DOMSTOLENS DOM (sjätte avdelningen)

den 19 juni 2025 ( *1 )

”Begäran om förhandsavgörande – Förhindrande av att det finansiella systemet används för penningtvätt eller finansiering av terrorism – Direktiv (EU) 2015/849 – Artikel 3 led 11 a – Medarbetare till en person i politiskt utsatt ställning – Definition – Artikel 45.1 och 45.8 – Ansvariga enheter inom en koncern – Informationsutbyte inom koncernen – Tillämpning av beslut som fattats av en annan ansvarig enhet inom koncernen – Artikel 14.1 och 14.8 – Fortlöpande kundövervakning som åligger ansvariga enheter – Artikel 11 d – Skärpta åtgärder för kundkännedom ska vidtas av tillhandahållare av speltjänster”

I mål C‑509/23,

angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av administratīvā rajona tiesa (Förvaltningsdomstolen i första instans, Lettland) genom beslut av den 7 augusti 2023, som inkom till domstolen den 8 augusti 2023, i målet

”Laimz” SIA

mot

Izložu un azartspēļu uzraudzības inspekcija,

meddelar

DOMSTOLEN (sjätte avdelningen)

domstolens vice ordförande T. von Danwitz, tillika tillförordnad ordförande på sjätte avdelningen, samt domarna A. Kumin (referent) och I. Ziemele,

generaladvokat: P. Pikamäe,

justitiesekreterare: A. Calot Escobar,

efter det skriftliga förfarandet,

med beaktande av de yttranden som avgetts av:

–	”Laimz” SIA, genom E. Jonins, zvērināta advokāta palīgs,

–	Lettlands regering, genom J. Davidoviča, K. Pommere och I. Romanovska, samtliga i egenskap av ombud,

–	Finlands regering, genom av A. Laine och M. Pere, båda i egenskap av ombud,

–	Europeiska kommissionen, genom G. Goddin, I. Naglis och G. von Rintelen, samtliga i egenskap av ombud,

med hänsyn till beslutet, efter att ha hört generaladvokaten, att avgöra målet utan förslag till avgörande,

följande

Dom

Begäran om förhandsavgörande avser tolkningen av artikel 2.1, artikel 3 leden 9, 11 a, 12 och 15, artikel 8.2, artikel 11 d, artikel 14.5 och artikel 45.1 och 45.8 i Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 2015, s. 73), i dess lydelse enligt Europaparlamentets och rådets direktiv (EU) 2018/843 av den 30 maj 2018 (EUT L 156, 2018, s. 43) (nedan kallat direktiv 2015/849).

Begäran har framställts i ett mål mellan å ena sidan ”Laimz” SIA, tillhandahållare av speltjänster, och å andra sidan Izložu un azartspēļu uzraudzības inspekcija (Tillsynsmyndigheten för spel, Lettland) (nedan kallad tillsynsmyndigheten) angående en sanktionsavgift som påförts detta bolag för överträdelser av de nationella bestämmelserna om förebyggande av penningtvätt och finansiering av terrorism.

Tillämpliga bestämmelser

Unionsrätt

Skälen 1, 4, 21, 22, 30–33 och 35 i direktiv 2015/849 har följande lydelse:

”(1)

… Penningtvätt, finansiering av terrorism och organiserad brottslighet är fortfarande betydande problem som bör angripas på unionsnivå. Som ett komplement till att vidareutveckla den straffrättsliga ansatsen på unionsnivå är inriktade och proportionella förebyggande åtgärder för att motverka att det finansiella systemet utnyttjas för penningtvätt och finansiering av terrorism oumbärliga och kan ge kompletterande resultat.

…

(4)

Penningtvätt och finansiering av terrorism bedrivs ofta internationellt. Att anta åtgärder enbart på nationell nivå eller unionsnivå, utan att beakta internationell samordning och internationellt samarbete, skulle få mycket begränsad verkan. De åtgärder som antagits av unionen på området bör därför vara förenliga med och minst lika stränga som andra åtgärder som internationella forum vidtar. Unionens insatser bör även i fortsättningen särskilt beakta rekommendationerna från [Arbetsgruppen för finansiella åtgärder (FATF)] och instrumenten hos andra internationella organ som är verksamma i kampen mot penningtvätt och finansiering av terrorism. För att bekämpningen av penningtvätt och finansiering av terrorism ska kunna effektiviseras bör de relevanta unionsrättsakterna, där så är lämpligt, anpassas till de internationella standarderna för bekämpning av penningtvätt och finansiering av terrorism och kärnvapenspridning som FATF antog februari 2012 (nedan kallade de reviderade FATF-rekommendationerna).

…

(21)

Det är oroande att spelsektorns tjänster används för att tvätta vinning av brottslig handling. För att minska riskerna med anknytning till speltjänster bör detta direktiv föreskriva en skyldighet för tillhandahållare av speltjänster där riskerna är högre att vidta åtgärder för kundkännedom vid enskilda transaktioner som uppgår till 2000 [euro] eller mer. Medlemsstaterna bör se till att ansvariga enheter tillämpar samma tröskelvärde på utbetalning av vinster, betalning av insatser, inbegripet köp eller inbyte av spelmarker, eller båda. Tillhandahållare av speltjänster med fysiska lokaler såsom kasinon och spelhus bör säkerställa att åtgärder för kundkännedom, om de vidtas vid inträdet i lokalerna, kan kopplas till kundens transaktioner i dessa lokaler. När det gäller förhållanden där risken bevisligen är låg bör medlemsstaterna dock tillåtas att undanta vissa speltjänster från några eller alla krav som föreskrivs i detta direktiv. En medlemsstats användning av undantag bör övervägas endast under strängt begränsade och motiverade förhållanden och när riskerna för penningtvätt och finansiering av terrorism är låga. Sådana undantag bör vara föremål för en särskild riskbedömning som även tar hänsyn till de tillämpliga transaktionernas sårbarhet. De bör meddelas [Europeiska] kommissionen. Medlemsstaterna bör i riskbedömningen ange på vilket sätt de har beaktat eventuella relevanta resultat i de rapporter som kommissionen har utfärdat inom ramen för den överstatliga riskbedömningen.

(22)

Riskerna för penningtvätt och finansiering av terrorism är olika från fall till fall. Följaktligen bör en holistisk riskbaserad metod användas. Den riskbaserade metoden är inte ett alternativ som ger medlemsstaterna och de ansvariga enheterna alltför stor valfrihet. Den inbegriper användning av ett evidensbaserat beslutsfattande för att mer effektivt kunna hantera de risker för penningtvätt och finansiering av terrorism som unionen och dess aktörer står inför.

…

(30)

Risker är i sig varierande, och variabler kan själva eller i förening öka eller minska de potentiella riskerna, vilket påverkar den lämpliga nivån på förebyggande åtgärder, exempelvis åtgärder för kundkännedom. Under vissa omständigheter bör därför skärpta åtgärder för kundkännedom vidtas, medan det i andra fall kan vara lämpligt med förenklade åtgärder.

(31)	Det bör noteras att vissa situationer innebär en större risk för penningtvätt eller finansiering av terrorism. Även om alla kunders identitet och affärsprofil bör fastställas finns det fall där det krävs särskilt noggranna kundidentifierings- och kundkontrollförfaranden.

(32)

Detta gäller särskilt vid förbindelser med enskilda som innehar eller har innehaft en viktig offentlig funktion, inom unionen eller internationellt, … Sådana förbindelser kan göra att särskilt den finansiella sektorn avsevärt riskerar sitt anseende och utsätts för rättsliga risker. De internationella insatserna mot korruption motiverar också att sådana personer uppmärksammas särskilt och att skärpta åtgärder för kundkännedom vidtas gentemot personer som innehar eller har innehaft viktiga offentliga funktioner nationellt eller utomlands och vad gäller ledande personer i internationella organisationer.

(33)

Kraven som rör personer i politiskt utsatt ställning [(PEP)] är av förebyggande och inte straffrättslig art och bör inte tolkas som en stigmatisering av personer i politiskt utsatt ställning genom ett påstående om att de skulle vara inblandade i brottsliga handlingar. Att vägra ingå en affärsförbindelse med en person enbart på grund av att fastställandet att denna är en person i politiskt utsatt ställning strider mot detta direktivs och de reviderade FATF-rekommendationernas bokstav och anda.

…

(35)

För att undvika att upprepade kundidentifieringsförfaranden drabbar affärsverksamheten i form av förseningar och ineffektivitet, är det med förbehåll för lämpliga skyddsåtgärder lämpligt att kunder som redan har identifierats på annat håll får introduceras för ansvariga enheter. När en ansvarig enhet förlitar sig på tredje man bör det slutgiltiga ansvaret för åtgärder för kundkännedom ligga på den ansvariga enhet till vilken kunden introduceras. Den tredje man eller person som introducerat kunden bör också ha ett fortsatt eget ansvar för att följa detta direktiv, inbegripet kravet att inrapportera misstänkta transaktioner och spara uppgifter, om denna har en förbindelse med kunden som omfattas av detta direktiv.”

4	Artikel 1.1 i direktivet har följande lydelse: ”Detta direktiv syftar till att förhindra att unionens finansiella system används för penningtvätt och finansiering av terrorism.”

I artikel 2.1 i direktivet föreskrivs följande:

”Detta direktiv ska tillämpas på följande ansvariga enheter:

…

3)	Följande fysiska eller juridiska personer vid utövandet av deras yrkesmässiga verksamhet:

…

f) Tillhandahållare av speltjänster.

…”

I artikel 3 i samma direktiv föreskrivs följande:

”I detta direktiv gäller följande definitioner:

…

person i politiskt utsatt ställning [PEP]: en fysisk person som innehar eller har innehaft viktiga offentliga poster, bland annat

a)	stats- och regeringschefer, ministrar samt ställföreträdande eller biträdande ministrar,

b)	parlamentsledamöter eller ledamöter av liknande lagstiftande organ,

c)	ledamöter av politiska partiers styrelser,

d)	domare i högsta domstolen, författningsdomstolar eller andra rättsliga organ på hög nivå vars beslut inte kan överklagas, utom under exceptionella omständigheter,

e)	ledamöter i revisionsrätter eller i centralbankers styrelser,

f)	ambassadörer, chargés d’affaires samt höga officerare inom försvarsmakten,

g)	ledamöter i statsägda företags förvaltnings-, lednings- och tillsynsorgan,

h)	direktörer, biträdande direktörer, styrelseledamöter och innehavare av liknande poster i en internationell organisation.

Inga offentliga tjänster som avses i leden a–h ska anses omfatta tjänstemän på mellannivå eller lägre tjänstemän.

…

11)

kända medarbetare:

a)	fysiska personer om vilka det är känt att de gemensamt är verkliga huvudmän till juridiska enheter eller juridiska konstruktioner, eller har andra nära affärsförbindelser med en person i politiskt utsatt ställning,

b)	fysiska personer som är den enda verkliga huvudmannen bakom juridiska enheter eller juridiska konstruktioner om vilka det är känt att de i praktiken har inrättats till förmån en person i politiskt utsatt ställning.

12)	företagsledning: en tjänsteman eller anställd som har tillräckliga kunskaper om institutets riskexponering mot penningtvätt och finansiering av terrorism och som har tillräckliga befogenheter att fatta beslut som påverkar dess riskexponering, och behöver inte i alla fall vara styrelseledamot.

13)	affärsförbindelse: en affärsmässig, yrkesmässig eller handelsmässig förbindelse, som är förbunden med en ansvarig enhets yrkesmässiga verksamhet och som när förbindelsen ingås förväntas ha en viss varaktighet.

14)

speltjänster: en tjänst som innebär att penningvärden satsas på slumpspel, inbegripet spel med inslag av skicklighet, exempelvis lotterier, kasinospel, pokerspel och vadhållning som tillhandahålls på en fysisk plats eller annars på distans, på elektronisk eller annan teknisk väg för att underlätta kommunikation, och på enskild begäran av en tjänstemottagare.

15)

grupp (koncern): en grupp av företag som består av ett moderföretag, dess dotterföretag och enheter i vilka moderföretaget eller dess dotterföretag har ägarintressen samt företag som står till varandra i ett sådant förhållande som avses i artikel 22 i [Europaparlamentets och rådets direktiv 2013/34/EU av den 26 juni 2013 om årsbokslut, koncernredovisning och rapporter i vissa typer av företag, om ändring av Europaparlamentets och rådets direktiv 2006/43/EG och om upphävande av rådets direktiv 78/660/EEG och 83/349/EEG (EUT L 182, 2013, s. 19)]

…”

I artikel 8.1–8. 4 i direktiv 2015/849 föreskrivs följande:

”1. Medlemsstaterna ska se till att ansvariga enheter vidtar lämpliga åtgärder för att identifiera och bedöma riskerna för penningtvätt och finansiering av terrorism, med beaktande av riskfaktorer inbegripet de som rör deras kunder, länder eller geografiska områden, produkter, tjänster, transaktioner eller distributionskanaler. Dessa åtgärder ska stå i proportion till de ansvariga enheternas typ och storlek.

2. De riskbedömningar som avses i punkt 1 ska dokumenteras, uppdateras och göras tillgängliga för relevanta behöriga myndigheter och berörda självreglerande organ. Behöriga myndigheter får besluta att enskilda dokumenterade riskbedömningar inte krävs, när de specifika risker som är förenade med sektorn är uppenbara och väl kända.

3. Medlemsstaterna ska se till att ansvariga enheter har riktlinjer, kontroller och förfaranden på plats för att minska och effektivt hantera de risker för penningtvätt och finansiering av terrorism som identifierats på unionsnivå, på medlemsstatsnivå och vid ansvariga enheter. Dessa riktlinjer, kontroller och förfaranden ska stå i proportion till de ansvariga enheternas typ och storlek.

4. De riktlinjer, kontroller och förfaranden som avses i punkt 3 ska omfatta följande:

Utveckling av interna riktlinjer, kontroller och förfaranden, inbegripet rutiner för modellriskhantering, åtgärder för kundkännedom, rapportering, registerhållning, intern kontroll, efterlevnadskontroll inbegripet utnämning av en efterlevnadsansvarig på ledningsnivå om det motiveras av verksamhetens storlek och natur samt bakgrundskontroll av personal.

b)	En oberoende granskningsfunktion för att granska de interna riktlinjer, kontroller och förfaranden som avses i led a, om det motiveras av verksamhetens storlek och natur.

5. Medlemsstaterna ska kräva att ansvariga enheter inhämtar sin lednings godkännande av de riktlinjer, kontroller och förfaranden som de inför och övervakar och skärper vidtagna åtgärder, när så är lämpligt.”

I artikel 11 i detta direktiv föreskrivs följande:

”Medlemsstaterna ska se till att ansvariga enheter vidtar åtgärder för kundkännedom under följande omständigheter:

a)	När en affärsförbindelse ingås.

…

d)	För tillhandahållare av speltjänster: vid utbetalning av vinster, betalning av insatser, eller båda, vid transaktioner om minst 2000 [euro], oavsett om transaktionen utförs vid ett enda tillfälle eller flera tillfällen som förefaller ha samband.

…

f)	När det råder osäkerhet om hur tillförlitliga eller tillräckliga tidigare erhållna kundidentifieringsuppgifter är.”

I artikel 13.1, 13.2 och 13.4 i direktivet föreskrivs följande:

”1. Åtgärder för kundkännedom ska omfatta följande:

Identifiering av kunden och kontroll av dennes identitet utifrån handlingar, uppgifter eller information som erhållits från en tillförlitlig och oberoende källa, inklusive, i förekommande fall, medel för elektronisk identifiering, betrodda tjänster enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 [av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 2014, s. 73)] eller andra säkra identifieringsprocesser på distans eller på elektronisk väg, som reglerats, erkänts, godkänts eller godtagits av relevanta nationella myndigheter.

Identifiering av den verkliga huvudmannen och rimliga åtgärder för styrkande av den personens identitet, så att den ansvariga enheten anser sig ha full vetskap om vem den verkliga huvudmannen är, inbegripet rimliga åtgärder för att förstå kundens ägar- och kontrollstruktur i fallet juridiska personer, truster, bolag, stiftelser och liknande juridiska konstruktioner. ….

c)	Bedömning och i förekommande fall inhämtande av information om affärsförbindelsens syfte och avsedda natur.

Fortlöpande övervakning av affärsförbindelsen, inbegripet granskning av transaktioner under förbindelsens hela existens för att säkerställa att de transaktioner som utförs motsvarar den ansvariga enhetens kundkännedom, verksamheten och riskprofilen, vid behov även medlens ursprung och säkerställande av att handlingarna, uppgifterna eller informationen uppdateras.

…

2. Medlemsstaterna ska se till att ansvariga enheter vidtar varje åtgärd för kundkännedom som föreskrivs i punkt 1. Ansvariga enheter får dock själva reglera sådana åtgärders omfattning utifrån en riskkänslighetsanalys.

…

4. Medlemsstaterna ska se till att ansvariga enheter för de behöriga myndigheterna eller självreglerande organen kan visa att åtgärderna är lämpliga med hänsyn till de identifierade riskerna för penningtvätt och finansiering av terrorism.”

I artikel 14.5 i samma direktiv föreskrivs följande:

”Medlemsstaterna ska kräva att ansvariga enheter inte bara vidtar åtgärder för kundkännedom gentemot alla nya kunder utan även vid lämpliga tidpunkter gentemot befintliga kunder, efter en riskkänslighetsanalys, eller när en kunds relevanta omständigheter förändras eller om den ansvariga enheten har en rättslig skyldighet att under det berörda kalenderåret kontakta kunden för att granska alla relevanta uppgifter om den verkliga huvudmannen eller de verkliga huvudmännen, eller om den ansvariga enheten har haft denna skyldighet enligt rådets direktiv 2011/16/EU [av den 15 februari 2011 om administrativt samarbete i fråga om beskattning och om upphävande av direktiv 77/799/EEG (EUT L 64, 2011, s. 1)].”

I artikel 20 i direktiv 2015/849 anges följande:

”När det gäller transaktioner eller affärsförbindelser med personer i politiskt utsatt ställning [PEP], ska medlemsstaterna utöver de åtgärder för kundkännedom som fastställs i artikel 13 kräva att ansvariga enheter

a)	har lämpliga riskhanteringssystem på plats, inklusive riskbaserade förfaranden, för att kunna avgöra om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning,

tillämpar följande åtgärder vid affärsförbindelser med personer i politiskt utsatt ställning [PEP]:

i)	Inhämtar sin lednings godkännande av att affärsförbindelser med sådana personer ingås eller fortlöper.

ii)	Vidtar lämpliga åtgärder för att fastställa varifrån förmögenheten och medlen härstammar som förknippas med affärsförbindelser eller transaktioner med sådana personer.

iii)	Bedriver löpande skärpt övervakning av de affärsförbindelserna.”

12	I artikel 23 i direktivet föreskrivs att åtgärderna enligt artiklarna 20 och 21 också ska tillämpas på familjemedlemmar och ”kända nära medarbetare till personer i politiskt utsatt ställning [PEP]”.

I artikel 45.1 och 45.8 i samma direktiv föreskrivs följande:

”1. Medlemsstaterna ska kräva att ansvariga enheter inom en koncern genomför koncernens riktlinjer och rutiner, inbegripet dataskyddsriktlinjer samt riktlinjer och rutiner för informationsutbyte inom koncernen för att bekämpa penningtvätt och finansiering av terrorism. Dessa riktlinjer och rutiner ska genomföras effektivt inom filialer och majoritetsägda dotterföretag i medlemsstater och tredjeländer.

…

8. Medlemsstaterna ska se till att informationsutbytet inom koncernen tillåts. Information om misstankar om att medel utgör vinning av brottslig handling eller har koppling till finansiering av terrorism som rapporteras till [finansunderrättelseenheten (FIU)] ska utbytas inom koncernen, såvida inte FIU anger något annat.”

Lettisk rätt

Noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums (lagen om åtgärder för att förhindra penningtvätt, finansiering av terrorism och kärnvapenspridning) av den 17 juli 2008 (Latvijas Vēstnesis, 2008, nr 116) ändrades i syfte att införliva direktiv 2015/849 med den lettiska rättsordningen.

I artikel 1 i lagen, i den lydelse som var tillämplig på de faktiska omständigheterna i det nationella målet (nedan kallad lagen om förebyggande åtgärder) föreskrivs följande:

”I denna lag avses med

…

21)

grupp (koncern): en grupp av juridiska personer eller juridiska konstruktioner,

a)	som består av ett moderföretag, dess dotterföretag och enheter i vilka moderföretaget eller dess dotterföretag har ägarintressen,

…

81)

företagsledning, styrelse om en sådan finns, eller en styrelseledamot, en tjänsteman eller anställd som särskilt utnämnts av styrelsen och som har tillräckliga kunskaper om den ansvariga enhetens exponering mot risken för penningtvätt och finansiering av terrorism och kärnvapenspridning och som har tillräckliga befogenheter att fatta beslut som påverkar enhetens riskexponering,

…

18)

en person i politiskt utsatt ställning: en person som innehar eller har innehaft viktiga offentliga poster i Republiken Lettland, i en annan medlemsstat eller i ett tredjeland, inklusive statliga tjänstemän på högsta nivå, chefer för en statlig administrativ enhet (eller kommun), regeringschefer (ministrar samt ställföreträdande eller biträdande ministrar om en sådan befattning finns i det berörda landet), statssekreterare eller andra höga tjänstemän inom regeringen eller inom en statlig administrativ enhet (eller kommun), parlamentsledamöter eller ledamöter av liknande lagstiftande organ, ledamöter av politiska partiers styrelser, domare i författningsdomstolar, i högsta domstolen eller andra rättsliga organ på hög nivå (ledamöter av dömande organ), ledamöter i revisionsrätters (audit) styrelse eller ledningsorgan eller i centralbankers styrelser, ambassadörer, chargés d’affaires samt höga officerare inom försvarsmakten, ledamöter i statsägda företags förvaltnings- och ledningsorgan, chefer (direktörer, biträdande direktörer), styrelseledamöter och innehavare av liknande poster i en internationell organisation.

…

182)	medarbetare till en person i politiskt utsatt ställning, en fysisk person som är känd för att ha en affärsförbindelse eller andra nära förbindelser med en person som avses i punkt 18 ovan …”

Artikel 3 i samma lag har rubriken ”Tillämpningsområde”. Artikel 3.1 och 3.21 har följande lydelse:

”1. Med ansvariga enheter avses i denna lag personer som bedriver ekonomisk verksamhet eller yrkesverksamhet såsom:

…

7) organisatörer av lotterier och hasardspel.

…

2. Ansvariga enheter inom en koncern ska genomföra koncernens riktlinjer och rutiner, inbegripet riktlinjer för skydd av personuppgifter samt riktlinjer och rutiner för informationsutbyte inom koncernen för att bekämpa penningtvätt och finansiering av terrorism och kärnvapenspridning. Dessa riktlinjer och rutiner på koncernnivå ska även genomföras på ett effektivt sätt inom filialer och dotterbolag som är majoritetsägda av ansvariga enheter, i medlemsstater och tredjeländer.

21)

Ansvariga enheter som ingår i en koncern ska övervaka, på koncernnivå, att de strukturella enheter som ansvarar för regelefterlevnad, revision eller bekämpning av penningtvätt och finansiering av terrorism och kärnvapenspridning har tillgång till nödvändig information för att utföra denna uppgift från dotterbolaget och filialer inklusive information om kunder, konton och betalningar.”

Artikel 10 i samma lag har rubriken ”Utnämning av personer med uppgift att se till att kraven i denna lag efterlevs”. I artikel 10.1 föreskrivs följande:

”Ansvariga enheter, som är juridiska personer, ska utse en eller flera anställda (personer med uppgift att säkerställa efterlevnaden av kraven i fråga om bekämpning av penningtvätt och finansiering av terrorism och kärnvapenspridning) bland annat inom företagsledningen med behörighet att fatta beslut och med direkt uppgift att säkerställa efterlevnad av kraven i denna lag och informationsutbyte med den behöriga övervaknings- och kontrollmyndigheten ….”

Artikel 11 i lagen om förebyggande åtgärder har rubriken ”Skyldighet att vidta åtgärder för kundkännedom”. I artikel 11.1 föreskrivs följande:

”Den ansvariga enheten ska vidta åtgärder för kundkännedom enligt följande:

1)	Innan en affärsförbindelse ingås.

…

När den ansvariga enhet som organiserar lotterier och hasardspel genomför en transaktion med en kund till ett belopp som är lika med eller högre än 2000 euro, inklusive om kunden vinner, köper medel för deltagande i spelet eller lotter, eller växlar utländsk valuta för detta ändamål, oavsett om denna transaktion utförs i en enda operation eller i form av flera sammanlänkade operationer

…”

Artikel 1111 i samma lag har rubriken ”Åtgärder för kundkännedom och riskfaktorer”. I punkterna 1, 2, 6 och 7 i denna artikel föreskrivs följande:

”1. Åtgärder för kundkännedom utgör en samling åtgärder grundade på en riskbedömning inom ramen för vilken den ansvariga enheten ska

1)	identifiera kunden och kontrollera de erhållna identifieringsuppgifterna.

…

5)	Säkerställa att de handlingar och personuppgifter och den information som inhämtats i samband med åtgärderna för kundkännedom lagras, ses över regelbundet och uppdateras med hänsyn till de inneboende riskerna. Detta ska ske minst vart femte år.

2. För att fastställa omfattningen av förfarandet för kundkännedom, samt lagenligheten av granskningen av handlingar, personuppgifter och information som erhållits i samband med åtgärder för kundkännedom, så ska den ansvariga enheten beakta risker för penningtvätt och finansiering av terrorism och kärnvapenspridning som är kopplade till kunden, dennes hemvistland (etableringsland), kundens näringsverksamhet eller personliga verksamhet, de använda tjänsterna och produkterna och deras leveranskedjor samt genomförda transaktioner.

…

6. När den ansvariga enheten ingår en affärsförbindelse ska den på grundval av en utvärdering av riskerna för penningtvätt och finansiering av terrorism och kärnvapenspridning, se till att erhålla och dokumentera uppgifter om affärsförbindelsens föremål och avsedda art, inklusive de tjänster som kunden har för avsikt att använda, de planerade transaktionernas antal och omfattning, typ av näringsverksamhet eller personlig verksamhet som kunden bedriver och inom ramen för vilken tjänsterna ska nyttjas, samt i förekommande fall, varifrån kundens medel kommer och ursprunget till den förmögenhet som kännetecknar kundens ekonomiska situation.

7. Den ansvariga enheten ska tillämpa åtgärder för kundkännedom inte enbart då en affärsförbindelse ingås utan även under tiden denna förbindelse varar (inklusive för existerande kunder) utifrån en riskbaserad metod …”

Artikel 25 i lagen har rubriken ”Affärsförbindelser med en person i politiskt utsatt ställning, en familjemedlem till en sådan person eller en medarbetare till en sådan person” och föreskriver följande i punkt 2:

”Den ansvariga enhetens interna kontrollsystem, grundat på riskbedömning, ska ge möjlighet att fastställa att en kund som inte är en person i politiskt utsatt ställning eller en familjemedlem till en sådan person eller en medarbetare till en sådan person vid tidpunkten då en affärsförbindelse ingås, ska anses bli en sådan person när affärsförbindelsen väl ingåtts.”

Artikel 29 i lagen har rubriken ”Erkännande och godtagande av resultaten av en undersökning för kundkännedom”. I artikel 29.1 föreskrivs följande:

”Kreditinstitut och finansiella institut får erkänna och godta resultaten av en kundkännedomsundersökning, såvitt gäller frågan huruvida de åtgärder som föreskrivs i artikel 11.1.1 första och tredje ledet i förevarande lag har iakttagits, när undersökningen genomförts av kreditinstitut och finansiella institut i medlemsstaterna eller i tredjeland under förutsättning att följande villkor är uppfyllda: …”

Målet vid den nationella domstolen och tolkningsfrågorna

Laimz är ett bolag med säte i Lettland. Bolagets verksamhet består i att tillhandahålla speltjänster. Bolagets kapital innehas till 100 procent av Optibet SIA, som också är ett bolag med begränsat ägaransvar med säte i Lettland. Även sistnämnda bolags verksamhet består i att tillhandahålla speltjänster. Båda bolagen ingår i koncernen Enlabs AB med säte i Sverige. Det framgår av begäran om förhandsavgörande att Laimz är en ansvarig enhet i den mening som avses i lagen om förebyggande åtgärder som syftar till att införliva direktiv 2015/849 med nationell rätt.

Optibet hade ingått ett avtal med ett bolag om tillhandahållande av offentliggjorda och allmänt tillgängliga uppgifter om riskbedömning och riskhantering med avseende på kraven i lagen om förebyggande åtgärder. Den 2 mars 2020 slöt Optibet ett avtal med Laimz enligt vilket Optibet åtog sig att tillhandahålla Laimz dessa uppgifter för att säkerställa en optimal resursanvändning och ett enhetligt iakttagande av kraven i denna lag inom koncernens bolag.

24	Den 23 augusti 2021 började Laimz att tillhandahålla interaktiva speltjänster till en kund som tidigare var kund till Optibet (nedan kallad den aktuella kunden alternativt kunden i det nationella målet).

Den 31 januari 2022 vidtog Laimz skärpta åtgärder för kundkännedom i förhållande till denna kund och begärde in ytterligare upplysningar. Laimz utgick härvid från kundens spelvanor och spelinsatser samt från de uppgifter som Optibet kommunicerat om kunden när denne var Optibets kund. I detta sammanhang tillämpade Laimz även ett beslut av den 27 mars 2020 som fattats av en person inom Optibets företagsledning gällande fortsatta relationer med kunden.

I februari och mars 2022 genomförde tillsynsmyndigheten en kontroll hos Laimz. I det protokoll som upprättades efter kontrollen påpekade tillsynsmyndigheten att Laimz under åren 2020, 2021, och 2022 inte hade identifierat några affärsförbindelser med personer som var medarbetare till personer i politiskt utsatt ställning. Beträffande den aktuella kunden hade Laimz inte genomfört någon utredning när tröskelvärdet om 2000 euro uppnåddes den 26 augusti 2021 för att begära information om källan till dennes inkomster, deras belopp, avsedd spelbudget, och inte heller för att fastställa dennes ställning som medarbetare till en person i politiskt utsatt ställning (PEP) och för att kontrollera informationen i databaser tillgängliga för allmänheten i syfte att identifiera ytterligare riskfaktorer.

Genom beslut av den 15 juni 2022 påförde tillsynsmyndigheten Laimz böter på 52263,90 euro, motsvarande 5 procent av bolagets omsättning år 2020. Som skäl angavs att bolaget inte på ett korrekt sätt hade genomfört systemet för intern kundkontroll och inte heller hade genomfört några kundundersökningar. Tillsynsmyndigheten ansåg att bolaget borde ha genomfört en självständig och oberoende bedömning av kunden och inte grunda sig på en bedömning som gjorts av ett annat bolag, nämligen Optibet. Tillsynsmyndigheten erinrade även om att den aktuella kunden ansågs vara medarbetare till en person i politiskt utsatt ställning, eftersom han samtidigt som denna person hade uppdrag som ledamot i ett verkställande organ inom en sammanslutning.

Den 18 juli 2022 överklagade Laimz beslutet till Administratīvā rajona tiesa (Förvaltningsdomstolen i första instans, Lettland), som är hänskjutande domstol. Till stöd för sin talan gjorde Laimz gällande att bolaget hade rätt att använda den information som erhållits från Optibet enligt det i punkt 23 ovan nämnda avtalet av den 2 mars 2020 samt de beslut som fattats av detta bolags företagsledning och tillämpa dem på sina egna affärsförbindelser med den aktuella kunden.

29	Vidare har Laimz kritiserat tillsynsmyndigheten för att, när den kom fram till att kunden var medarbetare till en person i politiskt utsatt ställning, endast ha grundat sig på att de båda tillhörde samma sammanslutning utan att ha gjort någon individuell och väl underbyggd bedömning.

Tillsynsmyndigheten har genmält att lagen om förebyggande åtgärder inte föreskriver att kunduppgifter ska delas med andra bolag och att detta skulle befria mottagaren av de aktuella uppgifterna från att fullgöra sina lagstadgade skyldigheter. Samma myndighet har vidare understrukit att när den aktuella kunden ingick en affärsförbindelse med Laimz avslutade kunden samtidigt sin affärsförbindelse med Optibet med följd att det förstnämnda bolaget inte längre kunde använda information som erhållits av det sistnämnda bolaget.

Den hänskjutande domstolen undrar i detta sammanhang över räckvidden av uttrycket ”kända medarbetare” till en person i politiskt utsatt ställning i artikel 3 led 11 i direktiv 2015/849 i en situation där en viss person och en person i politiskt utsatt ställning båda är ledamöter i det verkställande organet i en och samma sammanslutning. Nämnda domstol anser vidare att ytterligare förtydliganden är nödvändiga gällande möjligheten för bolag som ingår i samma koncern att utbyta information i syfte att fullgöra sina kundkännedomsskyldigheter. Den hänskjutande domstolen undrar även om artikel 45.1 och 45.8 i direktiv 2015/849, jämförd med artikel 3 leden 12 och 15 i samma direktiv, gör det möjligt att använda information som kommer från ett annat bolag inom koncernen och att inom flera bolag i samma koncern tillämpa beslut som fattats av företagsledningen i detta andra bolag. Slutligen undrar den hänskjutande domstolen över den ansvariga enhetens skyldighet att vidta åtgärder för kundkännedom gentemot befintliga kunder även om inga förändringar av relevanta omständigheter i deras situation har identifierats, till skillnad från den situation som var aktuell i domen av den 17 november 2022, Rodl & Partner (C‑562/20, EU:C:2022:883).

