Baggrund og Problem
På en række områder er der krydsfelter mellem GDPR og andre regler i den finansielle særlovgivning, som stiller krav om, at finansielle virksomheder behandler persondata. Det betyder i praksis, at virksomhederne i flere tilfælde er usikre på, om det er kravene i GDPR eller den finansielle særlovgivning, som er gældende i den specifikke situation. I nogle tilfælde er det oplevelsen, at det ikke er muligt at efterleve begge regelsæt samtidig, hvilket efterlader virksomhederne i usikkerhed og koster dem både tid og ressourcer. Derfor er der behov for en afklaring af, hvordan reglerne spiller sammen.
Problemstillingen uddybes nedenfor.
Den finansielle særlovgivning stammer i overvejende grad fra EU. Som eksempler på EU-regelsæt (og heraf følgende dansk implementering), hvor der er komplicerede samspilsproblemer med GDPR, kan nævnes:
- 4. og 5. hvidvaskdirektiv, implementeret i hvidvaskloven,
- 2. betalingstjenestedirektiv, PSD2, implementeret i lov om betalinger,
- MiFID II-direktivet, implementeret i lov om kapitalmarkeder og tilhørende bekendtgørelser, inklusive bekendtgørelsen om de organisatoriske krav til værdipapirhandlere, og
- kapitalkravsforordningen, CRR
Listen ovenfor er ikke udtømmende. Den mest presserende konflikt her og nu i en dansk kontekst er dog samspillet mellem GDPR og hvidvaskreglerne.
Grunden til, at samspilsproblemerne opstår og udfordrer implementeringen af GDPR i den finansielle sektor, er, at der ligger forskellige hensyn bag de forskellige regelsæt.
Hensynet bag GDPR er beskyttelse af individet mod andres uberettigede behandling af personlige data. Det er imidlertid ikke dette beskyttelseshensyn, som i første række ligger bag reglerne om behandling af persondata i de ovenfor nævnte EU-regelsæt. Tværtimod er det bærende hensyn bag hvidvaskdirektivet at forebygge hvidvask af penge og finansiering af terrorisme; det bærende hensyn bag PSD2-direktivet er at fremme konkurrence på betalingsområdet ved at pålægge bankerne at åbne for adgangen til forbrugernes betalingskonti og tilknyttede betalingsdata; det bærende hensyn bag MiFID II-direktivet er at øge de finansielle markeders sikkerhed og effektivitet, og det bærende hensyn bag kapitalkravsforordningen er at sikre den finansielle stabilitet i EU.
Samspilsproblemerne kan lidt forenklet (og for at illustrere kompleksiteten i de overvejelser, der skal foretages) inddeles i to tilfældegrupper, jf. nedenfor.
a) Samspilsproblemer ved valg af behandlingshjemmel
Databeskyttelsesforordningen indeholder en række grundlæggende krav, som enhver behandling af personoplysninger skal overholde. Det drejer sig bl.a. om, at den dataansvarlige skal sikre, at personoplysninger indsamles til udtrykkeligt angivne og legitime formål, og at oplysningerne ikke efterfølgende viderebehandles på en måde, som er uforenelig med disse formål.
Præcis her opstår udfordringen i forhold til behandling af personoplysninger med hjemmel i den finansielle særlovgivning, når og hvis hjemlen i særlovgivningen ikke er klar, præcis og specifik nok til entydigt at fastslå forpligtelsernes omfang og rækkevidde. Det gælder fx omfanget af personoplysninger, der skal indhentes som led i kundekendskabsprocedurer efter hvidvasklovens § 11 og de oplysninger, der skal opbevares efter hvidvasklovens § 30.
Her skal den dataansvarlige finansielle virksomhed populært sagt oplysning for oplysning selv vurdere, om behandling kan ske med hjemmel i artikel 6(1)(c) om retlig forpligtelse (”behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige”).
Viser det sig efterfølgende, at den dataansvarlige har fortolket særlovgivningen for vidtgående og behandlet flere oplysninger, end behandlingshjemlen i artikel 6(1)(c) om retlig forpligtelse tillader, vil der umiddelbart – medmindre andre behandlingsgrundlag finder anvendelse – mangle hjemmel til persondatabehandlingen under GDPR.
