REMISSYTTRANDE Vår referens: 2014/106 Er referens: Fi2014/2420 1 (8) 2014-09-29 Finansdepartementet Finansmarknadsavdelningen Enheten för bank och försäkring fi.registrator@regeringskansliet.se Införande av vissa internationella standarder i penningtvättslagen Svenska Bankföreningen kan ha förståelse för att man önskar säkerställa att den senaste revideringen av Financial Action Task Force (FATF) rekommendationer införs i svensk rätt i god tid innan FATFs nästa utvärdering av Sverige inleds. Mot bakgrund av att slutförhandlingarna av det fjärde penningtvättsdirektivet, som ska införliva FATFs reviderade rekommendationer, ännu inte är avslutade ser vi det dock som bekymmersamt att viktiga definitioner, exempelvis definitionen av PEP, och åtgärder som följer av dessa redan nu föreslås införas i svensk rätt. Vi ser positivt på förslaget att införa ett särskilt kapitel i lagen om åtgärder mot penningtvätt och finansiering av terrorism om behandling av personuppgifter. Det är oerhört viktigt att de tillämpningsproblem som kraven i dels lagen om åtgärder mot penningtvätt och finansiering av terrorism, dels personuppgiftslagen medfört åtgärdas. Vi anser emellertid att de föreslagna bestämmelserna i lagen om åtgärder mot penningtvätt och finansiering av terrorism även bör omfatta bestämmelserna i 21 personuppgiftslagen för att möjliggöra för verksamhetsutövarna att fullgöra kontroller mot bl.a. olika internationella sanktionslistor. Krav på att verksamhetsutövaren ska ha kunskap om vem som är den verkliga huvudmannen förstärks i det föreliggande förslaget till revidering av penningtvättsdirektivet. För att verksamhetsutövarna ska ha en reell möjlighet att identifiera vem som är verklig huvudman krävs att verksamhetsutövarna har möjlighet att kontrollera en angiven huvudman för en organisation mot ett eller flera offentliga register vilket också delvis framgår av förslaget till det fjärde penningtvättsdirektivet. Tillgång till information från myndighet om t.ex. aktieägare, förmånstagare och PEP skulle kraftigt såväl stödja som underlätta verksamhetsutövarnas möjligheter att identifiera verklig huvudman och eventuella
2 (8) PEP. 3.1 Personer i politiskt utsatt ställning I promemorian föreslås att en uppdelning ska ske av personer i politiskt utsatt ställning (PEP) mellan inhemska PEP, en person som har eller har haft viktiga offentliga funktioner i en stat inom EES, och utländska PEP, en person som har eller har haft viktiga funktioner i en stat utanför EES. Det föreslås vidare att skärpta åtgärder för att uppnå kundkännedom alltid ska vidtas när det gäller utländska PEP samt för inhemska PEP om risken för penningtvätt eller finansiering av terrorism är hög. Familjemedlemmar och kända medarbetare föreslås inte längre omfattas av definitionen av PEP men verksamhetsutövaren ska följa samma krav för kundkännedom som gäller för utländska respektive inhemska PEP. I promemorian anges också att underlaget för att bedöma om en person är en PEP kommer i typfallet från den information som kunden själv lämnar. Verksamhetsutövaren kan emellertid behöva använda sig av flera olika informationskällor. Bankföreningen noterar att slutförhandlingarna avseende det fjärde penningtvättsdirektivet ännu inte är avslutade och att frågan om gränsdragningen mellan inhemska och utländska PEP ännu inte synes ha fått sin slutliga form. Det finns därför skäl att avvakta den slutliga direktivtexten innan en ny definition av PEP införs i svensk rätt. Vi kan dock se logiken i förslaget eftersom flertalet av de europeiska regelverken är harmoniserade inom EES, exempelvis penningtvättsbestämmelserna, och att medlemsstaterna därför i stort sett har införlivat samma krav och lättnader i de nationella regelverken. Av promemorian framgår emellertid att verksamhetsutövaren inom ramen för sin riskbedömning måste beakta vilken stat en inhemsk PEP kommer från. I promemorian anges även att