Source: OJ L, 2024/1624, 19.6.2024

Current language: SV

Artikel 76 Behandling av personuppgifter

Summary What does Article 76 of the Anti-money laundering regulation (AMLR) say?

This article sits at the intersection of AML obligations and data protection, setting out the conditions under which obliged entities are permitted to process sensitive personal data — specifically special categories of data under GDPR (such as health or biometric data) and data relating to criminal convictions and offences — in the context of their AML/CFT duties.

It establishes a clear purpose limitation, prohibiting the use of such data for commercial purposes, and notably addresses the use of automated decision-making and AI systems, requiring human oversight and a right for customers to obtain an explanation and challenge decisions made about them.

Important points:

  • Process sensitive personal data and criminal conviction data only for AML/CFT purposes, not for commercial use, and only where strict safeguards are in place including customer notification, data accuracy, non-discrimination, and high-level security measures.
  • When processing data on criminal matters, maintain procedures that distinguish between allegations, investigations, proceedings, and convictions, in keeping with the presumption of innocence.
  • Automated or AI-driven decisions affecting a customer relationship must be limited to data collected under Chapter III, be subject to meaningful human intervention, and allow the customer to obtain an explanation and challenge the outcome.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. I den mån det är absolut nödvändigt för att förhindra penningtvätt och finansiering av terrorism får ansvariga enheter behandla de särskilda kategorier av personuppgifter som avses i artikel 9.1 i förordning (EU) 2016/679 samt de personuppgifter som rör fällande domar i brottmål och de överträdelser som avses i artikel 10 i den förordningen, med förbehåll för de skyddsåtgärder som föreskrivs i punkterna 2 och 3 i den här artikeln.

    1. De ansvariga enheterna ska kunna behandla de personuppgifter som omfattas av artikel 9 i förordning (EU) 2016/679 under förutsättning att

      1. de informerar sina kunder eller presumtiva kunder om att sådana kategorier av uppgifter får behandlas i syfte att uppfylla kraven i denna förordning,

      2. uppgifterna kommer från tillförlitliga källor, är korrekta och aktuella,

      3. de inte fattar beslut som skulle leda till partiska och diskriminerande resultat på grundval av dessa uppgifter,

      4. de vidtar åtgärder med hög säkerhetsnivå i enlighet med artikel 32 i förordning (EU) 2016/679, särskilt när det gäller konfidentialitet.

    1. Ansvariga enheter ska kunna behandla personuppgifter som omfattas av artikel 10 i förordning (EU) 2016/679 förutsatt att de uppfyller villkoren som fastställs i punkt 2 i den här artikeln och att

      1. sådana personuppgifter rör penningtvätt, förbrott till penningtvätt eller finansiering av terrorism,

      2. de ansvariga enheterna har inrättat förfaranden som gör det möjligt att vid behandlingen av sådana uppgifter skilja mellan påståenden, utredningar, förfaranden och domar, med beaktande av den grundläggande rätten till en rättvis rättegång, rätten till försvar och oskuldspresumtionen.

    1. Personuppgifter ska behandlas av ansvariga enheter på grundval av denna förordning endast i syfte att förebygga penningtvätt och finansiering av terrorism och får inte senare behandlas på ett sätt som är oförenligt med dessa syften. Behandling av personuppgifter på grundval av denna förordning för kommersiella ändamål ska vara förbjuden.

    1. Ansvariga enheter får anta beslut till följd av automatiserade processer, inbegripet profilering enligt definitionen i artikel 4.4 i förordning (EU) 2016/679 eller processer som inbegriper AI-system enligt definitionen i artikel 3.1 i Europaparlamentets och rådets förordning (EU) 2024/xxx(45) förutsatt att

      1. de uppgifter som behandlas av sådana system är begränsade till uppgifter som erhållits enligt kapitel III i den här förordningen,

      2. varje beslut om att inleda eller vägra att inleda eller upprätthålla en affärsförbindelse med en kund eller att utföra eller vägra att utföra en enstaka transaktion för en kund, eller att öka eller minska omfattningen av de åtgärder för kundkännedom som tillämpas enligt artikel 20 i denna förordning, är föremål för meningsfullt mänskligt ingripande för att säkerställa att ett sådant beslut är korrekt och lämpligt, och

      3. kunden kan få en förklaring av det beslut som fattats av den ansvariga enheten och får överklaga det beslutet, förutom när det gäller en rapport som avses i artikel 69 i denna förordning.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod