Myndighetsförfrågningar: en guide för finansiella företag

Finansiella företag får återkommande myndighetsförfrågningar om att lämna ut kunduppgifter, från bland annat Polisen, Åklagarmyndigheten, Skatteverket, Ekobrottsmyndigheten, Kronofogden och Tullverket. De lagliga måste besvaras. Men kunduppgifter är personuppgifter, och att lämna ut dem regleras av GDPR. Samtidigt gäller banksekretess. Företaget måste därför göra två saker på en gång: svara på begäran och skydda uppgifterna medan det sker.
Vilka myndigheter kan begära kunduppgifter och med vilken rätt?
Skyldigheten kommer inte från en enda lag eller en enda myndighet. Flera myndigheter kan begära uppgifter, var och en med sin egen rättsliga grund.
Vanligast är polis och åklagare. Under en förundersökning i brottmål är ett kreditinstitut skyldigt att lämna ut uppgifter om en kund om undersökningsledaren begär det, enligt 1 kap. 11 § lagen om bank- och finansieringsrörelse. Att en förundersökning inleds anses i sig bryta banksekretessen. Motsvarande regler finns i de övriga finansiella rörelselagarna, så det här gäller inte bara banker.
Finanspolisen kan begära uppgifter på en annan grund. Enligt 4 kap. 6 § penningtvättslagen ska ett företag på begäran utan dröjsmål lämna alla uppgifter som behövs för en utredning om penningtvätt eller finansiering av terrorism. Den skyldigheten gäller direkt och oberoende av om företaget självt har lämnat någon penningtvättsrapport. Det här är alltså en begäran som kommer in till företaget, och ska inte blandas ihop med företagets egen skyldighet att rapportera misstankar, som går åt andra hållet.
Därtill har Tullverket, Skatteverket och Kronofogden var sin lagstadgade rätt att begära uppgifter inom sina områden. Fler myndigheter än dessa kan ha rätt att begära uppgifter i sina ärenden. Det avgörande är inte vilken myndighet det är, utan om den har uttryckligt stöd i lag för sin begäran. Saknas sådant stöd finns ingen skyldighet att lämna ut.
Det gemensamma är att en giltig begäran måste besvaras. Banksekretessen hindrar inte det. Den viker för ett lagligt grundat utlämnande.
Måste företaget svara på varje begäran?
Nej. Skyldigheten gäller lagliga förfrågningar, inte varje meddelande som påstår sig komma från en myndighet. En begäran måste ha en giltig rättslig grund, och företaget förväntas kontrollera att den har det innan något lämnas ut.
Att lämna ut ändå är inte ofarligt. Att röja kunduppgifter utan grund är i sig ett brott mot GDPR, och kan dessutom vara ett obehörigt röjande i strid med banksekretessen. En informell förfrågan, en begäran som går utöver myndighetens befogenheter, eller en som företaget inte kan verifiera, skapar ingen skyldighet att lämna ut. Att agera på den kan tvärtom leda till ansvar.
Hur snabbt måste företaget svara?
Utan dröjsmål. Det är formuleringen i både lagen om bank- och finansieringsrörelse och penningtvättslagen. Uppgifter till brottsutredande myndigheter ska dessutom lämnas i elektronisk form.
Någon bestämd tidsfrist i dagar finns däremot inte, och det är avsiktligt. En begäran kan se väldigt olika ut, så lagstiftaren har inte satt en fast frist. I praktiken betyder utan dröjsmål att företaget ska prioritera begäran, snabbt pröva om uppgifterna får lämnas ut och svara så snart det är klart. Tempo är alltså ett krav, inte en ambition.
Vad kräver GDPR vid utlämnande av kunduppgifter?
Att lämna ut personuppgifter till en myndighet är en behandling enligt GDPR. Företaget är personuppgiftsansvarigt och måste uppfylla förordningens krav även när det följer en laglig begäran. Fyra saker bär det mesta av tyngden.
Det krävs en rättslig grund. När en bindande lag kräver att företaget lämnar ut uppgifter är grunden artikel 6.1 c, en behandling som är nödvändig för att fullgöra en rättslig förpliktelse. Själva begäran är inte grunden, utan lagen bakom den.
