Organizacinės struktūros pakeitimai. 1 dalis Kodėl AML paketas yra ir BDAR klausimas? Europos Sąjungos naujasis pinigų plovimo ir teroristų finansavimo prevencijos dokumentų paketas (AML paketas) iš pirmo žvilgsnio atrodo kaip AML atitikties reforma. Tačiau praktikoje jis reikšmingai keičia ir asmens duomenų tvarkymo aplinką: plečiasi įpareigotųjų subjektų bei duomenų subjektų ratas, didėja tikrinimo procedūrų intensyvumas, atsiranda labiau struktūruoti duomenų saugojimo terminai, platesnis nuolatinis monitoringas, griežtesnis dalijimosi informacija režimas ir didesnis priklausomumas nuo KYC, sankcijų tikrinimo, politiškai pažeidžiamų asmenų (PEP) tikrinimo procedūros ir sąvokų pasikeitimai, neigiamos informacijos ir sandorių stebėsenos, IT sistemų transformacija ir saugumas. Todėl naujojo AML paketo įgyvendinimas neturėtų būti suprantamas vien kaip AML politikos atnaujinimas. Įpareigotieji subjektai turės peržiūrėti ir BDAR dokumentaciją: duomenų tvarkymo veiklos įrašus, privatumo pranešimus, duomenų saugojimo politiką, teisinių pagrindų analizę, poveikio duomenų apsaugai vertinimus, paslaugų teikėjų sutartis, prieigos teisių modelį, duomenų subjektų teisių įgyvendinimo procedūras ir incidentų valdymą. Esminė įžvalga: naujasis AML paketas sukuria ne tik daugiau AML pareigų, bet ir naują BDAR atitikties sluoksnį. Kiekviena nauja KYC, tikrinimo, monitoringo ar informacijos dalijimosi pareiga turi būti atspindėta duomenų tvarkymo dokumentacijoje ir realiai įgyvendinta IT sistemose. Naujasis AML paketas apima tiesiogiai taikomą Reglamentą (ES) 2024/1624 dėl pinigų plovimo ir teroristų finansavimo prevencijos, Direktyvą (ES) 2024/1640, kuria nustatomi nacionaliniai mechanizmai, ir Reglamentą (ES) 2024/1620, kuriuo įsteigiama AMLA (Anti-Money Laundering Authority). AML reglamentas daugumai subjektų bus taikomas nuo 2027 m. liepos 10 d., todėl 2026-2027 m. turėtų būti laikomi pasirengimo ir dokumentacijos peržiūros laikotarpiu. BDAR požiūriu svarbiausia tai, kad AML atitiktis grindžiama itin plačiu asmens duomenų tvarkymu. Kliento tapatybės nustatymas, naudos gavėjų identifikavimas, PEP tikrinimas, sankcijų patikra, sandorių monitoringas, lėšų ir turto kilmės analizė, įtartinų operacijų vertinimas ir informacijos teikimas priežiūros institucijoms yra atskiros duomenų tvarkymo operacijos, kurios turi turėti aiškų tikslą, teisinį pagrindą, duomenų kategorijas, saugojimo terminus ir saugumo priemones. Nauji įpareigotieji subjektai - pavyzdžiui, dalis kredito tarpininkų, kriptoturto paslaugų teikėjai, sutelktinio finansavimo platformos ir tarpininkai, prabangos prekių ir kultūros vertybių prekybos dalyviai, investicinės migracijos operatoriai, kai kurie nekilnojamojo turto specialistai, profesionalūs futbolo klubai ir agentai - dažnai neturės brandžios AML duomenų valdymo infrastruktūros, nes neturės ir pačios AML valdymo struktūros. Todėl be atsiradusių pareigų AML paketo apimtyje, naujiems įpareigotiesiems subjektams, BDAR dokumentacijos atnaujinimas bus ne šalutinis, o vienas iš centrinių AML reikalavimų įgyvendinimo darbų. AML valdymo struktūros pokyčiai pagal naująjį ES AML paketą Naujasis ES pinigų plovimo ir teroristų finansavimo prevencijos paketas keičia ne tik klientų patikrinimo taisykles. Jis iš esmės performuoja tai, kaip įpareigotieji subjektai turės organizuoti AML rizikos valdymą, atsakomybės paskirstymą, darbuotojų patikrinimus, grupės lygmens informacijos judėjimą, paslaugų perdavimą, klientų monitoringą ir duomenų saugojimą. Svarbiausias pokytis yra tas, kad AML atitiktis tampa nebe vien atitikties pareigūno ar atskiro KYC padalinio klausimu. Naujas režimas AML funkciją aiškiai įkelia į valdymo organų, vadovybės, personalo atrankos, vidaus