Source: OJ L, 2024/1624, 19.6.2024

Current language: DE

Artikel 76 Verarbeitung personenbezogener Daten

Summary What does Article 76 of the Anti-money laundering regulation (AMLR) say?

This article sits at the intersection of AML obligations and data protection, setting out the conditions under which obliged entities are permitted to process sensitive personal data — specifically special categories of data under GDPR (such as health or biometric data) and data relating to criminal convictions and offences — in the context of their AML/CFT duties.

It establishes a clear purpose limitation, prohibiting the use of such data for commercial purposes, and notably addresses the use of automated decision-making and AI systems, requiring human oversight and a right for customers to obtain an explanation and challenge decisions made about them.

Important points:

  • Process sensitive personal data and criminal conviction data only for AML/CFT purposes, not for commercial use, and only where strict safeguards are in place including customer notification, data accuracy, non-discrimination, and high-level security measures.
  • When processing data on criminal matters, maintain procedures that distinguish between allegations, investigations, proceedings, and convictions, in keeping with the presumption of innocence.
  • Automated or AI-driven decisions affecting a customer relationship must be limited to data collected under Chapter III, be subject to meaningful human intervention, and allow the customer to obtain an explanation and challenge the outcome.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Soweit zur Verhinderung von Geldwäsche und Terrorismusfinanzierung unbedingt erforderlich, dürfen Verpflichtete die in Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 genannten besonderen Kategorien personenbezogener Daten sowie die in Artikel 10 jener Verordnung genannten personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten verarbeiten, sofern dabei die in den Absätzen 2 und 3 dieses Artikels vorgesehenen Sicherheitsmaßnahmen getroffen sind.

    1. Verpflichtete dürfen die unter Artikel 9 der Verordnung (EU) 2016/679 fallenden Daten verarbeiten, sofern

      1. sie ihre Kunden oder angehenden Kunden darüber unterrichten, dass diese Kategorien von Daten verarbeitet werden können, um die Anforderungen der vorliegenden Verordnung zu erfüllen;

      2. die Daten aus verlässlichen Quellen stammen und zutreffend und auf dem neusten Stand sind;

      3. sie keine Entscheidungen treffen, die auf der Grundlage dieser Daten zu verzerrten und diskriminierenden Ergebnissen führen würden;

      4. sie, insbesondere im Hinblick auf Vertraulichkeit, Maßnahmen mit hohem Sicherheitsstandard gemäß Artikel 32 der Verordnung (EU) 2016/679 trifft.

    1. Die Verpflichteten können personenbezogene Daten gemäß Artikel 10 der Verordnung (EU) 2016/679 verarbeiten, sofern sie die in Absatz 2 dieses Artikels festgelegten Bedingungen erfüllen und

      1. diese personenbezogenen Daten Geldwäsche, damit zusammenhängende Vortaten oder Terrorismusfinanzierung betreffen;

      2. die Verpflichteten über Verfahren verfügen, die es erlauben, bei der Verarbeitung dieser Daten zwischen Vorwürfen, Ermittlungen, Verfahren und Verurteilungen zu unterscheiden, und dem Grundrecht auf ein faires Verfahren, dem Recht auf Verteidigung und der Unschuldsvermutung Rechnung tragen.

    1. Personenbezogene Daten dürfen von Verpflichteten auf der Grundlage dieser Verordnung ausschließlich für die Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung verarbeitet werden und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist. Es ist untersagt, personenbezogene Daten auf der Grundlage dieser Verordnung für kommerzielle Zwecke zu verarbeiten.

    1. Verpflichtete können Entscheidungen treffen, die sich aus automatisierten Verfahren, einschließlich Profiling im Sinne von Artikel 4 Nummer 4 der Verordnung (EU) 2016/679, oder aus Verfahren ergeben, bei denen Systeme der KI im Sinne von Artikel 3 Nummer 1 der Verordnung (EU) 2024/xxx des Europäischen Parlaments und des Rates(45) zur Anwendung kommen, sofern

      1. die von solchen Systemen verarbeiteten Daten auf Daten beschränkt sind, die gemäß Kapitel III der vorliegenden Verordnung erlangt wurden;

      2. alle Entscheidungen in Bezug auf die Aufnahme einer Geschäftsbeziehung mit einem Kunden, die Verweigerung der Aufnahme derselben oder die Unterhaltung derselben, auf die Ausführung einer gelegentlichen Transaktion für einen Kunden oder die Verweigerung der Ausführung derselben oder auf die Ausweitung oder Einschränkung des Umfangs der gemäß Artikel 20 der vorliegenden Verordnung angewandten Sorgfaltsmaßnahmen gegenüber Kunden einem sinnvollen menschlichen Eingreifen unterliegen, um die Richtigkeit und Angemessenheit dieser Entscheidungen sicherzustellen, und

      3. der Kunde eine Erklärung zu der vom Verpflichteten getroffenen Entscheidung erhalten und diese Entscheidung anfechten kann, außer in Verbindung mit einer Meldung gemäß Artikel 69 der vorliegenden Verordnung.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod