Företag riskerar miljardböter – hur de än gör

Magnus Silfverberg - 19 mar 2020

Företag tvingas välja mellan att riskera miljardböter för brott mot sanktionslagar eller miljardböter för brott mot GDPR. Lösningen är enkel. Släpp sanktionslistorna fria!

USA och EU har listor över länder, företag, organisationer och individer som det är olagligt att göra affärer med – så kallade sanktionslistor. Lagarna och listorna är viktiga verktyg i kampen mot förhindra penningtvätt, terrorism och annan internationell brottslighet.

Den som bryter mot internationella sanktionslagar kan få miljardböter. Men den som vill försäkra sig om att göra rätt och lagrar och processar uppgifter om personer upptagna på sanktionslistor riskerar att bryta mot GDPR (i Sverige dataskyddsförordningen). Det kan också sluta i enorma bötesbelopp. Företag tvingas alltså att väga risken att bryta mot sanktionslistor mot risken att bryta mot dataskyddslagstiftningen.

Förra året bad GE Health Care Group den svenska Datainspektionen om ett undantag från dataskyddsförordningen för att få processa sanktionslistor. Men eftersom sanktionslistor kan innehålla personuppgifter ur belastningsregister blev svaret nej. Det är förbjudet att hantera sådana uppgifter. Frågan gick vidare till Förvaltningsrätten i Stockholm, som också sade nej.  

Det är inte så att personuppgifterna i sanktionslistorna förblir hemliga eller ens svåråtkomliga så länge företag förbjuds att processa dem. Listorna publiceras på nätet för var och en att ta del av. Ur lagstiftarens perspektiv är problemet att personuppgifterna ur listorna hanteras utan medgivande från de berörda.

Företag ställs helt uppenbart inför ett orimligt val. Det går inte att göra rätt med mindre än att man gör någon sorts manuell avstämning. Man får sitta och motläsa sina potentiella affärskontakter mot en lista liknande en telefonkatalog. På vilket sätt det skulle gagna de listade personernas integritet är oklart.

Konsekvensen blir att företag drar sig för att göra affärer utanför EU och USA. Det gäller särskilt små och medelstora företag med produkter och kompetens som efterfrågas i utvecklingsländer. 

GDPR (Recit 4 ) säger uttryckligen att rätten till integritet (privacy) inte är en ”absolut rättighet”. Den ska vägas mot andra fundamentala rättigheter och skyldigheter och centrala funktioner i en fungerande rättsstat. Det hela mynnar ut i en riskbaserad avvägning där frågan är vad som är mest skyddsvärt. Å ena sidan finns enskildes integritet vad avser uppgifter om brott. Å andra sidan finns de företags intressen som är skyldiga att medverka i kampen mot finansiering av terrorism och penningtvätt.

Något måste göras. I allt arbete mot penningtvätt måste man givetvis ta den personliga integriteten i beaktande. Min egen syn på detta är att kriget mot terrorism och tung kriminell verksamhet väger tyngre än terroristernas behov av integritet.

Enligt min mening är lösningen enkel. Lagstiftaren får göra ett tydligare undantag i GDPR så att företag får rätt att lagra och processa innehåll i sanktionslistor, utan att riskera att bryta mot GDPR. De kan ta hjälp av data- och analysföretag som Bisnode så att hanteringen sker säkert.