(1)

Det er nødvendigt at lette brugen af finansielle oplysninger for at forebygge, afsløre, efterforske eller retsforfølge grov kriminalitet.

(2)

For at øge sikkerheden, forbedre retsforfølgningen af økonomisk kriminalitet, bekæmpe hvidvask af penge og forebygge skattekriminalitet i medlemsstaterne og i hele Unionen er det nødvendigt at forbedre adgangen til oplysninger for finansielle efterretningsenheder (»FIU’er«) og offentlige myndigheder med ansvar for forebyggelse, afsløring, efterforskning eller retsforfølgning af grov kriminalitet, forbedre deres mulighed for at foretage finansiel efterforskning og forbedre samarbejdet mellem dem.

(3)

I henhold til artikel 4, stk. 3, i traktaten om Den Europæiske Union (TEU) skal Unionen og medlemsstaterne bistå hinanden. De bør desuden forpligte sig på at samarbejde på oprigtig og hurtig vis.

(4)

I sin meddelelse af 2. februar 2016 om en handlingsplan med henblik på at styrke bekæmpelsen af finansiering af terrorisme gav Kommissionen tilsagn om at undersøge muligheden for et selvstændigt retligt instrument til at udvide adgangen til centrale registre over bank- og betalingskonti for medlemsstaternes myndigheder, herunder for myndigheder, der har kompetence med hensyn til at forebygge, afsløre, efterforske eller retsforfølge strafbare handlinger, kontorer for inddrivelse af aktiver, skattemyndigheder og korruptionsbekæmpende myndigheder. Desuden opfordres der også i handlingsplanen til en kortlægning af hindringer for adgang til, udveksling og brug af oplysninger samt operationelt samarbejde mellem FIU’er.

(5)

Bekæmpelse af grov kriminalitet, herunder økonomisk bedrageri og hvidvask af penge, er fortsat en prioritet for Unionen.

(6)

Europa-Parlamentets og Rådets direktiv (EU) 2015/849 (3) pålægger medlemsstaterne at indføre centrale bankkontoregistre eller systemer for dataudtræk, der gør det muligt rettidigt at identificere indehavere af bank- og betalingskonti og deponeringsbokse.

(7)

I henhold til direktiv (EU) 2015/849 skal de oplysninger, der opbevares i sådanne centrale bankkontoregistre, være direkte tilgængelige for FIU’er og også for de nationale myndigheder, der har kompetence med hensyn til at forebygge hvidvask af penge, de tilknyttede underliggende lovovertrædelser og finansiering af terrorisme.

(8)

Hurtig og direkte adgang til de oplysninger, der opbevares i centrale bankkontoregistre, er tit uundværlig for en vellykket strafferetlig efterforskning eller for en rettidig identificering, opsporing og indefrysning af hermed forbundne aktiver med henblik på at konfiskere dem. Direkte adgang er den hurtigste form for adgang til de oplysninger, der opbevares i centrale bankkontoregistre. Dette direktiv bør derfor fastsætte regler, som giver medlemsstaternes udpegede myndigheder, der har kompetence med hensyn til at forebygge, afsløre, efterforske eller retsforfølge strafbare handlinger, direkte adgang til de oplysninger, der opbevares i centrale bankkontoregistre. Hvor en medlemsstat giver adgang til bankkontooplysninger gennem et centralt elektronisk system for dataudtræk, bør nævnte medlemsstat sikre, at den myndighed, der driver udtrækssystemerne, på en hurtig og ufiltreret måde giver søgeresultaterne til de udpegede kompetente myndigheder. Dette direktiv bør ikke berøre kanaler til udveksling af oplysninger mellem kompetente myndigheder eller deres beføjelser til at indhente oplysninger fra forpligtede enheder i henhold til EU-retten eller national ret. Enhver adgang til oplysninger, som opbevares i centrale registre hos de nationale myndigheder til andre formål end dette direktivs eller med hensyn til andre strafbare handlinger end dem, der er omfattet af dette direktiv, falder uden for dette direktivs anvendelsesområde.

