt nuvarande PTL
3.2.1 Omfattningen av kundkännedomsreglerna
Reglerna om kundkännedom återfinns idag i 2 kap. PTL, och bygger på en tillämpning utifrån
det riskbaserade förhållningssättet. Enligt lagen ska en verksamhetsutövare72 vidta åtgärder
för att uppnå kundkännedom, vars omfattning ska anpassas efter risken för penningtvätt. Den
riskbaserade bedömningen, vilken ska genomföras av banken, resulterar i huruvida
grundläggande eller skärpta åtgärder för kundkännedom ska vidtas. Ju högre risk som anses
föreligga, desto högre är kravet på kundkännedom och därmed kan resurserna allokeras på ett
mer effektivt sätt.73
En bank ska alltid genomföra en riskbedömning och vidta åtgärder för att uppnå
kundkännedom vid, bland annat, etablering av en ny affärsförbindelse74 och vid enstaka
transaktioner, om dessa uppgår till ett belopp motsvarande 15 000 euro eller mer. Även
transaktioner understigande 15 000 euro omfattas, om de kan antas ha samband med en eller
flera andra transaktioner, vilka tillsammans uppgår till minst detta belopp.75 Om risken
bedöms vara låg till normal ska grundläggande åtgärder vidtas. Med grundläggande åtgärder
avses identitetskontroller, kontroll av den verkliga huvudmannens identitet och inhämtande
av information om affärsförbindelsens syfte och art. 76 Vid kontroll av den verkliga
huvudmannens identitet ska banken utreda kundens ägarförhållanden och kontrollstruktur för
att förstå vilken risk kunden kan innebära.77 Banken kan även behöva vidta åtgärder för att
avgöra om kunden, eller kundens verkliga huvudman, ska betraktas som en PEP.78 En PEP är
en person vilken, genom sin position och sitt inflytande, anses inneha en ställning som i sig
innebär en högre risk för att personen exempelvis utsätts för utpressning eller tar emot mutor,
vilket i förlängningen kan leda till penningtvätt.79 Begreppet PEP, och särskilda regler för
72 Med verksamhetsutövare avses en fysisk eller juridisk person som utför verksamhet som omfattas av PTL, se 1 kap. 2 § och 5 § 9 p. PTL. 73 2 kap. 1 § PTL. 74 En affärsförbindelse definieras i 1 kap. 5 § 1 p. PTL som en affärsmässig förbindelse vilken, när kontakten etableras, förväntas ha en viss varaktighet. 75 2 kap. 2 § PTL. 76 2 kap. 3 § 1 st. 1-3 p. PTL. 77 2 kap. 3 § 2 st. PTL. Verklig huvudman definieras i 1 kap. 5 § 8 p. PTL som en fysisk person för vars räkning någon annan person handlar, eller om kunden är en juridisk person, den som utövar ett bestämmande inflytande över kunden. 78 2 kap. 3 § 3 st. PTL. En person i politiskt utsatt ställning definieras i 1 kap. 5 § 7 p. PTL som en fysisk person som har eller har haft en viktig offentlig funktion i en stat och en fysisk person som har eller har haft en funktion i ledningen i en internationell organisation. Se även 1 kap. 5a § PTL. 79 FATF, Guidance Politically Exposed Persons [recommendations 12 and 22], s. 3. Se även prop. 2014/15:80, s. 20.
17
dessa personer, infördes i och med tredje penningtvättsdirektivet. Sedan dess har såväl
definitionen vidgats som reglerna skärpts. 80 Avseende inhämtande av information om
affärsförbindelsens syfte och art kan det innebära information om hur bankens produkter och
tjänster ska användas av kunden och vad motpartens affärsverksamhet går ut på, vilket har
betydelse för den riskbedömning som ska utföras.81
Utöver den kontroll som ska genomföras vid ingåendet av en affärsförbindelse krävs en
kontinuerlig uppföljning. Banken ska fortlöpande följa de pågående affärsförbindelserna
genom att kontrollera och dokumentera att de transaktioner som genomförs stämmer överens
med den kunskap som banken har om kunden och dennes affärs- och riskprofil. Banken ska
även hålla handlingar, uppgifter och upplysningar avseende dessa kontroller aktuella. Genom
uppföljningen är det möjligt att finna avvikelser och förändringar i kundens ”normala”
beteende, vilka bör fånga bankens uppmärksamhet för att utröna om detta kan ha någon
betydelse avseende risker för penningtvätt. Avvikelser kan exempelvis vara transaktioner av
mindre belopp till samlingskonton, varifrån större uttag eller överföringar sedan sker.82
Om det utifrån riskbedömningen anses föreligga en hög risk för att kunden begår
penningtvätt, ska skärpta åtgärder för kundkännedom vidtas. Åtgärderna ska i dessa fall vara
mer omfattande än de grundläggande åtgärderna och syfta till att minska den förhöjda
risken.83 Vid bedömningen av huruvida hög risk för penningtvätt föreligger åligger det
banken att iaktta särskilt stor försiktighet när det gäller tillhandahållande av produkter eller
transaktioner som skulle kunna underlätta anonymitet. Även risker förknippade med nya
produkter, affärsmetoder och användning av ny teknik bör uppmärksammas.84 Den snabba
tekniska utvecklingen och den nya användningen av olika former av elektronisk
kommunikation torde vara av stor relevans vid bankernas riskbedömning. Idag använder de
flesta kunder elektroniska hjälpmedel, exempelvis för att göra snabba och enkla överföringar.
Det är ett system som med stor sannolikhet kan utnyttjas för penningtvätt, samtidigt som det
gynnar utvecklingen inom det finansiella området. Det torde vara en hårfin gräns mellan att
finna effektiva åtgärder för bekämpning av penningtvätt och samtidigt låta innovativa
lösningar få ta plats inom området. 80 Europaparlamentets och rådets direktiv 2005/60/EG, beaktandeskäl (25), och prop. 2008/09:70, s. 102. Se även prop. 2014/15:80, s. 20-29. 81 Prop. 2008/09:70, s. 76. 82 2 kap. 10 § PTL och prop. 2008/09:70, s. 194. 83 2 kap. 6 § 1 st. PTL. 84 2 kap. 6 § 2 st. PTL.
18
Vissa situationer har på förhand bedömts innebära en typiskt sett högre risk för penningtvätt.
Om omständigheterna i det enskilda fallet inte visar motsatsen ska hög risk för penningtvätt
anses finnas vid förbindelser eller enstaka transaktioner på distans, med personer i politiskt
utsatt ställning och kreditinstitut med hemvist utanför EES.85
Skärpta åtgärder kan exempelvis innebära att banken gör mer omfattande identitetskontroller
grundade på skriftliga underlag och uppgifter. Dessa kan inhämtas från kunden eller från
tillförlitliga externa källor, exempelvis register tillgängliga hos myndigheter eller
kreditupplysningsföretag. Banken kan även vidta skärpta åtgärder genom att inhämta
ytterligare handlingar, uppgifter eller information från kunden eller genom att kompletterande
åtgärder vidtas för att kontrollera eller bestyrka de uppvisade handlingarnas innehåll. Ett
annat kreditinstitut kan exempelvis bekräfta handlingarnas äkthet eller bekräfta att en
betalning görs från ett konto öppnat i kundens namn hos kreditinstitutet.86 Vad som ska anses
utgöra skärpta åtgärder kan dock anses oklart. Det står endast några få rader om detta i
propositionen till lagen, vilket troligtvis skapar en viss osäkerhet hos bankerna när de ska
avgöra huruvida de vidtagna åtgärderna är tillräckliga för att de ska anses ha levt upp till
lagens krav på åtgärder av mer omfattande karaktär.
Vissa kunder, produkter och transaktioner, vilka typiskt sett anses förenade med en lägre risk
för penningtvätt, omfattas inte av bestämmelserna om grundläggande åtgärder för
kundkännedom och fortlöpande uppföljning. Exempelvis är svenska myndigheter, vissa
livförsäkringar och pensionsavtal, verksamhetsutövare med hemvist inom EES vars
överlåtbara värdepapper är upptagna till handel på en reglerad marknad och elektroniska
pengar, understigande vissa belopp, undantagna enligt bestämmelsen.87 Om omständigheterna
i det enskilda fallet trots allt pekar på en hög risk för penningtvätt ska dock särskilda åtgärder
för kundkännedom vidtas även i dessa situationer.88 Viss information måste således ändå
samlas in för att det ska kunna fastställas om en undantagssituation de facto föreligger.89
85 2 kap. 6 § 3 st. PTL och 2 kap. 6 a § PTL. 86 Prop. 2008/09:70, s. 191-192. 87 2 kap. 5 § PTL. 88 2 kap. 5 § PTL och 2 kap. 6 § 1 st. 1 m. PTL. 89 Prop. 2008/09:70, s. 90.
19
3.2.2 När kundkännedom ska uppnås och vad konsekvenserna blir om uppgifter saknas
Enligt huvudregeln ska kontroll av kunden och den verkliga huvudmannens identitet slutföras
innan en affärsförbindelse eller en enstaka transaktion genomförs. I vissa fall får banken dock
genomföra en kontroll med anledning av en ny affärsförbindelse vid ett senare tillfälle, men
kontrollen ska alltid slutföras i nära anslutning till att affärsförbindelsen har etablerats. För att
få tillämpa undantaget enligt bestämmelsen krävs att det är nödvändigt för att inte avbryta
verksamhetens normala gång, vilket syftar till fall när det är fråga om att avbryta en för
verksamheten normal process, exempelvis köp eller försäljning av finansiella instrument.
Därtill krävs det att risken för penningtvätt är låg, vilket förutsätter en bedömning i detta
avseende. Även i detta fall behöver banken således skaffa information om affärsförbindelsens
syfte och art eftersom det är information av betydelse för bedömningen.90
Om banken inte får de uppgifter som krävs för att uppnå kundkännedom får en
affärsförbindelse inte etableras, och inte heller en enstaka transaktion utföras. I de fall en
affärsförbindelse har etablerats enligt ovanstående undantag, dvs. utan att kundkännedom har
uppnåtts innan affärsförbindelsen etablerades, ska den avslutas.91 Skulle den fortlöpande
uppföljningen för en redan etablerad affärsförbindelse visa på osäkerhet om huruvida
kunduppgifterna är korrekta finns dock ingen skyldighet att avsluta affärsförbindelsen.92
3.2.3 Rapportering av misstänkta transaktioner
Banken har som skyldighet att granska transaktioner för att upptäcka sådana som den
misstänker, eller har skälig grund att misstänka, utgör ett led i penningtvätt. Om det, efter
närmare analys kvarstår misstankar, ska uppgifter lämnas i en rapport till finanspolisen
(FIPO). 93 Varje år rapporteras runt tiotusen misstänkta transaktioner till FIPO, varav
majoriteten kommer från bank- eller finansieringsrörelser samt betalningsinstitut.94 FI har
tagit fram en broschyr som i slutet av januari 2017 skickades till samtliga företag under
tillsyn, med målet att öka förståelsen för regelverket och ge konkret vägledning i hur
företagen ska agera för att följa kraven på att rapportera misstänkt penningtvätt. Det har
uppmärksammats, exempelvis i samband med de nationella riskbedömningarna om
90 2 kap. 9 § PTL och prop. 2008/09:70, s. 193-194. 91 2 kap. 11 § PTL. 92 Prop. 2008/09:70, s. 195. 93 3 kap. 1 § PTL. Finanspolisen är en sektion inom Polismyndigheten som tar emot, registrerar, bearbetar och analyserar inkomna rapporter om misstänkt penningtvätt. 94 Polismyndigheten, Finanspolisens årsrapport 2015, s. 15-17.
