EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2024/1654

av den 31 maj 2024

om ändring av (EU) 2019/1153 vad gäller behöriga myndigheters åtkomst till centraliserade bankkontoregister via sammankopplingssystemet och tekniska åtgärder för att underlätta användningen av transaktionsuppgifter

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 87.2,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

i enlighet med det ordinarie lagstiftningsförfarandet (1), och

av följande skäl:

(1)

Det är nödvändigt att optimera och underlätta åtkomsten till finansiell information för att förebygga, upptäcka, utreda och lagföra allvarliga brott, däribland terrorism. I synnerhet är snabb åtkomst till finansiell information avgörande för att genomföra effektiva brottsutredningar och för att framgångsrikt spåra och därefter förverka hjälpmedel till och vinning av brott, i synnerhet som en del av utredningar av organiserad brottslighet och it-brottslighet.

(2)

Europaparlamentets och rådets direktiv (EU) 2019/1153 (2) gör det möjligt för de myndigheter som utsetts av medlemsstaterna bland deras myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott att få åtkomst till och söka i uppgifter om bankkonton, med förbehåll för vissa skyddsåtgärder och begränsningar. I direktiv (EU) 2019/1153 definieras uppgifter om bankkonton som vissa uppgifter som finns i de centraliserade automatiserade mekanismer som medlemsstaterna infört i enlighet med Europaparlamentets och rådets direktiv (EU) 2015/849 (3). Sådana centraliserade automatiserade mekanismer kallas i direktiv (EU) 2019/1153 centraliserade bankkontoregister.

(3)

De behöriga myndigheter som utsetts enligt direktiv (EU) 2019/1153 bör åtminstone omfatta kontoren för återvinning av tillgångar och kan även inbegripa skattemyndigheter och korruptionsbekämpande organ i den utsträckning dessa är behöriga att förebygga, upptäcka, utreda eller lagföra brott enligt nationell rätt. Enligt det direktivet har dessa behöriga myndigheter befogenhet att direkt få åtkomst till och söka i endast det centraliserade bankkontoregistret i den medlemsstat som utsåg dem.

(4)

Europaparlamentets och rådets direktiv (EU) 2024/1640 (4), som ersätter direktiv (EU) 2015/849 och bibehåller huvuddragen i det system som inrättas genom det direktivet, föreskriver dessutom att de centraliserade automatiserade mekanismerna bör sammankopplas via bankkontoregistrens sammankopplingssystem som ska tas fram och drivas av kommissionen. Enligt direktiv (EU) 2024/1640 har emellertid endast finansunderrättelseenheter (FIU) direkt åtkomst till de centraliserade automatiserade mekanismerna, även via bankkontoregistrens sammankopplingssystem.

(5)

Med tanke på den organiserade brottslighetens, terrorismfinansieringens och penningtvättens gränsöverskridande karaktär samt vikten av relevant finansiell information för att bekämpa allvarliga brott, även genom att, när så är möjligt och lämpligt, snabbt spåra, frysa och förverka olagligt anskaffade tillgångar, bör de behöriga myndigheter som utsetts enligt direktiv (EU) 2019/1153 kunna få direkt åtkomst till och söka i andra medlemsstaters centraliserade bankkontoregister genom bankkontoregistrens sammankopplingssystem.

(6)

De skyddsåtgärder och begränsningar som fastställts genom direktiv (EU) 2019/1153 bör också tillämpas på befogenheten att få åtkomst till och söka i uppgifter om bankkonton via bankkontoregistrens sammankopplingssystem. Dessa skyddsåtgärder och begränsningar rör vilka myndigheter som har befogenhet att få åtkomst till och söka i uppgifter om bankkonton, de syften för vilka åtkomst till och sökning i uppgifter om bankkonton får ske, de typer av uppgifter som är åtkomliga och sökbara, i enlighet med principen om uppgiftsminimering, krav som gäller personalen vid de behöriga myndigheter som utsetts enligt direktiv (EU) 2019/1153, datasäkerhet samt loggning av åtkomst och sökningar.

