Bankers avsløringsforbud etter hvitvaskingsloven

(1)

Bankers avsløringsforbud etter hvitvaskingsloven

Innsamling, lagring og deling av opplysninger etter hvitvaskingsloven

Kandidatnummer: 511 Leveringsfrist: 25.05.2020 Antall ord: 15 201

(2)

2 Innhold

1. Innledning ... 4

1.1. Tema og problemstilling ... 4

1.2. Bakgrunn og aktualitet ... 4

1.2.1. Hvitvaskingsbegrepet ... 4

1.3. Avgrensninger ... 6

1.4. Rettskilder ... 6

1.4.1. Lov og forarbeider ... 6

1.4.2. Rettspraksis ... 7

1.4.3. Rundskriv ... 7

1.4.4. Internasjonale forpliktelser ... 7

1.5. Metode og den videre fremstilling ... 9

2. Hvitvaskingsloven ... 10

2.1. Bakgrunn og historikk ... 10

2.2. Lovens formål ... 10

2.3. Virkeområde ... 11

2.3.1. Rapporteringspliktige... 11

3. Undersøkelses- og rapporteringsplikt ... 12

3.1. Undersøkelsesplikten i hvitvaskingsloven § 25 ... 12

3.1.1. Hensynet bak bestemmelsen ... 12

3.1.2. Vilkår for at undersøkelsesplikten i hvitvaskingsloven § 25 skal tre inn ... 13

3.1.3. Innholdet i undersøkelsesplikten ... 15

3.2. Rapporteringsplikten i hvitvaskingsloven § 26 ... 16

3.2.1. Hensynet bak bestemmelsen ... 16

3.2.2. Vilkår for at rapporteringsplikten i hvitvaskingsloven § 26 skal tre inn ... 17

3.2.3. Opplysningsplikt etter Hvvl. § 26 første ledd annet punktum ... 17

3.2.4. Innholdet i rapporteringsplikten ... 18

3.2.5. Ansvarsfrihet i hvitvaskingsloven § 26 fjerde ledd ... 18

3.2.6. Økokrim og krav til behandling av opplysninger ... 19

4. Rapporteringspliktiges krav til behandling av personopplysninger ... 20

4.1. Adgang til å behandle personopplysninger og forholdet til personvernlovgivningen ... 20

4.2. Hva regnes som personopplysninger? ... 20

4.3. Registrering og lagring av personopplysninger ... 21

4.4. Sletting av personopplysninger ... 22

(3)

3

5. Avsløringsforbudet ... 23

5.1. Lovtekst og definisjoner ... 23

5.2. Avsløringsforbudet formål ... 24

5.3. Unntak fra avsløringsforbudet ... 26

5.3.1. Unntak for meddelelse av opplysninger til Økokrim eller Finanstilsynet ... 26

5.3.2. Unntak for utveksling av opplysninger til banker innad samme konsern ... 27

5.3.3. Unntak for utveksling av opplysninger innad samme konsern vedrørende rapportering til Økokrim ... 30

5.3.4. Unntak for utveksling av opplysninger innad samme selskap/eierskap ... 31

5.3.5. Unntak for utveksling av opplysninger om felles kunde mellom rapporteringspliktige innad samme profesjonskategori ... 32

5.3.6. Unntak for utveksling av opplysninger med klient/kunder ... 34

6. Tilsyn og kontroll av taushetsplikt og konsekvensene ved regelbrudd ... 35

6.1. Tilsynsmyndigheten ... 36

6.1.1. Tilsynsmyndighetens taushetsplikt ... 36

6.2. Pålegg om opphør av ulovlig forhold. Tvangsmulkt ... 38

6.3. Forbud mot å ha ledelsesfunksjon ... 39

6.4. Overtredelsesgebyr ... 41

6.5. Straff... 43

7. Rettspolitiske betraktninger knyttet til personvernhensyn ... 44

7.1. Virkeområde og krav til behandling av personopplysninger ... 44

7.1.1. Prinsipper ... 45

7.2. Personvern vs. Anti-hvitvasking ... 45

7.3. Avsløringsforbud vs. Innsynsrett ... 46

8. Litteraturliste ... 49

(4)

4

1. Innledning

1.1. Tema og problemstilling

Hovedtema for oppgaven er bankers avsløringsforbud og unntakene fra dette forbudet.

Oppgaven vil også ta for seg bankers innsamling, lagring og deling av opplysninger, herunder personopplysninger, samt sanksjoner ved overtredelse av bestemmelser i hvitvaskingsloven.

Avslutningsvis vil hensynet til bekjempelse av hvitvasking belyses i et personvernperspektiv.

Det fremgår av Hvitvaskingsloven¹ § 28 at

«Rapporteringspliktige, herunder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige, skal ikke gjøre kunden eller tredjepersoner kjent med undersøkelser, oversendelse av opplysninger til Økokrim eller etterforskning».

Som «rapporteringspliktig» vil jeg i denne oppgaven ta for meg finansinstitusjoner, herunder banker.² Begrepene «bank» og «rapporteringspliktig» vil bli bruk om hverandre i oppgaven.

1.2. Bakgrunn og aktualitet 1.2.1. Hvitvaskingsbegrepet

I Hvitvaskingslovens § 1 første ledd bokstav a er begrepet «Hvitvasking» definert som «handling som beskrevet i straffeloven § 332 og § 337».

I Straffelovens § 332³ heter det at

«For heleri straffes den som mottar eller skaffer seg eller andre del i utbytte av en straffbar handling.»

Videre i Straffeloven § 337 heter det at

«For hvitvasking straffes den som

a) yter bistand til å sikre utbyttet av en straffbar handling for en annen ved for eksempel å innkreve, oppbevare, skjule, transportere, sende, overføre, konvertere, avhende, pantsette eller investere det, eller

b) gjennom konvertering eller overføring av formuesgoder eller på annen måte skjuler eller tilslører hvor utbyttet av en straffbar handling han selv har begått, befinner seg, stammer fra, hvem som har rådigheten over det, dets bevegelser, eller rettigheter som er knyttet til det.»

1 Lov av 1. juni 2018 om tiltak mot hvitvasking og terrorfinansiering

2 Hvitvaskingsloven § 4 første ledd nr. 1

3 Lov av 20. mai 2005 nr. 28 om straff

(5)

5

Straffelovens bestemmelser omfatter alle former for «utbytte» som stammer fra ulovlige handlinger. For eksempel inntekter fra et narkotikasalg eller hallikvirksomhet, eller penger som stammer fra innbrudd eller ran.⁴

I Hvitvaskingslovens forarbeider⁵ fremgår det at

«Med «hvitvasking av penger» menes vanligvis virksomhet som har til formål å sikre utbyttet fra kriminelle handlinger slik at utbyttet kan tas i bruk av gjerningspersonen eller andre. Slik virksomhet kan bestå i å bruke, konvertere, overdra, tilegne eller besitte formuesgoder eller å skjule eller tilsløre formuesgodenes reelle art, opprinnelse, plassering, råderett, bevegelser, eierforhold, samt forsøk på eller medvirkning hertil, når den som gjør det vet eller burde vite at formuesgodene stammer fra straffbare handlinger eller fra deltakelse i straffbare handlinger.

Uttrykket hvitvasking inkluderer både det å skaffe seg selv eller andre del i utbyttet av en straffbar handling (mottaksalternativet), samt bistand for å sikre slikt utbytte for en annen (bistandsalternativet).»

Alt forbruk av penger som stammer fra ulovlige handlinger, eller såkalte svarte penger, omfattes av hvitvaskingsbegrepet. Dette gjelder altså uavhengig av hva pengene brukes til.

Foretak som egner seg godt som skalkeskjul for hvitvasking av penger er kontantbaserte virksomheter hvor motytelse enten er en tjeneste som ikke kan spores eller har variabel verdi, slik som velværesalonger og bruktbilforhandlere, eller gjenbruksbutikker. For å få det

ulovlige utbyttet til å fremstå som lovlig kan virksomhetene oppføre fiktive inntekter.

Selve uttrykket «Hvitvasking» kommer fra det engelske uttrykket «To launder money».

Uttrykket oppstod i Amerika på 1930-tallet da mafiaen investerte i myntvaskerier for så å forfalske regnskapet slik at svarte penger fremsto som legale inntekter.

