5 kap. Behandling av personuppgifter

I detta kapitel finns bestämmelser om behandling av personuppgifter enligt denna lag för 1. verksamhetsutövare (2-11 §§ ), och 2. andra än verksamhetsutövare (12 och 13 §§ ). Kapitlet gäller om behandlingen helt eller delvis är automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Lag (2022:1537) .

En verksamhetsutövare får behandla personuppgifter i syfte att kunna fullgöra sina skyldigheter enligt denna lag.

En verksamhetsutövare ska i fem år bevara handlingar och uppgifter, om handlingarna och uppgifterna avser 1. åtgärder som har vidtagits för kundkännedom enligt 3 kap. och 4 kap. 2 §, eller 2. transaktioner som genomförts med kunder inom ramen för affärsförbindelser eller vid enstaka transaktioner som omfattas av krav på åtgärder för kundkännedom enligt 3 kap. 4-6 §§. Tiden ska räknas från det att åtgärderna eller transaktionerna utfördes eller, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Om en enstaka transaktion inte har genomförts till följd av misstanke om penningtvätt eller finansiering av terrorism, ska tiden räknas från det att avståendet skedde.

Om det är nödvändigt för att förebygga, upptäcka eller utreda penningtvätt eller finansiering av terrorism får verksamhetsutövare bevara handlingar och uppgifter enligt 3 § under en längre tid än fem år. Den sammanlagda tiden får dock inte överstiga tio år. Första stycket gäller också i fråga om handlingar och uppgifter som ska bevaras enligt artikel 16 i Europaparlamentets och rådets förordning (EU) 2023/1113. Lag (2024:1166) .

Personuppgifter som avses i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning, får behandlas endast om det är nödvändigt för att 1. bedöma om kunden är en person i politiskt utsatt ställning eller familjemedlem eller känd medarbetare till en sådan person enligt 1 kap. 8-10 §§, 2. bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §, 3. uppfylla övervakningsskyldigheten enligt 4 kap. 1 §, 4. bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 §, 5. lämna uppgifter enligt 4 kap. 3 och 6 §§, och 6. lämna uppgifter i samverkan enligt 4 a kap. Personuppgifterna får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. Lag (2022:1537) .

Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas endast om det är nödvändigt för att 1. bedöma den risk som kan förknippas med kundrelationen enligt 2 kap. 3 §, 2. uppfylla övervakningsskyldigheten enligt 4 kap. 1 §, 3. bedöma misstänkta transaktioner och aktiviteter enligt 4 kap. 2 §, 4. lämna uppgifter enligt 4 kap. 3 och 6 §§, och 5. lämna uppgifter i samverkan enligt 4 a kap. Personuppgifterna får också behandlas vid bevarande av handlingar och uppgifter enligt 3 och 4 §§, om det är tillåtet att behandla uppgifterna enligt första stycket. Lag (2022:1537) .

Besked om att personuppgifter behandlas enligt 4 kap. 2, 3 eller 6 § och om att sådana uppgifter lagras enligt 3 eller 4 § får inte lämnas ut till den registrerade.

En verksamhetsutövares register med uppgifter om misstänkt penningtvätt eller finansiering av terrorism får inte samköras med motsvarande register hos någon annan.

Förbudet i 8 § gäller inte samkörning av register med en filial till en verksamhetsutövare som avses i 1 kap. 2 § första stycket 1-13 som är etablerad i ett land utanför EES, om kraven enligt 2 kap. 10 och 11 §§ är uppfyllda i fråga om filialen. Förbudet i 8 § gäller inte heller samkörning av register som sker mellan verksamhetsutövare som avses i 1 kap. 2 § första stycket 1-13 och som ingår i samma koncern, om verksamhetsutövarna har hemvist i Sverige eller inom EES. Om en verksamhetsutövare som avses i andra stycket har hemvist i ett land utanför EES gäller andra stycket om kraven enligt 2 kap. 10 och 11 §§ är uppfyllda i fråga om den verksamhetsutövaren. Lag (2021:903) .

Har upphävts genom lag (2018:332) .

Den som är verksam hos en verksamhetsutövare får inte obehörigen röja att personuppgifter behandlas enligt 5 och 6 §§ eller 4 kap. 2, 3 och 6 §§ och att sådana uppgifter bevaras enligt 3 och 4 §§. Ansvar enligt 20 kap. 3 § brottsbalken ska inte följa för den som bryter mot förbudet i första stycket.

Besked om att personuppgifter behandlas enligt 4 kap. 3 a eller 6 § får inte lämnas ut till den registrerade av 1. ett clearingbolag, eller 2. den som tillhandahåller finansiell infrastruktur som avser omedelbara betalningar. Lag (2025:636) .

Uppgift om att personuppgifter behandlas enligt 4 kap. 3 a eller 6 § får inte obehörigen röjas av någon som är verksam hos 1. ett clearingbolag, eller 2. den som tillhandahåller finansiell infrastruktur som avser omedelbara betalningar. Ansvar enligt 20 kap. 3 § brottsbalken ska inte följa för den som bryter mot förbudet i första stycket. Lag (2025:636) .