Відповідно до статей 7, 15, 55, 56 Закону України "Про Національний банк України", з метою забезпечення реалізації вимог Закону України від 06 грудня 2019 року № 361-IX "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про здійснення установами фінансового моніторингу (далі - Положення), що додається.

2. Установити, що установи:

1) уживають до клієнтів, з якими ділові відносини встановлюються з дати набрання чинності Законом України від 06 грудня 2019 року № 361-IX "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі - Закон), необхідних заходів відповідно до вимог Закону;

2) уживають до клієнтів, з якими ділові відносини встановлені до набрання чинності Законом (далі - наявні клієнти), заходів з належної перевірки, виявлення фактів належності клієнтів (їх кінцевих бенефіціарних власників) до політично значущих осіб, членів їх сімей та/або осіб, пов'язаних з політично значущими особами, переоцінки ризику ділових відносин з клієнтами відповідно до вимог Положення під час здійснення процедур планової актуалізації / уточнення установою даних про таких клієнтів у строки, встановлені установою в наявних внутрішніх документах відповідно до законодавства України з питань фінансового моніторингу, до набрання чинності Законом.

Щодо наявних клієнтів, які не підтримують ділових відносин з установою (крім тих, ризик ділових відносин з якими є високим), зазначені заходи можуть здійснюватись і понад установлені строки під час звернення такого клієнта до установи, але до проведення фінансових операцій, ініційованих клієнтом;

3) звітують до спеціально уповноваженого органу щодо порогових фінансових операцій політично значущих осіб, членів їх сімей та/або осіб, пов'язаних із політично значущими особами, які не мали такого статусу відповідно до Закону України від 14 жовтня 2014 року № 1702-VII "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення", починаючи з дати виявлення установою факту належності відповідного клієнта до політично значущої особи, члена його сім'ї та/або особи, пов'язаної з політично значущою особою;

4) забезпечують налаштування та автоматизацію необхідних процесів установи відповідно до вимог Положення не пізніше 30 червня 2021 року.

3. Визнати такими, що втратили чинність:

1) розпорядження Державної комісії з регулювання ринків фінансових послуг України від 05 серпня 2003 року № 25 "Про затвердження Положення про здійснення фінансового моніторингу фінансовими установами", зареєстроване в Міністерстві юстиції України 15 серпня 2003 року за № 715/8036;

2) розпорядження Державної комісії з регулювання ринків фінансових послуг України від 13 листопада 2003 року № 121 "Про внесення змін до Положення про здійснення фінансового моніторингу фінансовими установами, затвердженого розпорядженням Державної комісії з регулювання ринків фінансових послуг України від 05.08.2003 № 25", зареєстроване в Міністерстві юстиції України 27 листопада 2003 року за № 1088/8409;

3) розпорядження Державної комісії з регулювання ринків фінансових послуг України від 15 квітня 2004 року № 336 "Про затвердження змін до Положення про здійснення фінансового моніторингу фінансовими установами", зареєстроване в Міністерстві юстиції України 07 травня 2004 року за № 581/9180;

4) розпорядження Державної комісії з регулювання ринків фінансових послуг України від 28 квітня 2006 року № 5720 "Про затвердження Змін до Положення про здійснення фінансового моніторингу фінансовими установами", зареєстроване в Міністерстві юстиції України 17 травня 2006 року за № 570/12444;

5) розпорядження Державної комісії з регулювання ринків фінансових послуг України від 10 травня 2007 року № 7288 "Про затвердження Змін до Положення про здійснення фінансового моніторингу фінансовими установами", зареєстроване в Міністерстві юстиції України 24 травня 2007 року за № 539/13806;

6) розпорядження Державної комісії з регулювання ринків фінансових послуг України від 07 серпня 2008 року № 951 "Про внесення змін до нормативно-правових актів Державної комісії з регулювання ринків фінансових послуг України з питань навчання працівників, відповідальних за проведення внутрішнього фінансового моніторингу", зареєстроване в Міністерстві юстиції України 24 жовтня 2008 року за № 1023/15714;

7) розпорядження Державної комісії з регулювання ринків фінансових послуг України від 24 лютого 2011 року № 102 "Про внесення змін до Положення про здійснення фінансового моніторингу фінансовими установами", зареєстроване в Міністерстві юстиції України 18 травня 2011 року за № 600/19338;

8) розпорядження Національної комісії, що здійснює державне регулювання у сфері ринків фінансових послуг, від 05 березня 2013 року № 712 "Про затвердження Змін до деяких нормативно-правових актів Державної комісії з регулювання ринків фінансових послуг України", зареєстроване в Міністерстві юстиції України 18 травня 2013 року за № 770/23302;

9) розпорядження Національної комісії, що здійснює державне регулювання у сфері ринків фінансових послуг, від 13 жовтня 2015 року № 2481 "Про затвердження Критеріїв, за якими оцінюється рівень ризику для суб'єктів первинного фінансового моніторингу, державне регулювання і нагляд за діяльністю яких здійснює Нацкомфінпослуг", зареєстроване в Міністерстві юстиції України 30 жовтня 2015 року за № 1335/27780;

10) постанову Правління Національного банку України від 15 вересня 2016 року № 388 "Про затвердження Положення про здійснення небанківськими фінансовими установами фінансового моніторингу в частині надання ними фінансової послуги щодо переказу коштів";

11) постанову Правління Національного банку України від 17 квітня 2018 року № 43 "Про затвердження Змін до Положення про здійснення небанківськими фінансовими установами фінансового моніторингу в частині надання ними фінансової послуги щодо переказу коштів".

4. Департаменту фінансового моніторингу (Ігор Береза) забезпечити розміщення цієї постанови на сторінці офіційного Інтернет-представництва Національного банку України.

5. Контроль за виконанням цієї постанови покласти на першого заступника Голови Національного банку України Катерину Рожкову.

6. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблене відповідно до Законів України " Про Національний банк України ", "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення", з метою запобігання використанню установ для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення.

2. Цим Положенням установлюються загальні вимоги Національного банку України (далі - Національний банк) щодо виконання установами вимог законодавства України з питань фінансового моніторингу.

3. Вимоги цього Положення поширюються на страховиків (перестраховиків), страхових (перестрахових) брокерів, кредитні спілки, ломбарди та інші фінансові установи (крім фінансових установ та інших юридичних осіб, щодо яких державне регулювання і нагляд у сфері запобігання та протидії здійснюються іншими суб'єктами державного фінансового моніторингу); платіжні організації, учасників чи членів платіжних систем, які надають фінансові послуги на підставі відповідних ліцензій чи реєстраційних документів; операторів поштового зв'язку; інші установи, які надають послуги з переказу коштів та здійснення валютних операцій; філії або представництва іноземних суб'єктів господарської діяльності, які надають фінансові послуги на території України, інших юридичних осіб, які за своїм правовим статусом не є фінансовими установами, але надають окремі фінансові послуги (далі - установи).

4. У цьому Положенні використовуються такі скорочення (абревіатури):

1) ВК/ФТ - легалізація (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та/або фінансування розповсюдження зброї масового знищення;

2) договір страхування життя - договір (страховий поліс, свідоцтво, сертифікат) страхування життя;

3) ДФМ - структурний підрозділ центрального апарату Національного банку, до компетенції якого належать питання нагляду у сфері запобігання та протидії ВК/ФТ;

4) ЕПЗ - електронний платіжний засіб;

5) ЄДР - Єдиний державний реєстр юридичних осіб, фізичних осіб - підприємців та громадських формувань;

6) Закон про ПВК/ФТ - Закон України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення";

7) ІКАО Doc 9303 - рекомендації Міжнародної організації цивільної авіації (ICAO) Doc 9303;

8) КБВ - кінцевий бенефіціарний власник;

9) КЕП - кваліфікований електронний підпис;

10) код за ЄДРПОУ - ідентифікаційний код згідно з Єдиним державним реєстром підприємств та організацій України;

11) мікропідприємства - установи, які згідно з критеріями, наведеними в Законі України "Про бухгалтерський облік та фінансову звітність в Україні", належать до мікропідприємств;

12) НПК - належна перевірка клієнта;

13) ПВК/ФТ - запобігання та протидія легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення;

14) ПЗНП - посилені заходи належної перевірки;

15) підсистема верифікації СЕІ - підсистема верифікації відомостей щодо юридичних осіб і фізичних осіб - підприємців інтегрованої системи електронної ідентифікації;

16) платіжна установа - установа, яка надає послуги з переказу коштів;

17) РНОКПП - реєстраційний номер облікової картки платника податків;

18) СА (система автоматизації установи) - система автоматизації процесів фінансового моніторингу, яка може складатися з одного або кількох окремих автоматизованих програмних модулів, які забезпечують функціонування належної системи управління ризиками ВК/ФТ установи;

19) СБУ - Служба безпеки України;

20) СЕІ - інтегрована система електронної ідентифікації;

21) СЗНП- спрощені заходи належної перевірки;

22) Система BankID НБУ - система BankID Національного банку України;

23) СПФМ - суб'єкт первинного фінансового моніторингу;

24) СУО - спеціально уповноважений орган;

25) ФОП - фізична особа - підприємець;

26) FATF - Група з розробки фінансових заходів боротьби з відмиванням грошей;

27) PEP (PEPs у множині) - фізична особа, яка є політично значущою особою, членом її сім'ї або особою, пов'язаною з політично значущою особою, або інша особа, кінцевий бенефіціарний власник якої є політично значущою особою, членом її сім'ї або особою, пов'язаною з політично значущою особою;

28) prepaid-картка - наперед оплачена картка багатоцільового використання.

5. Терміни та поняття в цьому Положенні вживаються в таких значеннях:

1) адреса масової реєстрації - адреса, за якою зареєстровано більше 50 юридичних осіб, трастів або інших правових утворень;

2) аналіз фінансових операцій - комплекс ризик-орієнтованих заходів, які здійснюються на постійній основі та встановлені внутрішніми документами установи з питань ПВК/ФТ, проведення яких дає змогу установі виявити фінансові операції, що підлягають фінансовому моніторингу;

3) високий ризик ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом - результат оцінки установою ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом, що базується на результатах аналізу сукупності критеріїв, передбачених законодавством України та внутрішніми документами установи з питань ПВК/ФТ, та який свідчить про високу ймовірність використання клієнтом послуг установи для ВК/ФТ;

4) віддалене встановлення ділових відносин - встановлення ділових відносин з клієнтом без його фізичної присутності;

5) відеоверифікація - процедура здійснення установою верифікації особи в режимі відеотрансляції;

6) відповідальний працівник установи - працівник установи, відповідальний за проведення фінансового моніторингу в установі;

7) внутрішні документи установи з питань ПВК/ФТ - правила, програми, методики, інші документи, розроблені та затверджені установою з метою належного виконання функцій СПФМ;

7-1) держатель ЄДР - Міністерство юстиції України, яке вживає організаційних заходів, пов’язаних із забезпеченням функціонування ЄДР;

8) де-рискінг - явище, за якого СПФМ відмовляє у встановленні (підтриманні) ділових відносин з клієнтами з метою уникнення ризиків, а не управління ними;

9) довідка про присвоєння РНОКПП - документ, виданий відповідним контролюючим органом, що засвідчує реєстрацію фізичної особи в Державному реєстрі фізичних осіб - платників податків;

10) договір доступу до СЕІ - договір установи з Міністерством цифрової трансформації України щодо доступу до інтегрованої системи електронної ідентифікації з можливістю отримувати дані з підсистеми верифікації відомостей щодо юридичних осіб і ФОП про керівника юридичної особи, інших осіб, які можуть вчиняти дії від імені юридичної особи, ФОП, осіб, які можуть вчиняти дії від імені ФОП, а також про наявність обмежень щодо представництва юридичної особи і ФОП, що містяться в ЄДР;

11) ескалація - інформування відповідного працівника установи та/або колегіального органу про настання відповідної події;

12) засоби захисту інформації - програмно-технічні засоби, які забезпечують захист електронних документів від несанкціонованих дій щодо ознайомлення з їхнім змістом, модифікації або викривлення;

13) значна сума - сума, що дорівнює чи перевищує суму, визначену частиною першою статті 20 Закону про ПВК/ФТ;

14) ідентифікаційний документ - паспорт громадянина України або інший документ, що посвідчує особу та відповідно до законодавства України може бути використаний на території України для укладення правочинів;

15) компанія-оболонка - юридична особа, траст або інше подібне правове утворення, щодо якої (якого) в установи є обґрунтовані підозри, що її (його) діяльність може бути фіктивною;

16) контрагент - особа, яка є другою стороною фінансової операції (контрагентом може бути установа), за якою між клієнтом та контрагентом здійснюється передавання активів;

17) малолітня особа - фізична особа, яка не досягла чотирнадцяти років;

18) метод розпізнавання реальності особи (liveness detection method) - метод фотофіксації особи в режимі реального часу із використанням алгоритмів, що дають змогу відрізнити реальну людину від репродукції у будь-якому вигляді її зовнішності (наприклад, цифрова репродукція, грим, маска);

19) моніторинг ділових відносин / моніторинг фінансових операцій - аналіз фінансових операцій клієнта, що здійснюються у процесі ділових відносин з ним, щодо відповідності таких фінансових операцій наявній в установі інформації про клієнта, його діяльність та ризик (у тому числі в разі необхідності про джерело коштів, пов'язаних з фінансовими операціями);

20) надійні джерела - джерела, зазначені в цьому Положенні, крім офіційних джерел та офіційних документів, як можливі до використання установами під час виконання ними вимог законодавства України у сфері ПВК/ФТ;

21) невідкладно - проміжок часу, визначений/установлений з моменту настання підстав для здійснення відповідних дій, які є пріоритетними і здійснюються першочергово, але не пізніше наступного робочого дня або встановленого часу наступного робочого дня;

22) негайно - найкоротший термін протягом робочого дня, в який мають здійснюватися (відбуватися) відповідні дії з моменту настання підстав для їх здійснення;

23) неповнолітня особа - фізична особа у віці від чотирнадцяти до вісімнадцяти років;

24) низький ризик ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом - результат оцінки установою ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом, що базується на результатах аналізу сукупності критеріїв, передбачених законодавством України та внутрішніми документами установи з питань ПВК/ФТ, та який свідчить про низьку ймовірність використання клієнтом послуг установи для ВК/ФТ;

25) онлайн-моніторинг переказів коштів - процедура аналізу переказів коштів у режимі реального часу, що здійснюється до моменту:

зарахування установою отримувача коштів на електронний гаманець отримувача / виплати коштів отримувачу за відсутності у нього електронного гаманця;

перерахування установою-посередником коштів іншому СПФМ-посереднику або СПФМ отримувача;

26) первинний документ - документ, який містить обов'язкові реквізити [найменування особи (юридична або фізична), яка склала документ, назву документа, дату і місце його складання, зміст та обсяг операції, одиницю її вимірювання, підпис або інші дані, що дають змогу ідентифікувати особу - ініціатора здійснення операції; найменування одержувача коштів, номер(и) рахунку(ів)], та є підставою для відображення фінансової операції в СА;

27) перелік держав, що не виконують рекомендації FATF, - перелік держав (юрисдикцій), що не виконують чи неналежним чином виконують рекомендації міжнародних, міжурядових організацій, задіяних у сфері боротьби з ВК/ФТ, який формується в порядку, визначеному Кабінетом Міністрів України на основі висновків міжнародних, міжурядових організацій, задіяних у сфері боротьби з ВК/ФТ, та оприлюднюється на офіційному вебсайті СУО;

28) перелік терористів - перелік осіб, пов'язаних з провадженням терористичної діяльності або стосовно яких застосовано міжнародні санкції, що формується в порядку, визначеному Кабінетом Міністрів України, та оприлюднюється на офіційному вебсайті СУО;

29) підробка - створення (повністю або частково) документа, подібного на справжній/автентичний документ, з метою незаконного його використання як справжнього/автентичного документа;

30) подальший моніторинг переказів коштів - процедура аналізу переказів коштів, що здійснюється після того, як:

кошти були зараховані установою отримувача на електронний гаманець отримувача / виплачені отримувачу, за відсутності у нього електронного гаманця;

кошти були перераховані установою-посередником іншому СПФМ-посереднику або СПФМ отримувача;

31) покладання / інструмент покладання - використання установою інформації щодо ідентифікації, верифікації клієнтів, встановлення їх КБВ та вжиття заходів з верифікації їх особи, а також інформації щодо мети та характеру майбутніх ділових відносин, отриманої від третьої особи, яка є СПФМ відповідно до вимог Закону про ПВК/ФТ або вживає подібні за змістом заходи, підлягає відповідному нагляду згідно із законодавством країни реєстрації такого суб'єкта та діє від свого імені;

32) порядок - чітка послідовність дій певного процесу із зазначенням способів, форм, строків (термінів) ужиття працівниками установи цих дій, визначена у внутрішніх документах установи з питань ПВК/ФТ;

33) прийнятний рівень ризиків ВК/ФТ - ризик, який є керованим, підконтрольним установі, не може спричинити підвищення юридичного ризику та ризику репутації, а також погіршення фінансових результатів діяльності установи чи завдати шкоди її кредиторам і клієнтам;

34) призупинення здійснення фінансової операції - тимчасове зупинення процедури проведення фінансової операції у разі виявлення установою інформації, що потребує подальшого аналізу на предмет необхідності вжиття установою певних дій з метою виконання нею вимог законодавства України у сфері ПВК/ФТ та/або внутрішніх документів установи з питань ПВК/ФТ, зокрема в разі збігу даних учасника фінансової операції з даними особи з переліку терористів;