Omvendt i tilfælde hvor den dataansvarlige vurderer, at der ikke er en decideret retlig forpligtelse til den pågældende databehandling, men at denne databehandling er formålstjenlig for det resultat, der tilstræbes med særlovgivningen, eksempelvis at forebygge hvidvask af penge og finansiering af terrorisme. I sådanne tilfælde er den dataansvarlige nødsaget til at anvende artikel 6(1)(f) som behandlingsgrundlag (”behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse…”), hvilket med andre ord betyder, at den dataansvarlige er nødsaget til at foretage en kompleks legitim interesseafvejning, fordi der ligger andre hensyn bag hvidvaskreglerne (og de øvrige ovenfor nævnte EU-regelsæt) end individets interesser.
b) Samspilsproblemer ved efterlevelse af dataminimeringsprincippet
Det følger af dataminimeringsprincippet i GDPR-artikel 5, at den dataansvarlige skal sikre, at de oplysninger, som behandles, er tilstrækkelige, relevante og ”begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles”. Også i relation til dette princip er der udfordringer i forhold til den finansielle særlovgivning, hvis den dataansvarlige selvstændigt skal vurdere nødvendigheden af særlovenes opbevaringskrav i forhold til formålene bag reguleringen, eller hvis den dataansvarlige – hvilket er tilfældet på hvidvaskområdet – kan blive mødt med, at tredjelande som USA stiller krav om endnu længere opbevaringsperioder.
Den finansielle særlovgivning indeholder generelt mange vidtgående opbevaringsregler, og som konkrete eksempler kan nævnes:
- Opbevaringspligten i hvidvasklovens § 30, hvorefter personoplysninger skal opbevares i mindst fem år efter kundeforholdets ophør eller den enkeltstående transaktions gennemførelse*,
- Record-keeping-kravet i § 10, i bekendtgørelsen om de organisatoriske krav til værdipapirhandlere, og særligt § 10, stk. 10, hvorefter værdipapirhandleren som minimum skal opbevare dokumentationen i fem år, herunder optagelser af al telefonkommunikation og samtaler med kunder, der fører til eller kan føre til transaktioner,
- Kravet i kapitalkravsforordningens artikel 185(b) om anvendelse af ”historiske data, som går så langt tilbage som muligt”.
Igen er listen ikke udtømmende, og igen er den største og mest presserende konflikt her og nu samspillet mellem GDPR og hvidvaskreglerne.
*Reglen kan i nogle tilfælde føre til ekstremt lange opbevaringsperioder, afhængigt af hvor ofte kunden skifter bank.
Anbefaling
Anbefaling
Regelforum anbefaler, at regeringen arbejder for at skabe bedre sammenhæng mellem GDPR og de regler i den finansielle særlovgivning, som stiller krav om, at finansielle virksomheder behandler persondata.
Anbefalingen om bedre sammenhæng gælder specifikt samspillet mellem hvidvaskreglerne og GDPR, men den gælder også generelt forstået på den måde, at GDPR altid må indtænkes, når nye forordnings- og direktivforslag forhandles på det finansielle område, og når ny finansiel regulering fra EU skal implementeres i dansk ret.
Særligt for så vidt angår det komplicerede samspil mellem GDPR og hvidvaskreglerne anbefaler Regelforum, at regeringen på højeste niveau rejser over for Det Europæiske Databeskyttelsesråd, at snarlige guidelines på området er en nødvendighed.
Dette kan ske ved:
- at det danske medlem af Databeskyttelsesrådet rejser sagen i henhold til GDPR-artikel 70(1)(e),
- at den danske tilsynsmyndighed, Datatilsynet, rejser sagen i henhold til artikel 64(2), eller
- at den danske regering selvstændigt retter henvendelse til Databeskyttelsesrådet om problemerne (jf. nærmere om denne mulighed under ”Yderligere oplysninger”).
Til brug for kontakten med Det Europæiske Databeskyttelsesråd vedlægges på engelsk en supplerende beskrivelse af samspilsproblemerne på hvidvaskområdet.
Potentiale
Den finansielle sektor er en af de mest regulerede, og compliancekravene er stadigt stigende. I et stadigt mere komplekst compliance-setup er det af stor betydning, at reglerne spiller sammen og faktisk er til at overholde. Det skal være muligt fuldt ud af efterleve ét sæt af regler uden samtidig at komme i karambolage med et andet sæt af regler.
GDPR har været i kraft i to år, og i den periode er det blevet klart, at samspillet mellem GDPR og den europæiske hvidvaskregulering giver anledning til mange udfordringer og svære fortolkningsspørgsmål, som ikke kan løses på nationalt niveau.
