Takaisin Uutisiin
Koulutuksellinen sisältö

Asiakastietojen jakaminen ja asiakkaan tunteminen (KYC): mikä on sallittua ja mikä ei

Asiakastietojen jakaminen ja asiakkaan tunteminen (KYC): mikä on sallittua ja mikä ei

KYC-tietojen jakaminen ei ole sama asia kuin rahanpesun torjunnan vastuun jakaminen: oikeudellinen ero, jolla on merkitystä jokaisessa kiinteistökaupassa

Monen osapuolen kiinteistökaupoissa – joissa välittäjillä, rakennuttajilla, lakimiehillä ja notaareilla on kullakin omat rahanpesun torjuntaan liittyvät velvollisuutensa – yhä kiireellisemmäksi käytännön kysymykseksi on noussut KYC-tietojen jakamisen sallittavuus velvollisten tahojen välillä. Asetuksen (EU) 2024/1624 (AMLR) mukainen oikeudellinen kanta ymmärretään käytännössä usein väärin, ja tämän väärinkäsityksen seuraukset vaikuttavat molempiin suuntiin: jotkut ammattilaiset kieltäytyvät jakamasta tietoja, joiden jakamisen asetus sallii – ja jopa kannustaa; toiset olettavat, että KYC-tietojen vastaanottaminen kolmannelta osapuolelta vapauttaa heidät omista velvoitteistaan, mikä ei pidä paikkaansa.

Oikea oikeudellinen kanta on sekä selkeä että merkityksellinen. Tässä artikkelissa se esitetään.

Oikeudellinen kehys: mitä AMLR-asetuksessa todella sanotaan

AMLR vahvistaa kolme perusperiaatetta, jotka koskevat KYC-tietojen jakamista kiinteistöalalla:

1. Jokaisella velvollisella taholla on itsenäinen asiakkaan tuntemisvelvollisuus. Riippumatta siitä, mitä muut transaktion osapuolet ovat tehneet, jokainen velvollinen taho – välittäjä, rakennuttaja, notaari ja lakimies – on itsenäisesti vastuussa omasta asiakkaan tuntemisvelvollisuudestaan. Vastuuta ei voi siirtää.

2. Toiseen velvolliseen tahoon luottaminen on sallittua tietyin ehdoin. AMLR:n kolmannen osapuolen luottamista koskevat säännökset sallivat yhden velvollisen tahon luottaa toisen suorittamaan asiakkaan tuntemiseen, mutta luottava taho säilyttää täyden oikeudellisen vastuun omalle valvontaviranomaiselleen. Luottaminen on menettelyllinen helpotus, ei vapautus.

3. Tietojen jakaminen on sallittua määriteltyjen oikeudellisten puitteiden sisällä. AMLR:n johdanto-osan 147 kappaleessa todetaan nimenomaisesti: ”Velvollisten tahojen ja toimivaltaisten viranomaisten tulisi voida vaihtaa tietoja tietojenjakokumppanuuden puitteissa.” Samassa johdanto-osan kappaleessa tehdään yhtä selväksi, että velvollisten tahojen ”ei pitäisi luottaa yksinomaan tietojenvaihdon kautta saatuihin tietoihin tehdessään johtopäätöksiä asiakkaan rahanpesu- ja terrorismin rahoittamisriskistä”.

Nämä kolme periaatetta määrittelevät oikeudelliset rajat tarkasti: asiakirjoja ja todennettuja tosiseikkoja koskevia tietoja voidaan jakaa; riskinarviointeja, EDD-päätöksiä, ilmoituspäätöksiä ja jatkuvia seurantavelvoitteita ei.

Missä väärinkäsitys syntyy käytännössä

Tyypillisessä kiinteistökaupassa, johon osallistuvat välittäjä, rakennuttaja, lakimies ja notaari, kukin osapuoli voi laillisesti vaihtaa asiakkaan tunnistetietoja, todellisten omistajien tietoja, yrityksen omistussuhteita koskevia asiakirjoja, varojen alkuperää koskevia todisteita ja seulontatuloksia – sovellettavien GDPR-säännösten, salassapitovelvollisuuden ja rahanpesun torjunnan suojatoimenpiteiden mukaisesti.

Mitä kukaan näistä osapuolista ei saa tehdä, on pitää kyseisten tietojen vastaanottamista korvaavana omille itsenäisille velvoitteilleen. Notaari, joka hyväksyy kiinteistövälittäjän KYC-tiedoston suorittamatta omaa riskinarviointiaan, ei ole noudattanut AMLR-säännöksiä – hän on luottanut toisen osapuolen arvioon ilman itsenäistä tarkistusta. Kehittäjä, joka luottaa asianajajan aiempaan asiakastarkastukseen soveltamatta omaa riskiluokitustaan, on laiminlyönyt oman valvontavelvollisuutensa.

Kuten DLA Piperin analyysi AMLR:n tietojen jakamista koskevista säännöksistä vahvistaa: "Tietojen jakamista koskevien kumppanuuksien jäseninä velvolliset tahot voivat jakaa tietoja asiakkaan tuntemismenettelyn ja epäilyjen ilmoittamisen rahanpesun selvittelykeskuksille varten." Uusi rahanpesun torjuntapaketti edistää velvollisten tahojen välistä yhteistyötä – ei siirrä vastuuta yhden tahon harteille.

Laki ei kiellä tietojen jakamista. Se kieltää vastuun siirtämisen.

Rakenteellinen ero: kaksitasoinen arkkitehtuuri

Edellä kuvattu oikeudellinen kanta sopii luonnollisesti kaksitasoiseen arkkitehtuuriin kaikissa vaatimustenmukaisissa KYC-tietojen jakamismalleissa:

Sallittu ydinkerros – jaettavissa velvollisten tahojen kesken:

  • Henkilöllisyyden ja osoitteen todentaminen

  • Lopullisen edunsaajan (UBO) tunnistaminen ja todentaminen

  • Yritysten omistusrakenteet

  • Varojen alkuperää koskeva dokumentaatio

  • Kiinteistökauppahistoria

  • Sanktiot, PEP ja kielteisten uutisten seulontatulokset

Yrityskohtainen taso — ei jaettavissa, määrittää kukin velvollinen yritys itsenäisesti:

  • Riskiluokitus ja riskiluokittelu

  • Tarkistetun asiakastarkastuksen vaatimukset ja tulokset

  • Epäilyjen arviointi ja SAR/STR-ilmoitusten tekemistä koskevat päätökset

  • Jatkuvan seurannan parametrit ja tulokset

  • Raportointi kansalliselle rahanpesun selvittelykeskukselle

Tämä on arkkitehtuuri, johon AMLR on siirtymässä: asiakastietojen kerääminen kerran, riskien arviointi useita kertoja – itsenäisesti, kunkin velvollisen tahon toimesta, kunkin tahon omien sääntelyvelvoitteiden mukaisesti.

Teknologiset vaatimukset: miksi tavalliset KYC-alustat eivät pysty tähän

Edellä mainittu oikeudellinen ero luo tarkan teknologisen vaatimuksen, jota useimmat markkinoilla olevat KYC-alustat eivät rakenteellisesti kykene täyttämään. Tavalliset henkilöllisyyden todentamis- ja KYC-ratkaisut on rakennettu tietojen keräämistä ja jakamista varten. Niitä ei ole rakennettu toteuttamaan oikeudellista erottelua jaettujen asiakastietojen ja niiden itsenäisten, jakamattomien riskinarviointivelvoitteiden välillä, jotka kunkin velvollisen tahon on täytettävä itsenäisesti.

