NOU 2016: 27

Ny lovgivning om tiltak mot hvitvasking og terrorfinansiering II — Andre delutredning

Til innholdsfortegnelse

7 Behandling av personopplysninger og andre opplysninger

7.1 Innledning

Regler om behandling av personopplysninger og andre opplysninger er nødvendig for at rapporteringspliktige skal kunne oppfylle sine plikter etter hvitvaskingsregelverket. Det fremgår også av fjerde hvitvaskingsdirektiv at slike regler er nødvendige.

Når det gjelder personopplysninger, må rapporteringspliktige, i tillegg til å forholde seg til hvitvaskingsregelverket, også overholde personopplysningsloven.1 Utgangspunktet er at personopplysningsloven gjelder for behandling av personopplysninger, forutsatt at behandlingen skjer ved elektroniske midler eller opplysningene skal inngå i et personregister, jf. personopplysningsloven §§ 1 og 5.

Personopplysninger og behandling av personopplysninger er definert i personopplysningsloven § 2. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. personopplysningsloven § 2 nr. 1. Dette gjelder opplysninger og vurderinger som både direkte og indirekte kan identifisere en fysisk person. Opplysninger om juridiske personer er ikke personopplysninger. Behandling av personopplysninger omfatter enhver bruk av personopplysninger, se personopplysningsloven § 2 nr. 2. Definisjonen nevner som eksempler innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av ulike bruksmåter. Én behandling kan dermed bestå av flere av de nevnte eksemplene på bruksmåter, f.eks. både innsamling, registrering, lagring og utlevering.

Personopplysningsloven gjennomfører personverndirektivet2 og bygger på grunnleggende prinsipper om vern av personopplysninger. Personopplysningsloven stiller visse alminnelige krav til behandling av personopplysninger, se personopplysningsloven § 11. Det stilles krav om at behandlingen har rettslig grunnlag, er formålsbestemt og at personopplysninger som behandles er korrekte og oppdaterte. Eksempler på rettslig grunnlag er samtykke, lovhjemmel eller at behandling er nødvendig for å utføre en oppgave av allmenn interesse. For sensitive personopplysninger stilles det særlig krav til det rettslige grunnlaget. Formålsbegrensningen innebærer at det bare er personopplysninger som er relevante for formålet som kan behandles. Det kan behandles opplysninger som er nødvendige og tilstrekkelige for formålet, men ikke mer. Personopplysningene kan bare lagres så lenge det er nødvendig ut fra formålet med behandlingen. Personopplysningene kan ikke brukes til andre formål enn det opprinnelige uten rettsgrunnlag (samtykke eller lov). Personopplysningsloven inneholder også regler om rettigheter for den personopplysningene gjelder («den registrerte»), f.eks. rett til innsyn i registrerte opplysninger og informasjon om behandlingen. Loven stiller krav til internkontroll og informasjonssikkerhet hos den som behandler personopplysninger. Personopplysningsloven gir regler om offentlig kontroll ved Datatilsynet, med krav om melde- og konsesjonsplikt i ulike tilfeller.

Hvitvaskingsdirektivet bestemmer at personverndirektivet skal gjelde for behandling av personopplysninger etter direktivet, se artikkel 41 nr. 1. Hvitvaskingsdirektivet gir i tillegg særskilte regler om behandling av personopplysninger i artikkel 41 nr. 2 til 4. Hvitvaskingsdirektivet både presiserer og utvider rapporteringspliktiges rett til å behandle personopplysninger. Direktivets regler innebærer samtidig plikt til å behandle personopplysninger. Hvitvaskingsloven må derfor både vise til personopplysningsloven, og samtidig inneholde regler som gjør unntak fra personopplysningslovens alminnelige regler i samsvar med fjerde hvitvaskingsdirektiv. Rapporteringspliktige må forholde seg til både de generelle reglene i personopplysningsloven og de unntak og presiseringer som fremkommer av forslaget til ny hvitvaskingslov.

Hvitvaskingsdirektivet stiller også krav om at rapporteringspliktige behandler andre typer opplysninger enn personopplysninger. Eksempler på slike opplysninger er opplysninger om juridiske personer og opplysninger om kundeforholds og transaksjoners formål og tilsiktede art.

I tillegg til de rapporteringspliktige må også Økokrim behandle personopplysninger og andre opplysninger som ledd i sin virksomhet. Dette er en forutsetning for at Økokrim skal kunne utføre sine oppgaver knyttet til å bekjempe hvitvasking og terrorfinansiering. Politiregisterloven3 med forskrifter gjelder for politiet og påtalemyndighetens, herunder Økokrims, behandling av personopplysninger, se politiregisterloven § 3. I forarbeidene til politiregisterloven ble det påpekt at siden personopplysningsloven gjelder generelt, vil politiregisterloven i prinsippet suppleres av personopplysningsloven der politiregisterloven er taus. Politiregisterloven er imidlertid ment å være en utfyllende og komplett lov, slik at personopplysningslovens regler i praksis ikke kommer til anvendelse på politiet og påtalemyndighetens behandling av personopplysninger.4 Det er gitt enkelte bestemmelser i gjeldende hvitvaskingslov om behandling av personopplysninger i Økokrim, og politiregisterforskriften5 viser på enkelte punkter til hvitvaskingsloven. I ny hvitvaskingslov må forholdet til politiregisterforskriften avklares, og det må tas stilling til hvilke regler som ønskes plassert i hvitvaskingsloven, ved siden av reglene i politiregisterloven. Fjerde hvitvaskingsdirektiv stiller ikke uttrykkelige krav til regler om behandling av personopplysninger i Økokrim.

Behandling av personopplysninger har en side til retten til privatliv, som er vernet ved Grunnloven § 102 og Den europeiske menneskerettighetskonvensjon (EMK) artikkel 8. Behandling av personopplysninger vil gjennomgående være et «inngrep» i retten til privatliv etter EMK artikkel 8, se bl.a. EMDs avgjørelse 7. juli 2015 M.N. og andre mot San Marino (saksnummer 28005/12) avsnitt 53 med videre henvisninger. For at behandlingen av personopplysninger skal være i samsvar med EMK artikkel 8, må inngrepet forfølge et legitimt formål, ha et tilstrekkelig klart rettslig grunnlag og være nødvendig i et demokratisk samfunn. Grunnloven § 102 skal tolkes med en tilsvarende unntaksadgang, se Rt. 2015 side 93 avsnitt 60.

Når det gjelder terminologi, bruker utvalget i lovforslaget og forarbeidene termen «lagring» i stedet for «oppbevaring» som er brukt i dagens lov. Dette er i tråd med terminologien som ellers brukes når det gjelder behandlingen av personopplysninger. I omtalen av gjeldende norsk rett vil imidlertid uttrykket «oppbevaring» brukes. For deling eller utveksling av opplysninger vil uttrykket «utlevere» brukes.

7.2 Norsk rett

7.2.1 Rapporteringspliktiges behandling av opplysninger og dokumenter

7.2.1.1 Registrering, oppbevaring og sletting

Hvitvaskingsloven § 8 første ledd inneholder regler om registrering av opplysninger om kunden. Registreringsplikten omfatter opplysninger som skal identifisere kunden, herunder referanse til legitimasjonen som er brukt for å bekrefte kundens identitet. Opplysningene omfatter navn, fødselsnummer eller organisasjonsnummer, eller annen entydig identitetskode, og adresse.

Det er gjort visse unntak i § 8 annet til fjerde ledd. Dette omfatter unntak der kunden har fortrolig eller strengt fortrolig adresse. Det er også gjort unntak for kunder som er fysisk eller juridisk person uten henholdsvis fødsels- eller organisasjonsnummer. Da skal visse andre opplysninger registreres. Etter § 8 femte ledd skal det registreres opplysninger som entydig identifiserer reelle rettighetshavere. Det er ikke uttrykkelig krav om registrering av opplysninger om kundeforholdets eller transaksjonens formål og tilsiktede art.

Resultater av undersøkelser skal registreres skriftlig eller elektronisk, jf. hvitvaskingsloven § 17 annet ledd.

Bestemmelser om oppbevaring av opplysninger og dokumenter er gitt i hvitvaskingsloven § 22. Det er krav om oppbevaring av kopier av dokumenter benyttet i forbindelse med kundekontroll og registrerte opplysninger som beskrevet ovenfor, i fem år etter at kundeforholdet er avsluttet eller transaksjonen er utført. Det er unntak der lov eller forskrift ellers pålegger lengre frister.

Ved mistenkelige transaksjoner som nevnt i § 17 om undersøkelsesplikt, er det krav om at dokumenter med tilknytning til slike transaksjoner oppbevares i minst fem år etter at transaksjonen er gjennomført, jf. § 22 annet ledd.

Ved bruk av kontonummer eller på annen måte skal det registreres en entydig forbindelse mellom kundeforhold og registrerte opplysninger som nevnt i § 8.

Regler om oppbevaringsmåten av opplysninger og dokumenter er gitt dels i hvitvaskingsloven § 22 og dels i hvitvaskingsforskriften § 17. Det følger av hvitvaskingsloven § 22 tredje ledd at dokumenter og opplysninger skal oppbevares på en betryggende måte og beskyttes mot uautorisert tilgang. Opplysningene og dokumentene skal slettes senest ett år etter at oppbevaringsplikten opphører. Hvitvaskingsforskriften § 17 første ledd krever at kopier av dokumenter skal ha påskrift om «rett kopi bekreftes» med signatur av personen som har gjennomført kundekontroll. Videre skal dokumenter og opplysninger oppbevares på et medium som sikrer lesekvaliteten i hele oppbevaringsperioden. For elektronisk materiale skal det foreligge sikkerhetskopi, og denne skal oppbevares atskilt fra originalen.

Hvitvaskingsloven § 25 krever at rapporteringspliktige som nevnt i § 4 første ledd har systemer som muliggjør raske og fullstendige svar på forespørsler fra myndighetene om den rapporteringspliktige har hatt kundeforhold med konkrete personer. Systemet må også kunne gi opplysninger om kundeforholdets art. Rapporteringspliktige i § 4 første ledd omfatter aktører i finansmarkedet.

Bokføringsloven6 med forskrift7 inneholder generelle regler om oppbevaring av bokføringsmateriale. Alle som er regnskapspliktige etter regnskapsloven, har også bokføringsplikt, jf. bokføringsloven § 2. Bokføring skal skje i samsvar med grunnleggende prinsipper nevnt i § 4, bl.a. prinsippet om fullstendighet: Alle transaksjoner og andre regnskapsmessige disposisjoner skal bokføres på en fullstendig måte i regnskapssystemet. Det er plikt til å oppbevare bl.a. spesifikasjoner av pliktig regnskapsrapportering som nevnt i § 5, jf. § 13 første ledd nr. 2. Oppbevaringstiden er fem år etter regnskapsårets slutt, jf. § 13 annet ledd. Pliktig regnskapsrapportering omfatter blant annet kundespesifikasjon, jf. § 5 første ledd nr. 3. I bokføringsforskriften § 3-1 første ledd nr. 3 er kravet til innholdet i spesifikasjonen presisert. Kravene innebærer at alle transaksjoner med kunder skal fremgå av kundespesifikasjonen.

7.2.1.2 Utlevering av opplysninger og dokumenter og forholdet til taushetsplikt

De fleste grupper rapporteringspliktige er underlagt taushetsplikt i ulike deler av lovgivningen.8 I hvilken grad det kan gjøres unntak fra taushetsplikten, varierer med de ulike bestemmelsene om taushetsplikt. En forutsetning for at rapporteringspliktige skal kunne utlevere opplysninger er at de ikke er underlagt taushetsplikt. Gjeldende hvitvaskingslov inneholder tre unntak fra taushetsplikten.

I hvitvaskingsloven § 20 første ledd er det uttrykkelig bestemt at meddelelse av opplysninger til Økokrim i god tro i samsvar med § 18 ikke medfører brudd på taushetsplikt. Utlevering etter denne bestemmelsen skal ikke medføre verken erstatnings- eller straffansvar.

Hvitvaskingsloven § 20 annet ledd åpner for at finansinstitusjoner og forsikringsselskaper uten hinder av taushetsplikt kan utlevere nødvendige kundeopplysninger seg imellom når det anses nødvendig som ledd i undersøkelser av mistenkelige transaksjoner.

Ved tredjeparts kundekontroll og utkontraktering av kundekontroll er det bestemt, i henholdsvis § 11 fjerde ledd siste punktum og § 12 fjerde ledd, at utlevering av opplysninger fra tredjepart til rapporteringspliktig, som er nødvendige for at rapporteringspliktig skal overholde sine plikter etter loven, kan skje uten hinder av taushetsplikt.

