(1)

I henhold til artikel 9a, stk. 2, i forordning (EU) nr. 1093/2010 skal Den Europæiske Banktilsynsmyndighed (EBA) oprette og ajourføre en central database over oplysninger, der er indsamlet i overensstemmelse med artikel 9a, stk. 1, litra a), i nævnte forordning. En præcisering af, hvordan oplysninger skal analyseres og stilles til rådighed for de indberettende myndigheder ud fra need-to-know- og fortrolighedskriterier, jf. artikel 9a, stk. 3, i nævnte forordning, hænger derfor uundgåeligt sammen med præciseringen af de nærmere oplysninger med hensyn til oprettelsen af denne centrale database.

(2)

Det er nødvendigt at præcisere de tilsvarende situationer, hvor der kan opstå svagheder. Uden at det berører nationale kompetencer, omfatter tilsyn enhver relevant aktivitet, som alle indberettende myndigheder skal udføre i henhold til de sektorspecifikke retsakter, og er derfor forskelligartet. Af den grund bør de tilsvarende situationer præciseres under hensyntagen til de tilsynsaktiviteter, der udføres af de forskellige indberettende myndigheder.

(3)

For at afgøre, om en svaghed er væsentlig, er det nødvendigt at fastlægge dens generelle definition og en ikke-udtømmende liste over kriterier, der yderligere skal præcisere denne definition. Det er nødvendigt med en sådan definition og liste over kriterier for på den ene side at opnå en harmoniseret tilgang til anvendelsen af denne generelle definition og på den anden side at sikre, at alle væsentlige svagheder som omhandlet i den generelle definition registreres under hensyntagen til den specifikke kontekst.

(4)

For at sikre, at de indberettende myndigheder indberetter svagheder til databasen på et tidligt tidspunkt, bør en væsentlig svaghed defineres således, at den ikke blot omfatter svagheder, der afslører, men også de svagheder, der kan føre til en betydelig manglende overholdelse af gældende krav vedrørende bekæmpelse af hvidvask af penge og finansiering af terrorisme (AML/CFT), selv om en sådan manglende overholdelse endnu ikke er indtruffet. Dette er også begrundet i, at oplysninger bør indberettes til databasen efter bedste evne af de myndigheder, der ikke besidder det samme niveau af AML/CFT-oplysninger og -ekspertise som de tilsynsmyndigheder, der er udpeget som kompetente i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2015/849 (2).

(5)

For at fastlægge, hvilken type oplysninger der skal fremlægges, er det nødvendigt at skelne mellem generelle oplysninger, oplysninger om væsentlige svagheder og oplysninger om de trufne foranstaltninger.

(6)

Ved fastlæggelsen af de enkelte dele i de generelle oplysninger, der skal forelægges, bør der lægges særlig vægt på operatører i den finansielle sektor, som er aktive på tværs af grænserne, herunder operatører i den finansielle sektor, der er en del af en koncern, for hvilken et kollegium opererer. For at sikre, at de indgivne oplysninger er sammenlignelige, bør AML/CFT-myndighederne også som en del af disse generelle oplysninger forelægge EBA risikoprofilen for operatøren i den finansielle sektor ved hjælp af fælles kategorier.

(7)

Tilsynsmyndighederne bør som en del af de generelle oplysninger, som de skal indberette, afgive oplysninger om resultatet af den relevante risikovurdering af enhver tilsynsproces og enhver anden lignende proces, der er berørt af risikoen for hvidvask af penge og finansiering af terrorisme hos operatøren i den finansielle sektor, sammen med oplysninger om eventuelle negative endelige vurderinger eller negative afgørelser om ansøgninger om tilladelse, hvis en sådan vurdering eller afgørelse også er baseret på risici for hvidvask af penge og finansiering af terrorisme.

(8)

For at tage hensyn til de forskellige kompetencer hos hjemlandets og værtslandets AML/CFT-myndigheder som fastsat i direktiv (EU) 2015/849 er det nødvendigt at præcisere, at både hjemlandets og værtslandets AML/CFT-myndigheder bør indberette de væsentlige svagheder, som de hver især har konstateret ved udøvelsen af deres respektive kompetencer, til EBA. Det er også nødvendigt at præcisere, at de foranstaltninger, der træffes af værtslandets AML/CFT-myndighed, bør indgives til databasen uafhængigt af enhver meddelelse til hjemlandets myndighed.