(7)

Den åtkomst som de behöriga myndigheter som utsetts enligt direktiv (EU) 2019/1153 får till uppgifter om bankkonton över gränserna via bankkontoregistrens sammankopplingssystem bygger på det ömsesidiga förtroende mellan medlemsstaterna som följer av deras respekt för de grundläggande rättigheter och principer som erkänns i artikel 6 i fördraget om Europeiska unionen (EU-fördraget) och i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), däribland rätten till respekt för privatlivet och familjelivet, rätten till skydd av personuppgifter och processuella rättigheter, inbegripet rätten till ett effektivt rättsmedel och till en opartisk domstol, presumtionen för oskuld och rätten till försvar och principerna om laglighet och proportionalitet i fråga om brott och straff samt de grundläggande rättigheter och principer som föreskrivs i internationell rätt och de internationella konventioner i vilka unionen eller samtliga medlemsstater är part, inbegripet den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, samt i medlemsstaternas konstitutioner, inom deras respektive tillämpningsområden.

(8)

Transaktionsuppgifter ger viktig information för brottsutredningar. Finansiella utredningar hämmas dock av det faktum att finansiella institut och kreditinstitut, inbegripet leverantörer av kryptotillgångstjänster, förser myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra brott med transaktionsuppgifter i olika format, som inte omedelbart är klara för analys. Den gränsöverskridande karaktären hos de flesta utredningar av allvarliga brott, de olika format som används för att tillhandahålla transaktionsuppgifter och svårigheterna med att behandla transaktionsuppgifter hämmar informationsutbytet mellan medlemsstaternas behöriga myndigheter och utvecklingen av gränsöverskridande finansiella utredningar. För att förbättra de behöriga myndigheternas kapacitet att utföra finansiella utredningar fastställs i detta direktiv åtgärder för att säkerställa att finansiella institut och kreditinstitut i hela unionen, inbegripet leverantörer av kryptotillgångstjänster, tillhandahåller transaktionsuppgifter i ett format som behöriga myndigheter lätt kan behandla och analysera.

(9)

De villkor och förfaranden enligt vilka behöriga myndigheter kan begära transaktionsuppgifter från finansiella institut och kreditinstitut regleras av förfaranderegler som fastställs i nationell rätt. Harmoniseringen av de tekniska arrangemangen för finansiella instituts och kreditinstituts tillhandahållande av transaktionsuppgifter på begäran av behöriga myndigheter bör inte påverka de nationella förfaranderegler och skyddsåtgärder enligt vilka behöriga myndigheter kan begära transaktionsuppgifter.

(10)

För att säkerställa enhetliga villkor för finansiella instituts och kreditinstituts tillhandahållande av transaktionsuppgifter till behöriga myndigheter bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (5).

(11)

När medlemsstaterna genomför detta direktiv bör de ta hänsyn till den karaktär och organisatoriska ställning samt de uppgifter och rättigheter som de myndigheter och organ har som enligt nationell rätt är behöriga att förebygga, upptäcka, utreda eller lagföra brott, inbegripet de befintliga mekanismerna för att skydda de finansiella systemen från penningtvätt och finansiering av terrorism.

(12)

All behandling av personuppgifter som utförs av de behöriga myndigheterna enligt detta direktiv omfattas av Europaparlamentets och rådets direktiv (EU) 2016/680 (6), som innehåller regler om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i enlighet med en uppsättning principer för behandling av personuppgifter, särskilt laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, integritet och konfidentialitet samt ansvarsskyldighet. Detta direktiv är förenligt med de grundläggande rättigheter och principer som erkänns i artikel 6 i EU-fördraget och i stadgan, i synnerhet rätten till respekt för privatlivet och familjelivet och rätten till skydd av personuppgifter.