35) разова фінансова операція на значну суму - фінансова операція, що здійснюється без встановлення ділових відносин, на суму, що дорівнює чи перевищує суму, визначену частиною першою статті 20 Закону про ПВК/ФТ (незалежно від того, проводиться така фінансова операція одноразово чи як кілька фінансових операцій, що можуть бути пов'язані між собою);

36) реєстр відмов - реєстр повідомлень установи про здійснені відмови у встановленні (підтриманні) ділових відносин з клієнтами;

37) реєстр заморожень/розморожень - реєстр повідомлень установи про здійснені замороження/розмороження активів, пов'язаних з тероризмом та його фінансуванням, розповсюдженням зброї масового знищення та його фінансуванням;

38) реєстр повідомлень про підозрілу фінансову діяльність - реєстр повідомлень установи про підозрілу фінансову діяльність;

39) реєстр розбіжностей про КБВ та структуру власності - реєстр повідомлень установи про розбіжності між відомостями про КБВ та структуру власності, які містяться в ЄДР, та інформацією про КБВ та структуру власності, отриманою установою в результаті здійснення НПК;

40) реєстр фінансових операцій - реєстр фінансових операцій установи, що підлягають фінансовому моніторингу;

41) ризик-апетит (схильність до ризику) установи у сфері ПВК/ФТ - величина ризику ВК/ФТ, визначена наперед та в межах прийнятного рівня ризику ВК/ФТ, щодо якої установа прийняла рішення про доцільність/необхідність її утримання з метою досягнення її стратегічних цілей;

42) ризик репутації - наявний або потенційний ризик для надходжень і капіталу, який виникає через несприятливе сприйняття іміджу установи клієнтами, контрагентами, потенційними інвесторами або органами нагляду, який впливає на спроможність установи встановлювати нові відносини з контрагентами, надавати нові послуги або підтримувати наявні відносини та може призвести установу (або її керівників) до фінансових втрат або зменшення клієнтської бази, притягнення до адміністративної, цивільної або кримінальної відповідальності;

43) ризик юридичний - наявний чи потенційний ризик для надходжень чи капіталу установи, який виникає через порушення або недотримання установою вимог законів України, нормативно-правових актів та може призвести установу до фінансових втрат, зловживань, притягнення установи та/або її керівників до адміністративної, цивільної або кримінальної відповідальності;

44) самозванець - особа, яка видає себе за іншу особу, незаконно присвоюючи собі чужі ідентифікаційні дані;

45) санкційний перелік РНБОУ - перелік осіб, стосовно яких застосовані спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до статті 5 Закону України "Про санкції";

46) середній ризик ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом - результат оцінки установою ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом, що базується на результатах аналізу сукупності критеріїв, передбачених законодавством України та внутрішніми документами установи з питань ПВК/ФТ, та який свідчить про підвищену ймовірність використання клієнтом послуг установи для ВК/ФТ;

47) скорингова ризик-модель - модель оцінки ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом, яка розраховує певний інтегрований показник (score) на основі питомої ваги притаманних діловим відносинам (фінансовій операції без встановлення ділових відносин) з клієнтом критеріїв ризику, що надалі використовується для присвоєння відповідного рівня ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом;

48) скринінгова процедура - процедура здійснення установою аналізу даних, уключаючи аналіз баз даних установи за допомогою автоматизованих програмних модулів (за наявності), з метою виявлення відповідних фактів;

49) соціальна інженерія - сукупність методів використання психологічних особливостей особи з метою спонукання її до певних дій, яких би вона за звичних умов не вчинила, введення особи в оману;

50) справа клієнта - усі документи / інформація стосовно клієнта, ділових відносин з ним (проведення ним разової фінансової операції на значну суму), уключно з результатами заходів належної перевірки, зібрані та задокументовані установою під час виконання вимог законодавства України та внутрішніх документів установи з питань ПВК/ФТ;

51) суб'єкт господарювання - юридична особа-резидент або ФОП;

52) установа отримувача - установа, що надає послуги з переказу коштів отримувачу;

53) установа платника - установа, що надає послуги з переказу коштів платнику (ініціатору переказу);

54) установа-посередник - установа, що є посередником з переказу коштів у значенні терміна, визначеного в пункті 48 частини першої статті 1 Закону про ПВК/ФТ;

55) фальсифікація - зміна справжнього/автентичного документа (його елементів, частин) з метою введення установи в оману, зокрема для використання ідентифікаційного документа особою, яка не має на це права;

56) фінансовий номер телефону - контактний номер телефону клієнта, що використовується установою, зокрема з метою проведення його автентифікації;

57) фінансова інклюзія - процес упровадження відкритого, вчасного та повноцінного доступу до широкого спектра фінансових продуктів і послуг, поширення їхнього використання у суспільстві за допомогою наявних та інноваційних підходів;

58) ID-картка - ідентифікаційний документ, в який імплантовано безконтактний електронний носій;

59) otp-пароль (одноразовий пароль) - певна послідовність текстових символів та/або цифр, що генерується програмними засобами установи централізовано і є дійсною лише для цієї цілі та обмеженою в часі, яку установа надсилає особі на її фінансовий номер телефону у вигляді текстового повідомлення.

Інші терміни та поняття, які вживаються в цьому Положенні, застосовуються в значеннях, визначених Законом про ПВК/ФТ, Законами України "Про фінансові послуги та державне регулювання ринків фінансових послуг", "Про платіжні системи та переказ коштів в Україні", нормативно-правовими актами Національного банку, Кабінету Міністрів України та центрального органу виконавчої влади, що забезпечує формування та реалізацію державної політики у сфері ПВК/ФТ (далі - Міністерство фінансів України).

6. Установа зобов'язана забезпечити належну організацію внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу. Метою належної організації внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу є:

1) виконання вимог законодавства України у сфері ПВК/ФТ;

2) можливість належним чином виявляти порогові та підозрілі фінансові операції (діяльність) та повідомляти про них СУО;

3) запобігання використанню послуг та продуктів установи для проведення клієнтами фінансових операцій з метою ВК/ФТ.

7. Установа з метою належної організації внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу вживає, зокрема, таких заходів:

1) призначає відповідального працівника установи згідно з вимогами законодавства України у сфері ПВК/ФТ на рівні керівництва установи;

2) забезпечує функціонування системи управління ризиками ВК/ФТ;

3) розробляє та затверджує внутрішні документи установи з питань ПВК/ФТ в обсязі, необхідному для ефективного функціонування внутрішньої системи ПВК/ФТ та розуміння працівниками установи своїх обов'язків та повноважень у сфері ПВК/ФТ;

4) забезпечує на постійній основі розгляд проблемних та актуальних питань функціонування внутрішньої системи ПВК/ФТ;

5) забезпечує достатні ресурси для функціонування внутрішньої системи ПВК/ФТ;

6) забезпечує достатню інформованість та обізнаність керівництва установи щодо їхніх обов'язків у сфері ПВК/ФТ, а також щодо притаманних ризик-профілю установи ризиків ВК/ФТ;

7) забезпечує інформування керівництва установи щодо важливості дотримання вимог законодавства України з питань ПВК/ФТ з метою забезпечення належної системи управління ризиками, необхідності вжиття дієвих заходів для ефективного запобігання використанню послуг установи з метою ВК/ФТ та розуміння наслідків, на які наражається установа в разі невиконання вимог законодавства України з питань ПВК/ФТ;

8) забезпечує належну обізнаність та виконання працівниками установи, визначених їм обов'язків у сфері ПВК/ФТ, розуміння такими працівниками своєї відповідальності за невиконання обов'язків та/або бездіяльність;

9) запроваджує та постійно вдосконалює систему внутрішнього аудиту (контролю) з питань ПВК/ФТ та/або залучає незалежних аудиторів, зокрема забезпечує своєчасне виявлення внутрішнім аудитом (контролем) та/або незалежним аудитом проблемних питань та ознак неналежної системи управління ризиками ВК/ФТ;

10) вивчає нові продукти/послуги, включаючи нові канали продажу, використання або розроблення нових технологій для наявних або нових продуктів з метою належної оцінки притаманних їм ризиків ВК/ФТ та належного контролю за ризиками ВК/ФТ для наявних продуктів/послуг;

11) забезпечує на постійній основі проведення навчальних заходів для працівників установи та агентів установи (їх працівників) з метою розуміння ними покладених на них обов'язків та порядку дій;

12) забезпечує перевірку наявності бездоганної ділової репутації в усіх працівників установи, залучених до проведення первинного фінансового моніторингу;

13) створює та забезпечує функціонування дієвої та своєчасної системи ескалації підозр та проблемних питань у сфері ПВК/ФТ та порядку їх розгляду, уключно з повідомленням інформації/фактів, що стосуються випадків порушення або можливого порушення законодавства України у сфері ПВК/ФТ, у порядку, передбаченому внутрішніми документами установи;

14) забезпечує своєчасне та в повному обсязі виконання установою обов'язків СПФМ (зокрема виявлення фінансових операцій, що підлягають фінансовому моніторингу, замороження активів, пов'язаних з тероризмом та/або його фінансуванням / розповсюдженням зброї масового знищення та/або його фінансуванням, унеможливлення здійснення операцій особами з переліку терористів), уключаючи використання СА (за наявності);

15) забезпечує своєчасне виявлення фінансових операцій, що підлягають фінансовому моніторингу, та належний інформаційний обмін з СУО;

16) розробляє та здійснює заходи з НПК з метою розуміння суті діяльності клієнта, мети та очікуваного характеру ділових відносин з ним, що дає змогу установі бути впевненою, що фінансові операції клієнта відповідають наявній в установі інформації про нього, його бізнес, ризик-профіль, уключаючи в разі потреби джерела походження його коштів/статків, встановлення КБВ для оперативного виявлення незвичайної поведінки та підозрілих фінансових операцій (діяльності);

17) належно документує дії працівників установи та фіксує події, що стосуються виконання установою обов'язків СПФМ;

18) зберігає всі документи, дані, інформацію (у тому числі відповідні звіти, розпорядження, файли), що стосуються виконання установою обов'язків СПФМ, протягом строків, визначених законодавством України;

19) своєчасно та в повному обсязі надає на запити Національного банку необхідні документи/інформацію/пояснення/аргументи, що належним чином підтверджують виконання установою вимог законодавства України з питань ПВК/ФТ;

20) вживає заходів щодо постійного вдосконалення внутрішньої системи ПВК/ФТ.

8. Установа може створити окремий структурний підрозділ з ПВК/ФТ, який очолює відповідальний працівник установи або який безпосередньо підпорядковується відповідальному працівникові установи, з урахуванням особливостей її організаційної структури. Зазначений підрозділ функціонує відповідно до положення про цей структурний підрозділ, що затверджується відповідно до вимог внутрішніх документів установи.

9. Відповідальність за неналежну організацію внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу несе керівник установи, а також відповідальний працівник установи.

10. Відповідальний працівник установи не рідше одного разу на місяць інформує керівника установи відповідно до вимог частини п'ятої статті 9 Закону про ПВК/ФТ, а також щодо таких питань у сфері ПВК/ФТ:

1) результатів моніторингу ділових відносин з клієнтами, за підсумками якого виявлена підозріла діяльність клієнтів, та пропозицій щодо вжиття необхідних заходів стосовно таких клієнтів з метою мінімізації ризиків ВК/ФТ;

2) питань, пов'язаних із пропозиціями щодо відмови в продовженні ділових відносин з клієнтами (у тому числі в разі встановлення клієнту неприйнятно високого рівня ризику);

3) проблемних питань, що виникають в установи під час проведення заходів з НПК;

4) змін у законодавстві України з питань ПВК/ФТ та вжиття установою необхідних заходів у зв'язку з такими змінами (зокрема оновлення внутрішніх документів установи з питань ПВК/ФТ) із зазначенням строків ужиття таких заходів;

5) результатів оцінки нових продуктів/послуг установи та притаманних їм ризиків ВК/ФТ;

6) проблемних питань щодо проведення навчальних заходів для працівників установи, агентів установи (їх працівників);

7) проблемних питань, пов'язаних зі встановленням ділових відносин з PEPs та/або їх обслуговуванням;

8) інших питань щодо виконання установою вимог законодавства України у сфері ПВК/ФТ, які потребують розгляду та реагування з метою дотримання установою вимог законодавства України у сфері ПВК/ФТ.

11. Керівник установи має право делегувати розгляд питань, зазначених у пункті 10 розділу II цього Положення, спеціально створеному окремому комітету або комітету, що вже діє в установі (далі - Комітет).

Повноваження Комітету (у разі створення або за наявності), порядок його формування та прийняття рішень визначаються в положенні про Комітет.

Питання, зазначені в пункті 10 розділу II цього Положення, мають розглядатися на засіданнях Комітету не рідше одного разу на півроку.

Головою окремого комітету може бути керівник установи або відповідальний працівник установи.

Склад і чисельність Комітету формуються та затверджуються розпорядчим актом установи.

Голова та члени Комітету мають право запрошувати до участі в засіданні Комітету керівників і працівників інших підрозділів установи.

12. Відповідальний працівник установи не рідше одного разу на рік не пізніше I кварталу року, наступного за звітним, звітує виконавчому органу (якщо виконавчий орган колегіальний) / керівнику установи щодо:

1) результатів оцінки ризик-профілю установи;

2) питань, пов'язаних зі створенням належної організації внутрішньої системи ПВК/ФТ та проведенням первинного фінансового моніторингу;

3) питань, пов'язаних із забезпеченням належної системи управління ризиками ВК/ФТ.

13. Відповідальний працівник установи повинен постійно підтримувати свої знання з питань ПВК/ФТ на належному рівні, у тому числі шляхом проходження навчання у сфері ПВК/ФТ, а також підвищення кваліфікації в порядку та у строки, встановлені Законом про ПВК/ФТ.

Установа має сприяти підтриманню рівня знань відповідального працівника та забезпечувати проходження ним навчання у відповідних навчальних закладах.

14. Установи-правонаступники та установи, які реорганізували свої відокремлені підрозділи, зобов'язані забезпечити виконання вимог законодавства України щодо зберігання наявної до реорганізації інформації щодо виконання установою вимог законодавства України у сфері ПВК/ФТ, уключаючи результати НПК, інформації про фінансові операції клієнтів та осіб, які брали участь в їх проведенні, і вчасно надавати СУО інформацію у випадках, передбачених Законом про ПВК/ФТ.

15. Установа на підставі ризик-орієнтованого підходу організовує та проводить відповідно до статті 8 Закону про ПВК/ФТ внутрішні перевірки або незалежний аудит щодо дотримання установою вимог законодавства України у сфері ПВК/ФТ.

Установа має забезпечити:

1) уключення до внутрішніх перевірок або незалежного аудиту питань щодо достатності вжитих установою заходів для забезпечення функціонування належної системи управління ризиками ВК/ФТ, достатності та ефективності запровадженої СА (за наявності) для виконання установою обов'язків СПФМ, відповідності відповідального працівника установи вимогам, установленим Законом про ПВК/ФТ та цим Положенням;

2) наявність звітів за результатами внутрішніх перевірок або незалежного аудиту (за потреби до звітів можуть додаватися висновки та пропозиції щодо усунення недоліків, виявлених за результатами внутрішньої перевірки або незалежного аудиту);

3) здійснення контролю за усуненням порушень, виявлених під час внутрішніх перевірок або незалежного аудиту.

Установа зобов'язана скласти план заходів щодо усунення виявлених порушень вимог законодавства України та/або недоліків у сфері ПВК/ФТ з метою мінімізації ризиків ВК/ФТ та недопущення порушень у майбутньому (далі - план зменшення ризиків) не пізніше 15 робочих днів із дати підписання особою(ами), яка(і) здійснювала(и) внутрішню перевірку, звіту за результатами внутрішньої перевірки або отримання установою звіту за результатами незалежного аудиту.

Установа зобов'язана вжити заходів з виконання плану зменшення ризиків у визначені в ньому строки.

Установа зобов'язана подати в електронному вигляді звіт за результатами внутрішньої перевірки або незалежного аудиту із супровідним листом, підписаним КЕП керівника установи, до ДФМ не пізніше двадцятого робочого дня з дня його підписання/отримання із забезпеченням гарантованої його доставки та конфіденційності.

Установа зобов'язана також на вимогу Національного банку подати йому в електронному вигляді план зменшення ризиків із супровідним листом, підписаним КЕП керівника установи.

Національний банк має право надати пропозиції та зауваження до плану зменшення ризиків, які є обов'язковими для врахування та виконання установою.

16. Платіжна установа зобов'язана запровадити СА, яка має забезпечувати:

1) замороження активів, пов'язаних з тероризмом та його фінансуванням, розповсюдженням зброї масового знищення та його фінансуванням;

2) ведення протоколу роботи кожного з користувачів, захищеного від модифікації. У протоколі мають відображатися початок та завершення роботи кожного з користувачів із зазначенням часу з точністю до секунди;

3) наявність системи захисту інформації, що відповідає вимогам законодавства України у сфері захисту інформації;

4) наявність системи резервного копіювання та зберігання інформації;

5) постійний моніторинг фінансових операцій клієнтів з метою оперативного виявлення індикаторів підозрілості фінансових операцій.

