European flag

Tidende
Den Europæiske Unions

DA

Serie L


2024/595

16.2.2024

KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2024/595

af 9. november 2023

om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 for så vidt angår reguleringsmæssige tekniske standarder til præcisering af væsentligheden ved svagheder, typen af indsamlede oplysninger, den praktiske gennemførelse af indsamlingen af oplysninger samt analyse og formidling af oplysningerne i den centrale database til bekæmpelse af hvidvask af penge og finansiering af terrorisme (»AML/CFT«), der er omhandlet i nævnte forordnings artikel 9a, stk. 2

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF (1), og særlig artikel 9a, stk. 1, tredje afsnit, og artikel 9a, stk. 3, tredje afsnit, og

ud fra følgende betragtninger:

(1)

I henhold til artikel 9a, stk. 2, i forordning (EU) nr. 1093/2010 skal Den Europæiske Banktilsynsmyndighed (EBA) oprette og ajourføre en central database over oplysninger, der er indsamlet i overensstemmelse med artikel 9a, stk. 1, litra a), i nævnte forordning. En præcisering af, hvordan oplysninger skal analyseres og stilles til rådighed for de indberettende myndigheder ud fra need-to-know- og fortrolighedskriterier, jf. artikel 9a, stk. 3, i nævnte forordning, hænger derfor uundgåeligt sammen med præciseringen af de nærmere oplysninger med hensyn til oprettelsen af denne centrale database.

(2)

Det er nødvendigt at præcisere de tilsvarende situationer, hvor der kan opstå svagheder. Uden at det berører nationale kompetencer, omfatter tilsyn enhver relevant aktivitet, som alle indberettende myndigheder skal udføre i henhold til de sektorspecifikke retsakter, og er derfor forskelligartet. Af den grund bør de tilsvarende situationer præciseres under hensyntagen til de tilsynsaktiviteter, der udføres af de forskellige indberettende myndigheder.

(3)

For at afgøre, om en svaghed er væsentlig, er det nødvendigt at fastlægge dens generelle definition og en ikke-udtømmende liste over kriterier, der yderligere skal præcisere denne definition. Det er nødvendigt med en sådan definition og liste over kriterier for på den ene side at opnå en harmoniseret tilgang til anvendelsen af denne generelle definition og på den anden side at sikre, at alle væsentlige svagheder som omhandlet i den generelle definition registreres under hensyntagen til den specifikke kontekst.

(4)

For at sikre, at de indberettende myndigheder indberetter svagheder til databasen på et tidligt tidspunkt, bør en væsentlig svaghed defineres således, at den ikke blot omfatter svagheder, der afslører, men også de svagheder, der kan føre til en betydelig manglende overholdelse af gældende krav vedrørende bekæmpelse af hvidvask af penge og finansiering af terrorisme (AML/CFT), selv om en sådan manglende overholdelse endnu ikke er indtruffet. Dette er også begrundet i, at oplysninger bør indberettes til databasen efter bedste evne af de myndigheder, der ikke besidder det samme niveau af AML/CFT-oplysninger og -ekspertise som de tilsynsmyndigheder, der er udpeget som kompetente i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2015/849 (2).

(5)

For at fastlægge, hvilken type oplysninger der skal fremlægges, er det nødvendigt at skelne mellem generelle oplysninger, oplysninger om væsentlige svagheder og oplysninger om de trufne foranstaltninger.

(6)

Ved fastlæggelsen af de enkelte dele i de generelle oplysninger, der skal forelægges, bør der lægges særlig vægt på operatører i den finansielle sektor, som er aktive på tværs af grænserne, herunder operatører i den finansielle sektor, der er en del af en koncern, for hvilken et kollegium opererer. For at sikre, at de indgivne oplysninger er sammenlignelige, bør AML/CFT-myndighederne også som en del af disse generelle oplysninger forelægge EBA risikoprofilen for operatøren i den finansielle sektor ved hjælp af fælles kategorier.

(7)

Tilsynsmyndighederne bør som en del af de generelle oplysninger, som de skal indberette, afgive oplysninger om resultatet af den relevante risikovurdering af enhver tilsynsproces og enhver anden lignende proces, der er berørt af risikoen for hvidvask af penge og finansiering af terrorisme hos operatøren i den finansielle sektor, sammen med oplysninger om eventuelle negative endelige vurderinger eller negative afgørelser om ansøgninger om tilladelse, hvis en sådan vurdering eller afgørelse også er baseret på risici for hvidvask af penge og finansiering af terrorisme.

(8)

For at tage hensyn til de forskellige kompetencer hos hjemlandets og værtslandets AML/CFT-myndigheder som fastsat i direktiv (EU) 2015/849 er det nødvendigt at præcisere, at både hjemlandets og værtslandets AML/CFT-myndigheder bør indberette de væsentlige svagheder, som de hver især har konstateret ved udøvelsen af deres respektive kompetencer, til EBA. Det er også nødvendigt at præcisere, at de foranstaltninger, der træffes af værtslandets AML/CFT-myndighed, bør indgives til databasen uafhængigt af enhver meddelelse til hjemlandets myndighed.

(9)

Det er nødvendigt at sikre, at EBA effektivt kan udøve sin rolle med hensyn til at lede, koordinere og overvåge aktiviteter, der skal fremme integriteten, gennemsigtigheden og sikkerheden i det finansielle system, for at forhindre, at dette system anvendes til hvidvask af penge eller til finansiering af terrorisme, ved at gøre fuld brug af alle sine beføjelser og værktøjer i henhold til forordning (EU) nr. 1093/2010, samtidig med at proportionalitetsprincippet overholdes. EBA bør derfor kunne kombinere oplysninger fra andre kilder for at kunne analysere de oplysninger, der indgives til databasen. EBA bør bestræbe sig på at gøre brug af disse oplysninger med henblik på at udføre alle sine opgaver som fastsat i forordning (EU) nr. 1093/2010.

(10)

Samtidig med analysen af de oplysninger, der indsendes til databasen og stilles til rådighed for de indberettende myndigheder, bør denne forordning sikre samarbejde med Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger (EIOPA) og Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) i overensstemmelse med princippet om loyalt samarbejde i henhold til artikel 4, stk. 3, i traktaten om Den Europæiske Union som nærmere præciseret i artikel 2, stk. 4, i forordning (EU) nr. 1093/2010, artikel 2, stk. 4, i Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 (3) og artikel 2, stk. 4, i Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 (4). Det bør navnlig præciseres, at oplysninger, som EBA har anmodet disse myndigheder om, eller som på anden måde modtages fra disse myndigheder, kan anvendes til denne analyse, hvor det er relevant, og at EBA bør give EIOPA og ESMA disse oplysninger, enten på eget initiativ eller efter anmodning fra disse myndigheder.

(11)

Det er nødvendigt at præcisere, hvordan oplysningerne stilles til rådighed for de indberettende myndigheder. I artikel 9a, stk. 2, i forordning (EU) nr. 1093/2010 henvises der generelt til, at EBA skal sikre, at oplysninger stilles til rådighed for de indberettende myndigheder ud fra need-to-know- og fortrolighedskriterier, mens artikel 9a, stk. 3, i nævnte forordning specifikt henviser til begrundede anmodninger. Begge bestemmelser indgår i processen om, hvordan oplysninger stilles til rådighed for de indberettende myndigheder. Med henblik herpå bør de særlige elementer i den begrundede anmodning, som EBA skal modtage fra de indberettende myndigheder, også fastsættes.

(12)

For at sikre overholdelse af proportionalitetsprincippet og undgå overlapning af oplysninger bør en AML/CFT-myndighed, der indgiver oplysninger om en foranstaltning, anses for også at foretage den underretning, der er omhandlet i artikel 62 i direktiv (EU) 2015/849, for så vidt angår den pågældende foranstaltning. Det er endvidere nødvendigt at kræve, at en AML/CFT-myndighed eller tilsynsmyndighed, der indgiver oplysninger til den centrale database, som led i sin indberetning angiver, om denne myndighed allerede har foretaget en underretning i henhold til artikel 97, stk. 6, i Europa-Parlamentets og Rådets direktiv 2013/36/EU (5).

(13)

For at sikre, at den centrale AML/CFT-database bliver et effektivt redskab i bekæmpelsen af hvidvask af penge og finansiering af terrorisme, er det nødvendigt at sikre, at de indberettende myndigheder rettidigt indgiver disse oplysninger til den centrale database, og at sikre kvaliteten af disse oplysninger. Med henblik herpå bør oplysninger om væsentlige svagheder og dermed trufne foranstaltninger indgives uden unødigt ophold, og de indberettende myndigheder bør uden unødigt ophold besvare enhver anmodning fra EBA, efter at der er foretaget en kvalitetskontrol. Af samme grund bør de indberettende myndigheder løbende sikre nøjagtighed, fuldstændighed, tilstrækkelighed og ajourføring af sådanne oplysninger, og oplysninger om væsentlige svagheder bør indgives uafhængigt af eventuelle foranstaltninger, der træffes som reaktion herpå.

(14)

For at sikre tidsmæssig effektivitet og dermed fremme konsekvent, systematisk og effektiv overvågning og vurdering af risici i forbindelse med hvidvask af penge og finansiering af terrorisme i Unionens finansielle systemer bør indsendte oplysninger og anmodninger indgives på engelsk. For at sikre, at proportionalitetsprincippet overholdes, og for at undgå uforholdsmæssigt store omkostninger for de indberettende myndigheder, hvis den underbyggende dokumentation ikke foreligger på engelsk, bør den samtidig indgives på originalsproget og ledsages af et resumé på engelsk.

(15)

Hvis driften af en indskudsgarantiordning administreres af en privat enhed, bør den udpegede myndighed, der fører tilsyn med ordningen, sikre, at der ved ordningen indberettes væsentlige svagheder, der konstateres i forbindelse med dens aktiviteter, til den udpegede myndighed.

(16)

I betragtning af det store antal involverede indberettende myndigheder og for at foregribe de betydelige forskelle i indberetningshyppigheden, da nogle af disse indberettende myndigheder på grund af deres tilsynsansvar sandsynligvis mindre hyppigt vil indberette væsentlige svagheder og foranstaltninger end andre og for at opnå operationel effektivitet og omkostningseffektivitet både for de indberettende myndigheder og for EBA, bør der indbygges en sekventiel tilgang i databasens arkitektur. På grundlag af denne sekventielle tilgang bør nogle af de indberettende myndigheder have direkte og andre indirekte adgang til databasen.

(17)

Parter, der er involveret i udvekslingen af oplysninger, bør være underlagt tavshedspligt og fortrolighedskrav. Der bør derfor fastsættes specifikke bestemmelser om, hvordan oplysningerne kan videregives yderligere, samtidig med at fortroligheden bevares.

(18)

Når de oplysninger, der ønskes, indgives, anmodes om, udveksles eller stilles til rådighed, vedrører fysiske personer, bør proportionalitetsprincippet overholdes i forbindelse med behandlingen af oplysninger om disse fysiske personer. I den forbindelse er det nødvendigt at præcisere, hvilke behandlede oplysninger der vedrører fysiske personer.

(19)

For at sikre databasens effektivitet og analysen af de deri indeholdte oplysninger, således at den kan være et effektivt redskab i bekæmpelsen af hvidvask af penge og finansiering af terrorisme, bør EBA som led i sin analyse kunne kombinere de oplysninger, den får forelagt i overensstemmelse med denne forordning, med andre tilgængelige oplysninger om væsentlige svagheder hos de enkelte operatører i den finansielle sektor, der gør disse sårbare over for hvidvask af penge eller finansiering af terrorisme, og som EBA erhverver ved udførelsen af sine opgaver inden for rammerne af sit mandat. Af hensyn til relevansen bør sådanne oplysninger, når de kombinerede oplysninger indeholder personoplysninger, falde ind under de datakategorier, der er opført i bilag II. En kombination af personoplysninger bør være en undtagelse, og en sådan behandling må kun ske med henblik på at opfylde formålene med denne forordning. Det kan være nødvendigt at kombinere dataene for i) at sikre nøjagtigheden og fuldstændigheden af data fra kompetente myndigheder eller ii) for at gøre det muligt for EBA i sin database at integrere relevante oplysninger af samme art som dem, der formidles af de kompetente myndigheder, men som er indhentet via en anden kanal, f.eks. gennem undersøgelser af potentielle overtrædelser af EU-retten i henhold til artikel 17 i forordning (EU) nr. 1093/2010.

Oplysninger vedrørende mistanke om lovovertrædelser eller straffedomme begået af en kunde, en reel ejer, et medlem af ledelsesorganet eller en person med nøglefunktioner kan være en indikator for manglende hæderlighed og integritet eller for risici i forbindelse med hvidvask og finansiering af terrorisme. Dette kan være en væsentlig årsag til eller bidrage til væsentlige svagheder i relation til en operatør i den finansielle sektors ledelsesordninger, egnethed og hæderlighed, indehavere af kvalificerede andele, forretningsmodel eller aktiviteter. Derfor kan de personoplysninger, der er anført i bilag II, omfatte oplysninger vedrørende mistanke om eller dom for straffelovsovertrædelser.

Kun data vedrørende væsentlige svagheder kan medtages i databasen. Eftersom de væsentlige svagheder i henhold til denne forordning kun vedrører væsentlige mangler i overholdelsen af et eller flere af de AML/CFT-relaterede krav, sikrer dette, at behandlingen af data i henhold til forordningen fortsat begrænses til alvorlige overtrædelser af AML/CFT-relaterede krav og derfor fortsat begrænses til, hvad der er nødvendigt og forholdsmæssigt.

Personoplysninger, der behandles med henblik på gennemførelsen af denne forordning, bør behandles i overensstemmelse med Unionens databeskyttelsesramme, herunder principperne vedrørende behandling, som f.eks. lovlighed, rimelighed og gennemsigtighed, formålsbegrænsning, dataminimering, nøjagtighed, opbevaringsbegrænsning, integritet og fortrolighed samt ansvarlighed.

(20)

Databeskyttelseslovgivningen, navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/679 (6) og Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (7), finder anvendelse på behandlingen af personoplysninger.

(21)

EBA, ESMA, EIOPA og de indberettende myndigheder bør fastlægge deres respektive ansvarsområder som fælles dataansvarlige for personoplysninger ved hjælp af en indbyrdes aftale i overensstemmelse med artikel 26 i forordning (EU) 2016/679 og artikel 86 i forordning (EU) 2018/1725, i det omfang disse ansvarsområder ikke er fastlagt i EU-retten eller national ret, som de er underlagt.

(22)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og fremsatte formelle bemærkninger den 24. januar 2023.

(23)

I betragtning af den supplerende karakter af det mandat, der er fastsat i artikel 9a, stk. 1, i forordning (EU) nr. 1093/2010 vedrørende definitionen af svaghed, og hvorvidt den er væsentlig, præciseringen af tilsvarende situationer, hvor der kan opstå en svaghed, og typen og den praktiske gennemførelse af indsamling af oplysninger og af det mandat, der er fastsat i nævnte artikels stk. 3, med hensyn til, hvordan de indsamlede oplysninger bør analyseres og stilles til rådighed ud fra need-to-know- og fortrolighedskriterier, bør de relevante specifikationer fastsættes i én enkelt forordning.