verksamhetsutövaren bör beakta vilken typ av produkt eller tjänst det är fråga om, liksom om transaktionen avser ett betydande belopp. Skillnaden mellan de åtgärder verksamhetsutövaren ska vidta när det gäller en utländsk PEP i förhållande till en inhemsk PEP synes inte skilja sig nämnvärt åt. Det kan därför ifrågasättas om det inte är både enklare och effektivare att utgå från en strikt tolkning av de internationella standarderna, dvs. att inhemska PEP endast ska omfatta de funktioner som anförtrotts en person nationellt. Det finns även andra skäl som talar för en sådan striktare tolkning av de internationella standarderna. Kunskapen om den inhemska marknaden och förhållanden på denna torde vara bättre än avseende övriga marknader inom EES, bl.a. avseende de nationella riskerna och svagheterna. Det är vidare sannolikt så att en verksamhetsutövare har bättre möjligheter att föra en dialog med berörda
3 (8) svenska myndigheter vad gäller risker och svagheter än med motsvarande utländska myndigheter. Sammantaget torde den information och kunskap om hemmamarknaden som en svensk verksamhetsutövare har öka möjligheten för en mer säker avgränsning av den personkrets som är eller kan hänföras till en nationell PEP än en utländsk PEP. Vi anser därför att det finns skäl att analysera gränsdragningen mellan inhemska och utländska PEP ytterligare och att man i denna analys även överväger möjligheten att avgränsa definitionen av inhemska PEP till sådana funktioner som anförtrotts nationellt. Bankföreningen noterar vidare att familjemedlemmar och kända medarbetare inte längre ska definieras som PEP trots att det finns en potentiell risk för att relationen utnyttjas i syfte att förflytta eller dölja vinning av brott eller i syfte att finansiera terrorism. Även om familjemedlemmar och kända medarbetare inte ska definieras som PEP ska de hanteras som om de själva vore PEP. Även om denna ändring inte förändrar något i sak för verksamhetsutövarna föreligger ändock en risk för att ändringen kommer att skapa begreppsförvirring och därmed öka förklaringsbördan för verksamhetsutövaren gentemot berörda personer. Vi vill också lyfta frågan om inhämtande av information för kundkännedom när det gäller PEP. I promemorian synes utgångspunkten vara att informationen i första hand ska inhämtas från kunden och att kompletterande uppgifter kan inhämtas från externa källor. I och med att samtliga kunder kan utgöra en potentiell PEP, alternativt en känd medarbetare eller familjemedlem till en PEP, kommer också samtliga kunder att behöva besvara olika frågor som rör PEP. Detta kommer att medföra en väsentligt utökad administrativ börda. För att minska den administrativa kostnaden samt för att underlätta hanteringen för samtliga kunder anser vi att processen bör vara den omvända, dvs. att verksamhetsutövaren kontrollerar kunden mot externa källor, PEP-listor. Om verksamhetsutövaren får en träff ska kompletterande frågor ställas till kunden. 3.1.6 När en person upphör att vara PEP I promemorian föreslås att när en PEP sedan minst 18 månader har upphört att utöva sina funktioner, ska bestämmelserna om skärpta åtgärder för kundkännedom tillämpas till dess att personen inte längre anses medföra en risk för penningtvätt eller finansiering av terrorism. I promemorian anges vidare att det får anses föreligga en presumtion för att riskerna i de allra flesta fall finns kvar initialt men att de avtar med tiden och som utgångspunkt kan riskerna förväntas finnas kvar under åtminstone två år. Bankföreningen noterar att det i promemorian anges att riskerna kan förväntas finnas kvar under åtminstone två år men i lagtexten har denna tidsgräns satts till 18 månader. Om det är så att det efter två år mer sällan finns anledning att hantera en person som en PEP anser vi att detta bör framgå av lagtexten. Det skulle medföra