Yleinen KYC-alusta, joka kerää asiakirjoja ja jakaa niitä osapuolten kesken, käsittelee vain ensimmäisen tason. Se ei tarjoa jäsenneltyä mekanismia, jonka avulla kukin osapuoli voisi itsenäisesti suorittaa ja tallentaa oman riskiluokituksensa, EDD-määrittelynsä tai epäilyarviointinsa samassa ympäristössä. Tiedot ja sääntöjen noudattamisvelvollisuus on erotettu toisistaan – eikä kunkin velvollisen tahon itsenäisen sääntöjen noudattamisen osoittamiseksi vaadittavaa sääntelykirjanpitoa ole olemassa.

Tämä ei ole vähäinen toiminnallinen puute. AMLR:n mukaan kyvyttömyys osoittaa kunkin velvollisen tahon suorittamaa itsenäistä riskinarviointia on sääntöjen noudattamisen laiminlyönti jokaiselle osapuolelle, joka on vastaanottanut jaettuja tietoja tuottamatta omaa dokumentoitua arviointiaan.

Immosurance: Ainoa alusta, joka tarjoaa molemmat tasot yhdessä GDPR-vaatimusten mukaisessa ympäristössä

Immosurance on ainoa Euroopassa kiinteistöalalle räätälöity AML-vaatimustenmukaisuusalusta, joka tarjoaa molemmat vaatimustenmukaisen KYC-tietojen jakamisarkkitehtuurin tasot yhdessä integroidussa, GDPR-vaatimustenmukaisessa ympäristössä.

Ydintaso – henkilöllisyyden todentaminen, UBO-kartoitus, yrityksen omistussuhteita koskeva dokumentaatio, varojen alkuperän todisteet sekä jatkuva pakotteiden, PEP-henkilöiden ja kielteisen median seuranta – voidaan kerätä kerralla ja asettaa useiden velvollisten tahojen saataville sallitun lainsäädännön ja tietosuojakehyksen puitteissa. Tämä poistaa monen osapuolen kiinteistöalan vaatimustenmukaisuudelle tyypillisen päällekkäisyyden ja vähentää asiakkaiden taakkaa, joita on aiemmin pyydetty toistamaan sama todentamisprosessi jokaisen transaktiossa mukana olevan osapuolen kanssa.

Yksikkökohtainen taso toteutetaan rakenteellisesti erillisenä osana alustaa. Jokainen Immosurancea käyttävä velvollinen taho ylläpitää omaa itsenäistä vaatimustenmukaisuusasiakirjaansa, omaa dokumentoitua riskinarviointiaan, omaa EDD-työnkulkuaan ja omaa raportointitietuettaan – joista mikään ei ole muiden osapuolten saatavilla tai jaettu heidän kanssaan. Roolipohjainen pääsyoikeusarkkitehtuuri varmistaa, että se, mitä kukin velvollinen taho on lain mukaan velvollinen määrittämään itsenäisesti, määritetään suunnittelun mukaisesti itsenäisesti.

Mikään markkinoilla oleva yleinen KYC-palveluntarjoaja, henkilöllisyyden vahvistuspalvelu tai asiakirjojen jakamisalusta ei tarjoa tätä yhdistelmää. Jaettavien asiakastietojen erottaminen jaettavissa olevasta riskinarviointivelvollisuudesta – molemmat toteutettuina samalla alustalla, molemmat GDPR-yhteensopivia, molemmat auditointivalmiita – on ainutlaatuista Immosurancelle.

Tämä ei ole tulevaisuuden ominaisuus. Immosurance on toiminnassa jo tänään, ja se on kiinteistönvälittäjien, rakennuttajien, lakimiesten ja notaarien käytettävissä kaikkialla Euroopassa 14 kielellä. Sen KYC-tietojen jakamisarkkitehtuuri on laillisesti yhdenmukainen AMLR:n vahvistaman suunnan kanssa.

Oikeudellinen ero on selvä. Sen luoma teknologinen vaatimus on vaativa. Immosurance on vastaus.

Kaikki artikkelit
Early Bird -tarjous

EARLY BIRD -EHDOT

Varhaislinnuille on tarjolla poikkeusehtoja, joita ei pian enää ole saatavilla. Varmista edulliset hinnat jo tänään.
Näytä hinnoittelu