Behandlingsgrunnlag for bruk av personopplysninger
For at det skal være lovlig å behandle personopplysninger, må det alltid være et rettslig grunnlag for behandlingen.
Personvernforordningen (artikkel 6 nr. 1 bokstav a til f) inneholder en uttømmende liste med seks rettslige grunnlag for en lovlig behandling av personopplysninger.
I dette sandkasseprosjektet har vi ikke tatt stilling til om banker vil ha et rettslig grunnlag for å behandle personopplysninger i KI-verktøyene som Finterai tilbyr. Dette gjelder både for bruk av KI-verktøyene som ledd i bankenes antihvitvaskingsarbeid, og eventuell bruk av personopplysninger til trening av algoritmene. Vi har heller ikke tatt stilling til om Finterai har rettslig grunnlag for behandling av personopplysninger, dersom det skulle bli aktuelt.
Rettslig grunnlag i andre prosjekter
Rettslig grunnlag har tidligere vært tema i andre sandkasseprosjekter, både i Norge og utlandet:
- I Datatilsynets prosjekt med Secure Practice, ble det vurdert om virksomheten hadde rettslig grunnlag for å kartlegge ansattes interesser og kunnskap innen informasjonssikkerhet. Rettslig grunnlag for bruk av opplysningene til etterlæring av maskinlæringsalgoritmene ble også vurdert.
- I sandkassen til det britiske datatilsynet (ICO) ble det rettslige grunnlaget til virksomheten FutureFlow sine kunder vurdert, i forbindelse med at kundene skulle utlevere transaksjonsopplysninger til FutureFlows plattform for transaksjonsovervåking og analyse.
Drøftelsene i dette sandkasseprosjektet forutsetter at de behandlingsansvarlige, enten det er Finterai selv eller bankene, finner rettslig grunnlag for behandling av personopplysninger ved bruk og videreutvikling av tjenesten. I motsatt fall vil ikke tjenesten lovlig kunne tas i bruk.
Når det gjelder bankenes adgang til å behandle personopplysninger for formål knyttet til å avdekke mistenkelige transaksjoner, antar vi at rekkevidden av bankenes forpliktelser og eventuelle handlingsrom etter hvitvaskingsreglene vil være det naturlige utgangspunktet ved vurderingen av rettslig grunnlag (artikkel 6 nr. 1 bokstav c). I noen av drøftelsene har vi derfor vist særskilt til dette regelverket, uten at vi med det har tatt stilling til om bankenes bruk av tjenesten kan hjemles i hvitvaskingsreglene.
Dersom behandlingen ikke kan hjemles i hvitvaskingsreglene, må bankene selv identifisere et annet rettslig grunnlag for behandlingen. Legitime interesser (artikkel 6 nr. 1 bokstav f) vil trolig være det mest aktuelle alternativet, uten at vi har tatt stilling til dette her.
Hvilke personopplysninger behandles?
SWIFT-meldinger
SWIFT-meldinger består av transaksjonsdata. SWIFT er et internasjonalt betalingsnettverk for overføring av penger mellom banker som ikke er i samme land. De kan inneholder personopplysninger hvis et individ er avsender eller mottaker i transaksjonen.
Kjenn-din-kunde-data (forkortet KYC av engelsk «know your customer»)
Finansforetakene er pålagt å innhente opplysninger om kundene sine (herunder hvem de er), formålet med kundeforholdet og dets tilsiktede art, hvilke tjenester og produkter de benytter hos den rapporteringspliktige og kilden til midler mv. Dette omtales som «kjenn- din-kunde-prinsippet», og brukes til å klassifisere kunder innenfor ulike risikogrupper og til å overvåke at transaksjoner foretas i samsvar med innhentede opplysninger.
Ikke alle kategoriene KYC-data inneholder nødvendigvis personopplysninger, men noen kategorier gjør det. KYC-data innhentes både fra kunden selv, og fra offentlig tilgjengelige nettsider og eksterne leverandører som tilbyr denne typen data som en betalt tjeneste. Data som innhentes fra offentlig tilgjengelige nettsider og eksterne leverandører omtales som tredjepartsdata.
Tredjepartsdata
Tredjepartsdata brukes for å tilføye ny informasjon eller verifisere informasjon gitt av kunden selv, f.eks. opplysninger om noen er en politisk eksponert person (PEP), om de står oppført på sanksjonslister, om det er negative medieoppslag eller opplysninger fra andre offentlige kilder knyttet til kriminalitet, søksmål og lignende. Tredjepartsdata kan inkludere datasett som er "sydd sammen" fra ulike kilder. Ofte samles tredjepartsdata gjennom ulike plattformer og nettsteder, som deretter aggregeres av en dataleverandør.
Tredjepartsdata inneholder ikke alltid personopplysninger.
Vurderingene i denne rapporten gjelder kun for behandling av data som er å anse som personopplysninger.