Kundkännedom och kundidentifiering
Företaget under tillsyn skapar utifrån ett riskbaserat förhållningssätt egna rutiner och minimikriterier för kundkontroll i sina kundrelationer. Företaget under tillsyn ska kunna visa för tillsynsmyndigheten hur det bedömer riskerna i anslutning till sina kundrelationer och sin verksamhet, hur det identifierar sina kunder och hur det kontrollerar och följer upp transaktionerna av kunderna och användningen av tjänsterna.
Företaget under tillsyn kan också låta kundidentifieringen och kontrollen av kundens identitet utföras för sin räkning av ett ombud, som kan vara en annan rapporteringsskyldig eller någon annan pålitlig samarbetspart. Kundens kontrolluppgifter och dokumentationen om kundförhållandet ska lämnas till företaget under tillsyn. Alternativt ska företaget ha tillgång till informationen utan dröjsmål.
Skyldigheter i anslutning till kundkontroll
- kundidentifiering och kontroll av kundens identitet
- identifiering av verkliga förmånstagare (utredning av kundens ägarandelar på mer än 25 % samt bestämmande inflytande), vid behov även kontroll
- identifiering och kontroll av kundens representant
- anskaffning av uppgifter om kundernas verksamhet, arten och omfattningen av deras affärsverksamhet och grunderna för att en tjänst eller produkt används
- bevarande av uppgifterna om kundidentifiering och kundkontroll
- utredningsskyldighet och anmälningsskyldighet vid tvivelaktiga transaktioner
- interna instruktioner, utbildning, kontaktpersoner, beslutsprocess
- utveckling och utnyttjande av metoderna för riskhantering och fortlöpande övervakning.
Bevarande av kundkontrolluppgifter
Uppgifterna om identifiering och kontroll av kunden ska dokumenteras och förvaras i enlighet med 3 kap. 3 § och 4 kap. 3 § i lagen om penningtvätt.
Uppgifter som företaget under tillsyn har inhämtat i syfte att uppfylla sin utrednings- och rapporteringsskyldighet ska förvaras separat från kunduppgifterna. Kunden har inte rätt till insyn i dessa uppgifter.
Förvaringstiden för kunduppgifter och vid behov även dokument är fem år efter det att kundförhållandet har upphört eller den enskilda affärstransaktionen har slutförts. Om kunden har identifierats på distans, ska även uppgifterna om de förfaranden eller källor som använts vid kontrollen sparas.