(9)

Det er nødvendigt at sikre, at EBA effektivt kan udøve sin rolle med hensyn til at lede, koordinere og overvåge aktiviteter, der skal fremme integriteten, gennemsigtigheden og sikkerheden i det finansielle system, for at forhindre, at dette system anvendes til hvidvask af penge eller til finansiering af terrorisme, ved at gøre fuld brug af alle sine beføjelser og værktøjer i henhold til forordning (EU) nr. 1093/2010, samtidig med at proportionalitetsprincippet overholdes. EBA bør derfor kunne kombinere oplysninger fra andre kilder for at kunne analysere de oplysninger, der indgives til databasen. EBA bør bestræbe sig på at gøre brug af disse oplysninger med henblik på at udføre alle sine opgaver som fastsat i forordning (EU) nr. 1093/2010.

(10)

Samtidig med analysen af de oplysninger, der indsendes til databasen og stilles til rådighed for de indberettende myndigheder, bør denne forordning sikre samarbejde med Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger (EIOPA) og Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) i overensstemmelse med princippet om loyalt samarbejde i henhold til artikel 4, stk. 3, i traktaten om Den Europæiske Union som nærmere præciseret i artikel 2, stk. 4, i forordning (EU) nr. 1093/2010, artikel 2, stk. 4, i Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 (3) og artikel 2, stk. 4, i Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 (4). Det bør navnlig præciseres, at oplysninger, som EBA har anmodet disse myndigheder om, eller som på anden måde modtages fra disse myndigheder, kan anvendes til denne analyse, hvor det er relevant, og at EBA bør give EIOPA og ESMA disse oplysninger, enten på eget initiativ eller efter anmodning fra disse myndigheder.

(11)

Det er nødvendigt at præcisere, hvordan oplysningerne stilles til rådighed for de indberettende myndigheder. I artikel 9a, stk. 2, i forordning (EU) nr. 1093/2010 henvises der generelt til, at EBA skal sikre, at oplysninger stilles til rådighed for de indberettende myndigheder ud fra need-to-know- og fortrolighedskriterier, mens artikel 9a, stk. 3, i nævnte forordning specifikt henviser til begrundede anmodninger. Begge bestemmelser indgår i processen om, hvordan oplysninger stilles til rådighed for de indberettende myndigheder. Med henblik herpå bør de særlige elementer i den begrundede anmodning, som EBA skal modtage fra de indberettende myndigheder, også fastsættes.

(12)

For at sikre overholdelse af proportionalitetsprincippet og undgå overlapning af oplysninger bør en AML/CFT-myndighed, der indgiver oplysninger om en foranstaltning, anses for også at foretage den underretning, der er omhandlet i artikel 62 i direktiv (EU) 2015/849, for så vidt angår den pågældende foranstaltning. Det er endvidere nødvendigt at kræve, at en AML/CFT-myndighed eller tilsynsmyndighed, der indgiver oplysninger til den centrale database, som led i sin indberetning angiver, om denne myndighed allerede har foretaget en underretning i henhold til artikel 97, stk. 6, i Europa-Parlamentets og Rådets direktiv 2013/36/EU (5).

(13)

For at sikre, at den centrale AML/CFT-database bliver et effektivt redskab i bekæmpelsen af hvidvask af penge og finansiering af terrorisme, er det nødvendigt at sikre, at de indberettende myndigheder rettidigt indgiver disse oplysninger til den centrale database, og at sikre kvaliteten af disse oplysninger. Med henblik herpå bør oplysninger om væsentlige svagheder og dermed trufne foranstaltninger indgives uden unødigt ophold, og de indberettende myndigheder bør uden unødigt ophold besvare enhver anmodning fra EBA, efter at der er foretaget en kvalitetskontrol. Af samme grund bør de indberettende myndigheder løbende sikre nøjagtighed, fuldstændighed, tilstrækkelighed og ajourføring af sådanne oplysninger, og oplysninger om væsentlige svagheder bør indgives uafhængigt af eventuelle foranstaltninger, der træffes som reaktion herpå.

