Indsigelse mod bankens krav om oplysninger og dokumentation i henhold til hvidvaskloven

Sagsnummer:497/2020
Dato:01-10-2021
Ankenævn:Vibeke Rønne, Bjarke Svejstrup, Kristian Ingemann Peter-sen, Morten Bruun Pedersen, Søren Geckler.
Klageemne:Konto - øvrige spørgsmål
Konto - registreringsforhold
Ledetekst:Indsigelse mod bankens krav om oplysninger og dokumentation i henhold til hvidvaskloven
Indklagede:Danske Bank
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod bankens krav om oplysninger og dokumentation i henhold til hvidvaskloven.

Sagens omstændigheder

Klageren er kunde i Danske Bank.

Ved brev til klageren af 19. juni 2020 anmodede banken om dokumentation for klagerens identitet i form af kopi af ID eller oplysning om statsborgerskab eller begge dele, samt hurtigst muligt at opdatere sine oplysninger via bankens hjemmeside med disse oplysninger.

Klageren anførte, at han ultimo juni 2020 havde fremsendt redigerede digitale billeder af sit pas og sit sundhedskort til banken. Klageren oplyste, at de to fremsendte billeder var bevidst redigerede (sorte bjælker over personligt foto, pasnummer og navn på egen læge m.m.), idet han ”af principielle grunde angående sikkerhed og digital registrering” ikke ønskede at oplyse mere end, hvad han ”var forpligtet til”. Begge billeder viste med fuld synlighed af hans fulde navn, hans CPR-nummer samt gyldighedsdatoer.

Den 9. september 2020 sendte banken et brev til klageren, da klageren ikke indleverede den efterspurgte dokumentation. Banken bad klageren om at opdatere hans oplysninger på bankens hjemmeside hurtigst muligt og inden den 20. oktober 2020. Banken oplyste klageren, at hvis han ikke havde opdateret sine oplysninger, inden fristen udløb, ville banken spærre hans konti, kort m.v., indtil klageren havde opdateret oplysningerne.

I e-mail af 4. oktober 2020 indgav klageren klage til banken over bankens krav i forbindelse med kundekendskabsprocedurerne samt bankens trussel om spærring i brev af 9. september 2020.

Efter det oplyste sendte klageren sine legitimationsdokumenter i uredigeret form inden fristen den 20. oktober 2020.

I e-mail af 19. november 2020 til klageren anførte banken:

”…

Jeg kan informere dig om, at du er legitimeret fyldestgørende, og at der ikke kommer til at ske nogen spærring af din konto. Jeg formoder, at du allerede har modtaget denne information fra en rådgiver i banken i forbindelse med fremsendelse af dine legitimationsdokumenter.

Jeg er helt enig i, at der kun er visse personoplysninger på legitimationsdokumenterne, der kræves indhentet og kontrolleret ifølge hvidvaskloven. Udfordringen er, at der ikke må være tvivl om legitimationsdokumenternes ægthed. Ifølge Finanstilsynet, så skal vi have forevist originale fysiske legitimationsdokumenter, og der må ikke være tvivl om, hvorvidt et legitimationsdokument er ægte, hvilket kan være meget vanskeligt at afgøre, hvis der er overstregninger i et dokument. Ifølge Finanstilsynet må der ikke være tvivl om ægtheden af hensyn til at opfylde bankens forpligtelser om kundekendskabsprocedurer i hvidvasklovens § 11, stk. 1, nr. 1 og 2. Af denne årsag beder vi om at få fremvist legitimationsdokumenter i deres helhed uden overstregninger.

…”

I e-mail af 19. november 2020 skrev klageren til banken om at bekræfte, at banken foretog en risikovurdering af kundeforholdet og havde vurderet, at han tilhørte kundegruppen med begrænset eller meget begrænset risiko.

I e-mail af 20. november 2020 skrev banken til klageren, at banken ikke kunne angive, hvordan banken risikovurderede kunderne. Banken oplyste, at banken var forpligtet til at identificere og kontrollere identiteten på alle sine kunder, og at det ikke var muligt at godkende overstregninger i legitimationsdokumenter, uagtet kundens risikoklasse. 