Forbudet mot å avsløre undersøkelser og rapportering innebærer også en begrensning av rapporteringspliktiges adgang til å utlevere opplysninger. Avsløringsforbudet er nærmere omtalt i punkt 6.5.7. Avsløringsforbudet har som hovedformål å sikre at uvedkommende ikke blir kjent med at tiltak er iverksatt, f.eks. rapportering, og dermed ivareta tiltakenes effektivitet. Forbudet gjelder derfor, i motsetning til taushetsplikten, også overfor kunden – det er nettopp overfor kunden det er sentralt at undersøkelser og rapportering ikke røpes. Avsløring av forhold som nevnt i gjeldende hvitvaskingslov § 21 til tredjepersoner kan også etter omstendighetene innebære brudd på rapporteringspliktiges eventuelle taushetsplikt.

7.2.1.3 Forholdet til personopplysningsloven

Hvitvaskingsloven § 22 tredje ledd siste punktum slår fast at personopplysningsloven gjelder for rapporteringspliktiges oppbevaring av personopplysninger.

De sentrale sidene av personopplysningsloven er omtalt under punkt 7.1, og det vises i all hovedsak til omtalen der. Personopplysningsloven § 11 stiller som nevnt grunnleggende krav til behandlingen av personopplysninger. For behandling av personopplysninger kreves bl.a. rettslig grunnlag og behandlingen må være formålsbestemt.

For sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8, stilles det særskilte krav til det rettslige grunnlaget. Sensitive personopplysninger omfatter blant annet opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. For å behandle sensitive personopplysninger er det i utgangspunktet konsesjonsplikt, jf. personopplysningsloven § 33. Datatilsynet er konsesjonsmyndighet.

Personopplysningsloven §§ 13 og 14 stiller krav til den behandlingsansvarliges og databehandlerens informasjonssikkerhet og internkontroll. Informasjonssikkerheten skal sikre hensynet til konfidensialitet, integritet og tilgjengelighet. Den behandlingsansvarlige skal gjennomføre systematiske og planlagte tiltak for å sikre disse hensynene. Tiltakene skal dokumenteres. Kravene til informasjonssikerhet er utdypet i personopplysningsforskriften9 kapittel 2.

Den registrerte er gitt rett til innsyn, informasjon og krav om retting og sletting, se personopplysningsloven kapittel III og IV.

7.2.2 Økokrims behandling av opplysninger og dokumenter

7.2.2.1 Registrering, lagring og sletting

Politiregisterloven med forskrifter gjelder for Økokrim (EFE) sin behandling av opplysninger. I det følgende vises det til EFE der det uttrykkelig må skilles mellom Økokrim og EFE. Loven inneholder krav til behandling av personopplysninger i politiet og påtalemyndigheten. Loven bygger på samme grunnleggende prinsipper for behandling av personopplysninger som personopplysningsloven. Som nevnt i punkt 7.1, gjelder i prinsippet personopplysningsloven der politiregisterloven er taus. Politiregisterloven er imidlertid ment å være utfyllende og komplett. I praksis vil derfor personopplysningsloven ikke være anvendelig. Hvitvaskingsloven og -forskriften inneholder to særlige bestemmelser om behandlingen av opplysninger. Hvitvaskingsloven supplerer reglene som fremgår av politiregisterloven og -forskriften.

Hvitvaskingsloven § 29 bestemmer at Økokrim skal slette opplysninger de mottar i forbindelse med rapportering av mistenkelige transaksjoner senest fem år etter at opplysningene ble registrert. Det er unntak der det i løpet av disse fem årene er registrert nye opplysninger eller foretatt etterforsknings- eller rettergangsskritt overfor den registrerte.

Hvis Økokrims undersøkelser viser at det ikke foreligger en straffbar handling, skal opplysningene slettes snarest mulig.

Hvitvaskingsforskriften § 19 bestemmer at Økokrim skal utarbeide retningslinjer for sin interne saksbehandling for å sikre betryggende systemer for mottak av opplysninger fra rapporteringspliktige, og hindre uvedkommendes innsyn i slike opplysninger.

Politiregisterforskriften presiserer i utgangspunktet reglene i politiregisterloven, og har derfor hjemmel i politiregisterloven. Siden hvitvaskingsloven inneholder visse bestemmelser om Økokrims behandling av personopplysninger, er politiregisterforskriftens regler om Økokrims behandling av opplysninger etter hvitvaskingsregelverket også dels hjemlet i hvitvaskingsloven, se politiregisterforskriften § 52-2. Politiregisterforskriften kapittel 52 gir nærmere regler om hvitvaskingsregisteret (ASK), som er systemet Økokrim benytter for mottak av rapporter og utarbeidelse av analyser. I kapittelet er det gitt regler om bl.a. hvilke opplysninger som kan lagres, informasjonsplikt og innsyn, retting, sperring og sletting, informasjonssikkerhet og internkontroll, klageadgang og tilsyn. § 52-4 bestemmer hvilke opplysninger som kan lagres i registeret. Dette omfatter blant annet alle opplysninger som innrapporteres til Økokrim ved «mistenkelig transaksjon»-rapporter («MT-rapporter») i samsvar med hvitvaskingsloven § 18.

7.2.2.2 Utlevering av opplysninger og forholdet til taushetsplikt

Utgangspunktet er at utlevering av opplysninger forutsetter at opplysningene ikke er underlagt taushetsplikt. Politiets, herunder Økokrims, taushetsplikt omfatter bl.a. opplysninger ansatte i politiet får adgang eller kjennskap til i forbindelse med tjenesten om noens personlige forhold eller forretningshemmeligheter, jf. politiregisterloven § 23.

Økokrims ledelse og ansatte i EFE har tilgang til registeret, dvs. rett til å foreta direkte søk, jf. § 52-5 første ledd. Andre ansatte i Økokrim med et tjenestemessig behov kan gis tilgang til registeret.

Politiregisterforskriften § 52-6 gir regler om utlevering av opplysninger fra ASK. Reglene omfatter utlevering innad i politiet og påtalemyndigheten, til andre norske offentlige organer og til utenlandske myndigheter. Politiregisterloven kapittel 5 og 6 gjelder med de særreglene som er fastsatt i § 52-6.

Til andre deler av politiet enn Økokrim kan det bare utleveres opplysninger for å bekjempe hvitvasking, terrorfinansiering og tilknyttet kriminalitet, jf. § 52-6. Til andre offentlige myndigheter kan opplysninger for det første utleveres i samsvar med politiregisterloven §§ 26 og 27, se politiregisterforskriften § 52-6 første ledd nr. 2 bokstav a punkt i. Dette omfatter utveksling i forbindelse med henholdsvis den enkelte straffesak og ved avvergende og forebyggende virksomhet. Ved avvergende og forebyggende virksomhet må utleveringen være forholdsmessig i den enkelte situasjon, jf. politiregisterloven § 27 tredje ledd. Utlevering av opplysninger til offentlige myndigheter kan videre skje når det er nødvendig for å innhente opplysninger til EFEs analysearbeid, se politiregisterforskriften § 52-6 første ledd nr. 2 bokstav a punkt ii. Utlevering kan også skje når EFE etter en nærmere analyse har kommet til at det bør undersøkes nærmere om det har forekommet straffbare forhold innenfor det respektive organets ansvarsområde, se punkt iii.

Hvitvaskingsloven § 30 gir også hjemmel til å utlevere opplysninger. Politiregisterforskriften § 52-6 første ledd nr. 2 bokstav b viser til denne. Etter hvitvaskingsloven § 30 første ledd kan opplysninger utleveres til andre organer enn politiet som har oppgaver knyttet til forebyggingen av terrorhandlinger («forhold som rammes av straffeloven §§ 131 til 136 a»). Opplysningene kan også utleveres til skatteetaten og toll- og avgiftsetaten til bruk i deres arbeid med skatt, avgift og toll, se hvitvaskingsloven § 30 annet ledd.

Utlevering av opplysninger fra ASK til utlandet kan bare skje til samarbeidende utenlandske FIU-er, jf. politiregisterforskriften § 52-6 første ledd nr. 3.

Uavhengig av reglene som er beskrevet ovenfor, kan opplysninger fra ASK som kan få betydning for relevante tilsynsmyndigheters tilsyn med rapporteringspliktiges overholdelse av hvitvaskingslovens forpliktelser, utleveres til relevante tilsynsmyndigheter når disse kan få betydning for deres tilsynsvirksomhet, jf. politiregisterforskriften § 52-6 fjerde ledd.

Opplysninger fra ASK kan utleveres til rapporteringspliktige i medhold av politiregisterloven § 20 annet ledd. Adgangen omfatter utlevering av ikke-verifiserte opplysninger når det er nødvendig for å verifisere opplysningene.

7.2.2.3 Kontrollutvalget for tiltak mot hvitvasking. Tilsyn

Tilsynet med Økokrims håndtering av opplysninger er delt mellom Datatilsynet og Kontrollutvalget for tiltak mot hvitvasking («Kontrollutvalget»). Disse har ansvar for å føre tilsyn med ulike deler av Økokrims arbeid.

Kontrollutvalget er et særskilt organ etablert for å føre kontroll med Økokrims behandling av rapporter om mistenkelige transaksjoner mottatt etter hvitvaskingsloven § 18, Økokrims pålegg og godkjenninger i tråd med § 19 om gjennomføringen av mistenkelige transaksjoner og Økokrims håndtering av opplysninger etter § 29, se § 31. Hvitvaskingsloven § 29 gjelder Økokrims plikt til å slette opplysninger, se punkt 7.2.2.1. Kontrollutvalget har i forbindelse med sitt arbeid krav på alle opplysninger, dokumenter osv. som Kontrollutvalget finner nødvendig for sin kontroll, se § 31 tredje ledd. Økokrims tjenestemenn har plikt til å forklare seg overfor Kontrollutvalget uten hensyn til taushetsplikt.

Datatilsynet fører tilsyn med Økokrims forvaltning av ASK, se politiregisterforskriften § 52-14 annet ledd. Tilsynet omfatter politiregisterloven § 17 om kravet til sporbarhet og § 15 og politiregisterforskriften kapittel 40 om informasjonssikkerhet. Videre fører Datatilsynet tilsyn med at Økokrims internkontroll for å oppfylle kravene i politiregisterloven §§ 15 og 17, og forskriften kapittel 40, er i samsvar med politiregisterloven § 16 og politiregisterforskriften kapittel 39.

7.3 EØS-rett

7.3.1 Rapporteringspliktiges behandling av opplysninger og dokumenter

7.3.1.1 Registrering, lagring og sletting

Fjerde hvitvaskingsdirektiv artikkel 40 gjelder lagring av opplysninger og dokumenter. Overtredelser av denne artikkelen skal kunne sanksjoneres, jf. artikkel 59 nr. 1 bokstav c.

Etter artikkel 40 nr. 1 bokstav a skal rapporteringspliktige pålegges å lagre kopier av dokumenter og opplysninger som er innhentet i forbindelse med gjennomføring av kundetiltak. Bokstav b gjelder alle transaksjoner. Rapporteringspliktige skal lagre original eller kopi som kan være bevis ved rettergang, av dokumenter og arkiv som er nødvendig for å identifisere transaksjoner. Opplysningene og dokumentasjonen skal lagres i fem år etter at kundeforholdet ble avsluttet eller transaksjonen ble utført for kunde rapporteringspliktige ikke har et kundeforhold til.

Om ikke annet er bestemt i nasjonal rett, skal personopplysninger slettes ved utløpet av lagringsperioden, se artikkel 40 nr. 1 annet ledd. Medlemsstatene kan utvide lagringsperioden med maksimalt ytterligere fem år. Myndighetene må gjennomføre en grundig vurdering av nødvendigheten og proporsjonaliteten ved ytterligere lagring av personopplysninger. Vurderingen skal gjøres opp mot hensynet til å forebygge, avdekke og etterforske hvitvasking og terrorfinansiering. Den totale lagringstiden kan ikke overstige ti år.

Artikkel 42 pålegger statene å kreve at rapporteringspliktige har systemer for å kunne svare på spørsmål fra FIU-en eller andre myndigheter om den rapporteringspliktige har hatt kundeforhold med konkrete personer i løpet av de siste fem årene. Rapporteringspliktig må også kunne gi opplysninger om arten av kundeforholdet. Svar på forespørslene må gis gjennom sikre kanaler med full konfidensialitet.