(14)

For at sikre tidsmæssig effektivitet og dermed fremme konsekvent, systematisk og effektiv overvågning og vurdering af risici i forbindelse med hvidvask af penge og finansiering af terrorisme i Unionens finansielle systemer bør indsendte oplysninger og anmodninger indgives på engelsk. For at sikre, at proportionalitetsprincippet overholdes, og for at undgå uforholdsmæssigt store omkostninger for de indberettende myndigheder, hvis den underbyggende dokumentation ikke foreligger på engelsk, bør den samtidig indgives på originalsproget og ledsages af et resumé på engelsk.

(15)

Hvis driften af en indskudsgarantiordning administreres af en privat enhed, bør den udpegede myndighed, der fører tilsyn med ordningen, sikre, at der ved ordningen indberettes væsentlige svagheder, der konstateres i forbindelse med dens aktiviteter, til den udpegede myndighed.

(16)

I betragtning af det store antal involverede indberettende myndigheder og for at foregribe de betydelige forskelle i indberetningshyppigheden, da nogle af disse indberettende myndigheder på grund af deres tilsynsansvar sandsynligvis mindre hyppigt vil indberette væsentlige svagheder og foranstaltninger end andre og for at opnå operationel effektivitet og omkostningseffektivitet både for de indberettende myndigheder og for EBA, bør der indbygges en sekventiel tilgang i databasens arkitektur. På grundlag af denne sekventielle tilgang bør nogle af de indberettende myndigheder have direkte og andre indirekte adgang til databasen.

(17)

Parter, der er involveret i udvekslingen af oplysninger, bør være underlagt tavshedspligt og fortrolighedskrav. Der bør derfor fastsættes specifikke bestemmelser om, hvordan oplysningerne kan videregives yderligere, samtidig med at fortroligheden bevares.

(18)

Når de oplysninger, der ønskes, indgives, anmodes om, udveksles eller stilles til rådighed, vedrører fysiske personer, bør proportionalitetsprincippet overholdes i forbindelse med behandlingen af oplysninger om disse fysiske personer. I den forbindelse er det nødvendigt at præcisere, hvilke behandlede oplysninger der vedrører fysiske personer.

(19)

For at sikre databasens effektivitet og analysen af de deri indeholdte oplysninger, således at den kan være et effektivt redskab i bekæmpelsen af hvidvask af penge og finansiering af terrorisme, bør EBA som led i sin analyse kunne kombinere de oplysninger, den får forelagt i overensstemmelse med denne forordning, med andre tilgængelige oplysninger om væsentlige svagheder hos de enkelte operatører i den finansielle sektor, der gør disse sårbare over for hvidvask af penge eller finansiering af terrorisme, og som EBA erhverver ved udførelsen af sine opgaver inden for rammerne af sit mandat. Af hensyn til relevansen bør sådanne oplysninger, når de kombinerede oplysninger indeholder personoplysninger, falde ind under de datakategorier, der er opført i bilag II. En kombination af personoplysninger bør være en undtagelse, og en sådan behandling må kun ske med henblik på at opfylde formålene med denne forordning. Det kan være nødvendigt at kombinere dataene for i) at sikre nøjagtigheden og fuldstændigheden af data fra kompetente myndigheder eller ii) for at gøre det muligt for EBA i sin database at integrere relevante oplysninger af samme art som dem, der formidles af de kompetente myndigheder, men som er indhentet via en anden kanal, f.eks. gennem undersøgelser af potentielle overtrædelser af EU-retten i henhold til artikel 17 i forordning (EU) nr. 1093/2010.

Oplysninger vedrørende mistanke om lovovertrædelser eller straffedomme begået af en kunde, en reel ejer, et medlem af ledelsesorganet eller en person med nøglefunktioner kan være en indikator for manglende hæderlighed og integritet eller for risici i forbindelse med hvidvask og finansiering af terrorisme. Dette kan være en væsentlig årsag til eller bidrage til væsentlige svagheder i relation til en operatør i den finansielle sektors ledelsesordninger, egnethed og hæderlighed, indehavere af kvalificerede andele, forretningsmodel eller aktiviteter. Derfor kan de personoplysninger, der er anført i bilag II, omfatte oplysninger vedrørende mistanke om eller dom for straffelovsovertrædelser.

