Under høringsrunden til ny hvitvaskingslov i 2017 uttrykte Datatilsynet bekymring for at personopplysningsvernet ikke ivaretas i tilstrekkelig grad i regelverk som gjelder bekjempelse av hvitvasking og terror, blant annet når det gjelder behandlingen av særlige kategorier av personopplysninger.
Med bakgrunn i dette foreslo departementet å forberede en forskrift der det skulle vurderes nærmere hvilke typer sensitive personopplysninger som kan behandles i hvilke tilfeller. Datatilsynet mener at forslaget som nå er utarbeidet ikke tar opp i seg kravene som stilles i personvernforordningen for å behandle særlige kategorier av personopplysninger.
Datatilsynets merknader til forslaget er:
- Rapporteringspliktige har hjemmel til å behandle særlige kategorier av personopplysninger, men det foreslås ingen begrensninger i når eller hvilke kategorier som kan behandles. Det foreslås kun at det må utarbeides en rutine for hvordan disse opplysningene skal håndteres. Vi mener dette ikke er i tråd med forordningens krav i artikkel 9 nr. 2 bokstav g til hvordan rettsgrunnlag for slik behandling skal utformes.
- Det foreslås at informasjon om kundeforhold og enkelttransaksjoner som er vurdert til høy risiko og har vært underlagt forsterkede kundetiltak skal lagres i ti år, i stedet for fem år som er dagens praksis. Vi mener det i så fall må foretas en vurdering i hvert enkelt tilfelle om det er nødvendig med forlenget lagringstid.
- Finans Norge har spilt inn at det er behov for unntak fra taushetsplikten ovenfor utenlandske rapporteringspliktige. Vi stiller spørsmål ved om dette er godt nok utredet med tanke på personvernkonsekvensene.
- Det er vår vurdering at forslagene i større grad skulle tatt konkret stilling til personvernkonsekvensene, og dermed hvilket vern av sine personopplysninger de registrerte har behov for. Dette sikrer at bestemmelsene forslaget står i rimelig forhold til det mål som søkes oppnådd og er forenlig med det grunnleggende innholdet i retten til vern av personopplysninger.