–

SIA ”Rodl & Partner”, genom J.-C. Pastille, Rechtsanwalt, och L. Rasnačs, advokāts,

–

Lettlands regering, genom I. Hūna, K. Pommere och V. Soņeca, båda i egenskap av ombud,

–

Europaparlamentet, genom J. Etienne, O. Hrstková Šolcová, M. Menegatti och L. Ruppeka-Rupeika, samtliga i egenskap av ombud,

–

Europeiska unionens råd, genom D. Ancāne, M. Chavrier, I. Gurov och K. Pleśniak, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom L. Havas, A. Sauka och T. Scharf, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artiklarna 13.1 c och d, 14.5, 18, 60.1 och 60.2 i Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 2015, s. 73) samt av punkt 3 b i bilaga III till det direktivet. Begäran avser även giltigheten av artiklarna 14.5 samt 18.1 och 18.3 i samma direktiv.

2

Begäran har framställts i ett mål mellan SIA ”Rodl & Partner” (nedan kallat Rodl & Partner) och Valsts ieņēmumu dienests (den nationella skattemyndigheten, Lettland) (nedan kallad skattemyndigheten) angående en sanktionsavgift som påförts Rodl & Partner för överträdelser av de nationella bestämmelserna om förebyggande av penningtvätt och finansiering av terrorism.

3

Skälen 1, 22, 30, 43 och 66 i direktiv 2015/849 har följande lydelse:

…

…

…

…

4

I artikel 1.1 och 1.2 i direktiv 2015/849 föreskrivs följande:

”1.   Detta direktiv syftar till att förhindra att unionens finansiella system används för penningtvätt och finansiering av terrorism.

2.   Medlemsstaterna ska säkerställa att penningtvätt och finansiering av terrorism förbjuds.”

5

I artikel 5 i direktiv 2015/849 föreskrivs följande:

”För förebyggande av penningtvätt och finansiering av terrorism får medlemsstaterna, inom gränserna för unionsrätten, införa eller behålla strängare regler på det område som omfattas av detta direktiv.”

6

Artikel 7.1 i direktiv 2015/849 har följande lydelse:

”Varje medlemsstat ska vidta lämpliga åtgärder för att identifiera, bedöma, förstå och minska de risker för penningtvätt och finansiering av terrorism som de påverkas av, liksom eventuella farhågor kopplade till skyddet av personuppgifter i detta sammanhang. Den ska uppdatera den riskbedömningen.”

7

I artikel 8.1 och 8.2 i direktiv 2015/849 föreskrivs följande:

”1.   Medlemsstaterna ska se till att ansvariga enheter vidtar lämpliga åtgärder för att identifiera och bedöma riskerna för penningtvätt och finansiering av terrorism, med beaktande av riskfaktorer inbegripet de som rör deras kunder, länder eller geografiska områden, produkter, tjänster, transaktioner eller distributionskanaler. Dessa åtgärder ska stå i proportion till de ansvariga enheternas typ och storlek.

2.   De riskbedömningar som avses i punkt 1 ska dokumenteras, uppdateras och göras tillgängliga för relevanta behöriga myndigheter och berörda självreglerande organ. Behöriga myndigheter får besluta att enskilda dokumenterade riskbedömningar inte krävs, när de specifika risker som är förenade med sektorn är uppenbara och väl kända.”

8

I artikel 11 i direktiv 2015/849 föreskrivs följande:

”Medlemsstaterna ska se till att ansvariga enheter vidtar åtgärder för kundkännedom under följande omständigheter:

…

…”

9

I artikel 13.1 och 13.4 i direktiv 2015/849 föreskrivs följande:

”1.   Åtgärder för kundkännedom ska omfatta följande:

…

…

4.   Medlemsstaterna ska se till att ansvariga enheter för de behöriga myndigheterna eller självreglerande organen kan visa att åtgärderna är lämpliga med hänsyn till de identifierade riskerna för penningtvätt och finansiering av terrorism.”

10

I artikel 14.5 i direktiv 2015/849 föreskrivs följande:

”Medlemsstaterna ska kräva att ansvariga enheter inte bara vidtar åtgärder för kundkännedom gentemot alla nya kunder utan även vid lämpliga tidpunkter gentemot befintliga kunder, efter en riskkänslighetsanalys, bland annat när en kunds relevanta omständigheter förändras.”

11

I artikel 18.1–18.3 i direktiv 2015/849 föreskrivs följande:

”1.   I de fall som avses i artiklarna 19–24 ska medlemsstaterna när de har att göra med fysiska personer eller juridiska enheter som är etablerade i tredjeländer som av kommissionen identifierats som högrisktredjeländer, samt även i andra fall av större risker som medlemsstaterna eller ansvariga enheter konstaterat, kräva att de ansvariga enheterna vidtar skärpta åtgärder för kundkännedom för att hantera och minska sådana risker på lämpligt sätt.

…

2.   Medlemsstaterna ska kräva att ansvariga enheter i möjligaste mån granskar bakgrunden till och syftet med alla komplexa och ovanligt stora transaktioner, och alla ovanliga transaktionsmönster som inte förefaller ha något ekonomiskt eller lagligt syfte. Ansvariga enheter ska särskilt skärpa övervakningen av affärsförbindelsen för att avgöra om dessa transaktioner eller aktiviteter framstår som misstänkta.

3.   Vid bedömningen av riskerna för penningtvätt och finansiering av terrorism ska medlemsstater och ansvariga enheter åtminstone beakta situationer med potentiellt högre risk enligt bilaga III.”

12

Artikel 40.1 första stycket i direktiv 2015/849 har följande lydelse:

”Medlemsstaterna ska kräva att ansvariga enheter lagrar följande handlingar och uppgifter i enlighet med nationell rätt för att FIU eller andra behöriga myndigheter ska kunna förebygga, upptäcka och utreda möjlig penningtvätt eller finansiering av terrorism:

13

I artikel 60.1 och 60.2 i direktiv 2015/849 föreskrivs följande:

”1.   Medlemsstaterna ska se till att de behöriga myndigheterna på sin officiella webbplats offentliggör beslut som inte kan överklagas om administrativa sanktioner eller åtgärder till följd av överträdelser av de nationella bestämmelser som införlivar detta direktiv omedelbart efter det att den person som påförts en sanktion har informerats om beslutet. Offentliggörandet ska åtminstone innehålla information om vilken typ och art av överträdelse det rör sig om och vilka personer som är ansvariga. Medlemsstaterna ska inte vara skyldiga att tillämpa detta stycke på beslut om föreskrivande av åtgärder av utredningskaraktär.

…

2.   Om medlemsstaterna tillåter offentliggörandet av beslut som kan överklagas ska de behöriga myndigheterna omedelbart på sin officiella webbplats också offentliggöra sådan information och eventuell senare information om resultatet av överklagandet. Dessutom ska alla beslut om ogiltigförklarande av ett tidigare beslut om påförande av en administrativ sanktion eller föreskrivande av en åtgärd offentliggöras.”

14

Bilaga III till direktiv 2015/849 innehåller en ”icke uttömmande förteckning över faktorer och typer av indikatorer på potentiellt högre risk enligt artikel 18.3”. Denna förteckning omfattar tre kategorier, nämligen ”kundriskfaktorer”, ”riskfaktorer för produkter, tjänster, transaktioner eller distributionskanaler” och ”geografiska riskfaktorer”. Bland de sistnämnda riskfaktorerna återfinns, i punkt 3 b i samma bilaga, ”länder som enligt trovärdiga källor har betydande korruption eller annan [brottslighet]”.

15

Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums (lagen om åtgärder för att förhindra penningtvätt, finansiering av terrorism och spridning [av massförstörelsevapen]) av den 17 juli 2008 (Latvijas Vēstnesis, 2008, nr 116) ändrades bland annat i syfte att införliva direktiv 2015/849 med den lettiska rättsordningen.

16

I denna lag, i den lydelse som är tillämplig på omständigheterna i det nationella målet (nedan kallad penningtvättslagen), föreskrivs följande i artikel 6.1 och 6.1.2:

”(1)   Ansvariga enheter ska, utifrån den typ av verksamhet de bedriver, genomföra och dokumentera riskbedömningar avseende penningtvätt och finansiering av terrorism i syfte att identifiera, utvärdera, förstå och hantera de risker som är förknippade med deras verksamhet och kunder. På grundval av dessa riskbedömningar ska varje ansvarig enhet inrätta ett internt kontrollsystem för att förebygga penningtvätt och finansiering av terrorism, däribland genom att utarbeta och dokumentera den policy och de relevanta förfaranden som godkänts av dess styrelse, om en sådan har utsetts, eller annat ledningsorgan inom enheten.

…

(12)   När en ansvarig enhet bedömer risken för penningtvätt och finansiering av terrorism och utarbetar det interna kontrollsystemet ska den åtminstone beakta följande riskpåverkande omständigheter:

17

I artikel 8.2 i penningtvättslagen anges följande:

”Ansvariga enheter ska regelbundet, dock minst en gång var artonde månad, utvärdera hur effektivt deras interna kontrollsystem fungerar, däribland genom att undersöka och uppdatera riskbedömningen avseende penningtvätt och finansiering av terrorism av kunderna, deras bosättningsland (etableringsland), deras ekonomiska eller personliga verksamhet, de tjänster och varor som används och deras försörjningskedjor samt av de transaktioner som utförs och, om så krävs, vidta åtgärder för att förbättra det interna kontrollsystemets effektivitet, däribland [åtgärder för] översyn av policyn och förfarandena för att förebygga penningtvätt och finansiering av terrorism.”

18

Rodl & Partner är ett bolag med säte i Lettland, vars verksamhet består i att tillhandahålla tjänster inom redovisning, bokföring och revision samt skatterådgivning. Bolaget har ställning som ”ansvarig enhet” i den mening som avses i penningtvättslagen.

19

Under perioden den 3 april–6 juni 2019 genomförde skattemyndigheten, som ett led i arbetet med att förebygga penningtvätt, en kontroll av Rodl & Partner. Kontrollen ledde till att skattemyndigheten utarbetade en preliminär rapport den 3 april 2019 och därefter en slutlig rapport den 6 juni 2019. Av rapporten av den 3 april 2019 framgick att det interna kontrollsystem som hade inrättats av Rodl & Partner för att uppfylla kraven i penningtvättslagen uppvisade vissa brister. Vidare framgick att Rodl & Partner, i egenskap av ansvarig enhet, inte hade uppfyllt kraven i artikel 6.1 i denna lag, eftersom bolaget hade underlåtit att genomföra och dokumentera riskbedömningar avseende penningtvätt och finansiering av terrorism när det gällde två av dess kunder, närmare bestämt stiftelsen IT izglītības fonds och RBA Consulting, SIA. Skattemyndigheten ansåg nämligen att dessa två kunders riskprofil för penningtvätt och finansiering av terrorism var hög och att Rodl & Partner därför borde ha vidtagit skärpta åtgärder för kundkännedom gentemot dem.

20

Beträffande stiftelsen IT izglītības fonds anförde skattemyndigheten, för det första, att stiftelsen var en icke-statlig organisation som i sig var särskilt sårbar och kunde användas i olagliga syften för att finansiera terrorism. Skattemyndigheten hänvisade därvid till en rapport som publicerats av Noziedzīgi iegūtu līdzekļu legalizācijas novēršanas dienests (myndigheten för förebyggande av penningtvätt, Lettland). För det andra anförde skattemyndigheten att stiftelsens styrelseordförande, som den 7 mars 2017 hade undertecknat stiftelseurkunden, var medborgare i Ryska federationen, ett högrisktredjeland för korruption. För det tredje anförde skattemyndigheten att stiftelsen angav det lettiska samhället i sin helhet som verklig huvudman, vilket stred mot gällande nationell lagstiftning.

21

Beträffande RBA Consulting konstaterade skattemyndigheten att detta bolag hade genomfört finansiella transaktioner med ett bolag som till största delen ägdes av ett bolag med säte i Ryska federationen. Vidare anförde skattemyndigheten att den hade begärt att Rodl & Partner skulle inkomma med en kopia av det avtal som låg till grund för transaktionerna, men att bolaget inte hade efterkommit denna begäran, och som skäl för detta angett att det hade tagit del av avtalet i original i RBA Consultings lokaler.

22

Genom beslut av den 11 juli 2019 ålade skattemyndighetens direktör Rodl & Partner att betala en sanktionsavgift på 3000 euro för överträdelser av penningtvättslagen i samband med bolagets kundrelationer med stiftelsen IT izglības fonds och RBA Consulting. I den slutliga inspektionsrapporten av den 6 juni 2019 konstaterades däremot att bristerna i det interna kontrollsystemet hade rättats till och bolaget ansågs därför inte ha begått någon lagöverträdelse i det avseendet. Den 11 augusti 2019 offentliggjorde skattemyndigheten på sin webbplats uppgifter om de överträdelser av penningtvättslagen som Rodl & Partner hade begått, i enlighet med vad som fastställts i sanktionsbeslutet.

23

Rodl & Partner begärde omprövning av sanktionsbeslutet, men skattemyndighetens generaldirektör fann i omprövningsbeslut av den 13 november 2019 inte skäl att ändra det.

24

Den 13 december 2019 överklagade Rodl & Partner omprövningsbeslutet till den hänskjutande domstolen, Administratīvā rajona tiesa (Regionala distriktsdomstolen, Lettland), och yrkade att det skulle upphävas och att skattemyndigheten skulle förpliktas att avlägsna de på myndighetens webbplats offentliggjorda uppgifterna om sanktionsavgiften som bolaget hade påförts.