Kun data vedrørende væsentlige svagheder kan medtages i databasen. Eftersom de væsentlige svagheder i henhold til denne forordning kun vedrører væsentlige mangler i overholdelsen af et eller flere af de AML/CFT-relaterede krav, sikrer dette, at behandlingen af data i henhold til forordningen fortsat begrænses til alvorlige overtrædelser af AML/CFT-relaterede krav og derfor fortsat begrænses til, hvad der er nødvendigt og forholdsmæssigt.

Personoplysninger, der behandles med henblik på gennemførelsen af denne forordning, bør behandles i overensstemmelse med Unionens databeskyttelsesramme, herunder principperne vedrørende behandling, som f.eks. lovlighed, rimelighed og gennemsigtighed, formålsbegrænsning, dataminimering, nøjagtighed, opbevaringsbegrænsning, integritet og fortrolighed samt ansvarlighed.

(20)

Databeskyttelseslovgivningen, navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/679 (6) og Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (7), finder anvendelse på behandlingen af personoplysninger.

(21)

EBA, ESMA, EIOPA og de indberettende myndigheder bør fastlægge deres respektive ansvarsområder som fælles dataansvarlige for personoplysninger ved hjælp af en indbyrdes aftale i overensstemmelse med artikel 26 i forordning (EU) 2016/679 og artikel 86 i forordning (EU) 2018/1725, i det omfang disse ansvarsområder ikke er fastlagt i EU-retten eller national ret, som de er underlagt.

(22)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og fremsatte formelle bemærkninger den 24. januar 2023.

(23)

I betragtning af den supplerende karakter af det mandat, der er fastsat i artikel 9a, stk. 1, i forordning (EU) nr. 1093/2010 vedrørende definitionen af svaghed, og hvorvidt den er væsentlig, præciseringen af tilsvarende situationer, hvor der kan opstå en svaghed, og typen og den praktiske gennemførelse af indsamling af oplysninger og af det mandat, der er fastsat i nævnte artikels stk. 3, med hensyn til, hvordan de indsamlede oplysninger bør analyseres og stilles til rådighed ud fra need-to-know- og fortrolighedskriterier, bør de relevante specifikationer fastsættes i én enkelt forordning.

(24)

I henhold til artikel 9a i forordning (EU) nr. 1093/2010 pålægges det EBA at indsamle oplysninger om de foranstaltninger, som de indberettende myndigheder har truffet som reaktion på væsentlige konstaterede svagheder. Sådanne foranstaltninger bør forstås som alle tilsynsmæssige og administrative foranstaltninger, sanktioner og bøder, herunder forebyggende eller midlertidige foranstaltninger, der træffes af de indberettende myndigheder i forbindelse med tilsynsaktiviteter som fastsat i artikel 2, stk. 5, andet afsnit, i forordning (EU) 1093/2010, artikel 2, stk. 5, andet afsnit, i forordning (EU) 1094/2010 og artikel 2, stk. 5, andet afsnit, i forordning (EU) 1095/2010.

(25)

Denne forordning er baseret på det udkast til reguleringsmæssige tekniske standarder, som EBA har forelagt Kommissionen.

(26)

EBA har afholdt åbne offentlige høringer om det udkast til reguleringsmæssige tekniske standarder, som ligger til grund for denne forordning, analyseret de potentielle omkostninger og fordele samt anmodet den interessentgruppe, der er nedsat i henhold til artikel 37 i forordning (EU) nr. 1093/2010, om rådgivning —

1)

»indberettende myndigheder«: enhver af de myndigheder, der er omhandlet i denne artikels nr. 2)-7), og Den Fælles Afviklingsinstans

2)

»AML/CFT-myndighed«: den myndighed, der har fået til opgave at sikre, at en operatør i den finansielle sektor overholder direktiv (EU) 2015/849

3)