(9)

Eftersom der i hver medlemsstat er mange myndigheder eller organer, der har kompetence med hensyn til at forebygge, afsløre, efterforske eller retsforfølge strafbare handlinger, og for at sikre forholdsmæssig adgang til finansielle og andre oplysninger i henhold til dette direktiv, bør medlemsstaterne forpligtes til at udpege, hvilke myndigheder eller organer der har beføjelse til at få adgang til de centrale bankkontoregistre, og hvilke der kan anmode FIU’er om oplysninger med henblik på dette direktiv. Medlemsstaterne bør ved gennemførelsen af dette direktiv tage hensyn til disse myndigheders og organers karakter, organisatoriske status, opgaver og prærogativer, som fastsat i deres nationale ret, herunder de eksisterende mekanismer for beskyttelse af finansielle systemer mod hvidvask af penge og finansiering af terrorisme.

(10)

Blandt de kompetente myndigheder bør der udpeges kontorer for inddrivelse af aktiver, som bør have direkte adgang til de oplysninger, der opbevares i centrale bankkontoregistre, i forbindelse med forebyggelse, afsløring eller efterforskning af en specifik alvorlig strafbar handling eller støtte til en specifik strafferetlig efterforskning, herunder identificering, opsporing og indefrysning af aktiver.

(11)

I det omfang skattemyndigheder og korruptionsbekæmpende agenturer har kompetence med hensyn til at forebygge, afsløre, efterforske eller retsforfølge strafbare handlinger i henhold til national ret, bør de også betragtes som myndigheder, der kan udpeges med henblik på dette direktiv. Andre administrative efterforskninger end dem, der foretages af FIU’er i forbindelse med forebyggelse, afsløring og effektiv bekæmpelse af hvidvask af penge og finansiering af terrorisme, bør ikke være omfattet af dette direktiv.

(12)

Gerningsmændene til strafbare handlinger, navnlig kriminelle grupperinger og terrorister, opererer tit på tværs af forskellige medlemsstater, og deres aktiver, herunder bankkonti, befinder sig tit i andre medlemsstater. I betragtning af den grænseoverskridende dimension af grov kriminalitet, herunder terrorisme, og af de hermed forbundne finansielle aktiviteter er det tit nødvendigt for de kompetente myndigheder, der udfører efterforskninger i én medlemsstat, at have adgang til oplysninger om bankkonti i andre medlemsstater.

(13)

De oplysninger, som kompetente myndigheder indhenter hos nationale centrale bankkontoregistre, kan udveksles med kompetente myndigheder i en anden medlemsstat i overensstemmelse med Rådets rammeafgørelse 2006/960/RIA (4), Europa-Parlamentets og Rådets direktiv 2014/41/EU (5) og gældende databeskyttelsesregler.

(14)

Direktiv (EU) 2015/849 har betydeligt styrket Unionens retlige ramme, der regulerer FIU’ers virksomhed og samarbejde, herunder Kommissionens vurdering af muligheden for at oprette en koordinerings- og støttemekanisme. FIU’ers retlige status varierer fra medlemsstat til medlemsstat, idet de kan være af administrativ eller retshåndhævende karakter eller af hybrid karakter. FIU’ers beføjelser omfatter retten til at få adgang til de oplysninger om finansielle forhold, administration og retshåndhævelse, som de skal bruge for at kunne forebygge, afsløre og bekæmpe hvidvask af penge, de tilknyttede underliggende lovovertrædelser og finansiering af terrorisme. EU-retten fastlægger dog ikke alle specifikke redskaber og mekanismer, som FIU’er bør råde over for at få adgang til sådanne oplysninger og udføre deres opgaver. Eftersom medlemsstaterne har det fulde ansvar for at oprette FIU’er og bestemme deres organisatoriske karakter, har forskellige FIU’er forskellige grader af adgang til databaser etableret ved lov, hvilket fører til en utilstrækkelig udveksling af oplysninger mellem retshåndhævende eller retsforfølgende myndigheder og FIU’erne.

(15)