25

Den hänskjutande domstolen har i sin begäran om förhandsavgörande anfört följande. För det första följer det varken av penningtvättslagen eller av direktiv 2015/849 att en icke-statlig organisation på grund av sin juridiska form utgör ett fall av högre risk i fråga om penningtvätt och finansiering av terrorism, som redan av denna anledning ska bli föremål för skärpta åtgärder för kundkännedom från de ansvariga enheternas sida. På samma sätt gäller att inget av de kriterier för tecken på högre geografisk risk som anges i FATF:s riktlinjer för en riskbaserad metod för revisorer [Guidance for a Risk-based Approach for the Accounting Profession] avser vilket medborgarskap en anställd hos en kund har. Det nu sagda innebär att om skattemyndigheten, i egenskap av nationell tillsynsmyndighet, ansåg att en ansvarig enhet måste vidta skärpta åtgärder för kundkännedom i samtliga fall där kunden är en icke-statlig organisation eller där någon av de anställda hos kunden är medborgare i ett högrisktredjeland för korruption, men inte är kundens verkliga huvudman, i den mening som avses i direktivet, skulle frågan uppkomma huruvida ett sådant krav, som inte föreskrivs i lagen, är alltför långtgående och oproportionerligt och därmed strider mot proportionalitetsprincipen enligt artikel 5 FEU.

26

I det sammanhanget kan det konstateras att Ryska federationen inte är ett högriskland, eftersom det varken förekommer i FATF:s förteckning över högriskländer eller i Europeiska kommissionens förteckning över tredjeländer med brister i sina system för bekämpning av penningtvätt och finansiering av terrorism. Ryska federationen skulle dock kunna betraktas som ett land eller territorium med hög risk för korruption med stöd av punkt 3 b i bilaga III till direktiv 2015/849, vilket den icke-statliga organisationen Transparency International har hävdat.

27

För det andra gäller att en medlemsstat enligt artikel 5 i direktiv 2015/849, såsom den tolkats av EU-domstolen i domen av den 10 mars 2016, Safe Interenvíos (C‑235/14, EU:C:2016:154), får införa strängare bestämmelser för att förhindra penningtvätt och finansiering av terrorism om medlemsstaten anser att det föreligger en sådan risk. Trots detta uppkommer frågan huruvida skattemyndigheten, genom att i det nu aktuella fallet göra bedömningen att den omständigheten att RBA Consulting är affärspartner till ett dotterbolag som till största delen ägs av ett bolag med säte i Ryska federationen utgör en hög riskfaktor, har tillämpat penningtvättslagen på ett oproportionerligt sätt, eftersom det varken i denna lag eller i direktiv 2015/849 föreskrivs någon sådan riskfaktor.

28

På samma sätt uppkommer frågan huruvida skattemyndigheten har överskridit sina befogenheter genom att kräva att Rodl & Partner skulle inkomma med en kopia av det avtal som ingåtts mellan RBA Consulting och nämnda dotterbolag, eftersom varken penningtvättslagen eller direktiv 2015/849 kräver att den ansvariga enheten ska inhämta kopior av sådana handlingar rörande transaktioner.

29

För det tredje kan det konstateras att skattemyndigheten i sitt beslut fann att Rodl & Partner hade underlåtit att uppfylla sina skyldigheter enligt artikel 8.2 i penningtvättslagen, där det anges att den ansvariga enheten regelbundet, dock minst en gång var artonde månad, bland annat ska göra en riskbedömning avseende penningtvätt och finansiering av terrorism av kunderna. Vid tidpunkten för skattemyndighetens kontroll hos Rodl & Partner hade RBA Consulting ännu inte varit kund i 18 månader. Fråga uppkommer således huruvida bestämmelserna i direktiv 2015/849, särskilt artikel 14.5, innebär att den ansvariga enheten är skyldig att tillämpa åtgärder för kundkännedom gentemot befintliga kunder även om det inte går att identifiera någon förändring av deras relevanta omständigheter och, i förekommande fall, huruvida sådana åtgärder är rimliga och proportionerliga, eller om de endast gäller för kunder med hög risk för penningtvätt eller finansiering av terrorism.

30

För det fjärde kan det konstateras att de uppgifter om Rodl & Partners överträdelser av penningtvättslagen som skattemyndigheten offentliggjort på sin webbplats innehöll felaktigheter. Detta föranleder ett behov av att få klarhet kring tolkningen av artikel 60.1 och 60.2 i direktiv 2015/849.

31

Det är mot denna bakgrund som Administratīvā rajona tiesa (Regionala distriktsdomstolen) har beslutat att vilandeförklara målet och ställa följande frågor till EU-domstolen:

32

Den hänskjutande domstolen har ställt den första och den tredje frågan, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 18.1 och 18.3 i direktiv 2015/849, jämförd med punkt 3 b i bilaga III till samma direktiv, ska tolkas på så sätt att en ansvarig enhet är skyldig att automatiskt beteckna en kund som en högriskkund och följaktligen vidta förstärkta åtgärder för kundkännedom gentemot denna kund, om kunden är en icke-statlig organisation, om en anställd hos kunden är medborgare i ett tredjeland med hög risk för korruption eller om kundens affärspartner, men inte kunden själv, har en koppling till ett sådant tredjeland.

33

EU-domstolen gör följande bedömning. Det ska inledningsvis påpekas att det framgår av titeln på direktiv 2015/849 samt av artikel 1.1 och 1.2 däri att det huvudsakliga målet med direktivet är att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism. (se, analogt, vad gäller Europaparlamentets och rådets direktiv 2005/60/EG av den 26 oktober 2005 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism (EUT L 309, 2005, s. 15), dom av den 2 september 2021, LG och MH (Självtvätt), C‑790/19, EU:C:2021:661, punkt 68 och där angiven rättspraxis; se, för ett liknande resonemang, dom av den 6 oktober 2021, ECOTEX BULGARIA, C‑544/19, EU:C:2021:803, punkt 44).

34

Bestämmelserna i direktiv 2015/849 är av förebyggande karaktär och syftar till att enligt en riskbaserad metod inrätta ett antal förebyggande och avskräckande åtgärder för att effektivt bekämpa penningtvätt och finansiering av terrorism (se, analogt, dom av den 2 september 2021, LG och MH (Självtvätt), C‑790/19, EU:C:2021:661, punkt 69 och där angiven rättspraxis), för att förhindra, såsom framgår av skäl 1 i direktivet, att flöden av pengar från olaglig verksamhet kan skada den finansiella sektorns integritet, stabilitet och anseende och utgöra ett hot mot såväl unionens inre marknad som internationell utveckling.

35

Såsom generaladvokaten har påpekat i punkt 33 i sitt förslag till avgörande, och såsom framgår av artiklarna 6–8 i direktiv 2015/849, förutsätter den riskbaserade metoden en riskbedömning som, inom ramen för det system som inrättats genom direktivet, ska genomföras på tre nivåer, det vill säga på unionsnivå (av kommissionen), på medlemsstatsnivå och på de ansvariga enheternas nivå. Såsom framgår av skäl 30 i direktivet förutsätter denna riskbedömning bland annat att de ansvariga enheterna vidtar lämpliga åtgärder för kundkännedom gentemot den berörda kunden. Enligt EU-domstolens praxis är det utan en sådan bedömning nämligen inte möjligt för vare sig den berörda medlemsstaten eller, i förekommande fall, för de ansvariga enheterna att avgöra i varje enskilt fall vilka åtgärder som ska tillämpas (se, analogt, dom av den 10 mars 2016, Safe Interenvíos, C‑235/14, EU:C:2016:154, punkt 107).