Det finnes ikke noen ofre når det kommer til hvitvasking. Det betyr at dersom utbytte som stammer fra straffbare handlinger blir hvitvasket, vil ikke handlingen ha noen fornærmede som står klar til å anmelde forholdet. Nettopp for å hindre at kriminelle beriker seg på straffbare handlinger er det viktig at det finnes lover og regler som er myntet på å bli bukt med hvitvasking av penger. Gjennom lovverket er bl.a. banker og finansinstitusjoner i Norge forpliktet til å undersøke mistenkelige transaksjoner og rapportere funn til Økokrim.

4 Ot.prp. nr. 72 (2002-2003) s. 17

5 Ot.prp. nr. 72 (2002-2003) s. 17

(6)

6 1.3. Avgrensninger

Min oppgave vil gjøre rede for avsløringsforbudet i Hvitvaskingsloven § 28 og unntakene fra dette forbudet. Idet undersøkelses- og rapporteringsplikten har betydning for innholdet i avsløringsforbudet vil jeg også gjøre rede for disse. Min oppgave vil fokusere på banker og jeg avgrenser således fra de øvrige yrkesgruppene/institusjonene angitt i Hvitvaskingsloven § 4.

1.4. Rettskilder

1.4.1. Lov og forarbeider

Hvitvaskingsloven av 2018 og hvitvaskingsforskriften⁶ trådte i kraft 15. oktober 2018 og erstattet den gamle hvitvaskingsloven fra 2009⁷. Gjennom den nye loven tilpasset Norge regelverket i samsvar med anbefalingene fra Financial Action Task Force (FATF)⁸ og gjennomførte store deler av EUs fjerde hvitvaskingsdirektiv.⁹ Den nye hvitvaskingsloven gjelder både hvitvasking og terrorfinansiering og viderefører i stor grad gjeldende rett, men medførte også en innstramming av reglene på enkelte områder.

Innstrammingene i loven fikk konsekvenser for bankers praksis og påla banker bl.a.

rapporteringsplikt dersom de ble oppmerksomme på mistenkelige transaksjoner.

Lovendringen gjorde det viktig for bankene å kjenne sine kunder. Det vil si at man ikke bare må kjenne kundenes ID, men også hvem de er og hvem de sender penger til. Loven

inneholder også nye hjemler for å ilegge rapporteringspliktige¹⁰ administrative sanksjoner ved brudd på loven.

For at kriminelle ikke skal «shoppe» banker ut ifra hvem som har god og mindre god oversikt over sine kunder og deres transaksjoner og kanskje har en mindre god praktisering av

regelverket er det nødvendig med lik praksis. Hvitvaskingsloven er derfor svært uttømmende og sørger derfor for at regelverket blir praktisert likt av de som er underlagt lovens

bestemmelser.

Idet hvitvaskingsloven av 2018 er en videreføring av hvitvaskingsloven av 2009, som igjen er en videreføring av hvitvaskingsloven av 2003¹¹ vil eldre forarbeider også være relevante rettskilder. Forarbeidene til hvitvaskingsloven av 2018 er godt utarbeidet og forankret i tidligere praksis.

6 FOR-2018-09-14-1324 Forskrift om tiltak mot hvitvasking og terrorfinansiering

7 Lov av 6. mars 2009 nr. 11 om tiltak mot hvitvasking og terrorfinansiering mv.

8 FATF (2019)

9 EP/Rdir. 2015/849/EU

10 Oppgavens punkt 2.3.1

11 Lov av 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv.

(7)

7 1.4.2. Rettspraksis

Det foreligger lite rettspraksis når det gjelder rene brudd på hvitvaskingslovens bestemmelser.

Slik jeg kan se har heller ikke Høyesterett tatt stilling til noen av Hvitvaskingslovens bestemmelser. Bakgrunnen for manglende rettspraksis er at brudd på hvitvaskingslovens bestemmelser sjelden vil bli behandlet alene i en rettssak da det også ofte vil være tale om brudd på straffelovens bestemmelser om hvitvasking¹². For banker er Finanstilsynet

tilsynsmyndighet,¹³ noe som betyr at ved bankers brudd på hvitvaskingslovens bestemmelser vil det kunne bli ilagt sanksjoner avgjort av Finanstilsynet.

1.4.3. Rundskriv

Våren 2019 kom en veiledning fra Finanstilsynet om hvordan den nye Hvitvaskingslovens bestemmelser skal praktiseres.¹⁴ Rundskrivet gjelder for rapporteringspliktige (se oppgavens punkt 2.3.1) under Finanstilsynets tilsyn. For andre rapporteringspliktige er det siden den gang gitt flere rundskriv fra Finanstilsynet.

1.4.4. Internasjonale forpliktelser

Kriminalitet og hvitvasking av penger går på tvers av verdens landegrenser og representerer således et internasjonalt problem. Den norske hvitvaskingsloven er derfor et produkt av langvarig internasjonalt samarbeid og internasjonale forpliktelser for å stanse hvitvasking og terrorfinansiering.

1.4.4.1. Direktiver

I henhold til EØS-avtalen er Norge forpliktet til å innføre målsetningene i EUs direktiver.¹⁵ Det betyr at direktivene i seg selv ikke blir umiddelbart bindende, men at innholdet i direktivene må inkorporeres i nasjonal lovgivning innen en gitt frist.¹⁶

Gjennom årene har EU vedtatt en rekke hvitvaskingsdirektiv. EUs første hvitvaskingsdirektiv av 10. juni 1991¹⁷ ga grunnlaget for reglene i dagens hvitvaskingslov. Norge implementerte bestemmelsene i direktivet gjennom Finansieringsvirksomhetsloven¹⁸ § 2-17 som påla

bankene undersøkelses- og rapporteringsplikt for å hindre at kunder benyttet bankenes system til å hvitvaske penger.

12 Straffelovens § 317

13 Hvitvaskingsloven § 43 annet ledd bokstav a

14 RFT-2019-8: Rundskriv fra Finanstilsynet – Veileder til hvitvaskingsloven

15 «Agreement on the European Economic Area (EEA)»

16 «Treaty establishing the European Economic Community (TEEC)» artikkel 139

17 EUs rådsdirektiv 91/308/EØF

18 Lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner

(8)

8

EUs andre hvitvaskingsdirektiv av 28. desember 2001¹⁹ videreførte og delvis endret det første hvitvaskingsdirektivet. Direktivet utvidet kretsen av undersøkelses- og rapporteringspliktige²⁰ etter at man hadde sett en uønsket effekt av det første direktivet som hadde ført til økt trykk på andre hvitvaskingsmetoder. Direktivet utvidet også definisjonen slik at direktivet ikke kun rammet hvitvasking av utbytte fra narkotikakriminalitet, men også omfattet «enhver alvorlig lovovertredelse».²¹ Endringene medførte at Norge måtte endre sitt regelverk og

hvitvaskingsloven av 20. juni 2003 trådte i kraft 1. januar 2004.

EUs tredje hvitvaskingsdirektiv av 26. oktober 2005²² erstattet de to tidligere direktivene og førte igjen til lovendring i Norge ved innføringen av hvitvaskingsloven av 2009. Dette var det første direktivet som rettet seg mot terrorfinansiering.

EUs fjerde hvitvaskingsdirektiv av 20. mai 2015²³ er direktivet som er bakgrunnen for dagens hvitvaskingslov av 2018. Direktivet har som formål å beskytte EUs finansielle system mot misbruk til hvitvasking og terrorfinansiering og erstatter EUs tredje hvitvaskingsdirektiv. EUs fjerde hvitvaskingsdirektiv viderefører i stor grad EUs tredje hvitvaskingsdirektiv, men går lengre på enkelte områder. Direktivets virkeområde utvides, det fastsetter at det skal foretas en risikobasert tilnærming på hvitvaskingsområdet og reglene om kundekontroll utvides.

Videre inneholder direktivet skjerpede krav om informasjon om rettighetshavere og styrker samarbeidet om informasjonsutveksling mellom EUs medlemsland, samt at det gir klarere henvisninger til EUs personvernregelverk og åpner for at medlemslandene skal kunne iverksette administrative sanksjoner for brudd på direktivet.