»tilsynsmyndighed«: den myndighed, der har fået til opgave at sikre, at en operatør i den finansielle sektor overholder de tilsynsmæssige rammer, der er fastlagt i en af de lovgivningsmæssige retsakter, der er omhandlet i artikel 1, stk. 2, i forordning (EU) nr. 1093/2010, artikel 1, stk. 2, i forordning (EU) nr. 1094/2010 og artikel 1, stk. 2, i forordning (EU) nr. 1095/2010 og i en eventuel national lovgivning til gennemførelse af de direktiver, der er omhandlet i disse bestemmelser, herunder Den Europæiske Centralbank for så vidt angår spørgsmål vedrørende de opgaver, som den er blevet pålagt ved Rådets forordning (EU) nr. 1024/2013 (8)

4)

»myndighed med ansvar for betalingsinstitutter«: den myndighed, der er omhandlet i artikel 22 i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 (9)

5)

»myndighed med ansvar for god forretningsskik«: den myndighed, der har fået til opgave at sikre, at en operatør i den finansielle sektor overholder den rammelovgivning om god forretningsskik eller forbrugerbeskyttelse, der er fastsat i en af de lovgivningsmæssige retsakter, som er omhandlet i artikel 1, stk. 2, i forordning (EU) nr. 1093/2010, artikel 1, stk. 2, i forordning (EU) nr. 1094/2010 og artikel 1, stk. 2, i forordning (EU) nr. 1095/2010 og i eventuel national lovgivning til gennemførelse af de direktiver, der er omhandlet i disse bestemmelser,

6)

»afviklingsmyndighed«: en afviklingsmyndighed som defineret i artikel 2, stk. 1, nr. 18), i Europa-Parlamentets og Rådets direktiv 2014/59/EU (10)

7)

»udpeget myndighed«: en udpeget myndighed som defineret i artikel 2, stk. 1, nr. 18), i Europa-Parlamentets og Rådets direktiv 2014/49/EU (11)

8)

»AML/CFT-relateret krav«: ethvert krav med hensyn til at forebygge og modvirke anvendelsen af det finansielle system til hvidvask af penge og til finansiering af terrorisme, der pålægges en operatør i den finansielle sektor i overensstemmelse med de lovgivningsmæssige retsakter, der er omhandlet i artikel 1, stk. 2, i forordning (EU) nr. 1093/2010, artikel 1, stk. 2, i forordning (EU) nr. 1094/2010 og artikel 1, stk. 2, i forordning (EU) nr. 1095/2010, og med eventuel national lovgivning til gennemførelse af de direktiver, der er omhandlet i disse bestemmelser,

9)

»foranstaltning«: enhver tilsynsforanstaltning og administrativ foranstaltning, sanktion og bøde, herunder forebyggende eller midlertidig foranstaltning, der træffes af en indberettende myndighed som reaktion på en svaghed, der anses for væsentlig i overensstemmelse med artikel 3.

10)

»filial«: et forretningssted, som udgør en juridisk afhængig del af en operatør i den finansielle sektor, og som direkte udfører alle eller nogle af de transaktioner, der er forbundet med virksomhed udført af operatøren i den finansielle sektor, uanset om dens vedtægtsmæssige hjemsted eller hovedkontor er beliggende i en medlemsstat eller i et tredjeland

11)

»moderselskab for operatøren i den finansielle sektor«: en operatør i den finansielle sektor i en medlemsstat, der som datterselskab har en anden operatør i den finansielle sektor, eller som besidder kapitalinteresser i en sådan operatør i den finansielle sektor, og som ikke selv er et datterselskab af en anden operatør i den finansielle sektor, der er meddelt tilladelse i samme medlemsstat

12)

»moderselskab for operatøren i den finansielle sektor i Unionen«: en operatør i den finansielle sektor i en medlemsstat, som ikke er et datterselskab af en anden operatør i den finansielle sektor, der er etableret i en medlemsstat

13)

»kollegium«: et tilsynskollegium som omhandlet i artikel 116 i direktiv 2013/36/EU, et afviklingskollegium eller et europæisk afviklingskollegium som fastsat i artikel 88 og 89 i direktiv 2014/59/EU eller et AML/CFT-kollegium.