17. Запроваджена СА платіжної установи має сприяти функціонуванню належної системи управління ризиками ВК/ФТ та бути спрямованою на:

1) забезпечення можливості оперативного опрацювання установою великого обсягу даних щодо клієнтів та їхніх фінансових операцій, використовуючи відповідні алгоритми, сценарії тощо;

2) ефективне витрачання ресурсів установи з метою виконання завдань та обов'язків СПФМ.

18. Установа (крім платіжної установи) зобов'язана забезпечити процедури перевірки наявності клієнтів у переліках терористів та замороження активів, пов'язаних з тероризмом та його фінансуванням, розповсюдженням зброї масового знищення та його фінансуванням, за допомогою СА (за наявності) або з використанням альтернативних методів, уключаючи методи, які передбачають оброблення інформації в електронному вигляді.

Установа (крім платіжної установи) зобов'язана задокументувати опис суті вищезазначених заходів.

Установа (крім платіжної установи) зобов'язана на запит Національного банку надати опис та роз'яснення суті таких заходів (продемонструвати їх роботу за потреби).

19. Установа подає інформацію для взяття на облік (зняття з обліку) у СУО як СПФМ, а також подає СУО інформацію про фінансові операції, що підлягають фінансовому моніторингу, іншу інформацію, що може бути пов'язана з ВК/ФТ, у порядку, встановленому відповідними нормативно-правовими актами Кабінету Міністрів України та Міністерства фінансів України.

20. Установа розробляє та затверджує внутрішні документи з метою виконання вимог законодавства України у сфері ПВК/ФТ, які повинні містити дієві ризик-орієнтовані процедури, порядки, достатні для належної організації та функціонування внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу, функціонування належної системи управління ризиками ВК/ФТ.

21. Внутрішні документи установи з питань ПВК/ФТ розробляються установою з урахуванням вимог законів України, що регулюють питання ПВК/ФТ, цього Положення, нормативно-правових актів Кабінету Міністрів України, Міністерства фінансів України, Національного банку, прийнятих для виконання та відповідно до цих законів, рекомендацій FATF, результатів національної оцінки ризиків та ризик-профілю установи, рекомендацій Національного банку та типологічних досліджень СУО.

Установа, яка є учасником групи, має право використовувати у своїй діяльності процедури / програми / інші документи з питань ПВК/ФТ, розроблені та затверджені головною (материнською) організацією цієї групи (за умови, що установа може надати такий документ на запит Національного банку).

22. Основними принципами розроблення та реалізації внутрішніх документів установи з питань ПВК/ФТ є:

1) належна організація та функціонування внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу, функціонування належної системи управління ризиками ВК/ФТ, забезпечення функціонування ефективної внутрішньої системи ПВК/ФТ;

2) запровадження ризик-орієнтованого підходу під час здійснення процедур з ПВК/ФТ;

3) виконання установою усіх вимог, визначених законодавством України у сфері ПВК/ФТ;

4) урахування всіх видів та напрямів діяльності установи;

5) запровадження культури ПВК/ФТ в установі та забезпечення безпосередньої участі кожного працівника (у межах його компетенції) у процесі реалізації процедур ПВК/ФТ;

6) чіткий розподіл обов'язків та повноважень між керівником установи, відповідальним працівником установи, іншими працівниками установи, залученими до проведення первинного фінансового моніторингу, з метою недопущення в роботі установи порушень законодавства України у сфері ПВК/ФТ;

7) установлення детального та максимально зрозумілого працівникам установи, залученим до проведення первинного фінансового моніторингу, порядку дій під час здійснення ними процедур ПВК/ФТ;

8) забезпечення таємниці фінансового моніторингу та конфіденційності інформації про інформаційний обмін із СУО, у тому числі факт передавання відомостей про фінансову операцію клієнта СУО;

9) забезпечення конфіденційності інформації про внутрішні документи установи з питань ПВК/ФТ;

10) забезпечення конфіденційності інформації про клієнтів, їхні фінансові операції, а також інших відомостей відповідно до вимог законодавства України у сфері захисту інформації;

11) запобігання залученню працівників установи до ВК/ФТ.

23. Внутрішні документи установи з питань ПВК/ФТ принаймні мають містити:

1) визначення працівників та/або підрозділів (за наявності) установи, відповідальних за здійснення заходів з НПК, та розподіл обов'язків між ними;

2) порядок дій, який забезпечує здійснення всіх заходів з НПК (зокрема заходів з ідентифікації та верифікації, встановлення КБВ, моніторингу ділових відносин та фінансових операцій, актуалізації даних про клієнта);

3) порядок виявлення PEPs та порядок ужиття щодо них необхідних додаткових заходів;

4) порядок здійснення оцінки/переоцінки ризик-профілю установи та ризик-профілю клієнтів і вжиття заходів з метою мінімізації ризиків ВК/ФТ;

5) порядок виявлення критеріїв ризику ВК/ФТ та індикаторів підозрілості фінансових операцій;

6) порядок ведення анкети клієнта, переліків клієнтів, зазначених у пункті 61 розділу IV цього Положення, що забезпечить своєчасність, повноту та достовірність унесеної до анкети клієнта або зазначених переліків клієнтів інформації;

7) порядок дій стосовно відмови установи від встановлення (підтримання) ділових відносин / обслуговування, у тому числі шляхом розірвання ділових відносин, відмови від проведення фінансової операції у випадках, передбачених Законом про ПВК/ФТ;

8) порядок виявлення установою розбіжностей між відомостями про КБВ та структуру власності, які містяться в ЄДР, та інформацією, отриманою установою в результаті здійснення НПК;

9) порядок використання інструменту покладання (у разі прийняття установою рішення використовувати цей інструмент);

10) порядок використання установою агентів, проведення навчальних заходів для них (їх працівників) та здійснення контролю за їхньою діяльністю (у разі прийняття установою рішення залучати агентів);

11) порядок унесення відповідної інформації до реєстрів повідомлень;

12) порядок використання СА (за наявності);

13) порядок здійснення інформаційного обміну з СУО та виконання відповідних рішень/доручень СУО;

14) порядок замороження активів, пов'язаних із тероризмом та його фінансуванням, розповсюдженням зброї масового знищення та його фінансуванням;

15) порядок зупинення установою операцій у випадках, визначених Законом про ПВК/ФТ;

16) порядок супроводження установою переказів коштів відповідною інформацією згідно з вимогами, визначеними в статті 14 Закону про ПВК/ФТ (для платіжних установ);

17) порядок контролю за відповідними лімітами в разі використання установою спрощених методів ідентифікації та верифікації клієнта (представника клієнта);

18) порядок забезпечення таємниці фінансового моніторингу, конфіденційності іншої інформації;

19) порядок інформування СБУ у випадках, визначених законодавством України у сфері ПВК/ФТ;

20) порядок проведення навчальних заходів для працівників установи;

21) порядок ознайомлення працівників установи з внутрішніми документами установи з питань ПВК/ФТ;

22) порядок зберігання всіх документів/інформації щодо виконання установою вимог законодавства України у сфері ПВК/ФТ.

24. Внутрішні документи установи з питань ПВК/ФТ мають враховувати особливості, напрями та специфіку діяльності установи, особливості різних типів клієнтів, а також імплементацію установою ризик-орієнтованого підходу.

Внутрішні документи установи з питань ПВК/ФТ можуть бути у вигляді одного загального документа або кількох окремих документів.

25. Установа має забезпечити актуальність внутрішніх документів установи з питань ПВК/ФТ, ураховуючи зміни до законодавства України у сфері ПВК/ФТ та події, що можуть вплинути на ризики ВК/ФТ установи.

26. Установа оновлює внутрішні документи установи з питань ПВК/ФТ на постійній основі, але не пізніше трьох місяців із дня набрання чинності змінами до законодавства України з питань ПВК/ФТ та/або встановлення установою подій, що можуть вплинути на ризики ВК/ФТ.

27. Установа самостійно визначає та документує порядок віднесення внутрішніх документів установи з питань ПВК/ФТ до документів з обмеженим доступом та порядок доступу до них працівників установи і третіх осіб.

28. Установа забезпечує ознайомлення з внутрішніми документами установи з питань ПВК/ФТ працівників установи (залежно від їхніх посадових обов'язків) під підпис або за допомогою електронних засобів у разі:

1) приймання працівника на роботу до установи - до початку виконання таким працівником установи посадових обов'язків;

2) затвердження, унесення змін до внутрішніх документів установи з питань ПВК/ФТ - не пізніше 20 робочих днів із дня затвердження, унесення змін (крім працівників, які протягом цього періоду перебували у відпустці, на лікарняному, у відрядженні, які ознайомлюються не пізніше двох робочих днів з дня виходу на роботу).

29. Внутрішні документи установи з питань ПВК/ФТ затверджуються виконавчим органом (якщо виконавчий орган колегіальний) / керівником установи в порядку, визначеному установчими документами установи, за поданням відповідального працівника установи.

30. Установа зобов'язана не пізніше третього робочого дня з дня отримання запиту Національного банку про надання внутрішніх документів подати ДФМ в електронному вигляді внутрішні документи установи з питань ПВК/ФТ із супровідним листом, підписаним КЕП керівника / відповідального працівника установи.

31. Установа зобов'язана у своїй діяльності застосовувати ризик-орієнтований підхід, що має бути пропорційним характеру та масштабу діяльності установи.

32. Ризик-орієнтований підхід має застосовуватися установою на постійній основі та забезпечувати виявлення, ідентифікацію, оцінку всіх наявних та потенційних ризиків ВК/ФТ, притаманних діяльності установи (ризик-профілю установи) та її клієнтам, а також передбачати своєчасне розроблення заходів з управління ризиками ВК/ФТ, їх мінімізації.

33. Установа документує процес застосування ризик-орієнтованого підходу таким чином, щоб бути здатною продемонструвати його суть (зокрема те, у чому полягає різниця в підходах), прийняті установою рішення під час його застосування та обґрунтованість таких рішень.

34. Установа, застосовуючи ризик-орієнтований підхід, має утримуватися від необґрунтованого застосування де-рискінгу. Зазначений підхід протирічить ризик-орієнтованому підходу та не сприяє фінансовій інклюзії.

35. Ризик-орієнтований підхід має ґрунтуватися на оцінці ризиків та включати в себе:

1) оцінку ризик-профілю установи:

виявлення та оцінку ризиків ВК/ФТ, притаманних діяльності установи;

аналіз наявних заходів з управління ризиками ВК/ФТ для їх зниження (мінімізації);

визначення ризик-апетиту установи у сфері ПВК/ФТ (прийнятного для установи рівня ризику ВК/ФТ);

2) оцінку ризик-профілю клієнта:

виявлення та оцінку ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом;

аналіз наявних заходів з управління ризиками ВК/ФТ для їх зниження (мінімізації) до прийнятного для установи рівня ризику ВК/ФТ (у межах ризик-апетиту установи у сфері ПВК/ФТ).

36. Установа здійснює оцінку власного ризик-профілю з урахуванням специфіки своєї діяльності й таких факторів:

1) характеру та масштабу діяльності установи;

2) джерел фінансування бізнесу (власні або залучені кошти);

3) продуктів та послуг, що надаються установою;

4) видів клієнтів та їх ризик-профілю;

5) географічного розташування установи, географічного розташування держави реєстрації клієнтів або установ, через які установа здійснює передавання (отримання) активів;

6) каналів/способів надання (отримання) послуг;

7) контрагентів, за участю яких установа проводить дії з активами;

8) інших значущих факторів, пов'язаних із діяльністю установи.

37. Установа, аналізуючи ризики ПВК/ФТ своїх продуктів та послуг, має враховувати особливості та можливості їх використання, зокрема:

1) цільове використання продукту та/або послуги:

чи дають змогу продукти та/або послуги установи маскувати незаконне походження коштів, переказувати кошти для фінансування терористичної діяльності, сприяти анонімності учасників фінансової операції (приховувати реальних кінцевих отримувачів тих чи інших продуктів та/або послуг);

чи можуть вони використовуватися клієнтом від імені третіх осіб;

чи можуть бути цікавими для компаній-оболонок;

2) особливі можливості використання продукту та/або послуги: чи дає змогу продукт та/або послуга клієнту установи здійснювати операції з контрагентами/бізнес-сегментом, яким притаманні підвищені ризики у сфері ВК/ФТ;

3) цільовий сегмент для реалізації продукту та/або послуги: види клієнтів, які найбільше/найчастіше використовують той чи інший продукт та/або ту чи іншу послугу.

38. Аналізуючи канали/способи надання (отримання) своїх продуктів та/або послуг, установа має приділяти окрему увагу ризикам, притаманним новітнім технологіям (зокрема віддаленому встановленню ділових відносин з клієнтом), наявності агентів, використанню інформації інших СПФМ.

39. Установа повинна враховувати географічні критерії ризику, приділяючи, зокрема, особливу увагу державам (територіям), що не виконують рекомендації FATF, або які мають стратегічні недоліки у сфері ПВК/ФТ (відповідно до заяв FATF), державам, що здійснюють збройну агресію проти України у значенні, наведеному в статті 1 Закону України "Про оборону України", наявності/відсутності військових конфліктів, терористичних груп та/або організацій на території держави (території).

40. Географічні критерії ризиків установи мають також враховувати місцезнаходження самої установи (її материнської установи, філій, представництв, дочірніх установ) та географію надання установою своїх продуктів та/або послуг.

41. Установа під час визначення свого ризик-профілю зобов'язана також ураховувати наявність і характер санкцій, які до неї застосовані.

42. Критерії ризиків визначаються установою самостійно з урахуванням критеріїв ризиків, установлених Національним банком у додатку 18 до цього Положення, типологічних досліджень СУО, результатів національної оцінки ризиків, а також рекомендацій Національного банку.

43. Установа визначає пріоритетність/значущість розроблених критеріїв ризику, ураховуючи можливі наслідки / вплив таких ризиків, та встановлює їм відповідну питому вагу для здійснення подальшої оцінки рівня ризику.

44. Установа має право здійснити оцінку ризику ділових відносин (фінансової операції без встановлення ділових відносин) одночасно для групи клієнтів (один груповий ризик-профіль), виокремивши таких клієнтів у відповідні категорії на основі чітко визначених та зафіксованих у внутрішніх документах установи з питань ПВК/ФТ параметрів (зокрема соціального статусу, використання однакових видів послуг, загального обсягу фінансових операцій). Якщо ділові відносини (фінансова операція без встановлення ділових відносин) з клієнтом відповідають таким параметрам, установа присвоює таким діловим відносинам (фінансовій операції без встановлення ділових відносин) з клієнтом рівень ризику, встановлений для такого ризик-профілю. Установа надалі на постійній основі забезпечує контроль за відповідністю ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтами, що виокремлені в окремий ризик-профіль відповідним параметрам такого ризик-профілю.

45. Установа на основі оцінки ризиків ВК/ФТ, притаманних її діяльності, визначає свій ризик-апетит (рівень прийнятного рівня ризику) у сфері ПВК/ФТ, ураховуючи:

1) ризики, які установа готова прийняти;

2) ризики, які установа може прийняти, але лише після вжиття заходів з управління такими ризиками (їх мінімізації);

3) ризики, які є неприйнятними для установи.

46. Установа за результатами проведеного аналізу має право визначити (за потреби) і прописати у внутрішніх документах установи з питань ПВК/ФТ установлені заборони/обмеження у своїй діяльності (щодо окремих видів діяльності та/або залучення окремих типів клієнтів на обслуговування).

47. Установа, приймаючи відповідні ризики, має враховувати наявність у неї ефективних заходів з управління ними, зокрема наявність необхідних ресурсів.

48. Виконавчий орган (якщо виконавчий орган колегіальний) / керівник установи не рідше одного разу на рік розглядає результати оцінки ризик-профілю установи, затверджує відповідне рішення за результатами такого розгляду та доводить до відома відповідального працівника установи для його подальшого виконання.

49. Установа враховує результати оцінки ризик-профілю установи під час розроблення критеріїв ризику для оцінки ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтами та заходів з управління ризиками ВК/ФТ.

50. Установа здійснює оцінку ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтами до встановлення ділових відносин з клієнтом / проведення фінансової операції без встановлення ділових відносин.

51. Установа за результатами здійснення оцінки ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом установлює рівень ризику, використовуючи модель оцінки ризиків (за потреби скорингову ризик-модель), що враховує наявність притаманних клієнту, його діяльності (у тому числі тієї, що очікується на етапі встановлення ділових відносин з клієнтом) критеріїв ризику.

52. Шкала для класифікації рівнів ризику ділових відносин (фінансової операції без встановлення ділових відносин) обов'язково має містити високий та неприйнятно високий (підкатегорія високого ризику, який є максимально високим ризиком, що не може бути прийнятий установою) рівні ризику.

53. Установа запроваджує власну модель оцінки ризиків (за потреби скорингову ризик-модель) і самостійно визначає вхідні дані та інформаційні джерела для проведення оцінки ризиків, алгоритм (модель) проведення оцінки ризиків та шкалу визначення рівнів ризиків.

54. Установа, розробляючи критерії ризику з урахуванням свого ризик-апетиту у сфері ПВК/ФТ, визначає адекватні кількісні межі для тих критеріїв, які містять кількісні характеристики (зокрема "істотне збільшення", "великі обсяги", "регулярність").

55. Установа розробляє алгоритми, що містять кількісні та/або якісні характеристики, які надають можливість виявити і встановити наявність відповідного критерію ризику, притаманного клієнту і діловим відносинам із ним (фінансовій операції без встановлення ділових відносин) [вигодоодержувачу (вигодонабувачу) за договором страхування життя].