Mot denna bakgrund beslutade administratīvā rajona tiesa (Förvaltningsdomstolen i första instans) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

”1)	Ska artikel 3 led 11 a i direktiv 2015/849 tolkas så, att en enskild person kan anses vara en medarbetare till en person i politiskt utsatt ställning enbart på grund av den omständigheten att de båda ingår i [en och samma sammanslutning], utan att någon annan omständighet bedöms?

Ska [artikel 3 led 9] i direktiv 2015/849 tolkas så, att det för att fastställa om en person har en politiskt utsatt ställning är nödvändigt att fastställa om den personen har en sådan befattning som nämns i den artikeln och dessutom göra en undersökning och kontrollera att det rör sig om en hög befattning och inte en befattning på mellannivå eller lägre nivå?

Ska artikel 45.1 i direktiv 2015/849, jämförd med punkt 8 i samma artikel, tolkas så, att medlemsstaterna ska tillåta att sådana ansvariga enheter som nämns i artikel 2.1 i direktiv 2015/849, som anses vara bolag i en och samma koncern, utbyter information sinsemellan, bland annat genom att ingå avtal om utbyte av information och säkerställa ett ömsesidigt flöde av informationen och en möjlighet att åberopa den ömsesidigt, för att uppnå målen med direktiv 2015/849?

Medger även artikel 45.1 och 45.8 i direktiv 2015/849, jämförd med artikel 3 leden 12 och 15 i samma direktiv, att den informationen, eller de besluten, används och åberopas i flera företag som ingår i en och samma koncern, när det rör sig om beslut som har fattats inom koncernen av ledningen för ett av koncernföretagen?

Ska artikel 14.5 i direktiv 2015/849, jämförd med artikel 8.2 i samma direktiv, tolkas så, att ansvariga enheter inte är skyldiga att vidta kundkännedomsåtgärder med avseende på befintliga kunder om den frist som föreskrivs i den nationella lagstiftningen inte har löpt ut och inte heller den frist som följer av förfarandena i systemet för intern kontroll för att på nytt vidta kundkännedomsåtgärder och den ansvariga enheten inte har någon kännedom om nya omständigheter som skulle kunna påverka den riskbedömning som gjorts med avseende på kunden i fråga?

Ska den skyldighet för ansvariga enheter som föreskrivs i artikel 11 d i direktiv 2015/849, att vidta kundkännedomsåtgärder vid utbetalning av vinster, betalning av insatser, eller båda, vid transaktioner om minst 2000 euro, oavsett om transaktionen utförs vid ett enda tillfälle eller flera tillfällen som förefaller ha samband, tolkas så, att sådana åtgärder ska vidtas varje gång det totala transaktionsbeloppet uppgår till 2000 euro, oavsett inom vilket tidsintervall beloppet 2000 euro som föreskrivs i den bestämmelsen uppnås på nytt?”

Prövning av tolkningsfrågorna

Den första frågan

Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 3 led 11 a i direktiv 2015/849 ska tolkas så, att en enskild fysisk person kan anses vara en medarbetare till en person i politiskt utsatt ställning enbart på grund av att de båda är ledamöter i en och samma sammanslutning.

Det ska inledningsvis erinras om att direktiv 2015/849, såsom framgår av dess titel samt artikel 1.1 och 1.2, syftar till att förhindra att det finansiella systemet används för penningtvätt och finansiering av terrorism (dom av den 5 december 2024, MISTRAL TRANS, C‑3/24, EU:C:2024:999, punkt 25 och där angiven rättspraxis).

Närmare bestämt syftar bestämmelserna i direktiv 2015/849, som är av förebyggande karaktär, till att enligt en riskbaserad metod inrätta ett antal förebyggande och avskräckande åtgärder för att effektivt bekämpa penningtvätt och finansiering av terrorism, för att förhindra, såsom framgår av skäl 1 i direktivet, att flöden av pengar från olaglig verksamhet kan skada den finansiella sektorns integritet, stabilitet och anseende samt utgöra ett hot mot såväl unionens inre marknad som internationell utveckling (dom av den 5 december 2024, MISTRAL TRANS, C‑3/24, EU:C:2024:999, punkt 26 och där angiven rättspraxis).

Det framgår av artiklarna 6–8 i direktiv 2015/849 att den riskbaserade metoden förutsätter en riskbedömning som, inom ramen för det system som inrättats genom direktivet, ska genomföras på tre nivåer, det vill säga på unionsnivå (av kommissionen), därefter på medlemsstatsnivå och slutligen på de ansvariga enheternas nivå. Såsom framgår av skäl 30 i direktivet förutsätter denna riskbedömning bland annat att de ansvariga enheterna vidtar lämpliga åtgärder för kundkännedom gentemot den berörda kunden. Enligt EU-domstolens praxis är det utan en sådan bedömning nämligen inte möjligt för vare sig den berörda medlemsstaten eller, i förekommande fall, för de ansvariga enheterna att avgöra i varje enskilt fall vilka åtgärder som ska tillämpas (dom av den 17 november 2022, Rodl & Partner, C‑562/20, EU:C:2022:883, punkt 35 och där angiven rättspraxis).

I detta avseende fastställs i artikel 20 i direktiv 2015/849, såvitt gäller transaktioner eller affärsförbindelser med personer i politiskt utsatt ställning, de skyldigheter som ansvariga enheter är skyldiga att uppfylla utöver de åtgärder för kundkännedom som föreskrivs i artikel 13.1 i samma direktiv och som de är skyldiga att tillämpa. Enligt sistnämnda bestämmelse är ansvariga enheter närmare bestämt skyldiga att identifiera kunden och kontrollera dennes identitet, identifiera den verkliga huvudmannen, bedöma och inhämta information om affärsförbindelsens syfte och avsedda natur samt fortlöpande övervaka affärsförbindelsen. Enligt artikel 20 ska medlemsstaterna kräva att ansvariga enheter bland annat har lämpliga riskhanteringssystem på plats, inklusive riskbaserade förfaranden, för att kunna avgöra om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning. Domstolen erinrar härvid om att det i skäl 31 och 32 i direktivet preciseras att vissa situationer innebär en större risk för penningtvätt eller finansiering av terrorism. Detta gäller särskilt vid förbindelser med personer som innehar eller har innehaft en viktig offentlig funktion.

38	Enligt artikel 23 i direktiv 2015/849 ska ansvariga enheter utöka systemen för riskhantering till att även omfatta identifiering av familjemedlemmar och kända nära medarbetare till personer i politiskt utsatt ställning

39	I artikel 3 led 11 a i direktiv 2015/849 definieras ”kända medarbetare” såsom ”fysiska personer om vilka det är känt att de gemensamt är verkliga huvudmän till juridiska enheter eller juridiska konstruktioner, eller har andra nära affärsförbindelser med en person i politiskt utsatt ställning”.

Vid tolkningen av en unionsbestämmelse ska inte endast lydelsen beaktas i enlighet med dess sedvanliga betydelse i normalt språkbruk, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i (dom av den 9 januari 2025, Österreichische Datenschutzbehörde (Orimlig begäran), C‑416/23, EU:C:2025:3, punkt 24 och där angiven rättspraxis).

Vad gäller lydelsen i artikel 3 led 11 a i direktiv 2015/849 så framgår det av begäran om förhandsavgörande att den hänskjutande domstolen framför allt undrar över begreppet ”nära affärsförbindelser” mot bakgrund av att en kund och en person i politiskt utsatt ställning båda är ledamöter i det verkställande organet i en och samma sammanslutning.

Domstolen påpekar härvid följande. I artikel 3 led 13 i direktiv 2015/849 definieras begreppet affärsförbindelse, när detta tillämpas på en ansvarig enhet, såsom en affärsmässig, yrkesmässig eller handelsmässig förbindelse, som är förbunden med en ansvarig enhets yrkesmässiga verksamhet och som när förbindelsen ingås förväntas ha en viss varaktighet. I direktivet anges inte hur närhetsaspekten i en sådan förbindelse ska bedömas, vilket innebär att enbart det förhållandet att det föreligger en affärsförbindelse inte är tillräckligt. Förbindelsen måste även ha en särskild vikt.

När en person och en person i politiskt utsatt ställning är ledamöter i det verkställande organet i en och samma sammanslutning, har de emellertid i princip en yrkesmässig relation varför det inte kan uteslutas att denna befattning är av sådan art att det rör sig om en nära affärsförbindelse mellan den berörda personen och en person i politiskt utsatt ställning i den mening som avses i artikel 3 led 11 a i direktiv 2015/849 och inte heller att den gör de möjligt att inleda en sådan förbindelse. I en dylik situation kan det inte heller uteslutas att personen kan anses vara den verkliga huvudmannen till juridiska enheter eller juridiska konstruktioner tillsammans med personen i politiskt utsatt ställning i den mening som avses i den bestämmelsen. Ett sådant konstaterande är dock inte enbart beroende av att båda personerna tillhör det verkställande organet i en och samma sammanslutning utan måste grundas på en bedömning av föreliggande omständigheter.

Under dessa förhållanden kan man av lydelsen i artikel 3 led 11 a i direktiv 2015/849 dra slutsatsen att en situation såsom den som är aktuell i det nationella målet – där en person tillsammans med en person i politiskt utsatt ställning båda är ledamöter i det verkställande organet i en och samma sammanslutning – i princip inte utesluter att den aktuella personen anses som medarbetare till den nämnda personen i politiskt utsatt ställning i den mening som avses i den bestämmelsen.

45	Denna tolkning utifrån ordalydelsen stöds av det sammanhang i vilket denna bestämmelse ingår och av de mål som eftersträvas med direktiv 2015/849.

Såsom erinrats i punkt 38 ovan, så föreskrivs i artikel 23 i direktiv 2015/849 bland annat att åtgärderna enligt artikel 20 i samma direktiv ska tillämpas på kända nära medarbetare till personer i politiskt utsatt ställning men även på familjemedlemmar till en sådan person. Härav följer att unionslagstiftaren haft för avsikt att utöka tillämpningsområdet för direktiv 2015/849 till att gälla så många personer som möjligt runt personer i politiskt utsatt ställning.

Domstolen erinrar härvid om följande. Som ett komplement till att vidareutveckla den straffrättsliga ansatsen på unionsnivå är inriktade och proportionella förebyggande åtgärder för att motverka att det finansiella systemet utnyttjas för penningtvätt och finansiering av terrorism oumbärliga enligt skäl 1 i direktiv 2015/849 och kan ge kompletterande resultat.

Enligt artikel 8.3 i direktivet ska ansvariga enheters riktlinjer, kontroller och förfaranden för att minska och effektivt hantera de risker för penningtvätt och finansiering av terrorism stå i proportion till de ansvariga enheternas typ och storlek. De riskbaserade förfaranden som nämns i artikel 20 i direktivet ska stå i proportion till de ansvariga enheternas typ och storlek, vilket ger dessa ett visst utrymme för skönsmässig bedömning för att utforma förfaranden som är anpassade till de risker som deras verksamhet är förknippad med. En riskbaserad metod ger visserligen ett visst mått av flexibilitet men utgör emellertid inte, såsom framgår av skäl 22 i samma direktiv, ett alternativ som ger medlemsstaterna och de ansvariga enheterna alltför stor valfrihet utan förutsätter användning av ett evidensbaserat beslutsfattande.

Det följer vidare av skäl 33 i direktiv 2015/849 att krav som rör personer i politiskt utsatt ställning är av förebyggande och inte straffrättslig art och bör inte tolkas som en stigmatisering av personer i politiskt utsatt ställning genom ett påstående om att de skulle vara inblandade i brottsliga handlingar. Att vägra ingå en affärsförbindelse med en person enbart på grund av att fastställandet att denna är en person i politiskt utsatt ställning strider enligt samma skäl mot detta direktivs och de reviderade FATF-rekommendationernas bokstav och anda.

När ansvariga enheter använder en riskbaserad metod är de skyldiga att, vid bedömningen av om det föreligger en nära affärsförbindelse mellan en viss person och en person i politiskt utsatt ställning, beakta inte enbart arten av förbindelsen mellan den berörda kunden och personen i politiskt utsatt ställning för att avgöra om det finns en risk för att förbindelsen kommer att användas för penningtvätt och finansiering av terrorism och kärnvapenspridning. De ansvariga enheterna är även skyldiga att ta hänsyn till det eftersträvade syftet med förbindelsen varför det är nödvändigt att göra en individuell bedömning av varje enskilt fall för att uppfylla kraven i direktiv 2015/849.

En motsatt tolkning skulle leda till att de ytterligare skyldigheter som föreskrivs i direktiv 2015/849 måste tillämpas i ett mycket stort antal situationer i vilka deras proportionerliga karaktär i förhållande till de syften som eftersträvas med direktivet – det vill säga att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, i enlighet med vad som stadgas i artikel 1.1 i direktivet – skulle äventyras. En sådan tolkning skulle dessutom ge upphov till praktiska svårigheter när det gäller tillgång till uppgifter om berörda personer.

Mot denna bakgrund ska den första frågan besvaras på följande sätt. Artikel 3 led 11 a i direktiv 2015/849 ska tolkas så, att en enskild fysisk person inte kan anses vara en medarbetare till en person i politiskt utsatt ställning enbart på grund av att de båda är ledamöter i en och samma sammanslutning. En sådan situation utgör emellertid en relevant omständighet att beakta vid bedömningen.

Den andra frågan

Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 3 led 9 i direktiv 2015/849 ska tolkas så, att det för att fastställa om en person har en politiskt utsatt ställning är tillräckligt att visa att den personen har en sådan befattning som nämns i artikel 3 led 9 a–h, eller om det dessutom, med hjälp av en bedömning av de faktiska omständigheterna, ska kontrolleras om det rör sig om en hög befattning och inte en befattning på mellannivå eller lägre nivå.

EU-domstolen har upprepade gånger understrukit att det förfarande som har införts genom artikel 267 FEUF utgör ett medel för samarbete mellan EU-domstolen och de nationella domstolarna, genom vilket EU-domstolen tillhandahåller de nationella domstolarna de uppgifter om unionsrättens tolkning som de behöver för att kunna avgöra de mål som de ska pröva. En begäran om förhandsavgörande är inte till för att möjliggöra rådgivande yttranden i generella eller hypotetiska frågor, utan för att tillgodose behov knutna till det faktiska avgörandet av ett mål (dom av den 7 november 2024, Adusbef (Pont Morandi), C‑683/22, EU:C:2024:936, punkt 38 och där angiven rättspraxis).

Såsom framgår av själva ordalydelsen i artikel 267 FEUF ska det begärda förhandsavgörandet vara ”nödvändigt” för att den hänskjutande domstolen ska kunna ”döma i saken” i det mål som är anhängigt vid den (dom av den 7 november 2024, Adusbef (Pont Morandi), C‑683/22, EU:C:2024:936, punkt 39 och där angiven rättspraxis).

I förevarande fall har den hänskjutande domstolen inte lämnat några uppgifter om exakt vilken typ av befattning som den person som antas vara en person i politiskt utsatt ställning i det nationella målet innehar i sitt yrkesliv. Den aktuella kunden anses dessutom av tillsynsmyndigheten vara en medarbetare till den nämnda personen i politiskt utsatt ställning. Kunden anses inte själv vara en sådan person.

Vidare framgår det på intet sätt av handlingarna i målet att parterna i målet bestridit att den person som den aktuella kunden skulle vara medarbetare till befinner sig i en politiskt utsatt ställning. Vad Laimz har bestridit är den tolkning som tillsynsmyndigheten gjort av begreppet ”medarbetare till en person i politiskt utsatt ställning” och som är föremål för den första tolkningsfrågan.

58	Av detta följer att den andra frågan, i enlighet med den rättspraxis som det erinrats om i punkterna 54 och 55 ovan, inte kan tas upp till prövning.

Den tredje frågan

Den hänskjutande domstolen har ställt den tredje frågan för att få klarhet i huruvida artikel 45.1 och 45.8 i direktiv 2015/849 ska tolkas så, att medlemsstaterna ska tillåta att sådana ansvariga enheter som nämns i artikel 2.1 i detta direktiv, som är bolag i en och samma koncern enligt artikel 3 led 15 i samma direktiv, utbyter information sinsemellan, inklusive genom att ingå avtal om utbyte av information och säkerställa ett ömsesidigt flöde av informationen, för att uppnå målen med direktiv 2015/849.

Enligt artikel 45.1 i direktivet ska medlemsstaterna kräva att ansvariga enheter inom en koncern genomför koncernens riktlinjer och rutiner, inbegripet dataskyddsriktlinjer samt riktlinjer och rutiner för informationsutbyte inom koncernen för att bekämpa penningtvätt och finansiering av terrorism. Dessa riktlinjer och rutiner ska enligt samma bestämmelse genomföras effektivt inom filialer och majoritetsägda dotterföretag i medlemsstater och tredjeländer. Bestämmelsen eftersträvar således det syfte som nämns i skäl 35 i direktivet, nämligen att undvika att upprepade kundidentifieringsförfaranden.

I artikel 45.8 i direktivet anges dessutom att medlemsstaterna ”ska se till att informationsutbytet inom koncernen tillåts”. Vidare preciseras att information om misstankar om att medel utgör vinning av brottslig handling eller har koppling till finansiering av terrorism som rapporteras till FIU ska utbytas inom koncernen, såvida inte FIU anger något annat.

I förevarande fall är det utrett att Laimz och Optibet utgör ansvariga enheter genom att de tillhandahåller speltjänster i den mening som avses i artikel 2.1 led 3 f i direktiv 2015/849. Vidare ingår Laimz och Optibet – som Laimz har erhållit information av – i samma koncern i den mening som avses i artikel 3 led 15 i detta direktiv. Relationen mellan dessa båda bolag, inbegripet samarbetet för att efterleva direktivets krav, omfattas följaktligen av tillämpningsområdet för artikel 45.1 och 45.8 i det nämnda direktivet.

Eftersom ordalydelsen i artikel 45.1 och 45.8 är otvetydig är medlemsstaterna således skyldiga att tillåta ansvariga enheter som ingår i samma koncern att utbyta information för att uppnå de syften som eftersträvas med direktiv 2015/849. Bestämmelsen kräver däremot inte att informationsutbytet ska vara föremål för avtal om informationsutbyte för att säkerställa ömsesidigt flöde och tillgång till denna information inom koncernen.

Precis som kommissionen har påpekat ska det emellertid tas hänsyn till att det, för att uppnå det eftersträvade syftet med direktiv 2015/849, i princip krävs ett individualiserat tillvägagångssätt för att bekämpa penningtvätt och finansiering av terrorism. När det visar sig att den information som delats inom koncernen inte är tillräcklig för att den ansvariga enheten ska ha möjlighet att vidta kundkännedomsåtgärder i förhållande till sin kund, bland annat på grund av att de individuella tjänster och produkter som enheten erbjuder skiljer sig från dem som en annan ansvarig enhet inom samma koncern erbjuder, ska den berörda ansvariga enheten genomföra en individuell granskning. Även om de aktuella tjänsterna och produkterna vore identiska och informationen tillräcklig är det viktigt att påpeka att artikel 45.1 och 45.8 i direktivet inte reglerar de åtgärder som ansvariga enheter ska vidta med stöd av information som överförts inom koncernen och befriar således inte dessa enheter från att iaktta de skyldigheter som föreskrivs i detta direktiv i fråga om bekämpning av penningtvätt och finansiering av terrorism. Tolkningen finner stöd i artikel 13.2 och 13.4 i direktiv 2015/849 enligt vilken ansvariga enheter reglerar omfattningen av de åtgärder för kundkännedom som de vidtar utifrån en riskkänslighetsanalys.

Domstolen påpekar vidare att artikel 45 i direktiv 2015/849 inte kan tolkas så, att den tillåter att en ansvarig enhet automatiskt använder information gällande kundkännedom utan att själv ha gjort en egen bedömning av riskerna och de åtgärder som behöver vidtas. Med hänsyn till den skyldighet att vidta åtgärder för kundkännedom som åvilar en ansvarig enhet enligt direktivet, är det däremot av vikt att enheten, när den erhåller information som vid en första analys kan motivera att kundkännedomsåtgärder vidtas, skyndsamt gör erfordrade kontroller.

Den tredje frågan ska därför besvaras enligt följande. Artikel 45.1 och 45.8 i direktiv 2015/849 ska tolkas så, att medlemsstaterna ska tillåta att sådana ansvariga enheter som nämns i artikel 2.1 i detta direktiv, som är bolag i en och samma koncern enligt artikel 3 led 15 i samma direktiv, utbyter information sinsemellan. Ett sådant informationsutbyte fritar emellertid inte den berörda ansvariga enheten från sitt ansvar att vidta åtgärder för kundkännedom.

Den fjärde frågan

Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida artikel 45.1 och 45.8 i direktiv 2015/849, jämförd med artikel 3 leden 12 och 15 i samma direktiv, ska tolkas så, att bestämmelsen tillåter att ett företag som ingår i en koncern automatiskt tillämpar ett beslut som har fattats inom koncernen av ledningen för ett av koncernföretagen och som gäller åtgärder för kundkännedom i förhållande till en av det sistnämnda företagets kunder, utan att göra en egen bedömning av riskerna och de åtgärder som behöver vidtas.

Domstolen påpekar inledningsvis att artikel 45.1 i direktivet inte preciserar vilken typ av information som får utbytas och sedan användas av den mottagande ansvariga enheten. Med hänsyn till den aktuella unionslagstiftningens tillämpningsområde och hänvisningen till syftet att bekämpa penningtvätt och finansiering av terrorism, kan det endast röra sig om information som är relevant för att de krav som direktivet påför ansvariga enheter ska anses iakttagna.

Det framgår i detta avseende av begäran om förhandsavgörande att det aktuella beslutet antagits av ett av koncernens företag, inom ramen för dess skyldighet att vidta åtgärder för kundkännedom och detta i förhållande till en specifik kund. Beslutet kan därför omfattas av tillämpningsområdet för nämnda artikel 45.1.

Vad gäller frågan huruvida beslutet får användas av ett annat av koncernens företag, erinrar domstolen om följande. Informationsutbyte mellan ansvariga enheter inom en koncern gör det visserligen, såsom framgår av svaret på den tredje frågan, enklare att iaktta de krav som föreskrivs i direktiv 2015/849 i fråga om bekämpande av penningtvätt och finansiering av terrorism. Artikel 45.1 och 45.8 fritar emellertid inte varje ansvarig enhet från sitt individuella ansvar att iaktta dessa krav. Det kan inte bortses från en sådan tolkning när den överförda informationen utgör ett beslut som fattats av företagsledningen i ett annat företag i samma koncern i förhållande till en av detta företags kunder. Tolkningen stöds av artikel 8.5 i direktiv 2015/849 som föreskriver att medlemsstaterna ska kräva att ansvariga enheter inhämtar sin lednings godkännande av de riktlinjer, kontroller och förfaranden som de inför.

Den fjärde frågan ska således besvaras enligt följande. Artikel 45.1 och 45.8 i direktiv 2015/849, jämförd med artikel 3 leden 12 och 15 i samma direktiv, ska tolkas så, att bestämmelsen utgör hinder för att ett företag som ingår i en koncern automatiskt tillämpar ett beslut som har fattats inom koncernen av ledningen för ett av koncernföretagen inom ramen för dess skyldighet att vidta åtgärder för kundkännedom och som gäller åtgärder för kundkännedom i förhållande till en av det sistnämnda företagets kunder, utan att göra en egen bedömning av riskerna och de åtgärder som behöver vidtas.

Den femte frågan

Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida artikel 14.5 i direktiv 2015/849, jämförd med artikel 8.2 i samma direktiv, ska tolkas så, att en ansvarig enhet inte är skyldig att vidta kundkännedomsåtgärder i förhållande till befintliga kunder om den frist som föreskrivs i den nationella lagstiftningen inte har löpt ut och inte heller den frist som följer av förfarandena i systemet för intern kontroll för att på nytt vidta kundkännedomsåtgärder och den ansvariga enheten inte fått kännedom om några nya omständigheter som skulle kunna påverka den riskbedömning som gjorts med avseende på kunden i fråga.

Det framgår härvid av lydelsen i artikel 14.5 i direktiv 2015/849 att de ansvariga enheterna, på grundval av en riskbaserad metod, ska vidta kundkännedomsåtgärder inte bara gentemot sina nya kunder, utan även, när så visar sig lämpligt, gentemot sina befintliga kunder. Av bestämmelsen framgår närmare att en av dessa möjliga lämpliga tidpunkter är när en kunds relevanta omständigheter förändras. Vidare framgår att denna skyldighet för de ansvariga enheterna inte är begränsad enbart till högriskkunder (dom av den 17 november 2022, Rodl & Partner, C‑562/20, EU:C:2022:883, punkt 83).

74	De ansvariga enheterna är enligt artikel 8.2 i direktiv 2015/849 särskilt skyldiga att uppdatera sina bedömningar av riskerna för penningtvätt och finansiering av terrorism (dom av den 17 november 2022, Rodl & Partner, C‑562/20, EU:C:2022:883, punkt 84).