Europæiske guidelines har derfor potentiale til at lette GDPR-byrden betragteligt for alle danske finansielle virksomheder, som investerer meget tid og mange ressourcer i arbejdet med at efterleve både GDPR og hvidvaskreglerne. Sådanne guidelines vil også hjælpe de mange danske finansielle virksomheder, som driver virksomhed på tværs af grænserne i EU, og hvor det er af afgørende betydning, at reglerne håndhæves og fortolkes ens i de forskellige medlemsstater.
Igangværende initiativer
Der er ikke noget arbejde i gang fra Det Europæiske Databeskyttelsesråds side i forhold til det komplicerede samspil mellem hvidvaskreglerne og persondataforordningen.
Derimod har Det Europæiske Databeskyttelsesråd – forankret i rådets Financial Matters subgroup – gennem flere år arbejdet på et omfattende sæt af guidelines om det ligeledes komplicerede samspil mellem 2. betalingstjenestedirektiv (PSD2) og persondataforordningen. Både EBA (Den Europæiske Banktilsynsmyndighed) og andre relevante stakeholders fra banksektoren har været inddraget i arbejdet med disse guidelines, som forventes at blive sendt i offentlig høring i sommeren 2020.
Det er et tilsvarende sæt af guidelines, som Regelforum nu efterspørger på samspillet mellem hvidvaskreglerne og persondataforordningen, idet udarbejdelsen ligeledes bør være forankret i Databeskyttelsesrådets Financial Matters subgroup i en proces, hvor både EBA og relevante stakeholders inddrages.
Relevant regulering
I. Samspilsproblemet vedrører:
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (databeskyttelsesforordningen)
over for
Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (4. hvidvaskdirektiv).
II. Det Europæiske Databeskyttelsesråd har kompetence til at udstede guidelines på området, hvilket fremgår af GDPR- artikel 70(1)(e) sammenholdt med artikel 12 i Databeskyttelsesrådets forretningsorden.
GDPR-artikel 70(1)(e) bestemmer:
”Databeskyttelsesrådet sikrer ensartet anvendelse af denne forordning. Med henblik herpå skal Databeskyttelsesrådet på eget initiativ eller, når det er relevant, efter anmodning fra Kommissionen navnlig:
[…]
e) på eget initiativ, efter anmodning fra et af sine medlemmer eller efter anmodning fra Kommissionen undersøge ethvert spørgsmål vedrørende anvendelsen af denne forordning og udstede retningslinjer, henstillinger og bedste praksis for at fremme ensartet anvendelse af denne forordning.”
Artikel 12 i Databeskyttelsesrådets forretningsorden bestemmer:
“1. In cases covered by Article 70(1) (d), (e), (f), (g), (h), (i), (j), (k), (m), (p), (q), (r), (s) and (x) GDPR and Article 51 of the Police and Criminal Justice Data Protection Directive, the Board shall issue opinions, guidelines, recommendations or best practices.
2. Before being submitted to the vote of the Board, opinions, guidelines, recommendations and best practices of the Board referred to in paragraph (1) shall be prepared by a rapporteur, by expert subgroups in liaison with the secretariat.”
III. En tilsynsmyndighed i en medlemsstat har derudover mulighed for at kræve ”spørgsmål, der har virkninger i mere end én medlemsstat”, drøftet af Databeskyttelsesrådet med henblik på en udtalelse, jf. GDPR-artikel 64(2), hvilken mulighed det belgiske datatilsyn eksempelvis har benyttet sig af i forhold til samspillet mellem GDPR og ePrivacy-direktivet (jf. Opinion 5/2019 af 12. marts 2019):
GDPR-artikel 64(2) bestemmer:
”En tilsynsmyndighed, formanden for Databeskyttelsesrådet eller Kommissionen kan kræve, at ethvert almengyldigt spørgsmål eller ethvert spørgsmål, der har virkninger i mere end én medlemsstat, drøftes af Databeskyttelsesrådet med henblik på en udtalelse…”
Yderligere oplysninger
Ud over muligheden for at rejse sager i henhold til GDPR- artikel 70(1)(e) og artikel 64(2) er der også en række eksempler på, at forskellige stakeholders selvstændigt har kontaktet Det Europæiske Databeskyttelsesråd med spørgsmål vedr. samspillet mellem GDPR og andre EU-regelsæt. Sådanne henvendelser er med til at henlede Databeskyttelsesrådets opmærksomhed på relevante problemstillinger, og besvarelserne offentliggøres på Databeskyttelsesrådets hjemmeside, se, idet særligt svaret af 5. juli 2018 til den hollandske MEP
Sophie in ’t Veld om samspillet mellem GDPR og 2. betalingstjenestedirektiv (PSD2), har haft stor betydning for regelafklaring i den finansielle sektor.
Regeringens svar
Svar til Regelforum
Justitsministeriet er enig med Regelforum i, at samspillet mellem databeskyttelsesforordningen og anden regulering kan give anledning til fortolkningsspørgsmål.
Justitsministeriet vil, navnlig når ministeriet er repræsenteret i EU-forhandlingerne, i videst muligt omfang arbejde for, at spørgsmål, der opstår som følge af et overlap mellem kommende regulering og databeskyttelsesforordningen, afklares som led i forhandlingerne. Det samme gør sig gældende for EU-regulering, der skal implementeres i dansk ret.
Datatilsynet har oplyst, at Det Europæiske Databeskyttelsesråd har udarbejdet et omfattende sæt af guidelines om samspillet mellem 2. betalingstjenestedirektiv (PSD2) og
databeskyttelsesforordningen.
En række interessenter fra banksektoren, herunder Den Europæiske Banktilsynsmyndighed, har været inddraget i arbejdet med disse guidelines, som Det Europæiske Databeskyttelsesråd vedtog den 17. juli 2020, og som pt. er i offentlig høring indtil den 16. september 2020.
Datatilsynet har endvidere oplyst, at tilsynet er enig i, at det vil være naturligt i forlængelse heraf at udarbejde et tilsvarende sæt af guidelines om samspillet mellem hvidvaskreglerne og
databeskyttelsesreglerne.
Tilsynet vil – i regi af Det Europæiske Databeskyttelsesråd – arbejde for, at der tages initiativ hertil, og hvis der i rådet er enighed herom, må det formodes at fremgangsmåden bliver den samme som i forbindelse med udarbejdelsen af de ovenfor nævnte guidelines, også når det gælder inddragelse af relevante interessenter.
Regeringens afrapportering af anbefalingen
Datatilsynet arbejder i regi af det Europæiske Databeskyttelsesråd (EDPB) aktivt på at påvirke, at de forpligtelser, som følger af GDPR indtænkes og tydeliggøres i forbindelse med vedtagelsen af ny finansiel regulering med særlig betydning for beskyttelsen af privatlivet. Man er således fra Datatilsynets side meget enige i, hvad der står anført som en del af begrundelsen for selve anbefalingen, nemlig at ”GDPR altid må indtænkes, når nye forordnings- og direktivforslag forhandles på det finansielle område, og når ny finansiel regulering fra EU skal implementeres i dansk ret”. Det er således vigtigt, at der ikke er diskrepans mellem de forskellige regelsæt.
Senest er dette sket ved, at EDPB har offentliggjort en række udtalelser i forhold til EU-Kommissionens handlingsplan for en samlet EU-politik til forebyggelse af hvidvaskning af penge og finansiering af terrorisme.
Tilsvarende vil man fra Datatilsynets side i forbindelse med implementering af EU-retsakter i dansk ret typisk afgive et høringssvar, hvis udkastet til lovforslaget til implementeringsloven tilsiger dette.
Ultimativt er det dog efter Datatilsynets opfattelse op til lovgiver – både i EU og herhjemme - at sikre, at der er den fornødne harmonisering mellem GDPR og påtænkte (nye) lovgivningsinitiativer.
På nuværende tidspunkt – set i lyset af at EU-Kommissionen netop er begyndt arbejdet med det 6. hvidvaskdirektiv – er det nok præmaturt at arbejde på en vejledning om samspillet reglerne i mellem. Når reglerne er endelig vedtaget, vil Datatilsynet arbejde aktivt på, at der udarbejdes en vejledning om samspillet mellem hvidvaskreglerne og GDPR.
Det er Datatilsynets forventning, at andre landes tilsynsmyndigheder også vil have en interesse i at udarbejde en sådan vejledning – og at det derfor ikke bliver nødvendigt for Datatilsynet at bringe databeskyttelsesforordningens artikel 64(2) eller artikel 70(1)(e) i spil.