1.4.4.2. Financial Action Task Force on Money Laundering (FATF) Financial Action Task Force on Money Laundering (FATF) er en organisasjon som har som formål å sette internasjonale standarder for å forhindre hvitvasking og skadene slik aktivitet gjør på verdenssamfunnet.²⁴ FATF ble opprettet på en G7 samling i Paris i 1989. Norge sluttet seg til FATF i 1991 og organisasjonen har i dag totalt 39 medlemmer.

1.4.4.3. Konvensjoner

Norges samarbeid med EU på hvitvaskingsområdet begynte i 1990 da Norge ratifiserte Europarådets konvensjon om hvitvasking, oppsporing, beslag og inndragning av utbytte av straffbare handlinger.²⁵ Senere har FN kommet med FN-konvensjon av 9. desember 1999 om

19 EUs rådsdirektiv 2001/97/EF

21 NOU 2002:14 punkt 8.3.

22 EP/Rdir. 2005/60/EF

23 EP/Rdir. 2015/849/EU

24 FATF (2019)

25 ETS nr. 141

(9)

9

bekjempelse av finansiering av terrorisme²⁶ og FN-konvensjon av 31. oktober 2003 mot korrupsjon.²⁷ Sistnevnte ble gjennomført i norsk rett ved endringslov 30. juni 2006 nr. 49²⁸ og endringen innebar en revisjon av den gamle straffelovens § 317²⁹ som medførte at begrepet

«hvitvasking» ble innført i norsk lov.

1.5. Metode og den videre fremstilling

Min oppgave har et rettsdogmatisk perspektiv idet oppgavens tema belyses gjennom å systematisere og klarlegge gjeldende rett. Avslutningsvis vil det likevel foretas noen

rettspolitiske betraktninger når det kommer til motstridende utfordringer knyttet til hensynet til personvern på hvitvaskingsfeltet.

I den videre fremstilling vil jeg i oppgavens kapittel 2 ta for meg bakgrunnen for

hvitvaskingsloven og lovens virkeområde. For å belyse utviklingen av regelverket og fremme forståelsen av dagens regelverk, er det bakgrunnen for hvitvaskingsloven er sentral.

I oppgavens kapittel 3 vil jeg kort gjøre rede for bankenes undersøkelses- og

rapporteringsplikt i hvitvaskingslovens §§ 26 og 27. For å få et bilde over hvilke opplysninger som er gjenstand for avsløringsforbudet i hvitvaskingsloven § 28 er det viktig å se på hvilke undersøkelser banker er pliktig til å gjennomføre, og i hvilke tilfeller transaksjoner må rapporteres.

Da bankene behandler store mengder personopplysninger om sine kunder vil det være naturlig å ta for seg de rapporteringspliktiges krav til behandling av personopplysninger i oppgavens kapittel 4. Her vil det kort gjøres rede for adgangen til å behandle personopplysninger, hva som er å regne som opplysninger samt registrering, lagring og sletting av personopplysninger.

I oppgavens kapittel 5 vil jeg gjøre rede for selve avsløringsforbudet i hvitvaskingsloven § 28.

Jeg vil foreta en redegjørelse av selve lovteksten og formålet bak hovedregelen, før jeg vil fokusere på unntakene fra avsløringsforbudet angitt videre i hvvl. § 28 annet til syvende ledd.

Videre i oppgavens kapittel 6 vil jeg greie ut om Finanstilsynets kontroll- og tilsynsfunksjon, samt deres sanksjonsmuligheter ved brudd på hvitvaskingslovens bestemmelser, herunder brudd på avsløringsforbudet.

Avslutningsvis i oppgavens kapittel 7 vil jeg gjøre meg noen betraktninger når det kommer til balansegangen mellom personvernregelverket på den ene siden og hvitvaskingsregelverket på den andre. Jeg vil rette fokus mot de motstridende hensynene bak avsløringsforbudet og de registrertes innsynsrett.

26 Terrorfinansieringskonvensjonen

27 Korrupsjonskonvensjonen

28 NOU 2016:27 s. 11

29 Ot. Prp. Nr. 53 (2005-2006) s. 37

(10)

10

2. Hvitvaskingsloven

2.1. Bakgrunn og historikk

Kriminelle handlinger kan gi et stort økonomisk utbytte og medføre at kriminelle får et økende behov for å kunne sette ulovlig utbytte inn i et legitimt omløp for å kunne bruke utbyttet lovlig. Hvitvasking av utbytte som stammer fra straffbare handlinger har en stor innvirkning på veksten av økonomisk kriminalitet og dersom hvitvasking lett lar seg gjennomføre og vanskelig oppdages vil dette føre til at omfanget av kriminaliteten øker i samfunnet. Nettopp derfor er det viktig at samfunnet har fokus på bekjempelse og forebyggelse av hvitvasking.

Tiltak mot hvitvasking av utbytte som stammer fra straffbare handlinger vil også kunne føre til at man kan spore opp utbyttets opprinnelse og dermed gjøre det mulig å avdekke hvem som står bak hvitvaskingen og dermed også hvem som står bak de straffbare handlingene.

I forhold til terrorfinansiering vil ovennevnte hensyn også være gjeldende her. Verden har siden millenniumskiftet opplevd stadig økende forekomst av terrorhandlinger. Stadig flere terrorceller og terrorgrupper har vokst fram og man har sett at infrastrukturen for finansiering av terrorhandlinger strekker seg over et stort geografisk rekkevidde. På bakgrunn av dette har verdenssamfunnet fått økt fokus rettet mot å kunne avdekke og bryte ned slike strukturer, og dermed hindre framtidige terrorhandlinger. Behovet for samarbeid på tvers av landegrensene, likt lovverk og lik praksis er derfor viktig.

2.2. Lovens formål

Hvitvaskingsloven § 1 første ledd fastslår at formålet med loven er

«(…) å forebygge og avdekke hvitvasking og terrorfinansiering».

I motsetning til formålsbestemmelsen i den tidligere hvitvaskingsloven av 2009 ble det ved utarbeidelsen av den nye hvitvaskingsloven bestemt at ordet «hvitvasking» igjen skal inngå i formålsbestemmelsen, i stedet for «transaksjoner med tilknytning til utbytte av straffbare handlinger».³⁰

Bakgrunnen for denne beslutningen var at det fjerde hvitvaskingsdirektivets hovedfokus er å forebygge at det finansielle system benyttes til hvitvasking og terrorfinansiering.³¹ Direktivets målsetning er ikke utelukkende å beskytte finansiell sektor og det finansielle system i snever forstand, men å beskytte det økonomiske system og samfunnet som sådan mot hvitvasking og terrorfinansiering.³²

30 Lov av 6. mars 2009 nr. 11 om tiltak mot hvitvasking og terrorfinansiering mv. § 1

31 EP/Rdir. 2015/849/EU artikkel 1 nr. 1

32 NOU 2016:27 s. 22

(11)

11

På bakgrunn av direktivets mål om å beskytte det finansielle system, herunder banker, og for å tydeliggjøre bankers særskilte rolle når det gjelder forebygging og avdekking av hvitvasking og terrorfinansiering, ble det lagt inn en presisering i formålsbestemmelsens annet ledd. I hvitvaskingslovens § 1 annet ledd heter det at

«Tiltakene i loven skal beskytte det finansielle og økonomiske systemet samt samfunnet som helhet ved å forebygge og avdekke at rapporteringspliktige brukes eller forsøkes brukt som ledd i hvitvasking eller terrorfinansiering.»

Bestemmelsen er ikke ment å begrense av formålet i bestemmelsenes første ledd, men som en presisering av de rapporteringspliktiges, herunder bankenes, rolle ved forebygging og

avdekking av hvitvasking og terrorfinansiering.

2.3. Virkeområde

I hvitvaskingslovens § 3 første ledd heter det at

«Loven gjelder for rapporteringspliktige som er etablert i Norge, herunder filialer av utenlandske foretak».

Loven gjelder med andre ord i utgangspunktet for rapporteringspliktige³³ etablert i Norge, men gjelder også for Svalbard og Jan Mayen.³⁴ Det betyr at loven kan anvendes for alle rapporteringspliktige som anses å ha en etablering i Norge, også filialer av utenlandske foretak. Lovens anvendelsesområde er viktig med tanke for hvilket tilsyn som kan føres med rapporteringspliktige og hvilke sanksjoner som kan ilegges.

