AMLR artiklarna 13–15: anställdas integritet, visselblåsning och intern kontroll
Välkommen till den femte delen i Morling Consultings bloggserie om EU:s AMLR. I denna del sker ett tematiskt skifte i serien, då tidigare delar har fokuserat på definitioner, ansvariga enheter, organisatoriska krav och sektorsspecifika undantag. Nu riktas istället uppmärksamheten mot det mer övergripande ramverket med särskilt fokus på hur mänskliga faktorer, interna kontrollmekanismer och organisationskultur integreras i det riskbaserade förhållningssätt som genomsyrar AMLR.
Detta blogginlägg behandlar artiklarna 13–15 i AMLR, som berör anställdas integritet och rapportering av AML-överträdelser. Genom dessa regler tydliggörs hur risker för penningtvätt, finansiering av terrorism och kringgående av ekonomiska sanktioner inte enbart är kopplade till produkter, kunder eller geografisk plats, utan även till personer, roller och interna processer. Dessa bestämmelser måste även förstås i ljuset av sektorsrisker och verksamhetsspecifika sårbarheter.
På Morling Consulting bistår våra jurister företag och organisationer med implementering av AMLR, bland annat genom stöd vid utformning av allmänna och sektorsspecifika riskbedömningar, tolkning av svenska och unionsrättsliga krav och anpassning till nationell tillsynspraxis. Genom vår expertrådgivning inom AMLR och AMLD6 hjälper vi ansvariga enheter att strukturera sitt compliancearbete på ett sätt som är förenligt med både EU-rätten och de krav som följer av svensk rätt och tillsyn.
Det riskbaserade förhållningssättet som systemperspektiv
Det riskbaserade förhållningssättet inom AMLR avser inte en enskild analys eller ett avgränsat dokument, utan är ett sammanhängande system av bedömningar, kontroller och uppföljningar som tillsammans ska säkerställa att den ansvariga enheten identifierar, förstår och hanterar sina risker. Detta system omfattar såväl externa risker, såsom kundbeteenden och transaktionsmönster, som interna risker kopplade till organisationens struktur, styrning och personal.
Artikel 13 AMLR – Anställdas integritet
Artikel 13 reglerar krav på bedömning av anställda och andra personer i jämförbar ställning som deltar i efterlevnaden av AMLR, förordning (EU) 2023/1113 och tillhörande förvaltningsakter utfärdade av tillsynsorgan. Bestämmelsen omfattar även ombud och distributörer, vilket understryker att det riskbaserade förhållningssättet inte begränsas till den egna organisationens interna personal.
Bedömningen ska vara proportionerlig i förhållande till vilka risker som kan kopplas till den anställdes utförda uppgifter, samt vars innehåll har godkänts av regelefterlevnadsansvarig. Fortsättningsvis ska bedömningen omfatta två huvudfaktorer: dels individens kompetens, kunskap och expertis att utföra funktionerna, dels gott anseende, ärlighet och integritet. Detta innebär att AMLR fastställer ett tydligt samband mellan individbedömning och den allmänna riskbedömningen.
Bedömningen ska genomföras innan den berörda personen inleder arbete avseende tillämpningen av penningtvättsregelverket och ska därefter upprepas regelbundet. Frekvensen i de återkommande bedömningarna ska anpassas efter uppgifternas art och de risker som är förknippade med uppgifterna. I praktiken innebär detta att personer med exempelvis insyn i känslig information eller ansvar för rapportering till myndigheter kan behöva genomgå mer omfattande och frekventa uppdateringar av kontroller.
Artikel 13.2 inför ett uttryckligt krav på att anställda och andra berörda personer, vars arbetsuppgifter rör den ansvariga enhetens efterlevnad av AMLR, ska informera verksamhetens regelefterlevnadsansvariga om nära privata eller yrkesmässiga relationer till kunder eller presumtiva kunder. Sådana relationer utgör en potentiell risk för intressekonflikter och ska därför leda till att personen förhindras från att utföra efterlevnadsuppgifter i relation till dessa kunder. Bestämmelsen speglar att risker inte endast ska identifieras på strukturell nivå, utan även på individnivå. I verksamheter med särskilda sektorsrisker, exempelvis hög grad av personliga affärsrelationer eller lokal förankring, blir denna typ av kontroll särskilt betydelsefull.