(24)

I henhold til artikel 9a i forordning (EU) nr. 1093/2010 pålægges det EBA at indsamle oplysninger om de foranstaltninger, som de indberettende myndigheder har truffet som reaktion på væsentlige konstaterede svagheder. Sådanne foranstaltninger bør forstås som alle tilsynsmæssige og administrative foranstaltninger, sanktioner og bøder, herunder forebyggende eller midlertidige foranstaltninger, der træffes af de indberettende myndigheder i forbindelse med tilsynsaktiviteter som fastsat i artikel 2, stk. 5, andet afsnit, i forordning (EU) 1093/2010, artikel 2, stk. 5, andet afsnit, i forordning (EU) 1094/2010 og artikel 2, stk. 5, andet afsnit, i forordning (EU) 1095/2010.

(25)

Denne forordning er baseret på det udkast til reguleringsmæssige tekniske standarder, som EBA har forelagt Kommissionen.

(26)

EBA har afholdt åbne offentlige høringer om det udkast til reguleringsmæssige tekniske standarder, som ligger til grund for denne forordning, analyseret de potentielle omkostninger og fordele samt anmodet den interessentgruppe, der er nedsat i henhold til artikel 37 i forordning (EU) nr. 1093/2010, om rådgivning —

VEDTAGET DENNE FORORDNING:

Artikel 1

Definitioner

I denne forordning forstås ved:

1)

»indberettende myndigheder«: enhver af de myndigheder, der er omhandlet i denne artikels nr. 2)-7), og Den Fælles Afviklingsinstans

2)

»AML/CFT-myndighed«: den myndighed, der har fået til opgave at sikre, at en operatør i den finansielle sektor overholder direktiv (EU) 2015/849

3)

»tilsynsmyndighed«: den myndighed, der har fået til opgave at sikre, at en operatør i den finansielle sektor overholder de tilsynsmæssige rammer, der er fastlagt i en af de lovgivningsmæssige retsakter, der er omhandlet i artikel 1, stk. 2, i forordning (EU) nr. 1093/2010, artikel 1, stk. 2, i forordning (EU) nr. 1094/2010 og artikel 1, stk. 2, i forordning (EU) nr. 1095/2010 og i en eventuel national lovgivning til gennemførelse af de direktiver, der er omhandlet i disse bestemmelser, herunder Den Europæiske Centralbank for så vidt angår spørgsmål vedrørende de opgaver, som den er blevet pålagt ved Rådets forordning (EU) nr. 1024/2013 (8)

4)

»myndighed med ansvar for betalingsinstitutter«: den myndighed, der er omhandlet i artikel 22 i Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 (9)

5)

»myndighed med ansvar for god forretningsskik«: den myndighed, der har fået til opgave at sikre, at en operatør i den finansielle sektor overholder den rammelovgivning om god forretningsskik eller forbrugerbeskyttelse, der er fastsat i en af de lovgivningsmæssige retsakter, som er omhandlet i artikel 1, stk. 2, i forordning (EU) nr. 1093/2010, artikel 1, stk. 2, i forordning (EU) nr. 1094/2010 og artikel 1, stk. 2, i forordning (EU) nr. 1095/2010 og i eventuel national lovgivning til gennemførelse af de direktiver, der er omhandlet i disse bestemmelser,

6)

»afviklingsmyndighed«: en afviklingsmyndighed som defineret i artikel 2, stk. 1, nr. 18), i Europa-Parlamentets og Rådets direktiv 2014/59/EU (10)

7)

»udpeget myndighed«: en udpeget myndighed som defineret i artikel 2, stk. 1, nr. 18), i Europa-Parlamentets og Rådets direktiv 2014/49/EU (11)

8)

»AML/CFT-relateret krav«: ethvert krav med hensyn til at forebygge og modvirke anvendelsen af det finansielle system til hvidvask af penge og til finansiering af terrorisme, der pålægges en operatør i den finansielle sektor i overensstemmelse med de lovgivningsmæssige retsakter, der er omhandlet i artikel 1, stk. 2, i forordning (EU) nr. 1093/2010, artikel 1, stk. 2, i forordning (EU) nr. 1094/2010 og artikel 1, stk. 2, i forordning (EU) nr. 1095/2010, og med eventuel national lovgivning til gennemførelse af de direktiver, der er omhandlet i disse bestemmelser,

9)

»foranstaltning«: enhver tilsynsforanstaltning og administrativ foranstaltning, sanktion og bøde, herunder forebyggende eller midlertidig foranstaltning, der træffes af en indberettende myndighed som reaktion på en svaghed, der anses for væsentlig i overensstemmelse med artikel 3.

10)

»filial«: et forretningssted, som udgør en juridisk afhængig del af en operatør i den finansielle sektor, og som direkte udfører alle eller nogle af de transaktioner, der er forbundet med virksomhed udført af operatøren i den finansielle sektor, uanset om dens vedtægtsmæssige hjemsted eller hovedkontor er beliggende i en medlemsstat eller i et tredjeland

11)

»moderselskab for operatøren i den finansielle sektor«: en operatør i den finansielle sektor i en medlemsstat, der som datterselskab har en anden operatør i den finansielle sektor, eller som besidder kapitalinteresser i en sådan operatør i den finansielle sektor, og som ikke selv er et datterselskab af en anden operatør i den finansielle sektor, der er meddelt tilladelse i samme medlemsstat

12)

»moderselskab for operatøren i den finansielle sektor i Unionen«: en operatør i den finansielle sektor i en medlemsstat, som ikke er et datterselskab af en anden operatør i den finansielle sektor, der er etableret i en medlemsstat

13)

»kollegium«: et tilsynskollegium som omhandlet i artikel 116 i direktiv 2013/36/EU, et afviklingskollegium eller et europæisk afviklingskollegium som fastsat i artikel 88 og 89 i direktiv 2014/59/EU eller et AML/CFT-kollegium.

Artikel 2

Svagheder og tilsvarende situationer, hvor der kan opstå svagheder

1.   Med henblik på artikel 9a, stk. 1, litra a), første afsnit, i forordning (EU) nr. 1093/2010 forstås ved en svaghed et af følgende forhold:

a)

en overtrædelse af et AML/CFT-relateret krav foretaget af en operatør i den finansielle sektor, og som er blevet identificeret af en indberettende myndighed

b)

enhver situation, hvor den indberettende myndighed med rimelighed kan formode, at operatøren i den finansielle sektor har overtrådt et AML/CFT-relateret krav, eller at operatøren i den finansielle sektor har forsøgt at overtræde et sådant krav (»potentiel overtrædelse«)

c)

en operatør i den finansielle sektors ineffektive eller uhensigtsmæssige anvendelse af et AML/CFT-relateret krav eller anvendelsen af interne politikker og procedurer, som operatører i den finansielle sektor har indført for at overholde AML/CFT-relaterede krav på en måde, som den indberettende myndighed anser for at være mangelfuld eller utilstrækkelig med hensyn til at opnå de tilsigtede virkninger af disse krav eller politikker og procedurer, og som i sagens natur sandsynligvis vil føre til en overtrædelse som omhandlet i litra a) eller til en potentiel overtrædelse som omhandlet i litra b), hvis situationen ikke afhjælpes (»ineffektiv eller uhensigtsmæssig anvendelse«).

2.   De tilsvarende situationer, hvor der kan opstå svagheder, er anført i bilag I.

Artikel 3

Væsentlighed i forbindelse med en svaghed

1.   De indberettende myndigheder anser en svaghed for at være væsentlig, hvis denne svaghed afslører eller kan føre til væsentlige mangler i overholdelsen af AML/CFT-relaterede krav hos operatøren i den finansielle sektor eller hos den koncern, som operatøren i den finansielle sektor tilhører.

