Behandling av personopplysninger ved kundekontroll

Gjennom hvitvaskingsloven kan vi være pålagt å gjennomføre kundekontroll av våre kunder. I den forbindelse kan vi behandle personopplysninger som navn, fødsels- og/eller personnummer, og adresse om styret, ledelse og kontaktpersoner hos kunden, samt reelle rettighetshavere. Vi kan også behandle særlige kategorier av personopplysninger som straffbare forhold og politisk tilhørighet om kontaktpersoner hos kunde og reelle rettighetshavere, samt deres familiemedlemmer og medarbeidere.

Ved behandling av personopplysninger for å utføre kundekontroll er BDO behandlingsansvarlig. Det rettslige grunnlaget for behandlingen er: 

• GDPR artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og hvitvaskingsloven 
• GDPR artikkel 9 nr. 2 bokstav g (viktig allmenn interesse) og hvitvaskingsloven 

BDO er pålagt å oppbevare dokumenter benyttet i forbindelse med kundekontroll i minst fem år etter at kundeforholdet er avsluttet eller en transaksjon er gjennomført, jf.  hvitvaskingsloven § 30. Personopplysningene skal slettes innen ett år etter at oppbevaringsplikten opphører.

Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering, samt andre straffbare forhold til Økokrim. Meldinger til skal inneholde alt vi er kjent med om forholdet som har medført rapportering, inkludert personopplysninger om involverte personer. Slike meldinger kan ikke gjøres kjent for de involverte.