Source: OJ L 150, 9.6.2023, pp. 1–39Current language: SV
- Anti-money laundering
Basic legislative acts
- Transfer of funds regulation (TFR)
Artikel 25 Dataskydd
Summary What does Article 25 of the Transfer of funds regulation (TFR) say?
This article establishes the data protection framework that sits alongside the regulation's core obligations.
It anchors the entire regulation to the EU's existing data protection rules — primarily GDPR (Regulation (EU) 2016/679) — and makes clear that personal data collected under this regulation can only be used for AML/CFT purposes, with commercial use of that data explicitly prohibited.
The article also places transparency obligations on payment service providers and crypto-asset service providers toward their clients, and addresses the specific challenge of cross-border data transfers in the context of crypto-asset transactions, tasking both the European Data Protection Board and EBA with issuing relevant guidelines.
Important points:
- Process personal data collected under this regulation solely for the prevention of money laundering and terrorist financing — using it for commercial purposes is prohibited.
- Provide new clients with the required data protection information before establishing a business relationship or carrying out an occasional transaction, in a concise, transparent, intelligible and easily accessible form.
- The European Data Protection Board is required to issue guidelines on data protection requirements for transfers of personal data to third countries in the context of crypto-asset transfers, and EBA is required to issue guidelines on procedures for handling transfers where those requirements cannot be met.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Behandling av personuppgifter enligt denna förordning omfattas av förordning (EU) 2016/679. Personuppgifter som behandlas enligt den här förordningen av kommissionen eller av EBA omfattas av förordning (EU) 2018/1725.
Personuppgifter ska behandlas av betaltjänstleverantörer och leverantörer av kryptotillgångstjänster på grundval av denna förordning endast i syfte att förebygga penningtvätt och finansiering av terrorism och får inte senare behandlas på ett sätt som är oförenligt med dessa syften. Behandling av personuppgifter på grundval av denna förordning för kommersiella ändamål ska vara förbjuden.
Betaltjänstleverantörer och leverantörer av kryptotillgångstjänster ska tillhandahålla nya kunder den information som krävs enligt artikel 13 i förordning (EU) 2016/679 innan en affärsrelation ingås eller en enstaka transaktion genomförs. Den informationen ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form i enlighet med artikel 12 i förordning (EU) 2016/679, och ska särskilt innehålla allmän information om betaltjänstleverantörernas och leverantörerna av kryptotillgångstjänsternas rättsliga förpliktelser enligt den här förordningen när personuppgifter behandlas i syfte att förebygga penningtvätt och finansiering av terrorism.
Betaltjänstleverantörerna och leverantörerna av kryptotillgångstjänster ska alltid säkerställa att alla personuppgifter om de medverkande parterna i en överföring av medel eller en överföring av kryptotillgångar översänds i enlighet med förordning (EU) 2016/679.
Europeiska dataskyddsstyrelsen ska, efter samråd med EBA, utfärda riktlinjer för det praktiska genomförandet av dataskyddskrav för överföring av personuppgifter till tredjeländer i samband med överföringar av kryptotillgångar. EBA ska utfärda riktlinjer om lämpliga förfaranden för att avgöra om en överföring av kryptotillgångar ska verkställas, avvisas, återsändas eller avbrytas i situationer då överensstämmelse med dataskyddskraven för överföring av personuppgifter till tredjeländer inte kan säkerställas.
Relevant recitals
Skäl 19 Personal data processing requirements and intra-group data transfers
Behandlingen av personuppgifter enligt denna förordning bör ske i full överensstämmelse med Europaparlamentets och rådets förordning (EU) 2016/679(17). Ytterligare behandling av personuppgifter för kommersiella ändamål bör vara strängt förbjuden. Samtliga medlemsstater anser att bekämpningen av penningtvätt och finansiering av terrorism har ett starkt allmänintresse. Vid tillämpningen av denna förordning krävs det att överföring av personuppgifter till ett tredjeland sker i enlighet med kapitel V i förordning (EU) 2016/679. Det är viktigt att betaltjänstleverantörer och leverantörer av kryptotillgångstjänster som är verksamma i flera jurisdiktioner med filialer eller dotterföretag utanför unionen inte förhindras att överföra information om misstänkta transaktioner inom samma organisation, förutsatt att de tillämpar lämpliga säkerhetsåtgärder. Avsändarens och mottagarens leverantör av kryptotillgångstjänster, betalarens och betalningsmottagarens betaltjänstleverantör samt den förmedlande betaltjänstleverantören och den förmedlande leverantören av kryptotillgångstjänster bör dessutom förfoga över lämpliga tekniska och organisatoriska medel för att skydda personuppgifter mot oavsiktlig förlust, ändring och obehörigt röjande eller obehörig åtkomst.