20
penningtvätt och terrorismfinansiering, att det finns behov av ökad kunskap om
penningtvättsregelverket.95
3.2.4 Finansinspektionens möjlighet att kontrollera bankernas regelefterlevnad
FI har enligt lagen om bank- och finansieringsrörelse (2004:297) (LBF), i egenskap av
tillsynsmyndighet, i uppgift att kontrollera och ingripa om en bank åsidosätter sina
skyldigheter enligt den lagen eller enligt andra författningar som reglerar bankens
verksamhet, såsom PTL. FI kan ingripa genom att exempelvis förelägga banken att vidta
rättelse eller ge banken en anmärkning, vilken även får förenas med en straffavgift.96
Under år 2013 meddelades Nordea Bank AB (Nordea) en anmärkning, förenad med en
straffavgift på 30 miljoner kronor, efter att FI konstaterat allvarliga brister i bankens arbete
med att motverka penningtvätt.97 År 2015 meddelades Nordea ytterligare en anmärkning och
erlades därtill med en straffavgift på 50 miljoner kronor. FI:s undersökning visade denna gång
på brister avseende centrala områden inom penningtvättsregelverket, såsom riskbedömningen
av kunder, bankens kundkännedomsåtgärder, bankens granskning av transaktioner och
dokumentering av åtgärder. 98 Ytterligare en storbank, Svenska Handelsbanken AB
(Handelsbanken), meddelades under år 2015 en anmärkning i kombination med en
straffavgift på 35 miljoner kronor. Enligt FI:s undersökning hade Handelsbanken omfattande
brister av systematisk karaktär i sitt införande av penningtvättsregelverket i verksamheten och
banken hade inte tillämpat ett riskbaserat förhållningssätt. Handelsbankens underlåtenhet att
bedöma risken hos alla sina kunder ledde till bristande vetskap om vilka kunder som utsatte
banken för högre risk för penningtvätt. Därmed hade inte heller extra kontroller genomförts
av dessa kunder eller deras transaktioner, vilket reglerna kräver. Även Handelsbanken hade
brustit i kravet på dokumentering, exempelvis avseende åtgärder och beslut vid granskning av
misstänkta transaktioner.99
95 Finansinspektionen, Rapportera misstänkt penningtvätt och finansiering av terrorism och Gemensam myndighetsrapport/Finansinspektionen, Penningtvätt – en nationell riskbedömning. 96 15 kap. 1, 7 och 8 §§ LBF. 97 Finansinspektionens beslut, FI Dnr 12-7237, 2013-04-15. 98 Finansinspektionens beslut, FI Dnr 13-1784, 2015-05-18. 99 Finansinspektionens beslut, FI Dnr 13-1783, 2015-05-18.
21
3.3 Fjärde penningtvättsdirektivet och nya penningtvättslagen
3.3.1 Något övergripande om fjärde penningtvättsdirektivet
Det fjärde penningtvättsdirektivet (i detta kapitel kallat direktivet) antogs den 20 maj 2015
och ska, som tidigare nämnts, vara implementerat i medlemsstaterna senast den 26 juni
2017.100 Målsättningen med direktivet är att ytterligare förstärka ramverket för bekämpning
av penningtvätt och syftar till att förhindra att unionens finansiella system används för
penningtvätt.101 Direktivet är ett minimidirektiv, innebärande att medlemsstaterna, i sin
nationella lagstiftning, kan införa mer långtgående regler än vad direktivet föreskriver.102
I juli 2016 kom ett förslag om ändring av fjärde penningtvättsdirektivet, vilket främst syftade
till att möta det ökade och förändrade terroristhotet, men även till att förhindra den ökade
risken för penningtvätt som följer av ett globalt sammanlänkat finanssystem.103 Framstegen
inom teknik och kommunikation tycks leda till ständigt nya utmaningar på området vilket
kräver mer omfattande åtgärder och motiverar mer frekventa lagändringar.
I fjärde penningtvättsdirektivet har det riskbaserade förhållningssättet fått en än mer
framträdande roll än i tidigare direktiv, och redan i ingressen framgår att förhållningssättet ska
utgöra en allmän utgångspunkt. Det konstateras att riskerna för penningtvätt ser olika ut från
fall till fall, vilket föranleder en ”holistisk riskbaserad metod”. Detta för att på ett mer
effektivt sätt kunna hantera de risker för penningtvätt som unionen och dess aktörer står
inför. 104 Artiklarna i direktivet, inte minst de som tar sikte på verksamhetsutövarna,
genomsyras sedan av skrivningar med innebörden att de åtgärder som vidtas ska vara
riskbaserade. 105 I direktivet fastslås även att den riskbaserade metoden ska användas
genomgående på samtliga nivåer, dvs. på EU-nivå, nationell nivå och verksamhetsnivå, för att
kartlägga och minska risker för penningtvätt. Under ledning av kommissionen ska europeiska
riskbedömningar genomföras minst vartannat år med syfte att ge en nationell lägesbild.
Medlemsstaterna åläggs i sin tur att genomföra regelbundna nationella riskbedömningar,
innehållandes flera obligatoriska moment. Slutligen ska verksamhetsutövarna genomföra egna
riskbedömningar utifrån sin verksamhet. Med hänsyn till dessa identifierade och bedömda
risker ska bankerna vidta lämpliga åtgärder för kundkännedom.106 I februari 2017 lämnade
100 Europaparlamentets och rådets direktiv 2015/849/EU, art. 67. 101 Europaparlamentets och rådets direktiv 2015/849/EU, art. 1. 102 Europaparlamentets och rådets direktiv 2015/849/EU, art. 5. 103 KOM (2016) 450 final, s. 2. 104 Europaparlamentets och rådets direktiv 2015/849/EU, beaktandeskäl (22). 105 Se exempelvis Europaparlamentets och rådets direktiv 2015/849/EU, art. 8 och 13.2. 106 Europaparlamentets och rådets direktiv 2015/849/EU, art. 6-8. Se även SOU 2016:8 del 1, s. 97.
22
ESA ett yttrande om de risker för penningtvätt och finansiering av terrorism som påverkar
unionens finansiella sektor. ESA har funnit att verksamhetsutövarna upplever stora
svårigheter med att förstå riskerna för penningtvätt i den egna verksamheten och därmed även
hur en effektiv implementering av kundkännedomsreglerna kan genomföras.107
Direktivet innebär en rad förändringar, av vilka några av de mest väsentliga är; utvidgningen
av direktivets tillämpningsområde, en starkare betoning på det riskbaserade förhållningssättet,
förenklade och skärpta krav på kundkännedom samt krav på ett centralt register för uppgifter
om verkliga huvudmän.108 Nedan följer en mer ingående beskrivning av förändringarna och
hur de föreslås bli implementerade i den svenska lagstiftningen.
3.3.2 Utredningens förslag till en ny penningtvättslag
3.3.2.1 Något om de övergripande förändringarna till följd av direktivet
I betänkandet föreslår utredningen en fullständig översyn av penningtvättslagen, vilket
innebär att den nuvarande lagen ersätts med en ny lag. Denna kommer att disponeras om för
att tydliggöra verksamhetsutövarnas, vilka bör utgöra penningtvättslagens främsta målgrupp,
skyldigheter på ett mer logiskt, tydligt och lättöverskådligt sätt samt underlätta för dessa att
tillgodogöra sig lagens krav.109 Trots bättre och tydligare struktur tycks det dock fortfarande
finnas stort behov av vägledning hos verksamhetsutövarna. Lagförslaget har i grunden fått ett
positivt gensvar, men kritik har riktats mot att det finns kvarstående oklarheter och
inkonsekvenser, vilka kan komma att påverka regelverkets effektivitet. 110 Flera
branschorganisationer har uttryckt besvikelse över att företrädare från branschen inte har
bjudits in att delta i utredningen. Exempelvis framhåller Finansbolagens Förening i sitt
remissvar stor besvikelse över att branschen har exkluderats från utredningsarbetet, med
följden att värdefull ”input” har gått förlorad. Finansbolagens Förening framhåller även att
utredningens förslag inte kommer att tillgodose behovet av mer konkret vägledning.111 Även
branschorganisationerna Svensk Försäkring och Bankföreningen har uttryckt kritik mot att de
107 The Joint Committee of the European Supervisory Authorities, Joint Opinion on the risk of money laundering and terrorist financing affecting the Union’s financial sector, s. 2. 108 Se exempelvis Europaparlamentets och rådets direktiv 2015/849/EU, art. 2, 6-8, 15, 18 och 31. 109 SOU 2016:8 del 1, s. 105. 110 Lantto, Branschen enas i kampen mot penningtvätt och terror. 111 Zacharoff & Rana, Remissvar: Ytterligare åtgärder mot penningtvätt och finansiering av terrorism – fjärde penningtvättsdirektivet – samband – nya penningtvättslag – m.m.
23
uteslutits från arbetet. Dessa har, tillsammans med fem andra branschorganisationer,112 valt att
starta samarbetet Svenska Institutet mot Penningtvätt (SIMPT), med målet att ta fram praktisk
vägledning för hur reglerna mot penningtvätt ska tillämpas.113 Detta torde utgöra ett tydligt
tecken på att verksamhetsutövarna upplever stora svårigheter med att ta till sig regelverket
och förstå vad som krävs av dem. Detta inverkar troligen även på bankernas
bedömningsförmåga avseende i vilken omfattning de bör och får samla in personuppgifter.
Även i den nya penningtvättslagen kommer det riskbaserade förhållningssättet ges större
utrymme. Utredningen föreslår att den övergripande riskbedömningen, vilken ska utföras av
verksamhetsutövarna, behandlas i en separat bestämmelse i lagen för att tydliggöra
riskbedömningens grundläggande betydelse. I syfte att skapa en större förståelse bland
verksamhetsutövarna ska målsättningen med riskbedömningen framgå redan i lagen, och det
föreslås att exempel ges på vilka faktorer en verksamhetsutövare ska beakta vid
genomförandet av bedömningen. 114 Även en generell bestämmelse, avseende
verksamhetsutövarnas riskbaserade interna rutiner, kommer liksom tidigare framgå av lagen,
men regleras i en separat bestämmelse. 115
Direktivet innebär även att en vidare krets av verksamhetsutövare kommer att omfattas av det
nya regelverket; exempelvis värdebolag, hyresförmedlare, de flesta tillhandahållare av
speltjänster samt fysiska och juridiska personer som handlar med varor, i den mån betalning
görs kontant med ett belopp om motsvarande 10 000 euro.116
3.3.2.2 Mer om förändringarna avseende kundkännedom i nya penningtvättslagen
3.3.2.2.1 Obligatoriska, förenklade och skärpta åtgärder för kundkännedom
I den föreslagna lagen står tveklöst kundkännedomsreglerna i fokus, vilket kommer att
innebära en del förändringar på området. Som sagt kommer kopplingen mellan
riskbedömning och kundkännedom förstärkas, och det ställs högre krav på
verksamhetsutövarna att förstå riskerna i den egna verksamheten.117 Verksamhetsutövaren
112 Bankföreningen, Fondhandlareföreningen, Fondbolagens förening, Finansbolagens förening, Sparbankernas riksförbund, Svensk försäkring och Svenska försäkringsförmedlares förening. 113 Bankföreningen, SIMPT samlar branschen mot penningtvätt, s. 20 och Lantto, Branschen enas i kampen mot penningtvätt och terror. 114 SOU 2016:8 del 1, s. 182-183 och SOU 2016:8 del 2, s. 14. 115 SOU 2016:8 del 1, s. 187 och SOU 2016:8 del 2, s. 14. 116 Europaparlamentets och rådets direktiv 2015/849/EU, art. 2.1. 117 SOU 2016:8 del 1, s. 199-200.