7.3.1.2 Utlevering av opplysninger og dokumenter og forholdet til taushetsplikt

Artikkel 45 nr. 8 bestemmer generelt at utlevering av opplysninger innad i konsern skal være tillatt. Mistanke om at midler er utbytte fra straffbare handlinger eller er knyttet til terrorfinansiering som er rapportert til FIU-en, skal utleveres innad i konsernet. Det er unntak om FIU-en har gitt andre instrukser om utlevering av opplysninger.

Direktivet pålegger avsløringsforbud etter artikkel 39 nr. 1, og angir unntak fra avsløringsforbudet i nr. 2 til 6. Når det gjelder forholdet til taushetsplikt ellers, bestemmer artikkel 37 at rapportering til FIU-en i god tro ikke skal anses som brudd på taushetsplikt. Disse artiklene er nærmere omtalt i punkt 6.5.6 og 6.5.7. Direktivet har ellers ingen uttrykkelige regler om taushetsplikt.

7.3.1.3 Forholdet til personverndirektivet

Hvitvaskingsdirektivet artikkel 41 nr. 1 bestemmer at behandling av personopplysninger etter direktivet skal skje i samsvar med personverndirektivet. I hvitvaskingsdirektivet artikkel 43 er det bestemt at behandling av personopplysninger etter hvitvaskingsdirektivet for å motvirke hvitvasking og terrorfinansiering, er å regne som en offentlig interesse («a matter of public interest») i personverndirektivet.

Personverndirektivet stiller opp særskilte kriterier for at behandling av personopplysninger skal være legitimt, jf. artikkel 7. Ett av grunnlagene er at behandlingen av personopplysninger er nødvendig for å utføre en oppgave «carried out in the public interest». Artikkel 8 stiller strengere krav til behandlingen av opplysninger om rase eller etnisk opprinnelse, politisk, religiøs eller filosofisk oppfatning, medlem i fagforening, helseforhold og seksuelle forhold. Artikkel 8 nr. 4 åpner for at «substantial public interest» kan gi grunnlag for behandling av slike særskilte opplysninger dersom det er etablert «suitable safeguards». Opplysninger om lovbrudd, straffedommer eller lignende kan i utgangspunktet bare behandles av offentlige myndigheter, men kan behandles av andre dersom det er fastsatt «suitable specific safeguards» i nasjonal rett.

Personverndirektivet artikkel 6 stiller generelle krav til behandlingen av personopplysninger. Opplysningene må behandles rimelig og lovlig, bare innsamles for spesifiserte, uttrykkelige og legitime formål, og ikke brukes til andre formål som er uforenlige med formålene opplysningene er innhentet for. Personopplysningene som behandles, må videre være adekvate og relevante. Behandlingen av personopplysninger må ikke være uforholdsmessig i lys av formålet. Personopplysningene må være korrekte og, om nødvendig, oppdaterte. Personopplysningene skal ikke kunne brukes til å identifisere enkeltpersoner lenger enn det som er nødvendig for formålet med behandlingen.

Fjerde hvitvaskingsdirektiv artikkel 41 nr. 2 til 4 utdyper forholdet mellom direktivene.

Det fremgår av hvitvaskingsdirektivet artikkel 41 nr. 2 at behandling av personopplysninger på basis av hvitvaskingsdirektivet bare kan skje med formål om å motvirke hvitvasking og terrorfinansiering. Behandling av personopplysninger innhentet etter direktivet til noe annet formål, f.eks. kommersielle formål, skal være forbudt.

Hvitvaskingsdirektivet artikkel 41 nr. 3 utdyper kravet om å gi informasjon til personen det samles inn personopplysninger om (den registrerte) i personverndirektivet artikkel 10. Sistnevnte bestemmelse krever at den behandlingsansvarlige eller vedkommendes representant må gi den registrerte spesifikk informasjon før opplysninger innhentes om den registrerte. Hvitvaskingsdirektivet artikkel 41 nr. 3 krever uttrykkelig at rapporteringspliktig skal gi nye kunder generell informasjon om de rettslige forpliktelsene for rapporteringspliktig om å behandle personopplysninger med formål om å motvirke hvitvasking og terrorfinansiering. Informasjonen skal gis før kundeforhold etableres eller transaksjon utføres for en kunde rapporteringspliktig ikke har et etablert kundeforhold til.

Forholdet mellom retten til innsyn i registrerte opplysninger etter personverndirektivet artikkel 12 og avsløringsforbudet i hvitvaskingsdirektivet artikkel 39 nr. 1 er regulert i hvitvaskingsdirektivet artikkel 41 nr. 4. Statene pålegges å innføre regler som helt eller delvis begrenser den registrertes innsynsrett i registrerte personopplysninger om vedkommende. Begrensningen skal gjelde så langt det er et nødvendig og forholdsmessig tiltak i et demokratisk samfunn, sett i lys av formålet med begrensningen. Formålet med begrensningen skal være å enten gjøre den rapporteringspliktige eller kompetent myndighet i stand til å utføre sine oppgaver etter direktivet, eller for å forhindre at offentlige eller rettslige undersøkelser, analyser, etterforskning eller prosedyrer i tilknytning til direktivet blir vanskeliggjort, og for å sikre at motvirkning, etterforskning eller avdekking av hvitvasking og terrorfinansiering ikke settes i fare.

Statene kan gjøre unntak fra en del av bestemmelsene i personverndirektivet, se personverndirektivet artikkel 13. Unntaksadgangen gjelder de grunnleggende kravene til behandling av personopplysninger i artikkel 6, krav om å gi informasjon til den registrerte etter artikkel 10, krav om informasjon til den registrerte når informasjonen ikke er gitt av den registrerte selv i artikkel 11 nr. 1, retten til innsyn i artikkel 12 og plikten til å publisere behandlingsoperasjoner etter artikkel 21. Statene har adgang til å gjøre unntak når dette representerer et nødvendig sikkerhetstiltak av hensyn til bl.a. forebyggingen, etterforskningen, avdekkingen og forfølgningen av straffbare forhold, herunder tilsynsfunksjon i tilknytning til dette, se artikkel 13 nr. 1 bokstav d og f.

7.3.2 FIU-ens behandling av opplysninger og dokumenter

7.3.2.1 Registrering, lagring og sletting

Fjerde hvitvaskingsdirektiv artikkel 41 nr. 1 bestemmer generelt at personverndirektivet gjelder for behandlingen av personopplysninger etter hvitvaskingsdirektivet. Direktivet inneholder ikke nærmere regler om FIU-ens behandling av personopplysninger. Presiseringene av anvendelsen av personverndirektivet i artikkel 41 nr. 2 til 4 gjelder bare rapporteringspliktige. Dette omtales i punkt 7.3.1.3.

7.3.2.2 Utlevering av opplysninger og forholdet til taushetsplikt

Fjerde hvitvaskingsdirektiv inneholder regler om utlevering av opplysninger fra FIU-en til innenlandske myndigheter og utenlandske FIU-er.

Artikkel 32 gjelder FIU-er og deres oppgaver, herunder utlevering av opplysninger til nasjonale myndigheter. Artikkel 32 nr. 3 første ledd bestemmer blant annet at FIU-en skal være ansvarlig for å spre resultatene av sine analyser og alle tilleggsopplysninger til kompetente myndigheter når det er grunn til mistanke om hvitvasking, underliggende primærlovbrudd eller terrorfinansiering. Videre skal FIU-en kunne svare på anmodninger om utlevering av opplysninger fra disse myndighetene, jf. artikkel 32 nr. 4. Avgjørelsen om å gjennomføre en analyse eller utlevere opplysninger skal ligge hos FIU-en.

FIU-en kan nekte å utlevere opplysninger når det kan skade pågående etterforskning eller analyser, jf. artikkel 32 nr. 5. Det samme gjelder i spesielle («exceptional») tilfeller, når utlevering vil være klart uforholdsmessig av hensyn til en fysisk eller juridisk person eller være irrelevant sett opp mot formålet bak anmodningen om opplysninger.

Samarbeid mellom FIU-er på tvers av landegrensene er regulert i artikkel 52 til 57. FIU-ene skal utlevere alle opplysninger, spontant eller etter anmodning, som kan være relevant for behandlingen eller analysen av opplysninger knyttet til hvitvasking eller terrorfinansiering og de fysiske eller juridiske personene som er involvert, se artikkel 53 nr. 1 første ledd. Utlevering skal skje uavhengig av om primærlovbruddet er identifisert ved utleveringen av opplysningene. Anmodninger om opplysninger skal inneholde relevante fakta, bakgrunnsinformasjon, begrunnelsen for anmodningen og en beskrivelse av hvordan opplysningene skal brukes, se annet ledd.

Når FIU-er mottar «mistenkelig transaksjon»-rapporter som gjelder en annen medlemsstat enn FIU-ens hjemstat, skal FIU-en uten opphold videresende rapporten til denne staten, se artikkel 53 nr. 1 tredje ledd.

FIU-er kan bare nekte å utlevere opplysninger med andre FIU-er i spesielle («exceptional») tilfeller der utlevering vil være i strid med grunnleggende prinsipper i nasjonal rett, se artikkel 53 nr. 3. Slike unntak skal være spesifisert slik at de ikke innebærer en urimelig begrensning av den frie utleveringen av opplysninger for analytiske formål, eller unntak som innebærer en mulighet til å misbruke utleveringen av opplysninger.

Opplysningene og dokumentene som utleveres i samsvar med artikkel 52 og 53, skal brukes til å fremme FIU-ens formål etter direktivet. Avsenderen kan pålegge begrensninger og vilkår for bruken av opplysningene som mottakeren må overholde, jf. artikkel 54.

Formålet med anmodningen om å få utlevert opplysninger er bestemmende for hva de utleverte opplysningene kan brukes til, se artikkel 55 nr. 1. Dersom opplysningene skal sendes videre fra mottakeren, skal FIU-en som utleverte opplysningene samtykke. Medlemsstatene skal sikre at FIU-er gir samtykke i så stor grad som mulig, jf. nr. 2. Nektelse av samtykke skal bare skje hvis spredning av opplysninger faller utenfor anvendelsen av hvitvaskingsregelverket, kan skade en pågående etterforskning, er klart uforholdsmessig overfor en fysisk eller juridisk person, eller på annen måte vil være i strid med grunnleggende prinsipper i nasjonal rett. Nektelsen skal begrunnes.

Utlevering av opplysninger skal skje gjennom beskyttede kommunikasjonskanaler, jf. artikkel 56 nr. 1. Medlemsstatene oppfordres til å bruke FIU.net eller dets etterfølger. FIU-ene skal samarbeide om utvikling av ny teknologi, se nr. 2. Teknologien skal gjøre det mulig for FIU-er å sammenstille opplysninger mellom FIU-ene på en anonym måte som sikrer vern av personopplysninger. Målet er å avdekke om personer i FIU-ens register har interesse i andre medlemsstater. FIU-er fra EUs medlemsstater bruker i dag et system som heter «Ma3tch».

Generelt er det bestemt at FIU-en skal være operasjonelt uavhengig, og herunder kunne utføre sine oppgaver fritt. Dette skal omfatte å treffe egne avgjørelser om å analysere, anmode om og utlevere opplysninger, jf. artikkel 32 nr. 3. Direktivet inneholder ikke regler om tilsyn med FIU-ens behandling av opplysninger.

7.4 FATFs anbefalinger og rapport

7.4.1 Rapporteringspliktiges behandling av opplysninger og dokumenter

7.4.1.1 Registrering, lagring og sletting

FATF-anbefalingene inneholder ikke uttrykkelige anbefalinger om registrering av opplysninger. FATF-anbefaling 11 gjelder lagring («record-keeping») av opplysninger og dokumenter. Første ledd anbefaler at registre over transaksjoner lagres i minst fem år for å kunne etterkomme anmodninger fra kompetente myndigheter om informasjon. Registrene må gi nødvendige opplysninger til å identifisere enkelttransaksjoner og være av en slik karakter at de kan brukes som bevis ved eventuell straffeforfølgning.

Anbefaling 11 annet ledd anbefaler at alle opplysninger som er innhentet gjennom kundetiltak, kontooversikter og korrespondanse i forbindelse med kundeforhold, blir lagret i minst fem år etter at et kundeforhold ble avsluttet eller en transaksjon ble utført for kunde rapporteringspliktig ikke har etablert kundeforhold med. Her nevnes uttrykkelig at resultater av analyser, f.eks. analyser av komplekse eller uvanlig store transaksjoner, skal lagres.

Krav om at opplysninger fra kundetiltakene skal oppbevares må gjennomføres ved lov. Opplysninger fra kundetiltakene og transaksjonsoversikter skal være tilgjengelig for relevante nasjonale myndigheter.