2.   Med henblik på stk. 1 vurderer de indberettende myndigheder som minimum alle følgende kriterier:

a)

om svagheden opstår eller er opstået gentagne gange

b)

om svagheden har varet ved i en betydelig periode (varighed)

c)

om svagheden er alvorlig eller meget alvorlig (alvorsgrad)

d)

om ledelsesorganet eller den øverste ledelse hos operatøren i den finansielle sektor synes at have kendskab til svagheden og besluttede ikke at afhjælpe den (uagtsomhed), eller om disse traf beslutninger eller førte drøftelser med henblik på at skabe svagheden (forsætlig forsømmelse)

e)

om svagheden øger eksponeringen hvad angår operatøren i den finansielle sektor eller den koncern, som denne tilhører, for risici for hvidvask af penge eller finansiering af terrorisme

f)

om svagheden har eller kan have en betydelig indvirkning på integriteten, gennemsigtigheden og sikkerheden i det finansielle system i en medlemsstat eller i Unionen som helhed eller på den finansielle stabilitet i en medlemsstat eller i Unionen som helhed

g)

om svagheden har eller kan have en betydelig indvirkning på levedygtigheden for operatøren i den finansielle sektor eller for den koncern, som operatøren i den finansielle sektor tilhører

h)

om svagheden har eller kan have en betydelig indvirkning på de finansielle markeders velordnede funktion.

Artikel 4

Oplysninger, som de indberettende myndigheder skal afgive

Udelukkende med henblik på artikel 9a, stk. 1, litra a), første afsnit, i forordning (EU) nr. 1093/2010 giver de indberettende myndigheder EBA alle følgende typer oplysninger:

a)

de generelle oplysninger, der er omhandlet i denne forordnings artikel 5

b)

de oplysninger, der er omhandlet i denne forordnings artikel 6 om væsentlige svagheder

c)

de oplysninger, der er omhandlet i denne forordnings artikel 7 om trufne foranstaltninger.

Artikel 5

Generelle oplysninger

1.   De indberettende myndigheder giver EBA alle følgende generelle oplysninger:

a)

identifikation af den indberettende myndighed, herunder angivelse af, om det er AML/CFT-myndigheden i hjemlandet og værtslandet og, hvis artikel 12, stk. 4, finder anvendelse, identifikation af den myndighed, der indgiver disse oplysninger indirekte

b)

identifikation af operatøren i den finansielle sektor, af dennes filialer, agenter som defineret i artikel 4, nr. 38), i direktiv (EU) 2015/2366 og distributører, herunder type af operatør i den finansielle sektor og, hvor det er relevant, etableringstype, hvis den pågældende operatør eller dennes filialer, agenter eller distributører er berørt af den væsentlige svaghed eller den trufne foranstaltning

c)

såfremt operatøren i den finansielle sektor er en del af en koncern, identifikation af moderselskabet for operatøren i den finansielle sektor i Unionen og moderselskabet for operatøren i den finansielle sektor

d)

såfremt oplysningerne indgives af Den Europæiske Centralbank, Den Fælles Afviklingsinstans eller den nationale indberettende myndighed i den medlemsstat, hvor operatøren i den finansielle sektor har sit vedtægtsmæssige hjemsted, eller, hvis operatøren i den finansielle sektor ikke har noget vedtægtsmæssigt hjemsted, i den medlemsstat, hvor hovedkontoret for operatøren i den finansielle sektor er beliggende, identifikation af de lande, hvor operatøren i den finansielle sektor driver filialer og datterselskaber eller opererer gennem et netværk af agenter og distributører

e)

såfremt operatøren i den finansielle sektor er en del af en koncern, oplysninger om ethvert kollegium, som den indberettende myndighed deltager i, herunder oplysninger om medlemmer, observatører og om det pågældende kollegiums ledende tilsynsførende, koncerntilsynsførende, konsoliderende tilsynsmyndighed eller koncernafviklingsmyndighed

f)

såfremt der er et centralt kontaktpunkt som omhandlet i artikel 45, stk. 9, i direktiv (EU) 2015/849, og, i så fald dets identifikation

g)

enhver anden relevant oplysning om operatøren, filialen, agenten eller distributøren i den finansielle sektor, herunder oplysninger om, hvorvidt:

i)

operatøren i den finansielle sektor i øjeblikket ansøger om tilladelse eller er i færd med at ansøge om at udøve sin etableringsret, sin ret til fri udveksling af tjenesteydelser eller andre tilladelser vedrørende tilsyn

ii)

operatøren i den finansielle sektor er genstand for en hvilken som helst af de procedurer, der er fastsat i direktiv 2014/59/EU, eller andre insolvensprocedurer

h)

oplysninger om omfanget af aktiviteterne hos operatøren i den finansielle sektor og dennes filialer, herunder, hvis det er relevant:

i)

oplysninger om årsregnskaber

ii)

antal kunder

iii)

omfanget af aktiver under forvaltning

iv)

for et forsikringsselskab, dets årlige tegnede bruttopræmie (GWP) og omfanget af dets forsikringsmæssige hensættelser

v)

for en forsikringsformidler omfanget af de formidlede præmier

vi)

for betalingsinstitutter og e-pengeinstitutter distributionsnetværkets størrelse, herunder oplysninger om antallet af agenter og distributører.

2.   Ud over de oplysninger, der er omhandlet i stk. 1, indsender tilsynsmyndighederne alle følgende oplysninger til databasen:

a)

resultatet af den risikovurdering, der er fastlagt på grundlag af enhver relevant tilsynsproces, herunder de tilsynsprocesser, der er omhandlet i artikel 97 i direktiv 2013/36/EU og artikel 36 i Europa-Parlamentets og Rådets direktiv 2009/138/EF (12), og af alle andre lignende processer, der påvirkes af den eksponering, som operatøren i den finansielle sektor eller dennes filialer har for risikoen for hvidvask af penge eller finansiering af terrorisme, herunder på områderne intern ledelse, forretningsmodel, operationel risiko, likviditet og kreditrisiko

b)

enhver negativ endelig vurdering af eller afgørelse om en ansøgning om tilladelse som operatør i den finansielle sektor, herunder hvis et medlem af ledelsesorganet ikke opfylder kravene til egnethed og hæderlighed, og herunder hvis en sådan vurdering eller afgørelse er baseret på hvidvask af penge eller finansiering af terrorisme.

Enhver indberetning om fysiske personer med henblik på litra b) foretages i overensstemmelse med bilag II.

3.   AML/CFT-myndighederne forelægger for EBA ud over de oplysninger, der er omhandlet i stk. 1, risikoprofilen vedrørende hvidvask af penge og finansiering af terrorisme for operatøren i den finansielle sektor og dens filialer sammen med tilgængelige oplysninger om risikoprofilen vedrørende hvidvask af penge og finansiering af terrorisme for agenter og distributører under anvendelse af kategorierne i bilag III.

