6 kap. Intern kontroll och anmälningar om misstänkta överträdelser

En verksamhetsutövare ska ha rutiner och riktlinjer för intern kontroll. Om en verksamhetsutövare använder modeller för riskbedömning, riskklassificering, övervakning eller andra förfaranden, ska verksamhetsutövaren ha rutiner för modellriskhantering. Rutinerna för modellriskhantering ska syfta till att utvärdera och kvalitetssäkra de modeller som verksamhetsutövaren använder. Omfattningen av och innehållet i rutinerna och riktlinjerna ska bestämmas med hänsyn till verksamhetsutövarens storlek och art samt den risk för penningtvätt och finansiering av terrorism som identifierats i den allmänna riskbedömningen.

När det är motiverat med hänsyn till verksamhetens storlek och art, ska en verksamhetsutövare 1. utse en medlem av ledningsgruppen, verkställande direktören eller motsvarande befattningshavare som ska ansvara för att verksamhetsutövaren genomför de åtgärder som krävs för att följa denna lag och de föreskrifter som meddelats med stöd av lagen, 2. utse en person att löpande kontrollera att verksamhetsutövaren fullgör sina skyldigheter enligt denna lag eller föreskrifter som meddelats med stöd av lagen (centralt funktionsansvarig), och 3. inrätta en oberoende granskningsfunktion med ansvar för att granska de interna riktlinjer, kontroller och förfaranden som syftar till att verksamhetsutövaren ska fullgöra sina skyldigheter enligt denna lag eller föreskrifter som meddelats med stöd av lagen. Den som är centralt funktionsansvarig ska ansvara för rapporter till Polismyndigheten enligt 4 kap. 3 §.

Om en verksamhetsutövare med huvudkontor i en annan stat inom EES tillhandahåller tjänster som avses i 1 kap. 2 § första stycket 6, 8 eller 13 b i Sverige, får Finansinspektionen besluta att verksamhetsutövaren ska utse en central kontaktpunkt i Sverige med ansvar för att säkerställa att bestämmelserna i denna lag följs. Första stycket gäller inte om tjänsterna tillhandahålls genom en filial eller ett dotterföretag här i landet. Lag (2024:1166) .

En verksamhetsutövare ska tillhandahålla ändamålsenliga rapporteringssystem för anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten och som vill göra anmälningar om misstänkta överträdelser av bestämmelserna i denna lag eller föreskrifter som meddelats med stöd av lagen. För verksamhetsutövare som omfattas av Europaparlamentets och rådets förordning (EU) 2023/1113 ska rapporteringssystemen även möjliggöra anmälningar av misstänkta överträdelser av bestämmelserna i den förordningen. Lag (2024:1166) .

En verksamhetsutövare ska ha rutiner och vidta de åtgärder i övrigt som behövs för att skydda anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten från hot, hämnd eller andra fientliga åtgärder till följd av att de gjort en anmälan om misstänkta överträdelser av bestämmelserna i denna lag eller i föreskrifter som meddelats med stöd av lagen. En verksamhetsutövare får inte utsätta en anställd, en uppdragstagare eller någon annan som på liknande grund deltar i verksamheten för repressalier på grund av att denne har gjort en anmälan. Lag (2019:774) .

Uppgift i en anmälan om en misstänkt överträdelse enligt 4 § får inte obehörigen röjas, om uppgiften kan avslöja anmälarens identitet. Ansvar enligt 20 kap. 3 § brottsbalken ska inte följa för den som bryter mot förbudet i första stycket. I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400). Om det i lag finns bestämmelser som avviker från första eller andra stycket, gäller de bestämmelserna.