FATF-anbefalingene påbyr ikke sletting.

I FATF-rapporten fikk Norge karakteren «Largely Compliant» for overholdelsen av anbefaling 11. Kritikken gjaldt hvitvaskingsloven § 22 annet ledd, som påbyr oppbevaring av dokumenter i tilknytning til mistenkelige transaksjoner i minst fem år etter at transaksjonen er gjennomført. Etter ordlyden løper oppbevaringsfristen fra transaksjonen er gjennomført, selv om et eventuelt kundeforhold fortsatt består. Anbefalingene krever at dokumentene oppbevares i minst fem år etter at kundeforholdet ble avsluttet, dersom det forelå et kundeforhold.

7.4.1.2 Utlevering av opplysninger og dokumenter og forholdet til taushetsplikt

Anbefaling 9 anbefaler at regler om taushetsplikt («financial institution secrecy laws») ikke skal hindre gjennomføringen av anbefalingene. Anbefaling 11 fjerde ledd bestemmer at opplysninger fra kundetiltak og transaksjonsoversikter skal være tilgjengelige for relevante myndigheter («upon appropriate authority»).

I fotnote 29 til FATF-metodologien punkt 9.1 er det vist til muligheten for kompetente nasjonale myndigheter til å få tilgang på opplysninger, utlevering av opplysninger mellom kompetente myndigheter, herunder internasjonalt, og utlevering av opplysninger mellom rapporteringspliktige. Fotnoten viser til anbefalingene 13, 16 og 17 når det gjelder tilfeller der det må være åpnet for utlevering av opplysninger mellom rapporteringspliktige for effektivt å gjennomføre anbefalingene. Anbefalingene gjelder henholdsvis korrespondentforbindelser, elektroniske betalingsoverføringer («wire transfers») og adgangen til å legge til grunn kundetiltak utført av tredjepart.

Ansatte som rapporterer til FIU-en i god tro, skal ikke ilegges verken straffansvar eller sivilrettslig ansvar for brudd på taushetsplikt, jf. anbefaling 21 bokstav a. Dette er uavhengig av om taushetsplikten følger av kontrakt, lov eller forskrift («contract […] legislative, regulatory or administrative provision»).

Norge fikk karakteren «Largely Compliant» i FATF-rapporten for gjennomføringen av anbefaling 9. Det ble imidlertid påpekt at det i norsk rett var uklart i hvilke situasjoner opplysninger kunne utleveres mellom rapporteringspliktige utenfor tilfellene som dekkes av hvitvaskingsloven § 20, som beskrevet under punkt 7.2.1.2.

7.4.2 FIU-ens behandling av opplysninger og dokumenter

7.4.2.1 Registrering, lagring og sletting

FATFs anbefalinger inneholder visse krav til FIU-ens behandling av opplysninger, se «interpretive note» til anbefaling 29 punkt 7. Det stilles krav om beskyttelse av opplysningene, og at opplysninger bare utveksles og brukes i samsvar med vedtatte lover, regler og rutiner. FIU-en må derfor vedta interne regler som dekker behandlingen av opplysninger, herunder krav om taushetsplikt, sikkerhetsklarering, videreformidling og tilgang til opplysningene.

I FATF-rapporten uttrykkes det bekymring for at Kontrollutvalget for tiltak mot hvitvasking innebærer en begrensning av Økokrims operasjonelle uavhengighet. Denne kritikken ble også fremmet ved forrige evaluering av Norge i 2005 og evalueringens oppfølgingsrapport i 2009. Rapporten fremhever særlig at det er en representant for privat sektor i utvalget, og at arbeidsmetodene til utvalget ikke er regulert, men i stedet bestemmes av medlemmene selv.

7.4.2.2 Utlevering av opplysninger og forholdet til taushetsplikt

«Interpretive note» til FATF-anbefaling 29 punkt 4 gjelder utlevering av opplysninger fra FIU-en til kompetente myndigheter. FIU-en skal ha mulighet til, både på eget initiativ og etter anmodning, å videreformidle opplysninger og resultater av sine analyser til relevante myndigheter. Det skal være adgang til å videreformidle opplysninger på eget initiativ til relevante myndigheter ved mistanke om hvitvasking, terrorfinansiering eller et underliggende primærlovbrudd. Ved anmodning om opplysninger eller gjennomføring av analyse, skal det være opp til FIU-en om anmodningen skal etterkommes eller ikke.

Internasjonalt samarbeid er omhandlet i anbefaling 40 med «interpretive notes».

«Interpretive note» til anbefaling 40 punkt 2 gjelder forbud eller urimelige begrensninger på samarbeidsmulighetene til offentlige organer. Det skal ikke være forbudt å utlevere opplysninger eller gi annen assistanse. Enkelte situasjoner kan ikke begrunne nektelse av å utlevere opplysninger, f.eks. at en anmodning gjelder skattespørsmål eller organet som anmoder om opplysninger har en annen status, f.eks. som påtalemyndighet eller forvaltningsorgan, enn organet anmodningen retter seg til.

«Interpretive note» til anbefaling 40 punkt 3 og 4 gir generelle retningslinjer for utlevering av opplysninger. Opplysninger som utveksles skal bare brukes til det formålet de ble innhentet til eller anmodet for. Dersom den anmodende parten ønsker å videreformidle opplysningene til andre eller bruke informasjonen på annen måte enn det som opprinnelig ble godkjent, skal myndigheten som utleverte opplysningene på forhånd gi samtykke, se «interpretive note» til anbefaling 40 punkt 3. Utleveringen skal skje gjennom trygge og pålitelige kanaler.

FIU-en skal ha rett til å utlevere alle opplysninger FIU-en selv skal ha rett til å få tilgang til etter FATFs anbefalinger og nasjonal rett, se «interpretive note» til anbefaling 40 punkt 9 bokstav a. Etter «interpretive note» til anbefaling 29 punkt 2, 5 og 6 skal FIU-en ha tilgang til opplysninger som mottas i rapporter fra rapporteringspliktige, tilleggsopplysninger som innhentes fra rapporteringspliktige, og i så stor grad som mulig opplysninger fra andre offentlige myndigheter, herunder påtalemyndigheten.

FIU-en skal være medlem av «The Egmont Group of Financial Intelligence Units», se «interpretive note» til anbefaling 29 punkt 13. FIU-en skal herunder ta hensyn til dokumenter utarbeidet og vedtatt i Egmont Group om FIU-ens rolle og funksjonsmåte, og om utlevering av opplysninger mellom FIU-er. Egmont Group er nærmere omtalt i punkt 7.5 under.

7.5 Særlig om The Egmont Group of Financial Intelligence Units

The Egmont Group of Financial Intelligence Units (Egmont Group) er en samarbeidsgruppe på operativt nivå mellom FIU-er. Navnet på organisasjonen kommer fra det første møtet mellom FIU-ene i 1995, som ble avholdt i Egmont-Arenberg-palasset i Brussel. «Interpretive note» til FATF-anbefaling 29 punkt 13 sier at FIU-er skal søke om medlemskap i Egmont Group. Per 2015 var det 151 FIU-er tilknyttet Egmont Group.

De sentrale dokumentene i Egmont-samarbeidet er Egmont-gruppens «Charter» og «Principles on Information Exchange between Financial Intelligence Units» (Prinsippene). Begge dokumentene ble revidert i 2013. Dokumentene gir ikke rettslig grunnlag for utlevering av opplysninger i seg selv, men gir uttrykk for enighet mellom FIU-ene om hvordan og i hvilken grad det skal skje samarbeid og utlevering av opplysninger mellom dem, innenfor respektiv nasjonal rett.

Innholdet i Prinsippene er i stor grad innført i fjerde hvitvaskingsdirektiv artikkel 52 til 57.

Utlevering av opplysninger mellom FIU-er skal skje med formål om å føre til bredest mulig samarbeid mellom FIU-ene. FIU-er skal utlevere opplysninger uavhengig av hva slags status den mottakende FIU-en har. Samarbeid, herunder utlevering av opplysninger, skal skje i så stor grad som mulig. Hvis det er nødvendig med bi- eller multilaterale avtaler, skal FIU-ene forsøke å inngå så mange som mulig av disse. Samarbeidet over landegrensene bør omfatte at FIU-en formidler anmodninger på vegne av utenlandske FIU-er til kompetente nasjonale myndigheter.

Anmodninger skal være begrunnet og formålet med anmodningen om opplysninger skal så vidt mulig beskrives. Det bør gis tilstrekkelig informasjon til at den anmodede FIU-en lovlig kan utlevere opplysninger.

Dersom anmodningen sendes på vegne av andre kompetente myndigheter, skal den anmodende FIU-en sørge for at det er klart hvem opplysningene anmodes på vegne av, og til hvilket formål.

FIU-er skal gi tilbakemelding om hvordan utleverte opplysninger er blitt brukt.

Anmodninger skal ikke nektes på grunn av urimelige begrensninger eller vilkår for utlevering av opplysninger eller annen assistanse. Nektelser skal ikke gis med grunnlag i at en anmodning også omfatter skattespørsmål, utleveringen hindres av taushetsplikt for private aktører, det pågår etterforskning, granskning eller rettsprosess i landet som mottar anmodningen, eller at statusen til den anmodende FIU-en er en annen enn den FIU-en som mottar anmodningen.

FIU-en kan imidlertid nekte å utlevere opplysninger der anmodningen kommer fra en FIU som ikke i tilstrekkelig grad kan beskytte opplysningene. Prinsippene stiller krav om konfidensialitet og databeskyttelse, herunder interne rutiner for opplæring og tilgang til opplysninger. Samarbeid kan også nektes med henvisning til manglende gjensidighet eller gjentakende mangel på samarbeid.

Opplysninger som mottas, behandles, oppbevares eller videreformidles av den anmodende FIU-en, må beskyttes. Som et minimum må opplysningene underlegges krav om konfidensialitet tilsvarende det som gjelder lignende opplysninger innhentet fra nasjonale kilder. Dessuten kan opplysningene bare brukes til formålet de er anmodet for, og ikke videreformidles uten samtykke fra FIU-en som utleverte dem.

7.6 Utvalgets vurderinger

7.6.1 Innledning

Utvalget foreslår et samlet kapittel om behandling av opplysninger, herunder personopplysninger. Nærmere bestemt foreslås bestemmelser om registrering, lagring, utlevering og sletting av opplysninger og dokumenter, og enkelte bestemmelser om forholdet til personopplysningsloven.

Utvalgets forslag bygger på fjerde hvitvaskingsdirektiv og de regler om behandling av personopplysninger og andre opplysninger som fremgår der. Forslaget begrenses i all hovedsak til å gjennomføre de materielle bestemmelser som direktivet krever.

Lovteknisk er lovforslaget utformet slik at reglene om rapporteringspliktiges behandling av personopplysninger må sees i sammenheng med personopplysningslovens alminnelige regler om behandling av personopplysninger.

Utvalget foreslår en innledende bestemmelse om forholdet til personopplysningsloven. Bestemmelsen er ment å avklare at personopplysningslovens regler danner utgangspunktet for behandling av personopplysninger, og at bestemmelsene i hvitvaskingsloven dels presiserer, dels gjør unntak fra personopplysningslovens regler om behandling av personopplysninger. Det gis dessuten uttrykkelig hjemmel for rapporteringspliktige til å behandle personopplysninger, herunder sensitive personopplysninger.

Fjerde hvitvaskingsdirektiv presiserer kravet til formålsbestemthet for rapporteringspliktiges behandling av personopplysninger. Økokrims behandling av personopplysninger må også være formålsbestemt, i samsvar med alminnelige prinsipper for behandling av personopplysninger, jf. omtalen av Grunnloven § 102 og EMK artikkel 8 under punkt 7.1. Utvalget foreslår derfor en bestemmelse om formålsbestemt behandling av personopplysninger innledningsvis i kapittelet. Bestemmelsen setter rammen for rapporteringspliktiges og Økokrims behandling av personopplysninger.

Registrering og lagring av opplysninger er en nødvendig forutsetning for at rapporteringspliktige kan gjennomføre tilfredsstillende kundetiltak og løpende oppfølging. Lagring av opplysninger etter at kundeforhold er avsluttet er et ytterligere tiltak for å motvirke hvitvasking og terrorfinansiering. Overtredelse av bestemmelsene kan medføre sanksjoner.

