Skriftlig spørsmål fra Une Bastholm (MDG) til justis-, beredskaps- og innvandringsministeren

Dokument nr. 15:2121 (2017-2018)
Innlevert: 27.08.2018
Sendt: 27.08.2018
Besvart: 31.08.2018 av justis-, beredskaps- og innvandringsminister Tor Mikkel Wara

Une Bastholm (MDG)

Spørsmål

Une Bastholm (MDG): Vil regjeringen vurdere bruken og egnetheten av risikovurderingsverktøy som World-check, også kalt verdens største svarteliste, for å bidra til å oppfylle hvitvaskingsloven samt hvorvidt norske bankers bruk av denne listen er i strid med personvernregelverket, herunder personvernforordningen og Personopplysningsloven?

Begrunnelse

DN har i to artikler 18. august og 23. august beskrevet risikovurderingsverktøyet World-check som er omtalt som "verdens største svarteliste". Her er politikere, kulturpersonligheter og deres familier listet opp sammen med dømte kriminelle og terrorister. De som står på listen kjenner ikke til det, informasjonen synes ikke å være oppdatert - og til og med små barn er oppført. Lovligheten av dette bør vurderes- og eventuelle tiltak for å hindre at denne type lister benyttes bør vurderes.

Tor Mikkel Wara (FrP)

Svar

Tor Mikkel Wara: Ansvaret for hvitvaskingsloven ligger til Finansdepartementet. Svaret er derfor utformet i samråd med [Finansministeren].
Ny hvitvaskingslov ble vedtatt av Stortinget 22. mai 2018. Både etter hvitvaskingsloven fra 2009 og etter ny hvitvaskingslov er det krav om at rapporteringspliktige identifiserer politisk eksponerte personer, såkalt PEP. I forbindelse med fremleggelse av forslag til ny hvitvaskingslov ga Finansdepartementet uttrykk for følgende i Prop. 40 L (2017–2018):
«Rapporteringspliktige må selv avklare om kunden, reell rettighetshaver eller andre som kan disponere over kontoen, er politisk eksponert person eller nært familiemedlem eller kjent medarbeider til politisk eksponert person, se lovforslaget §§ 12 og 13 fjerde ledd. Departementet viser i likhet med utvalget til at et minstekrav til systemer for å identifisere PEP-er er at rapporteringspliktig rutinemessig spør kunden om vedkommende innehar eller har innehatt en posisjon som omfattes av PEP-definisjonen, eventuelt om vedkommende er i nær familie eller er kjent medarbeider til en person som innehar slik posisjon. Det kan også være grunn til at rapporteringspliktige bør gjennomføre ytterligere tiltak for å identifisere PEP-er, i samsvar med en risikobasert tilnærming.
Departementet presiserer at norske myndigheter per i dag ikke utarbeider lister over PEP-er. Lister utarbeidet av norske myndigheter ville uansett ikke være tilstrekkelige, siden Norge bare er ett land blant mange. Rapporteringspliktige vil dermed uansett måtte foreta ytterligere tiltak for å identifisere PEP-er med stillinger mv. i andre land. Departementet viser i likhet med utvalget til at slike lister vil ha begrenset positiv og negativ troverdighet, sett hen til stadige justeringer av hvem som er å regne som PEP, det store antallet PEP verden over samt eventuelle ulikheter mellom stater om hvem som er PEP.»
Norske rapporteringspliktige må følge de til enhver tid gjeldende regler om hvem det er som skal identifiseres og avgjøres om er PEP, og de til enhver tid gjeldende definisjonene av hvem som er PEP.
Behandling av personopplysninger ved dette arbeidet må skje i tråd med personopplysningsloven, som gjennomfører EUs personvernforordning. Personopplysningsloven bestemmer på hvilke vilkår og i hvilken utstrekning det er tillatt å samle inn, registrere, utlevere og ellers behandle personopplysninger. Loven stiller blant annet krav om at personopplysningene som behandles skal være korrekte, relevante, oppdaterte og begrenset til det som er nødvendig for formålet med behandlingen. Den personopplysningene gjelder, har rett til informasjon om behandlingen og kan på nærmere vilkår kreve innsyn i opplysningene og at opplysningene rettes, slettes, eller protestere mot behandlingen.
I Norge er det Datatilsynet som fører tilsyn med overholdelse av personvernregelverket. Datatilsynet er en uavhengig tilsynsmyndighet, og departementet kan ikke instruere om behandlingen av enkeltsaker eller om Datatilsynets faglige virksomhet for øvrig. Enhver har rett til å klage til Datatilsynet, og Datatilsynet kan også ta saker til behandling på eget initiativ.