Private virksomheder skal søge om tilladelse hos IMY for at få lov til at behandle personoplysninger vedrørende lovovertrædelser, hvis der ikke er juridisk støtte for behandlingen, fx i lov eller regulering. Danske Bank har henvendt sig til IMY med en sådan ansøgning.

Banken ønsker at behandle oplysninger vedrørende lovovertrædelser af personer, som tidligere var kunder i banken, men som banken på grund af krav efter hvidvaskloven har anmeldt til det svenske politi og opsagt kundeforholdet med.

Inden for koncernen ønsker banken en informationsudveksling for at sikre, at oplysninger om blandt andet formodet hvidvask eller finansiering af terrorisme formidles til dele af koncernen. Banken oplyser, at kontrollen er nødvendig for at forhindre, at en kunde, hvis kundeforhold er opsagt i én filial, kan henvende sig til en anden filial i koncernen og blive kunde dér, uden at der tages hensyn til den mistanke, der opstod ved den første filial.

For at banken kan få lov til at håndtere oplysninger om lovovertrædelser, skal banken ifølge databeskyttelsesforordningen blandt andet have et særligt, udtrykkeligt anført og begrundet formål. IMY oplyser i sin tilladelse, at kravet om, at banken skal leve op til reglerne i hvidvaskloven, er et sådant formål.

- Behovet for at kunne foretage kontrol mod en intern gruppeliste over lovovertrædelser, der omfatter forbrydelser, skal afvejes mod den risiko for indgreb i de registreredes personlige integritet, som en sådan kontrol kan medføre. Banken har dog i sin ansøgning vist, at den legitime interesse i denne sag vejer tungere end de registreredes privatlivsinteresse, siger Hans Kärnlöf, advokat hos IMY.

IMY imødekommer bankens ansøgning, men bemærker i sin afgørelse, at tilladelsen kan tilbagekaldes, hvis det viser sig, at banken behandler eller kan behandle personoplysninger på en måde, der er i strid med databeskyttelsesforordningen.