36

I avsnitt 1–3 i kapitel II i direktiv 2015/849, som har rubriken ”Åtgärder för kundkännedom”, föreskrivs därvid tre typer av åtgärder för kundkännedom, nämligen normala åtgärder, förenklade åtgärder och skärpta åtgärder. Av EU-domstolens praxis följer att dessa åtgärder är avsedda att så långt som möjligt förhindra eller i vart fall försvåra penningtvätt och finansiering av terrorism och att detta ska ske genom att man på alla stadier som sådan verksamhet kan omfatta sätter upp hinder för penningtvättare och finansiärer av terrorism (se, analogt, dom av den 2 september 2021, LG och MH (Självtvätt) (C‑790/19, EU:C:2021:661, punkt 69 och där angiven rättspraxis).

37

Vad beträffar skärpta åtgärder för kundkännedom, vilka är de enda som omfattas av den första och den tredje frågan, ska det påpekas att det i artikel 18.1 i direktiv 2015/849 nämns exempel på situationer där det föreligger en högre risk för penningtvätt och finansiering av terrorism i vilka medlemsstaterna och som kräver att de ansvariga enheterna tillämpar skärpta åtgärder för kundkännedom för att på ett lämpligt sätt hantera och begränsa denna risk. Detta innebär att ansvariga enheter ska vidta skärpta åtgärder för kundkännedom i följande tre situationer. För det första ska detta ske i de fall som avses i artiklarna 19–24 i direktivet, för det andra i fall där det är fråga om förbindelser med fysiska personer eller juridiska enheter som är etablerade i tredjeländer som finns med i kommissionens förteckning över högriskländer och för det tredje i andra fall av högre risk som identifierats av medlemsstaterna eller de ansvariga enheterna.

38

Förutom i de situationer som nämns i artikel 18 i direktivet, det vill säga de specifika fall som avses i artiklarna 19–24 i direktiv 2015/849 och fall där det är fråga om förbindelser med fysiska personer eller juridiska enheter som är etablerade i tredjeländer som kommissionen har klassat som högrisktredjeländer, förutsätter således tillämpningen av skärpta åtgärder för kundkännedom, i enlighet med den riskbaserade metoden, att medlemsstaten eller den ansvariga enheten först har identifierat en högre risk för penningtvätt och finansiering av terrorismen. Förutom i nämnda specifika situationer är placering av en kund i en högre risknivå och vidtagande av skärpta kundkännedomsåtgärder med anledning av detta således inte något som ska ske automatiskt.

39

Vad beträffar det nu aktuella fallet framgår det av handlingarna i målet att Rodl & Partners affärsförbindelser med stiftelsen IT izglītības fonds respektive med RBA Consulting inte omfattas av artiklarna 19–24 i direktiv 2015/849. Härtill kommer att Ryska federationen inte finns med i förteckningen över högrisktredjeländer i kommissionens delegerade förordning (EU) 2016/1675 av den 14 juli 2016 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/849 genom identifiering av högrisktredjeländer med strategiska brister (EUT L 254, 2016, s. 1).

40

Av det ovan anförda följer att artikel 18.1 och 18.3 i direktiv 2015/849, jämförd med punkt 3 b i bilaga III till samma direktiv, ska tolkas på så sätt att en ansvarig enhet inte är skyldig att automatiskt beteckna en kund som en högriskkund och följaktligen vidta förstärkta åtgärder för kundkännedom gentemot denna kund enbart av det skälet att kunden är en icke-statlig organisation, att en av de anställda hos kunden är medborgare i ett tredjeland med hög risk för korruption eller att kundens affärspartner, men inte kunden själv, har kopplingar till ett sådant tredjeland.

41

Den hänskjutande domstolen har emellertid påpekat att en medlemsstat, i enlighet med artikel 5 i direktiv 2015/849, får införa strängare bestämmelser för att förhindra penningtvätt och finansiering av terrorism om medlemsstaten anser att det föreligger sådana riskfaktorer som avses i föregående punkt. Den hänskjutande domstolen vill få klarhet i huruvida denna möjlighet för medlemsstaterna kan motivera det beslut som skattemyndigheten i det nu aktuella fallet har fattat avseende Rodl & Partner.

42

Under dessa omständigheter måste det prövas huruvida bestämmelserna i direktiv 2015/849 utgör hinder för att det i en medlemsstats rättsordning föreskrivs en skyldighet för en ansvarig enhet att beakta sådana riskfaktorer vid bedömningen av om skärpta kundkännedomsåtgärder ska vidtas gentemot en kund.

43

I denna del gör EU-domstolen följande bedömning. Affärsförbindelser av det slag som Rodl & Partner ingått med stiftelsen IT izglītības fonds och RBA Consulting kan omfattas av lokutionen ”andra fall av större risker som medlemsstaterna eller ansvariga enheter konstaterat” i artikel 18.1 i direktiv 2015/849.

44

Vid identifiering av sådana ”andra fall av större risker” gäller enligt artikel 18.1 och 18.3 sammantagna att medlemsstaterna och de ansvariga enheterna ska, när de gör den riskbedömning som det ankommer på dem att göra, beakta åtminstone de faktorer och indikatorer för potentiellt högre risk som anges i bilaga III till direktivet. I den icke uttömmande förteckningen i bilaga III över faktorer och indikatorer för en sådan risk anges bland annat kundspecifika riskfaktorer, transaktionsrelaterade riskfaktorer eller geografiska riskfaktorer.

45

Det framgår således såväl av ordalydelsen i artikel 18.1 och 18.3 i direktiv 2015/849 som av det förhållandet att förteckningen i bilaga III till direktivet inte är uttömmande att medlemsstaterna vid införlivandet av detta direktiv har ett stort handlingsutrymme när det gäller hur skyldigheten att föreskriva skärpta kundkännedomsåtgärder bäst ska genomföras samt när det gäller att bestämma både i vilka situationer det föreligger en sådan hög risk och vilka kundkännedomsåtgärder som ska vidtas (se, analogt, dom av den 10 mars 2016, Safe Interenvíos, C‑235/14, EU:C:2016:154, punkt 73).

46

Det ska i detta sammanhang inledningsvis erinras om att direktiv 2015/849 endast innebär en minimiharmonisering, eftersom det i artikel 5 i direktivet anges att medlemsstaterna, inom gränserna för unionsrätten, får införa eller behålla strängare regler, under förutsättning att dessa bestämmelser syftar till att stärka kampen mot penningtvätt och finansiering av terrorism.

47

I det avseendet har EU-domstolen redan slagit fast att uttrycket ”strängare regler” i artikel 5 i direktiv 2015/849 kan gälla inte bara situationer för vilka direktivet föreskriver en viss typ av kundkontroll, utan även andra situationer beträffande vilka medlemsstaterna anser att det föreligger en risk (se, analogt, dom av den 10 mars 2016, Safe Interenvíos, C‑235/14, EU:C:2016:154, punkt 77). Artikel 5 ingår nämligen i avsnitt 1 (”Syfte, tillämpningsområde och definitioner”) i kapitel I (”Allmänna bestämmelser”) i direktiv 2015/849, och den är således tillämplig på alla bestämmelser som omfattas av det område som regleras av direktivet, inbegripet bestämmelserna i avsnitt 3 (”Skärpta åtgärder för kundkännedom”) i kapitel II i direktivet.

48

Det framgår av artikel 5 jämförd med artikel 18.1 och 18.3 i direktiv 2015/849 att medlemsstaterna, bland annat, kan identifiera andra högrisksituationer inom ramen för det handlingsutrymme som artikel 18 ger dem (se, analogt, dom av den 10 mars 2016, Safe Interenvíos, C‑235/14, EU:C:2016:154, punkt 106).

49

Därefter kan det konstateras att det i artikel 5 i direktiv 2015/849 anges att medlemsstaterna är skyldiga att agera ”inom gränserna för unionsrätten”, vilket innebär att de, när de utnyttjar sitt handlingsutrymme enligt artikel 18 i direktivet, särskilt ska iaktta de allmänna principerna i unionsrätten, såsom legalitetsprincipen, rättssäkerhetsprincipen, proportionalitetsprincipen och icke-diskrimineringsprincipen (se, analogt, dom av den 10 mars 2016, Safe Interenvíos, C‑235/14, EU:C:2016:154, punkt 96).

50

Härtill kommer att det i skäl 66 i direktiv 2015/849 anges att i enlighet med artikel 21 i stadgan, som förbjuder all diskriminering, ska medlemsstaterna säkerställa att direktivet genomförs utan diskriminering vid riskbedömningar inom ramen för åtgärder för kundkännedom.

51

I det avseendet kan först följande konstateras. Såsom generaladvokaten har påpekat i punkterna 55 och 56 i sitt förslag till avgörande måste det tas hänsyn till att både ekonomiska förbindelser och brottslig verksamhet är av dynamisk karaktär. Detta innebär att unionsrätten, särskilt legalitetsprincipen och rättssäkerhetsprincipen, inte utgör hinder mot att det i nationella lagar på ett icke uttömmande sätt anges vilka faktorer som ska beaktas för att bedöma om risken för penningtvätt eller finansiering av terrorism är hög, under förutsättning att dessa faktorer därefter preciseras i föreskrifter som inte nödvändigtvis behöver ha form av lag, men som ska offentliggöras på lämpligt sätt.

52

För det andra gäller att nämnda högriskfaktorer dels inte får utformas på ett sådant sätt att de går utöver vad som är nödvändigt för att uppnå målet att bekämpa penningtvätt och finansiering av terrorism, dels inte får ge upphov till diskriminering.

53

För det tredje ska det påpekas att det av artikel 7.1 i direktiv 2015/849 framgår att medlemsstaterna, utifrån förhållandena i varje enskild stat, är utsatta för skilda typer av risker för penningtvätt och finansiering av terrorism. Det ankommer således på varje medlemsstat att fastställa den skyddsnivå som den anser vara lämplig i förhållande till den identifierade risken för penningtvätt eller finansiering av terrorism (se, analogt, dom av den 10 mars 2016, Safe Interenvíos, C‑235/14, EU:C:2016:154, punkt 105).

54

Vad beträffar det nu aktuella fallet och den potentiella riskfaktor som är kopplad till kundens juridiska form, framgår det av beslutet om hänskjutande att det i artikel 6.1.2 i penningtvättslagen föreskrivs att en av de omständigheter som den ansvariga enheten ska beakta vid bedömningen av riskerna för penningtvätt och finansiering av terrorism när det gäller en kund är ”kundrisk som är kopplad till kundens juridiska form”. Vidare har den lettiska regeringen i sitt skriftliga yttrande angett följande. Det framgår av en rapport som publicerades år 2019 av myndigheten för förebyggande av penningtvätt att icke-statliga organisationer är särskilt sårbara för penningtvätt och finansiering av terrorism, eftersom 94 procent av de icke-statliga organisationer som är registrerade i det lettiska handelsregistret inte hade angett vilken slags verksamhet de bedriver eller angett att de tillhör kategorin ”sammanslutningar eller stiftelser vars verksamhet inte omfattas av något av de på förhand fastställda verksamhetsområdena”. Av detta kan den slutsatsen dras att en enhet som bedrivs i den juridiska formen icke-statlig organisation ska betraktas som en högriskfaktor i samband med riskbedömningar.

55

Vad beträffar den potentiella riskfaktor som har att göra med att en kund till en ansvarig enhet har en koppling till Ryska federationen har den lettiska regeringen i sitt skriftliga yttrande och vid förhandlingen angett följande. Det framgår av en nationell rapport som offentliggjorts på skattemyndighetens webbplats samt av offentliggjorda riktlinjer att Lettland, på grund av dess geografiska närhet till Ryska federationen och dess betydande ekonomiska relationer med detta land, i praktiken är utsatt för risken att dess ekonomi används för att tvätta pengar från Ryska federationen, som ju enligt Transparency International är ett högriskland för korruption.

56

EU-domstolen gör i denna del följande bedömning. Av punkt 3 b i bilaga III till direktiv 2015/849 framgår att en av de geografiska faktorer som tyder på potentiellt högre risk är den omständigheten att det aktuella landet enligt trovärdiga källor har betydande korruption eller annan brottslighet.

57

Med förbehåll för den prövning som det ankommer på den hänskjutande domstolen, som är ensam behörig att tolka och tillämpa nationell rätt, att göra förefaller det således som om det enligt lettisk rätt anses att en icke-statlig organisations juridiska form och den omständigheten att en kund till en ansvarig enhet har en koppling till Ryska federationen utgör faktorer som tyder på potentiellt högre risk som den ansvariga enheten är skyldig att beakta vid den riskbedömning av kunderna som den ska göra. I förekommande fall ankommer det på den hänskjutande domstolen att pröva huruvida Rodl & Partner har beaktat dessa faktorer i samband med sin riskbedömning av de berörda kunderna.

58

Därefter ska det för det första påpekas att det i punkt 3 b i bilaga III till direktiv 2015/849 inte görs någon åtskillnad beroende på om den geografiska riskfaktor som avses i denna punkt är kopplad till kunden eller till kundens affärspartners. För det andra följer det av artikel 8.1 i direktivet, jämförd med dess artikel 18.2 och bilaga III, att de ansvariga enheterna, vid den riskbedömning som de är skyldiga att göra, bland annat ska beakta riskfaktorer som är kopplade till kundernas transaktioner. För det tredje framgår det av nyss nämnda bestämmelser att alla komplexa och ovanligt stora transaktioner och alla ovanliga transaktionsmönster som inte förefaller ha något ekonomiskt eller lagligt syfte kan anses medföra en potentiellt hög risk.

59

Den omständigheten att en kund till en ansvarig enhet genomför transaktioner med kopplingar till ett högrisktredjeland för korruption kan således, i enlighet med direktiv 2015/849, anses vara en faktor som tyder på en potentiellt högre geografisk risk. Det ankommer på den hänskjutande domstolen att pröva huruvida det i den lettiska rättsordningen föreskrivs en sådan riskfaktor och, om så är fallet, huruvida Rodl & Partner borde ha beaktat denna omständighet vid sin riskbedömning av RBA Consulting.

60

Det nu sagda innebär följande. Mot bakgrund av det handlingsutrymme som medlemsstaterna har enligt direktiv 2015/849 kan en icke-statlig organisations juridiska form, den omständigheten att en kund till en ansvarig enhet har en koppling till Ryska federationen eller att denna kund genomfört transaktioner med en affärspartner som har en koppling till Ryska federationen, i förekommande fall, utgöra faktorer som tyder på en potentiellt högre risk, under förutsättning att gränserna för unionsrätten inte överskrids (se punkt 49 ovan) och att särskilt proportionalitetsprincipen och icke-diskrimineringsprincipen iakttas.

61

EU-domstolen delar emellertid den bedömning som generaladvokaten gjort i punkt 86 i sitt förslag till avgörande, nämligen att enbart den omständigheten att en anställd hos en kund – som inte är den verkliga huvudmannen och som inte har en funktion hos kunden som gör det möjligt för honom eller henne att bedriva verksamhet som kan ha samband med penningtvätt – är medborgare i ett högrisktredjeland för korruption inte förefaller utgöra en situation med potentiellt högre risk för penningtvätt eller finansiering av terrorism.

62

På samma sätt kräver proportionalitetsprincipen att endast affärstransaktioner av viss betydelse eller komplexitet, eller avvikande transaktioner, som den ansvariga enhetens kund genomför med en affärspartner etablerad i ett högrisktredjeland för korruption, kan anses utgöra faktorer som tyder på potentiellt högre geografisk risk som de ansvariga enheterna ska beakta vid sin riskbedömning av kunderna.

63

Under dessa omständigheter finner EU-domstolen att artikel 18.1 och 18.3 i direktiv 2015/849, jämförd med dess artikel 5 och bilaga III, inte utgör hinder för att en medlemsstat identifierar andra faktorer som tyder på potentiellt högre risk som de ansvariga enheterna ska beakta vid sin riskbedömning av kunderna. Sådana riskfaktorer kan avse en kunds juridiska form, exempelvis en icke-statlig organisation, varvid de grundläggande rättigheterna ska iakttas fullt ut i enlighet med vad som anges i skäl 43 i direktiv 2015/849, eller att kunden eller dennes affärspartner har en koppling till ett högrisktredjeland för korruption. Detta gäller dock under förutsättning att dessa riskfaktorer föreskrivs i medlemsstatens rättsordning och har offentliggjorts på lämpligt sätt samt att de är förenliga med unionsrätten, särskilt med proportionalitetsprincipen och icke-diskrimineringsprincipen

64

Mot bakgrund av det ovan anförda ska den första och den tredje frågan besvaras enligt följande. Artikel 18.1 och 18.3 i direktiv 2015/849, jämförd med artikel 5 i samma direktiv och punkt 3 b i dess bilaga III, ska tolkas på så sätt att den inte innebär att en ansvarig enhet är skyldig att automatiskt beteckna en kund som en högriskkund och följaktligen vidta förstärkta åtgärder för kundkännedom gentemot denna kund, enbart på grund av att kunden är en icke-statlig organisation, att en anställd hos kunden är medborgare i ett tredjeland med hög risk för korruption eller att kundens affärspartner, men inte kunden själv, har en koppling till ett sådant tredjeland. En medlemsstat får emellertid i nationell rätt identifiera sådana omständigheter som faktorer som tyder på potentiellt högre risk för penningtvätt och finansiering av terrorism som de ansvariga enheterna ska beakta vid sin riskbedömning av kunderna, under förutsättning att dessa faktorer är förenliga med unionsrätten, särskilt med proportionalitetsprincipen och icke-diskrimineringsprincipen.

65

Den andra frågan har ställts för det fall den första frågan besvaras jakande. Eftersom den första frågan besvarats nekande saknas det anledning att besvara den andra frågan.

66

Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 13.1 c och d i direktiv 2015/849 ska tolkas på så sätt att den innebär att en ansvarig enhet, när den vidtar åtgärder för kundkännedom, är skyldig att från en kund inhämta en kopia av ett avtal som kunden har ingått med en tredje part.

67

EU-domstolen gör följande bedömning. För att kunna ge den domstol som har begärt förhandsavgörande ett användbart svar, kan EU-domstolen enligt fast rättspraxis behöva ta hänsyn till unionsrättsliga normer som den nationella domstolen inte har hänvisat till i den fråga som den ställt (dom av den 24 februari 2022, Glavna direktsia Pozharna bezopasnost i zashtita na naselenieto, C‑262/20, EU:C:2022:117, punkt 33 och där angiven rättspraxis).

68

I artikel 11 i direktiv 2015/849, som ingår i avsnitt 1 (”Allmänna bestämmelser”) i kapitel II i direktiv 2015/849, anges i vilka situationer som de ansvariga enheterna är skyldiga att tillämpa normala åtgärder för kundkännedom, eftersom dessa situationer anses innebära en risk för penningtvätt eller finansiering av terrorism (se, analogt, dom av den 10 mars 2016, Safe Interenvíos, C‑235/14, EU:C:2016:154, punkt 60). De ansvariga enheterna är således skyldiga att tillämpa sådana kundkännedomsåtgärder när de i sin riskbedömning av en kund har identifierat en normal risknivå.

69

Vad beträffar själva kundkännedomsåtgärderna som de ansvariga enheterna ska genomföra anges i artikel 13.1 i direktiv 2015/849 ett visst antal åtgärder. Det framgår av artikel 13.1 c att dessa åtgärder omfattar bedömning samt i förekommande fall inhämtande av information om affärsförbindelsens syfte och avsedda natur. Av artikel 13.1 d framgår att de även omfattar fortlöpande övervakning av affärsförbindelsen, inbegripet granskning av transaktioner under förbindelsens hela existens för att säkerställa att de transaktioner som genomförs stämmer överens med den kunskap som den ansvariga enheten har om kunden, dennes affärs- och riskprofil och, om det behövs, varifrån kundens ekonomiska medel kommer, varvid handlingar, uppgifter och upplysningar rörande kontrollen ska hållas aktuella.

70

Enligt direktiv 2015/849 är de ansvariga enheterna dessutom skyldiga att uppfylla vissa krav på bevisning och dokumentation gentemot behöriga nationella myndigheter, både vad gäller de kundriskbedömningar som de gör och huruvida de kundkännedomsåtgärder som de genomför är lämpliga i förhållande till den identifierade risknivån.

71

Det framgår nämligen av artikel 8.2 i direktiv 2015/849 att de riskbedömningar som de ansvariga enheterna ska göra måste dokumenteras, hållas aktuella och göras tillgängliga för behöriga myndigheter och berörda självreglerande organ. I det avseendet anges i skäl 22 i direktivet att den riskbaserade metoden inte är ett alternativ som ger medlemsstaterna och de ansvariga enheterna alltför stor valfrihet, utan den inbegriper användning av ett evidensbaserat beslutsfattande för att mer effektivt kunna hantera de risker för penningtvätt och finansiering av terrorism som unionen och dess aktörer står inför.

72

Vidare anges i artikel 13.4 i direktiv 2015/849 att ansvariga enheter ska kunna visa för behöriga myndigheter eller självreglerande organ att de kundkännedomsåtgärder som de vidtar är lämpliga med hänsyn till de identifierade riskerna för penningtvätt och finansiering av terrorism.

73

Slutligen anges i artikel 40.1 första stycket a i direktiv 2015/849, som ingår i dess kapitel V (”Uppgiftsskydd, lagring av handlingar och statistik”), att de ansvariga enheterna är skyldiga att bevara en kopia av handlingar och uppgifter som är nödvändiga för att uppfylla de skyldigheter att vidta kundkännedomsåtgärder som föreskrivs i kapitel II i direktivet, under fem år efter det att affärsförhållandet med kunden upphörde.

74

Av de ovan, i punkterna 71 och 72, återgivna bestämmelserna framgår vad som gäller om en ansvarig enhet i samband med en riskbedömning identifierar en potentiellt högre risk på grund av att en transaktion som en kund har genomfört med en affärspartner som har en koppling till ett högrisktredjeland för korruption är komplex och ovanligt stor eller inte förefaller ha något ekonomiskt eller lagligt syfte. I sådana fall är den ansvariga enheten skyldig att i samband med den kontroll som utförs av den behöriga nationella myndigheten tillhandahålla denna myndighet en lämplig dokumentation som visar att den har analyserat den aktuella transaktionen och att den har tagit vederbörlig hänsyn till den för att komma fram till sina slutsatser om kundens risknivå.

75

De närmare formerna för hur de ansvariga enheterna ska kunna uppfylla bevis- och dokumentationskraven gentemot behöriga nationella myndigheter framgår dock inte av de ovan i punkterna 71–73 återgivna bestämmelserna, såsom generaladvokaten har påpekat i punkt 107 i sitt förslag till avgörande. De närmare formerna för detta omfattas således av nationell rätt, under förutsättning att unionsrätten iakttas, särskilt proportionalitetsprincipen, principen om skydd för affärshemligheter och principen om skydd av personuppgifter.

76

EU-domstolen instämmer i vad kommissionen har anfört i sitt skriftliga yttrande om att de bevis- och dokumentationskrav som gäller för de ansvariga enheterna inte nödvändigtvis innebär att de måste förete en kopia av ett avtal, eftersom det finns andra lämpliga bevismedel, såsom att upprätta utvärderingsrapporter avseende avtalet som innehåller de uppgifter som behövs för att bedöma den risk som är förenad med transaktionen och affärsförhållandet i fråga.

77

Vad beträffar det nu aktuella fallet kan följande konstateras. Såsom angetts i punkt 21 ovan har Rodl & Partner inte tillhandahållit skattemyndigheten en kopia av det avtal som ingåtts mellan RBA Consulting och ett utomstående bolag som till största delen ägs av ett bolag med säte i Ryska federationen. Den ansvariga enheten har endast angett att den har kunnat ta del av avtalet i original i RBA Consultings lokaler. Det framgår inte heller av handlingarna i målet att Rodl & Partner skulle ha styrkt eller ens påstått att bolaget har inkommit till skattemyndigheten med relevant bevisning om bedömningen av de risker som var förenade med nämnda affärsförbindelse och med de transaktioner som genomfördes inom ramen för den, eller om de kundkännedomsåtgärder som vidtagits i det avseendet.

78

Mot bakgrund av det ovan anförda ska den fjärde frågan besvaras enligt följande. Artikel 13.1 c och d i direktiv 2015/849, jämförd med artiklarna 8.2, 13.4 och 40.1 första stycket a i samma direktiv, ska tolkas på så sätt att den inte innebär att en ansvarig enhet, när den vidtar åtgärder för kundkännedom, är skyldig att från den berörda kunden inhämta en kopia av ett avtal som kunden har ingått med en tredje part. Detta gäller dock under förutsättning att den ansvariga enheten kan tillhandahålla den behöriga nationella myndigheten andra relevanta handlingar som visar dels att den ansvariga enheten har analyserat den transaktion och affärsförbindelse som ingåtts mellan kunden och den tredje parten, dels att den tagit vederbörlig hänsyn till transaktionen och affärsförbindelsen för att kunna vidta nödvändiga kundkännedomsåtgärder mot bakgrund av identifierade risker för penningtvätt och finansiering av terrorism.

79

Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida artikel 14.5 i direktiv 2015/849 ska tolkas på så sätt att en ansvarig enhet är skyldig att tillämpa åtgärder för kundkännedom gentemot befintliga kunder, även i fall där ingen förändring av kundens situation har kunnat identifieras och den frist som föreskrivs i nationell rätt för att göra en ny riskbedömning ännu inte har löpt ut. Den hänskjutande domstolen vill även få klarhet i huruvida denna skyldighet endast är tillämplig på kunder med hög risk för penningtvätt och finansiering av terrorism.

80

Om dessa frågor besvaras jakande vill den hänskjutande domstolen få klarhet i huruvida en sådan tolkning är förenlig med proportionalitetsprincipen.

81

EU-domstolen gör följande bedömning. Enligt fast rättspraxis ska vid tolkningen av en unionsbestämmelse inte bara lydelsen beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (dom av den 2 september 2021, LG och MH (Självtvätt), C‑790/19, EU:C:2021:661, punkt 47 och där angiven rättspraxis).

82

Vad beträffar lydelsen av artikel 14.5 i direktiv 2015/849 kan följande konstateras. Enligt bestämmelsen krävs att ansvariga enheter vidtar kundkännedomsåtgärder inte bara gentemot alla nya kunder, utan även, när så är lämpligt, gentemot befintliga kunder utifrån den riskbedömning som de gör, bland annat när en kunds relevanta omständigheter förändras.

83

Det framgår således av själva lydelsen i denna bestämmelse att de ansvariga enheterna, på grundval av ett riskorienterat förhållningssätt, ska vidta kundkännedomsåtgärder inte bara gentemot sina nya kunder, utan även, när så visar sig lämpligt, gentemot sina befintliga kunder. Av bestämmelsen framgår närmare att en av dessa möjliga lämpliga tidpunkter är när en kunds relevanta omständigheter förändras. Vidare framgår att denna skyldighet för de ansvariga enheterna inte är begränsad enbart till högriskkunder.

84

I det avseendet ska det erinras om att de ansvariga enheterna enligt artikel 8.2 i direktiv 2015/849 särskilt är skyldiga att uppdatera sina bedömningar av riskerna för penningtvätt och finansiering av terrorism.

85

Av det nyss anförda följer att artikel 14.5 i direktiv 2015/849, jämförd med artikel 8.2 i samma direktiv, innebär en skyldighet för den ansvariga enheten att på grundval av en uppdaterad riskbedömning vidta kundkännedomsåtgärder – vid behov skärpta åtgärder – gentemot en befintlig kund, när detta framstår som lämpligt, bland annat när en kunds relevanta omständigheter förändras.