56. Установа встановлює високий ризик ділових відносин (фінансової операції без встановлення ділових відносин) стосовно клієнтів, визначених у частині п'ятій статті 7 Закону про ПВК/ФТ, в інших випадках, визначених установою самостійно у внутрішніх документах установи з питань ПВК/ФТ, а також щодо:

1) клієнтів (осіб), які здійснюють діяльність у сфері віртуальних активів;

2) клієнтів (осіб), щодо яких в установи є підозра про здійснення ними операцій ВК/ФТ, учинення інших злочинів;

3) клієнтів (осіб), щодо яких [вигодоодержувачів (вигодонабувачів) за договорами страхування життя яких] в установи є підозра стосовно їх належності до компаній-оболонок (здійснення ними фіктивної діяльності);

4) клієнтів, які здійснюють фінансові операції за зовнішньоекономічними договорами, учасниками яких є особи, які мають реєстрацію, місце проживання або місцезнаходження в державі (юрисдикції) із переліку держав, що не виконують рекомендації FATF;

5) клієнтів (осіб) - страхувальників, вигодоодержувачів (вигодонабувачів) за договорами страхування життя яких або КБВ вигодоодержувачів (вигодонабувачів) за договорами страхування життя яких:

мають реєстрацію, місце проживання або місцезнаходження в державі (юрисдикції) із переліку держав, що не виконують рекомендації FATF;

належать до категорії PEPs.

57. Установа встановлює неприйнятно високий ризик ділових відносин (фінансової операції без встановлення ділових відносин) стосовно клієнтів у випадках, визначених частиною шостою статті 7 Закону про ПВК/ФТ, в інших випадках, визначених установою самостійно у внутрішніх документах установи з питань ПВК/ФТ, а також щодо:

1) клієнтів (осіб), щодо яких в установи за результатами вивчення підозрілої діяльності клієнта є обґрунтовані підозри про здійснення ними операцій ВК/ФТ, інших злочинів;

2) клієнтів (осіб), щодо яких в установи є підстави вважати, що вони є компаніями-оболонками.

58. Установа, у разі відсутності критеріїв ризику і відсутності підозр, установлює низький ризик стосовно ділових відносин з клієнтами, які користуються послугами установи з низьким рівнем ризику ВК/ФТ (наприклад, фінансові операції стосуються переважно оплати комунальних послуг, іншої звичайної діяльності населення).

59. Установа постійно вживає заходів для підтримання в актуальному стані (уключно зі здійсненням переоцінки рівня ризику за потреби):

1) власного ризик-профілю - у разі зміни бізнес-моделі, упровадження нових продуктів або послуг, що істотно відрізняються від наявних з огляду на притаманні їм ризики ВК/ФТ, але не рідше одного разу на рік;

2) ризик-профілю клієнта:

під час здійснення заходів щодо актуалізації даних про клієнта;

у разі виявлення нових притаманних діловим відносинам (фінансовим операціям без встановлення ділових відносин) з клієнтом критеріїв ризику - не пізніше 15 дня місяця, наступного за місяцем, у якому було виявлено новий критерій ризику.

60. Установа на постійній основі вживає заходів щодо виявлення критеріїв ризику, притаманних діловим відносинам (фінансовим операціям без встановлення ділових відносин) з клієнтом, аналізуючи інформацію, отриману за результатами здійснення НПК, та здійснені фінансові операції клієнта [із використанням відповідних автоматизованих програмних модулів (за наявності)].

61. Установа зобов’язана на постійній основі формувати та вести в електронному вигляді переліки клієнтів із встановленими/переоціненими установою рівнями ризику ділових відносин (фінансової операції без встановлення ділових відносин) з такими клієнтами, включаючи низький, середній, високий, неприйнятно високий рівні ризику, факти встановлення установою належності клієнтів до категорії PEP та факти виявлення розбіжностей про КБВ та структуру власності клієнта (далі - Переліки клієнтів).

Установа формує Переліки клієнтів із зазначенням таких даних:

1) дата здійснення установою оцінки;

2) дата здійснення установою переоцінки (у разі зміни рівня ризику);

3) дата виявлення належності клієнта до категорії PEP;

3-1) дата виявлення розбіжностей щодо відомостей про КБВ, розміщених в ЄДР, за наявності таких розбіжностей (у разі формування та ведення щодо такого клієнта анкети клієнта відповідна інформація зазначається в анкеті);

3-2) дата виявлення розбіжностей щодо відомостей про структуру власності, розміщених в ЄДР, за наявності таких розбіжностей (у разі формування та ведення щодо такого клієнта анкети клієнта відповідна інформація зазначається в анкеті);

4) для фізичних осіб - резидентів: прізвище, ім'я, по батькові (за наявності);

РНОКПП / номер (та за наявності - серії) паспорта громадянина України, в якому проставлено відмітку про відмову від прийняття РНОКПП / номер паспорта із записом про відмову від прийняття РНОКПП в електронному безконтактному носії / унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності);

5) для фізичних осіб - нерезидентів:

прізвище, ім'я, по батькові (за наявності);

номер (та за наявності - серії) паспорта (або іншого документа, що посвідчує особу та відповідно до законодавства України може бути використаний на території України для укладення правочинів) / унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності);

6) для юридичних осіб - резидентів:

повне найменування;

код за ЄДРПОУ;

7) для юридичних осіб - нерезидентів (трастів або інших подібних правових утворень) / представництв юридичних осіб - нерезидентів:

повне найменування;

країна реєстрації.

Установа зобов'язана надати в електронному вигляді на запит Національного банку засвідчені КЕП керівника установи Переліки клієнтів, які містять актуальну інформацію на дату, зазначену в запиті Національного банку. Установа в разі потреби формування Переліків клієнтів на паперових носіях зобов'язана забезпечити відображення на паперових носіях усіх даних, ідентичних тим, які містять Переліки клієнтів в електронному вигляді та які передбачені пунктом 61 розділу IV цього Положення, з обов'язковим зазначенням дати друкування.

62. Установа зобов'язана здійснювати оцінку/переоцінку ризиків, у тому числі притаманних її діяльності, документувати їх результати, а також підтримувати в актуальному стані інформацію щодо оцінки ризиків, притаманних її діяльності (ризик-профіль установи), та ризику своїх клієнтів таким чином, щоб бути здатною продемонструвати своє розуміння ризиків, що становлять для неї такі клієнти (ризик-профіль клієнтів).

63. Установа визначає перелік та обсяг необхідних до вжиття заходів для ефективного управління ризиками ВК/ФТ у межах попередньо визначеного прийнятного рівня ризиків установи.

64. Заходи з управління ризиками ВК/ФТ, зокрема, включають:

1) чіткий розподіл обов'язків та відповідальності між працівниками установи і постійний внутрішній контроль;

2) попередній аналіз нових продуктів/послуг установи з метою виявлення притаманних їм потенційних ризиків ВК/ФТ;

3) застосування лімітів, інших інструментів, які обмежують використання окремої послуги/продукту;

4) упровадження диверсифікованого підходу з отримання дозволу на встановлення (продовження) ділових відносин (проведення разової фінансової операції на значну суму без встановлення ділових відносин) з клієнтом, застосовуючи ризик-орієнтований підхід (за принципом: вищий ризик - вищий за посадою уповноважений працівник установи надає свій дозвіл, уключаючи керівників установи);

5) отримання додаткового дозволу уповноваженого працівника установи / керівника установи на проведення окремих фінансових операцій із високим рівнем ризику в рамках встановлених ділових відносин;

6) забезпечення моніторингу ділових відносин з клієнтом, що уможливлять оперативне виявлення відповідних притаманних критеріїв ризику;

7) здійснення заходів НПК (уключно з посиленими за потреби) та застосування принципу "знай свого клієнта", уключно з отриманням додаткової необхідної інформації для розуміння змісту діяльності клієнта та/або суті фінансової операції;

8) підвищення ступеня і характеру моніторингу ділових відносин з клієнтами високого рівня ризику;

9) регулярне та об'єктивне інформування керівництва установи про виявлені ризики ВК/ФТ та заходи з управління такими ризиками;

10) забезпечення розуміння працівниками установи своїх обов'язків у сфері ПВК/ФТ, у тому числі шляхом проведення навчальних заходів.

65. Установа регулярно, але не рідше одного разу на рік, під час актуалізації свого ризик-профілю переглядає наявні в установі заходи з управління ризиками щодо їх достатності й ефективності та розробляє додаткові заходи, якщо за результатами аналізу наявних заходів недостатньо для ефективного управління ризиками ВК/ФТ.

66. Установа визначає у внутрішніх документах установи з питань ПВК/ФТ суть усіх заходів із застосування ризик-орієнтованого підходу.

67. Установа, застосовуючи спрощені або посилені заходи НПК, повинна бути здатною обґрунтувати такий свій підхід.

68. Установа зобов'язана документувати всі вжиті заходи щодо застосування нею ризик-орієнтованого підходу таким чином, щоб бути здатною продемонструвати відповідність цих заходів вимогам законодавства України з питань ПВК/ФТ.

69. Ознаками неналежної системи управління ризиками є:

1) неналежне здійснення комплексної оцінки/переоцінки ризиків ВК/ФТ установи, уключно з притаманними її діяльності (ризик-профілю установи), документування їх результатів, заходів із моніторингу, контролю ризиків та підтримання ризик-профілю установи в актуальному стані для мінімізації використання послуг установи з метою ВК/ФТ;

2) нездійснення НПК, неналежне здійснення оцінки/переоцінки ризику ділових відносин (фінансових операцій без встановлення ділових відносин) з клієнтами (ризик-профілів клієнтів), документування їх результатів, заходів із моніторингу, контролю ризиків та підтримання ризик-профілів клієнтів установи в актуальному стані для мінімізації використання послуг установи з метою ВК/ФТ;

3) неналежне застосування ризик-орієнтованого підходу, що полягає в неналежному розумінні установою ризиків ВК/ФТ, невжиття пропорційних виявленим ризикам ефективних заходів щодо їх мінімізації (СЗНП для клієнтів із низьким ризиком та ПЗНП для клієнтів із високим ризиком), відсутність ризик-орієнтованої процедури погодження ділових відносин з клієнтами;

4) невжиття своєчасних та адекватних заходів щодо мінімізації виявлених ризиків ВК/ФТ до прийнятного рівня ризиків ВК/ФТ;

5) відсутність дієвих інструментів для запобігання/унеможливлення багаторазового, у великих обсягах проведення фінансових операцій (діяльності), щодо яких є підозри у використанні установи для ВК/ФТ чи вчинення іншого злочину, зокрема моніторингу ділових відносин з клієнтами та фінансових операцій клієнтів, що здійснюються в процесі таких ділових відносин;

6) відсутність ефективного внутрішнього контролю з питань фінансового моніторингу, несвоєчасне виявлення внутрішнім аудитом (контролем) проблем та недоліків у внутрішній системі ПВК/ФТ та ознак неналежної системи управління ризиками ВК/ФТ;

7) відсутність ефективної системи ескалації підозр та проблемних питань у сфері ПВК/ФТ, що унеможливило своєчасний та дієвий порядок їх розгляду, уключно з повідомленням інформації/фактів, що стосуються випадків порушення або можливого порушення законодавства України у сфері ПВК/ФТ;

8) відсутність належної системи виявлення PEPs, що призвело до невжиття належним чином установою щодо них додаткових заходів, визначених законодавством України у сфері ПВК/ФТ;

9) відсутність належної системи виявлення КБВ клієнтів;

10) незабезпечення установою належного документування дій працівників установи та фіксації подій, пов'язаних із виконання установою функцій СПФМ.

70. Система управління ризиками ВК/ФТ установи вважається неналежною в разі встановлення хоча б однієї з ознак, визначених у пункті 69 розділу IV цього Положення, та фактів багаторазового, у великих обсягах проведення фінансових операцій, щодо яких є підозри у використанні установи для ВК/ФТ чи вчинення іншого злочину, що стали наслідком невиконання заходів ПВК/ФТ.

71. Відповідальний працівник установи призначається в порядку, визначеному установчими документами установи та цим Положенням.

Посада відповідального працівника установи має рівень керівництва установи.

72. Відповідальний працівник установи безпосередньо підпорядковується керівнику установи та звітує перед ним.

73. Відповідальним працівником установи / особою, що виконуватиме обов'язки відповідального працівника установи, не може бути голова виконавчого органу (якщо виконавчий орган колегіальний), директор (президент) (якщо виконавчий орган одноосібний) або інша посадова особа, яка здійснює керівництво та управління суб'єктом господарювання відповідно до законодавства та установчих документів (обмеження не застосовується до мікропідприємств).

74. Відповідальний працівник установи повинен мати бездоганну ділову репутацію та відповідати кваліфікаційним вимогам, установленим цим Положенням.

Кваліфікаційними вимогами щодо відповідального працівника установи є вимоги щодо професійної придатності відповідального працівника установи, а також щодо відсутності фактів, передбачених цим Положенням.

75. Ознаками небездоганної ділової репутації відповідального працівника установи є:

1) наявність в особи судимості, яка не погашена та не знята в установленому законом порядку;

2) позбавлення особи права займати певні посади або займатися певною діяльністю згідно з вироком або іншим рішенням суду (застосовується впродовж строку дії такого покарання);

3) наявність факту, що особа була керівником, головним бухгалтером або власником істотної участі в установі не менше шести місяців протягом одного року, що передує прийняттю рішення відповідним державним органом про застосування заходу впливу у вигляді:

відкликання/анулювання всіх ліцензій в установи (застосовується протягом п'яти років з дня прийняття рішення відповідним державним органом про відкликання/анулювання ліцензії);

відсторонення керівництва від управління установою та призначення тимчасової адміністрації в установі в разі встановлення порушень установою законів та інших нормативно-правових актів, що регулюють діяльність з надання фінансових послуг (застосовується протягом п'яти років з дня прийняття рішення відповідним державним органом про відсторонення керівництва від управління установою та призначення тимчасової адміністрації);

4) наявність факту, що особа була керівником, головним бухгалтером або власником істотної участі в установі не менше шести місяців, якщо таку установу в цей період або протягом одного року після цього було визнано банкрутом та/або піддано процедурі примусової ліквідації (застосовується протягом 10 років з дня визнання установи банкрутом або початку процедури примусової ліквідації).

76. Вимогами щодо професійної придатності відповідального працівника установи є:

1) наявність вищої економічної, юридичної освіти або освіти в галузі управління (для відповідального працівника мікропідприємства - вищої освіти);

2) наявність стажу роботи в установі, видом діяльністю якої є надання фінансових послуг, за напрямом діяльності у сфері ПВК/ФТ, або стажу роботи в СУО / Міністерстві фінансів України, пов'язаного з набуттям досвіду у сфері ПВК/ФТ, - не менше одного року;

3) обізнаність із законодавством України у сфері ПВК/ФТ, а також володіння навичками щодо застосування в практичній діяльності вимог законодавства України та внутрішніх документів установи з питань ПВК/ФТ [має бути підтверджено документом про проходження навчання у сфері ПВК/ФТ на базі відповідного навчального закладу, віднесеного до сфери управління СУО, або в інших навчальних закладах за погодженням із СУО (далі - навчання у сфері ПВК/ФТ) протягом останніх трьох років].

Особа, яка вперше призначається на посаду відповідального працівника установи та/або не проходила навчання у сфері ПВК/ФТ протягом останніх трьох років, може бути призначена на посаду відповідального працівника установи без наявності документа, зазначеного в підпункті 3 пункту 76 розділу V цього Положення, за умови проходження нею навчання у сфері ПВК/ФТ протягом трьох місяців з дня її призначення на посаду відповідального працівника установи та отримання документа про проходження навчання у сфері ПВК/ФТ.

77. Щодо відповідального працівника установи повинні бути відсутні такі факти:

1) застосування Україною, іноземними державами (крім держав, які здійснюють збройну агресію проти України), міждержавними об'єднаннями або міжнародними організаціями санкцій щодо особи (застосовується протягом строку дії санкцій і протягом трьох років після їх скасування або закінчення строку, на який їх було введено);

2) включення особи до переліку терористів (застосовується протягом строку перебування особи в переліку та протягом 10 років після її виключення з нього).

78. Установа перевіряє ділову репутацію особи та її відповідність кваліфікаційним вимогам, установленим цим Положенням, на підставі таких документів:

1) оригінали документів для ідентифікації особи, що дають змогу встановити відомості, зазначені в пункті 1 частини дев'ятої та в пункті 1 частини десятої статті 11 Закону про ПВК/ФТ;

2) документи для оцінки ділової репутації особи, включаючи довідку компетентного органу країни постійного місця проживання фізичної особи про те, є чи немає в неї судимості;

3) документи для оцінки відповідності особи вимогам щодо професійної придатності, включаючи оригінали офіційних документів з інформацією про:

вищу освіту особи;

проходження особою навчання у сфері ПВК/ФТ (за наявності);

попередні місця роботи особи [наприклад, трудова книжка (за наявності)].

79. Установа, якщо немає можливості встановити відповідність професійної придатності особи на підставі іноземного документа про освіту або справжність цього документа чи статус навчального закладу, має право вимагати надання рішення уповноваженого державного органу України щодо визнання в Україні такого іноземного документа про освіту.