2.3.1. Rapporteringspliktige

I hvitvaskingslovens § 4 første ledd fastslås det at loven gjelder for en rekke virksomheter, samt juridiske og fysiske personer. Felles for disse er at de alle er spesielt utsatt for

hvitvasking og at de derfor må pålegges plikter etter lovverket for å kunne bekjempe og forebygge hvitvasking og terrorfinansiering.

I bestemmelsens første ledd bokstav a nevnes «bank». Banker har en særskilt rolle og er en velegnet virksomhet til hvitvasking ettersom de blant annet mottar kontantinnskudd fra sine kunder. Banker må derfor ha rapporteringsplikt slik at de kan hindre at kriminelle bruker bankenes finansielle system til hvitvasking av ulovlig utbytte.

34 Hvitvaskingsloven § 3 annet ledd

(12)

12

Banker har videre gjennom «kjenn din kunde»- prinsippet viktig informasjon om kunden.³⁵

«Kjenn din kunde»-prinsippet innebærer at banken, ved etablering av et kundeforhold, krever at kunden fremlegger gyldig legitimasjon.³⁶ Banker har derfor i alle kundeforhold personlige opplysninger om kunden og derfor alltid kontroll på hvem kunden er.

3. Undersøkelses- og rapporteringsplikt

3.1. Undersøkelsesplikten i hvitvaskingsloven § 25 3.1.1. Hensynet bak bestemmelsen

Bankers undersøkelsesplikt følger av hvitvaskingslovens § 25. Det heter her at

«Dersom rapporteringspliktige avdekker forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, skal det foretas nærmere undersøkelser.»

Ved å innta denne undersøkelsesplikten i hvitvaskingsloven går norsk rett lenger enn direktivenes minstekrav. Undersøkelsesplikten er nemlig i tråd med FATFs anbefalinger³⁷, men ikke et krav som kan utledes fra det fjerde hvitvaskingsdirektivet.³⁸

Bankers plikt til å foreta ytterligere undersøkelser har som hensikt å forebygge og avdekke hvitvasking, men må også avveies hensynet til personvernet og taushetsplikt. Banker har en mengde konfidensielle opplysninger registrert om sine kunder og dersom disse

taushetsbelagte opplysningene blir kjent for tredjemann kan dette få alvorlige konsekvenser for banken. Banker har naturlig nok stort fokus på taushetsplikt da den fremmer kundens interesser og tillit er avgjørende for å bygge et godt kundeforhold. Kunden oppgir og deler opplysninger med banken nettopp fordi de har tillit til at disse opplysningene ikke deles videre og kun brukes til det formålet de er samlet inn for.

Denne tilliten kan tilsidesettes i de tilfeller hvor det avdekkes forhold som «(…) kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering». Banken må i disse tilfellene gjøre et inngrep i kundens personvern ved å innhente ytterligere opplysninger uten at kunden er klar over at undersøkelser er iverksatt. Kundens interesser settes her til side første og fremst for samfunnets interesser, men også for bankers interesser slik at finanssystemene ikke

utnyttes til hvitvaskingsformål.

35 Hvitvasking.no

37 FATF (2019)

38 EP/Rdir. 2015/849/EU

(13)

13

3.1.2. Vilkår for at undersøkelsesplikten i hvitvaskingsloven § 25 skal tre inn

Som nevnt ovenfor trer undersøkelsesplikten inn dersom «(…) rapporteringspliktige avdekker forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering (…).»³⁹

Ordlyden tilsier at det ikke er noe krav om at det avdekkes forhold som har tilknytning til hvitvasking eller terrorfinansiering. Det er nok at rapporteringspliktig blir gjort oppmerksom på forhold som kan indikere at midlene har tilknytning til hvitvasking eller terrorfinansiering.

En indikasjon kan komme som resultat av en rekke små forhold som hver for seg ikke fremstår som mistenkelige, men som samlet sett gir en indikasjon på at midlene kan ha tilknytning til hvitvasking eller terrorfinansiering.⁴⁰

Undersøkelsesplikten som fremgår av hvitvaskingsloven § 25 første ledd er skjønnspreget.

Det betyr av rapporteringspliktig selv må vurdere om forholdet utløser plikten til å

gjennomføre nærmere undersøkelser. Det fremgår av forarbeidene til hvitvaskingslovens at terskelen for når undersøkelsesplikten er lav.⁴¹ Dette understrekes også i veilederen til hvitvaskingsloven⁴² som fastslår at enhver indikasjon i utgangspunktet kan være tilstrekkelig for å utløse undersøkelsesplikten. Som et eksempel vises det til at avvik fra normal

kundeadferd vil i praksis ofte utløse undersøkelsesplikten i hvitvaskingsloven § 25 første ledd.⁴³

I bestemmelsens annet ledd er det presisert nærmere i hvilke tilfeller undersøkelsesplikten skal utløses. Det heter her at

«Nærmere undersøkelser skal alltid gjennomføres dersom det avdekkes forhold som avviker fra den rapporteringspliktiges kjennskap til kunden, kundeforholdets formål og tilsiktede art, eller en transaksjon

a) synes å mangle et legitimt formål b) er usedvanlig stor eller kompleks

c) er uvanlig ut fra kundens kjente forretningsmessige eller personlige mønster av transaksjoner

d) foretas til eller fra person i et land eller område som ikke har tilfredsstillende tiltak mot hvitvasking og terrorfinansiering

e) på annen måte har uvanlig karakter»

39 Hvitvaskingsloven § 25 første ledd

40 RFT-2019-8 - Rundskriv fra Finanstilsynet – Veileder til hvitvaskingsloven punkt 6.1.

41 NOU 2016: 27 s. 226

42 RFT-2019-8 punkt 6.1.

43 NOU 2016: 27 s. 226

(14)

14

Bestemmelsen legger opp til at undersøkelser alltid skal gjennomføres dersom det avdekkes forhold som avviker fra den rapporteringspliktiges «(…)kjennskap til kunden, kundeforholdets formål og tilsiktede art(…)» eller dersom det er tale om en «transaksjon» som nevnt i

bestemmelsens bokstav a til e.

Hva som ligger i bankens kjennskap til kunden, kundeforholdets formål og tilsiktede art kan deles inn i tre:

Hvem? - Dersom det avdekkes forhold som avviker fra bankens kjennskap til kunden skal undersøkelser gjennomføres. En «kunde» vil etter en naturlig forståelse av ordet være personer som bruker, eller har mulighet for å bruke bankens tjenester. Bankene har gjennom

«kjenn din kunde»- prinsippet mengder opplysninger om sine kunder, og må ha tilstrekkelig grunnlag for å bedømme hvordan kunden kan ventes å handle innen rammen av

kundeforholdet.

Hvorfor? - Dersom det avdekkes forhold som avviker fra kundeforholdets formål skal

undersøkelser gjennomføres. «Kundeforholdets formål» angir selve bakgrunnen for at kunden ønsker å opprette det aktuelle kundeforholdet i banken. Formålet for kundeforholdet kan for eksempel være å opprette konto til utbetaling av lønn, investering i aksjer eller forsikre seg selv eller sine gjenstander.⁴⁴

Et «kundeforhold» er etablert når en person kan bruke tjenester som for eksempel opprette konto eller få utstedt betalingskort.⁴⁵ Ifølge Finanstilsynet omfatter begrepet «(…) samtlige som gjennomfører transaksjoner ved hjelp av den rapporteringspliktige, uavhengig om den rapporteringspliktige har etablert et kundeforhold med vedkommende eller ikke.» Dette inkluderer også kunder som har blitt avvist før et kundeforhold er etablert.⁴⁶

Hvordan? - Dersom det avdekkes forhold som avviker fra kundeforholdets tilsiktede art skal undersøkelser gjennomføres. «Kundeforholdets tilsiktede art» omhandler hvordan kunden skal bruke tjenestene og produktene. Relevante opplysninger er midlenes og formuens opprinnelse, opplysninger om juridiske personers forretningsmodell og hvordan kunden tenker å anvende midlene som inngår i kundeforholdet.⁴⁷

44 RFT-2019-8 punkt 4.2.2

45 FOR-2018-09-14-1324. Forskrift om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsforskriften) § 4-1

46 RFT-2019-8 punkt 6.3.3

47 RFT-2019-8 punkt 4.2.3

(15)

15

Formålet med en videre opplisting av ulike transaksjoner i hvitvaskingloven § 25 annet ledd er å utpeke transaksjoner som kan kreve ekstra oppmerksomhet. Det betyr at selv om en transaksjon som nevnt i hvitvaskingloven § 25 annet ledd bokstav a til e, har funnet sted, betyr ikke det automatisk at det er tale om hvitvasking eller terrorfinansiering.