4 (8) en mer effektiva hantering för verksamhetsutövarna om riskbedömningen, för att fortsätta hantera kunden som en PEP, sker årsvis dvs. inom det andra året efter att kunden lämnat sin post än efter 18 månader. 3.2 Åtgärder utförda av utomstående I promemorian föreslås att en verksamhetsutövare som förlitar sig på åtgärder för att uppnå kundkännedom som har vidtagits av en utomstående ska utan dröjsmål få del av de uppgifter om kunden som den utomstående har inhämtat. Bankföreningen har i tidigare skrivelser till Finansdepartementet pekat på de problem som uppstår i samband med bl.a. klientmedelskonton. De regler som styr de olika verksamhetsutövarna på marknaden är inte konforma. Bland annat får verksamhetsutövaren, enligt dagens penningtvättsregelverk, i vissa fall förlita sig på åtgärder som har utförts av en utomstående för att uppnå kundkännedom, om verksamhetsutövaren på begäran, och utan dröjsmål, kan få del av de uppgifter om kunden som den utomstående har inhämtat. Behovet av tillgång till klientmedelskonto följer till viss del av lag eller annan reglering, t.ex. för betaltjänstleverantörer och advokater. I lagen (2010:751) om betaltjänster föreskrivs bl.a. att ett betalningsinstitut eller en registrerad betaltjänstleverantör ska vidta särskilda åtgärder för att skydda en betaltjänstanvändares medel som mottagits för genomförande av betalningstransaktioner genom att hålla medlen avskilda från betalningsinstitutets eller den registrerade betaltjänstleverantörens egna tillgångar genom att t.ex. deponera medlen på ett särskilt konto hos en svensk bank. En liknande reglering finns i Advokatsamfundets stadgar samt i bestämmelserna avseende fondförvaltning, bl.a. lagen (2013:561) om förvaltare av alternativa investeringsfonder. Dessa regler synes ha tillkommit utan någon mer djuplodande analys av kravens förenlighet med de krav som uppställs i penningtvättsregelverket och innebär i praktiken att vissa företag utestängs från möjligheten att hålla konton för sina kunder. Även om den nu föreslagna ändringen följer av internationella standarder krävs att de problem som penningtvättslagens krav medför för verksamhetsutövarna och företagen i vardagen analyseras och tas omhand för att marknaden ska fungera effektivt. Kravet på att verksamhetsutövarna vid var tid ska ha kunskap om de verkliga huvudmännen i ett affärsförhållande skapar idag problem i den praktiska tillämpningen. Bankerna har därför sett sig tvungna att se över möjligheten att i framtiden kunna tillhandahålla produkten klientmedelskonton.
5 (8) 3.3 Särskild uppmärksamhet vid nya produkter och affärsmetoder samt användning av ny teknik I promemorian föreslås att vid bedömningen av om risken för penningtvätt och finansiering av terrorism är hög ska särskild uppmärksamhet även riktas mot de risker som kan uppstå när det gäller nya produkter och affärsmetoder samt användning av ny teknik. Med ny teknik avses även sådan teknik som är ny för verksamheten utan att tekniken för den skull behöver vara ny i bemärkelsen modern teknik. Det kan handla om teknik som finns på marknaden men som verksamhetsutövaren inte tidigare använt. I promemorian föreslås vidare att den befintliga bestämmelsen under rubriken Skärpta åtgärder för att uppnå kundkännedom avseende etablering av en affärsförbindelse med någon på distans ska kvarstå. Bankföreningen har inget att invända mot förslaget att införa krav på särskild uppmärksamhet vid nya produkter m.m. Vi anser däremot att kravet på skärpta åtgärder avseende distanskunder (2 kap. 6 andra stycket 1) bör strykas då detta krav måste anses omfattas av det nya kravet på särskild uppmärksamhet vid användning av bl.a. ny teknik. I och med att banken ska beakta risken för penningtvätt och finansiering av terrorism vid användning av ny teknik kommer distanskunder att hanteras utifrån en riskbaserad bedömning, dvs. tekniken är utgångspunkt för riskbedömningen inte den omständigheten att kunden inte är fysiskt närvarande. I