(13)

Eftersom målen för detta direktiv, nämligen att ge behöriga myndigheter som utsetts enligt direktiv (EU) 2019/1153 befogenhet att få åtkomst till och söka i andra medlemsstaters centraliserade bankkontoregister via bankkontoregistrens sammankopplingssystem och att underlätta behöriga myndigheters användning av transaktionsuppgifter för att förebygga, upptäcka, utreda eller lagföra allvarliga brott, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av det här direktivets omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(14)

I enlighet med artikel 3 och 4a.1 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och fördraget om Europeiska unionens funktionssätt (EUF-fördraget), har Irland, genom en skrivelse av den 25 oktober 2021, meddelat att det önskar delta i antagandet och tillämpningen av detta direktiv.

(15)	I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget, deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.

(16)	Direktiv (EU) 2019/1153 bör därför ändras i enlighet med detta.

(17)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (7) och avgav sina synpunkter den 6 september 2021.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Direktiv (EU) 2019/1153 ska ändras på följande sätt:

Artikel 1 ska ändras på följande sätt:

Punkt 1 ska ersättas med följande:

”1. I detta direktiv fastställs

a)	åtgärder för att underlätta behöriga myndigheters åtkomst till och användning av finansiell information och uppgifter om bankkonton för att förebygga, upptäcka, utreda eller lagföra allvarliga brott,

b)	åtgärder för att underlätta finansunderrättelseenheters (FIU) åtkomst till brottsbekämpningsrelaterad information för att förebygga och bekämpa penningtvätt, associerade förbrott och finansiering av terrorism samt åtgärder för att underlätta samarbetet mellan FIU, och

c)	tekniska åtgärder för att underlätta behöriga myndigheters användning av transaktionsuppgifter för att förebygga, upptäcka, utreda eller lagföra allvarliga brott.”

I punkt 2 ska följande led läggas till:

”e)

Förfaranden enligt nationell rätt enligt vilka myndigheter som är behöriga att förebygga, upptäcka, utreda eller lagföra allvarliga brott kan kräva att finansiella institut och kreditinstitut tillhandahåller transaktionsuppgifter, inbegripet tidsfrister för tillhandahållande av transaktionsuppgifter.”

Artikel 2 ska ändras på följande sätt:

Led 7 ska ersättas med följande:

”7.	uppgifter om bankkonton: den information som anges i artikel 16.3 i Europaparlamentets och rådets direktiv 2024/1640 (*1).

(*1) Europaparlamentets och rådets direktiv 2024/1640 av den 31 maj 2024 om de mekanismer som medlemsstaterna ska inrätta för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av direktiv (EU) 2019/1937 och om ändring och upphävande av direktiv (EU) 2015/849 (EUT L, 2024/1640, 19.6.2024, ELI: http://data.europa.eu/eli/dir/2024/1640/oj).” "

Följande led ska införas:

”7a.

transaktionsuppgifter: uppgifter om transaktioner som under en fastställd period har genomförts via ett särskilt betalkonto enligt definitionen i artikel 2.5 i Europaparlamentets och rådets förordning (EU) nr 260/2012 (*2) eller via ett bankkonto som identifieras med Iban-nummer enligt definitionen i artikel 2.15 i den förordningen, eller uppgifter om överföringar av kryptotillgångar enligt definitionen i artikel 3.10 i Europaparlamentets och rådets förordning (EU) 2023/1113 (*3).

7b.	kreditinstitut: kreditinstitut enligt definitionen i artikel 2.5 i Europaparlamentets och rådets förordning (EU) 2024/1624 (*4).

7c.	finansiellt institut: finansiellt institut enligt definitionen i artikel 2.6 i förordning (EU) 2024/1624.

7d.	leverantör av kryptotillgångstjänster: leverantör av kryptotillgångstjänster enligt definitionen i artikel 3.1.15 i Europaparlamentets och rådets förordning (EU) 2023/1114 (*5).

