LUP Student Papers

När dataskyddsrätt möter penningtvätt - En studie avseende bankernas rättsliga skyldigheter vid insamling av kundkännedom (KYC)

• Mark

Abstract

The purpose of this thesis is to describe and analyse how Anti-Money Laundering regulations interact with Data protection law, particularly regarding the handling of customer data used to fulfil banks’ customer due diligence requirements. The thesis examines both the obligations imposed on banks under Anti-Money Laundering rules and the requirements set by the EU’s data protection framework for the processing of personal data in order to achieve adequate customer due diligence. Anti-Money Laundering has evolved in parallel with the extensive digitalisation that society has undergone over the past decade at the international, European and national levels which is why this thesis applies a traditional legal dogmatic method as well as an EU... (More)

The purpose of this thesis is to describe and analyse how Anti-Money Laundering regulations interact with Data protection law, particularly regarding the handling of customer data used to fulfil banks’ customer due diligence requirements. The thesis examines both the obligations imposed on banks under Anti-Money Laundering rules and the requirements set by the EU’s data protection framework for the processing of personal data in order to achieve adequate customer due diligence. Anti-Money Laundering has evolved in parallel with the extensive digitalisation that society has undergone over the past decade at the international, European and national levels which is why this thesis applies a traditional legal dogmatic method as well as an EU legal method.

Financial Action Task Force is an international organization that forms recommendations for the work against money laundering. The EU follows the organization’s guidelines, and therefore the EU Money Laundering Directive is based on their recommendations. In the implementation of customer due diligence measures, personal data are processed for the purpose of obtaining information, which renders the General Data Protection Regulation, GDPR (2016/679) applicable. This thesis examines the customer due diligence process, which constitutes a central component of Anti-Money Laundering efforts. This process in fundamental and involves the collection of information about customers in order to prevent offences under the Swedish Anti-Money Laundering Act 2017:630 (Penningtvättslagen). In this context, personal data must be processed to ensure that relevant information is collected.

The results demonstrate, among other things, that there is a systematic conflict between regulations that complicates the work for the operators. It is important for the banks to stay within the framework of the purpose when processing personal data to not violate the customer’s integrity. The thesis concludes that Länsförsäkringar Bank, as a result of Anti-Money Laundering and Data Protection Regulations, are required to comply with the requirements for the processing of personal data and to ensure lawful customer due diligence.
The lack of case-law contributes both to divided interpretations where the legal situation is unclear, and an indication that there is parity between the regulations. (Less)

Abstract (Swedish)

Syftet med uppsatsen är att beskriva och analysera hur regelverket kring penningtvätt samspelar med dataskyddsrätten, särskilt i fråga om hanteringen av kunduppgifter som används för att uppfylla bankers krav på kundkännedom. Uppsatsen behandlar dels vilka skyldigheter bankerna har enligt penningtvättsregler, dels vilka krav EU:s dataskyddsbestämmelser ställer på bankernas behandling av personuppgifter för att uppnå god kundkännedom. Penningtvätt har utvecklats i takt med att samhället genomgått en omfattande digitalisering det senaste årtiondet på internationell, europeisk och nationell nivå vilket gör att uppsatsen tillämpar traditionell rättsdogmatisk– och EU-rättslig metod.

Financial Action Task Force är internationell... (More)

Syftet med uppsatsen är att beskriva och analysera hur regelverket kring penningtvätt samspelar med dataskyddsrätten, särskilt i fråga om hanteringen av kunduppgifter som används för att uppfylla bankers krav på kundkännedom. Uppsatsen behandlar dels vilka skyldigheter bankerna har enligt penningtvättsregler, dels vilka krav EU:s dataskyddsbestämmelser ställer på bankernas behandling av personuppgifter för att uppnå god kundkännedom. Penningtvätt har utvecklats i takt med att samhället genomgått en omfattande digitalisering det senaste årtiondet på internationell, europeisk och nationell nivå vilket gör att uppsatsen tillämpar traditionell rättsdogmatisk– och EU-rättslig metod.

Financial Action Task Force är internationell organisation som ger ut rekommendationer för att främja arbetet mot penningtvätt. EU följer den internationella organisationens riktlinjer och därmed bygger EU:s penningtvättsdirektiv på deras rekommendationer. Vid genomförandet av åtgärder för kundkännedom behandlas personuppgifter i syfte att inhämta information, vilket medför att EU:s dataskyddförordning (2016/679) GDPR blir tillämplig.
Uppsatsen behandlar kundkännedomsprocessen, som utgör en central del av arbetet mot penningtvätt. Denna process är grundläggande och innebär insamling av information om kunder för att förebygga brott enligt Penningtvättslagen (2017:630). I samband med detta måste personuppgifter hanteras för att säkerställa att relevanta uppgifter samlas in.

Resultatet av uppsatsen visar att det föreligger en systemkonflikt mellan regelverken som försvårar arbetet för verksamhetsutövarna. Det är viktigt för bankerna att hålla sig inom ramen för ändamålet med behandlingen av personuppgifter för att inte kränka kundens integritet. Uppsatsen konstaterar att Länsförsäkringar Bank, till följd av regelverk inom penningtvätt och dataskydd, är skyldiga att uppfylla kraven för behandlingen av personuppgifter samt att säkerställa lagenlig kundkännedom. Avsaknaden av rättspraxis medför både ett oklart rättsläge genom skilda tolkningar och kan samtidigt indikera att paritet föreligger mellan penningtvättslagen och GDPR. (Less)