24
ska, efter en bedömning av riskerna för penningtvätt, ge kunden en riskprofil. Bedöms
riskerna vara högre än normalt bör verksamhetsutövaren vidta skärpta åtgärder. I de fall
riskerna bedöms vara lägre än normalt kan mindre långtgående kontroller av kunden tillåtas
under vissa förutsättningar, så kallade förenklade åtgärder. Bedöms riskerna vara varken
högre eller lägre än normalt räcker det att vidta de obligatoriska åtgärderna för
kundkännedom.118
Direktivet leder till att fler situationer kommer att omfattas av kravet på obligatoriska åtgärder
för kundkännedom, dvs. åtgärder som i princip alltid ska vidtas. Exempelvis ställs krav på
åtgärder vid vissa överföringar av medel till följd av den reviderade förordningen om
uppgifter som ska åtfölja överföringar av medel.119 Kravet på fortlöpande kontroller av
affärsförbindelser kvarstår oförändrat men det föreslås ges en förändrad och förenklad
utformning för att underlätta tillämpningen, samt att bestämmelsen ges en bättre placering.120
Möjligheterna att tillämpa förenklade åtgärder för kundkännedom kommer bli mer begränsade
och de direkta undantag av hela kategorier av kunder, produkter m.m., vilka idag återfinns
i 2 kap. 5 § PTL, kommer att förändras. Direktivet tillåter förenklade förfaranden på områden
som bedöms vara förenade med lägre risk. Bedömningen ska göras av verksamhetsutövaren
och denna ska ha förvissat sig om att risken, de facto, är lägre i det enskilda fallet för att
förenklade förfaranden ska vara tillåtna. Därtill krävs att affärsförbindelsen övervakas så pass
noga att ovanliga eller misstänkta transaktioner kan upptäckas.121 Detta kommer att leda till
vissa problem kopplade till dataskydd och personlig integritet. Enligt dataskyddsförordningen
får inte mer information än nödvändigt samlas in. Därav blir det en avvägningsfråga vilken
och hur mycket information som kan anses tillåten att samlas in enligt direktivet, för att möta
kraven för förenklade åtgärder för kundkännedom, samtidigt som kraven på personlig
integritet respekteras.122
Av bilaga II till direktivet framgår vilka faktorer som bör beaktas vid bedömning av om låg
risk föreligger. Dessa utgör en icke uttömmande förteckning över situationer där riskerna för
118 SOU 2016:8 del 1, s. 244. 119 Europaparlamentets och rådets direktiv 2015/849/EU, art. 11 b) ii), Europaparlamentets och rådets förordning (EU) 2015/847, art. 3.9 och SOU 2016:8 del 1, s. 208-209. 120 SOU 2016:8 del 1, s. 240-241. 121 Europaparlamentets och rådets direktiv 2015/849/EU, art. 15 och SOU 2016:8 del 1, s. 245-246. 122 Khan, The Fourth AML Directive and the EU’s Approach to Data Protection: A Precautionary Warning. Läs mer i kapitel 4.
25
penningtvätt potentiellt kan vara att bedöma som låga. Riskerna delas in i tre kategorier;
kundriskfaktorer, riskfaktorer för produkter, tjänster, transaktioner eller distributionskanaler
samt geografiska riskfaktorer. Exempelvis utgör offentliga förvaltningar, livförsäkringar med
låg premie och medlemsstater potentiellt lägre risk. 123 De kundtyper, produkter och
transaktioner som idag finns uppräknade i 2 kap. 5 § PTL kan sägas inrymmas i förteckningen
i bilaga II. Därmed anser utredningen, att förenklade förfaranden även fortsättningsvis ska
vara möjliga att tillämpa i dessa fall, dock under vissa förutsättningar.124 Direktivet anlägger
en tydligare riskbaserad ansats även i fråga om förenklade åtgärder för kundkännedom. Detta
innebär att banken först måste göra en utredning för att eventuellt landa i att låg risk
föreligger i det enskilda fallet, för att därefter få utföra sin kundkännedomsprocess i mindre
omfattning, något som förefaller ytterst resurskrävande. Kravet på att affärsförbindelsen
därutöver måste övervakas så pass noga att avvikelser kan upptäckas kan tala för att de
förenklade åtgärderna, i slutändan, inte blir särskilt förenklade. Dessutom tillkommer som
sagt vissa problem vad gäller gränsdragningen mot dataskyddsförordningen och i vilken
omfattning uppgifter tillåts samlas in.
Enligt grundregeln ska skärpta åtgärder för kundkännedom vidtas i de fall risken för
penningtvätt bedöms vara hög, vilken grundas på verksamhetsutövarens egen riskanalys, men
även på analyser genomförda av Europeiska kommissionen och medlemsstaterna. Bilaga III
till direktivet föreskriver vilka situationer med potentiellt högre risk som ska beaktas vid
bedömningen, exempelvis kontantintensiva företag, produkter eller transaktioner som kan
gynna anonymitet samt transaktioner med länder som enligt trovärdiga källor har betydande
korruption eller annan brottslig handling.125 Det kommer även införas en ny bestämmelse,
vilken stadgar att hög risk ska anses föreligga vid förbindelser med, av kommissionen
identifierade, högrisktredjeländer.126
Vid transaktioner eller affärsförbindelser med en PEP ska skärpta åtgärder för kundkännedom
alltid vidtas. Till skillnad från det tidigare direktivet omfattas numera såväl inhemska PEP:s
som sådana bosatta i ett annat medlemsland eller i ett tredjeland. Det krävs att 123 Europaparlamentets och rådets direktiv 2015/849/EU, art. 16 och Bilaga II. 124 SOU 2016:8 del 1, s. 253-254. 125 SOU 2016:8 del 1, s. 258. 126 Europaparlamentets och rådets direktiv 2015/849/EU, art. 18.1 och Kommissionens delegerade förordning (EU) 2016/1675 av den 14 juli 2016 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/849 genom identifiering av högrisktredjeländer med strategiska brister, EUT L 254, 20.9.2016. Enligt förordningen utgör Afghanistan, Bosnien och Hercegovina, Guyana, Irak, Laos, Syrien, Uganda, Vanuatu, Yemen, Iran samt Demokratiska folkrepubliken Korea högrisktredjeländer.
26
verksamhetsutövaren är aktiv för att utröna om kunden, eller kundens verkliga huvudman, är
en PEP, vilket förutsätter att det finns lämpliga riskhanteringssystem och riskbaserade
förfaranden. Åtgärderna ska även tillämpas på familjemedlemmar och kända nära
medarbetare till en PEP.127 Även i detta hänseende väcks frågor avseende bankens rätt att
samla in personuppgifter i enlighet med kundkännedomsreglerna samtidigt som de
respekterar rätten till personlig integritet enligt dataskyddsförordningen.
Senast den 26 juni 2017 ska de europeiska tillsynsmyndigheterna utfärda riktlinjer om de
riskfaktorer som ska beaktas, och de åtgärder som ska vidtas, i situationer där förenklade
respektive skärpta åtgärder för kundkännedom är lämpliga. Riktlinjerna riktar sig till behöriga
myndigheter, kreditinstitut och finansiella institut.128 Det kan anses olyckligt att riktlinjerna
ska redovisas först samma dag som medlemsstaterna ska ha implementerat direktivet i sina
nationella lagstiftningar. I syfte att skapa en klar och tydlig reglering hade det varit lämpligt
att, i den nationella lagstiftningen, ange vad de förenklade respektive skärpta
kundkontrollerna åtminstone bör inbegripa, något utredningen även framhåller. Eventuella
förslag till regleringar i penningtvättslagen riskerar dock att kollidera med de europeiska
tillsynsmyndigheternas riktlinjer och utredningen föreslår därmed att dessa delar bör regleras i
författning av lägre valör. 129 I utredningen hänvisas, vid ett antal tillfällen, till att
bestämmelserna kommer att fyllas ut i ”författning av lägre valör”, vilket främst torde
innebära föreskrifter från FI. Fördelen med en sådan reglering är att den kan förefalla mer
dynamisk eftersom det är lättare att anpassa reglerna efter förändrade eller nya risker för
penningtvätt. Föreskrifter kan dock komma att ändras mer frekvent, vilket påverkar
förutsebarheten. Såväl förutsebarhet som rättssäkerhet är två viktiga och grundläggande
parametrar att ta hänsyn till vid lagstiftningen, vilka måste beaktas i såväl själva lagtexten
som i de olika bemyndigandena. Det finns skäl att analysera och överväga omfattningen av
bemyndiganden i lag, vilka ska implementera EU-rättsliga direktiv. Detta bör
uppmärksammas inte minst på grund av att lagstiftningsmakten, i högre grad, tycks flyttas
över på den europeiska lagstiftaren, vilket ger de europeiska tillsynsmyndigheterna en större
roll vid rättsskapandet. Bemyndigandena i lagen ges en vid och oprecis utformning, vilket
sannolikt leder till osäkerhet vid tillämpningen av kundkännedomsreglerna, något som synes
vara genomgående i penningtvättslagstiftningen.
127 Europaparlamentets och rådets direktiv 2015/849/EU, art. 3.9, 20 och 23. 128 Europaparlamentets och rådets direktiv 2015/849/EU, art. 17 och 18.4. 129 SOU 2016:8 del 1, s. 252.
27
3.3.2.2.2 Ett centralt register över verkliga huvudmän
En komplicerad ägarstruktur behöver inte i sig innebära potentiell brottslighet, men det är
betydligt lättare för en brottsling att gömma sig bakom en invecklad ägar- och
kontrollstruktur. Detta ökar riskerna för penningtvätt och förutsätter således mer omfattande
åtgärder avseende kundkännedom.130 En av de största nyheterna i direktivet är kravet på att
juridiska personer själva ska tillhandahålla uppgifter om sina verkliga huvudmän. Uppgifterna
ska finnas tillgängliga för myndigheter och för verksamhetsutövare när dessa genomför
åtgärder för kundkännedom, med anledning av en transaktion eller affärsrelation med den
juridiska personen. Därtill finns krav på att uppgifterna lagras i ett centralt register, till vilket
var och en som kan visa ett berättigat intresse i princip ska ha obegränsad tillgång.131 Det
finns anledning att ifrågasätta en sådan bred tillgång till registret utifrån en dataskyddsaspekt
och det återstår att se hur det kan implementeras i praktiken på ett sätt som inte riskerar att
kränka den personliga integriteten.132
Verksamhetsutövarna får dock inte enbart förlita sig på uppgifterna i registret för att uppfylla
kraven avseende åtgärder för kundkännedom, utan den riskbaserade metoden ska tillämpas
även i dessa fall. Behöriga myndigheter och finansunderrättelseenheter (FIU) inom EU ska
kunna få snabb tillgång till uppgifterna i registret, och medlemsstaterna ska se till att de med
nödvändig skyndsamhet kan tillhandahålla behöriga myndigheter och FIU i andra
medlemsstater dessa uppgifter.133 Direktivet betonar behovet av att säkerställa en säker och
effektiv sammankoppling av nationella register över verkligt huvudmannaskap. Ökningen av
gränsöverskridande transaktioner, till följd av det numera globalt sammanlänkade
finanssystemet, kräver en större öppenhet för att undvika missbruk av juridiska enheter.134 För
att uppfylla direktivets krav på att juridiska personer ska känna till sina verkliga huvudmän,
samt vidarebefordra denna information till vissa källor, föreslår utredningen att en ny lag
införs; lag (2017:000) om registrering i syfte att förebygga penningtvätt och finansiering av
terrorism. Bolagsverket föreslås vara registreringsmyndighet och föra registret över verkliga
huvudmän.135
130 SOU 2016:8 del 1, s. 234. 131 Europaparlamentets och rådets direktiv 2015/849/EU, art. 30. 132 Khan, The Fourth AML Directive and the EU’s Approach to Data Protection: A Precautionary Warning. 133 Europaparlamentets och rådets direktiv 2015/849/EU, art. 30. 134 Europaparlamentets och rådets direktiv 2015/849/EU, beaktandeskäl (14). 135 SOU 2016:8 del 1, kapitel 22.