Artikel 6

Oplysninger om væsentlige svagheder

De indberettende myndigheder giver EBA alle følgende oplysninger om væsentlige svagheder:

a)

den type væsentlig svaghed, der er omhandlet i artikel 2, stk. 1

b)

årsagen til, at den rapporterende myndighed anser svagheden for væsentlig

c)

en beskrivelse af den væsentlige svaghed

d)

den tilsvarende situation, hvor den væsentlige svaghed er opstået, jf. bilag I

e)

tidsforløbet i forbindelse med den væsentlige svaghed

f)

oprindelsen af oplysningerne om den væsentlige svaghed

g)

det AML/CFT-relaterede krav, som den væsentlige svaghed vedrører

h)

den type produkter, tjenesteydelser eller aktiviteter, i forbindelse med hvilke operatøren i den finansielle sektor er blevet meddelt tilladelse, og som er berørt af den væsentlige svaghed

i)

om den væsentlige svaghed vedrører operatøren i den finansielle sektor alene, dens filial, dens agent eller distributør samt eventuelle grænseoverskridende indvirkninger af den væsentlige svaghed

j)

om oplysninger om den væsentlige svaghed er blevet meddelt et kollegium, der er oprettet for den koncern, som operatøren i den finansielle sektor tilhører og, hvis de endnu ikke er meddelt, årsagen hertil

k)

for værtslandets AML/CFT-myndigheder, om oplysningerne om den væsentlige svaghed er blevet meddelt hjemlandets AML/CFT-myndighed eller meddelt det centrale kontaktpunkt, der er omhandlet i artikel 45, stk. 9, i direktiv (EU) 2015/849, hvis det er relevant, og, hvis de endnu ikke er meddelt, årsagen hertil

l)

om den væsentlige svaghed synes at være en iboende del af udformningen af det pågældende produkt, den pågældende tjenesteydelse eller aktivitet

m)

om den væsentlige svaghed synes at være knyttet til specifikke fysiske personer, hvad enten der er tale om en kunde, en reel ejer, et medlem af ledelsesorganet eller en indehaver af nøglefunktioner, herunder årsagerne til, at den indberettende myndighed mener, at den pågældende fysiske person synes at være knyttet til den væsentlige svaghed

n)

oplysninger af kontekstuel art eller baggrundsoplysninger med hensyn til den væsentlige svaghed, hvis de er kendt af den indberettende myndighed, herunder:

i)

om den væsentlige svaghed er knyttet til et specifikt område, der er relevant for hvidvask af penge eller finansiering af terrorisme, og som EBA allerede har identificeret

ii)

for AML/CFT-myndighederne, om den væsentlige svaghed er tegn på en ny risiko hvad angår hvidvask af penge eller finansiering af terrorisme

iii)

om den væsentlige svaghed er knyttet til anvendelsen af ny teknologi, og i bekræftende fald en kort beskrivelse af denne nye teknologi.

Med henblik på litra m) gives alle oplysninger om fysiske personer i overensstemmelse med bilag II.

Artikel 7

Oplysninger om trufne foranstaltninger

De indberettende myndigheder giver EBA alle følgende oplysninger om trufne foranstaltninger:

a)

en henvisning til den væsentlige svaghed, i forbindelse med hvilken foranstaltningen er truffet, og, hvor det er relevant, enhver ajourføring af de oplysninger, der er afgivet i henhold til artikel 6

b)

datoen for, hvornår foranstaltningen er truffet

c)

foranstaltningens art, dens interne referencenummer og link til den, hvis offentliggjort

d)

fuldstændige oplysninger om de juridiske og fysiske personer, over for hvilke foranstaltningen blev indført

e)

en beskrivelse af foranstaltningen, herunder dens retsgrundlag

f)

foranstaltningens status, herunder om der er klaget over foranstaltningen

g)

om og hvordan foranstaltningen er blevet offentliggjort, herunder begrundelsen for eventuel anonym offentliggørelse, udsættelse af offentliggørelse eller manglende offentliggørelse

h)

alle oplysninger, der er relevante for at afhjælpe den væsentlige svaghed, som foranstaltningen vedrører, herunder foranstaltninger der er planlagt eller truffet med henblik på en sådan afhjælpning, og eventuelle yderligere forklaringer, der er nødvendige for afhjælpningsprocessen, og den relevante tidsplan for, hvornår afhjælpning kan forventes

i)

om hvorvidt oplysninger om foranstaltningen er blevet meddelt et kollegium, der er oprettet for den koncern, hvortil operatøren i den finansielle sektor hører og, hvis de endnu ikke er meddelt, årsagen hertil

j)

for værtslandets AML/CFT-myndigheder, om oplysninger om foranstaltningen er blevet meddelt hjemlandets kompetente AML/CFT-myndighed og, hvis de endnu ikke er meddelt, årsagen hertil.

Med henblik på litra d) gives alle oplysninger om fysiske personer i overensstemmelse med bilag II.

Artikel 8

Tidsfrister og forpligtelse til at levere ajourføring

1.   De indberettende myndigheder giver EBA alle oplysninger om væsentlige svagheder og foranstaltninger uden unødigt ophold.

2.   De indberettende myndigheder giver EBA oplysninger om væsentlige svagheder, uanset om der er truffet foranstaltninger som reaktion på denne væsentlige svaghed. Desuden indgiver værtslandets AML/CFT-myndigheder disse oplysninger, uanset om der er givet meddelelse herom til AML/CFT-myndigheden i hjemlandet.

3.   De indberettende myndigheder sikrer, at oplysninger, de afgiver til EBA, er nøjagtige, fuldstændige, hensigtsmæssige og ajourførte.

4.   Hvis EBA fastslår, at de fremlagte oplysninger ikke er nøjagtige, fuldstændige, tilstrækkelige eller ajourførte, giver de indberettende myndigheder efter anmodning fra EBA alle yderligere eller efterfølgende oplysninger uden unødigt ophold.

5.   De indberettende myndigheder giver rettidigt EBA alle de oplysninger, der er nødvendige for at holde EBA underrettet om enhver efterfølgende udvikling i forbindelse med de afgivne oplysninger, herunder oplysninger om den konstaterede væsentlige svaghed eller den foranstaltning, der er truffet, og afhjælpningen heraf.

Artikel 9

Analyse af de oplysninger, som EBA har modtaget

1.   EBA analyserer de modtagne oplysninger i overensstemmelse med denne forordning ud fra en risikobaseret tilgang.

2.   EBA kan, hvor det er relevant, kombinere oplysninger indgivet i henhold til denne forordning med alle andre oplysninger, som EBA råder over, herunder oplysninger, der er videregivet til EBA af enhver fysisk eller juridisk person, herunder den type oplysninger, der er anført i bilag II.

3.   ESMA og EIOPA afgiver efter anmodning EBA alle yderligere oplysninger, der er nødvendige for analysen af de oplysninger, der er modtaget i overensstemmelse med denne forordning. Hvis de yderligere oplysninger omfatter personoplysninger, afgives disse oplysninger under anvendelse af kategorierne i bilag II.

4.   EBA bestræber sig på at gøre brug af de oplysninger, der modtages i overensstemmelse med denne forordning, ved udførelsen af sine opgaver, jf. forordning (EU) nr. 1093/2010, herunder alle følgende oplysninger, for at:

a)

foretage analyser på et samlet grundlag:

i)

underbygge den udtalelse, der er omhandlet i artikel 6, stk. 5, i direktiv (EU) 2015/849

ii)

udføre de risikovurderinger, der er omhandlet i artikel 9a, stk. 5, i forordning (EU) 1093/2010

b)

besvare anmodninger fra indberettende myndigheder om oplysninger om operatører i den finansielle sektor, der er relevante for disse myndigheders tilsynsaktiviteter med hensyn til forebyggelse af anvendelse af det finansielle system til hvidvask af penge eller til finansiering af terrorisme, jf. artikel 9a, stk. 3, i forordning (EU) nr. 1093/2010

c)

underrette om de anmodninger om efterforskning, der er omhandlet i artikel 9b i forordning (EU) 1093/2010

d)

videregive oplysninger på eget initiativ til indberettende myndigheder, der er relevante for tilsynsaktiviteterne, jf. artikel 10, stk. 1, litra b)

e)

meddele EIOPA og ESMA oplysninger, der er analyseret i overensstemmelse med denne forordning, herunder oplysninger om individuelle operatører i den finansielle sektor og om fysiske personer i overensstemmelse med bilag II, enten på eget initiativ eller efter anmodning fra EIOPA eller ESMA med en begrundelse for, hvorfor disse oplysninger er nødvendige for udførelsen af deres opgaver som fastsat i henholdsvis forordning (EU) nr. 1094/2010 og forordning (EU) nr. 1095/2010.

Artikel 10

Tilrådighedsstillelse af oplysninger for de indberettende myndigheder

1.   EBA giver de indberettende myndigheder de oplysninger, som den har modtaget i henhold til denne forordning og analyseret i overensstemmelse med artikel 9, i alle følgende situationer:

a)

efter en anmodning fra den indberettende myndighed om oplysninger vedrørende operatører i den finansielle sektor, der er relevante for denne myndigheds tilsynsaktiviteter med hensyn til forebyggelse af anvendelse af det finansielle system til hvidvask af penge eller til finansiering af terrorisme, jf. artikel 9a, stk. 3, i forordning (EU) nr. 1093/2010

b)

på EBA's eget initiativ, herunder i følgende tilfælde på baggrund af en risikobaseret tilgang:

i)

til den ledende tilsynsmyndighed, koncerntilsynsførende, konsoliderende tilsynsmyndighed eller koncernafviklingsmyndigheden, hvis der er oprettet et kollegium, men oplysningerne ikke er blevet formidlet dertil i overensstemmelse med denne forordnings artikel 6, litra j), og artikel 7, litra i), og EBA anser disse oplysninger for relevante for det pågældende kollegium

ii)

hvis der ikke er oprettet et kollegium, men operatøren i den finansielle sektor er en del af en grænseoverskridende koncern eller har filialer eller driver virksomhed gennem agenter eller distributører i andre lande, og EBA anser oplysningerne for relevante for de myndigheder, der fører tilsyn med sådanne koncernenheder, filialer, agenter eller distributører.

2.   Anmodningen, som omhandlet i stk. 1, litra a), skal indeholde følgende:

a)

identifikation af den anmodende indberettende myndighed og den myndighed, der muliggør den indirekte indgivelse, jf. artikel 12, stk. 4, alt efter hvad der er relevant

b)

identiteten på den operatør i den finansielle sektor, der er berørt af anmodningen

c)

hvorvidt anmodningen vedrører operatøren i den finansielle sektor eller en fysisk person

d)

årsagen til, at oplysningerne er relevante for den anmodende indberettende myndighed og dennes tilsynsaktiviteter med henblik på forebyggelse af anvendelse af det finansielle system til hvidvask af penge eller til finansiering af terrorisme

e)

den påtænkte anvendelse af de ønskede oplysninger

f)

den dato, inden hvilken oplysningerne i givet fald skal være modtaget, og en begrundelse for denne dato

g)

hvorvidt sagen har en hastende karakter og en begrundelse herfor

h)

eventuelle yderligere oplysninger, der kan være til hjælp for EBA under behandlingen af anmodningen, eller som EBA har anmodet om.

3.   Når det drejer sig om fysiske personer, fremsættes de anmodninger, der er omhandlet i stk. 1, litra a), og meddelelse af oplysninger i overensstemmelse med stk. 1, litra b), i henhold til bilag II.

Artikel 11

Sammenhæng med andre meddelelser

1.   Indgivelse af oplysninger fra en AML/CFT-myndighed om en foranstaltning til EBA i overensstemmelse med artikel 7 i denne forordning anses for at være en indgivelse af oplysninger som omhandlet i artikel 62 i direktiv (EU) 2015/849 med hensyn til den pågældende foranstaltning.

2.   En AML/CFT-myndighed eller en tilsynsmyndighed, der indgiver oplysninger i overensstemmelse med denne forordning, angiver sammen med sin indberetning, om den allerede har indgivet en underretning i henhold til artikel 97, stk. 6, i direktiv 2013/36/EU.

Artikel 12

Den praktiske gennemførelse af indsamlingen af oplysninger

1.   De oplysninger, der er omhandlet i artikel 5, 6 og 7, og de anmodninger, der er omhandlet i artikel 9, stk. 4, litra b), og artikel 10, stk. 1, litra a), indgives elektronisk og på engelsk.

2.   Dokumentation, der ikke foreligger på engelsk, indgives på originalsproget ledsaget af et resumé på engelsk.

3.   Hvis driften af en indskudsgarantiordning administreres af en privat enhed, sikrer den udpegede myndighed, der fører tilsyn med ordningen, at den private enhed, der administrerer ordningen, indberetter væsentlige svagheder, der konstateres i forbindelse med dens aktiviteter, til den udpegede myndighed.

4.   Hvis en anden indberettende myndighed end en AML/CFT-myndighed (»myndighed, der foretager indirekte indgivelse«) indgiver oplysninger og anmodninger til EBA og modtager oplysninger fra EBA gennem den AML/CFT-myndighed, der er ansvarlig for tilsynet med den operatør i den finansielle sektor, der er berørt af den væsentlige svaghed i den medlemsstat, hvor den myndighed, der foretager indirekte indgivelse, er etableret (»myndighed, der muliggør indirekte indgivelse«), finder følgende anvendelse:

a)

Den myndighed, der foretager indirekte indgivelse, indgiver oplysninger og anmoder om og modtager oplysninger fra EBA udelukkende gennem den myndighed, der muliggør indirekte indgivelse.

b)

Det ansvar, der ligger hos den myndighed, der muliggør indirekte indgivelse, er begrænset til udelukkende at forelægge EBA alle de oplysninger og anmodninger, som er modtaget af den myndighed, der foretager indirekte indgivelse, og videregive alle disse oplysninger fra EBA til den pågældende myndighed.

c)

Den myndighed, der foretager indirekte indgivelse, er fortsat eneansvarlig for at opfylde sine forpligtelser med hensyn til at indberette væsentlige svagheder og foranstaltninger i overensstemmelse med denne forordning.

d)

Underretninger i henhold til artikel 9a, stk. 3, i forordning (EU) nr. 1093/2010 foretages af EBA for den myndighed, der foretager indirekte indgivelse, gennem den myndighed, der muliggør indirekte indgivelse.

5.   De indberettende myndigheder udpeger en person med et passende ansvarsniveau til at repræsentere myndigheden over for EBA vedrørende indgivelse, anmodning og modtagelse af oplysninger i overensstemmelse med denne forordning og underretter EBA om udpegelsen og om eventuelle ændringer af denne udpegelse. De indberettende myndigheder sikrer, at der afsættes tilstrækkelige ressourcer til deres indberetningsforpligtelser i henhold til denne forordning. De indberettende myndigheder udpeger én eller flere personer som kontaktpunkter for indgivelse af, anmodninger om og modtagelse af oplysninger i henhold til denne forordning og underretter EBA herom. Underretninger i henhold til dette stykke foretages i overensstemmelse med bilag II. De myndigheder, der foretager indirekte indgivelse, sørger for disse underretninger til de myndigheder, der muliggør denne indirekte indgivelse.

6.   For AML/CFT-myndighedens vedkommende skal de supplerende oplysninger, der er omhandlet i artikel 9a, stk. 1, litra a), tredje afsnit, i forordning (EU) nr. 1093/2010, omfatte koncernens aktuelle risikoprofil for eventuel hvidvask af penge eller finansiering af terrorisme og risikovurderingerne for hvidvask af penge eller finansiering af terrorisme for så vidt angår operatøren i den finansielle sektor, dennes filial, agent eller distributør eller koncernen. De indberettende myndigheder giver EBA alle oplysninger eller dokumenter, der ikke er omhandlet i denne forordning, og som er relevante for væsentlige svagheder eller foranstaltninger, med en forklaring på relevansen heraf.

