Penningtvättslagen - mer information
Hantera Fortnox
Verksamhetsutövarens skyldigheter
I arbetet mot penningtvätt och finansiering av terrorism måste du som verksamhetsutövare bedöma riskerna för att din verksamhet skulle kunna utnyttjas för penningtvätt eller finansiering av terrorism. Det kallas för en allmän riskbedömning. Utifrån de bedömda riskerna ska sedan rutiner och riktlinjer upprättas. En viktig del i arbetet mot penningtvätt och finansiering av terrorism är att lära känna sin kund – uppnå kundkännedom – innan transaktioner genomförs eller affärsförbindelser ingås. Omfattningen av kundkännedomsåtgärderna styrs av din riskbedömning av varje enskild kundrelation, vilket kallas kundens riskprofil.
Allmän riskbedömning
Som verksamhetsutövare är du skyldig att bedöma riskerna för att din verksamhet utnyttjas för penningtvätt eller finansiering av terrorism. Det kallas för en allmän riskbedömning och den ska vara dokumenterad och uppdaterad. Hur omfattande riskbedömningen ska vara beror bland annat på verksamhetens storlek och art samt riskerna i verksamheten.
Riskfaktorer i den egna verksamheten
När du tar fram den allmänna riskbedömningen ska du utgå från vilka egenskaper i företagets produkter eller tjänster som gör dem sårbara för försök till penningtvätt eller finansiering av terrorism.
Identifiera sedan faktorer som påverkar risken för att produkterna eller tjänsterna utnyttjas för penningtvätt eller finansiering av terrorism. Riskfaktorerna kan vara kopplade till kunder, distributionskanaler, geografiska riskfaktorer och verksamhetsspecifika omständigheter.
Riskbedömning
När du har identifierat riskerna och riskfaktorerna i verksamheten behöver du ta ställning till hur stor risken är för att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism. Risknivåerna kan exempelvis delas in i låg, normal eller hög risk.
I din bedömning kan du ställa dig följande frågor:
Vilken risknivå är förknippad med produkterna eller tjänsterna som verksamheten erbjuder?
Hur sannolikt är det att de identifierade faktorerna – kunder, geografiska faktorer, distributionskanaler eller andra verksamhetsspecifika omständigheter – påverkar risken för att produkterna eller tjänsterna utnyttjas för penningtvätt eller terrorismfinansiering?
Hur stor är den sammantagna risken i verksamheten?
För att du ska kunna bedöma hur stor risken är behöver du ha förståelse för hur produkterna, tjänsterna och de olika riskfaktorerna påverkar varandra. Exempelvis kan en faktor utgöra en låg risk om den ses för sig, men en högre risk om den kombineras med andra faktorer.
Rutiner och riktlinjer
Utifrån den allmänna riskbedömningen ska du som verksamhetsutövare upprätta skriftliga rutiner och riktlinjer för att förebygga och motverka penningtvätt och finansiering av terrorism i din verksamhet.
Tänk på att rutinerna och riktlinjerna ska utvärderas regelbundet, minst en gång per år. Anteckna datumet för varje utvärdering. Om du anser att det finns nya eller förändrade risker för penningtvätt och finansiering av terrorism ska dokumentet uppdateras.
Rutinerna och riktlinjerna ska omfatta:
Åtgärder för kundkännedom
Övervakning och rapportering till Finanspolisen
Bevarande av handlingar inklusive behandling av personuppgifter
Intern kontroll, inklusive uppgift om vem i verksamheten som ansvarar för regelefterlevnaden.
Om du har anställda eller uppdragstagare som utför uppgifter som har betydelse för arbetet mot penningtvätt och finansiering ska du även ha rutiner för:
Lämplighetsprövning av anställda och uppdragstagare.
Skydd mot hot och fientliga åtgärder.
Du ska också se till att dina anställda och uppdragstagare löpande får relevant information och utbildning för att kunna fullgöra skyldigheterna enligt penningtvättslagen.
Interna kontroller och ansvar
Det är viktigt att det finns en intern ansvarsfördelning för att säkerställa att skyldigheterna enligt penningtvättslagen och Länsstyrelsens föreskrifter fullgörs. Du ska därför ha rutiner och riktlinjer för intern kontroll i din verksamhet. Av rutinerna och riktlinjerna ska det framgå vilken eller vilka funktioner som har utsetts och vem som innehar respektive funktion. Det ska också framgå hur de interna kontrollerna genomförs för att säkerställa efterlevnaden av penningtvättsregelverket.
Beroende på verksamhetens storlek och art kan du behöva utse någon eller några av följande funktioner:
En medlem av ledningsgruppen, verkställande direktören eller motsvarande som ansvarar för att företaget genomför de åtgärder som krävs enligt penningtvättslagen och länsstyrelsens föreskrifter.
En centralt funktionsansvarig som ansvarar för att kontrollera att det finns riktlinjer, kontroller och förfaranden som effektivt hanterar verksamhetens risker för penningtvätt och finansiering av terrorism samt att rapportering sker till Finanspolisen.