(*2) Europaparlamentets och rådets förordning (EU) nr 260/2012 av den 14 mars 2012 om antagande av tekniska och affärsmässiga krav för betalningar och autogireringar i euro och om ändring av förordning (EG) nr 924/2009 (EUT L 94, 30.3.2012, s. 22)."

(*3) Europaparlamentets och rådets förordning (EU) 2023/1113 av den 31 maj 2023 om uppgifter som ska åtfölja överföringar av medel och vissa kryptotillgångar och ändring av direktiv (EU) 2015/849 (EUT L 150, 9.6.2023, s. 1)."

(*4) Europaparlamentets och rådets förordning (EU) 2024/1624 av den 31 maj 2024 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism (EUT L, 2024/1624, 19.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1624/oj)."

(*5) Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 (EUT L 150, 9.6.2023, s. 40).” "

3.	Titeln på kapitel II ska ersättas med följande: ”DE BEHÖRIGA MYNDIGHETERNAS ÅTKOMST TILL UPPGIFTER OM BANKKONTON OCH FORMAT PÅ TRANSAKTIONSUPPGIFTER”.

I artikel 4 ska följande punkter införas:

”1a. Medlemsstaterna ska säkerställa att de behöriga nationella myndigheter som utsetts enligt artikel 3.1 i det här direktivet har befogenhet att direkt och omedelbart få åtkomst till och söka i uppgifter om bankkonton i andra medlemsstater vilka är tillgängliga via bankkontoregistrens sammankopplingssystem som införts enligt artikel 16.6 i direktiv (EU) 2024/1640 om det är nödvändigt för fullgörandet av deras uppgifter i syfte att förebygga, upptäcka, utreda eller lagföra allvarliga brott eller stödja en brottsutredning som rör ett allvarligt brott, inbegripet identifiering, spårning och frysning av tillgångar med koppling till en sådan utredning.”

En medlemsstat får begränsa befogenheten att få åtkomst till och söka uppgifter om bankkonton via bankkontoregistrens sammankopplingssystem till situationer där dess behöriga nationella myndigheter som utsetts enligt artikel 3.1 har motiverade skäl att anta att det kan finnas relevanta uppgifter om bankkonton i andra medlemsstater.

Utan att det påverkar artikel 4.2 i direktiv (EU) 2016/680 får uppgifter om bankkonton som erhålls genom åtkomst till och sökning via bankkontoregistrens sammankopplingssystem endast behandlas för det ändamål för vilket de samlades in.

Åtkomst och sökningar enligt denna punkt ska anses vara direkta och omedelbara, bland annat i fall där de nationella myndigheter som förvaltar de centrala bankkontoregistren skyndsamt överför uppgifterna om bankkonton till de behöriga myndigheterna genom en automatiserad mekanism, förutsatt att ingen mellanliggande institution kan påverka de begärda uppgifterna eller den information som ska tillhandahållas.

1b. Åtkomst och sökningar enligt denna artikel ska inte påverka nationella rättssäkerhetsgarantier eller unionsregler och nationella regler om skydd av personuppgifter.”

Artikel 5 ska ändras på följande sätt:

a)	Punkt 1 ska ersättas med följande: ”1. Åtkomst till och sökningar i uppgifter om bankkonton i enlighet med artikel 4.1 och 4.1a ska endast utföras från fall till fall och av den personal som särskilt har utsetts och bemyndigats att utföra dessa uppgifter vid varje behörig myndighet.”

Punkt 3 ska ersättas med följande:

”3. Medlemsstaterna ska säkerställa tekniska och organisatoriska åtgärder för att säkerställa datasäkerhet i enlighet med höga tekniska standarder för de behöriga myndigheternas utövande av befogenheten att få åtkomst till och göra sökningar i uppgifter om bankkonton, i enlighet med artikel 4.1 och 4.1a.”

I artikel 6.1 ska första meningen ersättas med följande:

”1. Medlemsstaterna ska tillse att de myndigheter som förvaltar de centraliserade bankkontoregistren säkerställer att det förs loggar varje gång utsedda behöriga myndigheter får åtkomst till och söker i uppgifter om bankkonton i enlighet med artikel 4.1 och 4.1a.”

Följande artikel ska införas i kapitel II:

”Artikel 6a

Transaktionsuppgifter

1. Medlemsstaterna ska säkerställa att finansiella institut och kreditinstitut, inbegripet leverantörer av kryptotillgångstjänster, följer de tekniska specifikationer som fastställts i enlighet med punkt 2 när de i enlighet med nationell rätt svarar på begäranden om transaktionsuppgifter som ställts av behöriga myndigheter som en del av en brottsutredning, inbegripet identifiering, spårning och frysning av tillgångar med koppling till en sådan utredning.

2. Kommissionen ges befogenhet att genom genomförandeakter anta tekniska specifikationer för att fastställa det elektroniska strukturerade format och de tekniska medel som ska användas för att tillhandahålla transaktionsuppgifter. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 22.3. När kommissionen antar sådana genomförandeakter ska den beakta utvecklingen av relevanta meddelandestandarder för finansiella tjänster.”

I artikel 12 ska följande punkt läggas till:

”4. Medlemsstaterna ska säkerställa att FIU i relevanta fall kan uppmana Europol att stödja dem när de utför den gemensamma analys som avses i artikel 32 i direktiv (EU) 2024/1640 och artikel 40 i Europaparlamentets och rådets förordning (EU) 2024/1620 (*6), förutsatt att alla deltagande FIU samtycker till detta, inom ramen för Europols mandat och för utförandet av de uppgifter som anges i artikel 4.1 h och z i förordning (EU) 2016/794, och utan att det påverkar befogenheterna för Myndigheten för bekämpning av penningtvätt och finansiering av terrorism enligt förordning (EU) 2024/1620.

(*6) Europaparlamentets och rådets förordning (EU) 2024/1620 av den 31 maj 2024 om inrättande av en myndighet för bekämpning av penningtvätt och finansiering av terrorism och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 (EUT L, 2024/1620, 19.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1620/oj).” "

9.	I artikel 22 ska följande punkt läggas till: ”3. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.”

Artikel 2

1. Medlemsstaterna ska sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv senast den 10 juli 2027.

Genom undantag från första stycket i denna punkt ska medlemsstaterna sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa artikel 1.4 och 1.5 i detta direktiv senast den 10 juli 2029.

De ska genast underrätta kommissionen om detta.

När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

2. Medlemsstaterna ska underrätta kommissionen om texten till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.

Artikel 3

Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Artikel 4

Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.

Utfärdat i Bryssel den 31 maj 2024.

På Europaparlamentets vägnar

R. METSOLA

Ordförande

På rådets vägnar

H. LAHBIB

Ordförande

(1) Europaparlamentets ståndpunkt av den 23 april 2024 (ännu ej offentliggjord i EUT) och rådets beslut av den 30 maj 2024.

(2) Europaparlamentets och rådets direktiv (EU) 2019/1153 av den 20 juni 2019 om fastställande av bestämmelser för att underlätta användning av finansiell information och andra uppgifter för att förebygga, upptäcka, utreda eller lagföra vissa brott och om upphävande av rådets beslut 2000/642/RIF (EUT L 186, 11.7.2019, s. 122).

(3) Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 5.6.2015, s. 73).

(4) Europaparlamentets och rådets direktiv 2024/1640 av den 31 maj 2024 om de mekanismer som medlemsstaterna ska inrätta för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av direktiv (EU) 2019/1937 och om ändring och upphävande av direktiv (EU) 2015/849 (EUT L, 2024/1640, 19.6.2024, ELI: http://data.europa.eu/eli/dir/2024/1640/oj).

(5) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(6) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(7) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).