Direktivet skiller mellom personopplysninger og andre opplysninger og dokumenter når det gjelder sletteplikten. Det er kun personopplysninger som er omfattet av sletteplikten. Hva som er personopplysninger, fremgår av personopplysningsloven § 2 bokstav a. Personopplysninger er alle opplysninger og vurderinger knyttet til enkeltpersoner. Hvitvaskingsregelverket forutsetter at også opplysninger som ikke er personopplysninger, må registreres og lagres. Eksempelvis er ikke opplysninger om juridiske personer personopplysninger. Opplysninger som dreier seg om kunder som er juridiske personer, må derfor kreves registrert og lagret. Reglene som foreslås om registrering og lagring, gjelder dermed både personopplysninger og andre opplysninger. Opplysninger som ikke er personopplysninger, omfattes ikke av sletteplikten.

Lovteknisk foreslår utvalget at registreringsplikten knyttes til opplysninger innhentet gjennom kundetiltakene og undersøkelser av forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering. Det skal også registreres opplysninger om at det er rapportert til Økokrim (EFE). Forslaget til registreringsplikt omfatter alle opplysninger det er krav om å registrere i gjeldende lov, men registreringen skal ikke i seg selv være et kundetiltak.

Lagringsplikten innebærer at rapporteringspliktige må ta vare på opplysninger og dokumenter om kunder, kundeforhold, undersøkelser og rapportering i en periode etter at kundeforhold er avsluttet eller transaksjon er gjennomført. Lagringsplikten er, på samme måte som plikten til å registrere opplysninger, nødvendig for å sette rapporteringspliktig i stand til å føre løpende oppfølging og gjennomføre undersøkelser. Det er dessuten av betydning for påtalemyndigheten ved etterforskning og tilsynsmyndigheter ved gjennomføring av tilsyn. Lagringsplikten omfatter alle registrerte opplysninger, og i tillegg dokumenter og kopier av dokumenter innhentet og utarbeidet i forbindelse med kundetiltakene og undersøkelser av forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering.

Utvalget foreslår at Økokrims behandling av opplysninger behandles i en særskilt bestemmelse. Bestemmelsen utfylles av reglene i politiregisterloven og -forskriften.

Hva gjelder den redaksjonelle utformingen av reglene om behandling av personopplysninger og andre opplysninger, foreslår utvalget at bestemmelsen om forholdet til personopplysningsloven plasseres først i kapittelet. Deretter følger bestemmelsene om rapporteringspliktiges behandling av personopplysninger, bygget opp rundt kronologien i rapporteringspliktiges møte med kunder og tilhørende behandling av personopplysninger. Derfor kommer reglene om registrering av opplysninger først. Så følger regler om lagring og sletting av opplysninger og dokumentasjon. Enkelte bestemmelser regulerer særlige spørsmål med hensyn til personopplysningsloven. Regler om Økokrims behandling av personopplysninger er skilt ut i en egen bestemmelse.

7.6.2 Formålsbestemt behandling av personopplysninger

Det er et generelt prinsipp at behandling av personopplysninger skal være formålsbestemt, se punkt 7.1. For rapporteringspliktige er det bestemt i fjerde hvitvaskingsdirektiv artikkel 41 nr. 2 at behandling av personopplysninger med grunnlag i direktivet bare skal kunne skje for å forebygge og avdekke hvitvasking og terrorfinansiering. I tillegg presiserer artikkelen at behandling av personopplysninger etter direktivet for andre formål skal være forbudt, og kommersielle formål nevnes som et eksempel. For Økokrims behandling av personopplysninger følger det av EMK artikkel 8 at behandlingen kun skal skje for å forfølge et legitimt formål. Formålet med hvitvaskingsregelverket er å avdekke og forebygge hvitvasking og terrorfinansiering, se nærmere omtale under punkt 2.2.4. Dette avgrenser Økokrims adgang til å behandle personopplysninger.

Utvalget foreslår derfor en bestemmelse i kapittelet om formålsbestemt behandling av personopplysninger, se lovforslaget § 28. Utvalget anser det ikke nødvendig at bestemmelsen uttrykkelig forbyr behandling av personopplysninger for andre formål. Det fremgår av bestemmelsen når den «bare» tillater behandling av personopplysninger for det angitte formålet.

Forslaget innebærer en endring av rettstilstanden, og presiserer og avgrenser hvilket formål som kan begrunne behandling av personopplysninger med hjemmel i hvitvaskingsloven.

Den foreslåtte bestemmelsen har én side til rapporteringspliktiges behandling av personopplysninger, og én side til Økokrims behandling av personopplysninger.

For rapporteringspliktige innebærer kravet om formålsbestemt behandling av personopplysninger at opplysningene som innhentes som ledd i kundetiltak, ikke kan brukes ved f.eks. markedsføring overfor kundene. Det samme gjelder dersom rapporteringspliktig ønsker å utlevere opplysninger til andre. Personopplysningene kan bare behandles med formål om å forebygge og avdekke hvitvasking og terrorfinansiering.

Kravet til formålsbestemt behandling av personopplysninger i Økokrim setter rammen for hvilken adgang Økokrim har til å utlevere opplysninger til andre. Utleveringsadgangen er ikke styrt av hvilket organ det utleveres til, men til hvilket formål utleveringen skjer. En avgrensning av utleveringsadgangen etter typen organ eller myndighet kunne bli både for vid og for snever sett i lys av formålet med hvitvaskingsregelverket. Personopplysningene kan altså bare utleveres for å forebygge og avdekke hvitvasking og terrorfinansiering. Utvalget anser på denne bakgrunn gjeldende hvitvaskingslov § 30 første ledd for å ha en uheldig utforming og foreslår at bestemmelsen ikke videreføres.

Det er på det rene at opplysningene etter lovforslaget § 28 om formålsbestemthet kan utleveres fra Økokrim til andre deler av politiet for å etterforske hvitvasking. Hvitvasking går ut på å befatte seg med utbytte fra enhver straffbar handling, se lovforslaget § 2 bokstav a med henvisning til straffeloven §§ 332 og 337. Et sentralt formål med å bekjempe hvitvasking er å avdekke og forebygge profittmotivert kriminalitet ved å gjøre det vanskeligere for kriminelle å nyte godt av utbytte av straffbare handlinger. Det vil derfor også være i samsvar med formålsangivelsen å utlevere opplysninger til politiets etterforskning av profittmotivert kriminalitet. Utvalget viser til omtalen av formålet med loven, punkt 2.2.4, og til fjerde hvitvaskingsdirektiv artikkel 32 nr. 3 som forutsetter at FIU-en kan utlevere etterretningsrapporter til etterforskningen av profittmotivert kriminalitet.

Når formålet med hvitvaskingsloven er å forebygge og avdekke hvitvasking, vil opplysningene fra Økokrim kunne brukes også av andre offentlige myndigheter på samme måte som politiet kan bruke opplysningene. Opplysningene kan altså brukes til å forebygge og avdekke hvitvasking, herunder tilknyttet profittmotivert kriminalitet, og terrorfinansiering. Denne adgangen fremgår forutsetningsvis av fjerde hvitvaskingsdirektiv artikkel 32 nr. 3, som omtaler FIU-ens ansvar for å utlevere sine analyser og andre opplysninger til relevante myndigheter når det er «grounds to suspect money laundering, associated predicate offences or terrorist financing». Personopplysningene som utleveres fra Økokrim, kan derfor brukes i tilsynsvirksomhet eller til å ilegge forvaltningssanksjoner, som f.eks. tilleggsskatt eller tilleggsavgift. Derimot kan ikke opplysningene brukes ved alminnelig forvaltningsvirksomhet som ikke har til formål å avdekke og forebygge profittmotivert kriminalitet, eksempelvis ordinære vedtak om ligning, avgift eller øvrig forvaltningsmyndighet. Når direktivet opererer med en uttrykkelig og klar formålsbegrensning, er det ikke lenger grunnlag for å opprettholde gjeldende hvitvaskingslov § 30 annet ledd.

Når det gjelder terrorfinansiering, omfatter dette handlinger som beskrevet i straffeloven § 135 og finansiering som beskrevet i straffeloven § 136 a, se lovforslaget § 2 bokstav b. Opplysninger kan utleveres fra Økokrim til alle relevante myndigheter som har oppgaver knyttet til å forebygge og avdekke terrorfinansiering. Formålet med å avdekke og forebygge terrorfinansiering er å hindre terrorlovbrudd. Det vil derfor være i samsvar med formålet med regelverket at Økokrim utleverer opplysninger til myndigheter som har oppgaver knyttet til bekjempelse av terrorlovbrudd i alminnelighet. Utvalget foreslår etter dette ikke å videreføre den særlige bestemmelsen i hvitvaskingsloven § 30 om utlevering av opplysninger til andre offentlige myndigheter enn politiet som har oppgaver knyttet til forebygging av terrorlovbrudd. Med den foreslåtte bestemmelsen om formålsbestemt behandling av personopplysninger er det unødvendig å presisere at utlevering også kan skje til andre offentlige myndigheter enn politiet med oppgaver knyttet til bekjempelse av terrorlovbrudd.

Når det gjelder utlevering av opplysninger til utlandet, skal dette bare kunne skje til finansielle etterretningsenheter. Også her er formålet avgrenset til å gjelde hvitvasking og terrorfinansiering, i samsvar med det som er sagt ovenfor.

Forslaget til ny hvitvaskingslov § 28 vil derfor sette en ramme for Økokrims utlevering av opplysninger fra ASK. Utvalget anser gjeldende politiregisterforskrift § 52-6 første ledd for å være en dekkende presisering av de rammene som forslaget til ny hvitvaskingslov § 28 skal sette.

7.6.3 Rapporteringspliktiges behandling av opplysninger og dokumenter

7.6.3.1 Forholdet til personopplysningsloven og hjemmel for behandling av personopplysninger

Utvalget foreslår en uttrykkelig bestemmelse om forholdet til personopplysningsloven av pedagogiske formål, se lovforslaget § 27 første ledd. Utgangspunktet vil være det samme som ellers, nemlig at personopplysningslovens regler gjelder for behandlingen av personopplysninger hos rapporteringspliktige. Presiseringer og unntak kan følge av hvitvaskingsloven eller bestemmelser gitt i medhold av hvitvaskingsloven. Bestemmelsen er ikke ment å gripe inn i personopplysningsloven § 5 om personopplysningslovens virkeområde. Bestemmelsen gjelder bare rapporteringspliktiges behandling av personopplysninger etter hvitvaskingsloven og er således ikke ment å gripe inn i politiregisterlovens anvendelsesområde. Utvalget foreslår ikke en tilsvarende bestemmelse for Økokrims behandling av personopplysninger, fordi pedagogiske hensyn her ikke gjør seg gjeldende på samme måte.

Gjennomføringen av kundetiltak, løpende oppfølging og undersøkelser vil omfatte behandling av personopplysninger, jf. personopplysningsloven § 2 nr. 1. I praksis vil det også kunne være behov for å behandle sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8. Lovhjemmel er i alle fall tilstrekkelig rettslig grunnlag for rapporteringspliktige til å behandle personopplysninger og sensitive personopplysninger, jf. personopplysningsloven §§ 8 første ledd og 9 første ledd bokstav b. Utvalget foreslår en uttrykkelig hjemmel for rapporteringspliktige til å behandle personopplysninger, herunder sensitive personopplysninger, se lovforslaget § 27 annet ledd.

Lovforslaget griper ikke inn i reglene om melde- og konsesjonsplikt etter personopplysningsloven kapittel VI.

7.6.3.2 Registrering

Hvitvaskingsdirektivet krever at alle opplysninger fra kundetiltakene lagres, jf. artikkel 40 nr. 1. Dermed forutsettes det at opplysningene skal registreres. Uten registrering av opplysningene vil det ikke være mulig å lagre dem.

I gjeldende hvitvaskingslov er det bare opplysninger om identitet og bekreftelse av identitet som uttrykkelig skal registreres av opplysninger innhentet ved kundekontrollen, jf. § 8. Oppbevaringsplikten i gjeldende hvitvaskingslov § 22 er knyttet til registreringen i § 8, men omfatter også kopier av dokumenter benyttet i forbindelse med kundekontroll. Dette medfører at informasjon om kundeforholdets eller transaksjonens formål og tilsiktede art ikke uttrykkelig kreves registrert eller oppbevart. Det samme gjelder andre opplysninger som er innhentet som ledd i f.eks. løpende oppfølging av kundeforhold.

Etter utvalgets oppfatning må det klarere frem i lovteksten at plikten til å registrere opplysninger også gjelder alle andre opplysninger som innhentes som del av gjennomføringen av kundetiltak. Fjerde hvitvaskingsdirektiv artikkel 40 nr. 1 bokstav a viser til kapittel II om kundetiltak i sin helhet.