Fortsättningsvis ålägger artikel 13.3 ansvariga enheter att inrätta åtgärder för att förebygga och hantera intressekonflikter som kan påverka de uppgifter som berör den ansvariga enhetens efterlevnad av AMLR. Dessa förfaranden är en del av det riskbaserade förhållningssättet och ska säkerställa att identifierade risker inte riskerar att skada enhetens regelefterlevnad.
Det är slutligen värt att notera undantaget enligt artikel 13.4, som fastställer att bestämmelsen inte tillämpas på ansvariga enheter som är en fysisk person alternativt en juridisk person vilken drivs enbart av en fysisk person. Detta undantag är förenligt med proportionalitetsprincipen, men innebär inte att sådana verksamheter står utanför det riskbaserade förhållningssättet som helhet.
Artikel 14 AMLR – Rapportering av överträdelser och skydd för rapporterande personer
Artikel 14 knyter AMLR till det EU-rättsliga ramverket för visselblåsarskydd genom en direkt hänvisning till direktiv (EU) 2019/1937. Direktivet 2019/1937, om skydd för personer som rapporterar om överträdelser av unionsrätten, fastställer ett effektivt skydd för visselblåsare. Vid rapportering av överträdelser av förordningen, förordning 2023/1113 eller förvaltningsakter av tillsynsorgan ska direktiv 2019/1937 om visselblåsarskydd tillämpas.
Ansvariga enheter ska enligt artikel 14.2 inrätta interna rapporteringskanaler som uppfyller kraven i visselblåsardirektivet. Dessa kanaler ska verka för att arbetstagare ska ha möjlighet att internt rapportera information om överträdelser samt för uppföljning.
I verksamheter med identifierade sektorsrisker, exempelvis vid komplexa transaktionsflöden, blir tillgången till fungerande rapporteringskanaler särskilt viktig. De bidrar till att komplettera formella kontroller med praktisk insyn från organisationens medarbetare. Genom att säkerställa skydd för personer som rapporterar överträdelser stärker AMLR incitamenten för intern rapportering. Detta är inte endast en fråga om individens rättigheter, utan även om organisationens förmåga att upprätthålla en effektiv riskhantering.
En kultur där rapportering uppmuntras och skyddas är en förutsättning för att det riskbaserade förhållningssättet ska vara fungerande och dynamiskt.
Artikel 14 fastställer även att en fysisk person eller en juridisk person som bedrivs av enbart en fysisk person är undantagen från kravet i artikel 14.2 om interna rapporteringskanaler. Undantaget illustrerar hur proportionalitet och risk vägs mot administrativa krav.
Artikel 15 AMLR – Specifika anställdas situation
Artikel 15 klargör hur AMLR ska tillämpas när en fysisk person som omfattas av artikel 3.3 i förordningen utövar sitt yrke som anställd hos en juridisk person. Fysiska personer enligt artikel 3.3 omfattar bland annat vissa revisorer, advokater, fastighetsmäklare och fotbollsagenter. Är den fysiska personen anställd hos en juridisk person, ska kraven enligt AMLR gälla den juridiska personen.
AMLR 13–15 ställer krav på rutiner, dokumentation och ansvar
Artiklarna 13–15 AMLR visar tydligt att mänskliga och organisatoriska aspekter, där anställdas integritet, möjligheten att rapportera överträdelser och tydlig ansvarsfördelning spelar avgörande roller. För ansvariga enheter innebär bestämmelserna krav på dokumentation, styrning och uppföljning, men också bättre förutsättningar för att bygga hållbara och effektiva system för att motverka penningtvätt, finansiering av terrorism och kringgående av ekonomiska sanktioner.
