I grunden krävs tillstånd från dataskyddsmyndigheten för att få samköra persondata mot nationella eller internationella brottsregister. Endast myndigheter får behandla uppgifter om brott.
Enda undantaget för företag och organisationer är om uppgifterna avser personer i nyckelpositioner eller ledande ställning och det är sakligt motiverat att behandla uppgifterna för att utreda om personen ifråga varit delaktig i allvarliga oegentligheter som rör bokföring, intern bokföringskontroll, revision, bekämpande av mutor, brottslighet inom bank- och finansväsen, eller andra allvarliga oegentligheter som rör organisationens vitala intressen eller enskildas liv och hälsa.
Tyvärr är frågan om sanktionslistor ett dilemma för globala företag. GDPR står i direkt konflikt med till exempel amerikansk lagstiftning. EU-ägda företag med verksamhet i flera länder riskerar böter från två håll, antingen för bristande efterlevnad av GDPR (böter på upp till 20 000 000 USD, eller 4 % av företagets globala omsättning) eller böter från amerikanska myndigheter på grund av att företaget bryter mot sanktionsreglerna.
Som vi ser det finns en etablerad process och ett ”kryphål” för att gå vidare med uppgiften att kontrollera personuppgifter om EU-medborgare mot internationella sanktionslistor.
ETABLERAD PROCESS:
Ansök om tillstånd från IMY. Om tillstånd ges av IMY kan det gälla alla länder inom EU/EES-området. Om varje enhet inom företagsgruppen är registrerad som ett oberoende företag - måste företaget/koncernen troligen ansöka om tillstånd hos dataskyddsmyndigheten i varje EU-land där man är verksam.
För att lyckas med ansökan måste troligen följande villkor vara uppfyllda:
Att antalet anställda som screenas begränsas till ett fåtal chefer, nyckelpersoner och säkerhetsklassad personal
Att företaget som utför screeningen är baserat i EU och inte anlitar underleverantörer i "tredje länder".
Att sanktionslistorna är begränsade till ett fåtal "officiella" listor (såsom; OFAC:s sanktionslista, EU:s sanktionslista, FN:s sanktionslista.).
Att företaget/koncernen gör en risk- och konsekvensbedömning (DPIA) av databehandlingen.
KRYPHÅL:
Eventuellt kan kontroll mot sanktionslistor av samtliga anställda, kunder och leverantörer göras av en leverantör som är skyddad av svensk lag genom ”Tryckfrihetsförordningen”, till exempel leverantören www.roaring.io.
Denna unika svenska lag sätter GDPR "ur spel". Företaget/koncernen behöver då inte ansöka om tillstånd från IMY eller någon annan dataskyddsmyndighet inom EU. Observera att detta undantag endast gäller om kontrollen görs av en svenskbaserad leverantör. Observera också att denna lösning kan utmanas av GDPR-myndigheterna, men som vi ser det tillhandahåller roaring.io (eller liknande svenska leverantörer) en tjänst som flyger under GDPR-radarn och kan erbjuda en lösning för globala företag.