7.   EBA fastsætter og meddeler de indberettende myndigheder tekniske specifikationer, herunder dataudvekslingsformater, repræsentationer, relevante datapunkter og instrukser, adgangsrettigheder til databasen, som de indberettende myndigheder skal overholde, når de indgiver eller modtager oplysninger i overensstemmelse med denne forordning. EBA identificerer under hensyntagen til de indberettende myndigheders forskellige tilsynsaktiviteter, den forventede hyppighed af indgivelser og behovet for at opnå operationel effektivitet og omkostningseffektivitet de indberettende myndigheder, som skal være myndigheder, der foretager indirekte indgivelse i henhold til stk. 4.

Artikel 13

Fortrolig behandling

1.   Med forbehold af bestemmelserne i denne forordning om, hvordan oplysninger analyseres og stilles til rådighed for myndigheder, er oplysninger, der indgives til EBA i overensstemmelse med denne forordning, omfattet af artikel 70, 71 og 72 i forordning (EU) nr. 1093/2010. Oplysninger, som EIOPA og ESMA modtager i overensstemmelse med nærværende forordning, er omfattet af henholdsvis artikel 70, 71 og 72 i forordning (EU) nr. 1094/2010 og artikel 70, 71 og 72 i forordning (EU) nr. 1095/2010.

2.   Medlemmer af de indberettende myndigheders ledelsesorganer og personer, der arbejder for disse myndigheder, eller som har arbejdet for disse myndigheder, selv efter at deres hverv er ophørt, er underlagt krav om tavshedspligt og må ikke videregive oplysninger, der er modtaget i henhold til denne forordning, undtagen i summarisk eller sammenfattet form, men kun således, at individuelle operatører i den finansielle sektor, filialer, agenter, distributører eller andre fysiske personer ikke kan identificeres, uden at dette berører tilfælde, hvor der verserer en sag om straffelovsovertrædelse.

3.   Indberettende myndigheder, der modtager oplysninger i overensstemmelse med nærværende forordning, behandler disse oplysninger fortroligt og anvender dem kun som led i deres tilsynsaktiviteter med hensyn til forebyggelse af anvendelse af det finansielle system til hvidvask af penge eller til finansiering af terrorisme i henhold til de retsakter, der er omhandlet i artikel 1, stk. 2, i forordning (EU) nr. 1093/2010, artikel 1, stk. 2, i forordning (EU) nr. 1094/2010 og artikel 1, stk. 2, i forordning (EU) nr. 1095/2010, herunder i forbindelse med klager over foranstaltninger truffet af disse myndigheder og i retssager vedrørende tilsynsaktiviteter.

4.   Stk. 2 er ikke til hinder for, at en indberettende myndighed videregiver oplysninger, der er modtaget i overensstemmelse med nærværende forordning, til en anden indberettende myndighed eller til en myndighed eller et organ i henhold til de retsakter, der er omhandlet i artikel 1, stk. 2, i forordning (EU) nr. 1093/2010, artikel 1, stk. 2, i forordning (EU) nr. 1094/2010 og artikel 1, stk. 2, i forordning (EU) nr. 1095/2010.

Artikel 14

Databeskyttelse

EBA kan opbevare personoplysninger i en identificerbar form i en periode på op til 10 år fra EBA's indsamling og sletter i så fald personoplysninger ved udløbet af denne periode. Ud fra en årlig vurdering af deres nødvendighed kan personoplysninger slettes inden udløbet af denne maksimumsperiode fra sag til sag.

Artikel 15

Ikrafttræden

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 9. november 2023.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand


(1)   EUT L 331 af 15.12.2010, s. 12.

(2)  Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (EUT L 141 af 5.6.2015, s. 73).

(3)  Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/79/EF (EUT L 331 af 15.12.2010, s. 48).

(4)  Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/77/EF (EUT L 331 af 15.12.2010, s. 84).

(5)  Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).

(6)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(7)  Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(8)  Rådets forordning (EU) nr. 1024/2013 af 15. oktober 2013 om overdragelse af specifikke opgaver til Den Europæiske Centralbank i forbindelse med politikker vedrørende tilsyn med kreditinstitutter (EUT L 287 af 29.10.2013, s. 63).

(9)  Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT L 337 af 23.12.2015, s. 35).

(10)  Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber og om ændring af Rådets direktiv 82/891/EØF og Europa-Parlamentets og Rådets direktiv 2001/24/EF, 2002/47/EF, 2004/25/EF, 2005/56/EF, 2007/36/EF, 2011/35/EU, 2012/30/EU og 2013/36/EU samt forordning (EU) nr. 1093/2010 og (EU) nr. 648/2012 (EUT L 173 af 12.6.2014, s. 190).

(11)  Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 om indskudsgarantiordninger (EUT L 173 af 12.6.2014, s. 149).

(12)  Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) (EUT L 335 af 17.12.2009, s. 1).


BILAG I

TILSVARENDE SITUATIONER

De indberettende myndigheder kan støde på svagheder i følgende situationer:

DEL 1:   AML/CFT-myndigheder

Når de udfører deres tilsynsaktiviteter på stedet og andre steder, vedrørende:

a)

kundekendskabsprocedurer, herunder kunderisikovurderinger vedrørende hvidvask af penge og finansiering af terrorisme, afhængighed af tredjeparter og transaktionsovervågning

b)

indberetning af mistænkelige transaktioner

c)

registrering

d)

interne AML/CFT-systemer og -kontrolforanstaltninger

e)

risikostyringssystem, herunder virksomhedsdækkende risikovurderinger vedrørende hvidvask af penge og finansiering af terrorisme

f)

koncerndækkende politikker og procedurer, herunder politikker for koncernintern udveksling af oplysninger.

DEL 2:   Tilsynsmyndigheder

1.

Under processerne for tilladelse til og vurdering af erhvervelse af kvalificerede andele vedrørende:

a)

analyse af forretningsstrategi og forretningsmodeller og overvejelse vedrørende andre risikoområder, herunder likviditet, hvis det er relevant

b)

vurdering af egnethed og hæderlighed hvad angår ledelsesmedlemmer og indehavere af nøglefunktioner

c)

underretning med henblik på etablering af en filial eller levering af tjenesteydelser i henhold til reglerne om fri etableringsret eller fri levering af tjenesteydelser

d)

aktionærer eller selskabsdeltagere, der besidder kvalificerede andele, eller udelukkende på tidspunktet for tilladelsen, og i givet fald, identiteten af de 20 største aktionærer eller selskabsdeltagere, hvis der ikke er kvalificerede andele

e)

interne ledelsesordninger, herunder aflønningspolitik og -praksis

f)

rammer for intern kontrol, herunder risikostyring, compliance og intern revision

g)

risiko og risikostyring i forbindelse med informations- og kommunikationsteknologi

h)

vurdering af kilderne til indbetaling af kapital på tidspunktet for tilladelse eller kilden til midlerne til køb af den kvalificerede andel.

2.

Når de udfører deres tilsyn, herunder inspektioner på stedet og tilsynsaktiviteter andre steder, vedrørende:

a)

interne ledelsesordninger, herunder aflønningspolitik og -praksis

b)

rammer for intern kontrol, herunder risikostyring, compliance og intern revision

c)

vurdering af egnethed og hæderlighed hvad angår ledelsesmedlemmer og indehavere af nøglefunktioner

d)

vurderingen af underretningerne om påtænkte erhvervelser af kvalificerede andele

e)

operationelle risici, herunder juridiske og omdømmemæssige risici

f)

risiko og risikostyring i forbindelse med informations- og kommunikationsteknologi

g)

forretningsmodeller

h)

likviditetsstyring

i)

outsourcingsordninger og tredjepartsrisikostyring

j)

gennemførelse af procedurerne vedrørende markedsadgang, banklicenser og tilladelser

k)

gennemførelse af tilsynskontrol- og evalueringsprocessen (SREP) tilsynsproces (SRP) eller lignende tilsynsmæssige evalueringer

l)

vurdering af ad hoc-anmodninger, underretninger og ansøgninger

m)

vurdering af, om institutsikringsordninger er støtteberettigede, og overvågning af disse

n)

oplysninger modtaget under det igangværende arbejde for at sikre overholdelse af Unionens tilsynsregler, herunder indsamling af indberetning med henblik på tilsyn

DEL 3:   Udpegede myndigheder

Ved forberedelsen af interventioner fra indskudsgarantiordningen, herunder stresstest og inspektioner på stedet og andre steder, eller ved gennemførelse af en intervention i forbindelse med indskudsgarantiordningen, herunder udbetalinger.

