AML rizikos valdymas per BDAR langelį

Įžvalgos

Lietuva

Tinklaraštis

Advokatų kontora, kuri rūpinasi savo klientais

Visos veiklos rizikos vertinimas tampa ir BDAR dokumentacijos šaltiniu.

Naujasis AML reglamentas (Reglamentas) imperatyviai įpareigoja subjektus atlikti „business-wide risk assessment“ – visos veiklos pinigų plovimo, teroristų finansavimo ir sankcijų vengimo rizikos vertinimą. Jame turi būti vertinama klientų bazė, produktai, paslaugos, sandorių kanalai, geografinės rizikos, technologijos, nauji produktai, naujos verslo praktikos, nauji pristatymo kanalai, naujos technologijos ir nauji klientų segmentai. Reglamentas labai konkretus šiuo klausimu – įpareigotieji subjektai privalės atsižvelgti į Reglamento I priedo rizikos kintamuosius ir II–III priedų rizikos veiksnius, ES lygmens, nacionalinius ir sektorinius rizikos vertinimus, tarptautinių standartų rengėjų, Europos Komisijos, AMLA, kompetentingų institucijų informaciją ir klientų bazę.

Svarbu, kad pareiga atlikti visos veiklos rizikos vertinimą buvo įtvirtinta ir Lietuvos Banko valdybos nutarime dėl Finansų rinkos dalyviams skirtų nurodymų, kuriais siekiama užkirsti kelią pinigų plovimui ir (arba) teroristų finansavimui, patvirtinimo (taikytina tik finansų rinkos dalyviams). Todėl tos organizacijos, kurios sąžiningai laikėsi šio įpareigojimo, su didesniais pokyčiais gali ir nesusidurti. Tuo tarpu tos organizacijos, kurios šio įpareigojimo nesilaikė, o kai kuriems įpareigotiesiems subjektams, kurie nėra finansų rinkos dalyviai, jis apskritai negalioja, susidurs su didele biurokratine našta tiek iš AML pusės, tiek iš BDAR perspektyvos.

Reglamentas taip pat aiškiai numato, kad prieš pradedant teikti naujus produktus ar paslaugas, diegiant naujas verslo praktikas, naujus pristatymo kanalus, naujas technologijas ar aptarnaujant naują klientų segmentą arba geografinę sritį, rizikos turi būti įvertintos iš anksto. Rizikos vertinimas turi būti dokumentuotas, reguliariai atnaujinamas ir pateikiamas priežiūros institucijoms. Taigi, reikės atlikti ne tik visos veiklos rizikos vertinimus periodiškai, tačiau AML rizikos privalės būti vertinamos nuolat, kiekvienas naujas produktas, kanalas ir kt. privalės būti įvertinti – kokias AML rizikas tai gali sukelti, kokias rizikos valdymo priemones įpareigotieji subjektai yra pasiruošę įgyvendinti, kas už tai bus atsakingas ir pan.

Vertinant šiuos pokyčius iš BDAR prizmės – AML rizikos vertinimas turės būti derinamas su BDAR poveikio duomenų apsaugai vertinimu ir tai tikrai taps neišvengiama. Pagal BDAR 35 straipsnį poveikio duomenų apsaugai vertinimas reikalingas, kai duomenų tvarkymas, ypač naudojant naujas technologijas, gali kelti didelę riziką fizinių asmenų teisėms ir laisvėms. Papildomai, reikės atsižvelgti ir į tai ar tokioms procedūroms bus naudojamas dirbtinis intelektas ir atitinkamai susitvarkyti šią dalį.

Todėl jeigu nauja AML procedūra apima automatizuotą sankcijų tikrinimą, PEP duomenų naudojimą, neigiamos informacijos paiešką, klientų rizikos balų skaičiavimą, elgsenos monitoringą, sandorių profiliavimą ar dirbtinio intelekto naudojimą, vien AML rizikos vertinimo neužteks. Reikės vertinti ir privatumo rizikas: duomenų kiekį, šaltinių patikimumą, klaidingų atitikmenų poveikį klientui, diskriminacijos riziką, žmogaus peržiūros mechanizmą, saugojimo terminus ir duomenų subjektų teisių įgyvendinimą.