Transaksjonsbegrepet blir definert i hvitvaskingslovens § 2 første ledd bokstav d som

«(…) enhver overføring, formidling, ombytting eller plassering av formuesgoder».

Det legges til grunn i forarbeidene at transaksjonsbegrepet skal tolkes vidt slik at alle typer transaksjoner skal omfattes av hvitvaskingsloven. For eksempel anses åpning av konto og søknad om lån som en transaksjon ifølge forarbeidene.⁴⁸ Dette til tross for at en naturlig forståelse av ordlyden ikke vil omtale åpning av konto som en transaksjon.

Undersøkelsesplikten gjelder alle mistenkelige forhold banken kommer i befatning med. Det gjelder fremtidige, pågående og gjennomførte transaksjoner. Videre er ikke

undersøkelsesplikten begrenset til forhold ved kunden alene. Det betyr at dersom en bank får mistanke om at en tredjeperson gjennomfører, planlegger å gjennomføre eller har

gjennomført en transaksjon som indikerer mistenkelige forhold, vil undersøkelsesplikten tre inn.⁴⁹ Med «tredjeperson» menes her en juridisk eller fysisk person som ikke er part i kundeforholdet.

3.1.3. Innholdet i undersøkelsesplikten

Etter hvitvaskingsloven § 25 annet ledd skal undersøkelser alltid gjennomføres dersom det avdekkes forhold som

«(…) avviker fra den rapporteringspliktiges kjennskap til kunden og kundeforholdets formål og tilsiktede art (…)»

Hverken lovteksten, forarbeidene eller forskriften angir konkret hva undersøkelsen skal gå ut på. Ordlyden tilsier at dersom en bank skal foreta nærmere undersøkelser er det naturlig å ta utgangspunkt i de opplysningene banken allerede har om sin kunde og kundeforholdet.

Gjennom «kjenn din kunde»-prinsippet har ikke bankene bare personopplysninger om kunden, men kjenner også til kundens normale transaksjonsmønster. Dersom det foretas transaksjoner som avviker fra hva som er normalt ut ifra bankens opplysninger om kunden, kundens

privatøkonomi og kundeforholdet vil dette kunne være mistenkelig.

48 Ot.prp. nr. 72 (2002-2003) s. 23

49 RFT-2019-8 punkt 6.1.

(16)

16

Det fremgår videre av forarbeidene at ved fastsettelsen av rekkevidden undersøkelsesplikten må foretas en vurdering hvor bl.a. «(…) hensynet til en effektiv bekjempelse av økonomisk kriminalitet (…)» må avveies mot «(…) de belastninger tiltakene pålegger de

rapporteringspliktige, samt personvernhensyn for de personer og virksomheter (…)» som er gjenstand for undersøkelser.⁵⁰

Det betyr at det trolig må legges en viss forholdsmessighet til grunn for hvor omfattende undersøkelser som skal gjøres. Målet er å oppnå en effektiv bekjempelse av økonomisk kriminalitet, men spørsmålet er da i hvor stor grad man er villig til å kompromittere personvernet til de menneskene det gjelder.

En bank kan potensielt sitte på en omfattende mengde personopplysninger. Ved opprettelsen av et kundeforhold vil bankene motta opplysninger knyttet til identitet, alder, bosted og kontaktinformasjon.⁵¹ Banken vil videre ha opplysninger om transaksjonshistorikk og dermed enkeltpersoners handlingsmønster. Ved lånesøknader kan bankene få tilgang til opplysninger om enkeltpersoners arbeidsforhold, inntekt, egenkapital og betalingsmuligheter. Dersom man har forsikringer gjennom banken, har banken i ytterste konsekvens sensitive opplysninger om enkeltpersoners helsetilstand og helsehistorikk. Sistnevnte opplysninger vil sjelden være relevant i et hvitvaskingsperspektiv og yter sterkt vern på grunn av opplysningenes art.

Videre vil banker kunne bruke enkeltpersoners personopplysninger til å sjekke opplysninger som er allment tilgjengelig, slik som skattelistene eller Brønnøysundregistrene.

Hvor omstendelige undersøkelser som skal gjøres i hvert enkelt tilfelle må avgjøres ut ifra en konkret skjønnsmessig vurdering, og etter gjeldende rett kreves det ikke særlig omfattende undersøkelser av de rapporteringspliktige.⁵²

3.2. Rapporteringsplikten i hvitvaskingsloven § 26 3.2.1. Hensynet bak bestemmelsen

Bankers rapporteringsplikt følger av hvitvaskingslovens § 26 første ledd første punktum. Det heter her at

«Dersom det etter nærmere undersøkelser er forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering, skal rapporteringspliktige oversende opplysninger til Økokrim om forholdene (…)»

50 Ot.prp. nr. 72 (2002-2003) s. 54

51 Hvitvaskingsloven § 12

52 Axelsen og Hopsnes (2005)

(17)

17

Bestemmelsen forutsetter at undersøkelsesplikten etter hvitvaskingsloven § 25 er trådt inn og nødvendige undersøkelser er foretatt. Videre forutsettes det at undersøkelsene gir grunnlag for mistanke om hvitvasking eller terrorfinansiering.

Formålet med rapporteringsplikten i hvitvaskingsloven er å gjøre det lettere å avdekke profittmotivert kriminalitet og å hindre at finansforetak og andre rapporteringspliktige misbrukes i tilknytning til hvitvasking eller terrorfinansiering.⁵³ Formålet bak bestemmelsen er med andre ord i tråd med formålet bak hvitevaskingsregelverket som helhet.⁵⁴

3.2.2. Vilkår for at rapporteringsplikten i hvitvaskingsloven § 26 skal tre inn Som nevnt ovenfor trer rapporteringsplikten inn «(…) dersom det etter nærmere

undersøkelser er forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering (…)»⁵⁵

Bestemmelsen i paragrafens første ledd første punktum angir den generelle

rapporteringsplikten. Etter Finanstilsynets veileder er mistankegrunnlaget lavt, og det kreves ikke sannsynlighetsovervekt for at det foreligger noe mistenkelig før rapporteringsplikten inntreffer.⁵⁶ Det vil si at dersom undersøkelser av et eller flere mistenkelige forhold ikke blir avkreftet, trer rapporteringsplikten inn. Det må dog foreligge objektive holdepunkter som tilsier at det ikke kan utelukkes at midler har tilknytning til utbytte av straffbare handlinger.⁵⁷ Dersom det foreligger mistanke om terrorfinansiering betyr dette at det foreligger mistanke om finansiering av både terrorhandlinger, terrororganisasjoner og/eller individuelle terrorister.

Det er ikke et krav at det må konstateres sammenheng med en konkret terrorhandling.⁵⁸

3.2.3. Opplysningsplikt etter Hvvl. § 26 første ledd annet punktum

Rapporteringspliktig kan også pålegges å overlevere opplysninger til Økokrim på Økokrims forespørsel. Det heter videre i hvitvaskingsloven § 26 første ledd annet punktum at

«Etter forespørsel fra Økokrim skal rapporteringspliktige oversende andre nødvendige opplysninger, uavhengig av om den rapporteringspliktige av eget tiltak har oversendt opplysninger etter første punktum»

Den rapporteringspliktige har altså plikt til å gi Økokrim andre nødvendige opplysninger på forespørsel, uavhengig av om vedkommende har rapportert det aktuelle forholdet på forhånd.

53 RFT-2019-8 punkt 6.2.

54 Hvitvaskingsloven § 1

55 Hvvl. § 26 første ledd første punktum

56 RFT-2019-8 punkt 6.2.

57 NOU 2016:27 s. 226

58 NOU 2016:27 s. 226

(18)

18

Etter bestemmelsen må opplysningene Økokrim ber om være «nødvendige». En naturlig forståelse av ordlyden innebærer at opplysningene må ha tilknytning til konkret informasjon om hvitvasking eller terrorfinansiering som Økokrim allerede sitter på. Det er imidlertid slik at den som vurderer nødvendigheten er Økokrim, noe som innebærer at den

rapporteringspliktige ikke skal foreta noe selvstendig vurdering av opplysningenes nødvendighet.