a)

de generelle oplysninger, der er omhandlet i denne forordnings artikel 5

b)

de oplysninger, der er omhandlet i denne forordnings artikel 6 om væsentlige svagheder

c)

de oplysninger, der er omhandlet i denne forordnings artikel 7 om trufne foranstaltninger.

a)

den type væsentlig svaghed, der er omhandlet i artikel 2, stk. 1

b)

årsagen til, at den rapporterende myndighed anser svagheden for væsentlig

c)

en beskrivelse af den væsentlige svaghed

d)

den tilsvarende situation, hvor den væsentlige svaghed er opstået, jf. bilag I

e)

tidsforløbet i forbindelse med den væsentlige svaghed

f)

oprindelsen af oplysningerne om den væsentlige svaghed

g)

det AML/CFT-relaterede krav, som den væsentlige svaghed vedrører

h)

den type produkter, tjenesteydelser eller aktiviteter, i forbindelse med hvilke operatøren i den finansielle sektor er blevet meddelt tilladelse, og som er berørt af den væsentlige svaghed

i)

om den væsentlige svaghed vedrører operatøren i den finansielle sektor alene, dens filial, dens agent eller distributør samt eventuelle grænseoverskridende indvirkninger af den væsentlige svaghed

j)

om oplysninger om den væsentlige svaghed er blevet meddelt et kollegium, der er oprettet for den koncern, som operatøren i den finansielle sektor tilhører og, hvis de endnu ikke er meddelt, årsagen hertil

k)

for værtslandets AML/CFT-myndigheder, om oplysningerne om den væsentlige svaghed er blevet meddelt hjemlandets AML/CFT-myndighed eller meddelt det centrale kontaktpunkt, der er omhandlet i artikel 45, stk. 9, i direktiv (EU) 2015/849, hvis det er relevant, og, hvis de endnu ikke er meddelt, årsagen hertil

l)

om den væsentlige svaghed synes at være en iboende del af udformningen af det pågældende produkt, den pågældende tjenesteydelse eller aktivitet

m)

om den væsentlige svaghed synes at være knyttet til specifikke fysiske personer, hvad enten der er tale om en kunde, en reel ejer, et medlem af ledelsesorganet eller en indehaver af nøglefunktioner, herunder årsagerne til, at den indberettende myndighed mener, at den pågældende fysiske person synes at være knyttet til den væsentlige svaghed

n)

oplysninger af kontekstuel art eller baggrundsoplysninger med hensyn til den væsentlige svaghed, hvis de er kendt af den indberettende myndighed, herunder:

a)

en henvisning til den væsentlige svaghed, i forbindelse med hvilken foranstaltningen er truffet, og, hvor det er relevant, enhver ajourføring af de oplysninger, der er afgivet i henhold til artikel 6

b)

datoen for, hvornår foranstaltningen er truffet

c)

foranstaltningens art, dens interne referencenummer og link til den, hvis offentliggjort

d)

fuldstændige oplysninger om de juridiske og fysiske personer, over for hvilke foranstaltningen blev indført

e)

en beskrivelse af foranstaltningen, herunder dens retsgrundlag

f)

foranstaltningens status, herunder om der er klaget over foranstaltningen

g)

om og hvordan foranstaltningen er blevet offentliggjort, herunder begrundelsen for eventuel anonym offentliggørelse, udsættelse af offentliggørelse eller manglende offentliggørelse

h)

alle oplysninger, der er relevante for at afhjælpe den væsentlige svaghed, som foranstaltningen vedrører, herunder foranstaltninger der er planlagt eller truffet med henblik på en sådan afhjælpning, og eventuelle yderligere forklaringer, der er nødvendige for afhjælpningsprocessen, og den relevante tidsplan for, hvornår afhjælpning kan forventes

i)

om hvorvidt oplysninger om foranstaltningen er blevet meddelt et kollegium, der er oprettet for den koncern, hvortil operatøren i den finansielle sektor hører og, hvis de endnu ikke er meddelt, årsagen hertil

j)

for værtslandets AML/CFT-myndigheder, om oplysninger om foranstaltningen er blevet meddelt hjemlandets kompetente AML/CFT-myndighed og, hvis de endnu ikke er meddelt, årsagen hertil.