80. Установа зобов'язана перевірити особу, яка є кандидатом на посаду відповідального працівника установи, щодо її відповідності вимогам Закону про ПВК/ФТ та цього Положення в порядку, визначеному внутрішніми документами установи, до її призначення.

Установа в результаті такої перевірки має впевнитися у наявності/відсутності в особи бездоганної ділової репутації та про її відповідність/невідповідність кваліфікаційним вимогам, установленим цим Положенням, на підтвердження чого установою складається письмове рішення (висновок), яке(ий) підписується головою виконавчого органу (якщо виконавчий орган колегіальний) / керівником установи [далі - рішення (висновок)].

81. Установі забороняється призначати відповідальним працівником установи особу, щодо якої виявлено ознаки небездоганної ділової репутації та яка не відповідає кваліфікаційним вимогам, установленим цим Положенням.

82. Відповідальний працівник установи зобов'язаний протягом усього часу, упродовж якого він зберігає свій статус, відповідати вимогам, установленим Законом про ПВК/ФТ та цим Положенням.

83. Установа зобов'язана здійснювати постійний контроль за відповідністю відповідального працівника установи вимогам, установленим Законом про ПВК/ФТ та цим Положенням.

Установа не рідше одного разу на рік зобов'язана перевіряти відповідального працівника установи щодо його відповідності вимогам Закону про ПВК/ФТ та цього Положення в порядку, визначеному внутрішніми документами установи, та складати за результатами такої перевірки рішення (висновок).

84. Установа призначає особу, яка тимчасово виконуватиме обов'язки відповідального працівника установи (у зв'язку з тимчасовою непрацездатністю, відпусткою, відрядженням), у встановленому установчими документами установи та цим Положенням порядку строком до чотирьох місяців.

Установа покладає тимчасове виконання обов'язків відповідального працівника установи на особу, яка має бездоганну ділову репутацію та відповідає кваліфікаційним вимогам, установленим цим Положенням.

На особу, яка тимчасово виконує обов'язки відповідального працівника установи, покладаються всі обов'язки та надаються всі права відповідального працівника установи, передбачені в Законі про ПВК/ФТ, цим Положенням і внутрішніми документами установи з питань ПВК/ФТ.

85. Установа після звільнення з посади відповідального працівника установи / відсторонення від роботи згідно з рішенням Національного банку / відсторонення від роботи в інших передбачених законодавством України випадках зобов'язана не пізніше наступного робочого дня призначити іншого відповідального працівника установи.

Допускається в разі звільнення/відсторонення від роботи відповідального працівника установи призначення установою особи, яка виконуватиме обов'язки відповідального працівника установи на строк перевірки установою ділової репутації та відповідності кваліфікаційним вимогам, установленим цим Положенням, кандидата на посаду відповідального працівника установи, який не повинен перевищувати двох місяців.

86. Установа зберігає всі документи, на підставі яких нею проводилася перевірка ділової репутації відповідального працівника установи та його відповідності кваліфікаційним вимогам, установленим цим Положенням, а також рішення (висновок) протягом строків, визначених законодавством України.

87. Установа зобов'язана на запит Національного банку надати документи, на підставі яких нею проводилася перевірка ділової репутації відповідального працівника установи та його відповідності кваліфікаційним вимогам, установленим цим Положенням, а також рішення (висновок) та забезпечити роз'яснення (за потреби) суті заходів, які здійснювалися установою з метою перевірки відповідального працівника установи.

88. Установа несе відповідальність за належну перевірку ділової репутації відповідального працівника установи та його відповідності кваліфікаційним вимогам, установленим Законом про ПВК/ФТ та цим Положенням, достовірність інформації, на підставі якої прийнято рішення (висновок), та яка викладена у рішенні (висновку).

89. Вимоги, що встановлені розділом IV цього Положення, застосовуються до групи, в якій материнською компанією є фінансова установа, яка зареєстрована в Україні.

90. Група розробляє та впроваджує єдині правила з питань ПВК/ФТ з урахуванням вимог законодавства України, що регулюють питання ПВК/ФТ.

91. Єдині правила з питань ПВК/ФТ повинні містити особливості здійснення установами заходів із ПВК/ФТ.

92. Єдині правила з питань ПВК/ФТ групи поширюються на всіх учасників, що входять до такої групи.

93. Єдині правила з питань ПВК/ФТ групи повинні містити:

1) опис організаційної структури групи в частині забезпечення учасниками групи дотримання вимог законодавства України з питань ПВК/ФТ;

2) визначення учасників групової системи ПВК/ФТ відповідно до напрямів діяльності учасників групи;

3) порядок обігу та забезпечення конфіденційності інформації між членами групи.

94. Основними принципами розроблення та ефективної реалізації єдиних правил із питань ПВК/ФТ групи є:

1) забезпечення організації та функціонування ефективної системи ПВК/ФТ членами групи;

2) наявність належної системи управління ризиками ВК/ФТ;

3) наявність належної системи контролю за дотриманням учасниками групи міжнародних стандартів із ПВК/ФТ, законодавства України з питань ПВК/ФТ та єдиних правил із питань ПВК/ФТ;

4) розроблення загальних принципів застосування програмного забезпечення для здійснення аналізу фінансових операцій з метою виявлення фінансових операцій, що підлягають фінансовому моніторингу, активів, пов'язаних із тероризмом та його фінансуванням, розповсюдженням зброї масового знищення та його фінансуванням, а також учасниками або вигодоодержувачами за якими є особи, включені до санкційного переліку РНБОУ, інших переліків, визначених групою;

5) запровадження єдиних вимог до порядку обміну та використання учасниками групи інформації у випадках, визначених Законом про ПВК/ФТ, забезпечення конфіденційності обігу такої інформації;

6) розроблення єдиного порядку передавання і зберігання документів та інформації з питань ПВК/ФТ.

95. Оновлення єдиних правил із питань ПВК/ФТ групи здійснюється на постійній основі, але не пізніше трьох місяців із дня набрання чинності відповідними змінами до законодавства України з питань ПВК/ФТ та/або встановлення групою подій, що можуть вплинути на ризики ВК/ФТ.

96. Установам, які є учасниками груп, уключно з міжнародними групами (материнські компанії яких не є установами, які зареєстровані в Україні), дозволяється здійснювати розкриття та взаємний обмін інформацією, що є таємницею фінансового моніторингу, у межах такої групи (включаючи материнську компанію та інших учасників групи) для забезпечення дотримання групою вимог міжнародних стандартів у сфері ПВК/ФТ за умови, що такі учасники групи дотримуються єдиних правил із питань ПВК/ФТ (уключно з процедурами обміну інформацією в межах групи), які забезпечують конфіденційність обігу такої інформації.

1. Установа зобов'язана здійснювати належну перевірку нових та наявних клієнтів у випадках, передбачених у статті 11 Закону про ПВК/ФТ.

2. Заходи щодо ідентифікації та верифікації клієнта (представника клієнта) здійснюються установою в порядку, визначеному в додатку 2 до Положення про здійснення установами фінансового моніторингу (далі - Положення).

3. Встановлення КБВ та верифікація його особи здійснюється установою в порядку, визначеному в додатку 4 до Положення.

4. Оцінка ризику ділових відносин (проведення фінансової операції без встановлення ділових відносин) з клієнтом є складовою частиною НПК.

5. Установа до встановлення ділових відносин (проведення фінансової операції без встановлення ділових відносин) з клієнтом має встановити (зрозуміти) мету та характер майбутніх ділових відносин або проведення фінансової операції на підставі отриманої від такого потенційного клієнта необхідної інформації. З цією метою установа, керуючись ризик-орієнтованим підходом, зокрема з'ясовує:

1) суть, масштаб та вид діяльності клієнта - юридичної особи, ФОП, трасту або іншого подібного правового утворення;

2) розмір доходів / соціальний стан клієнта - фізичної особи;

3) вид послуг/продуктів, за якими клієнт звертається до установи;

4) орієнтовний обсяг фінансових операцій, які планує проводити клієнт в установі.

6. Установа, використовуючи ризик-орієнтований підхід, під час здійснення НПК щодо юридичної особи, трасту або іншого подібного правового утворення здійснює ретельний аналіз інформації про клієнта з метою виявлення критеріїв ризику, що можуть свідчити про те, що потенційний клієнт є компанією-оболонкою, визначених у додатку 18 до Положення.

Установа в разі виявлення відповідних критеріїв ризику з метою підтвердження/спростування того, що потенційний клієнт є компанією-оболонкою, зобов'язана отримати та проаналізувати додаткові документи та/або інформацію, що можуть уточнити/роз'яснити наявність/відсутність відповідних підстав для підозри установи, наприклад:

1) про фінансову звітність, підтверджену незалежним зовнішнім аудитом, яка розкриває суть та зміст фінансових операцій, що здійснюються клієнтом, та дає змогу встановити відповідність прибутку (доходу) / обороту його господарській діяльності;

2) що підтверджують фактичний рух товарів, надання послуг, виконання робіт під час здійснення господарської діяльності;

3) що підтверджують ведення господарської діяльності основними контрагентами потенційного клієнта;

4) що підтверджують сплату податку на прибуток (доходи);

5) що підтверджують найм осіб на умовах трудового договору (договору про найм персоналу або договору про надання послуг аутсорсингу), до посадових обов'язків яких належить організація та забезпечення здійснення господарської діяльності, з урахуванням відповідності таких обов'язків виду діяльності потенційного клієнта, обсягам його фінансових операцій;

6) що підтверджують наявність виробничих/офісних приміщень, інших активів, достатніх для ведення потенційним клієнтом відповідного виду господарської діяльності (правовстановлюючий документ або договір оренди приміщення/устаткування);

7) що підтверджують наявність офісних приміщень у потенційного клієнта за адресою масової реєстрації.

Перелік вищезазначених документів/інформації не є вичерпним. Установа може самостійно визначити інші документи/інформацію, які на її розсуд є достатніми для підтвердження того, що потенційний клієнт не є компанією-оболонкою, за умови, що обсяг такої інформації є достатнім для проведення належного аналізу інформації щодо клієнта та прийняття відповідного обґрунтованого рішення.

7. Вимоги пункту 6 додатка 1 до Положення не поширюються на юридичних осіб, які є холдинговими компаніями або їх корпоративними підприємствами, за умови, що структура власності холдингової компанії є прозорою, дає змогу визначити КБВ (або впевнитись у їх відсутності) та суть господарської діяльності такої юридичної особи є повністю зрозумілою установі.

8. Якщо отримані установою документи та/або інформація, визначені в пункті 6 додатка 1 до Положення, не є достатніми для спростування установою того, що потенційний клієнт є компанією-оболонкою (а також, якщо потенційний клієнт відмовив установі в наданні необхідних для аналізу документів/інформації), то установа встановлює таким потенційним діловим відносинам з клієнтом неприйнятно високий ризик та діє відповідно до вимог статті 15 Закону про ПВК/ФТ.

9. Установа, використовуючи ризик-орієнтований підхід, уживає заходів із метою підтвердження/спростування того, що клієнт є компанією-оболонкою, й щодо наявних клієнтів під час моніторингу ділових відносин та фінансових операцій клієнтів, що здійснюються в процесі таких відносин.

10. Установа в разі присвоєння клієнту неприйнятно високого рівня ризику відповідно до вимог пункту 8 додатка 1 до Положення вживає ПЗНП щодо інших клієнтів, які пов'язані з таким клієнтом та також є клієнтами установи.

11. Установа з урахуванням ризик-профілю клієнта на постійній основі проводить моніторинг ділових відносин та фінансових операцій клієнтів, що здійснюються в процесі таких відносин, щодо відповідності таких фінансових операцій наявній в установі інформації про клієнта, його діяльність та ризик (у тому числі, за потреби, про джерело коштів, пов'язаних із фінансовими операціями) у порядку, визначеному в додатку 1 до Положення.

12. Якщо за результатами моніторингу ділових відносин клієнта установа виявляє підозрілі фінансові операції (діяльність), то установа за потреби вживає заходів щодо переоцінки рівня ризику таких ділових відносин з клієнтом та вживає ПЗНП у разі присвоєння високого рівня ризику.

13. Установа зобов'язана забезпечувати актуалізацію даних про клієнта (отриманих та існуючих документів, даних та інформації про нього):

1) не рідше одного разу на рік, якщо ризик ділових відносин з клієнтом є високим;

2) не рідше одного разу на три роки, якщо ризик ділових відносин з клієнтом є середнім;

3) не рідше одного разу на п'ять років - в інших випадках за умови відсутності підозр.

14. Установа зобов'язана забезпечувати актуалізацію даних про клієнта також у разі:

1) виявлення фактів наявності суттєвих змін у діяльності клієнта (зокрема в разі зміни КБВ, керівника, місцезнаходження юридичної особи, трасту, іншого подібного правового утворення, ФОП);

2) закінчення строку (припинення) дії, втрати чинності чи визнання недійсними поданих документів;

3) втрати чинності / обміну ідентифікаційного документа клієнта (представника клієнта);

4) встановлення факту належності клієнта до PEP.

15. У разі втрати чинності / обміну ідентифікаційного документа клієнта (представника клієнта) установа уживає заходів щодо отримання даних чинного документа та актуалізації даних про клієнта не пізніше шести місяців із дня настання відповідної події. В інших випадках установа вживає заходів щодо актуалізації даних про клієнта не пізніше трьох місяців із дня виявлення відповідного факту / настання події.

16. Для клієнтів, які не підтримують ділових відносин з установою або не здійснюють подальших разових фінансових операцій на значну суму (за наявності попередньої разової фінансової операції на значну суму), протягом останніх шести місяців до настання подій, зазначених у пунктах 14, 15 додатка 1 до Положення, установа проводить актуалізацію даних про клієнтів у день їх наступного звернення до установи та/або до моменту ініціювання ними проведення фінансових операцій.

17. Установа у своїх внутрішніх документах установи з питань ПВК/ФТ може передбачити й інші випадки здійснення актуалізації даних про клієнта.

18. Установа може вживати заходів щодо актуалізації даних про клієнта шляхом використання дистанційних систем обслуговування, засобів електронної пошти із застосуванням КЕП / удосконаленого електронного підпису, телефонного зв'язку, кол-центру, інших дистанційних каналів зв'язку в межах технічних можливостей установи. У будь-якому разі установа документує вжиття цих заходів таким чином, щоб бути здатною продемонструвати їх належне вжиття (у тому числі зі збереженням відповідних записів, файлів).

19. Установа визначає необхідність інформування клієнтом установи про настання суттєвих змін в його діяльності (іншої інформації, що надавалася клієнтом установі) та встановлює процедуру отримання необхідних даних / інформації від клієнта (представника клієнта), зокрема шляхом установлення відповідних обов'язків у договорах про надання послуг установи.

20. Установа зобов'язана формувати та вести анкети клієнтів у разі:

1) якщо ризик ділових відносин з клієнтом (ризик фінансової операції без встановлення ділових відносин з клієнтом) є високим;

2) проведення фінансової операції, що підлягає фінансовому моніторингу [порогова та/або підозріла фінансова операція (діяльність)];

3) проведення разової фінансової операції без встановлення ділових відносин з клієнтом, якщо сума фінансової операції дорівнює або перевищує суму, визначену частиною першою статті 20 Закону про ПВК/ФТ або проведення клієнтом кількох фінансових операцій, що можуть бути пов'язані між собою, на загальну суму, що дорівнює або перевищує суму, визначену частиною першою статті 20 Закону про ПВК/ФТ;

4) виявлення факту належності потенційного клієнта та клієнта, з яким підтримуються ділові відносини, до категорії PEP;

5) встановлення ділових відносин з клієнтом на підставі договору про приймання на його користь регулярних платежів.

Анкета клієнта ведеться установою в електронному вигляді.

Перелік інформації, що має міститися в анкетах клієнтів, наведено в додатках 22-26 до Положення.

Установа має право за потреби доповнювати анкети додатковими даними.

Анкета клієнта має містити інформацію, отриману установою за результатами НПК (уключаючи ПЗНП), а також висновки установи щодо оцінки ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом із зазначенням дат здійснення таких оцінок та переоцінок (у разі зміни рівня ризику).

Установа вносить до анкети інформацію (дані), достовірність якої (яких) підтверджується наявними в установі відповідними документами (їх копіями), а також інформацію, отриману від клієнта, з офіційних, надійних та інших джерел.

21. Анкета клієнта формується під час встановлення ділових відносин з клієнтом, але до проведення першої фінансової операції клієнтом. Анкета доповнюється новими або уточненими даними протягом 10 робочих днів за результатами вжитих установою заходів щодо актуалізації даних про клієнта. Інформація щодо оцінки/переоцінки рівня ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом зазначається в день здійснення такої оцінки/переоцінки (із зазначенням відповідних дат здійснення такої оцінки/переоцінки).

22. Установа в разі потреби формування паперової форми анкети зобов'язана забезпечити відображення в ній всіх даних електронної анкети.

23. Установа документує проведення НПК та прийняті установою рішення в спосіб, що дасть змогу продемонструвати їх належне здійснення та обґрунтованість, та зберігає відповідні документи та/або інформацію у справі клієнта протягом строків, визначених Законом про ПВК/ФТ.

24. Справа клієнта може формуватися та зберігатися в електронному вигляді.

1. Установа зобов'язана здійснювати ідентифікацію та верифікацію клієнта (представника клієнта) з урахуванням вимог Закону про ПВК/ФТ та Положення про здійснення установами фінансового моніторингу (далі - Положення).