Bara det som omfattas får lämnas ut. Enligt principen om uppgiftsminimering (artikel 5.1 c) lämnar företaget ut det begäran faktiskt kräver, inte mer. Att lämna ut mer än så är ett brott mot förordningen, även om begäran i sig är giltig.
Utlämnandet ska dokumenteras. Ansvarsskyldigheten (artikel 5.2) innebär att företaget måste kunna visa vad som lämnades ut, till vem, på vilken grund och när.
Begäran ska verifieras. Säkerhetskraven (artiklarna 5.1 f och 32) innebär att uppgifter inte får röjas till fel mottagare. Att lämna ut till någon som bara utger sig för att vara en myndighet är en personuppgiftsincident. Att kontrollera att begäran är äkta är alltså en del av GDPR-ansvaret, inte något valfritt.
Får företaget berätta för kunden?
Ofta inte. Enligt artiklarna 13 och 14 ska företaget normalt vara öppet mot kunden om hur uppgifterna används. Men artikel 23 tillåter att öppenheten inskränks, bland annat för att inte skada en pågående brottsutredning.
I praktiken kan en begäran vara förenad med villkor om sekretess, och då får företaget inte berätta för kunden. Det får avgöras från fall till fall. En sak att inte blanda ihop: penningtvättslagens meddelandeförbud, som förbjuder företaget att avslöja att en misstanke om penningtvätt utreds eller har rapporterats, hör till företagets egen rapportering, inte till en inkommande begäran.
Hur hanteras en myndighetsförfrågan från utlandet?
En begäran som börjar i ett annat land når normalt inte företaget direkt. Den kommer via en svensk myndighet, så när företaget ser den ser den ut som en vanlig inhemsk begäran.
Inom EU går det genom en europeisk utredningsorder. En svensk åklagare eller domstol erkänner och verkställer ordern enligt svensk rätt, och företaget instrueras som i ett inhemskt ärende. Mot länder utanför EU går det i stället genom internationell rättslig hjälp i brottmål. Även då kan företaget bli skyldigt att lämna ut uppgifter, på begäran av en åklagare.
Det är här företag oftast gör fel. Om en utländsk myndighet hör av sig direkt, utan att gå via en svensk myndighet, har den begäran ingen automatisk rättskraft i Sverige. Att lämna ut uppgifter direkt till ett land utanför EU är dessutom en överföring av personuppgifter som kräver en egen grund enligt GDPR. Den europeiska dataskyddsstyrelsens linje är tydlig: finns inget internationellt avtal bör företaget i regel avböja en direkt förfrågan och hänvisa till kanalen för rättslig hjälp.
Vad kännetecknar god hantering i praktiken?
Den rättsliga bilden är krävande, men de dagliga misstagen är oftast praktiska. Att hantera en begäran väl handlar om några få saker, varav de flesta redan krävs av GDPR.
Kontrollera att begäran är äkta och har en rättslig grund innan du agerar. Lämna bara ut det begäran omfattar, inte hela kundbilden. Avgör, för just den begäran, om kunden får informeras. Och spara en tydlig dokumentation av vad som lämnades ut, till vem, på vilken grund och när. Om en tillsynsmyndighet eller domstol frågar i efterhand finns svaret då direkt, i stället för att behöva rekonstrueras ur mejltrådar långt efteråt.
Hanterat över mejl och delade kalkylark är det här långsamt och svårt att bevisa. Skyldigheterna ändras inte med volymen, men svårigheten att leva upp till dem konsekvent gör det.
---
Reqport ersätter manuella, overifierade arbetsflöden för att hantera myndighetsförfrågningar med en specialbyggd portal. Varje begäran verifieras och struktureras till ett spårbart ärende, så att ett företag kan visa exakt vad som lämnades ut, till vem och på vilken grund. Se hur Reqport fungerar.
---
Den här artikeln är i informationssyfte och utgör inte juridisk rådgivning. Flera av de skyldigheter som beskrivs följer av svensk rätt som tillämpas i det enskilda fallet. För hur de gäller i er specifika situation, rådgör med juridiskt ombud.

Reqport
Reqport är en plattform för att hantera förfrågningar från Polisen och andra myndigheter.
LinkedIn