Plikten til å registrere resultatet av eventuelle undersøkelser foreslås videreført. Utvalget foreslår videre en uttrykkelig bestemmelse om at opplysninger om at det er rapportert til Økokrim skal registreres. Dette følger implisitt av at kravet om en risikobasert tilnærming til gjennomføringen av løpende oppfølging. Utvalget anser det ønskelig å gjøre plikten tydelig for de rapporteringspliktige.

På denne bakgrunn foreslår utvalget en samlet bestemmelse om registrering av opplysninger innhentet ved kundetiltak og løpende oppfølging, gjennomføring av undersøkelser og rapportering, se lovforslaget § 29. Som det fremgår nedenfor under punkt 7.6.3.3, skal brudd på reglene om lagring kunne sanksjoneres. Siden lagringsplikten forutsetter registrering, må brudd på registreringsreglene kunne sanksjoneres.

Unntaket i gjeldende hvitvaskingslov § 8 om registrering av adresse der denne er vedtatt å skulle være fortrolig eller strengt fortrolig foreslås videreført, se forslaget til § 29 annet punktum. Gjeldende hvitvaskingslov § 8 gjør ellers unntak fra plikten til registrering for visse opplysninger når det ikke er mulig å registrere opplysningene, f.eks. der kunden ikke har fødselsnummer eller organisasjonsnummer. Innholdsmessig videreføres unntakene, men unntakene fremgår nå av bestemmelsene om kundetiltak, se lovforslaget § 9. Siden registreringsplikten er knyttet til informasjonen som innhentes ved kundetiltakene, vil resultatet etter utvalgets lovforslag bli det samme som unntakene som i dag fremgår av hvitvaskingsloven § 8.

7.6.3.3 Lagring

Gjeldende hvitvaskingslov § 22 gir regler om oppbevaring av opplysninger og dokumenter for rapporteringspliktige. Disse reglene foreslås i all hovedsak videreført, med enkelte strukturelle endringer.

Utvalget understreker at fjerde hvitvaskingsdirektiv artikkel 40 pålegger lagringsplikt, og brudd på denne plikten skal sanksjoneres, jf. artikkel 59 nr. 1 bokstav c.

Utvalget foreslår en samlet bestemmelse som pålegger lagring av registrerte opplysninger og dokumenter innhentet og utarbeidet i forbindelse med kundetiltak, undersøkelser og rapportering, se forslaget til § 30 første ledd. Hva som skal være registrert, fremgår av forslaget til § 29. Når det gjelder dokumenter, anser utvalget det ikke nødvendig å skille mellom dokumenter benyttet i forbindelse med kundetiltak, og dokumenter med tilknytning til undersøkelser av forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering.

Utvalget har vurdert enkelte problemstillinger knyttet til lagring av opplysninger og dokumenter som følge av fjerde hvitvaskingsdirektiv og FATF-rapporten.

Transaksjonsoversikter

Fjerde hvitvaskingsdirektiv artikkel 40 nr. 1 bokstav b krever at rapporteringspliktige lagrer «supporting evidence and records of transactions (…) which are necessary to identify transactions» i fem år etter at kundeforholdet ble avsluttet eller transaksjonen ble gjennomført. Direktivet synes å bygge på FATF-anbefaling 11 første ledd, som sier at rapporteringspliktige

«should be required to maintain, for at least five years, all necessary records on transactions, both domestic and international, to enable them to comply swiftly with information requests from the competent authorities. Such records must be sufficient to permit reconstruction of individual transactions (including the amounts and types of currency involved, if any) so as to provide, if necessary, evidence for prosecution of criminal activity.»

Kontoutskrift for kunde vil være et eksempel på transaksjonsoversikt som må lagres hos rapporteringspliktig. Det sentrale er at oversiktene gir tilstrekkelig informasjon til å kunne identifisere enkelttransaksjoner, herunder transaksjonens størrelse og typen valuta.

I FATF-metodologien kriterium 11.1 er tidspunktet de fem årene lagringstiden skal regnes fra, knyttet til «completion of the transaction». I FATF-rapporten var det ikke innvendinger til norsk rett på dette punktet, og rapporten viste til at bokføringsloven med forskrifter tilfredsstilte kravene til spesifikasjon og lagring av transaksjonsoversikter. Loven og forskriften stiller krav til fullstendighet, nøyaktighet og sporbarhet. Spesifikasjoner skal blant annet gi opplysninger om parter ved transaksjoner og ytelsens art og omfang.

Den svenske utredningen av ny hvitvaskingslov synes å ha tolket direktivet slik at det kun gjelder lagring av dokumenter og opplysninger i tilknytning til undersøkelse av mistenkelige transaksjoner.10 Slike regler ble først innført i Sverige fra 1. august 2015.11

Direktivets ordlyd synes å gå noe lenger enn FATF-anbefaling 11, der grensen for oppbevaring av transaksjonsoversikter er fem år uansett om det foreligger et kundeforhold eller ikke. Konsekvensen av direktivet, dersom det tas på ordet, er at det innføres strengere regler om lagring av informasjon om kunders transaksjoner enn det som følger av FATFs anbefalinger. Direktivet bygger ellers på anbefalingene, og det synes ikke begrunnet at det her er valgt en avvikende løsning. I den sammenheng er det grunn til å påpeke at direktivet ikke synes å være tolket slik i Sverige.

På denne bakgrunn er utvalget av den oppfatning at fjerde hvitvaskingsdirektiv artikkel 40 nr. 1 bokstav b ikke krever mer enn det som følger av FATF-anbefaling 11 og metodologien kriterium 11.1. Reglene om bokføring i norsk rett er derfor tilstrekkelige til å oppfylle kravet om lagring av transaksjonsoversikter som gjør det mulig å identifisere enkelttransaksjoner. Utvalget foreslår ingen endringer på dette punktet.

Lagringsmåte

Når det gjelder lagringsmåten for opplysninger og dokumenter, bestemmer gjeldende hvitvaskingslov § 22 tredje ledd at disse skal oppbevares på en «betryggende måte» og «beskyttes mot uautorisert tilgang fra uvedkommende». Hvitvaskingsforskriften § 17 gir enkelte presiseringer av kravet til oppbevaring av opplysninger, dokumenter og kopier av dokumenter. Det er uttrykkelig krav om at kopier av legitimasjonsdokumenter skal påføres «rett kopi bekreftes» med signatur. Dette forutsetter at det produseres fysiske kopier på papir. Videre må alle opplysninger og dokumenter oppbevares på medium som opprettholder lesekvaliteten i hele oppbevaringsperioden, se forskriften § 17 annet ledd. For elektronisk materiale må det foreligge sikkerhetskopi som lagres atskilt fra originalen, se forskriften § 17 tredje ledd. Er det benyttet elektronisk signatur som gyldig legitimasjon, se forslaget til hvitvaskingsforskrift § 1 fjerde ledd, skal rapporteringspliktig lagre sertifikatets identifikasjonskode og opplysninger om sertifikatutstederens identitet, se gjeldende hvitvaskingslov § 22 første ledd annet punktum. Ved bruk av kontonummer eller lignende skal det registreres en entydig forbindelse mellom kundeforhold og registrerte opplysninger, se hvitvaskingsloven § 22 første ledd siste punktum.

Etter utvalgets oppfatning er disse bestemmelsene presiseringer av den grunnleggende plikten til betryggende lagring. Kravet til betryggende lagring innebærer at de samme kravene til lagring videreføres. Det vil f.eks. være åpenbart at rapporteringspliktige må sikre at det finnes en entydig forbindelse mellom alle de opplysningene de har registrert om et kundeforhold i forbindelse med kundetiltak og løpende oppfølging, eventuelle undersøkelser og rapportering, og selve kundeforholdet. Det er ikke nødvendig at dette fremgår av lovteksten. Betryggende lagring vil også kunne omfatte mer enn det som er nedfelt i gjeldende hvitvaskingsforskrift. Ved at lov- og forskrifttekst bare nevner enkelte deler av kravene til betryggende lagring, medfører det en mulighet for at rapporteringspliktige ikke gjør mer enn det som er uttrykkelig bestemt for å oppfylle kravet til betryggende lagring.

Utvalget foreslår derfor ikke å videreføre de uttrykkelige reglene om lagringsmåte.

Lovforslagets krav om betryggende lagring som hindrer uautorisert tilgang fra uvedkommende, suppleres av personopplysningsloven § 13 om informasjonssikkerhet. Den behandlingsansvarlige skal sikre tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Personopplysningsforskriften kapittel 2 gir utfyllende bestemmelser om informasjonssikkerhet, blant annet om organisering, taushetsplikt, fysisk sikring og sikring av konfidensialitet, integritet og tilgjengelighet.

Systemer for oversikt over kundeforhold

I gjeldende hvitvaskingslov § 25 er særskilte rapporteringspliktige pålagt å ha «systemer som muliggjør raske og fullstendige svar på forespørsler fra Økokrim eller tilsynsmyndighet om hvorvidt de har eller i løpet av de siste fem år har hatt kundeforhold til konkrete personer og om kundeforholdets art». Utvalget oppfatter dette som særlige krav til lagringsmåten for opplysninger og dokumenter. Fjerde hvitvaskingsdirektiv har en tilsvarende bestemmelse i artikkel 42. Artikkelen gjelder imidlertid alle rapporteringspliktige. Systemet trenger ikke gi alle opplysninger om kundeforholdet. Det er tilstrekkelig at systemet gjør det mulig å finne raskt frem til opplysninger om kundens identitet og type kundeforhold.

Utvekslingen skal etter artikkel 42 skje gjennom «secure channels» og på en måte som sikrer «full confidentiality of the enquiries». Utvalget foreslår ingen uttrykkelig regel om dette, da det ligger i sakens natur at slike forespørsler og svar på forespørsler må sendes på betryggende måte. Utvalget antar at Økokrim vil stille tilstrekkelige krav til kommunikasjonen med rapporteringspliktige til å overholde direktivets regel.

Utvalget foreslår at gjeldende regel videreføres, men at den i samsvar med direktivet skal gjelde alle rapporteringspliktige. Utvalget foreslår videre at bestemmelsen plasseres i kapittelet om lagring av opplysninger og dokumenter, slik at bestemmelser om lagring samles, se forslaget til § 30 annet ledd.

7.6.3.4 Lagringstid og sletting av personopplysninger og dokumenter

Gjeldende hvitvaskingslov påbyr oppbevaring av opplysninger og dokumenter innhentet i forbindelse med kundekontroll i fem år etter at kundeforhold ble avsluttet eller transaksjon ble gjennomført, se hvitvaskingsloven § 22 første ledd. For dokumenter som er benyttet ved gjennomføring av undersøkelser etter hvitvaskingsloven § 17, er oppbevaringsperioden utelukkende knyttet til transaksjonstidspunktet. Ved utløpet av oppbevaringsperioden skal opplysninger og dokumenter slettes innen ett år, se tredje ledd. I praksis innebærer det at opplysninger og dokumenter kan oppbevares i nesten seks år.

Utvalget har vurdert enkelte problemstillinger knyttet til lagringstid og sletting av opplysninger og dokumenter i lys av fjerde hvitvaskingsdirektiv og FATF-rapporten.

Opplysninger og dokumenter fra undersøkelser

Norge ble i FATF-rapporten kritisert for å ikke kreve at dokumenter i tilknytning til undersøkelser av mistenkelige transaksjoner skal lagres i minst fem år etter at kundeforholdet ble avsluttet. Fristen i gjeldende hvitvaskingslov § 22 annet ledd er, som nevnt ovenfor, knyttet til begrepet transaksjon, også i tilfeller der det foreligger et kundeforhold. Som omtalt under punkt 6.5.2, foreslår utvalget at undersøkelsesplikten ikke lenger er knyttet til mistanke om hvitvasking eller terrorfinansiering. Undersøkelsesplikten skal utløses der det foreligger forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering.

Fjerde hvitvaskingsdirektiv har regulert kravet til undersøkelse i artikkel 18 nr. 2 om forsterkede kundetiltak. Det er plikt til å lagre opplysninger og dokumenter innhentet i forbindelse med alle kundetiltak i fem år etter at kundeforhold ble avsluttet eller transaksjon ble gjennomført, jf. artikkel 40 nr. 1 bokstav a.