2. Ідентифікація та верифікація клієнта здійснюються до встановлення ділових відносин, вчинення правочинів, проведення фінансової операції.

З метою неперешкоджання звичайній діловій практиці верифікація клієнта може здійснюватися за необхідності під час встановлення ділових відносин. У такому разі здійснення верифікації має бути завершене якнайшвидше після першого контакту з клієнтом за умови здійснення ефективного управління ризиками ВК/ФТ.

3. Установа під час здійснення ідентифікації отримує такі ідентифікаційні дані:

1) для фізичної особи - відомості, зазначені в пункті 1 частини дев'ятої та в пункті 1 частини десятої статті 11 Закону про ПВК/ФТ;

2) для ФОП - відомості, зазначені в пункті 2 частини дев'ятої статті 11 Закону про ПВК/ФТ;

3) для юридичної особи - відомості, зазначені в пункті 3 частини дев'ятої та в пункті 2 частини десятої статті 11 Закону про ПВК/ФТ;

4) для трасту або іншого подібного правового утворення - відомості, зазначені в пункті 3 частини десятої статті 11 Закону про ПВК/ФТ;

5) для органу державної влади України або фонду соціального страхування:

повне найменування;

місцезнаходження;

реквізити розпорядчого акта, на підставі якого створено юридичну особу (найменування, дата прийняття/підписання, номер розпорядчого акта), крім тих, що діють на підставі законодавства України;

код за ЄДРПОУ;

ідентифікаційні дані осіб, які мають право розпоряджатися майном;

6) для міжнародної установи чи організації (її представництва), в яких бере участь Україна відповідно до міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України, а також міжнародних договорів України, що не підлягають ратифікації:

дату укладення, номер, дату ратифікації Україною договору (за наявності);

ідентифікаційні дані осіб, які мають право розпоряджатися майном на території України;

7) для представництв установ, органів, офісів або агентств Європейського Союзу:

повне найменування;

місцезнаходження;

відомості про нормативний акт та/або договір, на підставі якого створено таку установу, орган, офіс або агентство;

ідентифікаційні дані осіб, які мають право розпоряджатися майном на території України;

8) для дипломатичних представництв іноземних держав, акредитованих в Україні в установленому порядку:

повне найменування;

місцезнаходження на території України;

відомості про документ, що підтверджує акредитацію на території України;

ідентифікаційні дані осіб, які мають право розпоряджатися майном на території України;

9) для страховиків (перестраховиків), страхових (перестрахових) брокерів у разі проведення страхового відшкодування або страхової виплати за договором міжнародного обов'язкового страхування цивільно-правової відповідальності:

щодо юридичної особи - резидента:

повне найменування;

місцезнаходження;

код за ЄДРПОУ;

щодо юридичної особи - нерезидента:

повне найменування;

місцезнаходження.

4. Установа під час розроблення процедур ідентифікації та верифікації має керуватися ризик-орієнтованим підходом, дотримуючись вимог та обмежень, установлених в Положенні, та враховувати те, що результатом здійснення ідентифікації та верифікації має бути:

1) однозначне встановлення особи клієнта (представника клієнта);

2) впевненість у тому, що отримані ідентифікаційні дані належать клієнту (представнику клієнта);

3) переконання в тому, що клієнт (представник клієнта) не є самозванцем, а дійсно є особою, якою він/вона назвався/назвалася.

5. Установа може здійснити ідентифікацію на підставі інформації, отриманої від клієнта (представника клієнта), або одночасно на підставі документів та/або інформації, отриманої установою з метою здійснення його верифікації.

6. Установа зобов'язана здійснювати верифікацію на підставі офіційних документів або інформації, отриманої з офіційних джерел або інших надійних джерел, визначених у додатку 1 до Положення. Під час здійснення верифікації установа має перевірити (підтвердити) належність відповідній особі ідентифікаційних даних.

7. Офіційні документи мають бути чинними (дійсними) на момент їх подання.

8. Установа забезпечує перевірку відповідності оформлення офіційних документів вимогам законодавства України та їх чинності (дійсності), а також ужиття інших заходів з метою мінімізації ризику використання підробок та документів з ознаками фальсифікації під час ідентифікації та верифікації.

9. Установа здійснює верифікацію клієнта - фізичної особи (у тому числі неповнолітньої) / ФОП або фізичної особи - представника клієнта на підставі ідентифікаційного документа його власника (якщо інше не передбачено в Положенні) щодо таких ідентифікаційних даних:

1) прізвище, ім'я та (за наявності) по батькові (якщо за звичаями національної меншини, до якої належить особа, прізвище або по батькові не є складовими імені, то лише складові імені);

2) дата народження;

3) серія (за наявності) та номер ідентифікаційного документа, дата видачі та орган, що його видав;

4) громадянство (для нерезидентів);

5) місце проживання або місце перебування (для резидентів) / місце проживання або місце тимчасового перебування в Україні (для нерезидентів) з урахуванням пункту 28 додатка 2 до Положення;

6) РНОКПП;

7) унікальний номер запису в Єдиному державному демографічному реєстрі (за наявності).

10. Установа, якщо ідентифікаційний документ клієнта (представника клієнта), який є резидентом, не містить РНОКПП та відмітки або запису про відмову про прийняття РНОКПП, додатково отримує довідку про присвоєння РНОКПП.

11. Установа, якщо ідентифікаційний документ не містить унікального номера запису в Єдиному державному демографічному реєстрі, може не вимагати додаткових документів для його встановлення.

12. Установа отримує ідентифікаційний документ під час здійснення верифікації клієнта - фізичної особи (у тому числі неповнолітньої) / ФОП або фізичної особи - представника клієнта шляхом:

1) пред'явлення оригіналу документа власником у його особистій присутності (під особистою присутністю слід уважати фізичну присутність особи, верифікація якої здійснюється, в одному приміщенні з уповноваженим працівником установи під час здійснення верифікації його особи);

2) пред'явлення оригіналу документа власником під час верифікації, здійсненої установою в режимі відеотрансляції з дотриманням вимог, визначених у додатку 3 до Положення (далі - відеоверифікація).

Установа може використовувати й інші методи ідентифікації та верифікації представників юридичної особи, які є її підписантами (включені до переліку осіб, які мають право підписувати розрахункові документи клієнта), зокрема шляхом отримання необхідних ідентифікаційних даних підписантів від клієнта у вигляді листа/опитувальника, підписаного КЕП керівника цієї юридичної особи.

13. Факт особистої присутності фізичної особи під час здійснення верифікації установа документує шляхом використання будь-якого з таких способів:

1) виготовлення уповноваженим працівником установи паперових копій з оригіналу ідентифікаційного документа (сторінок/сторін, що містять ідентифікаційні дані), які засвідчуються підписами цього уповноваженого працівника та фізичної особи - власника документа як такі, що відповідають оригіналу (додатково на копіях зазначається дата їх виготовлення);

2) виготовлення електронних копій з оригіналу ідентифікаційного документа (сторінок/сторін, що містять ідентифікаційні дані), а також здійснення фотофіксації особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника, з подальшим накладенням КЕП уповноваженим працівником установи та кваліфікованої електронної позначки часу на отримані електронні документи;

3) зчитування ідентифікаційних даних із безконтактного електронного носія, імплантованого до ID-картки, збереження протоколу проведеної автентифікації під час здійснення процедури зчитування (принаймні пасивної автентифікації відповідно до пункту 5.1 частини одинадцятої ІКАО Doc 9303) та:

збереження протоколу фіксації факту введення особою правильного персонального ідентифікаційного номера, призначеного для ідентифікації та авторизації доступу до безконтактного електронного носія (ПІН1), або

здійснення фотофіксації особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника, з подальшим накладенням КЕП уповноваженим працівником установи та кваліфікованої електронної позначки часу на отриманий електронний документ, що містить фото.

Установа може документувати факт зчитування ідентифікаційних даних з ID-картки і в інший спосіб за умови, що факт особистої присутності власника ідентифікаційного документа під час процедури зчитування може бути доведено установою таким чином, що не викликає сумнівів;

4) отримання е-паспорта / е-паспорта для виїзду за кордон, завіреного кваліфікованою електронною печаткою Державного підприємства "ДІЯ" з відповідною кваліфікованою електронною позначкою часу, що відповідатиме даті здійснення установою верифікації особи.

14. Установа здійснює верифікацію малолітньої особи на підставі поданого її законним представником (одним із батьків, усиновлювачем або опікуном) свідоцтва про народження малолітньої особи або паспорта для виїзду за кордон, або іншого документа, що посвідчує малолітню особу-нерезидента.

Присутність малолітньої особи в такому разі не вимагається.

Якщо малолітня особа є резидентом України, то установа отримує додатково довідку про присвоєння РНОКПП такій малолітній особі.

Установа здійснює верифікацію законного представника малолітньої особи в порядку, визначеному для фізичної особи.

15. Установа здійснює верифікацію неповнолітньої особи в порядку, визначеному для фізичної особи.

16. Установа здійснює ідентифікацію особи, від імені або за дорученням якої встановлюються ділові відносини / проводиться фінансова операція. Установа отримує необхідні ідентифікаційні дані з офіційних документів (їх копій), зокрема довіреності, інформації, наданої та засвідченої законним представником, та з інших джерел. Верифікація цієї особи здійснюється під час її першого звернення до установи.

17. Установа під час укладення договору про надання послуг на користь третьої особи здійснює ідентифікацію та верифікацію особи, яка укладає договір. Договір має містити всі ідентифікаційні дані особи, на користь якої він укладений. Установа здійснює верифікацію цієї особи під час пред'явлення нею до установи першої вимоги або вираження іншим способом наміру отримати відповідні послуги.

Установа здійснює ідентифікацію та верифікацію особи, на користь якої здійснюється страхове відшкодування або страхова виплата за договорами страхування відповідальності перед третьою особою, під час проведення страхового відшкодування або страхової виплати за такими договорами.

18. Установа, якщо особа діє як представник іншої особи чи від імені або в інтересах іншої особи, зобов'язана також встановити КБВ особи, від імені або в інтересах якої проводиться фінансова операція (за наявності), або встановити вигодоодержувача (вигодонабувача) за фінансовою операцією.

19. Установа, якщо її клієнтом є номінальний утримувач, з метою мінімізації ризиків ВК/ФТ може прийняти рішення про необхідність встановлення особи, на користь або в інтересах якої проводиться фінансова операція такого номінального утримувача, тобто встановити вигодоодержувача (вигодонабувача).

20. Установа встановлює такі дані щодо вигодоодержувача (вигодонабувача) за фінансовою операцією:

1) для фізичної особи - прізвище, ім'я та (за наявності) по батькові, дату народження, країну громадянства та постійного місця проживання;

2) для юридичної особи - повне найменування, місцезнаходження, дату та орган реєстрації юридичної особи, дані, що дають змогу встановити кінцевих бенефіціарних власників.

Установа встановлює вигодоодержувача на підставі документів та/або інформації, наданих особою, яка діє на користь або в інтересах вигодоодержувача, а також з інших джерел, якщо відповідна інформація є публічною (відкритою).

21. Страховики (перестраховики), страхові (перестрахові) брокери з метою здійснення ідентифікації вигодоодержувача (вигодонабувача) за договором страхування життя додатково до заходів НПК встановлюють:

1) для вигодоодержувачів (вигодонабувачів), конкретно визначених у договорі страхування життя, - прізвище, ім'я та (за наявності) по батькові фізичної особи або найменування юридичної особи, трасту або іншого подібного правового утворення;

2) для вигодоодержувачів (вигодонабувачів), визначених через їх характеристики або категорію (наприклад, чоловік, дружина або діти на момент настання страхового випадку) чи в інший спосіб (наприклад за заповітом), - інформацію, достатню для впевненості страховика (перестраховика), страхового (перестрахового) брокера в можливості ідентифікувати вигодоодержувача (вигодонабувача) під час здійснення страхової виплати.

Страховики (перестраховики), страхові (перестрахові) брокери здійснюють верифікацію вигодоодержувачів (вигодонабувачів) за договором страхування життя під час здійснення страхової виплати. У разі передачі прав за договорами страхування життя третім особам ідентифікація нових вигодоодержувачів (вигодонабувачів) здійснюється під час передачі таких прав.

22. Установа здійснює верифікацію суб'єкта господарювання в частині ідентифікаційних даних, що стосуються його державної реєстрації, на підставі даних, що містяться в ЄДР, зокрема отриманих у вигляді безоплатного доступу через портал електронних сервісів.

Установа отримує установчі документи юридичної особи шляхом їх пошуку за кодом доступу, наданим/введеним представником клієнта.

Якщо в ЄДР немає установчих документів, то установа може отримати їх у вигляді належним чином засвідченої копії зареєстрованого установчого документа.

23. Установа, якщо особа діє як представник клієнта, повинна перевірити на підставі офіційних документів наявність у цієї особи відповідних повноважень. Документи, видані на території іноземної держави, що підтверджують повноваження представника клієнта, мають бути легалізовані в установленому порядку, якщо інше не передбачено законодавством або міжнародним договором України. Копії цих документів мають бути нотаріально засвідчені.

24. Установа за наявності договору доступу до СЕІ може здійснити верифікацію ФОП або представника клієнта - суб'єкта господарювання та перевірити наявність у представника суб'єкта господарювання відповідних повноважень у такому порядку:

1) отримання документів для встановлення ділових відносин за допомогою засобів інформаційних, телекомунікаційних, інформаційно-телекомунікаційних систем, які підписані/засвідчені КЕП клієнта, який є ФОП, або КЕП фізичної особи як представника відповідного суб'єкта господарювання;

2) здійснення перевірки наявності необхідного обсягу повноважень у такої фізичної особи як представника відповідного суб'єкта господарювання за допомогою підсистеми верифікації СЕІ;

3) установлення факту відповідності ідентифікаційних даних, що містяться в підсистемі верифікації СЕІ, ідентифікаційним даним, що містяться в КЕП такої особи;

4) документування належним чином фактів здійснення вищезазначених перевірок.

25. Установа під час верифікації клієнта-нерезидента, який є юридичною особою, також отримує легалізований витяг з торгового, банківського чи судового реєстру або нотаріально засвідчене реєстраційне посвідчення уповноваженого органу іноземної держави про реєстрацію цієї юридичної особи.

26. Установа під час верифікації клієнта-нерезидента, який є трастом або іншим правовим утворенням, також отримує нотаріально засвідчену копію документа або його легалізований витяг про утворення (заснування) трасту або іншого подібного правового утворення.

27. Установа з метою встановлення відомостей про виконавчий орган (органи управління) отримує принаймні найменування органу та прізвище, ім'я та (за наявності) по батькові осіб, які входять до складу такого органу.

28. Установа, якщо немає підозр щодо достовірності (чинності) документів та/або інформації, то може не здійснювати верифікації одержаних від клієнта та засвідчених ним таких ідентифікаційних даних:

1) місце проживання або місце перебування фізичної особи - резидента України (місце проживання або місце тимчасового перебування фізичної особи-нерезидента в Україні);

2) відомості про виконавчий орган (органи управління).

29. Повторна ідентифікація та верифікація клієнта (його представника) не є обов'язковими, якщо ця особа раніше була ідентифікована та верифікована належним чином, за умови відсутності в установи підозр та/або підстав уважати, що наявні документи, дані та/або інформація про клієнта (представника клієнта) є нечинними (недійсними) та/або неактуальними.

30. Установа може здійснити верифікацію клієнта - фізичної особи також шляхом використання одного з таких способів:

1) за допомогою Системи BankID НБУ в такому порядку:

отримати ідентифікаційні дані такої фізичної особи за допомогою засобів Системи BankID НБУ;

отримати від фізичної особи копію ідентифікаційного документа (копії сторінок ідентифікаційного документа, що містять ідентифікаційні дані), на яку накладений КЕП клієнта;

здійснити перевірку ідентифікаційних даних, що містяться в копії ідентифікаційного документа, КЕП та файлі, отриманому за допомогою Системи BankID НБУ від банку, що є абонентом-ідентифікатором, на їх відповідність;

2) шляхом отримання електронної копії ідентифікаційного документа, в такому порядку:

отримати е-паспорт / е-паспорт для виїзду за кордон, завірений кваліфікованою електронною печаткою Державного підприємства "ДІЯ" з відповідною кваліфікованою електронною позначкою часу, що відповідатиме даті здійснення установою верифікації особи, та:

здійснити фотофіксацію особи із використанням методу розпізнавання реальності особи з подальшим накладенням КЕП уповноваженого працівника установи та кваліфікованої електронної позначки часу на отриманий електронний документ, що містить фото; або

отримати копію ідентифікаційного документа або опитувальника, на який накладений КЕП клієнта.

Установа може вважати верифікацію клієнта - фізичної особи завершеною лише за умови здійснення нею успішної перевірки відповідності отриманих ідентифікаційних даних.

31. Установа у разі дотримання одночасно всіх умов, визначених у пункті 32 додатка 2 до Положення, може здійснити верифікацію клієнта - фізичної особи шляхом використання будь-якого з таких способів:

1) отримання копії ідентифікаційного документа та довідки про присвоєння РНОКПП (якщо немає необхідної інформації в ідентифікаційному документі), засвідченої КЕП власника ідентифікаційного документа;

2) отримання через Систему BankID НБУ ідентифікаційних даних;

3) зчитування ідентифікаційних даних із безконтактного електронного носія, імплантованого до ID-картки, збереження протоколу проведеної автентифікації під час здійснення процедури зчитування (принаймні пасивної автентифікації відповідно до пункту 5.1 частини одинадцятої ІКАО Doc 9303) та

збереження протоколу фіксації факту введення особою правильного персонального ідентифікаційного номера, призначеного для ідентифікації та авторизації доступу до безконтактного електронного носія (ПІН1), або

здійснення фотофіксації особи з використанням методу розпізнавання реальності особи та особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника, з подальшим накладенням КЕП уповноваженим працівником установи та кваліфікованої електронної позначки часу на отриманий електронний документ, що містить фото;

4) отримання ідентифікаційних даних та фінансового номера телефону з бюро кредитних історій (за умови, що джерелом таких даних є банк) та коректного введення особою, верифікація якої здійснюється, otp-пароля, надісланого установою на такий фінансовий номер телефону, та фотофіксації особи із використанням методу розпізнавання реальності особи та особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника, з подальшим накладенням КЕП уповноваженим працівником установи та кваліфікованої електронної позначки часу на отриманий електронний документ, що містить фото.

32. Установа може використати право, зазначене в пункті 31 додатка 2 до Положення, у разі одночасного дотримання всіх нижчезазначених умов:

1) ризик ділових відносин з клієнтом (фінансової операції без встановлення ділових відносин) є низьким;

2) загальна сума всіх фінансових операцій, які зменшують активи клієнта, не перевищує 40 тисяч гривень на місяць (еквівалент) та 400 тисяч гривень на рік (еквівалент);

3) загальна сума зобов'язань установи перед клієнтом / клієнта перед установою не перевищує 40 тисяч гривень (еквівалент) (не стосується простроченої заборгованості).

33. У разі здійснення переказу в межах України на суму, що не перевищує 30 тисяч гривень, або суму, еквівалентну зазначеній сумі, у тому числі в іноземній валюті, установа, здійснюючи належну перевірку платника / отримувача переказу в установлених Законом про ПВК/ФТ випадках, крім ідентифікаційних документів, може отримувати й інші документи, що оформляються із застосуванням засобів Єдиного державного демографічного реєстру відповідно до Закону України "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус", з метою верифікації таких даних:

1) прізвище, ім'я та (за наявності) по батькові;

2) місце проживання (або місце перебування фізичної особи - резидента чи місце тимчасового перебування фізичної особи-нерезидента в Україні);

3) РНОКПП;

4) дата і місце народження.

33-1. Оператор поштового зв'язку в разі проведення виплат пенсій, допомог, субсидій та інших виплат населенню, визначених законодавством України (далі - пенсії/соціальні допомоги), на підставі укладених договорів з органами Пенсійного фонду України, органами праці та соціального захисту населення, відповідними центрами з нарахування та здійснення соціальних виплат, іншими уповноваженими органами нарахування та здійснення соціальних виплат (далі - уповноважений орган), якщо такі виплати здійснюються на суму від 5 тисяч до 30 тисяч гривень, може здійснити ідентифікацію та верифікацію клієнта - фізичної особи (представника клієнта) шляхом звіряння даних пред'явленого клієнтом (представником клієнта) паспорта або іншого документа, що посвідчує особу клієнта (для представника клієнта також документа, що підтверджує його повноваження), з даними, зазначеними уповноваженим органом у виплатних документах, форма і зміст яких установлені законодавством України (далі - виплатні документи)/даними, зазначеними клієнтом (представником клієнта) у бланку поштового переказу.

Після звіряння даних оператором поштового зв'язку клієнт (представник клієнта) проставляє свій власноручний підпис із зазначенням дати одержання пенсії/соціальної допомоги, а працівник оператора поштового зв'язку - власноручний підпис у відповідних графах виплатних документів/бланку поштового переказу.

Оператор поштового зв'язку зобов'язаний зберігати виплатні документи/бланки поштових переказів із проставленими власноручними підписами клієнта (представника клієнта) та датами одержання пенсії/соціальної допомоги або їх копії, засвідчені уповноваженим працівником оператора поштового зв'язку, протягом строків, визначених Законом про ПВК/ФТ.

34. Установа зобов'язана під час здійснення ідентифікації клієнта інформувати його про покладені на неї зобов'язання щодо обробки персональних даних для цілей ПВК/ФТ.

1. Верифікація, здійснена установою з дотриманням вимог, визначених у додатку 3 до Положення про здійснення установами фінансового моніторингу (далі - Положення), прирівнюється до верифікації, здійсненої в особистій присутності особи.

2. Працівник установи, який забезпечує проведення відеоверифікації (далі - уповноважений працівник), під час здійснення відеоверифікації має перебувати в приміщенні, в якому забезпечені умови для отримання якісної аудіовізуальної інформації (зокрема обмежено рух інших осіб у зоні видимості камери та сторонній шум).

Відеоверифікація має відбуватися таким чином, щоб унеможливити спостереження за цим процесом іншими клієнтами установи, будь-якими третіми сторонніми особами.

3. Під час здійснення відеоверифікації обмін аудіовізуальною інформацією між уповноваженим працівником та особою, верифікація якої здійснюється, повинен відбуватися із забезпеченням цілісності та конфіденційності інформації, що передається.

4. Установа зобов'язана отримати чітку та однозначну згоду особи на проведення відеоверифікації перед початком такої процедури (у тому числі на фотофіксацію особи та/або екрану з її зображенням, та відповідних документів, що пред'являються нею). Запис відеоверифікації також має містити факт надання такої згоди.

5. Відеоверифікація повинна здійснюватись у режимі реального часу та не перериватись. У разі переривання з будь-яких причин відеоверифікація повинна бути здійснена повторно в повному обсязі.

6. Якість аудіовізуальної інформації (зображення та звуку під час відеотрансляції) має бути достатньою для однозначного розпізнавання особи та змісту спілкування між уповноваженим працівником та особою, а також проведених уповноваженим працівником перевірок відповідних інформативних та захисних елементів зображення документів, що містять ідентифікаційні дані особи (зокрема захисної сітки, мікротексту).

7. Установа під час розроблення порядку здійснення відеоверифікації має передбачити різні варіанти спілкування уповноваженого працівника та особи, що мають відрізнятися принаймні послідовністю та/або переліком питань.

Запис процесу відеоверифікації має містити частину, де особа, верифікація якої здійснюється, озвучує інформацію про номер та серію (за наявності) ідентифікаційного документа та контактний номер телефону для спілкування з установою (фінансовий номер телефону).

8. Установа під час відеоверифікації здійснює фото фіксацію:

1) особи, верифікація якої здійснюється;

2) особи з власним ідентифікаційним документом, а саме сторінки/сторони, що містить фото власника.

Фотофіксація забезпечується установою таким чином, щоб фотозображення давали змогу однозначно розпізнати особу та деталі ідентифікаційного документа (зокрема фото, ідентифікаційні дані, що містяться на такій сторінці ідентифікаційного документа).

9. Установа забезпечує здійснення під час відеоверифікації принаймні таких перевірок ідентифікаційного документа (зокрема шляхом використання спеціальних програмних модулів):

1) на предмет ознак пошкодження, підробки (зокрема того, що в цей документ не вклеєно фото, що відповідні елементи, текст, розмір символів та проміжків між ними розміщені належним чином);

2) належності наданого документа фізичній особі, верифікація якої здійснюється (візуальна перевірка відповідності обличчя особи);

3) логічні перевірки інформації, що містить документ такого типу, з метою виявлення ознак підробки (зокрема дати видачі документа, дати закінчення строку його дії, органу, що видав документ, машинозчитуваної інформації);

4) переконатись, що наданий документ містить ті захисні елементи, які повинен мати документ такого типу та які можна виявити під час візуального огляду при природному освітленні, після чого здійснити перевірку цих захисних елементів.

З метою перевірки захисних елементів документа (зокрема оптико-перемінної фарби, 3D-ефекту, анімаційного ефекту, голографічної стрічки) уповноважений працівник надає відповідні інструкції особі, верифікація якої здійснюється, щодо виконання додаткових дій з документом перед камерою (зокрема повернути свій документ під різними кутами горизонтально та вертикально).

10. Установа має право під час відеоверифікації не здійснювати перевірки захисних елементів ідентифікаційного документа, якщо установою:

1) забезпечено процедуру зчитування з безконтактного електронного носія, імплантованого до цього документа, ідентифікаційних даних особи та проведено принаймні їх пасивну автентифікацію відповідно до пункту 5.1 частини одинадцятої ІКАО Doc 9303 зі збереженням протоколу проведеної пасивної автентифікації.

Установа самостійно визначає програмні/програмно-апаратні засоби, за допомогою яких дистанційно здійснюється зчитування ідентифікаційних даних особи та проводиться їх пасивна автентифікація. Установа зобов'язана забезпечити захищений канал обміну даними між зазначеними програмними/програмно-апаратними засобами та комп'ютером уповноваженого працівника установи під час здійснення зчитування ідентифікаційних даних; або

2) отримано е-паспорт / е-паспорт для виїзду за кордон, завірений кваліфікованою електронною печаткою Державного підприємства "ДІЯ" з відповідною кваліфікованою електронною позначкою часу, що відповідатиме даті здійснення установою верифікації особи.

11. Установа самостійно у своїх внутрішніх документах установи з питань ПВК/ФТ визначає перелік ідентифікаційних документів, що приймаються установою для верифікації особи під час відеоверифікації. Установа визначає такий перелік на основі ризик-орієнтованого підходу, враховуючи наявність відповідних власних ресурсів, засобів (у тому числі програмних) для здійснення перевірки відповідних типів документів на предмет виявлення ознак, що можуть свідчити про їх можливу підробку або фальсифікацію.

12. Якщо вищезазначений перелік ідентифікаційних документів установи включає документи, що виготовлені у формі книжечки та не містять безконтактного електронного носія, то установа додатково забезпечує вжиття заходів, які дадуть змогу мінімізувати ризики ВК/ФТ, та принаймні один із таких заходів:

1) отримання через Систему BankID НБУ інформації щодо ідентифікаційних даних особи та забезпечення співставлення (порівняння) цих даних;

2) отримання від особи, верифікація якої здійснюється, іншого(их) документа(ів), що посвідчує(ють) його особу, перевірку якого(их) установа може здійснити на предмет наявності ознак пошкодження, підробки та забезпечення співставлення (порівняння) даних;

3) отримання ідентифікаційних даних, фінансового номера телефону з бюро кредитних історій (за умови, що джерелом таких даних є банк) та коректного введення особою, верифікація якої здійснюється, otp-пароля, надісланого установою на такий фінансовий номер телефону.

Установа може не здійснювати заходів, зазначених у пункті 12 додатка 3 до Положення, якщо вона забезпечила успішну перевірку ідентичності ідентифікаційних даних особи за допомогою даних, що містяться в кваліфікованому електронному підписі, яким клієнт (представник клієнта) підписав документ щодо встановлення ділових відносин з установою (зокрема опитувальник установи, інший документ, поданий клієнтом або його представником установі до встановлення ділових відносин).

13. Уповноважений працівник під час здійснення відеоверифікації має пересвідчитися в тому, що немає ознак тиску/впливу на особу, верифікація якої здійснюється, третьою особою. У разі наявності ознак такого тиску уповноважений працівник має детальніше розпитати особу про мету встановлення ділових відносин для зниження ризику подальших шахрайських дій за допомогою соціальної інженерії.

14. У разі наявності ознак підозрілої поведінки особи, верифікація якої здійснюється, уповноважений працівник має поставити додаткові (у тому числі непрямі) питання на знання власних ідентифікаційних даних.

15. Іншу інформацію, необхідну установі для здійснення НПК, установа може отримати:

1) зі слів клієнта (отримання відповідей на запитання уповноваженого працівника) під час відеоверифікації;

2) у формі заповненого опитувальника установи, підписаного КЕП клієнта (представника клієнта);

3) з попередньо заповненої клієнтом анкети на сайті або в застосунку установи. У такому разі установа належним чином документує факт надання клієнтом відповідної інформації.

16. Установа під час розроблення порядку здійснення відеоверифікації має передбачати завершальним етапом коректне введення особою, верифікація якої здійснюється, otp-пароля, який установа надсилає цій особі на озвучений під час відеоверифікації фінансовий номер телефону.

17. Установа забезпечує захист інформації, що отримується/створюється нею під час відеоверифікації клієнта (представника клієнта), відповідно до вимог законодавства України у сфері захисту інформації.

18. Установа не може використовувати результати відеоверифікації в разі:

1) якщо здійснений процес відеоверифікації не відповідає вимогам, установленим у Положенні;

2) наявності сумнівів щодо чинності (дійсності) ідентифікаційного документа особи, що не спростовані;

3) наявності ознак того, що на клієнта (представника клієнта) чиниться вплив з боку третьої особи.

19. Установа зобов'язана документувати кожен етап відеоверифікації та фіксувати результати всіх перевірок, передбачених у Положенні та внутрішніх документах установи з питань ПВК/ФТ, здійснених уповноваженим працівником та/або програмними засобами установи.

Установа зобов'язана обробляти, зберігати, передавати електронні документи в спосіб, що забезпечує неможливість їх модифікації, а також забезпечити їх резервне зберігання та захист від втрати, знищення, незаконної обробки відповідно до вимог нормативно-правових актів Національного банку.

20. Уповноважений працівник установи накладає КЕП на отримані від клієнта (представника клієнта) електронні копії документів, на підставі яких здійснена відеоверифікація його особи.

21. Усі документи та інформація щодо процесу відеоверифікації, зокрема файли із записом процесу відеоверифікації, електронні документи, отримані установою від клієнта (представника клієнта), інші документи, що фіксують факти проведення відповідних перевірок, передбачених у Положенні та внутрішніх документах установи з питань ПВК/ФТ, зберігаються у справі клієнта протягом визначених законодавством України строків.

22. Установа забезпечує проходження уповноваженими працівниками до початку виконання ними посадових обов'язків, пов'язаних із забезпеченням процесу відеоверифікації, відповідного навчання та отримання належної підготовки для проведення відеоверифікації.

1. Установа під час здійснення НПК зобов'язана:

1) установити КБВ клієнта або факт його(їх) відсутності, у тому числі отримати структуру власності юридичної особи з метою її розуміння;

2) установити дані, що дають змогу встановити КБВ [прізвище, ім'я та (за наявності) по батькові, країну громадянства та постійного місця проживання, дату народження, характер та міру (рівень, ступінь, частку) бенефіціарного володіння (вигоди, інтересу, впливу)];

3) ужити заходів з верифікації особи КБВ (у разі наявності КБВ).

2. Установа з метою встановлення КБВ зобов'язана:

1) витребувати та отримати від клієнта - юридичної особи структуру власності такого клієнта;

2) установити щодо трасту або іншого подібного правового утворення відомості про засновників, довірчих власників, захисників (у разі наявності), вигодоодержувачів (вигодонабувачів) або групу вигодоодержувачів (вигодонабувачів), а також про будь-яких інших фізичних осіб, які здійснюють вирішальний вплив на діяльність трасту або іншого подібного правового утворення (у тому числі через ланцюг контролю/володіння).

Щодо трастів та інших подібних правових утворень, вигодоодержувачі (вигодонабувачі) яких характеризуються певними ознаками або класом, встановлюється інформація про таких вигодоодержувачів (вигодонабувачів), яка б дала змогу встановити їх особу в момент виплати чи реалізації ними належних їм прав;

3) ужити належних заходів для перевірки достовірності інформації щодо КБВ та пересвідчитися, що установа знає, хто є КБВ (за його наявності), уживаючи обґрунтованих заходів для розуміння права власності (контролю) та структури власності.

2-1. Установа протягом п’яти робочих днів з дня отримання структури власності/інформації про КБВ, дані про якого встановлені за результатами здійснення НПК, перевіряє отриману структуру власності/інформацію про КБВ на наявність/відсутність розбіжностей із відомостями про КБВ/структуру власності такого клієнта, розміщеними в ЄДР, та вносить відповідну інформацію про виявлені розбіжності до анкети клієнта/Переліків клієнтів.

3. Установа для встановлення та верифікації особи КБВ має право використовувати дані, що містяться в офіційних документах, офіційних та/або інших відкритих джерелах, зокрема в іноземних державних реєстрах, подібних до ЄДР. Установа також може використовувати інформацію, отриману від клієнта, уживаючи необхідних заходів із перевірки отриманої інформації за допомогою інших джерел.

4. Установа під час встановлення КБВ клієнта не повинна покладатися виключно на ЄДР, крім випадків, безпосередньо визначених у Положенні про здійснення установами фінансового моніторингу.

5. Вимоги щодо встановлення КБВ установа виконує з використанням ризик-орієнтованого підходу, ураховуючи виявлені критерії ризиків. Водночас обсяг дій установи зі збору необхідної інформації та глибина аналізу отриманої інформації мають бути пропорційні виявленим ризикам, зокрема складності структури власності юридичної особи. У будь-якому разі установа має вжити заходів, достатніх для того, щоб бути впевненою, що вона знає, хто є КБВ (або що КБВ відсутній), та для отримання розуміння права власності (контролю) та структури власності.

6. Установа стосовно клієнтів, які є емітентами, що відповідно до законодавства або умов публічного розміщення акцій на міжнародно визнаних біржах зобов'язані публічно розкривати відомості про КБВ, або є дочірніми підприємствами чи представництвами таких емітентів, може встановити факт відсутності в них КБВ.

7. У разі встановлення ділових відносин (проведення фінансової операції без встановлення ділових відносин) з клієнтом, який є фізичною особою або ФОП, установа може вважати, що в такого клієнта відсутній КБВ, крім випадків виникнення в установи підозри або достатніх підстав для підозри (зокрема у разі виявлення відповідних критеріїв ризику або індикаторів підозрілості фінансових операцій), що такий клієнт діє не від власного імені.

1. Установа має право здійснювати СЗНП щодо клієнтів, ризик ділових відносин з якими (ризик фінансової операції без встановлення ділових відносин яких) є низьким.

2. Установа під час прийняття рішення про здійснення СЗНП зобов'язана пересвідчитися, що ризик ділових відносин з клієнтом (ризик фінансової операції без встановлення ділових відносин) є низький.

3. Установа в разі формування окремих групових ризик-профілів низького рівня ризику в порядку, визначеному в розділі IV Положення про здійснення установами фінансового моніторингу (далі - Положення), може визначити відповідні СЗНП, що вживатимуться нею стосовно таких категорій клієнтів.

4. Установа під час визначення категорій клієнтів, що належать до ризик-профілів низького рівня ризику, ураховує типологічні дослідження СУО у сфері ПВК/ФТ, результати національної оцінки ризиків, а також рекомендації Національного банку. Такими категоріями клієнтів можуть бути, зокрема:

1) фізичні особи, які здійснюють регулярні платежі за житлово-комунальні послуги на незначні суми;

2) об'єднання співвласників багатоквартирного будинку;

3) емітенти, що відповідно до законодавства або умов публічного розміщення акцій на міжнародно визнаних біржах зобов'язані публічно розкривати відомості про КБВ, або є дочірніми підприємствами чи представництвами таких емітентів;

4) підприємства житлово-комунального господарства, провайдери доступу до мережі Інтернет та до послуг телебачення, з якими установи укладають договори про приймання регулярних платежів від фізичних осіб на незначні суми, за умови, якщо такі договори передбачають безготівкове перерахування прийнятих коштів виключно на рахунок клієнта, відкритий в банку;

5) органи державної влади України, фонди соціального страхування, органи місцевого самоврядування;

6) міжнародні установи чи організації, у яких бере участь Україна відповідно до міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України;

7) установи, органи, офіси або агентства Європейського Союзу;

8) дипломатичні представництва іноземної держави члена Організації економічного співробітництва та розвитку, акредитовані в Україні в установленому порядку.

5. Під СЗНП можуть розумітися, зокрема, такі заходи:

1) зменшення частоти та обсягу дій з моніторингу ділових відносин та збору додаткової інформації щодо ділових відносин;

2) використання спрощених моделей верифікації з урахуванням вимог та обмежень, визначених у додатку 2 до Положення;

3) зменшення обсягу необхідної до отримання додаткової інформації / переліку достатніх джерел інформації, зокрема, для встановлення (розуміння) мети і характеру ділових відносин / проведення фінансової операції, ураховуючи особливості відповідного продукту/послуги, що обмежують їх використання для цілей ВК/ФТ;

4) використання інформації з ЄДР як достатнього джерела для встановлення КБВ під час здійснення заходів НПК щодо категорій клієнтів, визначених у підпункті 4 пункту 4 додатка 5 до Положення.

6. Вищезазначений перелік СЗНП не є вичерпним. Установа з урахуванням ризик-орієнтованого підходу самостійно розробляє, оновлює та вживає СЗНП, дотримуючись вимог та обмежень, установлених у Положенні.

7. Установа здійснює заходи, передбачені в підпунктах 1-3 пункту 5 додатка 5 до Положення, щодо клієнтів:

1) фізичних осіб, які здійснюють звичайні фінансові операції на суми та в обсязі, що мають раціональне обґрунтування, ураховуючи ризик-профіль таких фізичних осіб, та діловим відносинам з якими непритаманні критерії ризиків, та фінансові операції яких не містять індикаторів підозрілості фінансових операцій, визначених установою;

2) суб'єктів господарювання, що ведуть звичайну господарську діяльність, сплачують податки, стосовно яких в установи відсутні підозри щодо ВК/ФТ, діловим відносинам з якими непритаманні критерії ризиків, та фінансові операції яких не містять індикаторів підозрілості фінансових операцій, визначених установою.

8. Установа в разі здійснення СЗНП та заходів, визначених у пункті 7 додатка 5 до Положення, зобов'язана проводити моніторинг ділових відносин та фінансових операцій клієнта, що здійснюються в процесі таких відносин, достатній для того, щоб мати змогу виявляти критерії ризику та/або індикатори підозрілості фінансових операцій, що притаманні відповідним діловим відносинам (фінансовій операції без встановлення ділових відносин) з клієнтом, та, зокрема, фінансові операції, що не відповідають фінансовому стану та/або змісту діяльності клієнта.

9. Установа не має права вживати СЗНП та заходи, визначені в пункті 7 додатка 5 до Положення, за наявності підозр, а також якщо діловим відносинам (фінансовій операції без встановлення ділових відносин) з клієнтом притаманні відповідні критерії ризику та/або індикатори підозрілості фінансових операцій. У такому разі установа зобов'язана здійснити переоцінку ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом та вжити заходів НПК, пропорційних такому ризику.

1. Установа зобов'язана здійснювати ПЗНП щодо клієнтів, ризик ділових відносин з якими (ризик фінансової операції без встановлення ділових відносин яких) є високим.

2. ПЗНП здійснюються установою до встановлення ділових відносин з клієнтом (проведення фінансової операції без встановлення ділових відносин) під час проведення моніторингу ділових відносин та фінансових операцій клієнта, що здійснюються в процесі таких відносин, та актуалізації установою даних щодо клієнта.

3. Установа здійснює ПЗНП з метою мінімізації виявлених ризиків, притаманних діловим відносинам (фінансовій операції без встановлення ділових відносин) з клієнтом, зокрема шляхом:

1) збільшення частоти та обсягу дій з моніторингу ділових відносин та фінансових операцій клієнта, що здійснюються в процесі таких відносин;

2) збору додаткової інформації щодо клієнта, ділових відносин з ним.

4. Під час здійснення ПЗНП установа обирає вид необхідного до вжиття заходу залежно від виявлених ризиків, притаманних діловим відносинам (фінансовій операції без встановлення ділових відносин) з клієнтом, та що є пропорційним таким ризикам. Такими заходами, зокрема, можуть бути:

1) встановлення осіб, які здійснюють прямий та/або непрямий вирішальний вплив шляхом володіння часткою, меншою, ніж 25 відсотків статутного (складеного) капіталу або прав голосу юридичної особи;

2) отримання додаткової інформації щодо клієнта шляхом пошуку інформації про нього у відкритих джерелах (наприклад, офіційних джерелах, публічних реєстрах, вебсайтах авторитетних видань);

3) з'ясування причин та обставин використання клієнтом складної структури власності та/або реєстрації в певній державі (юрисдикції);

4) з'ясування джерел статків (багатства) та/або джерел коштів, пов'язаних із фінансовими операціями, клієнта / КБВ клієнта;

5) збільшення частоти дій установи щодо актуалізації даних щодо клієнта;

6) перевірка наявності/чинності ліцензій, дозволів або наявності інформації щодо клієнта у відповідних реєстрах, якщо це є обов'язковим відповідно до вимог законодавства для провадження клієнтом відповідної діяльності;

7) отримання детальнішої інформації щодо мети та характеру встановлення ділових відносин, зокрема, якщо клієнтом є нерезидент;

8) пошук інформації у відкритих джерелах щодо наявності кримінальних проваджень стосовно клієнта, його представників, КБВ;

9) збільшення кількості та частоти здійснення відповідних перевірок стосовно фінансових операцій клієнта;

10) з'ясування наявності в клієнта юридичних та економічних зв'язків з іншими клієнтами установи (зокрема клієнтів, які мають спільного КБВ/керівника/представника з клієнтом) та їхньої суті/ролі в такій групі;

11) візит працівника установи до клієнта за адресою його місцезнаходження з метою з'ясування відповідності інформації, наданої клієнтом установі, щодо здійснення ним відповідного виду діяльності реальній ситуації;

12) установлення певних обмежень/лімітів на використання клієнтом послуги/продукту установи [зокрема щодо обсягів діяльності, сум фінансових операцій, держав (юрисдикцій), контрагентів];

13) установлення обов'язковою вимогою отримання підтвердних документів / інформації щодо окремих фінансових операцій до проведення клієнтом таких фінансових операцій;

14) отримання дозволу керівника на встановлення (підтримання) ділових відносин (проведення разової фінансової операції на значну суму без встановлення ділових відносин) з клієнтом;

15) отримання додаткового дозволу уповноваженого працівника установи / керівника установи на проведення окремих фінансових операцій у межах установлених ділових відносин;

16) здійснення на час страхових виплат за договором страхування життя ідентифікації та верифікації КБВ (у разі його наявності) вигодоодержувача (вигодонабувача), що підпав під критерії ризику ВК/ФТ, в результаті чого установа встановила високий ризик ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом.

5. Перелік, визначений у пункті 4 додатка 6 до Положення, не є вичерпним. Установа самостійно визначає види необхідних до вжиття установою заходів та обсяг необхідної додаткової інформації для здійснення ПЗНП.

6. Установа повинна підвищити ступінь і характер моніторингу ділових відносин з клієнтом з метою визначення, чи є фінансові операції або дії клієнта підозрілими, у разі виявлення фінансових операцій, що відповідають хоча б одній із таких ознак:

1) є складними фінансовими операціями;

2) є незвично великими фінансовими операціями;

3) проведені в незвичний спосіб;

4) не мають очевидної економічної чи законної мети;

5) не відповідають інформації щодо запланованої клієнтом діяльності з використанням послуг установи, отриманої установою від клієнта під час встановлення мети та характеру ділових відносин із ним.

7. У разі виявлення установою фінансових операцій (їх сукупності), які є незвично великими фінансовими операціями для клієнта відповідно до наявної в установи інформації про його фінансовий стан, установа з урахуванням ризик-орієнтованих підходів має вжити заходів для з'ясування джерел коштів, пов'язаних із такими фінансовими операціями, достатніх для визначення наявності/відсутності в клієнта раціонально обґрунтованих фінансових можливостей для здійснення таких фінансових операцій.

8. Установа документує проведення ПЗНП та прийняті рішення в спосіб, що дасть змогу їй продемонструвати їх належне здійснення та обґрунтованість, і зберігає відповідні документи та/або інформацію у справі клієнта протягом строків, визначених Законом про ПВК/ФТ.

1. Установа зобов'язана вживати заходів щодо неприбуткових організацій, ураховуючи благодійні, для мінімізації ризику бути використаним з метою ВК/ФТ.

2. Заходи з мінімізації ризику мають бути пропорційними ризику ВК/ФТ ділових відносин (фінансової операції без встановлення ділових відносин) із неприбутковою організацією, ураховуючи виявлені установою критерії ризику, а також індикатори підозрілості фінансових операцій.

3. Установа під час здійснення НПК щодо неприбуткової організації має зрозуміти суть її діяльності, коригуючи глибину аналізу ризик-орієнтованим підходом та акцентуючи свою увагу на таких аспектах діяльності неприбуткової організації:

1) її основній меті (місії) створення та діяльності;

2) засновниках організації;

3) активах організації;

4) основних джерелах надходжень коштів та видах донорів/осіб, що перераховують кошти на її користь;

5) видах основних її видатків та пропорції статей на утримання неприбуткової організації в таких видатках;

6) видах її бенефіціарів - отримувачів коштів;

7) масштабах діяльності (внутрішньодержавна діяльність чи міжнародна);

8) методах пошуку донорів;

9) наявних досягненнях організації, зокрема виконаних (реалізованих) проєктах/програмах;

10) прозорості механізмів розподілу коштів та каналів перерахування коштів бенефіціарам;

11) цільовому використанню коштів;

12) частці готівки в надходженнях/видатках організації (її раціональній обґрунтованості);

13) відповідності обсягу інформації про діяльність організації у відкритих джерелах обсягам діяльності такої організації тощо.

1. Установа під час належної перевірки має здійснювати додатково стосовно PEP заходи, визначені частиною чотирнадцятою статті 11 Закону про ПВК/ФТ.

2. Установа повинна розробити внутрішні процедури з метою виявлення факту належності потенційного клієнта і клієнта, з яким підтримуються ділові відносини, до категорії PEP.

3. Установа, використовуючи ризик-орієнтований підхід, розробляє внутрішні процедури щодо особливостей роботи з PEPs, зокрема:

1) стосовно виявлення факту належності клієнта до категорії PEP, а також вигодоодержувача (вигодонабувача) за його договором страхування життя або КБВ такого вигодоодержувача (вигодонабувача) до політично значущої особи (фізичної особи, яка є національним, іноземним публічним діячем та діячем, який виконує публічні функції в міжнародних організаціях):

види інформаційних джерел, які використовуються установою для встановлення належності клієнтів до категорії PEPs, а також вигодоодержувача (вигодонабувача) за його договором страхування життя або КБВ такого вигодоодержувача (вигодонабувача) до політично значущої особи;

кількість інформаційних джерел (їх комбінації), які використовуються установою для відповідних категорій клієнтів;

порядок перевірки установою отриманої інформації;

порядок виявлення PEPs у наявній клієнтській базі, уключаючи строки і періодичність проведення скринінгових процедур, уключаючи аналіз баз даних установи за допомогою автоматизованих програмних модулів (за наявності), та документування їхніх результатів;

2) стосовно вжиття заходів до клієнтів, які належать до категорії PEPs або вигодоодержувачі (вигодонабувачі) за договорами страхування життя яких або КБВ вигодоодержувачів (вигодонабувачів) за договорами страхування життя яких є політично значущими особами:

порядок одержання дозволу керівника установи щодо клієнтів, які належать до категорії PEPs (які керівники установи мають право на надання такого дозволу та в яких випадках, процедура ескалації), для встановлення (продовження) ділових відносин, проведення (без встановлення ділових відносин) фінансових операцій на суму, що дорівнює чи перевищує суму, визначену частиною першою статті 20 Закону про ПВК/ФТ (незалежно від того, проводиться така фінансова операція одноразово чи як кілька фінансових операцій, що можуть бути пов'язані між собою);

порядок інформування керівника установи до здійснення страхової виплати за договором страхування життя, якщо вигодоодержувач (вигодонабувач) або його КБВ є політично значущою особою (які працівники установи інформують та в яких випадках, процедура ескалації);

порядок встановлення джерел статків (багатства) та джерел коштів, пов'язаних із фінансовими операціями, та умов, за яких вони є достатніми;

порядок здійснення поглибленого моніторингу ділових відносин із PEPs або з клієнтами, вигодоодержувачі (вигодонабувачі) або їх КБВ за договорами страхування яких є політично значущими особами.

4. Установа всі розроблені процедури належним чином документує у внутрішніх документах установи з питань ПВК/ФТ.

5. Якщо політично значуща особа перестала виконувати визначні публічні функції, то установа зобов'язана не менше ніж протягом 12 місяців продовжувати враховувати її триваючі ризики та вживати заходів, визначених у пунктах 2-4 частини чотирнадцятої статті 11 Закону про ПВК/ФТ, до осіб, які (КБВ яких) є політично значущими особами, членами їх сімей та особами, пов'язаними з політично значущими особами, поки не переконається в тому, що такі ризики відсутні.

Водночас установа повинна враховувати ризики, що залишаються властивими політично значущій особі, зокрема:

1) рівень впливу, що особа може ще мати;

2) обсяг повноважень, якими вона була наділена;

3) зв'язок між минулими та чинними повноваженнями.

5-1. Установа не вживає (припиняє вживати) заходів, визначених у пунктах 2-4 частини чотирнадцятої статті 11 Закону про ПВК/ФТ, стосовно політично значущої особи, членів її сім’ї та пов’язаних з нею осіб у разі дотримання умов, визначених в абзацах п’ятнадцятому, шістнадцятому частини чотирнадцятої статті 11 Закону про ПВК/ФТ.

Установа для прийняття рішення щодо припинення вжиття заходів, визначених у пунктах 2-4 частини чотирнадцятої статті 11 Закону про ПВК/ФТ, щодо політично значущої особи, членів її сім’ї та осіб, пов’язаних з нею, здійснює аналіз фінансових операцій політично значущої особи, членів її сім’ї та осіб, пов’язаних з нею, з дня припинення виконання політично значущою особою визначних публічних функцій у порядку, визначеному у внутрішніх документах установи з питань ПВК/ФТ.

Зазначений порядок принаймні має містити:

1) строки проведення аналізу фінансових операцій;

2) порядок оцінки ризику фінансових операцій, що проводилися політично значущою особою, членами її сім’ї та особами, пов’язаними з нею;

3) порядок виявлення ознак, що ділові відносини з політично значущою особою містять ризики, властиві політично значущим особам;

4) порядок виявлення ознак, що ділові відносини з членами сім’ї політично значущої особи та особами, пов’язаними з нею, становлять ризики.

Установа за результатами такого аналізу документує прийняте рішення та доводить його до відома керівника установи або уповноваженої ним особи.

Установа під час обслуговування політично значущої особи, членів її сім’ї та осіб, пов’язаних з нею, щодо яких установа припинила вживати заходів, визначених у пунктах 2-4 частини чотирнадцятої статті 11 Закону про ПВК/ФТ, продовжує здійснювати НПК у порядку, визначеному Законом про ПВК/ФТ, цим Положенням та внутрішніми документами установи з питань ПВК/ФТ.