Praktinis BDAR dokumentacijos pakeitimas: organizacijos turėtų sukurti bendrą AML ir BDAR rizikos vertinimo formą arba bent jau AML rizikos vertinimo procese įtraukti privalomą BDAR patikrą. Tokia patikra turėtų atsakyti į klausimus: ar renkamos naujos duomenų kategorijos, ar naudojami nauji šaltiniai, ar vyksta profiliavimas, ar naudojamas AI, ar duomenys perduodami trečiosioms šalims, ar reikalingas PDAV, ar reikia atnaujinti privatumo pranešimą, veiklos įrašus, privatumo politiką bei kitus BDAR dokumentus.

Darbuotojų mokymai kaip viena iš rizikos valdymo priemonių.

Reglamentas numato, kad darbuotojai, taip pat panašias funkcijas atliekantys asmenys, įskaitant agentus ir platintojus, turi būti ne tik bendrai apmokyti apie AML rizikas ir rizikų valdymo priemones. Reglamentas labai aiškiai išskiria mokymų turinio blokus: informacija apie AML reglamentą ir jo taikymą, lėšų ir kriptoturto pervedimų informacijos taisykles, priežiūros institucijų aktus, visos veiklos rizikos vertinimą ir organizacijos vidaus politikas, procedūras bei kontrolės priemones. Toks informavimas turi apimti ir asmens duomenų tvarkymą.

Be bendro informavimo, Reglamentas reikalauja specialių nuolatinių mokymų, dokumentuotų ir pritaikytų prie verslo rizikų bei darbuotojų funkcijų.

Darbuotojų mokymų pareiga yra įtvirtinta ir dabartiniame Lietuvos Respublikos pinigų plovimo ir teroristų finansavimo prevencijos įstatymo 29 straipsnyje, kaip viena iš AML rizikos valdymo priemonių. Reglamente ši pareiga išplėsta ir nukreipta į papildomus subjektus – agentai, platintojai ir kt. Tai reiškia, kad išsiplečia ir duomenų subjektų kategorijos, o tai pareikalaus papildomų BDAR numatytų saugumo priemonių.

Kaip tai palies organizacijos BDAR dalį? Mokymai patys savaime taip pat yra asmens duomenų tvarkymas. Įpareigotieji subjektai turės saugoti informaciją apie tai, kas dalyvavo mokymuose, kokio turinio mokymai buvo suteikti, kada jie vyko, ar darbuotojas išlaikė testą, ar reikalingi pakartotiniai mokymai. Tai turi būti atspindėta darbuotojų duomenų tvarkymo veiklos įrašuose ir saugojimo politikoje. Papildomai, darbuotojai, agentai, platintojai irgi subjektai turės būti informuojami apie jų asmens duomenų tvarkymą mokymo tikslais, vadinasi reikės turėti privatumo pranešimus, koreguoti privatumo politiką ir kitus vidinius dokumentus.

Be to, mokymų turinys turėtų apimti ne tik AML faktorius, bet ir BDAR esmines saugumo priemones: perteklinis asmens duomenų tvarkymas, kaip elgtis su tapatybės dokumentais, kaip šifruoti dokumentus ir kaip juos saugoti, kokius klausimus užduoti tikrinamam asmeniui, kokių dokumentų ir duomenų reikalauja įstatymai ir vidinės taisyklės, kaip dokumentuoti sprendimą, kaip eskaluoti privatumo incidentą ir kt.

Kitaip tariant, nauji AML mokymai turėtų būti kartu ir AML duomenų apsaugos mokymai.

Todėl, jeigu jūsų organizacijoje AML rizikos modelis veikė iki šiol pagal nacionalinius teisės aktus, nedelskite su pakeitimais, nes tai pareikalaus nemažai resursų: sutikrinti veiklos įrašus, privatumo pranešimus, PDAV, privatumo politiką, vidines asmens duomenų tvarkymo taisykles, duomenų saugojimo ir naikinimo tvarką, atlikti BDAR rizikos vertinimą dėl naujai įsigaliosiančių AML reikalavimų, peržiūrėti visos veiklos AML rizikos vertinimo šabloną – ar šis atitinka naujus reikalavimus, sutikrinti sistemas ir įdiegtus algoritmus, darbuotojų mokymų programą ir kt.

TRINITI JUREX pataria – geriau ruoštis anksčiau negu vėliau.