3.2.4. Innholdet i rapporteringsplikten

Finanstilsynets veileder angir hva rapporterering til Økokrim skal inneholde. Her heter det at rapportering skal inneholde «(…) utfyllende opplysninger om grunnlaget for mistanken, om undersøkelsene og transaksjonene i tillegg til personalia og kundeforhold for den eller de som det rapporteres på. Kopi av dokumentasjon for den mistenkelige transaksjonen vedlegges».⁵⁹

3.2.5. Ansvarsfrihet i hvitvaskingsloven § 26 fjerde ledd

Dersom den rapporteringspliktige skulle oversende opplysninger som ikke oppfyller vilkårene etter hvitvaskingsloven § 26 første ledd første punktum, vil den rapporteringspliktige likevel ikke kunne straffes dersom de har handlet i god tro. Dette fremgår av hvitvaskingsloven. § 26 fjerde ledd hvor det heter at

«Oversendelse av opplysninger til Økokrim i god tro medfører ikke brudd på

taushetsplikt og gir ikke grunnlag for erstatningsansvar eller straffansvar, med mindre det foreligger grov uaktsomhet».

Vilkåret er at de har handlet i «god tro». En naturlig forståelse ordlyden i bestemmelsen taler for at uaktsomhet skal gi ansvarsfrihet. Dette underbygges videre ved presisjonen

avslutningsvis i bestemmelsen hvor det fastslås at grov uaktsomhet ikke omfattes av

ansvarsfriheten. Bestemmelsen tolkes dit hen at ansvarsfriheten gjelder så fremt det ikke har skjedd noe aktivt klanderverdig fra den rapporteringspliktige.

FATF har i sin anbefaling uttalt at ansvarsfriheten skal gjelde dersom den

rapporteringspliktige «(…)did not know precisely what the underlying criminal activity was, and regardless of whether illegal activity actually occurred».⁶⁰ Dette taler altså for at ansvarsfriheten er intakt selv om ikke har skjedd noe kriminelt, eller dersom den

rapporteringspliktige ikke visste hvilken type kriminalitet det var tale om. Dette harmoniserer godt med den lave terskelen angitt i hvitvaskingsloven i § 26 første ledd første punktum, hvor det fastslås at det kun trenger å foreligge «grunnlag til mistanke» for å utløse

rapporteringsplikten.

59 RFT-2019-8 punkt 6.2.

60 FATF (2019) nr. 21 bokstav a

(19)

19

Formålet bak bestemmelsen om ansvarsfrihet angitt i hvitvaskingsloven. § 26 fjerde ledd er at rapporteringspliktige ikke skal avstå fra å rapportere i frykt for å bli kjent erstatnings- eller strafferettslig ansvarlig.⁶¹ Ved å innta ansvarsfrihetsregelen i hvitvaskingsloven § 26 fjerde ledd signaliseres det at det er mer ønskelig at det rapporters én gang for mye enn én gang for lite.

3.2.6. Økokrim og krav til behandling av opplysninger

Hvordan Økokrim skal behandle opplysninger er regulert i hvitvaskingsloven § 34. I paragrafens første ledd heter det at

«Økokrim skal slette opplysninger som er oversendt etter § 26, senest fem år etter at opplysningene ble registrert, med mindre det i dette tidsrommet er registrert nye opplysninger eller det er foretatt etterforsknings- eller rettergangsskritt mot den registrerte. Lagringstiden skal uansett ikke overstige femten år».

Det fremgår her at Økokrim har plikt til å slette all mottatt informasjon og dokumenter senest fem år etter opplysningene ble registrert. Unntaket er dersom det i løpet av denne femårs perioden har kommet nye opplysninger knyttet til samme sak, eller at det er foretatt

etterforsknings- eller rettergangsskritt mot den registrerte. Bortsett fra at lagringstiden uansett ikke skal overstige 15 år, kommer det ikke fram hvor lenge Økokrim har mulighet til å

oppbevare opplysninger, dersom det har kommet nye opplysninger etter første registrering. En naturlig tolkning av bestemmelsen tilsier at femårs perioden vil begynne å løpe på nytt for samtlige opplysninger knyttet til den rapporterte, med begrensning i at opplysningene ikke kan overstige femten år. Det merkes at det her er tale om «opplysninger» noe som betyr at ulike opplysninger om samme kunde må behandles hver for seg med tanke på frist for sletting.

Det følger videre av hvitvaskingsloven § 34 annet ledd at

«Økokrim kan gi opplysninger som er oversendt etter § 26, videre til andre offentlige myndigheter som arbeider med forebygging av forhold som rammes av straffeloven §§

131 til 136 a. Økokrim kan også gi opplysninger som er oversendt etter § 26 videre til Skatteetaten og Tolletaten til bruk i deres arbeid med skatt, avgift og toll

Økokrim kan altså etter bestemmelsen utveksle opplysninger som er oversendt i tråd med rapporteringsplikten i hvitvaskingsloven § 26 videre til andre offentlige myndigheter. Vilkåret er at disse myndighetene arbeider med forebygging av forhold som rammes av straffelovens

§§ 131 til 136 a. Dette er forhold som er knyttet til terrorvirksomhet. Offentlige myndigheter

61 NOU 2016:27 punkt 6.5.6

(20)

20

som kan tenkes å få tilsendt opplysninger fra Økokrim hjemlet i denne bestemmelsen kan for eksempel være PST.

Når det gjelder oversendelse av opplysninger til toll- og skatteetaten, vil etter en naturlig tolkning av bestemmelsen inkludere oversending av opplysninger knyttet til hvitvasking og terrorfinansiering, i de tilfellene disse opplysningene er relevante i skatt-, avgift- og tollarbeid.

4. Rapporteringspliktiges krav til behandling av personopplysninger

4.1. Adgang til å behandle personopplysninger og forholdet til personvernlovgivningen

Rapporteringspliktiges adgang til å behandle personopplysninger fremgår av hvitvaskingsloven § 29 første ledd. Det heter her at

«Rapporteringspliktige kan behandle personopplysninger for å oppfylle forpliktelser i loven her eller forskrifter gitt i medhold av loven»

Videre i paragrafens annet ledd heter det at

«Personopplysningsloven gjelder ved rapporteringspliktiges behandling av

personopplysninger etter loven her med mindre annet fremgår av bestemmelser gitt i eller i medhold av loven»

Personopplysningsloven⁶² gjelder altså ved den rapporteringspliktiges behandling av personopplysninger. Etter personopplysningslovens § 1 gjelder også

Personvernforordningen⁶³ som norsk lov.

4.2. Hva regnes som personopplysninger?

Etter personvernforordningens artikkel 4 nr. 1 defineres «personopplysninger» som

«enhver opplysning om en identifisert eller identifiserbar fysisk person («den

registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et

identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet»

62 Lov av 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven)

63 Europaparlamentets- og rådsforordning (EF) No. 2016/679 av 27. april 2016 om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger (personvernforordningen)

(21)

21

Personopplysningsbegrepet er utformet slik at det skal favne vidt, og omfavne all informasjon - «enhver opplysning» - som kan relateres til personen opplysningene angår.⁶⁴ Videre er det naturligvis slik at opplysninger som er anonymisert og derfor ikke er egnet til å identifisere en person ikke omfattes av reglene i personvernforordningen.⁶⁵

Når det kommer til om en person er «identifiserbar» eller ikke, er det ikke et krav om at all informasjonen som kan lede til identifikasjonen må ligge hos én og samme person eller institusjon.⁶⁶ Det betyr at dersom man med rimelige steg kan knytte opplysningene til en fysisk person vil personen være identifiserbar. For eksempel via søk i registre eller telefonkatalog.

Det vil si at personopplysninger er opplysninger som kan knyttes til deg som enkeltperson, som navn, adresse, telefonnummer, e-postadresse, IP-adresse, fingeravtrykk og

fødselsnummer. Også opplysninger om atferdsmønstre (hvor og hva man handler, transaksjoner i bank eller internettsøk) er ansett som personopplysninger.