For at øge retssikkerhed og operationel effektivitet bør der ved dette direktiv fastsættes regler, der styrker FIU’ernes mulighed for at dele finansielle oplysninger og finansielle analyser med de udpegede kompetente myndigheder i deres medlemsstat for så vidt angår alle alvorlige strafbare handlinger. Mere præcist bør FIU’er forpligtes til at samarbejde med deres medlemsstaters udpegede kompetente myndigheder og være i stand til at svare rettidigt på begrundede anmodninger om finansielle oplysninger eller finansielle analyser fra disse udpegede kompetente myndigheder, hvis de finansielle oplysninger eller finansielle analyser i det konkrete tilfælde er nødvendige, og når sådanne anmodninger er begrundet i hensynet til forebyggelse, afsløring, efterforskning eller retsforfølgning af alvorlige strafbare handlinger, jf. dog de undtagelser, der er fastsat i artikel 32, stk. 5, i direktiv (EU) 2015/849. Dette krav bør ikke være til hinder for FIU’ernes autonomi i henhold til direktiv (EU) 2015/849. Navnlig i de tilfælde, hvor de anmodede oplysninger stammer fra en FIU i en anden medlemsstat, bør eventuelle begrænsninger og betingelser, som er pålagt af denne FIU med hensyn til anvendelsen af disse oplysninger, overholdes. Anvendelse til andre formål end de oprindeligt godkendte bør gøres betinget af forudgående samtykke fra den pågældende FIU. FIU’er bør behørigt begrunde ethvert afslag på at besvare en anmodning om oplysninger eller analyser. Dette direktiv bør ikke berøre FIU’ernes operationelle uafhængighed og autonomi i henhold til direktiv (EU) 2015/849, herunder FIU’ernes autonomi til uopfordret at formidle oplysninger på eget initiativ med henblik på nærværende direktiv.

(16)

Dette direktiv bør også fastlægge en klart afgrænset retlig ramme, som gør det muligt for FIU’er at anmode om relevante oplysninger, der lagres af de udpegede kompetente myndigheder i deres medlemsstat, så de effektivt kan forebygge, afsløre og bekæmpe hvidvask af penge, de tilknyttede underliggende lovovertrædelser og finansiering af terrorisme.

(17)

FIU’er bør bestræbe sig på at udveksle finansielle oplysninger eller finansielle analyser øjeblikkeligt i ekstraordinære og hastende tilfælde, hvor sådanne oplysninger eller analyser vedrører terrorisme eller organiseret kriminalitet, der er knyttet til terrorisme.

(18)

En sådan udveksling bør ikke lægge hindringer i vejen for en FIU’s aktive rolle i henhold til i direktiv (EU) 2015/849 med hensyn til at formidle sine analyser til andre FIU’er, hvor disse analyser afslører faktiske forhold, adfærd eller mistanke om hvidvask af penge og finansiering af terrorisme af direkte interesse for disse andre FIU’er. Finansielle analyser dækker operationelle analyser, som fokuserer på individuelle sager og bestemte mål eller på relevante udvalgte oplysninger, afhængigt af typen og mængden af de modtagne oplysninger og den forventede anvendelse af oplysningerne efter formidling, og strategiske analyser, som vedrører tendenser og mønstre for hvidvask af penge og finansiering af terrorisme. Dette direktiv bør dog ikke berøre den organisatoriske status og rolle, der tillægges FIU’er i henhold til medlemsstaternes nationale ret.

(19)

I betragtning af følsomheden af de finansielle oplysninger, der bør analyseres af FIU’erne, og de nødvendige databeskyttelsesgarantier bør dette direktiv specifikt fastsætte typen og omfanget af de oplysninger, der kan udveksles mellem FIU’er, mellem FIU’er og udpegede kompetente myndigheder og mellem de forskellige medlemsstaters udpegede kompetente myndigheder. Dette direktiv bør ikke ændre de nuværende aftalte metoder til dataindsamling. Medlemsstaterne bør dog kunne beslutte at udvide omfanget af de finansielle oplysninger og bankkontooplysninger, der kan udveksles mellem FIU’erne og de udpegede kompetente myndigheder. Medlemsstaterne bør også kunne lette de udpegede kompetente myndigheders adgang til finansielle oplysninger og bankkontooplysninger med henblik på forebyggelse, afsløring, efterforskning eller retsforfølgning af andre strafbare handlinger end alvorlige strafbare handlinger. Dette direktiv bør ikke afvige fra de gældende databeskyttelsesregler.