Domstolen har redan slagit fast att artikel 14.5 i direktiv 2015/849, jämförd med artikel 8.2 i samma direktiv, ska tolkas på så sätt att en ansvarig enhet är skyldig att på grundval av en uppdaterad riskbedömning vidta kundkännedomsåtgärder – vid behov skärpta åtgärder – gentemot en befintlig kund, när detta framstår som lämpligt, bland annat när en kunds relevanta omständigheter förändras (dom av den 17 november 2022, Rodl & Partner, C‑562/20, EU:C:2022:883, punkt 91).

Det ska vidare påpekas att artikel 14.5 i direktiv 2015/849 säkerställer att direktivets huvudsakliga syfte uppnås, nämligen att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism. Vidtagande av kundkännedomsåtgärder i förhållande till befintliga kunder syftar således till att minska nya eller förändrade risker kopplade till den berörda kunden och affärsförbindelsen. Om den ansvariga enheten inte har kännedom om någon förändring av den berörda kundens relevanta omständigheter och om fristen för att vidta nya kundkännedomsåtgärder inte har löpt ut finns det ingen skyldighet eller anledning att vidta sådana åtgärder. Det förhåller sig annorlunda när anledningen till att en sådan förändring inte har identifierats beror på brister i den permanenta och fortlöpande övervakning som föreskrivs i artikel 13.1 d i direktiv 2015/849 som den ansvariga enheten är skyldig att utföra.

Mot denna bakgrund ska den femte frågan besvaras på följande sätt. Artikel 14.5 i direktiv 2015/849, jämförd med artikel 8.2 i samma direktiv, ska följaktligen tolkas så, att en ansvarig enhet inte är skyldig att vidta kundkännedomsåtgärder i förhållande till befintliga kunder om den frist som föreskrivs i den nationella lagstiftningen inte har löpt ut och inte heller den frist som följer av förfarandena i systemet för intern kontroll för att på nytt vidta kundkännedomsåtgärder och den berörda ansvariga enheten inte har fått kännedom om några nya omständigheter som kan påverka riskbedömningen av den berörda kunden. Detta gäller under följande förutsättning: anledningen till att några sådana omständigheter inte identifierats, får inte bero på brister i den permanenta och fortlöpande övervakning som föreskrivs i artikel 13.1 d i direktiv 2015/849 och som enheten är skyldig att utföra.

Den sjätte frågan

Den hänskjutande domstolen har ställt den sjätte frågan för att få klarhet i huruvida artikel 11 d i direktiv 2015/849 ska tolkas så, att den skyldighet för ansvariga enheter som tillhandahåller speltjänster att vidta kundkännedomsåtgärder vid utbetalning av vinster, betalning av insatser, eller båda, vid transaktioner om som uppgår till ett belopp om minst 2000 euro, oavsett om transaktionen utförs vid ett enda tillfälle eller flera tillfällen som förefaller ha samband, är tillämplig varje gång den aktuella transaktionen uppgår till ett belopp om 2000 euro.

79	Domstolen erinrar härvid om att det i artikel 11 a i direktiv 2015/849 föreskrivs att kundkännedomsåtgärder ska vidtas när en affärsförbindelse ingås. En affärsförbindelse i den mening som avses i direktivet förväntas härvid enligt artikel 3 led 13 ha ”en viss varaktighet”.

Artikel 11 d i direktiv 2015/849 avser särskilt tillhandahållare av speltjänster och föreskriver en skyldighet för dessa att vidta åtgärder för kundkännedom vid utbetalning av vinster, betalning av insatser, eller båda, vid transaktioner om minst 2000 euro, oavsett om transaktionen utförs vid ett enda tillfälle eller flera tillfällen som förefaller ha samband.

81	Enligt bestämmelsens lydelse krävs inte för tillämpning av denna skyldighet att den aktuella transaktionen utförts under en viss period i förhållande till en tidigare transaktion som också uppfyllde dessa villkor.

Denna bestämmelse ska vidare läsas mot bakgrund av skäl 21 i direktiv 2015/849 vari det preciseras att det är oroande att spelsektorns tjänster används för att tvätta vinning av brottslig handling. För att minska riskerna med anknytning till speltjänster bör detta direktiv föreskriva en skyldighet för tillhandahållare av speltjänster där riskerna är högre att vidta åtgärder för kundkännedom vid enskilda transaktioner som uppgår till 2000 euro eller mer.

Artikel 11 d i direktiv 2015/849 ska således tolkas så, att den skyldighet för ansvariga enheter som tillhandahåller speltjänster att vidta kundkännedomsåtgärder vid utbetalning av vinster, betalning av insatser, eller båda, vid transaktioner som uppgår till ett belopp om minst 2000 euro, oavsett om transaktionen utförs vid ett enda tillfälle eller flera tillfällen som förefaller ha samband, är tillämplig varje gång den aktuella transaktionen uppgår till ett belopp om 2000 euro.

Mot denna bakgrund ska den sjätte frågan besvaras på följande sätt. Artikel 11 d i direktiv 2015/849 ska tolkas så, att ansvariga enheter är skyldiga att vidta kundkännedomsåtgärder vid utbetalning av vinster, betalning av insatser, eller båda, varje gång den aktuella transaktionen uppgår till ett belopp om minst 2000 euro, oavsett om transaktionen utförs vid ett enda tillfälle eller flera tillfällen som förefaller ha samband.

Rättegångskostnader

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (sjätte avdelningen) följande:

Artikel 3 led 11 a i Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG, i dess lydelse enligt Europaparlamentets och rådets direktiv (EU) 2018/843 av den 30 maj 2018,

ska tolkas på följande sätt:

En enskild fysisk person kan inte anses vara en medarbetare till en person i politiskt utsatt ställning enbart på grund av att de båda är ledamöter i en och samma sammanslutning. En sådan situation utgör emellertid en relevant omständighet att beakta vid bedömningen.

Artikel 45.1 och 45.8 i direktiv 2015/849, i dess lydelse enligt direktiv 2018/843,

ska tolkas på följande sätt:

Medlemsstaterna ska tillåta att sådana ansvariga enheter som nämns i artikel 2.1 i direktiv 2015/849, i ändrad lydelse, som är bolag i en och samma koncern enligt artikel 3 led 15 i direktiv 2015/849, i ändrad lydelse, utbyter information sinsemellan. Ett sådant informationsutbyte fritar emellertid inte den berörda ansvariga enheten från sitt ansvar att vidta åtgärder för kundkännedom.

Artikel 45.1 och 45.8 i direktiv 2015/849, i dess lydelse enligt direktiv 2018/843, jämförd med artikel 3 leden 12 och 15 i direktiv 2015/849, i ändrad lydelse,

ska tolkas på följande sätt:

Denna bestämmelse utgör hinder för att ett företag som ingår i en koncern automatiskt tillämpar ett beslut som har fattats inom koncernen av ledningen för ett av koncernföretagen inom ramen för dess skyldighet att vidta åtgärder för kundkännedom och som gäller åtgärder för kundkännedom i förhållande till en av det sistnämnda företagets kunder, utan att göra en egen bedömning av riskerna och de åtgärder som behöver vidtas.

Artikel 14.5 i direktiv 2015/849, i dess lydelse enligt direktiv 2018/843, jämförd med artikel 8.2 i direktiv 2015/849, i ändrad lydelse,

ska tolkas på följande sätt:

En ansvarig enhet är inte skyldig att vidta kundkännedomsåtgärder i förhållande till befintliga kunder om den frist som föreskrivs i den nationella lagstiftningen inte har löpt ut och inte heller den frist som följer av förfarandena i systemet för intern kontroll för att på nytt vidta kundkännedomsåtgärder och den berörda ansvariga enheten inte har fått kännedom om några nya omständigheter som kan påverka riskbedömningen av den berörda kunden. Detta gäller under följande förutsättning: anledningen till att några sådana omständigheter inte identifierats, får inte bero på brister i den permanenta och fortlöpande övervakning som föreskrivs i artikel 13.1 d i direktiv 2015/849, i ändrad lydelse, och som enheten är skyldig att utföra.

Artikel 11 d i direktiv 2015/849, i dess lydelse enligt direktiv 2018/843,

ska tolkas på följande sätt:

Ansvariga enheter är skyldiga att vidta kundkännedomsåtgärder vid utbetalning av vinster, betalning av insatser, eller båda, varje gång den aktuella transaktionen uppgår till ett belopp om minst 2000 euro, oavsett om transaktionen utförs vid ett enda tillfälle eller flera tillfällen som förefaller ha samband.

Underskrifter

( *1 ) Rättegångsspråk: lettiska.