28
Det centrala registret över verkliga huvudmän torde effektivisera kundkännedomsprocessen
och underlätta arbetet för bankerna, vilka på ett enkelt sätt kan inhämta information från
registret. Införandet av registret innebär dock inte att det riskbaserade förhållningssättet kan
förbises i något avseende. Bankerna förutsätts fortfarande undersöka ägar- och
kontrollstrukturen för att kunna göra en egen bedömning av vem eller vilka personer som är
verkliga huvudmän. Registret kan även tyckas vara ett relativt långtgående krav gällande
insynen i juridiska personers ägar- och kontrollförhållanden.
29
4. Kundkännedomsreglerna och den nya dataskyddsförordningen
4.1 Skydd för den personliga integriteten Rätten till skydd av personuppgifter är inte en absolut rättighet, utan den måste vägas mot
andra grundläggande rättigheter och intressen.136 Den tekniska utvecklingen har inneburit att
insamlingen, lagringen och delningen av data har ökat. Därmed har även arbetet för skydd av
personuppgifter fått en mer framträdande betydelse.137 Intresset av att bekämpa brott, genom
att kräva att bankerna tillämpar kundkännedomsreglerna, måste vägas mot intresset av att
skydda den personliga integriteten.
4.2 En ny dataskyddsförordning ersätter det tidigare dataskyddsdirektivet För att leva upp till reglerna avseende kundkännedom krävs insamling, analys, lagring samt
utbyte av uppgifter, och därmed är det också nödvändigt med system för behandling av
personuppgifter. Personuppgiftsbehandling aktualiseras i flera skeden av bankens arbete,
exempelvis när kunden kontrolleras inför ingåendet av en affärsförbindelse, vid den
fortlöpande uppföljningen och vid granskning och rapportering av kundens aktiviteter.138
Vid behandling av uppgifter i samband med åtgärder för bekämpning av penningtvätt ska
personuppgiftslagen tillämpas om inte något annat anges. 139 Den nuvarande
personuppgiftslagen bygger på EU:s dataskyddsdirektiv från år 1995.140 Detta kommer som
sagt att ersättas av en ny dataskyddsförordning, vilken träder i kraft den 25 maj 2018.141
Förordningen innebär bland annat hårdare krav på hantering av personuppgifter, nya krav på
rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå.142
Det huvudsakliga målet med förordningen är att ytterligare harmonisera och effektivisera
skyddet för personuppgifter i syfte att förbättra den inre marknadens funktion och öka den
enskildes kontroll över sina personuppgifter.143
136 Europaparlamentets och rådets förordning (EU) 2016/679, beaktandeskäl (4). 137 Dinev, Why would we care about privacy?, s. 97. 138 SOU 2016:8 del 1, s. 311. 139 4 kap. 1 § 2 st. PTL. 140 Europaparlamentets och rådets direktiv 95/46/EG. 141 Europaparlamentets och rådets förordning (EU) 2016/679, art. 99.2. 142 Se exempelvis Europaparlamentets och rådets förordning (EU) 2016/679, art. 5, 25 och 37. 143 Europaparlamentets och rådets förordning (EU) 2016/679, beaktandeskäl (13).
30
I egenskap av förordning är den direkt tillämplig i Sverige. Det kommer dock behövas en
ändamålsenlig och kompletterande lagstiftning på nationell nivå, varför en ny lag föreslås
ersätta den gamla. Regeringen har tillsatt en utredning med uppdraget att ta fram ett förslag
till en ny lag, vilket ska redovisas senast den 12 maj 2017. Den nya förordningen, och den nya
lagen om personuppgifter, kommer även påverka tillämpningen av reglerna om behandling av
personuppgifter i samband med åtgärder för kundkännedom. Kopplingen mellan regelverken
ter sig osäker i dagens läge. Hur och i vilken omfattning bankernas insamling av
personuppgifter kommer behöva förändras till följd av dataskyddsförordningen torde vara av
stort intresse, och något att börja fundera över i ett tidigt skede.
4.3 Behandling av personuppgifter i samband med kundkännedom
4.3.1 Något om personuppgiftslagen och relevanta regler för åtgärder mot penningtvätt
Regelverket om åtgärder mot penningtvätt kräver att verksamhetsutövarna, däribland
bankerna, samlar in, hanterar och bevarar kundinformation i betydande omfattning. För att
skydda människor mot att deras personliga integritet kränks genom behandling av uppgifter
finns bestämmelser i personuppgiftslagen, vilken är tillämplig när verksamhetsutövaren
samlar in kundinformation.144 Om verksamhetsutövare enbart hade haft personuppgiftslagen
att tillgå hade det varit vanskligt att uppfylla kraven i penningtvättslagstiftningen. Av den
anledningen finns kompletterande bestämmelser i 4 kap. PTL, vilka gäller utöver
personuppgiftslagen. Dessa korrelerar således med varandra och det är av stor vikt att
bankerna följer reglerna om penningtvätt på ett sätt som inte kränker den personliga
integriteten och därigenom bryter mot bestämmelserna i personuppgiftslagen.145
För att personuppgiftslagen ska bli tillämplig krävs att personuppgiftsbehandlingen är helt
eller delvis automatiserad. Även annan behandling av personuppgifter omfattas om
uppgifterna ingår i, eller är avsedda att ingå i, en strukturerad samling av personuppgifter som
är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Det krävs således
att personuppgifterna behandlas på ett visst sätt för att lagen ska bli tillämplig. I lagens
mening innebär dock varje åtgärd eller serie av åtgärder som vidtas i fråga om
personuppgifter, vare sig det sker på automatisk väg eller inte, att uppgifterna behandlas.
Således faller i stort sett all typ av aktivitet beträffande personuppgifter under lagens 144 Se 1 § PUL. 145 Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s.180.
31
definition. Personuppgifter definieras i lagen som all slags information som direkt eller
indirekt kan hänföras till en fysisk person som är i livet. Det krävs således inte någon viss
kvalitet på informationen för att den ska utgöra personuppgifter.146 I fråga om kundkännedom
och uppgifter om en fysisk person som är kund, kan det exempelvis vara namn,
personnummer, adress, kopia på legitimation, sysselsättning, källa till inkomst, medel och
tillgångar samt kundkännedomsnivå. Även uppgifter om fysiska personer som inte är kunder
utgör personuppgifter, exempelvis uppgifter som kan hänföras till en fysisk person som
agerar som ombud, god man eller förvaltare.147
I personuppgiftslagen ställs vissa grundläggande krav upp, vilka måste vara uppfyllda för att
personuppgiftsbehandling ska få ske överhuvudtaget. Dessa innebär att personuppgifter
endast får behandlas om det är lagligt, om de behandlas på ett korrekt sätt och i enlighet med
god sed. Uppgifterna får endast samlas in för särskilda, uttryckligen angivna och berättigade
ändamål, och inte för något ändamål som är oförenligt med det för vilket uppgifterna
samlades in. Uppgifterna ska vidare vara adekvata och relevanta i förhållande till ändamålen
med behandlingen. De ska vara riktiga och, om det är nödvändigt, aktuella. Om uppgifterna
är felaktiga eller ofullständiga, med hänsyn till ändamålen med behandlingen, ska alla rimliga
åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter. Slutligen får
personuppgifterna inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till
personuppgiftsbehandlingens ändamål.148
Behandling av personuppgifter är vidare tillåtet i två fall, antingen om den registrerade lämnat
sitt samtycke eller i de fall behandlingen är nödvändig för vissa, i lagen uppställda, syften.
Dessa syften, eller tillåtlighetsgrunder, tillåter personuppgiftsbehandling om det är
nödvändigt för att fullgöra ett avtal med den registrerade, om verksamhetsutövaren ska kunna
fullgöra en rättslig skyldighet, för att skydda vitala intressen för den registrerade samt för att
kunna utföra en arbetsuppgift av allmänt intresse eller i samband med myndighetsutövning.
Därtill kan intresseavvägning sägas utgöra en särskild grund där bedömning får göras om
vikten av att behandla personuppgifter väger tyngre än den registrerades intresse av skydd för
den personliga integriteten.149 När bankerna samlar in personuppgifter inom ramen för
146 3 § PUL. 147 Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 181. 148 9 § PUL. 149 10 § PUL.
32
kundkännedomsprocessen kan de sägas göra detta för att följa kraven i
penningtvättslagstiftningen. De mest centrala tillåtlighetsgrunderna för bankerna torde vara
behandling i syfte att fullgöra ett avtal eller en rättslig skyldighet samt
intresseavvägningen.150
Tillåtlighetsgrunderna enligt ovan kan inte åberopas när det gäller så kallade känsliga
personuppgifter, vilka är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter,
religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter rörande hälsa
och sexualliv. 151 Därtill är det även förbjudet att behandla personuppgifter om
lagöverträdelser, och behandling av uppgifter om personnummer får endast ske när det är
klart motiverat.152 I syfte att möjliggöra för verksamhetsutövare att fullgöra sina skyldigheter
har tillåtlighetsgrunderna i personuppgiftslagen kompletterats av bestämmelsen i 4 kap. 2 §
PTL, vilken ger verksamhetsutövarna rätt att behandla känsliga uppgifter i vissa situationer,
om det är nödvändigt för att följa penningtvättsregelverket.
4.3.2 Tillåtlighet för personuppgiftsbehandling i kundkännedomsprocessen
Generellt sett är behandling av personuppgifter, i syfte att uppfylla kraven i 2 kap. PTL,
tillåten enligt personuppgiftslagen på den grund att verksamhetsutövaren fullgör en rättslig
skyldighet.153 Samtidigt torde behandlingen av uppgifterna vara tillåten på den grund att det
är nödvändigt för att administrera avtalsrelationen med kunden.154 Det kritiska för att någon
tillåtlighetsgrund ska kunna åberopas är att behandlingen verkligen är nödvändig för de givna
ändamålen. En verksamhetsutövare måste kunna motivera vilken betydelse en inhämtad
uppgift i kundkännedomsprocessen har. I annat fall är nödvändighetsrekvisitet inte
uppfyllt.155 Det torde vara nödvändighetsrekvisitet och de särskilda bestämmelserna om
känsliga uppgifter och lagöverträdelser som är särskilt intressanta utifrån
kundkännedomsprocessen.
150 Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 182-183. 151 13 § PUL. 152 21 och 22 §§ PUL. 153 10 § 1 st. b) PUL. 154 10 § 1 st. a) PUL. 155 Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 183-184.
33
Det riskbaserade förhållningssättet genomsyrar hela penningtvättsregelverket och är en
grundläggande utgångspunkt vid bedömning av vilken risknivå en kund ska åsättas. Det är
således en förutsättning att relevanta uppgifter samlas in om kunden och därtill en
nödvändighet att lagra och hantera uppgifter om själva kundkännedomsnivån samt, för de
kunder som har tilldelats skärpt kundkännedom, uppgifter om relevanta riskindikationer, dvs.
varför kunden tilldelats denna risknivå. Enligt personuppgiftslagen har kunden rätt att få
tillgång till de uppgifter som har samlats in under kundkännedomsprocessen, och därav är det
av största vikt att riskbedömningen inte sker på godtyckliga grunder, och att bankerna grundar
sig på gedigna bedömningar utifrån risken för penningtvätt.156
Enligt personuppgiftslagen är uppgifter, vilka avser lagöverträdelser, normalt förbehållna
myndigheter. Datainspektionen har dock möjlighet att meddela föreskrifter eller i enskilda fall
besluta om undantag från förbudet.157
4.3.3 Fjärde penningtvättsdirektivet och behandling av personuppgifter
Redan av ingressen till fjärde penningtvättsdirektivet framgår att behandling av
personuppgifter bör tillåtas men att det samtidigt är av stor vikt att de grundläggande
rättigheterna respekteras till fullo. Det får endast ske för de syften och för den verksamhet
som anges i direktivet, såsom vidtagande av åtgärder för kundkännedom, fortlöpande
övervakning, undersökning och rapportering av ovanliga eller misstänkta transaktioner,
identifiering av den verkliga huvudmannen, identifiering av en PEP samt informationsutbyte
från berörda parter. 158 Till skillnad från sina föregångare innehåller fjärde
penningtvättsdirektivet dessutom uttryckliga bestämmelser, vilka gäller behandling av
personuppgifter. Av artikel 41 framgår att penningtvättsdirektivet ska läsas i ljuset av
dataskyddsdirektivet, vilket är det direktiv som idag generellt reglerar
personuppgiftsbehandling och som ligger till grund för den svenska personuppgiftslagen. I
artikel 43 i penningtvättsdirektivet uttalas dessutom att behandling av personuppgifter, på
grundval av penningtvättsdirektivet i syfte att förebygga penningtvätt, ska betraktas som
något som är av allmänt intresse enligt dataskyddsdirektivet. Dock har kritik riktats mot att
inte tillräcklig hänsyn har tagits till EU:s regler om skydd för personuppgifter. I sitt yttrande,
156 Grahn, Lundén, Madstedt, Wendleby, Åtgärder mot penningtvätt m.m.: En praktisk vägledning och kommentar, s. 184. 157 21 § PUL. 158 Europaparlamentets och rådets direktiv 2015/849/EU, beaktandeskäl (43).
34
avseende förslaget till det fjärde penningtvättsdirektivet, betonade European Data Protection
Supervisor (EDPS) vikten av att åtgärderna för att nå målet med penningtvättsdirektivet
genomfördes på ett sätt som innebar att kraven för dataskydd uppfylldes. EDPS framförde
vidare kritik mot att penningtvättsdirektivet skulle innebära personuppgiftsinsamling i större
omfattning, vilket kunde öka de negativa effekterna för enskilda personer. 159 När
penningtvättsdirektivet senare antogs kvarstod delvis de oklarheter som EDPS påkallade. Det
åligger medlemsstaterna att besluta om hur penningtvättsreglerna implementeras i de
nationella lagstiftningarna samtidigt som de måste beakta den kommande
dataskyddsförordningen, vilket kan skapa stora svårigheter.160
Utredningen föreslår att huvuddragen i 4 kap. PTL förs in i den nya lagen men att ändamålet
med verksamhetsutövarens personuppgiftsbehandling ska beskrivas på ett annat sätt.161
Vidare föreslår utredningen, till följd av direktivet, att samkörningsförbudet luckras upp för
att underlätta ett effektivt informationsflöde inom koncerner. I nuvarande
penningtvättslagstiftning finns en bestämmelse, vilken förbjuder samtliga
verksamhetsutövare att samköra sina register med personuppgifter mot en annan
verksamhetsutövares register. Detta har begränsat möjligheterna att utbyta information inom
koncerner. Den nya lagen kommer således att tillåta samkörning för verksamhetsutövare,
vilka är att anse som kreditinstitut eller finansiella institut.162
Ytterligare en förändring är att en särskild bestämmelse föreslås klargöra penningtvättslagens
företräde framför 21 § PUL, av vilken det ska framgå att en verksamhetsutövare får behandla
personuppgifter om lagöverträdelser om det är nödvändigt för att uppfylla
penningtvättslagens gransknings- och rapporteringsskyldighet. 163 Vad gäller bevaring av
handlingar och uppgifter, vilka har använts vid åtgärder för att uppnå kundkännedom samt
vid granskning och rapportering, föreslås att huvudregeln ska vara fem år, istället för minst
fem år som den nuvarande lagstiftningen stadgar. Om det är nödvändigt för att förebygga,
upptäcka eller utreda penningtvätt får uppgifterna bevaras under en längre tid men den
sammanlagda tiden får inte överstiga tio år. För att verksamhetsutövare ska få bevara 159 Executive summary of the Opinion of the European Data Protection Supervisor on a proposal for a Directive of the European Parliament and of the Council on the prevention of the use of the financial system for the purpose of money laundering and terrorist financing, and a proposal for a Regulation of the European Parliament and of the Council on information on the payer accompanying transfers of funds, OJ C 32, 4.2.2014, p. 9–12. 160 Khan, The Fourth AML Directive and the EU’s Approach to Data Protection: A Precautionary Warning. 161 SOU 2016:8 del 1, s. 313. 162 Europaparlamentets och rådets direktiv 2015/849/EU, art. 45.8 och SOU 2016:8 del 1, s. 319-320. 163 SOU 2016 del 1, s. 316-319.
35
uppgifter under en längre tid måste det framstå som nödvändigt och proportionerligt.
Utredningen föreslår att närmare reglering, om när sådan ytterligare lagringstid är nödvändig,
sker i författning av lägre valör.164 Detta tycks gå i linje med strävan efter ett ökat skydd för
den personliga integriteten.
4.4 Något om förändringarna till följd av den nya dataskyddsförordningen
Den nya dataskyddsförordningen är omfattande och innebär utökade rättigheter för enskilda
och skärpta krav för företag. Kraven medför att företagen måste fatta interna beslut och vidta
åtgärder för att säkerställa att den kommande regleringen efterlevs för att undvika eventuella
sanktioner. Förordningen har tillkommit på grund av ett ökat behov av skydd för den
personliga integriteten till följd av dels globaliseringen, dels den ökade digitaliseringen. Även
målet att skapa en enhetlig reglering inom EU torde ligga bakom det nya regelverket.165
Banksektorn står, tillsammans med många andra branscher, inför stora förändringar, och
osäkerheten avseende hur dessa kommer påverka verksamheten torde vara betydande.
Datainspektionen har uppmanat samtliga som hanterar personuppgifter att redan nu påbörja
förberedelsearbetet för att anpassa verksamheten till den nya dataskyddsförordningen.
Dataskyddsförordningen har en starkare betoning på att företag endast får samla in uppgifter
som de har ett legitimt intresse av.166 En bank måste således ha en berättigad anledning till att
efterfråga och samla in den specifika kundinformationen. Detta kan leda till intressekonflikter
mellan bankernas behov av att samla in ytterligare information om kunden för att kunna skapa
sig en korrekt bild av denne och den enskildes rätt till personlig integritet.167
En viktig förändring till följd av dataskyddsförordningen är det utökade kravet på vilken
information som ska lämnas till den registrerade.168 Exempelvis ska det informeras om hur
länge personuppgifterna lagras, möjligheten att lämna klagomål till tillsynsmyndigheten,
vilken i Sverige är Datainspektionen, samt på vilken rättslig grund informationen samlas in.169
Den sistnämnda torde vara av stor betydelse eftersom flertalet av den registrerades rättigheter
är beroende av vilken rättslig grund som föreligger. En behandling som sker med stöd av 164 Europaparlamentets och rådets direktiv 2015/849/EU, art. 40, 2 kap. 13 § PTL samt SOU 2016:8 del 1, s. 322-324. 165 Se exempelvis Europaparlamentets och rådets förordning (EU) 2016/679, beaktandeskäl (2), (6) och (7). 166 Europaparlamentets och rådets förordning (EU) 2016/679, art. 5.1. 167 Glynn, KYC vs Data Protection – The Next Compliance Hurdle, s. 6. 168 Europaparlamentets och rådets förordning (EU) 2016/679, art. 13 och 14. 169 Europaparlamentets och rådets förordning (EU) 2016/679, art. 13.2 a), 13.2 d) och 13.1 c).
36
intresseavvägning ger exempelvis större möjligheter för den registrerade att motsätta sig
behandlingen. Vid insamling av kundinformation, som en del av kundkännedomsprocessen,
kan banken stödja sig på intresseavvägning som en tillåtlighetsgrund. Det kan således vara
nödvändigt att fundera över om det finns en legitim anledning för banken att samla in viss
information, som väger tyngre än den enskildes rätt till personlig integritet.
Dataskyddsförordningen innebär även ett utökat krav för företag att dokumentera hur de
hanterar kundernas personuppgifter. Detta innefattar vilken information företaget har tillgång
till, vilka personer och funktioner som har tillgång till den samt i vilka system och databaser
den finns. Datainspektionen kan utföra granskningar, och därmed är det av stor vikt att
företaget har dokumentation som visar vilka åtgärder som har vidtagits och hur pass väl
företaget lever upp till kraven i förordningen.170 Vid överträdelser kommer Datainspektionen
kunna döma ut administrativa sanktionsavgifter med upp till 20 miljoner euro eller 4 % av
organisationens totala globala årsomsättning.171 Detta torde framförallt innebära krav på ökad
dokumentation för bankerna, vilket förutsätter anpassade interna system, rutiner och
riktlinjer. Även utbildning av personal utgör en viktig del av arbetet med att anpassa
verksamheten till de nya reglerna.
Det kommer även nya bestämmelser om hur en organisation ska agera i de fall den utsätts för
dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter som de behandlar.
Alla sådana incidenter måste dokumenteras och, om det inte är osannolikt att incidenten
medför en risk för enskildas fri- och rättigheter, anmälas till Datainspektionen inom 72
timmar efter att organisationen fått vetskap om den.172 Om incidenten sannolikt leder till att
den enskilde utsätts för allvarliga risker, exempelvis diskriminering, id-stölder, bedrägerier
eller finansiella stölder, ska den registrerade informeras för att denne ska kunna vidta
nödvändiga åtgärder.173 För att leva upp till förordningen kommer det krävas att bankerna har
tillräckliga interna rutiner för att kunna upptäcka, rapportera och utreda
personuppgiftsincidenter. Även om det redan finns välfungerande system sedan tidigare,
torde bankerna behöva säkerställa att dessa är anpassade till de nya kraven i
dataskyddsförordningen och på så vis undvika eventuella sanktioner.
170 Europaparlamentets och rådets förordning (EU) 2016/679, art. 30. 171 Europaparlamentets och rådets förordning (EU) 2016/679, art. 83. 172 Europaparlamentets och rådets förordning (EU) 2016/679, art. 33.1. 173 Europaparlamentets och rådets förordning (EU) 2016/679, art. 34.
37
I den nuvarande personuppgiftslagen finns ett undantag för behandling av personuppgifter i
ostrukturerat material, kallat missbruksregeln. Bestämmelsen tillåter behandling av
personuppgifter i exempelvis löpande text, så länge behandlingen inte utgör en kränkning av
den registrerades personliga integritet. 174 Missbruksregeln, vilken utgör en svensk
särreglering, kommer inte att finnas kvar efter dataskyddsförordningens ikraftträdande och
därmed behöver de organisationer som tillämpar undantaget idag undersöka vilka
förutsättningar de har att behandla uppgifterna enligt förordningens bestämmelser.175
För att upprätthålla de enskildas integritetsskydd krävs ett proaktivt arbete, vilket ska ske
genom att system för hantering av personuppgifter utformas utifrån ”Privacy by Design”
(PbD), dvs. ett inbyggt integritetsskydd. Detta behandlas uttryckligen i
dataskyddsförordningen, vari det ställs krav på lämpliga organisatoriska eller tekniska
åtgärder, såsom pseudonymisering, i syfte att effektivt genomföra dataskyddsprinciper.176
Detta kommer troligtvis innebära stora utmaningar för bankerna, eftersom de måste se över
sina nuvarande IT-system och säkerställa att dessa är anpassade till PbD, vilket är såväl tids-
som resurskrävande.
174 5a § PUL. 175 Datainspektionen, Förberedelser inför EU:s dataskyddsförordning – Vägledning till personuppgiftsansvariga, s. 4. 176 Europaparlamentets och rådets förordning (EU) 2016/679, art. 25.
38
5. En analys av kundkännedomsreglerna i fjärde penningtvättsdirektivet med beaktade av dataskyddsförordningen
5.1 Inledning Regler och åtgärder mot penningtvätt är tveklöst ett högprioriterat område som ges alltmer
fokus, såväl internationellt som nationellt. I början av 90-talet inleddes arbetet för att ta fram
effektiva medel för att bekämpa penningtvätt och från en relativt blygsam nivå har åtgärder
mot penningtvätt fått en ökad betydelse. Idag omfattas betydligt fler verksamhetsutövare av
penningtvättsregelverket, vilket har blivit större till volym samt inneburit skärpta krav på
vidtagande av åtgärder i syfte att förhindra att verksamheter utnyttjas för att föra in illegala
tillgångar i det finansiella systemet. Banker har en utsatt roll ifråga om penningtvätt och som
ett led i att värna om den finansiella stabiliteten åläggs de med höga krav på kundkännedom.
Kraven är omfattande och genom implementeringen av fjärde penningtvättsdirektivet kommer
dessa att öka ytterligare. Huruvida kundkännedomsreglerna, särskilt med beaktande av fjärde
penningtvättsdirektivet, är utformade på ett sätt som bidrar till att bankernas arbete mot
penningtvätt kan företas på ett effektivt sätt, kommer att diskuteras och analyseras nedan.
Kundkännedomsreglerna har även en stark koppling till reglerna om personuppgifter varför
relationen till den nya dataskyddsförordningen är av betydande intresse. Det krävs att reglerna
på penningtvättsområdet är effektiva samtidigt som de, i tillräcklig utsträckning, måste
balansera värden om personlig integritet och dataskydd.
5.2 Kundkännedomsreglerna som ett effektivt redskap mot penningtvätt
5.2.1 Gynnar de internationella satsningarna reglernas effektivitet?
Den internationella utvecklingen på området för penningtvätt har varit avgörande för
samordningen av arbetet mellan länder, vilket är en förutsättning med tanke på
problematikens gränsöverskridande karaktär. Det kommer emellertid riktlinjer och standarder
från flera håll, på såväl internationell som nationell nivå. Exempelvis har de europeiska
tillsynsmyndigheterna, EBA, EIOPA och ESMA, mandat att ta fram riktlinjer och vägledning
av olika slag gällande penningtvätt. Även andra samarbetsorgan, standardsättare och privata
organisationer inom det finansiella området arbetar för att ta fram vägledningsdokument.
Detta är i grunden positivt men spridningen av dokument torde kunna påverka reglernas
effektivitet negativt. Riktlinjerna och den praktiska vägledningen är till för att hjälpa
39
tillämparna men kan tänkas få en motsatt effekt, dels ifall de blir för många till antalet, dels
med risk för att de inte är helt överensstämmande.
Därtill måste hänsyn tas till andra samverkande regelverk, såsom dataskyddsförordningen.
Det krävs att det är koherens mellan systemen, i annat fall ökar risken för regelkonflikter
ytterligare. Dessutom kan en inkorrekt regelefterlevnad av såväl penningtvättslagstiftningen
som dataskyddsförordningen leda till stora sanktioner.
5.2.2 Gynnar det riskbaserade förhållningssättet regelverkets effektivitet?
Genom att tillämpa det riskbaserade förhållningssättet förväntas bankerna identifiera,
analysera och hantera riskerna i den egna verksamheten. Därigenom kan sedan resurserna
allokeras och mer långtgående åtgärder vidtas inom områden, och avseende kunder, med
förhöjd risk för penningtvätt. Det riskbaserade förhållningssättet har varit den övergripande
metoden för att bedöma och hantera riskerna för penningtvätt sedan början av 2000-talet.
Såväl FATF:s reviderade rekommendationer från år 2012 som fjärde penningtvättsdirektivet,
och därigenom även det svenska förslaget till en ny penningtvättslag, har en ökad betoning på
förhållningssättets centrala betydelse och dess syfte att effektivisera resursanvändningen.
Förhållningssättet torde vara en nödvändighet, och utgöra ett verkningsfullt system i kampen
mot penningtvätt. Det möjliggör även för olika branscher att efterleva penningtvättsreglerna
på ett, för verksamheten, dynamiskt sätt. Det gynnar även resursanvändningen och stärker
åtgärdernas kvalitet. De nya kraven på tillämpning av förhållningssättet, vilket ska användas
genomgående i verksamheten, torde dock medföra att bankerna måste höja kvaliteten samt
öka bredden och djupet på sina riskbedömningar. Det är även en förutsättning att
riskbedömningarna blir korrekta för att bankerna ska kunna motivera omfattningen av de
personuppgifter som samlas in.
De åtgärder för kundkännedom som bankerna vidtar ska vara anpassade efter de risker som
föreligger i den enskilda verksamheten och i det specifika fallet. De förändringar som följer
av de nya reglerna kommer att kräva att bankerna gör riskbedömningar i större omfattning
och av mer branschspecifik karaktär. Detta torde kräva inhämtning av information från fler
relevanta källor om penningtvätt och ett tydligare beaktande av riskfaktorer i den egna
branschen. Även den tekniska utvecklingen leder till nya utmaningar avseende
riskbedömningar, eftersom det måste avgöras hur användningen av olika former av
40
elektronisk kommunikation kan öka risken för att kunden utnyttjar banken i syfte att tvätta
pengar. Utvecklingen går dessutom snabbt framåt, vilket kräver en ständig uppmärksamhet
för att upptäcka nya sätt och metoder som kan användas för penningtvätt. Det är först när
banken har kartlagt vilka risker som föreligger i verksamheten, däribland risker avseende
elektroniska hjälpmedel, som rätt omfattning av åtgärder för att uppnå kundkännedom kan
vidtas. För att bekämpa penningtvätt krävs riskspecifika åtgärder, vilket talar för att det
riskbaserade förhållningssättet ska genomsyra även kundkännedomsreglerna. Genom att
identifiera kundgrupper, produkter, tjänster och andra faktorer, vilka kan anses utgöra högre
risk och därav kräva mer omfattande åtgärder, kan resursanvändningen effektiviseras. Därmed
kan det riskbaserade förhållningssättet, utifrån ett rättsekonomiskt perspektiv, anses bidra till
att en högre nivå av ekonomisk effektivitet kan uppnås.
Vid hög risk ska skärpta åtgärder vidtas, vilka ska vara av mer omfattande karaktär. Det
saknas dock närmare vägledning i vad som ska anses utgöra skärpta åtgärder, och därmed ter
det sig osäkert vilka åtgärder som ska anses tillräckliga för att motsvara det tänkta kravet i
regelverket. Detta skapar även en osäkerhet i relation till reglerna om personuppgifter.
Bankerna måste göra en bedömning av vilken risk kunden anses utgöra för att därefter veta
vilken omfattning av uppgifter de förväntas samla in. De uppgifter som samlas in måste
dessutom vara motiverade och omfattningen måste motsvara den faktiska risken för
penningtvätt.
Vidare krävs en metod för riskavvägning av de faktorer som identifieras vid bedömningen.
Avsaknaden av en generell metod för riskbedömningar har såväl fördelar som nackdelar.
Penningtvättsreglerna riktar sig till en vid krets av verksamhetsutövare inom olika branscher,
varför olika slags riskmodeller och riskklassificeringssystem är en förutsättning. Svårigheten
torde dock ligga i att ta fram lämpliga modeller och system, vilka kan användas för att
genomföra en sådan riskbedömning som motsvarar lagstiftningens krav. Det är trots allt
denna bedömning som ligger till grund för vilken risknivå en kund åsätts och därmed även
vilka åtgärder för kundkännedom som vidtas. Det riskbaserade förhållningssättets dynamiska
karaktär innebär att ett stort individuellt ansvar åläggs bankerna. Dessa har att arbeta fram
metoder för att, i ett första steg, identifiera verksamhetsövergripande risker, för att sedan, i ett
andra steg, utföra riskbedömningar för att avgöra hur och i vilken omfattning kundkännedom
ska uppnås. Riskbedömningarna bygger således på varandra och eftersom det riskbaserade
förhållningssättet ska genomsyra hela verksamheten är kvaliteten av
41
kundkännedomsåtgärderna beroende av kvalitativa riskbedömningar. Om bankerna inte
lyckas implementera fullvärdiga metoder för verksamhetsövergripande riskbedömningar
kommer det även att påverka kundkännedomsåtgärderna som vidtas längre ner i
verksamheten. Detta leder i sin tur till att effektiviteten av reglerna blir lidande. Bankerna
måste lägga ner stora resurser på att implementera korrekta och välfungerande metoder, vilket
innebär stora kostnader. Lyckas de inte med detta kan det leda till ytterligare kostnader,
exempelvis i form av sanktioner, och därmed ekonomisk ineffektivitet.
För att genomföra en riskbedömning som kan ligga till grund för en effektiv allokering av
resurser, torde det även ställas krav på en relativt hög kunskap hos ledande befattningshavare.
Ur en effektivitets- och kostnadssynpunkt bör även belysas att svårigheter med tolkning och
tillämpning troligtvis leder till att banker, i större omfattning, behöver anlita extern hjälp för
att implementera penningtvättsregelverket i verksamheten. Penningtvättsreglerna ska
tillämpas genomgående, och att dessa införs ända ner i kedjan, i mötet mellan anställd och
kund, är av stor vikt. Det är i mötet med kunden som reglerna konkretiseras och kännedom
om kunden inhämtas, varför kunskap hos de anställda är en förutsättning för en effektiv
tillämpning. Således måste arbetet med att implementera reglerna ske på flera nivåer för att
banken i sin helhet ska bli kompatibel med regelverket. Med tanke på omfattningen av
penningtvättsdirektivet och de nya krav som följer, kommer det krävas anpassningar av
exempelvis interna system, rutiner, arbetsordningar och utbildningar. Därtill bör bankerna
redan nu ta hänsyn till dataskyddsförordningen och de nya reglerna om personuppgifter. Det
är kort om tid för bankerna att implementera och genomföra alla anpassningar, vilket kan leda
till en bristfällig implementering. Detta kan i sin tur påverka arbetet mot penningtvätt
negativt.
Det riskbaserade förhållningssättet, såsom det genomsyrar direktivet och det svenska förslaget
till en ny penningtvättslag, synes leda till en ökad osäkerhet vid tillämpningen av reglerna.
Bankerna förutsätts göra egna utredningar och bedömningar utifrån förhållningssättet även i
de fall där det finns lättnader och hjälpmedel. Exempelvis tillåter inte regelverket att banken
enbart utgår ifrån de uppgifter om den verkliga huvudmannen som kommer kunna hämtas
från det centrala registret, utan banken förutsätts fortfarande undersöka ägar- och
kontrollstrukturen för att göra en egen bedömning.177 De har således själva det yttersta
177 Se avsnitt 3.3.2.2.1.
42
ansvaret för att de innehar korrekt information. Detsamma gäller vad avser möjligheten att
tillämpa förenklade åtgärder för kundkännedom vid låg risk. Banken måste först göra en
utredning för att avgöra huruvida omständigheterna i det enskilda fallet de facto pekar på att
det föreligger låg risk, för att därefter få utföra kundkännedomsprocessen i mindre
omfattning. Därtill krävs kontinuerlig bevakning av kundens aktiviteter för att eventuella
avvikelser ska kunna upptäckas. Det riskbaserade förhållningssättet syftar till att effektivisera
resursanvändningen men om bankerna fortfarande måste göra riskbedömningar i fall där det
finns lättnader, talar detta för att en del av effektiviteten förtas.
Nordea och Handelsbanken är två svenska storbanker, vilka torde ha tillgång till såväl
resurser som kompetens att ta fram interna rutiner, system, arbetsordningar, utbildningar etc.
för att införa penningtvättsregelverket i verksamheten. Trots detta har bankerna haft
omfattande brister av allvarlig karaktär, vilka till stor del har handlat om undermåliga
riskbedömningar. Detta har lett till att bankerna inte har haft den kännedom om sina kunder
som krävts för att korrekta åtgärder ska kunna vidtas utifrån den risk som kunden utgör.178
Detta talar delvis för att det finns svagheter i penningtvättsregelverkets utformning. Även om
lagen innehållsmässigt är tillfredsställande, är den föga effektiv om inte bankerna vet hur de
ska gå tillväga för att leva upp till lagens bestämmelser. Utredningen föreslår att det
riskbaserade förhållningssättet tydliggörs i den nya lagen, vilket i sig är välkomnat och
nödvändigt. Dock torde det fortfarande finnas alltför stora oklarheter gällande vad det innebär
mer konkret för att en praktisk tillämpning ska vara möjlig.