detta sammanhang bör även förslaget till ett reviderat penningtvättsdirektiv beaktas. I förslaget till direktiv anges i art. 16 att vid bedömningen av riskerna för penningtvätt och finansiering av terrorism ska bl.a. verksamhetsutövarna åtminstone beakta potentiellt riskfyllda situationer enligt bilaga III till direktivet. Som en potentiellt högre risk anges i bilaga III till direktivförslaget t.ex. inledande av affärsförbindelser på distans. För att få en mer EU-konform reglering föreslår vi att den teknik som används i direktivet också tillämpas vid det svenska införlivandet. Lämpligen bör regeringen bemyndigas att i förordning ange de situationer som potentiellt kan anses utgöra en högre risk. Att lyfta en särskild risk i lagtexten, inledande av affärsförbindelser på distans, som hög risk riskerar att medföra att övriga potentiella riskområden inte får den uppmärksamhet som avses. 3.4 Bevarande av uppgifter I promemorian föreslås att en verksamhetsutövare ska i fem år bevara uppgifter om åtgärder som vidtagits vid granskning av transaktioner. Bankföreningen noterar att bestämmelsen endast omfattar sådana transaktioner där misstanke kvarstår efter närmare analys. Även i detta fall bör konsekvenserna av en sådan avgränsning beaktas. Verksamhetsutövarna har även att granska kunderna
6 (8) och de transaktioner kunderna genomför mot de s.k. sanktionslistorna. Det bör därför införas ett stöd i lag som ger verksamhetsutövarna möjlighet att bevara uppgifter vid sanktionsscreening på samma sätt som vid kontroll enligt penningtvättslagen. 3.5.2 Behandling av personuppgifter I promemorian föreslås att ett nytt kapitel fyra införs med bestämmelser om behandling av personuppgifter vilket ersätter nuvarande kapitel om registerfrågor. Bankföreningen välkomnar förslaget att anpassa penningtvättslagens bestämmelser om behandling av personuppgifter till bestämmelserna i personuppgiftslagen. Vi välkomnar även att utgångspunkten ska vara att personuppgiftslagen är tillämplig om inte annat följer av 4 kap. penningtvättslagen. Genom bestämmelserna i 4 kap. penningtvättslagen skapas bland annat möjlighet att behandla personuppgifter om lagöverträdelser m.m., något som annars inte är tillåtet enligt personuppgiftslagen. VI föreslår att förslaget till 4 kap. 1 penningtvättslagen omformuleras på ett sätt som tydligare klargör förhållandet mellan personuppgiftslagen och penningtvättslagen, enligt följande: Verksamhetsutövaren får behandla personuppgifter i syfte att förhindra att finansiell verksamhet och annan näringsverksamhet utnyttjas för penningtvätt eller finansiering av terrorism. Personuppgiftslagen (1998:204) är tillämplig, om inte annat följer av bestämmelserna i detta kapitel. I förslaget till 4 kap. 3 penningtvättslagen sägs att känsliga personuppgifter som avses i 13 personuppgiftslagen får behandlas för vissa i bestämmelsen angivna ändamål. Som framgår av promemorian är avsikten med bestämmelsen bland annat att fånga upp den behandling av uppgifter om lagöverträdelser m.m. som kan aktualiseras enligt 3 kap. 1 penningtvättslagen, ett förtydligande som branschen länge har efterfrågat. Vi vill dock påpeka att uppgifter om lagöverträdelser m.m. definitionsmässigt inte betraktas som känsliga personuppgifter enligt personuppgiftslagen. Uppgifter om lagöverträdelser m.m. är en egen kategori av personuppgifter som berörs i 21 personuppgiftslagen. Hänvisningen i 4 kap. 3 förslaget bör därför avse både 13 och 21 i personuppgiftslagen. I den nämnda bestämmelsen föreslås att verksamhetsutövaren får behandla den typen av personuppgifter endast om det är nödvändigt för vissa i bestämmelsen uppräknade ändamål. Vi anser att uttrycket endast kan innebära en olycklig begränsning av verksamhetsutövarens möjligheter att på ett effektivt sätt kunna motverka penningtvätt och finansiering av terrorism. Uttrycket bör tas bort. Det bör vidare införas ett stöd direkt i penningtvättslagen som gör det möjligt för verksamhetsutövarna att utföra kontroller av kunden mot olika listor. Det gäller framför allt lokala sanktionslistor upprättade av medlemsstater inom EU men även