Skäl 34 Data protection assessment for crypto-asset transfers to non-Union providers
Kryptotillgångar finns i en gränslös virtuell verklighet och kan överföras till vilken leverantör av kryptotillgångstjänster som helst, oberoende av om den leverantören är registrerad eller inte i en viss jurisdiktion. Många jurisdiktioner utanför unionen har regler om dataskydd och verkställighet som skiljer sig från dem som gäller i unionen. Vid överföring av kryptotillgångar för en kunds räkning till en leverantör av kryptotillgångstjänster som inte är registrerad i unionen bör avsändarens leverantör av kryptotillgångstjänster bedöma förmågan hos mottagarens leverantör av kryptotillgångstjänster att ta emot och lagra den information som krävs enligt denna förordning i enlighet med förordning (EU) 2016/679, i tillämpliga fall med användning av tillgängliga alternativ i kapitel V i förordning (EU) 2016/679. Europeiska dataskyddsstyrelsen bör, efter samråd med EBA, utfärda riktlinjer för det praktiska genomförandet av dataskyddskrav för överföring av personuppgifter till tredjeländer i samband med överföringar av kryptotillgångar. Det kan uppstå situationer där personuppgifter inte kan översändas på grund av att kraven i förordning (EU) 2016/679 inte kan uppfyllas. EBA bör utfärda riktlinjer om lämpliga förfaranden för att avgöra om överföringen av kryptotillgångar bör verkställas, avvisas eller avbrytas i sådana fall.
Skäl 63 Fundamental rights and data protection compliance
Denna förordning omfattas av bestämmelserna i förordning (EU) 2016/679 och Europaparlamentets och rådets förordning (EU) 2018/1725(23). Den är förenlig med de grundläggande rättigheter och de principer som erkänns i Europeiska unionens stadga om de grundläggande rättigheterna, särskilt rätten till respekt för privatlivet och familjelivet (artikel 7), rätten till skydd av personuppgifter (artikel 8), rätten till ett effektivt rättsmedel och till en opartisk domstol (artikel 47) samt ne bis in idem-principen.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
betaltjänstleverantör
(En. payment service provider)
Definition
kryptotillgång
(En. crypto-asset)
Definition
förmedlande leverantör av kryptotillgångstjänster
(En. intermediary crypto-asset service provider)
Definition
kryptotillgång
(En. crypto-asset)
Definition
penningtvätt
(En. money laundering)
Definition
förmedlande betaltjänstleverantör
(En. intermediary payment service provider)
Definition
kryptotillgångstjänster
(En. crypto-asset services)
Definition
överföring av kryptotillgångar
(En. transfer of crypto-assets)
Definition
betalningsmottagare
(En. payee)
Definition
mottagare
(En. beneficiary)
Definition
elektroniska pengar
(En. electronic money)
Definition
penningtvätt
(En. money laundering)
Definition
adress i distribuerad liggare
(En. distributed ledger address)
Definition
avsändare
(En. originator)
Definition
finansiering av terrorism
(En. terrorist financing)
Definition
tredjeland
(En. third country)
Definition
betalkonto
(En. payment account)
Definition
leverantör av kryptotillgångstjänster
(En. crypto-asset service provider)
Definition
konto för kryptotillgångar
(En. crypto-asset account)
Definition
medel
(En. funds)
Definition
finansiering av terrorism
(En. terrorist financing)
Definition
överföring av medel
(En. transfer of funds)
- en betalning enligt definitionen i artikel 4.24 i direktiv (EU) 2015/2366,
- autogiro enligt definitionen i artikel 4.23 i direktiv (EU) 2015/2366,
- en penningöverföring enligt definitionen i artikel 4.22 i direktiv (EU) 2015/2366, oavsett om den är nationell eller gränsöverskridande,
- en överföring som genomförts med ett betalkort, ett instrument för elektroniska pengar, en mobiltelefon eller någon annan förbetald eller efterhandsbetald digital utrustning eller it-utrustning med liknande egenskaper.
Definition
betalare
(En. payer)
Footnote 23
Footnote 17