(20)

I henhold til de specifikke kompetencer og opgaver, som er tildelt Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (»Europol«), der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2016/794 (6), yder Europol støtte til medlemsstaternes efterforskninger på tværs af landegrænserne af tværnationale kriminelle organisationers hvidvaskaktiviteter, som fastsat i nævnte forordning. I den forbindelse bør Europol underrette medlemsstaterne om eventuelle oplysninger om og forbindelser mellem strafbare handlinger, der vedrører disse medlemsstater. I henhold til nævnte forordning er de nationale Europolenheder forbindelsesled mellem Europol og de myndigheder i medlemsstaterne, der er kompetente til at efterforske strafbare handlinger. For at sikre at Europol får de nødvendige oplysninger til at kunne varetage sine opgaver, bør hver enkelt medlemsstat tillade dens FIU at besvare anmodninger om finansielle oplysninger og finansielle analyser fra Europol gennem den pågældende medlemsstats nationale Europolenhed eller, hvor det er hensigtsmæssigt, ved direkte kontakter. Medlemsstaterne bør også fastsætte, at deres nationale Europolenhed og, hvor det er hensigtsmæssigt, deres udpegede kompetente myndigheder er berettiget til at besvare anmodninger fra Europol om bankkontooplysninger. Anmodninger, der fremsættes af Europol, bør være behørigt begrundet. De bør fremsættes efter en konkret vurdering inden for rammerne af Europols ansvarsområder og med henblik på udførelsen af dets opgaver. FIU’ers operationelle uafhængighed og autonomi bør ikke bringes i fare, og afgørelsen om at give de ønskede oplysninger eller analyser bør fortsat træffes af FIU’erne. For at sikre et hurtigt og effektivt samarbejde bør FIU’er besvare anmodninger fra Europol rettidigt. I overensstemmelse med forordning (EU) 2016/794 bør Europol fortsætte sin nuværende praksis med at give feedback til medlemsstaterne om anvendelsen af de oplysninger eller analyser, der er fastlagt i nærværende direktiv.

(21)

Der bør i dette direktiv også tages i betragtning, at de europæiske delegerede anklagere i Den Europæiske Anklagemyndighed (EPPO), hvor det er relevant, i henhold til artikel 43 i Rådets forordning (EU) 2017/1939 (7) har beføjelse til at indhente alle relevante oplysninger, der opbevares i nationale databaser vedrørende efterforskning i straffesager og retshåndhævelse såvel som i andre relevante registre, der føres af offentlige myndigheder, herunder centrale bankkontoregistre og systemer for dataudtræk, på de samme betingelser som dem, der finder anvendelse i henhold til national ret i lignende sager.

(22)

For at styrke samarbejdet mellem FIU’er bør Kommissionen i den nærmeste fremtid gennemføre en konsekvensanalyse for at vurdere, om det er muligt og hensigtsmæssigt at oprette en koordinerings- og støttemekanisme, såsom en »EU-FIU«.

(23)

For at opnå en passende balance mellem effektivitet og et højt databeskyttelsesniveau bør medlemsstaterne forpligtes til at sikre, at behandlingen af følsomme finansielle oplysninger, der vil kunne afsløre følsomme oplysninger om en persons race eller etniske oprindelse, politiske, religiøse eller filosofiske overbevisning eller fagforeningsmæssigt tilhørsforhold eller af oplysninger om en fysisk persons helbred, seksuelle forhold eller seksuelle orientering, kun bør tillades foretaget af specifikt bemyndigede personer og i overensstemmelse med de gældende databeskyttelsesregler.

(24)

Dette direktiv respekterer grundlæggende rettigheder og overholder de principper, der er anerkendt i artikel 6 i TEU og i Den Europæiske Unions charter om grundlæggende rettigheder, navnlig retten til respekt for privatliv og familieliv, retten til beskyttelse af personoplysninger, forbuddet mod forskelsbehandling, friheden til at oprette og drive egen virksomhed, retten til adgang til effektive retsmidler og til en retfærdig rettergang, uskyldsformodningen og retten til et forsvar, legalitetsprincippet og princippet om proportionalitet mellem lovovertrædelse og straf, samt de grundlæggende rettigheder og principper, der følger af international ret og internationale aftaler, som Unionen eller alle medlemsstaterne er part i, herunder den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, og i medlemsstaternes forfatninger, på deres respektive anvendelsesområder.