Sensitive personopplysninger er opplysninger som er av mer personlig art, slik som politisk eller religiøs oppfatning, rasemessig eller etnisk bakgrunn, helseforhold, seksuell legning, medlemskap i fagforeninger eller om man har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. Sensitive personopplysninger yter større vern grunn av opplysningenes art og behandling av slike opplysninger bør hjemles særskilt.⁶⁷⁶⁸

4.3. Registrering og lagring av personopplysninger

Når det gjelder registrering og lagring av opplysninger og dokumenter heter det i hvitvaskingsloven § 30 første ledd første punktum at

«Rapporteringspliktige skal registrere og lagre opplysninger og dokumenter som er innhentet og utarbeidet (…) i fem år etter at kundeforholdet ble avsluttet eller transaksjonen ble gjennomført (…)»

Opplysningene skal altså slettes fem år etter at kundeforholdet er avsluttet. Dersom den rapporteringspliktige har utført en transaksjon for en kunde uten at det ble etablert et kundeforhold, er slettefristen fem år etter transaksjonen ble gjennomført.⁶⁹

64 Peter Nowak vs Data Protection Commissioner, avs. 34

65 EP/Rfor. 2016/679. Fortalens premiss 26

66 Patrick Breyer mot Bundesrepublik Deutschland, avs. 43

67 Prop. 40 L (2017–2018) punkt 7.2.6.1

68 Hvitvaskingsforskriften § 6-1, jf. Hvitvaskingsloven § 29 tredje ledd.

69 RFT-2019-8 punkt 9.3.

(22)

22

Lagringsbegrensning er et av personvernforordningens prinsipper for behandling av personopplysninger og fastslår på sin side at personopplysninger ikke skal lagres i «(…) lengre perioder enn det som er nødvendig for formålene som personopplysninger behandles for (…).»⁷⁰ Forordningen oppsetter altså et nødvendighetskrav som må oppfylles for at behandling av personopplysningene skal være lovlig.

Årsaken til at lagringstiden er satt til fem år i hvitvaskingslovverket, uten noen vurdering av om lagring er nødvendig for hele perioden, er at lagringstiden bør samkjøres med kravene til lagring i skatte- og bokføringsregelverket for banker og finansieringsforetak.⁷¹

Vedrørende hvordan opplysningene skal lagres heter det videre i hvitvaskingsloven § 30 første ledd annet punktum at

«Lagringen skal være betryggende og hindre uautorisert tilgang fra uvedkommende.»

Kravet om betryggende lagring er i samsvar med personvernforordningens prinsipp knyttet til opplysningenes integritet og konfidensialitet.⁷² Her heter det at personopplysningene skal

«(…) behandles på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene,

herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak.»

Kravet om betryggende lagring stiller også krav til notoriteten ved de handlingene som er gjort i bankens systemer. For eksempel angivelse av når og hvem som har bekreftet identiteten til kunden og hva som ble brukt for å bekrefte identiteten.⁷³

Plikten til å registrere og lagre opplysninger gjelder ikke registrering eller lagring av adresse som er registrert som fortrolig eller strengt fortrolig i folkeregisteret.⁷⁴

4.4. Sletting av personopplysninger

Når det gjelder sletting av registrerte og lagrede opplysninger fremgår det av hvitvaskingsloven § 30 annet ledd at

«Når femårsfristen er utløpt, skal personopplysningene slettes. Andre opplysninger kan lagres lenger.»

70 EP/Rfor. 2016/679 artikkel 5 bokstav e.

71 Prop. 40 L (2017–2018) punkt 7.2.6.2

72 EP/Rfor. 2016/679 artikkel 5 bokstav f

73 Prop. 40 L (2017–2018) punkt 7.2.6.2

74 Hvitvaskingsloven § 30 første ledd tredje punktum

(23)

23

Når det er gått fem år siden kundeforholdet ble avsluttet eller en gitt transaksjon ble

gjennomført skal rapporteringspliktige slette personopplysningene som ligger lagret. Lagring utover denne fristen har ikke hjemmel i lov og manglende etterkommelse vil innebære at rapporteringspliktig behandler personopplysninger i strid med personvernlovgivningen.

Ved at personopplysninger blir «slettet» er det nok at opplysningene anonymiseres eller krypteres slik at de ikke lenger kan regnes som personopplysninger. Når informasjon er

«kryptert» vil det si at opplysningene er «låst» med en spesifikk nøkkel som gjør opplysningene uforståelig for uvedkommende.

Opplysninger som ikke er regnes som personopplysninger, dvs. som ikke kan knyttes til en identifiserbar eller identifisert fysisk person, står banken fritt frem til å behandle da de ikke er omfattet av personvernregelverket.

5. Avsløringsforbudet

5.1. Lovtekst og definisjoner

Bankers forbud mot å avsløre undersøkelser, rapportering eller etterforskning følger av hvitvaskingslovens § 28 første ledd første punktum. Det heter her at

«Rapporteringspliktige, herunder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige, skal ikke gjøre kunden eller tredjepersoner kjent med undersøkelser, oversendelse av opplysninger til Økokrim eller etterforskning»

Det betyr at banker, herunder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av banken, er ilagt forbud mot å avsløre overfor kunden og tredjepersoner at det foretas eller er foretatt undersøkelser, at opplysninger er rapportert, og at det er iverksatt etterforskning. Dette gjelder uavhengig av om banken selv har generert opplysningene eller om opplysningene er mottatt av en annen rapporteringspliktig. Avsløringsforbudet omfatter videre også opplysninger om hvorvidt undersøkelser er vurdert iverksatt, men faktisk ikke er gjennomført. Avsløringsforbudet er ikke tidsbegrenset. Det betyr at forbudet mot å avsløre opplysninger gjelder også etter kundeforholdet er avsluttet eller for eksempel den ansatte eller styremedlemmet har sluttet i sitt arbeid hos banken.⁷⁵

Som nevnt ovenfor i oppgaven⁷⁶ vil en «kunde» etter en naturlig forståelse av ordet være personer som bruker, eller har mulighet for å bruke bankens tjenester. Om begrepet «kunder»

skriver Finanstilsynets veileder at begrepet «(…) omfatter samtlige som gjennomfører

transaksjoner ved hjelp av den rapporteringspliktige, uavhengig om den rapporteringspliktige

75 RFT-2019-8 punkt 6.3

(24)

24

har etablert et kundeforhold med vedkommende eller ikke.» Videre skriver de at begrepet også inkluderer kunder som har blitt avvist før et kundeforhold er etablert.⁷⁷

En naturlig forståelse av ordlyden «tredjepersoner» tilsier at det må omfatte alle som ikke er direkte involvert i prosessen. I Finanstilsynet veileder fastslår det at dette også gjelder ansatte hos den rapporteringspliktige som ikke har tjenstlig behov for å få informasjonen.⁷⁸

Avsløringsforbudet skal ikke oppfattes som et forbud mot utkontraktering eller bruk av innleid arbeidskraft, siden det uansett er den rapporteringspliktiges ansvar å overholde regelverket.⁷⁹

5.2. Avsløringsforbudet formål

Avsløringsforbudet har som formål å hindre at uvedkommende får kjennskap til opplysninger som kan forhindre en eventuell straffeforfølgelse. Dersom en kunde får nyss om at banken vurderer å iverksette undersøkelser vil kunden kunne ha anledning til å forspille bevis som kan avsløre lovbrudd. Det samme gjelder dersom en tredjeperson mottar denne informasjonen og varsler kunden om at undersøkelser vurderes igangsatt.

Videre skal avsløringsforbudet ivareta fysiske personers personvern. Avsløringsforbudet hindrer at tredjepersoner får informasjon om kunders handlinger eller steg banken har foretatt som følger av kundens handlinger. Dersom slik informasjon blir gjort kjent for tredjepersoner vil det innebære at banken har gitt personopplysninger videre uten å ha hjemmel for slik overføring av opplysninger, og representerer brudd på personopplysningsloven.