En oberoende granskningsfunktion som ansvarar för att granska de interna riktlinjer, kontroller och förfaranden som hanterar verksamhetens risker för penningtvätt och finansiering av terrorism.
Oavsett vad du driver för verksamhet och hur liten verksamheten är ska du utse en person som ansvarar för verksamhetens regelefterlevnad och interna kontroll samt rapportering till Finanspolisen.
Behandling av personuppgifter samt arkivering av handlingar
Som verksamhetsutövare ska du ha rutiner och riktlinjer för vilka handlingar och uppgifter som du sparar. Detsamma gäller för de personuppgifter som du behandlar.
De handlingar och uppgifter som ska sparas är:
Dina åtgärder för att uppnå kundkännedom.
Uppgifter om avvikelser eller misstänkta aktiviteter och transaktioner. Du ska spara uppgifterna oavsett om du har utfört transaktionen eller inte. Detsamma gäller om du har rapporterat avvikelsen till Finanspolisen eller inte. Din egen bedömning av den misstänkta aktiviteten och transaktionen ska också dokumenteras och sparas.
Alla transaktioner som sker inom ramen för din affärsförbindelse med kunden eller vid enstaka transaktioner med kunder som du ska uppnå kundkännedom om.
Hur länge ska uppgifterna sparas?
Handlingarna och uppgifterna kan sparas elektroniskt eller i pappersform. Det viktiga är att de bevaras på ett betryggande sätt och att det framgår av dina rutiner och riktlinjer hur dina handlingar och uppgifter sparas. Handlingarna och uppgifterna ska också vara ordnade så att de är lättåtkomliga och sökbara. På förfrågan ska du kunna lämna uppgifterna till Finanspolisen, Länsstyrelsen eller någon annan behörig myndighet.
Som utgångspunkt ska du spara handlingarna och uppgifterna i fem år från det att transaktionen utfördes eller att affärsförbindelsen avslutades.
Dataskydd och personuppgifter
Som verksamhetsutövare under penningtvättsregelverket har du rätt att behandla personuppgifter för att uppfylla dina skyldigheter enligt penningtvättslagen och länsstyrelsens föreskrifter. Det innebär att ditt arbete mot penningtvätt och finansiering av terrorism har företräde framför bestämmelserna om hantering av personuppgifter i dataskyddsförordningen och dataskyddslagen.
Utgångspunkten när du bedömer riskerna med en enskild kundrelation är vad som kommer fram om kunden innan ni genomför en transaktion eller ingår en affärsförbindelse. Att känna till en affärsförbindelses syfte och art är nödvändigt för att du ska kunna ta ställning till vilka risker som finns med kundrelationen. För att kunna fastställa riskprofilen behöver du koppla vad du känner till om kundrelationen med de riskfaktorer – kundkategori, distributionskanaler och geografiska faktorer – som du har identifierat i den allmänna riskbedömningen.
Kundkännedom
Identifiering av kund
En inledande åtgärd för kundkännedom är att identifiera din kund och därefter göra en identitetskontroll av kunden. Åtgärderna ska vidtas även för befintliga kunder och kunder som är kända sedan tidigare. Du kan behöva vidta flera kontrollåtgärder för att fastställa kundens identitet. Ju svårare det är att fastställa identiteten, desto högre är risken för att kunden kan förknippas med penningtvätt och finansiering av terrorism. Oavsett om kunden närvarar vid kontrollen eller befinner sig på distans kan identiteten kontrolleras genom tillförlitlig elektronisk legitimation.
Om kunden är en juridisk person sker identifieringen genom att du inhämtar uppgifter om kundens företagsnamn och organisationsnummer, registrerade adress samt företrädare. Uppgifterna om den juridiska personen, liksom dess företrädares behörighet, kontrolleras sedan mot registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor. Du ska även utreda om kunden har en eller flera Verkliga Huvudmän.
Riskbedömning av kund
Som verksamhetsutövare ska du bedöma riskerna för penningtvätt och finansiering av terrorism i varje kundrelation. Kunden ska tilldelas en så kallad riskprofil. Om du bedömer att det är en lågriskkund eller högriskkund påverkar omfattningen av de åtgärder du måste vidta för att uppnå kundkännedom.
Kontroll mot sanktionslistor och PEP
Ytterligare en kundkännedomsåtgärd är att ta reda på om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning (PEP) alternativt en familjemedlem eller en känd medarbetare till en sådan. En PEP är en fysisk person som har eller har haft en viktig offentlig funktion i en stat eller en funktion i ledningen i en internationell organisation.
Om kunden är en PEP eller en närstående till en PEP ska du vidta lämpliga åtgärder för att ta reda på var tillgångarna kommer från. Du ska även tillämpa en skärpt fortlöpande uppföljning av affärsförbindelsen.
Vidare ska du även kontrollera om kunden eller dess företrädare finns på någon av FNs och EUs sanktionslistor.
Löpande uppföljning
Pågående affärsförbindelser ska följas upp löpande att säkerställa att kundkännedomen är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Uppföljningen tar exempelvis sikte på dagliga kontroller av företrädare och verkliga huvudmän samt kontroll mot sanktions- och PEP-listor.