Įžvalgos
Lietuva
Tinklaraštis
Advokatų kontora, kuri rūpinasi savo klientais

Reikšmingi AML Reglamento įtvirtinti pakeitimai

Šiame straipsnyje paliesiu kelis naujų AML reikalavimų blokus. Kiekvienas iš jų vertas atskiro ir trumpo aptarimo.

Vidaus pranešimų kanalai ir pažeidimų raportavimas

Naujasis AML reglamentas numato, kad apie AML pažeidimus turi būti galima pranešti per vidinius kanalus, o pranešėjams turi būti taikoma apsauga pagal ES pranešėjų apsaugos sistemą. Svarbu paminėti, kad Lietuvoje ir dabar turime Lietuvos Respublikos pranešėjų apsaugos įstatymą, kuriame numatytos aiškios pranešimų teikimo taisyklės, reikalavimai pranešimo kanalui, pranešimo nagrinėjimo procedūra ir kt. Todėl iš principo tai neturėtų būti labai naujas pakeitimas.

Vis dėlto, akcentuotina, specifinis reikalavimas dėl AML pažeidimų pranešimo per vidinius kanalus, gali įnešti šiek tiek pokyčių. Įpareigotieji subjektai turės arba pritaikyti esamus pranešimų kanalus, arba sukurti naujus kanalus, skirtus AML pažeidimams, vidaus kontrolės trūkumams, interesų konfliktams, galimam sankcijų apėjimui, netinkamam klientų patikrinimui ar neteisėtam duomenų naudojimui pranešti.

Kaip tai liečia organizacijos BDAR pusę. Ne paslaptis, kad Pranešimų kanalai beveik visada kelia privatumo rizikų. Pranešimų kanalų specifika yra tokia, kad duomenų valdytojas ne visada gali užtikrinti gaunamų ir tvarkomų asmens duomenų apimtį, kadangi kiekviena situacija yra individuali ir pranešimo apimtis priklauso nuo subjekto, kuris jį pateikia. Pranešimų kanaluose gali būti tvarkomi pranešėjo, įtariamo pažeidėjo, liudytojų, klientų, naudos gavėjų ir kitų asmenų duomenys. Todėl svarbu užtikrinti tinkamus privatumo pranešimus duomenų subjektams, bet kuriuo atveju užtikrinti proporcingumo principą, duomenų kiekio mažinimo principą, adaptuoti veiklos įrašus, asmens duomenų saugojimo terminus, be kita ko prieigos teises, paslaugų teikėjų sutartis, jeigu kanalas administruojamas išorės tiekėjo. Vertinant tai, kad duomenų subjektas pranešimu gali pateikti ir specialių kategorijų asmens duomenis, paslaugų teikėjui privaloma kelti aukštesnius saugumo reikalavimus.

Svarbu, kad AML pranešimų kanalas nebūtų traktuojamas kaip neformali el. pašto dėžutė, o prieiga suteikiama administracijos darbuotojui. Organizacija privalo procesą aprašyti labai aiškiai ir detaliai, pavyzdžiui: kas gauna pranešimą ir kokiu kanalu, kas vertina, kaip dokumentuojami veiksmai ir sprendimai, kaip užtikrinamos prieigos teisės, kiek laiko saugojami asmens duomenys bei kada ir kaip sunaikinami, kas prima sprendimą, kada ir kaip informuojamas asmuo, dėl kurio pateiktas pranešimas.

Grupės lygmens AML valdymas ir duomenų dalijimasis

Naujasis AML reglamentas aiškiau reglamentuoja ir grupės lygmens AML valdymą. Patronuojanti įmonė turi užtikrinti, kad vidaus procedūros, rizikos vertinimai ir personalo reikalavimai būtų taikomi grupės mastu, įskaitant filialus ir patronuojamąsias įmones ES, o ne ES įsisteigusių grupių atveju – ir trečiosiose valstybėse. Grupė turi turėti grupės rizikos vertinimą ir grupės masto politikas, procedūras bei kontrolės priemones, įskaitant duomenų apsaugos ir informacijos dalijimosi aspektus.

Reglamentas taip pat numato grupės viduje dalijimąsi tam tikra informacija: klientų ir naudos gavėjų tapatybės bei charakteristikų duomenimis, dalykinių santykių ar sandorių informacija, įtarimais ir analizėmis, pateiktomis priežiūros institucijoms, nebent būtų nurodyta kitaip. Tokiam dalijimuisi turi būti taikomos konfidencialumo, duomenų apsaugos ir informacijos naudojimo ribojimo apsaugos priemonės.

BDAR prizmė. Grupės masto AML informacijos dalijimasis bus viena sudėtingiausių BDAR sričių. Įmonių grupės turės aiškiai nustatyti, ar grupės įmonės veikia kaip atskiri duomenų valdytojai, bendri valdytojai ar tvarkytojai. Taip pat reikės aprašyti, kokia AML informacija gali būti dalijamasi, kokiais atvejais, kas yra gavėjai, ar duomenys perduodami už EEE ribų, kokie taikomi perdavimo mechanizmai ir kiek laiko duomenys saugomi.

BDAR dokumentacijoje reikės atnaujinti:

  • grupės duomenų dalijimosi politiką;
  • privatumo pranešimus klientams, naudos gavėjams, atstovams ir darbuotojams;
  • veiklos įrašus;
  • duomenų perdavimo į trečiąsias valstybes vertinimus;
  • grupės vidinius susitarimus dėl duomenų tvarkymo;
  • prieigos valdymo ir audito taisykles.

Ypač svarbu įsivertinti trečiąsias valstybes. AML reglamentas numato, kad jeigu trečiosios valstybės teisė neleidžia grupės įmonei laikytis AML reikalavimų, patronuojanti įmonė turi imtis papildomų priemonių ir informuoti priežiūros institucijas. BDAR požiūriu tai turi būti derinama su tarptautinių duomenų perdavimų taisyklėmis, įskaitant SCC, perdavimo poveikio vertinimus ir papildomas technines priemones.

Outsourcing: paslaugų perdavimas išlieka įpareigotojo subjekto atsakomybė

Naujasis AML reglamentas leidžia įpareigotiesiems subjektams perduoti tam tikras AML užduotis išorės paslaugų teikėjams, tačiau aiškiai numato, kad įpareigotasis subjektas išlieka visiškai atsakingas už reikalavimų laikymąsi. Prieš perduodamas užduotis subjektas turi informuoti priežiūros instituciją, o paslaugų teikėjas šių užduočių kontekste laikomas įpareigotojo subjekto dalimi.

Tačiau svarbu paminėti, kad kai kurios funkcijos negali būti perduodamos. Pavyzdžiui, negalima perduoti visos veiklos rizikos vertinimo pasiūlymo ir patvirtinimo, vidaus politikų ir kontrolės priemonių patvirtinimo, sprendimo dėl kliento rizikos profilio, sprendimo pradėti ar tęsti dalykinius santykius, pranešimo apie įtartiną veiklą ir kitų esminių sprendimų.

Paslaugų perdavimas turi būti pagrįstas rašytiniu susitarimu, tiekėjas turi turėti tinkamą kvalifikaciją, taikyti įpareigotojo subjekto politikas ir būti reguliariai tikrinamas. Su šokiais tokiais iššūkiais organizacijos gali susidurti tada, kai paslaugas teikia tos pačios grupės įmonė. Tokiu atveju įmonės turi elgtis nešališkai viena kitos atžvilgiu ir taikyti tokius pačius saugumo ir atskaitomybės reikalavimus.

Kaip šis pokytis keičia BDAR dalį. AML outsourcing beveik visada reiškia asmens duomenų tvarkytojo arba atskiro duomenų valdytojo pasitelkimą. Tai gali būti tapatybės nustatymo platformos, sankcijų patikros tiekėjai, PEP ir neigiamos informacijos duomenų bazės, sandorių monitoringo įrankiai, dokumentų verifikavimo sprendimai, biometrinės identifikacijos tiekėjai, kriptoturto analizės platformos, pranešimų kanalų tiekėjai.

Todėl reikės peržiūrėti ir atnaujinti:

  • duomenų tvarkymo sutartis;
  • subtvarkytojų sąrašus;
  • duomenų perdavimo už EEE mechanizmus;
  • tiekėjų saugumo vertinimus;
  • tiekėjų audito teises;
  • incidentų pranešimo terminus;
  • duomenų ištrynimo ir grąžinimo sąlygas;
  • tiekėjų naudojamų šaltinių ir algoritmų skaidrumą;
  • tiekėjo vaidmenį: tvarkytojas, savarankiškas valdytojas ar bendras valdytojas.

Praktinė rizika: daug AML technologinių tiekėjų naudoja dideles duomenų bazes, neigiamos žiniasklaidos šaltinius, sankcijų sąrašų agregatorius, PEP duomenis ir automatizuotus rizikos lygio skaičiavimo balus. Įpareigotasis subjektas turės ne tik „įsigyti sistemą“, bet ir suprasti, kokie duomenys joje tvarkomi, kokie šaltiniai taikomi, kaip atnaujinami duomenys, kaip ištaisomos klaidos ir kaip užtikrinama, kad klientas nepagrįstai nebūtų atmestas dėl klaidingo atitikmens.