86

Denna tolkning vinner stöd av den allmänna systematik som artikel 14.5 i direktiv 2015/849 ingår i.

87

Bestämmelsen ingår i avsnitt 1 (”Allmänna bestämmelser”) i kapitel II i direktivet, som rör åtgärder för kundkännedom. Av detta följer att den skyldighet som de ansvariga enheterna har enligt artikel 14.5 i direktivet är tillämplig på samtliga kunder, oberoende av vilken risknivå de har placerats i.

88

Det framgår dessutom av lydelsen i artikel 13.1 d i direktiv 2015/849 att de ansvariga enheterna är skyldiga att fortlöpande övervaka sina kunder och de transaktioner som kunderna genomför. Av detta följer, såsom generaladvokaten har påpekat i punkt 119 i sitt förslag till avgörande, att om en ansvarig enhet har kännedom om relevanta omständigheter avseende en befintlig kund – som till exempel affärstransaktioner – som kan påverka den riskbedömning som gjorts av denna kund, så är den skyldig att beakta dessa omständigheter och, när detta framstår som lämpligt, se över riskanalysen och, i förekommande fall, nivån på de kundkännedomsåtgärder som vidtagits gentemot nämnda kund.

89

Slutligen kan det konstateras att den tolkning av artikel 14.5 i direktiv 2015/849 som gjorts i punkt 85 ovan säkerställer att direktivets huvudsyfte uppnås, vilket är att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism (se punkt 33 ovan).

90

Vad beträffar det nu aktuella fallet ankommer det på den hänskjutande domstolen att kontrollera huruvida transaktionerna mellan RBA Consulting och ett bolag som till största delen ägs av ett bolag med säte i Ryska federationen – vilka Rodl & Partner ostridigt kände till – i enlighet med artikel 14.5 i direktiv 2015/849 utgjorde relevanta omständigheter som gjorde det lämpligt att, på grundval av ett riskbaserat förhållningssätt, vidta kundkännedomsåtgärder, vid behov skärpta åtgärder, gentemot RBA Consulting, oberoende av att den i nationell rätt föreskrivna fristen för att göra en ny riskbedömning av denna kund ännu inte hade löpt ut.

91

Mot bakgrund av det ovan anförda ska den femte frågan besvaras enligt följande. Artikel 14.5 i direktiv 2015/849, jämförd med artikel 8.2 i samma direktiv, ska tolkas på så sätt att en ansvarig enhet är skyldig att på grundval av en uppdaterad riskbedömning vidta kundkännedomsåtgärder – vid behov skärpta åtgärder – gentemot en befintlig kund, när detta framstår som lämpligt, bland annat när en kunds relevanta omständigheter förändras. Detta gäller oberoende av att den i nationell rätt föreskrivna fristen för att göra en ny riskbedömning av denna kund ännu inte har löpt ut. Nämnda skyldighet gäller inte enbart kunder med hög risk för penningtvätt och finansiering av terrorism.

92

Mot bakgrund av det nyss anförda saknas det anledning att pröva den alternativa fråga som den hänskjutande domstolen har ställt inom ramen för den femte frågan och som det redogjorts för i punkt 80 ovan.

93

Genom sin sjätte fråga vill den hänskjutande domstolen få klarhet i huruvida artikel 60.1 och 60.2 i direktiv 2015/849 ska tolkas på så sätt att den innebär en skyldighet för den behöriga myndigheten att, när den offentliggör ett sanktionsbeslut som fattats med anledning av en överträdelse av nationella bestämmelser om införlivande av nämnda direktiv, säkerställa att de uppgifter som offentliggörs överensstämmer med uppgifterna i sanktionsbeslutet.

94

Den lettiska regeringen anser att denna fråga inte kan tas upp till prövning och har till stöd för detta anfört följande.

95

För det första är frågan hypotetisk, eftersom artikel 60.1 i direktiv 2015/849 – som den hänskjutande domstolen har begärt tolkning av med sin fråga – avser det fallet att ett beslut som inte får överklagas har offentliggjorts och inte ett fall som det nu aktuella, där ett överklagbart beslut har offentliggjorts, vilket omfattas av artikel 60.2 i direktivet.

96

För det andra har den hänskjutande domstolen inte konstaterat några felaktigheter i de uppgifter som offentliggjorts på skattemyndighetens webbplats, vilket innebär att den sjätte tolkningsfrågan inte har något samband med de faktiska omständigheterna eller saken i det nationella målet och att det därmed inte finns något objektivt behov av ett svar på frågan för att det nationella målet ska kunna avgöras.

97

EU-domstolen gör i denna del följande bedömning. För det första framgår det av beslutet om hänskjutande att Republiken Lettland har införlivat artikel 60.2 i direktiv 2015/849 med nationell rätt och att det i den medlemsstaten således är tillåtet att offentliggöra överklagbara beslut om sanktioner. Det ska dock påpekas att det i nämnda bestämmelse anges att de behöriga myndigheterna omedelbart på sin officiella webbplats ”också” ska offentliggöra information om att det är fråga om ett överklagbart beslut. Därigenom innebär artikel 60.2 en skyldighet för myndigheterna att offentliggöra denna information utöver den information som anges i artikel 60.1, eftersom det i den sistnämnda bestämmelsen föreskrivs att ”[o]ffentliggörandet … åtminstone [ska] innehålla information om vilken typ och art av överträdelse det rör sig om och vilka personer som är ansvariga”. Härav följer att enbart den omständigheten att den hänskjutande domstolen har bett EU-domstolen att tolka både punkt 1 och punkt 2 i artikel 60 i direktiv 2015/849, vilka har samband med varandra mot bakgrund av den sistnämnda punktens ordalydelse, inte innebär att den sjätte frågan är hypotetisk.

98

För det andra har den hänskjutande domstolen angett att det vid tidpunkten för beslutet att begära förhandsavgörande fortfarande fanns felaktigheter i offentliggörandet på skattemyndighetens webbplats av sanktionsbeslutet mot Rodl & Partner.

99

Av det anförda följer att den sjätte frågan kan tas upp till prövning.

100

Vad beträffar offentliggörande av överklagbara beslut ska följande påpekas angående innehållet i sådana beslut. Såsom framgår av den ovan i punkt 97 angivna huvudsakliga innebörden av punkterna 1 och 2 i artikel 60 i direktiv 2015/849 innebär dessa punkter sammantagna att det endast är uppgifter som finns i dessa beslut som får offentliggöras på den behöriga nationella myndighetens webbplats. Detta innebär att uppgifter som inte överensstämmer med uppgifterna i nämnda beslut inte får offentliggöras.

101

Mot bakgrund av det ovan anförda ska den sjätte frågan besvaras enligt följande. Artikel 60.1 och 60.2 i direktiv 2015/849 ska tolkas på så sätt att den innebär en skyldighet för den behöriga myndigheten att, när den offentliggör ett sanktionsbeslut som fattats med anledning av en överträdelse av nationella bestämmelser om införlivande av nämnda direktiv, säkerställa att de uppgifter som offentliggörs överensstämmer med uppgifterna i sanktionsbeslutet.

102

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (första avdelningen) följande: