Vienas aktualiausių klausimų – kaip patikrinti informaciją apie galutinį naudos gavėją
Dauguma Fintech įmonių, kurias tenka konsultuoti, susiduria su praktine kliento galutinio naudos gavėjo patikrinimo problema. Šie verslai dažnai nežino, kokiais šaltiniais remdamiesi jie gali patikrinti kliento galutinius naudos gavėjus, ypač tais atvejais, kai kliento registracijos šalyje nėra galutinių naudos gavėjų registrų. Lietuvoje informacija apie juridinių asmenų dalyvius skelbiama Registrų centro tvarkomoje Juridinių asmenų dalyvių informacinėje sistemoje.
Tiesa, reikėtų pripažinti, kad įmonės čia dažnai vėluoja atnaujinti informaciją apie akcininkų pasikeitimus. Šalių Europos Sąjungoje, kuriose nėra galutinių naudos gavėjų registrų, sparčiai mažėja, nors dar neseniai buvo sudėtinga tokią informaciją gauti, pavyzdžiui, Nyderlanduose. Ši problema Fintech sektoriuje gana reikšminga, nes klientų geografija dažniausiai neapsiriboja Lietuva ar kitomis Europos Sąjungos valstybėmis narėmis.
Pinigų plovimo ir teroristų finansavimo prevencijos įstatymas numato, kad finansų įstaigos iš kliento gautus dokumentus ir informaciją apie naudos gavėją turi patikrinti, remdamosi dokumentais, duomenimis ar informacija, gautais iš patikimo ir nepriklausomo šaltinio, o klientas turėtų pats nurodyti viešuosius šaltinius, kuriuose informacija apie naudos gavėją galėtų būti patvirtinta. Atitinkamai, jeigu kliento jurisdikcijoje nėra galutinių naudos gavėjų registro, finansų įstaigos turėtų įsivertinti, kokie kiti vieši šaltiniai galėtų būti panaudoti patikrai atlikti.
Daugybė praktinių klausimų dėl kvalifikuoto elektroninio parašo naudojimo proceso
Visuomenei vis plačiau naudojant kvalifikuotą elektroninį parašą, Fintech įmonės taip pat aktyviau pradėjo naudoti šią priemonę nustatydamos kliento tapatybę nuotoliniu būdu.
Dažnas mūsų pokalbis su finansų įstaigų atstovais pasisuka būtent šia tema. Tad galime daryti išvadą, kad daugelis sprendžia praktinius kvalifikuoto elektroninio parašo naudojimo klausimus procese „pažink savo klientą“. Ne kartą teko išgirsti klausimus, ar finansų įstaiga privalo gauti asmens, kurio tapatybė nustatoma jam fiziškai nedalyvaujant, tapatybės dokumento kopiją, kaip patikrinti elektroninio parašo, išduoto ne ES valstybėje narėje, validumą ir pan. Šių klausimų gausa rodo, kad reikėtų aiškesnės kompetentingų institucijų pozicijos dėl kvalifikuoto elektroninio parašo naudojimo kliento tapatybės nustatymo nuotoliniu būdu procese.
Kada Fintech bendrovei būtina pradėti vidinį tyrimą?
Finansų įstaigos yra įpareigotos turėti nustatytas procedūras, susijusias su vidiniais tyrimais dėl galimai įtartinų piniginių operacijų ar sandorių ir pranešimų teikimo Finansinių nusikaltimų tyrimo tarnybai (FNTT), tačiau šio reikalavimo turinys nėra išaiškintas atsakingų institucijų. Dėl šios priežasties Fintech įmonėms kyla neaiškumų dėl vidinių tyrimų sampratos ir kokiais atvejais įmonės turi pradėti vidinius tyrimus bei pranešti FNTT. Fintech įmonės dalijasi patirtimi, kad pateikusios pranešimus FNTT neretai išgirsta, jog toks pranešimas yra perteklinis.
Neaišku, kaip prisitaikyti prie naujų reikalavimų sąskaitų informacijos ir mokėjimų inicijavimo paslaugų teikėjams
2-oji Mokėjimo paslaugų direktyva į licencijuojamų mokėjimo paslaugų sąrašą įtraukė dvi naujas paslaugas – sąskaitos informacijos paslaugą (SIP) ir mokėjimo inicijavimo paslaugą (MIP). Vadinasi, SIP ir MIP teikėjai yra laikytini finansų įstaigomis, kurios privalo įgyvendinti pinigų plovimo ir teroristų finansavimo prevencijos priemones. Kita vertus, SIP ir MIP, kitaip negu kiti mokėjimo paslaugų teikėjai, nevykdo klientų pavedimų, todėl su jų veikla susijusi pinigų plovimo ir teroristų finansavimo prevencijos rizika yra minimali. Todėl logiškas daugumos šių įmonių keliamas klausimas, kokiais atvejais ir kokia apimtimi jie turi vykdyti pinigų plovimo ir teroristų finansavimo prevenciją.
Iš tiesų tenka pripažinti, kad šiuo klausimu iki šiol trūksta aiškumo, taip pat kol kas per mažai atsakymų ir iš atsakingų institucijų. Todėl mūsų patarimas – vadovautis tuo, ką šiandien jau turime, t. y. Europos bankininkystės institucijos gairėmis, kurios šiuo metu yra revizuojamos, taip pat Lietuvos banko pateiktu viešu atsakymu į rinkos dalyvio klausimą.
Duomenų saugumas finansų sektoriuje visuomet yra viena aktualiausių temų. Na, o po pastarosios savaitės įvykių, neabejoju, kad visos įmonės į ją atsigręš dar kartą.
Kiek laiko reikia saugoti finansų įstaigos kliento asmens duomenis?
Fintech įmonėms kyla klausimų, kiek laiko saugoti asmens duomenis, kuriuos gauna remdamosi Pinigų plovimo ir teroristų finansavimo ir prevencijos įstatymu, Mokėjimų įstatymu, arba asmens duomenis, tvarkomus ginčo su finansų įstaiga atveju.
Bendrojo asmens duomenų reglamento 5 straipsnis nustato su asmens duomenų tvarkymu susijusius principus, pavyzdžiui, finansų įstaiga turi būti nustačiusi asmens duomenų tvarkymo tikslus ir tokie duomenys turi būti saugojami ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi. Pinigų plovimo ir teroristų finansavimo prevencijos įstatymas, Mokėjimų įstatymas nustato asmens duomenų, kuriuos finansų įstaigos tvarko, saugojimo terminus, kurių yra privaloma laikytis. Nepakanka, kad duomenų valdytojas bendrai nurodytų, kad asmens duomenys būtų saugomi tiek, kiek reikia siekiant teisėtų duomenų tvarkymo tikslų. Skirtingų kategorijų asmens duomenims ir (arba) skirtingais duomenų tvarkymo tikslais gali būti nustatyti skirtingi saugojimo laikotarpiai.