På bakgrunn av både fjerde hvitvaskingsdirektiv og FATF-rapporten foreslår utvalget etter dette å utvide plikten til å lagre opplysninger og dokumenter med tilknytning til undersøkelse av forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering. Opplysningene og dokumentene skal lagres i minst fem år etter at kundeforholdet ble avsluttet, se forslaget til § 31 første ledd. Ved transaksjoner som gjennomføres for kunde rapporteringspliktig ikke har et etablert kundeforhold til, regnes lagringstiden, som i dag, fra transaksjonstidspunktet.

Lagringstid

Som det fremgår av omtalen av fjerde hvitvaskingsdirektiv under punkt 7.3.1.1, skal lagringstiden for registrerte opplysninger, dokumenter og kopier av dokumenter i utgangspunktet være fem år. Perioden kan utvides til inntil ti år, forutsatt at det anses som et nødvendig og forholdsmessig inngrep i et demokratisk samfunn med formål om å forebygge, avdekke og etterforske hvitvasking og terrorfinansiering. Direktivets ordlyd tilsvarer dermed vilkårene for å gripe inn i retten til privatliv i EMK artikkel 8 nr. 2 og Den europeiske unions charter om grunnleggende rettigheter artikkel 52 jf. artikkel 7 og 8. Grunnloven § 102 er tolket med tilsvarende begrensning, se Rt. 2015 side 93 avsnitt 60.

Utvalget har vurdert om det skal innføres en slik adgang til utvidet lagring i norsk rett. Utvalget understreker at reglene i hvitvaskingsloven om lagring av dokumenter og opplysninger ikke begrenser adgangen til å lagre opplysninger etter annet regelverk, som f.eks. straffeprosessloven og politiregisterloven.

I Sverige er det foreslått en generell adgang til å lagre opplysninger i inntil ti år, forutsatt at det er nødvendig for å forebygge, oppdage eller etterforske hvitvasking eller terrorfinansiering. Pågående rettsprosess nevnes som eksempel på tilfelle der det vil være nødvendig å lagre opplysningene og dokumentene lenger enn fem år etter kundeforholdet ble avsluttet eller transaksjonen gjennomført. Forslaget overlater til forvaltningen å gi nærmere regler i forskrift om når dette vil være tillatt.12

I norsk sammenheng setter Grunnloven § 102 en grense for hvor lenge og på hvilke måter personopplysninger kan behandles. Videre stiller EMK artikkel 8 om retten til privatliv, familieliv, hjem og korrespondanse krav til nasjonal rett. Det kan gjøres inngrep i retten til privatliv etter EMK artikkel 8 nr. 2. Inngrep må ha hjemmel i «law», og være «necessary in a democratic society» for å sikre visse legitime interesser, bl.a. «prevention of disorder or crime». Inngrepet må derfor svare på et «pressing social need and, in particular, that it is proportionate to the legitimate aim pursued». Staten har en viss skjønnsmargin for å vurdere hva som er «necessary in a democratic society».13 Retten til privatliv er med andre ord ikke absolutt.

Det kan være tilfeller der det er et sterkt behov, ut fra formålet om å avdekke og forebygge hvitvasking og terrorfinansiering, for å lagre personopplysninger og dokumenter lenger enn fem år. Ved avdekking og forebygging av hvitvasking og terrorfinansiering vil det i mange tilfeller være relevant å se flere, i utgangspunktet frittstående, kunder, kundeforhold eller transaksjoner samlet eller i sammenheng. I slike tilfeller vil det kunne virke mot lovens formål dersom det gjaldt en unntaksfri sletteplikt fem år etter kundeforholdet ble avsluttet eller transaksjonen gjennomført. Dette behovet må avstemmes mot retten til privatliv, jf. Grunnloven § 102 og EMK artikkel 8.

Utvalget finner på denne bakgrunnn at det må være strengt nødvendig for at lagring utover fem år skal være akseptabelt. Utvidet lagring forutsetter en konkret og individuell vurdering av nødvendigheten, der et sterkt behov må identifiseres og begrunnes. Dette skal være en sikkerhetsventil i enkelttilfeller. Opplysningene må slettes så snart behovet ikke lenger er til stede. Det gjelder en absolutt yttergrense på ti år, i samsvar med direktivet artikkel 40. Utvalget understreker at den klare hovedregelen er at personopplysninger ikke skal lagres lenger enn fem år.

Sletting

Plikten til å slette personopplysninger fremgår av fjerde hvitvaskingsdirektiv artikkel 40 nr. 1 annet ledd. Statene skal sikre at rapporteringspliktige sletter personopplysninger når lagringstiden er utløpt. I gjeldende hvitvaskingslov er rapporteringspliktige gitt en frist på ett år før opplysninger og dokumenter som er oppbevart må slettes etter at femårsperioden er utløpt, se hvitvaskingsloven § 22 tredje ledd.

Etter utvalgets oppfatning må norsk regelverk strammes inn på dette punktet. Utvalget foreslår en plikt til å slette personopplysninger etter fem år. Plikten til sletting har sammenheng med det grunnleggende hensynet til vern av personopplysninger, herunder at personopplysninger ikke skal behandles lenger enn nødvendig, jf. personopplysningsloven § 11 første ledd bokstav e og personverndirektivet artikkel 6 nr. 1 bokstav e. Direktivet kan imidlertid etter utvalgets oppfatning vanskelig forstås absolutt, i den forstand at rapporteringspliktige er nødt til å oppdatere arkivet sitt kontinuerlig, f.eks. daglig, for å fjerne opplysninger og dokumenter som er lagret i mer enn fem år. Et visst slingringsmonn må tillates.

Plikten til å slette personopplysninger foreslås regulert på samme sted som kravet til lagringstid, se forslaget til § 31 annet ledd.

Sletting av opplysninger som ikke er personopplysninger, foreslås ikke regulert i loven. Det vil ikke være plikt til å oppbevare disse opplysningene utover fem år, men heller ingen plikt til å slette dem.

7.6.3.5 Utlevering av opplysninger og dokumenter. Forholdet til taushetsplikt

Utvalget har gjennomgått reglene i hvitvaskingsloven som hjemler utlevering av opplysninger fra rapporteringspliktige med bakgrunn i fjerde hvitvaskingsdirektiv og FATF-rapporten.

Utlevering av opplysninger fra rapporteringspliktige forutsetter for det første at opplysningene ikke er underlagt taushetsplikt. For det annet må personopplysningsretten ikke være til hinder for utlevering av opplysningene. Begge disse vilkårene må være oppfylt – dersom opplysningene er underlagt taushetsplikt, er det ikke tilstrekkelig for utlevering at personopplysningsretten åpner for utlevering. Omvendt er det ikke tilstrekkelig at opplysningene er fritatt for taushetsplikt, dersom personopplysningsretten er til hinder for utlevering av opplysningene.

Et grunnleggende prinsipp i personopplysningsretten er at behandling av personopplysninger krever rettslig grunnlag, se punkt 7.1. Utlevering er en type behandling av personopplysninger. Etter personopplysningsloven §§ 8 og 9, om henholdsvis alminnelige og sensitive personopplysninger, er lovhjemmel tilstrekkelig grunnlag for å behandle personopplysninger.

Fjerde hvitvaskingsdirektiv gir én regel om utlevering av opplysninger fra rapporteringspliktige, se artikkel 45 nr. 8 jf. artikkel 39 nr. 3. Artikkelen gjelder utlevering av opplysninger om at det er rapportert til FIU-en innad i konsern i EØS og til filialer og majoritetseide datterselskaper. Disse reglene er gjennomgått under punkt 6.5.7.

I FATF-rapporten ble det, som nevnt under punkt 7.4.1.2, påpekt at det var noe uklart i hvilke situasjoner det var adgang til å utlevere opplysninger mellom finansielle foretak i konsern.14

Det kan reises spørsmål ved om lovforslaget § 25 tredje ledd gir tilstrekkelig hjemmel etter personopplysningsloven til å utlevere opplysninger i tilfellene dekket av fjerde hvitvaskingsdirektiv artikkel 45 nr. 8. For å unngå tvil, og dessuten avklare forholdet til taushetsplikt, foreslår utvalget en uttrykkelig bestemmelse som åpner for utlevering av opplysninger i den grad fjerde hvitvaskingsdirektiv krever det, se lovforslaget § 32.

Gjeldende hvitvaskingslov gir enkelte regler som uttrykkelig regulerer forholdet til eventuell taushetsplikt. Reglene er gitt ved lov, og gir derfor tilstrekkelig grunnlag til å utlevere opplysningene i samsvar med personopplysningsloven §§ 8 og 9. Tilfellene gjeldende hvitvaskingslov regulerer, omfatter utlevering av opplysninger i forbindelse med rapportering til Økokrim, jf. § 20, og bruk av kundekontroll utført av tredjepart eller oppdragstaker, se henholdsvis §§ 11 fjerde ledd og 12 fjerde ledd. Utvalget har vurdert om disse reglene skal videreføres.

Utvalget foreslår ikke ytterligere regler om utlevering av personopplysninger i hvitvaskingsloven. Fjerde hvitvaskingsdirektiv gir kun regler om den ovennevnte situasjon. Ellers er hvitvaskingsdirektivets klare utgangspunkt at personverndirektivet skal være bestemmende for behandlingen av personopplysninger med basis i hvitvaskingsdirektivet. Utvalget legger derfor til grunn at de alminnelige reglene i personopplysningsloven og relevant regelverk om taushetsplikt i stedet kommer til anvendelse, herunder eventuelle konsesjoner fra Datatilsynet. Utvalget knytter likevel enkelte kommentarer til hvilken adgang det vil være til å utlevere opplysninger i de situasjoner som er uttrykkelig regulert i hvitvaskingsloven i dag.

Ved rapportering og oversendelse av opplysninger til Økokrim i god tro, i samsvar med lovforslaget §§ 21 og 22, skal rapporteringspliktig ikke kunne holdes verken straffe- eller erstatningsrettslig ansvarlig. Det innebærer samtidig at verken taushetsplikt eller reglene i personopplysningsloven vil hindre slik rapportering eller oversendelse.

Ved utkontraktering og når rapporteringspliktig legger til grunn kundetiltak utført av tredjepart, vil samtykke fra kunden være aktuelt som rettslig grunnlag for behandling av personopplysninger, herunder utlevering. Samtykke fra kunden vil også oppheve eventuell taushetsplikt. Forutsetningen når det er spørsmål om utlevering av opplysninger fra oppdragstaker, er at oppdragstaker opptrer på vegne av rapporteringspliktig. Det ligger i dette at kunden dermed må gjøres inneforstått med at opplysninger vil bli utlevert videre til rapporteringspliktig. Forutsetningen når det er spørsmål om opplysninger fra tredjepart, er at kunden allerede har henvendt seg til tredjeparten, før kunden har henvendt seg til rapporteringspliktig. Kunden vil med andre ord ha en egeninteresse i å gi samtykke til tredjepart for utlevering av opplysningene. Dersom samtykke ikke gis, blir konsekvensen at rapporteringspliktig må gjennomføre kundetiltak på vanlig måte.

7.6.3.6 Informasjon til kunder. Unntak fra retten til innsyn etter personopplysningsloven

Som redegjort for ovenfor under punkt 7.2.1.3 og 7.3.1.3, gjelder personopplysningsloven og personverndirektivet generelt. Gjeldende hvitvaskingslov gir enkelte regler som avviker fra personopplysningsloven, men bestemmer ellers at behandlingen av personopplysninger skal skje etter personopplysningsloven, jf. § 22. Fjerde hvitvaskingsdirektiv bestemmer at personverndirektivet gjelder for behandlingen av personopplysninger etter direktivet, se artikkel 41 nr. 1. Artikkel 41 nr. 2 til 4 presiserer forholdet mellom direktivene.

Direktivet gir presiserende regler om formålsbestemt behandling av personopplysninger, retten til innsyn og plikten til å gi informasjon.

Det strengere kravet til formålsbestemthet er behandlet ovenfor under punkt 7.6.2.

Direktivet krever at rapporteringspliktige skal pålegges å gi informasjon til nye kunder om forpliktelsene etter hvitvaskingsregelverket. Utvalget foreslår at det gis en bestemmelse om informasjon til kunder i hvitvaskingsloven, se forslaget til § 34. Denne vil supplere personopplysningsloven § 19 som gir generelle regler om informasjon fra den behandlingsansvarlige til den registrerte.

