Art. 98 Skydd av personuppgifter | Anti-money laundering authority regulation (AMLAR) | AML

This article addresses how the Authority handles personal data protection in the context of its AML/CFT work.

It establishes the legal basis for the Authority's processing of personal data, frames its cooperation obligations with data protection bodies when issuing guidance, and carves out a limited power to restrict data subject rights where necessary for its supervisory tasks.

The article sits at the intersection of this regulation and the EU's data protection framework, explicitly cross-referencing Regulation (EU) 2018/1725 and Regulation (EU) 2016/679 to anchor the Authority's data processing activities within the broader legal order.

Important points:

The Authority's processing of personal data for ML/TF prevention purposes is legally grounded as a public interest task under both Regulation (EU) 2018/1725 and Regulation (EU) 2016/679.
When drafting guidelines and recommendations with a significant impact on personal data protection, the Authority is required to closely cooperate with the European Data Protection Board and, after Commission authorisation, consult the European Data Protection Supervisor.
The Authority is permitted to adopt internal rules restricting data subject rights, but only where such restrictions are necessary for the performance of its AML/CFT supervisory tasks.

1. Behandling av personuppgifter på grundval av denna förordning för förhindrande av penningtvätt och finansiering av terrorism enligt artikel 70 i direktiv (EU) 2024/1640 och artikel 76 i förordning (EU 2024/1624 ska anses vara nödvändig för att utföra en uppgift som är av allmänt intresse eller som utgör ett led i myndighetens myndighetsutövning enligt artikel 5 i förordning (EU) 2018/1725 och artikel 6 i förordning (EU) 2016/679.
2. När myndigheten utarbetar riktlinjer och rekommendationer i enlighet med artikel 54 med betydande inverkan på skyddet av personuppgifter ska det ske i nära samarbete med Europeiska dataskyddsstyrelsen som inrättats genom förordning (EU) 2016/679 för att undvika dubbelarbete, bristande överensstämmelse och rättsosäkerhet när det gäller skydd av personuppgifter. Efter godkännande av kommissionen ska myndigheten också rådfråga Europeiska datatillsynsmannen, som inrättats genom förordning (EU) 2018/1725. Myndigheten kan även bjuda in nationella dataskyddsmyndigheter att delta som observatörer i utarbetandet av dessa riktlinjer och rekommendationer.
1. I enlighet med artikel 25 i förordning (EU) 2018/1725 ska myndigheten ha rätt att anta interna regler som begränsar utövandet av registrerades rättigheter om sådana begränsningar krävs för genomförandet av de uppgifter som avses i artikel 70 i direktiv (EU) 2024/1640 och artikel 76 i förordning (EU) 2024/1624.