Behandling av personuppgifter om lagöverträdelser enligt GDPR

Written By Martin Orehag

Personuppgifter som rör lagöverträdelser är inte känsliga personuppgifter i GDPR:s mening, men har ett starkt skydd enligt artikel 10 i GDPR. Personuppgifter om lagöverträdelser är uppgifter om att någon har begått ett brott, blivit fälld eller friad i domstol i ett brottmål, blivit föremål för straffprocessuella tvångsmedel (ex. häktning, reseförbud eller beslag), eller som misstänkts för ett konkret brott. Huvudregeln är att enbart myndigheter får behandla personuppgifter om lagöverträdelser förutsatt att det är nödvändigt för myndighetens uppdrag och det finns en rättslig grund för att behandla uppgifterna.

Uppgifter om lagöverträdelser får behandlas av andra än myndigheter exempelvis om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller om en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras. IMY har även möjlighet att besluta om generella undantag från huvudregeln och att ändra än myndigheter får behandla personuppgifter om lagöverträdelser, dels genom föreskrifter, dels i enskilda fall efter ansökan från en personuppgiftsansvarig. 

IMY har i en föreskrift från 2018 om behandling av personuppgifter som rör lagöverträdelser (DIFS 2018:2), medgett generella undantag i fyra givna situationer där undantagen omfattar vissa specifika behandlingar inom socialtjänsten, utbildningsorgans vårdande verksamhet, advokatverksamhet och visselblåsarfunktioner för personer i nyckelpositioner eller ledande ställning.

IMY tar varje år emot en stor mängd ansökningar från personuppgiftsansvariga om tillstånd att behandla personuppgifter om lagöverträdelser. Flertalet ansökningar kommer från företag inom finansiell sektor som har behov av att kontrollera sina kunder mot olika sanktionslistor bland annat för att efterleva kraven i lagen om åtgärder mot penningtvätt och finansiering av terrorism. För att underlätta både för företag och för IMY har IMY publicerat uppdaterade föreskrifter (IMYFS 2024:1) som upphäver och ersätter föreskrifterna DIFS 2018:2 och som utvidgar möjligheten för andra än myndigheter att behandla personuppgifter som rör lagöverträdelser utan att behöva ansöka om tillstånd. Föreskrifterna trädde i kraft den 1 november 2024.

 Föreskrifterna innebär att IMY utökar listan på områden där undantag från huvudregeln medges och utöver socialtjänstverksamhet, utbildningsverksamhet, advokat-/juristverksamhet får bland annat även företag under Finansinspektionens tillsyn behandla personuppgifter om lagöverträdelser för kontroller mot sanktionslistor. Enligt föreskrifterna får företag under Finansinspektionens tillsyn behandla personuppgifter om lagöverträdelser för kontroller mot sanktionslistor om;

  • behandlingen är nödvändig för att efterleva lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, andra föreskrifter på finansmarknadsområdet eller regelverk på det området utfärdade av utländska myndigheter, EU-organ eller mellanstatliga organisationer, och

  • sanktionslistorna är fastställda i demokratisk ordning och allmänt tillgängliga på utfärdande myndigheters eller mellanstatliga organisationers webbplatser, och

  • företaget har vidtagit relevanta skyddsåtgärder för att kunna skilja på äkta och falska träffar på sanktionslistorna.

Behandlingen av personuppgifter får endast avse

  • företagets styrelsemedlemmar, fullmaktshavare, ställföreträdare, firmatecknare, ägare,

  • verkliga huvudmän, arbetstagare, arbetssökande, tredjemanspantsättare, borgensmän och

  • motparter i en transaktion,

  • företagets befintliga och presumtiva kunder, leverantörer, samarbetspartners, förmedlare och uppdragstagare och styrelsemedlemmar, fullmaktshavare, ställföreträdare, firmatecknare, ägare, verkliga huvudmän, tredjemanspantsättare, borgensmän och motparter i en transaktion för dessa juridiska personer.

Från och med den 1 november 2024 behöver alltså inte företag under finansinspektionens tillsyn ansöka om tillstånd hos IMY om att få behandla personuppgifter om lagöverträdelser, utan företag under finansinspektionens tillsyn kan med stöd av föreskrifterna behandla personuppgifter om lagöverträdelser för kontroller mot sanktionslistor om förutsättningar ovan är uppfyllda och behandlingen avser de ovan uppräknade fysiska eller juridiska personer.

IMY har även publicerat en vägledning till föreskrifterna där IMY närmare förklarar regleringen i föreskrifterna för att underlätta tillämpningen av föreskrifterna för företagen som omfattas av dem. IMY ger i vägledningen bland annat information om hur man ska se på nödvändighetsrekvisitet, exempel på sanktionslistor som IMY har bedömt uppfyller kraven i föreskrifterna samt exempel på åtgärder som företagen kan vidta för att kunna skilja på äkta och falska träffar.

Martin Orehag
Previous

MORE Evander har biträtt säljaren av Järfälla Låsservice AB
Next

Nytt lagförslag om straffansvar för olovlig finansiell verksamhet