Personopplysningslovens utgangspunkt er at enkeltpersoner har rett til innsyn i opplysninger behandlingsansvarlig behandler om vedkommende, se personopplysningsloven § 18. Fjerde hvitvaskingsdirektiv artikkel 41 nr. 4 begrenser denne rettigheten. Vilkårene for å begrense innsynsretten er bygget opp om vilkårene for å gripe inn i retten til privatliv i EMK artikkel 8 nr. 2 og EUs Charter om fundamentale rettigheter artikkel 7 og 8. Innsyn kan begrenses dersom dette kan vanskeliggjøre rapporteringspliktiges eller kompetente nasjonale myndigheters utførelse av oppgaver etter loven, eller i den grad innsynet vil vanskeliggjøre etterforskning og lignende undersøkelser. Retten til innsyn kan etter direktivet begrenses helt eller delvis når dette anses som et nødvendig og proporsjonalt inngrep i et demokratisk samfunn når det tas rimelig hensyn til den enkeltes interesser.

Etter utvalgets oppfatning må det gjøres en konkret og individuell vurdering ved innsynsbegjæringen. Begrensningen i innsyn må være et nødvendig og proporsjonalt inngrep overfor den enkelte. Rapporteringspliktig må veie hensynet til den enkelte mot hensynet til ikke å vanskeliggjøre verken gjennomføringen av egne plikter etter loven, kompetente myndigheters plikter eller etterforskning eller lignende undersøkelser. «Lignende undersøkelser» må ses i sammenheng med direktivteksten, som viser til «official or legal inquiries, analyses, investigations or procedures for the purposes of this Directive». Dette omfatter med andre ord også bl.a. Økokrims anmodning om informasjon fra rapporteringspliktige.

Utvalget foreslår en bestemmelse som avgrenser innsynsretten i opplysninger i situasjoner som ligger tett opptil direktivteksten, se forslaget til § 33. Adgangen til å gi innsyn må særlig sees i sammenheng med forbudet mot å avsløre undersøkelser, rapportering eller oversendelse av ytterligere opplysninger til Økokrim i samsvar med forslaget til § 25 første ledd. Som ledd i vurderingen av om innsynsbegrensning er et nødvendig og proporsjonalt inngrep overfor den enkelte, vil det særlig være relevant å vurdere om innsyn kan avgrenses til visse opplysninger. Det vil etter utvalgets oppfatning alltid være proporsjonalt og nødvendig å begrense innsyn i opplysninger om undersøkelse, rapportering og at det er oversendt ytterligere opplysninger til Økokrim.

7.6.4 Økokrims behandling av opplysninger og dokumenter

7.6.4.1 Registrering, lagring, sletting og utlevering

Regler om Økokrims (EFEs) behandling av opplysninger etter hvitvaskingsregelverket er regulert dels i hvitvaskingsloven og dels i politiregisterloven med forskrift. Politiregisterforskriften kapittel 52 gjelder hvitvaskingsregisteret ASK.

ASK er et register som sammenstiller informasjon om enkeltpersoner, foretak og transaksjoner. Registeret knytter sammen informasjon fra rapporter og andre offentlige registre – politiets databaser, skatteetatens registre og Brønnøysundregistrene. Informasjon fra registrene hentes ikke automatisk inn i ASK. Ansatte i EFE må hente ut informasjonen i det enkelte tilfellet. ASK gir i utgangspunktet bare opplysninger om at det finnes informasjon om f.eks. en fysisk person i et gitt register.

Fjerde hvitvaskingsdirektiv forutsetter regler om registrering, lagring og utlevering av opplysninger, men gir ikke selv regler om dette. FATF-rapporten inneholder ikke kritikk av norsk rett på dette punktet. Utvalget har valgt å gjennomgå reglene om Økokrims (EFEs) behandling av personopplysninger.

Utvalget foreslår at hovedregelen om maksimalt fem års lagringstid videreføres, se forslaget til ny hvitvaskingslov § 35 første ledd. På samme måte som for rapporteringspliktige, se punkt 7.6.3.4, er ikke fristen absolutt i den forstand at Økokrim er nødt til å oppdatere arkivet sitt kontinuerlig, f.eks. daglig, for å fjerne opplysninger og dokumenter som er lagret i mer enn fem år. Et visst slingringsmonn må tillates.

Den særlige sletteplikten der Økokrims undersøkelser viser at det ikke har skjedd noe straffbart, nedfelt i gjeldende hvitvaskingslov § 29 annet ledd, foreslås ikke videreført. Bestemmelsen passer ikke godt med hvilken rolle EFE har i Økokrim i arbeidet med å motta rapporter fra rapporteringspliktige. Dette dreier seg om etterretningsvirksomhet. EFE driver ikke med etterforskning, og undersøker derfor ikke nærmere det faktiske og rettslige grunnlaget for alle rapportene rapporteringspliktige oversender. Utvalget legger til grunn at opplysninger som er unødvendige for formålet med behandlingen vil slettes i tråd med alminnelige regler om dette i politiregisterloven § 50. Etterretningsfaglige vurderinger vil også kunne tilsi at opplysninger slettes for å unngå at unødvendig informasjon forstyrrer analysene som gjøres i ASK.

Det kan imidlertid være et sterkt behov for å lagre opplysninger i ASK i lengre tid enn fem år. Opplysningene kan inngå i en større undersøkelse. Det vil ikke være i samsvar med formålet om å avdekke og forebygge hvitvasking og terrorfinansiering å ha en absolutt plikt til sletting etter fem år. Utvalget foreslår derfor en bestemmelse om at sletteplikten ved utløpet av femårsfristen ikke gjelder der det er «strengt nødvendig» at opplysningene lagres lenger, se forslaget til ny hvitvaskingslov § 35 annet ledd. Om det er strengt nødvendig å lagre opplysninger utover fem år må vurderes og begrunnes konkret i det enkelte tilfellet. Momenter i vurderingen vil være om opplysningene er relevante, om de er brukt, brukes eller kan bli brukt i EFEs arbeid, og måten de eventuelt er blitt brukt. Eksempler på når det er «strengt nødvendig» å lagre opplysningene utover fem år, er der det er foretatt etterforsknings- eller rettergangsskritt mot den registrerte, eller der EFE har benyttet opplysninger i operative analyser.

I dag er det kun politiregisterloven § 50, om sletting når lagring er unødvendig for formålet med behandlingen, som setter en øvre tidsgrense for lagringen av personopplysninger i ASK. Etter utvalgets oppfatning er det uheldig at det ikke er gitt en uttrykkelig maksimal lagringstid i ASK. Av hensyn til vernet av personopplysninger foreslår utvalget at det fastsettes en maksimal lagringstid. Lengstefristen må være av en slik lengde at den tar tilstrekkelig hensyn til særlig forebygging og avdekking av terrorfinansiering. Utvalget foreslår derfor en lengstefrist for lagring av opplysninger i ASK på 15 år, se forslaget til § 35 annet ledd annet punktum. Den foreslåtte lengstefristen berører ikke f.eks. regler om oppbevaring av dokumenter i forbindelse med straffesaker, jf. politiregisterforskriften § 25-3. Utvalget bemerker videre at arkivlova15 begrenser Økokrims adgang til å kassere dokumenter som har vært gjenstand for saksbehandling, eller som har verdi som dokumentasjon. I forarbeidene til politiregisterloven16 ble det varslet om oppstart av arbeid mellom Justisdepartementet og Riksarkivaren om å vedta særskilte regler om kassering av opplysninger fra politiets etterretningsregistre. Slike regler er foreløpig ikke gitt.

Når det gjelder utlevering av opplysninger fra ASK, viser utvalget til det som er sagt ovenfor under punkt 7.6.2 om formålsbestemt behandling av personopplysninger og forholdet til politiregisterforskriften. Utvalget bemerker at fjerde hvitvaskingsdirektiv sine krav til utlevering av opplysninger fra FIU-er til andre FIU-er fremstår som retningslinjer til FIU-ene om at utlevering skal skje i så stor grad som mulig. Dette er ikke egnet for lovregulering.

7.6.4.2 Forskriftshjemmel

Det fremgår av politiregisterforskriften § 52-2 at hjemmelsgrunnlaget for ASK er både politiregisterloven § 4 jf. § 6, og hvitvaskingsloven §§ 18 og 29. Utvalget finner det derfor hensiktsmessig å foreslå en uttrykkelig forskriftshjemmel i hvitvaskingsloven for Økokrims behandling av personopplysninger, se lovforslaget § 35 tredje ledd.

7.6.4.3 Særlig om Kontrollutvalget for tiltak mot hvitvasking

Fjerde hvitvaskingsdirektiv artikkel 32 nr. 3 bestemmer at FIU-er skal være uavhengige og opptre selvstendig. Dette innebærer at de skal ha myndighet og ressurser til å utføre sine oppgaver fritt. Det samme er sagt i «interpretive note» til FATF-anbefaling 29 punkt 8. I FATF-rapporten ble det, som nevnt under punkt 7.4.2.1, reist kritikk mot at Kontrollutvalget for tiltak mot hvitvasking har myndighet til å føre tilsyn med EFE i Økokrim. Samme kritikk ble reist mot Kontrollutvalget ved forrige evaluering av Norge. Begrunnelsen var at dette kan påvirke EFEs muligheter til å opptre selvstendig. Det ble særlig fremhevet at det var problematisk at Kontrollutvalget har en representant fra privat sektor. Utvalget er ikke kjent med at de innvendingene FATF har til eksistensen av Kontrollutvalget har gjort seg gjeldende i praksis. Utvalget mener likevel det er grunnlag for å vurdere eksistensen av Kontrollutvalget. Ingen andre land har, etter det utvalget er kjent med, etablert et lignende kontrollutvalg. Det vises også til at Datatilsynet fører tilsyn med EFEs overholdelse av regelverket knyttet til behandling av personopplysninger.

Kontrollutvalget skal føre kontroll med Økokrims (EFEs) behandling av opplysninger mottatt etter hvitvaskingsloven § 18, pålegg og godkjenninger etter § 19 første ledd og håndtering av opplysninger etter § 29. Utvalget anser det særlig betenkelig at Kontrollutvalget skal føre kontroll med Økokrims pålegg om å stanse eller godkjenne mistenkelige transaksjoner. Dette skiller seg fra ren kontroll av behandlingen av opplysninger. Denne kontrollen griper inn i de vurderingene Økokrim gjør i sitt operative arbeid.

Etter politiregisterloven er det i alminnelighet Datatilsynet som fører tilsyn med politiets overholdelse av regelverket knyttet til behandling av personopplysninger. Når det gjelder ASK, er ansvaret som nevnt delt mellom Kontrollutvalget og Datatilsynet.

Utvalget foreslår at Kontrollutvalget avvikles og at Datatilsynet alene skal ha ansvaret for å føre tilsyn med EFEs behandling av personopplysninger gjennom ASK. Dette er i samsvar med de alminnelige reglene for tilsyn som er gitt i politiregisterloven § 58. Utvalget anser det hensiktsmesig at tilsyn kun utøves av ett organ som har særlig kompetanse på dette feltet. Hvitvaskingsloven § 31 foreslås derfor ikke videreført. Det samme gjelder forskrift 13. mars 2009 nr. 303 om kontrollutvalget for tiltak mot hvitvasking. Dessuten foreslår utvalget, som en konsekvens av dette, at politiregisterforskriften §§ 52-14 og 52-15 oppheves.

Fotnoter

1.

Lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven).

2.

Europaparlamentets og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger.

3.

Lov 28. mai 2010 nr. 16 om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven).

4.

Ot.prp. nr. 108 (2008–2009) Om lov om behandling av opplysninger i politiet og påtalemyndigheten, punkt 8.4.1.

5.

Forskrift 20. september 2013 nr. 1097 om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterforskriften).

6.

Lov 19. november 2004 nr. 73 om bokføring (bokføringsloven).

7.

Forskrift 1. desember 2004 nr. 1558 om bokføring.

8.

Finansforetaksloven §§ 96 og 162, verdipapirhandelloven § 109, verdipapirfondloven § 27, verdipapirregisterloven § 81, lov om alternative investeringsfond § 32(5), revisorloven § 61, regnskapsførerloven § 10, domstolloven § 218, eiendomsmeglingsloven § 36.

9.

Forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger (personopplysningsforskriften).

10.

SOU 2016:8, Del 1, punkt 14.3.

11.

Lag 2015:274, se Prop 2014/15:80 «Införande av visse internationella standarder i penningtvättlagen».

12.

SOU 2016:8, Del 1, punkt 14.3.2.

13.

Campbell mot Storbritannia, dom 25. mars 1992 (saksnummer 13590/88), avsnitt 44.

14.

FATF-rapporten side 157.

15.

Lov 4. desember 1992 nr. 126 om arkiv.

16.

Ot.prp. nr. 108 (2008–2009) punkt 14.5.2.

Til forsiden