kontrolės, grupės valdymo, IT sistemų ir BDAR atskaitomybės lygmenį. Todėl pasirengimas naujam AML paketui turės būti vykdomas kartu su BDAR dokumentacijos, privatumo pranešimų, veiklos įrašų, poveikio duomenų apsaugai vertinimų, saugojimo terminų ir tiekėjų sutarčių peržiūra. Naujasis AML reglamentas tiesiogiai įtvirtina pareigą įpareigotiesiems subjektams turėti vidaus politikas, procedūras ir kontrolės priemones, kurios apima ne tik klientų patikrą, bet ir visos veiklos rizikos vertinimą, PEP tikrinimo procedūras, pranešimus apie įtartinas operacijas, paslaugų perdavimą, duomenų saugojimą, asmens duomenų tvarkymo politiką, trūkumų stebėseną, darbuotojų tinkamumo ir reputacijos patikrinimus, mokymus ir nepriklausomą auditą. Dauguma šių pareigų jau buvo įtvirtinta ir Lietuvos nacionaliniuose teisės aktuose, tačiau esminis pokytis tas, jog dabar visos ES valstybės narės privalės taikyti vienodus standartus. Lietuvoje esanti griežtesnė reguliacija dažnai būdavo vertinama kaip perteklinė ir net dirbant vienoje įmonių grupėje, skirtingose valstybėse dirbančių specialistų nuomonės susikirsdavo. Todėl galiu tik pasidžiaugti, kad Lietuva yra tikrai neblogai apšilusi kojas ir „nauji“ reikalavimai neturėtų labai gąsdinti. Vis dėlto, atsipalaiduoti nereikėtų, nes yra ir tikrai naujų reikalavimų, kuriuos reikės įgyvendinti. AML valdymo struktūros pokyčius vertinant iš BDAR perspektyvos, galima teigti, kad įpareigotieji subjektai turės peržiūrėti ne tik AML dokumentus, bet ir BDAR valdymo dokumentaciją. Veiklos įrašuose pagal BDAR 30 straipsnį turi būti nurodyti duomenų tvarkymo tikslai, duomenų subjektų ir duomenų kategorijos, gavėjai, perdavimai į trečiąsias valstybes, numatomi ištrynimo terminai ir techninės bei organizacinės saugumo priemonės. Todėl naujos AML procedūros turi būti „išverstos“ į BDAR kalbą: kokie duomenys renkami, kokiu tikslu, kokiu teisiniu pagrindu, kiek laiko saugomi, kam perduodami ir kokios saugumo priemonės taikomos. Praktikoje tai reiškia, kad vieno bendro įrašo „AML tikslais tvarkomi klientų duomenys“ nebepakaks. Reikės atskirai aprašyti bent klientų patikrinimą, naudos gavėjų nustatymą, sankcijų ir PEP patikrą, nuolatinį monitoringą, įtartinų operacijų analizę, pranešimus institucijoms, darbuotojų AML patikrinimus, grupės viduje vykdomą informacijos dalijimąsi, tiekėjų naudojimą ir duomenų saugojimą. Aiškiau apibrėžta vadovybės atsakomybė Vienas svarbiausių naujojo AML režimo elementų – aiškesnis vadovybės atsakomybės įtvirtinimas. Naujas reglamentas numato, kad turi būti paskirtas valdymo organo narys arba, jeigu valdymo organo nėra, lygiavertis aukščiausios vadovybės asmuo, atsakingas už AML reikalavimų įgyvendinimą. Šis asmuo praktikoje vadinamas „Compliance manager“ ir tokia pareiga jau yra numatyta ir dabartiniuose nacionaliniuose teisės aktuose. Šio asmens funkcija nėra formali ir niekada neturėjo būti formali. Jis turi užtikrinti, kad vidaus politikos, procedūros ir kontrolės priemonės būtų suderintos su rizikomis, kad vadovybė žinotų apie AML rizikas, kad būtų skiriami pakankami žmogiškieji, technologiniai ir kiti resursai, taip pat kad AML identifikuoti trūkumai būtų keliami į tinkamą valdymo lygį. Naujasis režimas taip pat reikalauja, kad „Compliance manager“ reguliariai teiktų ataskaitas valdymo organui, įskaitant ir atitikties pareigūno parengtą metinę ataskaitą. Tokiose ataskaitose turi būti vertinamas vidaus politikų, procedūrų ir kontrolės priemonių įgyvendinimas, nurodomi nustatyti trūkumai ir pasiūlomos jų šalinimo priemonės. Papildomai svarbu akcentuoti, kad dalis „Compliance manager“ priskiriamų funkcijų iki šiol buvo atliekama atitikties pareigūno: rengiamos ketvirtinės ataskaitos, metinės ataskaitos ir jų