Anledningen till att Nordea och Handelsbanken har haft stora brister i regelefterlevnaden
beror troligtvis även på andra orsaker. Bankerna drivs av ekonomiskt och affärsmässigt
intresse, varför reglerna om åtgärder mot penningtvätt kan ses som ett nödvändigt ont, vilka
kräver såväl tid som resurser för implementering och korrekt efterlevnad. Arbetet mot
penningtvätt har ökat drastiskt under de senaste åren och därav har även omfattningen på
reglerna och kraven på efterlevnad ökat, vilket även har ställt högre krav på bankerna. Dessa
snabba förändringar kan innebära svårigheter för bankerna att i tid få den förståelse för
reglerna som krävs för att kunna implementera dessa i verksamheten.
178 Se avsnitt 3.2.4.
43
5.2.3 Kommer den nya penningtvättslagen underlätta tillämpningen?
Utredningen har ansett det lämpligt med en fullständig översyn av penningtvättslagen för att
disponera om och förenkla lagen till förmån för verksamhetsutövarna vid deras tillämpning av
reglerna. Den förenklade dispositionen syftar till att underlätta för verksamhetsutövarna att
tillgodogöra sig lagens krav. Företrädare från berörda branschorganisationer har framfört
kritik för att de har exkluderats från utredningsarbetet. Detta är anmärkningsvärt eftersom
verksamhetsutövarna torde kunna bidra med viktig input från en praktisk synvinkel, vilket
hade kunnat gynna utredningens arbete vid framtagandet av förslaget. Genom att ta del av de
svårigheter som exempelvis bankerna upplever vid tillämpningen av penningtvättsregelverket,
hade dessa kunnat tas i beaktning och ökat möjligheterna till ett effektivt regelverk.
Ur en rättssäkerhetsaspekt är det intressant att utredningen, vid ett flertal gånger, hänvisar till
att närmare bestämmelser ska regleras i författning av lägre valör. Visserligen fungerar
lagstiftningen på det sätt att myndigheter, exempelvis FI, utfärdar föreskrifter, vilka ska vara
mer detaljerade och underlätta tillämpningen. Genom att använda sig av föreskrifter kan
anpassningar efter förändrade och nya risker för penningtvätt lättare genomföras. Detta bör
dock vägas mot strävan efter ett förutsebart regelverk, utifrån vilket bankerna kan anpassa
sina rutiner på ett långsiktigt plan. Eftersom föreskrifter kan komma att ändras mer frekvent
kan det leda till en ökad osäkerhet för bankerna när de ska efterleva reglerna. Därtill är det
även av intresse att utredningen väljer att delegera central lagstiftning i en sådan vid
omfattning. Det torde finnas en gräns för hur stor roll myndigheterna bör ges vid
implementeringen av direktiv och vid skapandet av ny lagstiftning.
Det har uppmärksammats, exempelvis i samband med de nationella riskbedömningar om
penningtvätt, att de verksamheter som har att tillämpa penningtvättsregelverket upplever stora
svårigheter med att förstå vad som krävs av dem rent konkret. FI har tagit fram riktlinjer vilka
ska ge företagen konkret vägledning. Genom samarbetet SIMPT ämnar även
branschorganisationerna ta fram praktisk vägledning, vilket torde vara ytterligare ett tecken på
att det finns behov bland verksamhetsutövarna att få hjälp att förstå och tillämpa regelverket
på ett korrekt och effektivt sätt. Med tanke på detta kan regelverket i viss mån anses
ineffektivt, eftersom det kräver att bland annat myndigheter och branschorganisationer
utfärdar kompletterande dokument och riktlinjer i stor omfattning för att verksamhetsutövarna
ska förstå vad som krävs av dem för att leva upp till kraven i lagen. Detta torde vara
resurskrävande och inverka negativt på strävan efter ekonomisk effektivitet. Därtill är det en
44
källa till osäkerhet, eftersom bankerna tvingas förhålla sig till ett flertal olika regler och
vägledningsdokument.
5.3 Vad innebär systemkonflikten mellan kundkännedomsreglerna och reglerna
om personuppgifter i dataskyddsförordningen? Personuppgiftsbehandling har en nära koppling till reglerna om åtgärder mot penningtvätt,
särskilt vad avser kundkännedomsprocessen. Såväl fjärde penningtvättsdirektivet som
dataskyddsförordningen är omfattande regelverk som kommer innebära nya nationella
lagstiftningar för verksamhetsutövare att anpassa sig till.
Till följd av globaliseringen och den ökade digitalisering ökar behovet av skydd för den
personliga integriteten. Därtill krävs, delvis av samma anledning, ytterligare åtgärder för att
förhindra penningtvätt. I detta stadie, innan regelverken har implementerats och det står klart
hur reglerna kommer att se ut, torde det vara svårt för bankerna att veta hur de ska förhålla sig
och anpassa sina verksamheter till de kommande lagändringarna. Även efter att regelverken
har implementerats och trätt ikraft lär många frågetecken kvarstå. Den kanske mest centrala
frågan är hur avvägningen mellan regelverkens motstående intressen kommer att kunna
genomföras på ett systemkonformt sätt.
I och med dataskyddsförordningens ikraftträdande kommer det ställas högre krav på den
information som lämnas till den registrerade.179 Bankerna kommer att få en utökad skyldighet
att lämna information till sina kunder, exempelvis avseende på vilken rättslig grund
informationen samlas in. Detta kan skapa problem i de fall banken samlar in information med
stöd av intresseavvägning som tillåtlighetsgrund. Särskilt med tanke på att
kundkännedomsnivån, och därmed även omfattningen av den information som inhämtas om
kunden, är baserad på riskbedömningar. Det torde krävas att bankens riskbedömningar i
grunden är korrekta för att det ska vara motiverat att vidta skärpta åtgärder, vilket i sin tur
innebär att personuppgifter tillåts samlas in i större utsträckning.
Det finns även anledning att koppla detta till innebörden av skärpta åtgärder, vilket är något
oklart i dagens lagstiftning, och som inte verkar bli mycket klarare utifrån utredningens
förslag. Det har tidigare i kapitlet diskuterats huruvida bankerna kan känna sig trygga i att de
179 Se avsnitt 4.4.
45
åtgärder som vidtas, i samband med att det anses föreligga en hög risk för penningtvätt, kan
anses tillräckliga. Detta torde kunna försvåra bankernas arbete ytterligare när det kommer till
insamlingen av uppgifter, särskilt i de fall de stödjer sig på intresseavvägning som
tillåtlighetsgrund. Det krävs att en avvägning görs för att bedöma huruvida bankens intresse
av att samla in uppgifterna i syfte att kontrollera kunden, till följd av förhöjd risk för
penningtvätt, väger tyngre än den enskildes rätt till personlig integritet. Det riskbaserade
förhållningssättets dynamiska karaktär och de medföljande oklarheter, vilka bankerna kan
uppleva vid tillämpningen, leder därmed sannolikt även till osäkerhet avseende den tillåtna
omfattningen av personuppgiftsinsamling. Det är framförallt ur denna aspekt som
regelverkens oförenlighet kan diskuteras. Fjärde penningtvättsdirektivets skärpta krav på
kundkännedom är inte konform med dataskyddsförordningens krav på hög personlig integritet
och en så liten omfattning av personuppgiftsinsamling som möjligt. Även om några konkreta
oförenligheter inte kan utpekas i dagens läge, torde osäkerheten ligga i balansgången mellan
respektive regelverks krav. Å ena sidan ska tillräckligt mycket uppgifter samlas in i
förhållande till vad som krävs, utifrån den risk som anses föreligga, å andra sidan får inte mer
uppgifter samlas in än vad som är tillåtet enligt dataskyddsförordningen och
personuppgiftslagen.
Av dataskyddsförordningen följer ett ökat krav på bankerna att dokumentera hur de hanterar
sina kunders personuppgifter. Såväl Nordea som Handelsbanken hade brister i sin
dokumentation vid FI:s bedömning av bolagens efterlevnad av penningtvättsreglerna. De nya
kraven lär öka bankernas behov av effektiva interna system och databaser för hantering av
personuppgifter. Eftersom Datainspektionen kommer kunna utföra granskningar och, vid
brister i dokumentationen, döma ut höga administrativa sanktionsavgifter, torde det vara av
ännu större vikt att bankerna ser över dagens system och anpassar dessa till de nya kraven.
Detta är emellertid såväl tids- som resurskrävande. En av de större utmaningarna för bankerna
torde även vara att inrätta system i verksamheten som tillgodoser såväl
penningtvättsregelverkets krav på dokumentering och hantering i samband med insamling av
information för kundkännedom, som dataskyddsförordningens krav på säker
personuppgiftsbehandling.
I förslaget till den nya penningtvättslagen framgår att samkörningsförbudet föreslås luckras
upp, vilket skulle underlätta för koncerner att dela information genom att de tillåts samköra
46
sina register med personuppgifter. 180 Detta torde öka effektiviteten vad avser
informationsinsamling och således även, på ett resurseffektivt sätt, hjälpa bankerna att leva
upp till kraven på kundkännedom. Vid samkörning av register torde det dock krävas
ytterligare åtgärder för att säkerställa att de system som inrättas har hög säkerhet och är
utformade utifrån PbD, för att leva upp till kraven på integritetsskydd.
De nya lagarna kommer att ställa höga krav på bankernas datasystem ur flera aspekter, vilket
adderar ett extra lager av komplexitet. Bankerna måste implementera datasystem som gör det
möjligt för dem att efterleva båda regelverken, hantera data och samtidigt få verksamheten att
fungera genom att skapa en effektiv affärsprocess. Som tidigare nämnts drivs bankerna av
affärsmässiga motiv och därmed krävs att de kan hitta ett sätt att bli kompatibel med båda
regelverken utan att det påverkar verksamheten och kundupplevelsen. De skärpta kraven på
kundkännedom kommer innebära att fler frågor måste ställas till kunderna, samtidigt som
kunderna ska erhålla ett stärkt skydd för sina personuppgifter. De kunder som inte har något
att dölja kommer troligtvis känna att de får en sämre kundupplevelse samtidigt som de får
bära kostnaden för bankens åtgärder för att leva upp till kraven i regelverken. Risken finns att
bankens affärsmässiga intresse kommer överväga intresset av att implementera fullvärdiga
och kostnadskrävande rutiner för kundkännedom och personuppgiftsbehandling.
Dataskyddsförordningen har en även en starkare betoning på att företag endast får samla in
uppgifter som de har ett legitimt intresse av. 181 Bankerna ansvarar för att de
riskklassificeringar som har åsatts kunderna motsvarar den faktiska risken för att de kan
komma att utnyttja banken för penningtvätt. Den förhöjda risken resulterar i att mer
information får samlas in, men det förutsätter som sagt att det de facto föreligger en förhöjd
risk för att banken ska vara berättigad att samla in personuppgifter i större omfattning.
Återigen kan konflikterna mellan regelverkens intressen sägas försätta bankerna i en svår
bedömningssituation. Det bör inte vara upp till bankerna att bedöma när vågskålen väger över
åt endera hållet, dvs. när intresset av att bekämpa brott väger tyngre än intresset av att skydda
personuppgifter och vice versa. Det ena intresset kommer på ett eller annat sätt behöva ge
vika för det andra. Det övergripande målet med lagstiftningen, inte minst inom finansområdet,
är att uppnå systemkonformitet och det bör åligga lagstiftaren att säkerställa att regelverken
kan tillämpas vid sidan av varandra utan risk för att bryta mot någondera.