Avsløringsforbudet skal til sist bidra til at den som igangsetter undersøkelser eller rapporterer om forhold ikke skal bli utsatt for represalier. Det fremgår av hvitvaskingsloven § 37 første ledd at

«Rapporteringspliktige skal sørge for at den som rapporterer om mistanke om hvitvasking eller terrorfinansiering til Økokrim, ikke utsettes for trusler og lignende reaksjoner som følge av rapportering.»

For å ivareta dette ansvaret må rapporteringspliktig bl.a. etablere rutiner for å sikre

tilstrekkelig anonymitet for den enkelte ansatte som har gjennomført undersøkelser, slik at vedkommende ikke utsettes for represalier. Dette ansvaret innebærer også naturligvis at rapporteringspliktige selv ikke skal utsette den ansatte for negative reaksjoner. Det betyr at i de tilfellene hvor den ansatte varsler om mulig misbruk av virksomheten til hvitvasking eller

77 RFT 2019-8 s. 62

78 RFT 2019-8 s. 62

79 Prop. 40 L (2017–2018) punkt 6.5.5

(25)

25

terrorfinansiering, vil det være forbud mot å si opp eller avskjedige vedkommende.⁸⁰ Hvitvaskingsloven fastslår derfor at det skal etableres et uavhengig og anonymt internt varslingssystem dersom en risikovurdering av virksomhetens art og omfang tilsier det.⁸¹ Retten til anonym varsling begrunnes i personvernhensyn og WP29 kom i 2006 med uttalelser om anvendelsen av regler om vern av personopplysninger i varslersaker.⁸²

«WP29» ble opprettet ved vedtakelsen av Europaparlamentets og Rådets direktiv (EU) av 24.

oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet).

«WP29» fikk sitt mandat gjennom artikkel 29 i personverndirektivet,⁸³ og står for «Article 29 Working Party». «WP29» er et rådgivende organ som har som oppgave å gi retningslinjer og råd til EUs medlemsstater vedrørende informasjonssikkerhet, for så å sørge for en helhetlig gjennomføring av personvernregelverket.

«WP29» uttaler i deres rådgivende uttalelse (Opinion 1/2006) at

«Under no circumstances can the person accused in a whistleblower's report obtain information about the identity of the whistleblower from the scheme on the basis of the accused person's right of access, except where the whistleblower maliciously makes a false statement. Otherwise, the whistleblower's confidentiality should always be guaranteed»⁸⁴

Det vil si at vedkommende som er mistenkt for mulig overtredelse av loven eller forskrift gitt i medhold av loven ikke under noen omstendighet har rett til å få vite hvem som har

rapportert/varslet om forholdet.

I henhold til personvernforordningen vil uansett den mistenkte - «den registrerte» - ha rett til innsyn om de opplysningene som behandles om han.⁸⁵ «WP29» fastslår i deres rådgivende uttalelse at varslingssystemene bør fokusere på den registrertes rettigheter, men uten å skade varslerens eller den rapporteringspliktiges rettigheter.⁸⁶ Vedrørende den registrertes rett til

80 NOU 2016:27 s. 152

82 Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime - 00195/06/EN WP117

83 Europaparlamentets og Rådets direktiv (EU) av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger

(personverndirektivet).

84 00195/06/EN WP117 s. 13

85 EP/Rfor. 2016/679 artikkel 12

86 00195/06/EN WP117 s. 13

(26)

26

bl.a. innsyn, retting og sletting av egne opplysninger etter personvernforordningen uttaler

«WP29» at det må foretas en konkret avveining i hvert enkelt sak:

«(…) the exercise of these rights may be restricted in order to ensure the protection of the rights and freedoms of others involved in the scheme. This restriction should be applied on a case-by-case basis.»⁸⁷

5.3. Unntak fra avsløringsforbudet

Utgangspunktet i hvitvaskingsloven § 28 første ledd er at alle opplysninger om undersøkelse og rapportering er underlagt avsløringsforbud. I og med at det overordnede hensynet bak avsløringsforbudet er at kunden ikke skal varsles om at det foretas undersøkelser eller at hans handlingsmønster er rapportert til Økokrim, tilsier dette at adgangen til utlevering av

opplysninger må være strengt avgrenset. Unntakene som følger av hvitvaskingslovens § 28 annet ledd flg. må derfor ses i lys av det klare utgangspunktet om at det er forbudt å avsløre undersøkelser og rapportering.

5.3.1. Unntak for meddelelse av opplysninger til Økokrim eller Finanstilsynet

Det fremgår av hvitvaskingsloven § 28 annet ledd at avsløringsforbudet ikke er

«(…) til hinder for meddelelse av opplysninger til påtalemyndigheten eller den rapporteringspliktiges tilsynsmyndighet etter hvitvaskingsregelverket»

For banker er Økokrim påtalemyndighet og Finanstilsynet⁸⁸ er tilsynsmyndigheter.⁸⁹

5.3.1.1. Meddelelse til Økokrim

Unntaket i § 28 annet ledd gir ikke noen plikt til meddelelse av opplysninger til Økokrim, det konstateres bare at avsløringsforbudet ikke er til hinder for slik meddelelse.

Som nevnt ovenfor i oppgaven⁹⁰ kan banker i henhold til rapporteringsplikten i hvitvaskingsloven § 26 første ledd pålegges å overlevere opplysninger til Økokrim på Økokrims forespørsel. Det foreligger således en plikt for den rapporteringspliktige til å oversende opplysninger til Økokrim. Det må være gjort nærmere undersøkelser som har avdekket forhold som gir «grunnlag» for mistanke.

87 00195/06/EN WP117 s. 14

88 Oppgavens punkt 6.1

90 Oppgavens punkt 3.2

(27)

27

5.3.1.2. Meddelelse til Finanstilsynet

Tilsynsmyndighetene skal føre tilsyn med banker og sørger for at de overholder bestemmelser gitt i eller i medhold av loven.⁹¹ Reglene for hvordan tilsyn skal gjennomføres følger av Lov av 7. desember 1956 nr. 1 om tilsynet med finansforetak mv. (finanstilsynsloven)⁹²

Etter finanstilsynsloven skal tilsynet bl.a. se til at de foretak det har tilsyn med «(…) virker på hensiktsmessig og betryggende måte», samt med den «hensikt som ligger til grunn for

foretakenes opprettelse, dens formål og vedtekter» Videre skal tilsynet se til at forbrukernes interesser og rettigheter ivaretas av bankene.⁹³

Det fremgår av finanstilsynslovens § 4 at Finanstilsynet kan pålegge de foretak de har tilsyn med, herunder banker, å sende inn oppgaver og opplysninger «(…) på den måten

Finanstilsynet bestemmer og som tilsynet mener det trenger for å kunne utføre sitt verv, herunder til statistiske formål, samt å sende slike oppgaver og opplysninger til myndigheter i andre stater som fører tilsyn med tilsvarende foretak(…)»⁹⁴

Også revisorer ansatt i banker pålegges rapporteringsplikt gjennom Finanstilsynsloven. Det fremgår av finanstilsynsloven § 3 a at

«Revisor som reviderer årsregnskapet i foretak (…) plikter straks å rapportere til Finanstilsynet ethvert forhold vedrørende virksomheten som denne får kjennskap til under utøvelsen av sin revisjonsvirksomhet som kan:

1. innebære en overtredelse av bestemmelser som regulerer foretakets

virksomhet, dersom overtredelsen kan medføre tilbakekall av foretakets tillatelse til å drive virksomhet,

2. skade den fortsatte drift av foretaket, eller

3. medføre at regnskapene ikke godkjennes eller at det tas forbehold»

Dette innebærer at dersom revisor blir oppmerksom på brudd på hvitvaskingsregelverket, skal revisor ta forholdet opp med kundens ledelse i nummerert brev og vurdere rapporteringsplikt etter finanstilsynsloven § 3a.⁹⁵

5.3.2. Unntak for utveksling av opplysninger til banker innad samme konsern

Det fremgår av hvitvaskingsloven § 28 tredje ledd at avsløringsforbudet ikke er

91 Hvitvaskingsloven § 43 første ledd.

92 Hvitvaskingsloven § 43 tredje ledd, jf. Lov av 7. desember 1956 nr. 1 om tilsynet med finansforetak mv.

(finanstilsynsloven)

93 Finanstilsynslovens § 3 første ledd

94 Finanstilsynsloven § 4 første ledd nr. 3

95 RFT-2019-14 punkt 9