pristatymas valdymo organui. Todėl čia reikėtų nepamiršti ir interesų konfliktų valdymo, tinkamo pareigybių aprašymo, vidinių tvarkų pakeitimo. Praktikoje visi šie pakeitimai reiškia, kad reikės atnaujinti organizacijos Asmens duomenų tvarkymo taisykles bei kitus vidinius dokumentus arba BDAR atsakomybių matricą. Joje turėtų būti aiškiai nurodyta, kas atsakingas už AML duomenų tvarkymo tikslų nustatymą, kas inicijuoja poveikio duomenų apsaugai vertinimą, kas tvirtina saugojimo terminus, kas vertina tiekėjus, kas sprendžia dėl duomenų subjektų teisių ribojimų ir kas komunikuoja su priežiūros institucijomis ir kt. Atitikties pareigūno funkcijos tampa aiškiau reglamentuotos Hierarchinė sistema nesibaigia kartu su „Compliance manager“ apibrėžtumu. Atitikties pareigūno funkcija jau buvo įtvirtinta Lietuvos nacionaliniuose teisės aktuose, o Pinigų plovimo prevencijos atitikties pareigūno funkcijos buvo tiesiogiai implementuotos iš Europos Bankininkystės Institucijos gairių, kuriomis apibrėžiamos ir detalizuojamos už pinigų plovimo ir teroristų finansavimo prevenciją atsakingų asmenų vaidmuo, užduotys ir atsakomybės. Iki šiol buvusios funkcijos, priskirtos atitikties pareigūnui Lietuvos teisės aktuose, panašu, kad išlieka, tačiau atsiranda ir naujų pareigų, tokių kaip: visos veiklos rizikos vertinimas, nepriekaištingos reputacijos vertinimas, kitų darbuotojų, kurie ketina atlikti AML susijusias užduotis, vertinimas ir kt. Ką tai reiškia BDAR prasme? Tai reiškia, kad atitikties pareigūnas turi turėti prieigą prie didelės apimties jautrios informacijos: tapatybės dokumentų, naudos gavėjų duomenų, PEP patikros rezultatų, sankcijų atitikmenų, sandorių istorijų, lėšų kilmės dokumentų, įtartinų veiksmų analizės, galbūt ir specialių kategorijų ar duomenų apie nusikalstamas veikas. Todėl BDAR dokumentacijoje reikės aiškiai aprašyti atitikties pareigūno prieigos teises. Vidaus prieigos valdymo politikoje turėtų atsirasti principas, kad AML funkcijos darbuotojai turi prieigą tik prie tiek duomenų, kiek būtina jų funkcijoms vykdyti, kiekvienai funkcijai suteiktos prieigos prie asmens duomenų turės būti aiškiai atskirtos ir aprašytos bei kontroliuojamos. Taip pat reikės numatyti audito žurnalus, prieigos peržiūrą, pareigų atskyrimą, konfidencialumo įsipareigojimus ir specialias taisykles dėl įtartinų operacijų informacijos. Kartu reikės nepamiršti ir interesų konfliktų valdymo, atsižvelgiant į tai, kad atitikties pareigūnas negalės pats sau priskirti prieigos teisių, jas stebėti, koreguoti ir panaikinti. Tam turės būti deleguojami kiti asmenys. Čia svarbus ir BDAR atskaitomybės principas. Organizacija turės gebėti parodyti ne tik tai, kad atitikties pareigūnas paskirtas, bet ir tai, kad jo funkcijos, prieigos teisės, duomenų naudojimo ribos ir sprendimų dokumentavimas yra aiškiai sureguliuoti ir veikiantys praktikoje. AML funkcijas atliekančių darbuotojų vertinimas Naujasis reguliacinis rėžimas įpareigoja vertinti visų darbuotojų, kurie vykdo PPTFP funkcijas kompetenciją ir reputaciją. BDAR prasme tai reiškia, kad darbdaviai bus įpareigoti tvarkyti daugiau asmens duomenų apie potencialius darbuotojus bei tikrinti esamus darbuotojus periodiškai. Atitinkamai, bus reikalinga keisti vidines įdarbinimo procedūras, veiklos įrašus, paruošti privatumo pranešimus, keisti asmens duomenų teisinius pagrindus, tikslus, privatumo politikas ir kitus vidinius dokumentus. Įpareigotieji subjektai jau dabar turi rūpintis tinkamais vidiniais ištekliais, kad šie vertinimai būtų vykdomi sklandžiai ir teisėtai. Taigi, informacijos daug, pasikeitimų ir administracinės naštos taip pat. Todėl Triniti Jurex stengsis, kad šiuose pasikeitimuose aiškumo būtų daugiau, o administracinės naštos mažiau.