180 Se avsnitt 4.3.3. 181 Se avsnitt 4.4.
47
5.4 Slutsats De nya kraven avseende kundkännedom, vilka följer av fjärde penningtvättsdirektivet,
innebär ett långtgående krav på bankerna att genomföra korrekta riskbedömningar utifrån det
riskbaserade förhållningssättet. Det ansvar som åläggs bankerna torde vara betungande och
ställa höga krav på intern identifiering och hantering av risker för penningtvätt som föreligger
i den enskilda verksamheten. Det riskbaserade förhållningssättet är ett anpassningsbart och
nödvändigt system men på grund av den osäkerhet, vilket dess dynamiska karaktär skapar vid
tillämpningen av regelverket, kan det innebära en negativ påverkan på regelverkets
effektivitet. Därmed torde även syftet med lagstiftningen kunna bli lidande. En bristfällig
övergripande riskbedömning leder till efterföljande konsekvenser längre ned i verksamheten
och utgör således ett kritiskt moment. En misslyckad bedömning leder dessutom till
genomgående brister i verksamhetens arbete mot penningtvätt vad avser
kundkännedomsåtgärderna. Detta innebär en negativ påverkan på regelverkets effektivitet.
Systemkonflikten mellan penningtvättsreglerna och reglerna om personuppgifter grundar sig
dels i den svåra balansen att leva upp till kraven i båda regelverken, dels i den
intresseavvägning som indirekt åläggs bankerna att genomföra. Hänsyn måste tas till
penningtvättsreglernas krav på att tillräckligt med uppgifter samlas in för att motsvara den
risknivå som kunden tillskrivits utifrån genomförda riskbedömningar. Samtidigt måste hänsyn
tas till dataskyddsförordningens krav på att inte samla in mer uppgifter än nödvändigt i syfte
att värna om den enskildes rätt till personlig integritet. Detta förutsätter korrekta och
kvalitativa riskbedömningar för att säkerställa väl förankrade riskklassificeringar av kunderna,
vilka styrker rätten att inhämta uppgifter i aktuell omfattning. Systemkonflikten mellan
regelverken försätter bankerna i en svår bedömningssituation där intresset av att bekämpa
penningtvätt måste vägas mot intresset av att värna om den personliga integriteten. Denna
avvägningsfråga bör inte lämnas till bankerna att avgöra.
Det är ett långtgående ansvar som tillskrivs bankerna, vilka har att implementera och
efterfölja båda regelverken inom en snar framtid. Det kvarstår många frågetecken avseende
tolkning och tillämpning av kundkännedomsreglerna. Detta förutsätter att bankerna får
konkret vägledning för att arbetet mot penningtvätt ska kunna företas på ett effektivt sätt
samtidigt som ett starkt skydd för den personliga integriteten upprätthålls.
48
Källförteckning EU-rättsligt offentligt tryck Rådets direktiv 91/308/EEG av den 10 juni 1991 om åtgärder för att förhindra att det
finansiella systemet används för tvättning av pengar, EGT L 166, 28.6.1991.
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för
enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av
sådana uppgifter, EGT L 281, 23.11.1995.
Europaparlamentets och rådets direktiv 2001/97/EG av den 4 december 2001 om ändring av
rådets direktiv 91/308/EEG om åtgärder för att förhindra att det finansiella systemet används
för tvättning av pengar, EGT L 344, 28.12.2001.
Europaparlamentets och rådets direktiv 2005/60/EG av den 26 oktober 2005 om åtgärder för
att förhindra att det finansiella systemet används för penningtvätt och finansiering av
terrorism, EUT L 309, 25.11.2005.
Executive summary of the Opinion of the European Data Protection Supervisor on a proposal
for a Directive of the European Parliament and of the Council on the prevention of the use of
the financial system for the purpose of money laundering and terrorist financing, and a
proposal for a Regulation of the European Parliament and of the Council on information on
the payer accompanying transfers of funds, OJ C 32, 4.2.2014.
Europaparlamentets och rådets förordning (EU) 2015/847 av den 20 maj 2015 om uppgifter
som ska åtfölja överföringar av medel och om upphävande av förordning (EG) nr 1781/2006,
EUT L 141, 5.6.2015.
Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för
att förhindra att det finansiella systemet används för penningtvätt eller finansiering av
terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om
upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens
direktiv 2006/70/EG, EUT L 141, 5.6.2015.
49
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för
fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av
sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),
EUT L 119, 4.5.2016.
KOM (2016) 450 final: Förslag till Europaparlamentets och rådets direktiv om ändring av
direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för
penningtvätt eller finansiering av terrorism och om ändring av direktiv 2009/101/EG,
5.7.2016.
Kommissionens delegerade förordning (EU) 2016/1675 av den 14 juli 2016 om komplettering
av Europaparlamentets och rådets direktiv (EU) 2015/849 genom identifiering av
högrisktredjeländer med strategiska brister, EUT L 254, 20.9.2016.
Svenskt offentligt tryck Propositioner
Prop. 1992/93:207 Om åtgärder mot penningtvätt.
Prop. 2003/04:156 Skärpta regler mot penningtvätt.
Prop. 2004/05:30 Finansiella säkerheter.
Prop. 2008/09:70 Genomförande av tredje penningtvättsdirektivet.
Prop. 2014/15:80 Införande av vissa internationella standarder i penningtvättslagen.
Betänkanden
SOU 2016:8 Ytterligare åtgärder mot penningtvätt och finansiering av
terrorism – fjärde penningtvättsdirektivet – samband – nya
penningtvättslag – m.m.
Föreskrifter
FFFS 2009:1 - Finansinspektionens föreskrifter och allmänna råd om åtgärder mot
penningtvätt och finansiering av terrorism.
Skrivelser
Regeringens skrivelse 2013/14:245 - En nationell strategi för en effektiv regim för
bekämpning av penningtvätt och av finansiering av terrorism.
50
Rapporter
Gemensam myndighetsrapport/Finansinspektionen, Penningtvätt – en nationell
riskbedömning, Dnr 12-13024, 2013.
Rättsfall
NJA 2005 s. 833.
Övrigt
Ekobrottsmyndigheten, Ekobrottsmyndighetens Underrättelsebild 2012 - extern version,
Ekobrottskansliet C-KUT EBM K-2012/0114. Stockholm: Ekobrottsmyndigheten, 2012.
Ekobrottsmyndigheten, Penningtvätt, Dnr ÅM-A 2014/0360, EBM A-2014/0187, 2015.
Finansinspektionens beslut, FI Dnr 12-7237, 2013-04-15.
Finansinspektionens beslut, FI Dnr 13-1784, 2015-05-18.
Finansinspektionens beslut, FI Dnr 13-1783, 2015-05-18.
Litteratur Andersson, Jan, Om lagstiftningstekniken kring behörighets- och befogenhetsöverskridande i
ABL, särskilt om särskilda firmatecknare, JT 2000/01, s. 768-769.
Bankföreningen, SIMPT samlar branschen mot penningtvätt, Bankfokus nr 2, 2016.
Cooter, Robert, Ulen, Thomas, Law and Economics, 6 uppl., Berkeley Law Books, 2016.
Dahlman, Christian, Glader, Marcus, Reidhav, David, Rättsekonomi – En introduktion. 2:2
uppl., Studentlitteratur, Lund, 2004.
Dinev, Tamara, Why would we care about privacy, European Journal of Information Systems
(2014) 23, 97-102, doi:10.1057/ejis.2014.1.
Falkman, Henric, Bankernas skyldighet att ta emot inlåning, JT 2001/02, s. 731-741.
51
Grahn, Thomas, Lundén, Fredric, Madstedt, Kent, Wendleby, Björn, Åtgärder mot
penningtvätt m.m.: En praktisk vägledning och kommentar. 1. uppl., Norstedts juridik,
Stockholm, 2010.
Harvey, Jackie, Just How Effective is Money Laundering?, Security Journal (2008) 21, s. 189-
211, doi:10.1057/palgrave.sj.8350054.
Hettne, Jörgen & Otken Eriksson, Ida (red.), EU-rättslig metod: teori och genomslag i svensk
rättstillämpning, 2., omarb. uppl., Norstedts juridik, Stockholm, 2011.
Khan, Sana, The Fourth AML Directive and the EU’s Approach to Data Protection: A
Precautionary Warning, Acams Today, 2016-07-15, http://www.acamstoday.org/fourth-aml-
directive-eus-approach-to-data-protection/ (Hämtad 2017-03-08).
Korling, Fredric & Zamboni, Mauro, Juridisk metodlära, 1:4 uppl., Studentlitteratur, Lund,
2013.
Lantto, BrittMari, Branschen enas i kampen mot penningtvätt och terror, Finansliv, 2016-05-
25, http://www.finansliv.se/tag/simpt/ (Hämtad 2017-01-09).
Peczenik, Aleksander, Juridikens allmänna läror, SvJT 2005, s. 249-272.
Sandgren, Claes, Om teoribildning och rättsvetenskap, JT 2004/05, s. 297-333.
Sandgren, Claes, Rättsvetenskap för uppsatsförfattare: ämne, material, metod och
argumentation, 3., [utök. och rev.] uppl., Norstedts juridik, Stockholm, 2015.
Internetkällor Datainspektionen, Förberedelser inför EU:s dataskyddsförordning – Vägledning till
personuppgiftsansvariga,
http://www.datainspektionen.se/Documents/vagledningforberedelser-pua.pdf (Hämtad 2017-
01-23).
52
European Banking Authority, EBA, EIOPA and ESMA consult on anti-money laundering and
countering the financing of terrorism, 2015, https://www.eba.europa.eu/-/eba-eiopa-and-
esma-consult-on-anti-money-laundering-and-countering-the-financing-of-terrorism (Hämtad
2017-02-18).
FATF, What is money laundering?, http://www.fatf-gafi.org/faq/moneylaundering/ (Hämtad
2017-02-19).
Financial Action Task Force, FATF Members and observers, http://www.fatf-
gafi.org/about/membersandobservers/ (Hämtad 2016-11-28).
Financial Action Task Force, Mutual Evaluations, http://www.fatf
gafi.org/publications/mutualevaluations/documents/more-about-mutual-evaluations.html
(Hämtad 2017-02-01).
Interpol, Money Laundering, https://www.interpol.int/Crime-areas/Financial-crime/Money-
laundering (Hämtad 2017-02-19).
United Nations Office on Drugs and Crime, Introduction to money-laundering,
https://www.unodc.org/unodc/en/money-laundering/introduction.html (Hämtad 2017-02-19).
Övrigt FATF (1990), The Forty Recommendations of the Financial Action Task Force on Money
Laundering.
FATF (2003), Financial Action Task Force on Money Laundering - The forty
recommendations, 20 June 2003.
FATF (2006), Third Mutual Evaluation/ Detailed Assessment Report Anti-Money Laundering
and Combating the Financing of Terrorism: Sweden, Paris: Financial Action Task Force.
FATF (2012), International Standards on Combating Money Laundering and the Financing
of Terrorism & Proliferation, Updated October 2016, FATF, Parice, France, www.fatf-
gafi.org/recommendations.html.
53
FATF, Guidance for a Risk Based Approach for the Banking Sector, October 2014.
FATF, Guidance Politically Exposed Persons [recommendations 12 and and 22], June 2013.
Finansinspektionen, Rapportera misstänkt penningtvätt och finansiering av terrorism, 2017.
Glynn, Laura, KYC vs Data Protection – The Next Compliance Hurdle, Fenergo, 2016.
Polismyndigheten, Finanspolisens årsrapport 2015, Polisens Tryckeri, Stockholm, 2016.
The Joint Committee of the European Supervisory Authorities, Joint Guidelines on the
characteristics of a risk-based approach to anti-money laundering and terrorist financing
supervision, and the steps to be taken when conducting supervision on a risk-sensitive basis,
2016-11-16.
The Joint Committee of the European Supervisory Authorities, Joint Opinion on the risk of
money laundering and terrorist financing affecting the Union’s financial sector, JC/2017/07,
20 February 2017.
Zacharoff, Lars, Rana, Saud, Remissvar: Ytterligare åtgärder mot penningtvätt och
finansiering av terrorism – fjärde penningtvättsdirektivet – samband – nya penningtvättslag –
m.m, Finansbolagens förening, 2016-04-29.