7 (8) globala sanktionslistor exempelvis från FN och OFAC, där möjligheten för svenska verksamhetsutövare att utföra kontroller av kunderna mot listorna hänger samman med när eller om dessa införs i en EU-förordning. I dag krävs att bankerna ansöker om tillstånd hos Datainspektionen för att få behandla personuppgifter om lagöverträdelser för kontroll av kunderna mot olika listor, bl.a. betalningsinformation mot den s.k. OFAC-listan. Sådana tillstånd kan ges tills vidare eller för en bestämd tid. Vad gäller OFAC:s regelverk så innebär detta att finansiella företag under amerikansk tillsyn bl.a. ska blockera eller frysa transaktioner eller tillgångar tillhöriga SDN:s (Specially Designated Nationals List) samt även kontrollera att deras tjänster i övrigt inte används i strid med gällande regler. Även svenska bankers dotterbolag och filialer i USA är skyldiga att följa detta regelverk. Detta innebär att de amerikanska finansiella instituten måste kunna visa att deras samarbetspartners, t.ex. svenska banker, tillämpar regelverket och gör kontroller mot OFAC-listan för att kunna godtas som fullvärdiga samarbetspartners. Svenska banker som således avser att ingå avtal, direkt eller indirekt, med ett amerikanskt finansiellt institut måste därför, för att accepteras som fullvärdiga samarbetspartners eller alls accepteras, tydligt kunna redovisa att de kan utföra kontroller mot OFAC-listan. Frånvaro av kontrollmöjlighet kan medföra att affärsrelationer måste avvecklas, att samarbeten inte kan inledas eller att amerikanska myndigheter vidtar åtgärder. Detta får konsekvenser inte bara för den svenska bankmarknaden utan även för bankernas kunder. Denna problematik är relevant även för övriga listor, inte endast möjligheten till kontroll mot OFAC-listan. Det finns därför anledning att se över och i lag tydliggöra möjligheten för verksamhetsutövarna att göra vissa kontroller av kunddatabasen mot vissa listor och även tydligöra vilka åtgärder mot sina kunder som bankerna har möjlighet att vidta vid en träff. Av Finansinspektionens föreskrifter, FFFS 2009:1, framgår att en verksamhetsutövare ska utse en centralt funktionsansvarig. En centralt funktionsansvarig kan, enligt föreskriften, utses för flera eller alla företag i en koncern. Med hänsyn till detta och det övergripande syftet med regleringen, att förhindra penningtvätt och finansiering av terrorism, bör det införas en möjlighet för verksamhetsutövare som ingår i en koncern att samordna sin information med de verksamhetsutövare inom koncernen som har att följa bestämmelserna. 3.7 Tillsyn I promemorian föreslås att tillsynsmyndigheterna ska ges större möjligheter att ingripa mot verksamhet som drivs av fysiska och juridiska personer som driver yrkesmässig verksamhet avseende bl.a. bokföringstjänster, skatterådgivning och handel med värdefull egendom. Bankföreningen, som inte har några invändningar mot förslagen, anser dock att de utökade möjligheter innebär att dessa myndigheter behöver ett resurstillskott för att effektivt kunna hantera detta område.
8 (8) 4 Ikraftträdande- och övergångsbestämmelser I promemorian föreslås att äldre bestämmelser ska gälla för tillsynsärende som har inletts före ikraftträdandet, den 1 maj 2015. Bankföreningen ser positivt på att befintliga övergångsbestämmelser ska fortsatt gälla. Vi anser dock att en ny övergångsbestämmelse bör införas med hänsyn till de nya krav som kommer att ställas på verksamhetsutövarna, bl.a. den nya definitionen av PEP. Verksamhetsutövarna måste ges en rimlig möjlighet att göra systemändringar, ändra processer, informera och utbilda personal samt att ta fram nytt informationsmaterial för kunderna. SVENSKA BANKFÖRENINGEN Thomas Östros Åsa Arffman