Det er Finans Danmarks vurdering, at penge- og realkreditinstitutterne ikke behandler persondata på vegne af kunderne. Institutterne har derimod et selvstændigt dataansvar i forhold til de oplysninger, der behandles som en del af den aftale, instituttet indgår med den enkelte kunde.
Instituttet indgår en aftale med kunden om levering af en ydelse (eksempelvis betalingstransaktioner) – der kan i den forbindelse indgå personoplysninger. De personoplysninger, som behandles som led i varetagelsen af opgaven, er videregivet fra kunden til instituttet til brug for opfyldelse af aftalen. Kunden er som udgangspunkt interesseret i slutproduktet men ikke de delformål og hjælpemidler, som indgår i instituttets behandling.
Det er således penge- eller realkreditinstituttet, der træffer beslutning om, hvordan oplysningerne skal behandles med henblik på at levere den ydelse, som kunden har efterspurgt. Instituttet har dermed selvstændig behandlingshjemmel i forhold til oplysningerne, og oplysningerne skal behandles inden for rammerne af den tilladelse, som instituttet har til at drive virksomhed. Samtidig har institutterne en række selvstændige forpligtelser i forhold til behandlingen af oplysningerne – blandt andet i henhold til hvidvaskreguleringen.
Samme vurdering anlægges i øvrigt i artikel 29-gruppens1 opinion 1/2010 om dataansvarlige og databehandlere, ligesom den understøttes af den vejledning om dataansvarlige og databehandlere, som Datatilsynet og Justitsministeriet har udgivet i november 2017.
1. Artikel 29-gruppen er rådgivende og uafhængig og består af en repræsentant for den eller de tilsynsmyndigheder, som hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen.