DEL 4:   Afviklingsmyndigheder og Den Fælles Afviklingsinstans

Ved udøvelsen af deres funktioner fra afviklingsplanlægning til gennemførelse.

DEL 5:   Myndigheder for god forretningsskik

Når de udfører deres tilsynsaktiviteter på stedet og andre steder, og navnlig i situationer, hvor de har kendskab til:

a)

at der nægtes adgang til finansielle produkter eller tjenesteydelser af årsager, der har relation til bekæmpelse af hvidvask af penge eller finansiering af terrorisme

b)

at en kontrakt ophæves, eller en tjenesteydelse ophører af årsager, der har relation til bekæmpelse af hvidvask af penge eller finansiering af terrorisme

c)

at der udelukkes kundekategorier, navnlig i de situationer, der er omhandlet i litra a) og b), af årsager, der har relation til bekæmpelse af hvidvask af penge eller finansiering af terrorisme.

DEL 6:   Myndigheder med ansvar for betalingsinstitutter

Navnlig:

1.

under godkendelsesproceduren og i forbindelse med pasordningen

2.

Når de udfører deres tilsynsaktiviteter på stedet og andre steder, herunder især:

a)

med hensyn til betalingsinstitutter og e-pengeinstitutter, også når de udøver deres aktiviteter gennem agenter og distributører

b)

med hensyn til betalingstjenesteudbyderens forpligtelser i henhold til direktiv (EU) 2015/2366, herunder den forpligtelse, som betalingsmodtagerens betalingstjenesteudbydere har, til at stille midler til rådighed for betalingsmodtageren, umiddelbart efter at beløbet er krediteret betalingstjenesteudbyderens konto.

DEL 7:   Enhver anden situation, hvor svagheden er væsentlig.


BILAG II

OPLYSNINGER OM FYSISKE PERSONER

1.   

Oplysninger, der skal afgives i henhold til artikel 5, stk. 2, litra b):

a)

fornavn, efternavn, fødselsdato, bopælsland, nationalitet, stilling hos operatøren i den finansielle sektor eller i en filial

b)

årsager til hvidvask af penge eller finansiering af terrorisme.

2.   

Oplysninger, der skal afgives i henhold til artikel 6, litra m):

a)

kunder eller reelle ejere:

i)

fornavn, efternavn, fødselsdato, bopælsland, nationalitet

ii)

hvorvidt kunden eller den reelle ejer også er eller var medlem af ledelsesorganet eller en person med nøglefunktioner hos operatøren i den finansielle sektor eller i en filial

iii)

hvorvidt kunden eller den reelle ejer direkte eller indirekte besidder eller besad aktier hos operatøren i den finansielle sektor eller i en filial

iv)

hvorvidt kunden af operatøren i den finansielle sektor, af filialen, agenten eller distributøren anses for at udgøre en »høj risiko«

b)

medlemmer af ledelsesorganet eller personer med nøglefunktioner:

i)

fornavn, efternavn, fødselsdato, bopælsland, nationalitet

ii)

stilling hos operatøren i den finansielle sektor eller i filialen

c)

enhver fysisk person, der er omhandlet i punkt 2, litra a) eller b), i dette bilag: årsagen til, at den indberettende myndighed mener, at den fysiske person synes at være forbundet med den væsentlige svaghed.

3.   

Oplysninger, der skal afgives i henhold til artikel 7, litra d):

a)

fornavn, efternavn, fødselsdato, bopælsland, nationalitet

b)

stilling hos operatøren, filialen, agenten eller distributøren eller den rolle, der indtages over for kunden eller den reelle ejer.

4.   

Oplysninger, som en indberettende myndighed skal afgive i henhold til artikel 10, stk. 3, når den fremsætter en anmodning om fysiske personer:

a)

fornavn, efternavn, fødselsdato, nationalitet, bopælsland

b)

i tilfælde hvor det er kendt stillingen eller den rolle, der indtages over for kunden eller den reelle ejer

c)

årsagen til, at oplysningerne om den pågældende person er nødvendige for den anmodende indberettende myndigheds tilsynsaktiviteter med henblik på forebyggelse af anvendelse af det finansielle system til hvidvask af penge eller til finansiering af terrorisme og den eller de påtænkte anvendelser af de ønskede oplysninger.

5.   

EBA's formidling af personoplysninger:

Efter anmodning fra en indberettende myndighed udveksler EBA personoplysninger på de betingelser, der er omhandlet i dette bilags punkt 4, litra c), og på eget initiativ på de betingelser, der er fastsat i artikel 10, stk. 1, litra b), hvis oplysningerne om den pågældende person er nødvendige for den indberettende myndigheds tilsynsaktiviteter med henblik på forebyggelse af anvendelse af det finansielle system til hvidvask af penge eller til finansiering af terrorisme. I begge tilfælde skal oplysningerne udveksles mellem autentificerede brugere, og der skal anvendes sikrede kommunikationskanaler.

6.   

De oplysninger, der skal afgives i medfør af artikel 12, stk. 5, skal indeholde fornavn, efternavn, stilling og forretningskontakt.


BILAG III

RISIKOPROFIL VEDRØRENDE HVIDVASK AF PENGE OG FINANSIERING AF TERRORISME

1.   Profil med mindre betydelig risiko:

Operatøren i den finansielle sektor, filialen, agenten eller distributøren har en profil med mindre betydelig risiko, hvor den iboende risiko er mindre betydelig, og risikoprofilen ikke påvirkes af afbødning, eller hvor den iboende risiko er moderat betydelig eller betydelig, men effektivt afbødes gennem systemer og kontrolforanstaltninger til bekæmpelse af hvidvask af penge og finansiering af terrorisme (AML/CFT).

2.   Profil med moderat betydelig risiko:

Operatøren i den finansielle sektor, filialen, agenten eller distributøren har en profil med moderat betydelig risiko, hvor den iboende risiko er moderat betydelig, og risikoprofilen ikke påvirkes af afbødning, eller hvor den iboende risiko er betydelig eller meget betydelig, men effektivt afbødes gennem systemer og kontrolforanstaltninger til bekæmpelse af hvidvask af penge og finansiering af terrorisme.

3.   Profil med betydelig risiko:

Operatøren i den finansielle sektor, filialen, agenten eller distributøren har en profil med betydelig risiko, hvor den iboende risiko er betydelig, og risikoprofilen ikke påvirkes af afbødning, eller hvor den iboende risiko er meget betydelig, men effektivt afbødes gennem systemer og kontrolforanstaltninger til bekæmpelse af hvidvask af penge og finansiering af terrorisme.

4.   Profil med meget betydelig risiko:

Operatøren i den finansielle sektor, filialen, agenten eller distributøren har en profil med meget betydelig risiko, hvor den iboende risiko er meget betydelig, og på trods af afbødning påvirkes risikoprofilen ikke heraf, eller hvor den iboende risiko er meget betydelig, men ikke effektivt afbødes gennem systemer og kontrolforanstaltninger til bekæmpelse af hvidvask af penge og finansiering af terrorisme.


ELI: http://data.europa.eu/eli/reg_del/2024/595/oj

ISSN 1977-0634 (electronic edition)