(25)

Det er afgørende at sikre, at behandling af personoplysninger i henhold til dette direktiv fuldt ud respekterer retten til beskyttelse af personoplysninger. Enhver sådan behandling er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2016/679 (8) og af Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (9), på deres respektive anvendelsesområder. For så vidt angår kontorer for inddrivelse af aktivers adgang til centrale bankkontoregistre og systemer for dataudtræk finder direktiv (EU) 2016/680 anvendelse, hvorimod artikel 5, stk. 2, i Rådets afgørelse 2007/845/RIA (10) ikke finder anvendelse. Hvad angår Europol, finder forordning (EU) 2016/794 anvendelse. Der bør i nærværende direktiv fastsættes specifikke og supplerende garantier og betingelser til sikring af beskyttelsen af personoplysninger for så vidt angår mekanismer til sikring af behandlingen af følsomme oplysninger og registrering af anmodninger om oplysninger.

(26)

Personoplysninger, der er indhentet i henhold til dette direktiv, bør kun behandles i overensstemmelse med de gældende databeskyttelsesregler af kompetente myndigheder, hvis det er nødvendigt og står i et rimeligt forhold til formålet om at forebygge, afsløre, efterforske eller retsforfølge grov kriminalitet.

(27)

Endvidere er det for at respektere retten til beskyttelse af personoplysninger og retten til privatlivets fred samt begrænse virkningen af adgangen til oplysninger i centrale bankkontoregistre og systemer for dataudtræk af afgørende betydning at fastsætte betingelser for begrænsning af sådan adgang. Medlemsstaterne bør navnlig sikre, at passende databeskyttelsespolitikker og -foranstaltninger finder anvendelse for så vidt angår de kompetente myndigheders adgang til personoplysninger med henblik på dette direktiv. Kun bemyndiget personale bør have adgang til oplysninger, der indeholder personoplysninger, som kan indhentes fra centrale bankkontoregistre eller gennem kontrolprocesser. Personale, der gives adgang til sådanne følsomme oplysninger, bør gennemgå uddannelse i sikkerhedsprocedurerne for udveksling og håndtering af sådanne oplysninger.

(28)

Overførsel af finansielle oplysninger til tredjelande og internationale partnere med henblik på dette direktivs formål bør kun tillades på de betingelser, der er fastsat i kapitel V i forordning (EU) 2016/679 eller kapitel V i direktiv (EU) 2016/680.

(29)

Kommissionen bør aflægge rapport om gennemførelsen af dette direktiv tre år efter gennemførelsesdatoen og hvert tredje år derefter. I overensstemmelse med den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (11) bør Kommissionen også foretage en evaluering af dette direktiv på grundlag af oplysninger indsamlet gennem specifikke overvågningsordninger med henblik på at vurdere de faktiske virkninger af direktivet og behovet for eventuelle yderligere tiltag.

(30)

Dette direktiv har til formål at sikre, at der vedtages regler, så unionsborgere omfattes af et højere sikkerhedsniveau gennem forebyggelse og bekæmpelse af kriminalitet i henhold til artikel 67 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). Terrortrusler og kriminelle trusler berører Unionen som helhed på grund af deres tværnationale karakter og kræver en indsats fra hele Unionen. Kriminelle kan udnytte og drage fordel af manglen på effektiv brug af bankkontooplysninger og finansielle oplysninger i en medlemsstat, hvilket igen kan have konsekvenser i en anden medlemsstat.

(31)

Målet for dette direktiv, nemlig at forbedre adgangen til oplysninger for FIU’er og offentlige myndigheder med ansvar for forebyggelse, afsløring, efterforskning eller retsforfølgning af grov kriminalitet, forbedre deres mulighed for at foretage finansiel efterforskning og forbedre samarbejdet mellem dem, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af handlingens omfang eller virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå dette mål.

(32)

For at sikre ensartede betingelser for gennemførelsen af dette direktiv for så vidt angår at tillade medlemsstaterne foreløbigt at anvende eller indgå aftaler med tredjelande, som er kontraherende parter i Det Europæiske Økonomiske Samarbejdsområde, om forhold, der falder inden for anvendelsesområdet for dette direktivs kapitel II, bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (12).

(33)

Rådets afgørelse 2000/642/RIA bør ophæves, da dens genstand er reguleret af andre EU-retsakter, og den ikke længere er nødvendig.

(34)

I medfør af artikel 3 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til TEU og til TEUF, har Det Forenede Kongerige og Irland meddelt, at de ønsker at deltage i vedtagelsen og anvendelsen af dette direktiv.

(35)

I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU og til TEUF, deltager Danmark ikke i vedtagelsen af dette direktiv, som ikke er bindende for og ikke finder anvendelse i Danmark.

(36)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (13) og afgav en udtalelse den 10. september 2018 —