2 kap. Riskbedömning och rutiner

En verksamhetsutövare ska göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns och vilka geografiska riskfaktorer som föreligger. Hänsyn ska också tas till uppgifter som kommer fram vid verksamhetsutövarens rapportering av misstänkta aktiviteter och transaktioner samt till information om tillvägagångssätt för penningtvätt och finansiering av terrorism och andra relevanta uppgifter som myndigheter lämnar.

Omfattningen av den allmänna riskbedömningen ska bestämmas med hänsyn till verksamhetsutövarens storlek och art och de risker för penningtvätt eller finansiering av terrorism som kan antas föreligga. Riskbedömningen ska utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.

En verksamhetsutövare ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och verksamhetsutövarens kännedom om kunden. När det behövs för att bestämma kundens riskprofil ska verksamhetsutövaren beakta omständigheter som avses i 4 och 5 §§ och föreskrifter som meddelats med stöd av denna lag samt andra omständigheter som i det enskilda fallet påverkar risken som kan förknippas med kundrelationen. Kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.

Som omständigheter som kan tyda på att risken för penningtvätt och finansiering av terrorism är låg kan verksamhetsutövaren beakta bland annat att kunden 1. är en stat, en region, en kommun eller motsvarande eller en juridisk person över vilken en stat, en region, en kommun eller motsvarande, var för sig eller tillsammans, har ett direkt eller indirekt rättsligt bestämmande inflytande, 2. har hemvist inom EES, 3. har hemvist i en stat som har bestämmelser om åtgärder mot penningtvätt och finansiering av terrorism som motsvarar dem i denna lag och som tillämpar dessa bestämmelser på ett effektivt sätt, 4. har hemvist i en stat som har en låg nivå av korruption och annan relevant brottslighet, och 5. är ett företag vars överlåtbara värdepapper är upptagna till handel på en reglerad marknad inom EES eller på en motsvarande marknad utanför EES. Lag (2019:980) .

Som omständigheter som kan tyda på att risken för penningtvätt eller finansiering av terrorism är hög kan verksamhetsutövaren beakta bland annat att 1. kundens ägarstruktur framstår som ovanlig eller alltför komplicerad för dess verksamhet, 2. kunden bedriver kontantintensiv verksamhet, 3. kunden är en juridisk person som har nominella aktieägare eller andelar utställda på innehavaren, 4. kunden är en juridisk person, en trust eller en liknande juridisk konstruktion som har till syfte att förvalta en viss fysisk persons tillgångar, 5. kunden har hemvist i en stat som saknar effektiva system för bekämpning av penningtvätt eller finansiering av terrorism, 6. kunden har hemvist i en stat med betydande korruption och annan relevant brottslighet, 7. kunden har hemvist i en stat som är föremål för sanktioner, embargon eller liknande åtgärder, 8. kunden har hemvist i en stat som finansierar eller stöder terroristverksamhet eller där terroristorganisationer är verksamma, 9. affärsrelationer eller transaktioner sker på distans, utan användning av metoder som på ett tillförlitligt sätt kan säkerställa kundens identitet, och 10. betalning av varor eller tjänster görs av någon som är okänd eller saknar koppling till kunden.

En verksamhetsutövare som avses i 1 kap. 2 § första stycket 1-13 får inte tillhandahålla anonyma konton, motböcker eller värdefack. Lag (2021:903) .

En verksamhetsutövare som avses i 1 kap. 2 § första stycket 1-13 får inte etablera eller upprätthålla korrespondentförbindelser med brevlådebanker och ska se till att sådana förbindelser inte heller etableras eller upprätthålls med institut som tillåter att deras konton används av sådana banker. Lag (2021:903) .

En verksamhetsutövare ska ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Rutinerna och riktlinjerna ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. Rutinernas och riktlinjernas omfattning och innehåll ska bestämmas med hänsyn till verksamhetsutövarens storlek, art och riskerna för penningtvätt och finansiering av terrorism som identifierats i den allmänna riskbedömningen.

En verksamhetsutövare som är det yttersta moderföretaget i en koncern ska fastställa gemensamma rutiner och riktlinjer för koncernen. De gemensamma rutinerna och riktlinjerna ska åtminstone omfatta rutiner och riktlinjer för behandling av personuppgifter och informationsutbyte inom koncernen för att säkerställa att information om misstänkt penningtvätt och finansiering av terrorism och andra relevanta uppgifter vid behov sprids till berörda inom koncernen.

En verksamhetsutövare som avses i 9 § första stycket ska se till att gemensamma rutiner och riktlinjer tillämpas inom koncernen.

En verksamhetsutövare som avses i 9 § första stycket ska se till att dotterföretag med hemvist i ett land utanför EES (hemviststaten) tillämpar bestämmelserna i denna lag och föreskrifter som meddelats med stöd av lagen, om bestämmelserna för att förhindra penningtvätt och finansiering av terrorism är mindre ingripande i det landet. Första stycket gäller även verksamhetsutövare som har filialer i ett land utanför EES.

Om kraven i 10 eller 11 § inte kan uppfyllas i fråga om ett dotterföretag utanför EES på grund av bestämmelser i hemviststaten, ska en verksamhetsutövare som avses i 9 § första stycket vidta åtgärder för att effektivt hantera den ökade risken för penningtvätt och finansiering av terrorism som därigenom uppkommer. Första stycket gäller även verksamhetsutövare som har filialer i ett land utanför EES. Verksamhetsutövaren ska underrätta tillsynsmyndigheten om kraven inte kan uppfyllas.

En verksamhetsutövare ska ha rutiner för att säkerställa lämpligheten hos anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten, om de utför arbetsuppgifter av betydelse för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism.

En verksamhetsutövare ska se till att anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten och som utför arbetsuppgifter av betydelse för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism fortlöpande får relevant utbildning och information för att kunna fullgöra verksamhetsutövarens skyldigheter enligt denna lag. Utbildningen ska åtminstone avse relevanta delar av innehållet i gällande regelverk, verksamhetsutövarens allmänna riskbedömning, rutiner och riktlinjer samt information som ska underlätta för personer som avses i första stycket att upptäcka misstänkt penningtvätt och finansiering av terrorism.

En verksamhetsutövare ska ha rutiner och vidta de åtgärder i övrigt som behövs för att skydda anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten från hot, hämnd eller andra fientliga åtgärder till följd av att de fullgör verksamhetsutövarens skyldigheter enligt denna lag. En verksamhetsutövare får inte utsätta en anställd, en uppdragstagare eller någon annan som på liknande grund deltar i verksamheten för repressalier på grund av att denne har informerat om misstänkt penningtvätt eller finansiering av terrorism, internt eller till Polismyndigheten. Lag (2019:774) .

Om en verksamhetsutövare som är en fysisk person driver sin verksamhet som anställd hos en juridisk person, ska de krav som avses i 1, 2, 8-12, 14 och 15 §§ samt 6 kap. 1 och 2 §§ gälla den juridiska personen. Lag (2021:517) .