Parternes påstande

Den 14. december 2020 har klageren indbragt sagen for Ankenævnet med påstand om, at Danske Bank skal anerkende, at banken ikke havde hjemmel til at indhente hans personoplysninger i form af uredigerede digitale kopibilleder af pas, sundhedskort eller lignende legitimationsdokumenter, til at opbevare disse personoplysninger og til at true med at afbryde hans kundeforhold ved at spærre hans kort og konti.

Danske Bank har principalt nedlagt påstand om frifindelse og subsidiært om afvisning.

Parternes argumenter

Klageren har blandt andet anført, at bankens kundekendskabsprocedure har været i strid med lovgivningen.

Banken skal anerkende, at han tilhørte kundegruppen med begrænset eller meget begrænset risiko på grundlag af en risikovurdering af kundeforholdet.

Banken kun kunne stille krav til ham om udlevering af identitetsoplysninger i form af hans fulde navn og CPR-nummer, idet han er en fysisk person samt indehaver af et gyldigt CPR-nummer.

Banken kunne ikke stille krav til ham om udlevering af pasnummer, idet hans CPR-nummer allerede gælder som unikt og varigt ID-nummer.

Banken kunne ikke stille krav til ham om fremsendelse af billedlegitimation.

Han var ikke forpligtet til at fremsende kontrolkilder i form af uredigerede digitale kopibilleder af pas, sundhedskort eller lignende legitimationsdokumenter.

Banken havde ikke hjemmel efter hvidvaskreglerne til at afbryde og afvikle kundeforholdet, medmindre banken havde udtømt alle muligheder for at gennemføre kundekendskabsprocedurer.

En spærring af hans kort og konti var at betragte som værende en afbrydelse af kundeforholdets fulde omfang.

Banken skulle om nødvendigt forsøge at gennemføre kundekendskabsprocedureren på en anden måde end det, som er Danske Banks normale procedure.

Banken var forpligtet til at slette alle hans fremsendte uredigerede legitimationsdokumenter.

Danske Bank har blandt andet anført, at banken har en forpligtelse til at kende sine kunder og til at gennemføre kundekendskabsprocedurer for at opnå og vedligeholde kendskabet til bankens kunder i henhold til hvidvaskloven.

Til støtte for bankens frifindelsespåstand har banken anført, at banken ikke var forpligtet til at oplyse klageren hvilken risikovurdering, banken havde foretaget af kundeforholdet.

Hvidvasklovens krav i henhold til § 11, stk. 1, 1), a) er minimumskrav og banken kunne derfor stille krav til klageren ud over klagerens fulde navn og CPR-nummer.

Det følger ikke af bestemmelsen i hvidvasklovens § 11, stk. 1, 2), hvilke oplysninger, som banken skal kræve af den enkelte kunde. Det er derfor op til banken selv at vurdere hvor meget dokumentation, data eller oplysninger, der skal til, for at der er tale om en tilstrækkelig kontrol af klagerens identitetsoplysninger. Derfor kunne banken stille krav om billedlegitimation og om uredigerede kopibilleder af pas, sundhedskort eller lignende legitimationsdokumenter. Banken var dertil ikke forpligtet til at slette kundens uredigerede kopibilleder af pas og sundhedskort.

Banken var forpligtet til at træffe passende foranstaltninger for at imødegå risikoen for hvidvask og finansiering af terrorisme, hvis banken blev bekendt med, at indhentede oplysninger om klageren var utilstrækkelige og ikke kunne ajourføres.

Spærring af en kundes konti og kort kan være en passende foranstaltning, som følge af, at en kunde ikke indleverer de oplysninger, som banken anmoder om.

Banken spærrede ikke klagerens kort, konti, betalinger m.m.

En spærring af kundens konti, kort, betalinger m.m. ville dog først kunne ske efter at banken havde forsøgt at gennemføre kundekendskabsproceduren på en anden måde end den, der er bankens normale procedure. I nærværende tilfælde var dette dog ikke nødvendigt, da klageren indsendte de efterspurgte identifikationsdokumenter, og en alternativ kundekendskabsprocedure eller spærring blev derfor ikke aktuel.

Bankens kundekendskabsprocedure, herunder krav til identitetsoplysninger og legitimationsdokumenter har været i overensstemmelse med hvidvasklovens regler.

Banken var forpligtet til at opbevare de indhentede oplysninger som udgangspunkt i mindst 5 år efter, at klageren måtte ophøre som kunde i banken, jf. hvidvasklovens § 30. For at leve op til denne forpligtelse var banken ikke forpligtet til at slette klagerens indsendte uredigerede legitimationsdokumenter.

Til støtte for bankens afvisningspåstand har banken anført, at spørgsmålet om hvorvidt banken har eller ikke har efterlevet reglerne i hvidvaskloven henhører under Finanstilsynet, og at sagen ikke skønnes egnet til behandling i Ankenævnet, jf. § 5, stk. 3, nr. 4 i Ankenævnets vedtægter.

Ankenævnets bemærkninger

Klageren er kunde i Danske Bank.

Den 19. juni 2020 anmodede banken om dokumentation for klagerens identitet i form af billedlegitimation og kopibilleder af pas, sundhedskort eller lignende legitimationsdokumenter.

Ultimo juni 2020 fremsendte klageren redigerede digitale billeder af sit pas og sit sundhedskort til banken.

Den 9. september 2020 rykkede banken for oplysningerne og informerede klageren om, at hvis han ikke havde opdateret sine oplysninger, inden den 20. oktober 2020, ville banken spærre hans konti, kort m.m.

Klageren fremsendte sine uredigerede legitimationsdokumenter til banken inden fristens udløb.

Derefter informerede banken klageren om, at der ikke ville ske spærring af hans konti, kort m.m.

Den 4. oktober 2020 indgav klageren klage til banken om, at banken skulle anerkende, at der ikke var hjemmel til at indhente hans personoplysninger i form af uredigerede digitale kopibilleder af pas, sundhedskort eller lignende legitimationsdokumenter, at opbevare disse personoplysninger, samt at true med at afbryde hans kundeforhold ved at spærre hans kort og konti.

Af hvidvaskloven § 11, stk. 1, 1), a) fremgår, at såfremt kunden er ”en fysisk person, skal identitetsoplysninger omfatte navn og cpr-nummer”.

Af hvidvasklovens § 11, stk. 1, 2) følger det, at banken ”skal kontrollere kundens identitetsoplysninger på grundlag af dokumenter, data eller oplysninger indhentet fra en pålidelig og uafhængig kilde”.

Ifølge hvidvasklovens § 30 er banken forpligtet til at opbevare de indhentede oplysninger i som udgangspunkt mindst 5 år efter, at kunden måtte ophøre som kunde i banken.

I hvidvasklovens kapitel 3 er det beskrevet, hvordan virksomheder skal gennemføre kundekendskabsprocedurer. Det følger af hvidvasklovens § 15, at hvis en virksomhed bliver bekendt med, at oplysningerne om kunden er utilstrækkelige og ikke kan ajourføres, skal virksomheden træffe passende foranstaltninger for at imødegå risikoen for hvidvask og terrorfinansiering.

Det følger af hvidvasklovens § 47, at Finanstilsynet påser pengeinstitutters overholdelse af loven. Ankenævnet er imidlertid bekendt med, at Finanstilsynet ikke træffer afgørelse i konkrete sager, hvor en kunde klager over en virksomhed omfattet af hvidvaskloven. Ankenævnet har på den baggrund besluttet at realitetsbehandle sagen.

Ankenævnet finder, at det som udgangspunkt må være op til pengeinstitutterne selv at afgøre, hvilke oplysninger der skal indhentes og opbevares fra kunderne, for at pengeinstituttet kan opfylde sine forpligtelser efter hvidvaskloven. Dette udgangspunkt finder Ankenævnet ikke grundlag for at fravige i denne sag.

Ankenævnet finder således ikke grundlag for at tilsidesætte bankens krav til klageren om indlevering af billedlegitimation og uredigerede kopibilleder af pas, sundhedskort eller lignende legitimationsdokumenter.

Ankenævnet finder ikke grundlag for at tilsidesætte bankens vurdering af, at spærring var en passende foranstaltning ved manglende indlevering af de omhandlede oplysninger.

Ankenævnet finder endvidere ikke grundlag for at tilsidesætte bankens vurdering af, at de indsendte oplysninger skal gemmes i en periode på fem år efter kundeforholdets ophør.

Klageren får herefter ikke medhold i klagen.

Ankenævnets afgørelse

Klageren får ikke medhold i klagen.